In den letzten Wochen sind auf dem Verfassungsblog zwei Beiträge erschienen, die die polizeiliche und strafprozessuale Verwendung von PimEyes thematisieren. Mit Hilfe dieser Software soll es den Strafverfolgungsbehörden gelungen sein, die RAF-Terroristin Daniela Klette über die Homepage eines Kreuzberger Capoeira-Vereins ausfindig zu machen. Christian Thönnes argumentierte, dass durch PimEyes auf „Vorratsdaten“ zugegriffen würde, weshalb die Nutzung dieser Software nur nach den Maßstäben des EuGH zur Vorratsdatenspeicherung zulässig wäre. Dem möchte ich widersprechen und aufzeigen, dass PimEyes zwar sicherheitsrechtlich bedenklich ist, aber keine Form der Vorratsdatenspeicherung darstellt. Es handelt sich um einen anlassbezogenen, strafprozessualen Zugriff auf private, unreguliert vorhandene Massendaten. Das ist ein eigener Problemkreis mit vielen offenen Fragen, zumal die Ermittlungsmaßnahme bislang gesetzlich nicht geregelt ist. Anhand der Rechtsprechung des Bundesverfassungsgerichts lässt sich allerdings schon jetzt in Grundzügen ableiten, welche Anforderungen der Gesetzgeber bei der noch zu schaffenden Ermächtigungsgrundlage für Software wie PimEyes wird beachten müssen.

PimEyes, Quick-Freeze und die Vorratsdatenspeicherung

Noch einmal zur Erinnerung: PimEyes durchforscht das Internet nach Bilddateien und erkennt mittels künstlicher Intelligenz u. a. Gesichter. Für die Nutzung dieser Software im Rahmen der Strafverfolgung gibt es aktuell (noch) keine spezifische Rechtsgrundlage. Die vermeintliche Nutzung der Software durch Sicherheitsbehörden dürfte daher rechtswidrig sein, denn das „gezielte Zusammentragen allgemein zugänglicher Daten“ bedarf nach dem BVerfG einer eigenen Rechtsgrundlage.

Thönnes hat jedoch auch schon spekuliert, dass eine Rechtsgrundlage für die Anwendung gar nicht oder nur unter engen Grenzen geschaffen werden könnte, da die Nutzung einer „Vorratsdatenspeicherung“ entspreche. Mir scheint, insofern liegt ein Missverständnis zum Begriff der Vorratsdatenspeicherung vor.

Das Thema Vorratsdatenspeicherung ist seit über zwei Jahrzehnten ein politischer und juristischer Dauerbrenner, der derzeit schon wieder aufzuflammen droht. Die Bundesregierung hat vor einigen Wochen angekündigt, den Nachfolger der Vorratsdatenspeicherung, das sog. Quick-Freeze-Verfahren nach langem Widerstand der SPD zeitnah einführen zu wollen. Manchen politischen Stimmen geht dies aber schon wieder nicht weit genug. Zu allem Unglück hat der EuGH vor wenigen Tagen auch noch die Anforderungen an den Zugriff auf vorratsmäßig gespeicherte IP-Adressen gesenkt. Ein Ende der Kontroverse ist damit nicht zu erwarten. Ganz im Gegenteil.

Daher ist es höchste Zeit den Begriff der Vorratsdatenspeicherung etwas grundlegender zu beleuchten und die verschiedenen aktuellen Probleme polizeilicher Datennutzung zu differenzieren. Bei genauem Hinsehen zeigt sich nämlich, dass zwischen den Vorratsdatenspeicherungsregimen und Phänomenen wie PimEyes erhebliche Unterschiede bestehen.

Zum Begriff der Vorratsdatenspeicherung

Wenn in der Bundesrepublik von Vorratsdatenspeicherung gesprochen wird, ist fast immer die Speicherung von Telekommunikationsverkehrsdaten gemeint. Verkehrsdaten sind Daten, die keine Telekommunikationsinhalte betreffen, sondern nur die Umstände von Telekommunikation.

Diese Daten lagen bis vor einigen Jahren regelmäßig bei Telekommunikationsprovidern vor, da sie im kaum erträglichen Zeitalter vor den Flatrate-Verträgen zur Berechnung der Kosten im Rahmen von Mobilfunkverträgen o. Ä. erhoben werden mussten. Da Rechnungen aus handels- und steuerrechtlichen Gründen auch meist aufbewahrt werden müssen, lagen die Verkehrsdaten typischerweise vor und konnten von verschiedenen Behörden für Ermittlungen verwendet werden.

Dass der EuGH diese Richtlinie für unverhältnismäßig befand und nichtig erklärte, ist bekannt. Versuche der nationalen Gesetzgeber, eigenständig entsprechende Regime einzuführen, scheiterten ebenfalls. Insbesondere Frankreich und Belgien zeigten sich aber besonders hartnäckig und brachten den EuGH vor wenigen Jahren dazu, seine Anforderungen deutlich zurückzufahren und Möglichkeiten zur massenhaften Verwendung von Verkehrsdaten aufzuzeigen.

Zulässig ist danach etwa das „Quick-Freeze-Verfahren“. Dabei werden Verkehrsdaten nicht anlasslos und universell, sondern nur von einer bestimmten Person bei entsprechendem Anlass auf Anordnung gespeichert. Diese Maßnahme soll nun Einzug in die Sicherheitsgesetze der Bundesrepublik erhalten.

Massendaten in der Strafverfolgung: Regel statt Ausnahme

Heute wird der Begriff der Vorratsdatenspeicherung nicht mehr exklusiv in Verbindung mit Telekommunikationsverkehrsdaten verwendet, da mittlerweile für Fluggast– und Finanzdaten Speicherpflichten bestehen, die der Vorratsdatenspeicherungsrichtlinie nicht unähnlich sind.

Dass die Strafverfolgungsbehörden sämtliche irgendwo vorhandenen Daten grundsätzlich im Rahmen von Ermittlungen verwenden können, ist kein neues Phänomen. Die Strafverfolgungsbehörden stützen Anfragen bei Privaten im Zweifel einfach auf die Ermittlungsgeneralklausel aus § 161 Abs. 1 S. 1 Alt. 2 StPO.

Dass die StPO noch heute keine (verfassungskonforme) Grundlage für Auskunftsersuchen gegenüber Privaten enthält, ist bemerkenswert. Dabei haben private Akteure den Staat längst als größten Datensammler abgelöst. Diesem Umstand wird in der StPO nicht ausreichend Rechnung getragen.

Aus der Ermittlungspraxis wird deutlich, dass die Nutzung privater Massendaten, selbst wenn diese aus wirtschafts- oder steuerrechtlichen Gründen gespeichert werden müssen, keine Vorratsdatenspeicherung darstellen kann.

Vorratsdatenspeicherung im Rechtsstaat und der Grundsatz der Reaktivität

Die Gründe, wieso die Vorratsdatenspeicherungsrichtlinie tatsächlich eine schwere Grundrechtsbeeinträchtigung darstellte, liegen nicht darin, dass die Richtlinie einen sicherheitsrechtlichen Zugriff auf Massendaten ermöglichte, sondern in der Abkehr von rechtstaatlichen Grundsätzen, die mit der staatlichen Anordnung der Speicherung zu Sicherheitszwecken einhergeht.

Die Vorratsdatenspeicherung findet, anders als etwa die Aufbewahrung von Hotelrechnungen, final für eine sicherheitsrechtliche Verwendung der Daten und nicht zu steuer- oder wirtschaftlichen Zwecken statt. Mit der Anordnung der Speicherung bestimmter Daten, ausdrücklich zur Erleichterung oder Ermöglichung von Ermittlungen, gibt der Staat zu erkennen, dass er von der potenziellen Notwendigkeit dieser Daten für die Aufklärung oder Verhinderung kriminellen Verhaltens ausgeht.

Mit der Anordnung einer Speicherung von prinzipiell unbedenklichen Daten für etwaige sicherheitsrechtliche Informationserhebungen bricht der Staat mit dem Grundgedanken, dass er den Bürgen grundsätzlich vertraut und nur dann Informationseingriffe aus sicherheitsrechtlichen Gründen vornimmt, wenn er dazu einen entsprechenden Anlass erhält. Der Staat muss sich im Rahmen der Sicherheitsgewährleistung im Grunde eigentlich reaktiv verhalten.

Der Bruch mit dieser reaktiven Struktur ist das, was die Sensibilität der Vorratsdatenspeicherung (und anderer Massenüberwachungsmaßnahmen) ausmacht.

Rechtstaatliche Begrenzung von Analysetools wie PimEyes

Die Analyse des gesamten Netzes durch Webcrawler, die auf Bilddaten spezialisiert sind, unterscheidet sich strukturell von einer „Vorratsdatenspeicherung“. Der Staat selbst speichert hier keine Daten, er ordnet auch keine Speicherung an, sondern er nutzt bei einem bestimmten Anlass PimEyes als Suchvorlage, um frei zugängliche Bilddateien zu durchforsten.

Das heißt aber nicht, dass für deren Einsatz keine hohen Anforderungen gelten sollten. Auch PimEyes führt zu sensiblen Eingriffen in das Recht auf informationelle Selbstbestimmung, denn es beeinträchtigt die Art, wie wir Privatheit im Internet wahrnehmen können.

Die Anpassung der Polizeiarbeit aufgrund des digitalen Fortschritts ist notwendig, muss aber gesetzlich begleitet werden. Die rudimentären Ermächtigungsgrundlagen klassischer Ermittlungsmaßnahmen reichen insofern nicht mehr aus. Der Anspruch – vor allem – der Strafverfolgungsbehörden, sämtliche existierenden Daten bei Notwendigkeit erhalten zu können, verträgt sich aus Sicht der Grundrechtsträger kaum damit, dass personenbezogene Daten im Informationszeitalter ubiquitär verfügbar sind.

Massenhafte Datenanalysen in der Rechtsprechung des BVerfG

Das BVerfG hat für eine automatisierte Analyse massenhafter Daten bestimmte Maßgaben aufgestellt. Diese Rechtsprechung betrifft zwar die Analyse von bei Behörden gespeicherten Datenbeständen, die zuvor aus verschiedenen Gründen erhoben wurden. Sie kann daher auch nicht unmittelbar auf PimEyes angewandt werden, passt aber schon deutlich besser als die Urteile zur Vorratsdatenspeicherung.

Automatisierten Datenanalysen attestiert das BVerfG ein eigenständiges Eingriffsgewicht unabhängig von der Herkunft der Daten, denn sie ermöglicht die Verarbeitung großer und komplexer Informationsbestände. Das Eingriffsgewicht bestimmt sich dabei primär nach der Art der verwendeten Daten bzw. der Art des erzeugten Wissens, der Datenquantität und der Heimlichkeit der Maßnahme/Erhebung.

Beim Einsatz von Webcrawlern werden allerdings keine verschiedenen Datenbanken verglichen und kombiniert, sondern es findet nur eine Durchsuchung eines vordefinierten – allerdings sehr großen – Datenbestands statt anhand eines Vorlagebildes statt. Damit ist die Analyse nicht so persönlichkeitsrelevant wie der strukturelle Abgleich verschiedener Datenbestände. Dennoch werden bei der Maßnahme die Daten einer Vielzahl von Personen heimlich verarbeitet. Der Eingriff dürfte nach den Maßstäben des BVerfG daher erheblich, aber nicht allzu schwer sein.

In der Folge wird man den Einsatz von Webcrawlern zu Ermittlungszwecken wohl jedenfalls auf die Aufklärung oder Verhinderung bestimmter Straftaten, die über eine Bagatellgrenze hinausgehen, begrenzen müssen. Außerdem sollte sich der Verdacht bezüglich der anlassgebenden Person schon verdichtet haben, bzw. eine dringende Gefahr bestehen. Auf einen Richtervorbehalt für die Nutzung wird man verzichten können, nicht aber auf Protokoll-, Berichts- und allgemeine Datenschutzpflichten.

Wie genau die Ausgestaltung erfolgen soll, kann am Ende nur das BVerfG bestimmen. Dass der Gesetzgeber eine grundrechtskonforme Gestaltung selbst erzielt, darf man aufgrund der vergangenen Erfahrungen bezweifeln. Auf die „Segelanweisungen“ aus den Urteilen zur Vorratsdatenspeicherung sollte er bei seinen Versuchen aber nicht achten, da sich PimEyes von den Regimen der Vorratsdatenspeicherung grundlegend unterscheidet.