Automatisierte Datenanalyse durch Ermittlungsbehörden mittels Software unzulässig: Nicht gerechtsfertigter Eingriff in die informationelle Selbstbestimmung ein

Werden gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden.

Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung und die Anforderungen an deren verfassungsrechtliche Rechtfertigung ergeben sich zum einen aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung. Zum andern hat die automatisierte Datenanalyse oder -auswertung ein Eigengewicht, weil die weitere Verarbeitung durch eine automatisierte Datenanalyse oder -auswertung spezifische Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne weitergehende Rechtfertigungsanforderungen.

Diese weitergehenden Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung variieren, da deren eigene Eingriffsintensität je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann. Das Eingriffsgewicht wird insbesondere durch Art und Umfang der verarbeitbaren Daten und die zugelassene Methode der Datenanalyse oder -auswertung bestimmt. Der Gesetzgeber kann die Eingriffsintensität durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der Auswertungsmethode steuern.

Ermöglicht die automatisierte Datenanalyse oder -auswertung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten, also nur zum Schutz besonders gewichtiger Rechtsgüter, sofern für diese eine zumindest hinreichend konkretisierte Gefahr besteht. Das Erfordernis einer zumindest hinreichend konkretisierten Gefahr für besonders gewichtige Rechtsgüter ist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten durch Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das Eingriffsgewicht der Maßnahmen erheblich gemindert ist.

Grundsätzlich kann der Gesetzgeber den Erlass der erforderlichen Regelungen zu Art und Umfang verarbeitbarer Daten und zu den zulässigen Datenverarbeitungsmethoden zwischen sich und der Verwaltung aufteilen. Er muss aber sicherstellen, dass unter Wahrung des Gesetzesvorbehalts insgesamt ausreichende Regelungen getroffen werden.

Der Gesetzgeber muss die wesentlichen Grundlagen zur Begrenzung von Art und Umfang der Daten und der Verarbeitungsmethoden selbst durch Gesetz vorgeben.

Soweit er die Verwaltung zur näheren Regelung organisatorischer und technischer Einzelheiten ermächtigt, hat der Gesetzgeber zu gewährleisten, dass die Verwaltung die für die Durchführung einer automatisierten Datenanalyse oder -auswertung im Einzelfall maßgeblichen Vorgaben und Kriterien in abstrakt-genereller Form festlegt, verlässlich dokumentiert und in einer vom Gesetzgeber näher zu bestimmenden Weise veröffentlicht. Das sichert auch die verfassungsrechtlich gebotene Kontrolle, die insbesondere durch Datenschutzbeauftragte erfolgen kann.

Urteil des Ersten Senats vom 16. Februar 2023

– 1 BvR 1547/19 –

– 1 BvR 2634/20 –

Automatisierte Datenanalyse More →