Die Diskussion um die Verwendung automatisierter Datenanalysen durch Polizeibehörden hat in den vergangenen Monaten deutlich an Dynamik gewonnen. Entsprechende Verfahren sollen polizeiliche Arbeit effizienter, schneller und vorausschauender gestalten. Doch die Grundrechtsrisiken können erheblich sein, denn betroffen können nicht nur Verdächtige, sondern auch Geschädigte, Zeugen oder Sachverständige sein. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mahnt daher in einer Entschließung zu automatisierter Datenanalyse durch Polizei vom 17.09.2025, den verfassungsrechtlichen Rahmen strikt einzuhalten und zugleich die digitale Souveränität des Staates zu wahren.
Rechtliche Grundlagen als notwendige Voraussetzung
Ein zentrales Anliegen der Aufsichtsbehörden ist die Schaffung einer klaren spezifischen gesetzlichen Grundlage. Diese solle vor allem Art und Umfang der Daten sowie die Verarbeitungsmethode begrenzen. Allgemeine Regelungen im Polizeirecht oder in der Strafprozessordnung reichen nach Auffassung der DSK nicht aus, um die Besonderheiten komplexer Analysemethoden in Polizeidatenbanken abzubilden. Das gelte insbesondere für Betroffene, die keinen Anlass für Ermittlungen gegeben haben, da dann der Eingriff besonders schwer sei.
Maßstäbe des Bundesverfassungsgerichts
Darüber hinaus sei die Einhaltung der vom Bundesverfassungsgericht (BVerfG) festgelegten Rahmenbedingungen erforderlich. Solche hat das BVerfG beispielsweise im Februar 2023 geliefert und die polizeilichen Datenanalyse in Hessen und Hamburg für verfassungswidrig erklärt. Nach Ansicht der DSK bestätigt die Entscheidung die „Hambacher Erklärung zur Künstlichen Intelligenz“. Die Entscheidung stellte klar, dass das Gewicht eines Grundrechtseingriffs im Rahmen der Zulässigkeit der Datenverarbeitung zu beachten ist. Besonders problematisch sind laut der Entschließung der DSK (abrufbar hier) Datenanalysen von Personen, die keinen Anlass für Ermittlungen gegeben haben oder Zweckänderungen. Auch die Methodik spiele eine Rolle für das Eingriffsgewicht, wie etwa beim Einsatz von künstlicher Intelligenz.
Digitale Souveränität als staatliche Pflicht
Neben den verfassungsrechtlichen Fragen rückt die DSK auch die digitale Souveränität in den Vordergrund. Polizeiliche Datenbestände zählen zu den sensibelsten Informationen, die ein Staat verwaltet. Entsprechend hoch sei die Verantwortung, diese Daten vor unbefugten Zugriffen und insbesondere vor Abflüssen in Drittstaaten zu schützen. Werden Systeme von Fremdanbietern genutzt, würden Abhängigkeiten und Kontrollverluste drohen. Insbesondere die Verwendung der US-amerikanischen Datenanalyse-Software Palantir steht regelmäßig in der Kritik. Die DSK verweist auf ihre Kriterien für „Souveräne Clouds“, die auch auf Datenanalyseverfahren übertragbar seien.
Projekt „Polizei 20/20“ als Chance
Vor diesem Hintergrund komme dem IT-Großvorhaben „Polizei 20/20“ (P20) besondere Bedeutung zu. Es soll eine gemeinsame IT-Infrastruktur für die Polizeibehörden von Bund und Ländern schaffen. Dieses Projekt eröffne die Möglichkeit, datenschutzgerechte Analysewerkzeuge von Beginn an zu entwickeln. Besonders interessant ist dabei der Ansatz, auf offene und kontrollierbare Technologien wie Open Source zu setzen. Nach Einschätzung der DSK sind marktgängige Komplettlösungen bislang nicht geeignet, die verfassungsrechtlichen Anforderungen ohne erheblichen Anpassungsaufwand zu erfüllen.
Fazit
Die Entschließung der DSK zu automatisierter Datenanalyse durch Polizei verdeutlicht die Schnittstelle von Effizienzgewinn, Sicherheitsinteressen und Grundrechtsschutz. Die Gefahr, dass unbeteiligte Bürger in den Fokus polizeilicher Ermittlungen geraten und sogar Fehlbeschuldigungen entstehen, ist nicht zu unterschätzen. Umso wichtiger ist es, dass der Gesetzgeber spezifische, klare und verfassungskonforme Grundlagen schafft. Ebenso unverzichtbar ist es, dass sich die Polizeibehörden an den bestehenden gesetzlichen Rahmen halten. Daneben muss auch die digitale Souveränität gewahrt und Abhängigkeiten von Drittstaaten oder nicht kontrollierbaren Technologien vermeiden werden.
