Der Erste Senat des Bundesverfassungsgerichts (BVerfG) hat am 1. Oktober 2024 entschieden, dass wesentliche Bestimmungen im BKA-Gesetz (BKAG) zur Datenspeicherung und Überwachung nicht mit dem Grundrecht auf informationelle Selbstbestimmung aus Artikel 2 Abs. 1 i.V.m. Artikel 1 Abs. 1 des Grundgesetzes (GG) vereinbar sind. Dies betrifft insbesondere die Regelungen, die dem Bundeskriminalamt (BKA) die Speicherung von Daten im polizeilichen Informationsverbund erlauben.
BKA-Gesetz: Überwachungs- und Speicherungsbefugnisse auf dem Prüfstand
Die Beschwerdeführenden, zu denen Rechtsanwältinnen, ein politischer Aktivist sowie Mitglieder der organisierten Fußball-Fanszene zählen, haben sich gegen verschiedene Überwachungs- und Speicherungsbefugnisse des BKA gewandt, insbesondere:
- Die heimliche Überwachung von Kontaktpersonen zur Terrorismusabwehr (§ 45 Abs. 1 Satz 1 Nr. 4 BKAG),
- die Speicherung von Daten im polizeilichen Informationsverbund (§ 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG) sowie
- die Weiterverarbeitung personenbezogener Daten im Informationssystem des BKAs (§ 16 Abs. 1 i.V.m. § 12 Abs. 1 Satz 1 BKAG).
Der polizeiliche Informationsverbund ist eine Plattform für den föderalen Austausch von Daten zwischen den Polizeibehörden des Bundes und der Länder.
Kritikpunkte des Bundesverfassungsgerichts am BKA-Gesetz
Das Gericht stellt fest (1 BvR 1160/19), dass einige der angegriffenen Regelungen in das Grundrecht der Beschwerdeführenden auf informationelle Selbstbestimmung eingreifen. Diese Eingriffe bedürfen einer gesetzlichen Grundlage, die den verfassungsrechtlichen Anforderungen an Verhältnismäßigkeit gerecht wird.
45 Abs. 1 Satz 1 Nr. 4 BKAG regelt besondere Datenerhebungsbefugnisse des Bundeskriminalamts zur Abwehr von Gefahren des internationalen Terrorismus. Die Regelung ermächtigt das BKA zur Überwachung von Personen, die keine direkten Verdächtigen sind, aber in einem Näheverhältnis zu verdächtigen Personen stehen. Das Gericht monierte, dass die Eingriffsschwelle zu niedrig sei und nicht den Anforderungen an die Verhältnismäßigkeit entspreche. Die Überwachung von Kontaktpersonen erfordere eine hinreichende individuelle Nähe zur tatsächlichen Gefahr, die hier nicht ausreichend gegeben sei.
In seinem Urteil erklärt das Bundesverfassungsgericht: „Diese Anforderungen richten sich sowohl an das mit der Datenerhebung zu schützende Rechtsgut als auch an die vorliegend allein gerügte sogenannte Eingriffsschwelle, also den Anlass der Überwachung. Der Einsatz einer eingriffsintensiven heimlichen Überwachungsbefugnis wie der vorliegenden setzt schon gegenüber der verantwortlichen Person eine wenigstens konkretisierte Gefahr für ein hinreichend gewichtiges Rechtsgut voraus. Sollen auch Kontaktpersonen aus dem Umfeld der verantwortlichen Person mit derartigen Mitteln überwacht werden, bedarf es einer hinzutretenden spezifischen individuellen Nähe der Betroffenen zu der aufzuklärenden Gefahr. Unabhängig davon ist Voraussetzung der Überwachung von Kontaktpersonen, dass jedenfalls eine Überwachung der verantwortlichen Person mit entsprechenden Mitteln zulässig wäre. Andernfalls fehlte es bereits an einer hinreichenden aufzuklärenden Gefahr.“
Speicherung von Daten im polizeilichen Informationsverbund
Das Gericht bemängelt außerdem, dass es in § 18 Abs. 1 Nr. 2 i.V.m. § 13 Abs. 3, § 29 BKAG an einer klaren Speicherschwelle und einer angemessenen Regelung zur Speicherdauer fehlt. Eine Speicherung personenbezogener Daten müsse durch spezifische tatsächliche Anhaltspunkte gerechtfertigt sein, was im aktuellen Gesetz nicht ausreichend normiert sei. Zudem fehle ein ausgereiftes Konzept für die Speicherdauer, sodass die Löschung von Daten nicht ausreichend gewährleistet ist.
Zu dem nicht hinreichend ausdifferenzierten Regelungskonzept zur Speicherdauer erklärt das Bundesverfassungsgericht: „Nach § 75 Abs. 2 BDSG sind personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist. Zudem enthält § 75 Abs. 4 BDSG die Pflicht, angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden. Ob gespeicherte personenbezogene Daten zu löschen sind, überprüft das Bundeskriminalamt danach zuvörderst im Rahmen einer durch Gesetz oder Verordnung nicht hinreichend angeleiteten Einzelfallbearbeitung. Zwar sieht § 77 Abs. 1 Satz 1 BKAG zeitlich festgelegte Fristen für die Prüfung der Löschungspflichten vor. Allerdings genügt dies allein nicht den Anforderungen an ein durch den Gesetzgeber auszugestaltendes Regelungskonzept.“
Lese-Tipp: EuGH-Urteil zu DSGVO-Bußgeldern – welches Ermessen hat eine Datenschutzbehörde?
Weiterverarbeitung von Daten
In § 16 Abs. 1 i.V.m. § 12 Abs. 1 Satz 1 BKAG sieht das Gericht dagegen keinen Verstoß gegen das Grundgesetz. Die Weiterverarbeitung personenbezogener Daten im Rahmen der ursprünglichen Zwecke (etwa zur Terrorismusabwehr) und die bestehenden Löschungsvorgaben genügten den verfassungsrechtlichen Anforderungen.
Folgen des Urteils
Das Urteil hat weitreichende Konsequenzen für die gesetzliche Grundlage der Überwachungs- und Speicherungsbefugnisse des BKA:
Bis zum 31. Juli 2025 bleiben die betroffenen Vorschriften in Kraft, allerdings mit Maßgaben. So darf die Speicherung von personenbezogenen Daten nur erfolgen, wenn eine hinreichende Wahrscheinlichkeit besteht, dass die betroffenen Personen in Verbindung mit möglichen Straftaten stehen und die Daten wesentlich zur Verhütung oder Verfolgung beitragen können. Ebenso wird die Überwachung von Kontaktpersonen eingeschränkt, sodass sie nur bei klarer Gefahrennähe angewendet werden darf.
Der Gesetzgeber ist nun gefordert, das BKAG bis spätestens 2025 verfassungskonform zu ändern. Dies betrifft insbesondere die klare Definition von Speicher- und Eingriffsschwellen sowie die Festlegung einer angemessenen Speicherdauer.
Das Urteil stellt klar, dass Maßnahmen zur Terrorismusabwehr immer im Einklang mit dem Grundrecht auf informationelle Selbstbestimmung stehen müssen. Besonders heimliche Überwachungsmaßnahmen und die Speicherung personenbezogener Daten unterliegen strengen Anforderungen.
Quelle: Urteil des Bundesverfassungsgerichts vom 01. Oktober 2024 (1 BvR 1160/19)