Datenschutzkonferenz fordert strenge Regeln für polizeiliche Datenanalysen

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) drängt auf eine verfassungskonforme Ausgestaltung automatisierter Datenanalysen bei der Polizei. In einer Entschließung, die auf der Zwischenkonferenz am 17. September 2025 verabschiedet wurde, mahnt die DSK konkrete gesetzliche Grundlagen an. Hintergrund ist die Debatte um eine mögliche bundesweite Einführung komplexer Analysetools in Polizeibehörden.

Bisherige Verfahren könnten auch unschuldige Menschen betreffen. "Es besteht die Gefahr, dass Menschen unbegründet ins Visier polizeilicher Ermittlungen geraten. Deshalb braucht es klare gesetzliche Regeln", erklärte Meike Kamp, die Berliner Datenschutzbeauftragte und derzeitige Vorsitzende der Datenschutzkonferenz.

"Die bisher bekannten Datenanalyseverfahren, die einige Landespolizeibehörden bereits einsetzen, können grundsätzlich alle Menschen betreffen, ohne dass sie durch ihr Verhalten einen Anlass für polizeiliche Ermittlungen gegeben hätten", heißt es von der DSK, die damit höchstwahrscheinlich Palantir meint. "Aus der Verknüpfung großer Datenmengen können neue Erkenntnisse entstehen", sagt Kamp.

Das Bundesverfassungsgericht hatte bereits 2023 klargestellt, dass Polizeibehörden "solche einschneidenden Verfahren nur bei sehr schwerwiegenden Rechtsgutsverletzungen und im Rahmen sehr enger Verfahrensbestimmungen einsetzen [dürfen]". Laut DSK genügen die bestehenden Rechtsgrundlagen diesen Maßstäben bisher nicht. Bei automatisierten Analysen erinnert die DSK an damit einhergehende erhebliche Grundrechtsrisiken – sie sollen daher nur in eng begrenzten Ausnahmefällen zulässig sein. In der Praxis fehlt es oft an der Einhaltung der bestehenden rechtlichen Vorgaben, weshalb die Gesellschaft für Freiheitsrechte kürzlich eine Verfassungsbeschwerde "gegen massenhafte Datenauswertung durch Polizei in Bayern" erhoben hat. Die Grenzen für automatisierte Datenanalysen werden durch die dortige Polizei nicht eingehalten, hieß es von GFF zur Beschwerde.

"Bei den Regelungen der KI-Verordnung geht es in erster Linie um Produktsicherheit. Die Einstufung eines Produkts als 'sicher gemäß der KI-Verordnung' bedeutet noch nicht, dass es grundrechtskonform für polizeiliche Ermittlungen eingesetzt werden kann. Geht es um die Verarbeitung personenbezogener Daten, bleibt das Datenschutzrecht neben der KI-Verordnung anwendbar. Außerdem: Nicht jede komplexere Analysesoftware fällt automatisch in den Anwendungsbereich der KI-Verordnung und wenn sie es tut, ist nicht jede Funktionalität eine verbotene Praktik nach Artikel 5 KI-Verordnung. Auch die Frage, welche Anwendungsszenarien als hochriskant nach der KI-Verordnung einzustufen sind, muss je nach Ausgestaltung der Software bewertet werden", teilte die Berliner Datenschutzbeauftragte auf die Frage, warum Regulierungen wie der AI Act nicht vor derartigen Praktiken schützen.

P20 als Chance

Neben den rechtlichen Vorgaben verweist die Konferenz auch auf die digitale Souveränität: Polizeidaten dürften nicht von Systemen abhängen, die Zugriffe aus unsicheren Drittstaaten zulassen. Chancen sieht die DSK im IT-Projekt "Polizei 20/20" (P20), das eine gemeinsame Infrastruktur von Bund und Ländern schaffen soll – gegebenenfalls auf Basis transparenter Open-Source-Lösungen.

Neben der Polizeidatenanalyse befasste sich die Konferenz mit Fragen zu Datenübermittlungen in der internationalen Gesundheitsforschung sowie mit der Reform der Datenschutz-Grundverordnung (DSGVO). Für die Datenübermittlung an Drittländer für die wissenschaftliche Forschung zu medizinischen Zwecken hat die DSK eine Orientierungshilfe beschlossen (PDF), da regelmäßig Fragen zur Thematik aufkommen. "Wenn Gesundheitsdaten in Drittländer übermittelt werden, müssen bestimmte Maßnahmen zur Wahrung der Rechte der Betroffenen getroffen werden. Mit der Orientierungshilfe stellt die Datenschutzkonferenz klar, wann eine Verarbeitung zu Forschungszwecken zulässig ist und welche Instrumente für eine Übermittlung solcher Daten in Drittländer zur Verfügung stehen. In jedem Fall müssen die Betroffenen informiert werden", erklärt Kamp, daher hat die DSK auch Empfehlungen für Informationspflichten veröffentlicht.

(mack)