Das POLAP-Urteil des Bundesgerichts und seine Vorgänger
Die polizeiliche Arbeit wird immer komplexer und während andere (sprich: die Privatwirtschaft) eher unbeschwert neue Technologien einsetzen, muss die Polizei als Vertreterin der Staatsgewalt auf die richtigen gesetzlichen Grundlagen warten. Dies braucht Zeit – das Gesetzgebungsverfahren ist notorisch langsam –, es bedarf aber auch einer gewissen Handarbeit, diese gesetzlichen Grundlagen auf das richtige Niveau (in juristischem Vokabular auf die richtige Normstufe und Normdichte) zu bringen. Das kürzlich ergangene Urteil des Bundesgerichts 1C_63/2023 vom 17. Oktober 2024 (sog. «POLAP-Urteil», zur Publikation vorgesehen) illustriert dabei dieses öffentlich-rechtliche Dilemma: Wie kann es sein, das gute Digitalisierung des Staats manchmal eines engmaschigen gesetzlichen Korsetts bedarf?
Das Bundesgericht hatte sich in den letzten Jahren zu verschiedenen kantonalen Polizeigesetzen zu äussern, bei denen es um Gesichtserkennung im öffentlichen Raum, automatisierte Fahrzeugfahndung (AFV) oder den Einsatz weiterer neuer Technologien ging. Auch der EGMR sowie auch der EuGH haben im letzten Jahrzehnt verschiedene Urteile zu (Massen-)Überwachungsthemen gefällt. In seinem neusten Urteil hatte das Bundesgericht Gelegenheit, die bisher gemachten Aussagen in einer Art «Best of» anlässlich des Polizeigesetzes des Kantons Luzern zusammenzufassen und weiterzuentwickeln. Der Kanton Luzern wollte mit einer Revision seines Polizeigesetzes die Voraussetzungen u.a. für die AFV, den Betrieb von Analysesystemen im Bereich der seriellen Kriminalität, den gemeinsamen Betrieb von Einsatzleitzentralen und den Polizeilichen Informationssystem-Verbund des Bundes und der Kantone schaffen. «POLAP» bezeichnet dabei die «Polizeiliche Abfrageplattform», also die Visualisierungsebene der «Polizeilichen Informationssystem-Verbund des Bundes und der Kantone». Auf POLAP wollen wir in diesem Post aber gar nicht in allzu viel Detail eingehen. Stattdessen wollen wir uns die Aussagen des Bundesgerichts zu digitaler Gesetzgebungstechnik anschauen.
Gesetzgebung in Digitalthemen: Ein subjektives „Best of“ des Bundesgerichts
Bedeutung des Legalitätsprinzips
Gesetzliche Grundlagen dienen dazu, Rechtssicherheit zu schaffen, uns vor Ungleichbehandlung (oder Diskriminierung) und staatlicher Willkür zu schützen und ganz allgemein in einer Demokratie, die Umsetzung des Volkswillens zu sichern: Das Volk soll sich zu wichtigen und grundlegenden Themen äussern können, und dies tut es im Gesetzgebungsverfahren des vom Volk gewählten Parlaments (und mit den politischen Rechten, die damit im Zusammenhang stehen, der Initiative und dem Referendum).
Je gewichtiger in unsere Grundrechte eingegriffen wird, desto wichtiger wird einerseits die Stufe, auf der eine Regelung erlassen wird (Normstufe – bei gewichtigen Eingriffen bedarf es eines eigentlichen Gesetzes), andererseits aber der Inhalt dessen, was die Regelung enthält (Normdichte). Bei der modernen Polizeiarbeit gelten sowohl hinsichtlich Normstufe als auch Normdichte in der Regel die höchsten Anforderungen. Das bedeutet, dass man im Staat tendenziell mehr regulieren muss, wenn man digital und vernetzt arbeiten will (sorry, but also: not sorry). Dies ist denn auch das vereinfachte Fazit aus dem hier diskutierten Urteil.
Gesetzgeberische Lektionen
Das Bundesgericht sagt Vieles in seinem lesens- und bedenkenswerten Text. Hier einige Kernaussagen:
a) Schwere Grundrechtseingriffe
Eine Technologie, die breit und anlasslos eingesetzt wird und damit auch eine gewisse Fehlerquote mit sich bringt, wie dies bei der AFV der Fall ist, bringt schwere Grundrechtseingriffe mit sich (BGE 146 I 11 E. 3.2, POLAP-Urteil, E. 3.3.1 ); «[Es] liegt ein schwerer Grundrechtseingriff jedenfalls dann vor, wenn massenhaft Daten erhoben und automatisch mit anderen Datensammlungen abgeglichen werden, wobei der Eingriff weder anlassbezogen noch aufgrund eines konkreten Verdachts erfolgt» (POLAP-Urteil, E. 3.4).
Bei automatisierten staatlichen Prozessen, bei denen viele Unbeteiligte betroffen sind, gilt ein besonders strenger Verhältnismässigkeitsmassstab (mit Bezugnahme auf das Urteil der Grossen Kammer des EGMR vom 25. Mai 2021 i.S. Centrum för Rättvisa gegen Schweden, sowie BGE 149 I 218 E. 8, POLAP-Urteil, E. 3.3.2).
Bei solch schweren Grundrechtseingriffen bedarf es formellgesetzlicher Grundlagen (d.h. Gesetze, keine Verordnungen), die die Grundzüge zu Folgendem enthalten:
- Die Reichweite des Datenabgleichs muss im Gesetz eingegrenzt werden, damit man verstehen kann, was wie erhoben und kombiniert wird;
- Die systematische Datenerfassung und – aufbewahrung muss von angemessenen und wirkungsvollen rechtlichen Schutzvorkehrungen begleitet werden, um Missbrauch und Willkür vorzubeugen;
- Kontrollmassnahmen und ein adäquater Rechtsschutz sind ebenfalls vorzusehen.
Hat die Behörde vor, eine Regelung nur einschränkend umzusetzen, sollte diese Einschränkung direkt im Gesetz aufgenommen werden: Werden nur bestimmte Daten überhaupt angeschaut, nämlich solche, bei denen ein Abgleich mit vermissten Personen und Objekten einen Treffer hervorgebracht hat, ist dies im Gesetz zu verankern (POLAP-Urteil, E. 3.6.1). Sonst ist das Gesetz zu breit und kann seine Funktion des Schutzes vor Willkür nicht erfüllen. Die Speicherung von Daten, die keine Treffer beim Abgleich mit vermissten Personen und Objekten hervorgebracht haben («No-Hits»), während 100 Tagen ist zudem unverhältnismässig (POLAP-Urteil, E. 3.6.3).
b) Komplexe algorithmische Systeme und Data mining
Will man komplexe algorithmische Systeme einsetzen, um staatliche Aufgaben erfüllen zu dürfen, so reicht es nicht, im Gesetz lediglich von «Analysesystemen» zu schreiben, die Art und Weise der Analyse ist zu regeln (POLAP-Urteil E. 4.5). Dabei gibt das Bundesgericht folgende Leitplanken mit auf den Weg:
- Data mining bringt grundsätzlich schwere Grundrechtseingriffe mit sich, weil:
- Viele Daten genutzt werden (u.U. auch sehr sensible Personendaten);
- Ein grosser Personenkreis betroffen ist;
- Der Zweck der Datenbearbeitung geändert werden kann;
- Umfangreiche Persönlichkeitsprofile erstellt werden.
- Die Risiken komplexer algorithmischer Systeme verlangen nach einer formellgesetzlichen Grundlage des Einsatzes dieser Systeme; das Bundesgericht sieht dabei primär
folgende Risiken:- Fehlende Nachvollziehbarkeit und Kontrollierbarkeit:
- Diskriminierung;
- Rückkoppelungseffekte.
- Sehr spannend ist dabei, dass das Bundesgericht sich für die Bewertung der Risiken auf den AI Act der EU bezieht, der den Einsatz von biometrischen Fernidentifizierungssystemen der vorgängigen Genehmigung unterstellt und der die Echtzeit-Fernüberwachung öffentlicher Räume grundsätzlich verbietet. Den AI Act im Gesetzgebungsverfahren als Inspiration für Schutzmechanismen zu nehmen, hatten auch wir hier vorgeschlagen.
- Will der Staat automatisierte Gesichtserkennungstechnologie und andere intelligente Analysesysteme einsetzen, sind dafür die formellen und materiellen Voraussetzungen explizit zu regeln – d.h.
- Zu welchen Zwecken und für welche Delikte darf die Technologie eingesetzt werden?
- Wer hat den Einsatz zu bewilligen?
- Wer hat Zugriffsberechtigungen und wer erteilt sie?
- Wann ist zu löschen?
- Mit welchen Datenbanken darf ein Abgleich stattfinden? Die Formulierung, wonach Daten «mit Polizeibehörden des Bundes und anderer Kantone im Abrufverfahren» ausgetauscht werden können, ist zu unbestimmt und reicht nicht aus, selbst wenn die Bestimmung auf «Polizeibehörden» eingegrenzt ist.
c) Grenzen unkoordinierter Gesetzgebung
Zuletzt äussert das Bundesgericht grundsätzlich Bedenken, ob es überhaupt möglich ist, einen Verbund an Informationssystemen von Kantonen und des Bundes via eine „Vielzahl von – u.U. divergierenden – kantonalrechtlichen Regelungen zielführend und praktikabel“ umzusetzen (POLAP-Urteil, E. 6.5). Die Konferenz der Kantonsregierungen bzw. ihre sektoriellen Vereinigungen dürften damit in Zukunft in solchen Themen gefragt sein und entweder (noch) mehr Konkordate erarbeiten oder Muster-Gesetzestexte zur Verfügung stellen.
Würdigung
Das Bundesgericht stellt hohe Anforderungen auf. Es tut dies angesichts der grundlegenden Bedeutung des Legalitätsprinzips aber zurecht. Damit kommt weiterhin viel Arbeit auf den Bund und die Kantone zu. Diese Arbeit wird in einem stark föderalen Staat wie die Schweiz potenziert, weil nicht eine, sondern 27 verschiedene Regelungen desselben Sachverhalts erforderlich sind. Umso lohnenswerter ist es, die Schaffung oder Anpassung der gesetzlichen Grundlagen bei jedem Digitalisierungsprojekt von Anfang an zu Herzen zu nehmen und diesem Aspekt die nötigen Ressourcen zuzuteilen.
Image credit: ev on unsplash.com