Bundesverfassungsgericht, Urteil vom 16.02.2023, Az. 1 BvR 1547/19, 1 BvR 2634/20

Die [X.] betreffen landesrechtliche Ermächtigungen der Polizei zur automatisierten Datenanalyse oder -auswertung.

Die beiden weitgehend gleichlautenden Regelungen in § 25a des [X.] über die öffentliche Sicherheit und Ordnung ([X.]) in der Fassung des [X.]esetzes zur Neuausrichtung des Verfassungsschutzes in [X.] vom 25. Juni 2018 ([X.]VBl [X.] S. 302) und in § 49 des [X.] über die Datenverarbeitung der Polizei (im Folgenden: HmbPolDV[X.]) in der Fassung des [X.]esetzes über die Datenverarbeitung der Polizei und zur Änderung weiterer polizeirechtlicher Vorschriften vom 12. Dezember 2019 ([X.]VBl [X.] S. 485) schaffen vor dem Hintergrund erweiterter technischer Möglichkeiten, Informationstechnologie auch in der polizeilichen Arbeit zu nutzen, eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in [X.] zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen, um die polizeiliche Aufgabenerfüllung auf diese Weise zu erleichtern und zu verbessern ([X.], [X.]; s. auch [X.] [X.], [X.]0).

Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällenzur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 StPO (Alternative 1) oder zur Abwehr von [X.]efahren für bestimmte Rechtsgüter (Alternative 2) gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse ([X.]) oder einer Datenauswertung ([X.]) weiter zu verarbeiten. Auf diese Weise können nach Absatz 2 der jeweiligen Regelung insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden. Verwandte Ermächtigungen für die Sicherheitsbehörden, die thematisch enger gefasst sind, bestehen auf [X.]ebene, werden aber bislang nicht genutzt (§ 7 des [X.] einer standardisierten zentralen Datei von Polizeibehörden und Nachrichtendiensten von [X.] zur Bekämpfung des gewaltbezogenen Rechtsextremismus und § 6a des [X.] einer standardisierten zentralen [X.] von Polizeibehörden und Nachrichtendiensten von [X.], [X.] - [X.]; dazu [X.] 156, 11 - [X.] II).

1. Die am 4. Juli 2018 in [X.] getretene, im Verfahren 1 BvR 1547/19 angegriffene Regelung des § 25a [X.] hat folgenden Wortlaut:

2. Der seit dem 24. Dezember 2019 gültige, im Verfahren 1 BvR 2634/20 angegriffene § 49 HmbPolDV[X.] lautet wie folgt:

Mit § 25a [X.] wurde erstmals eine landesrechtliche Befugnis zur automatisierten Datenanalyse geschaffen. Der [X.] [X.]esetzgeber griff damit eine in [X.] bereits etablierte polizeiliche Praxis auf. Von den Befugnissen des § 25a [X.] wird jährlich tausendfach [X.]ebrauch gemacht. § 49 HmbPolDV[X.] wurde § 25a [X.] mit kleinen Abweichungen nachgebildet, wird aber bislang nicht angewendet.

1. Bereits 2017 hatte [X.] das Programm "[X.]" vom Software-Unternehmen [X.] erworben und unter dem Namen "[X.]" eingesetzt. Der [X.]gesetzgeber entschied sich 2018, hierfür eine eigene Rechtsgrundlage zu schaffen, um insbesondere dem Recht auf informationelle Selbstbestimmung Rechnung zu tragen ([X.], [X.]).

In der Begründung des [X.]esetzentwurfs zu § 25a [X.] wird darauf verwiesen, dass ohne den Rückgriff auf derartige automatisierte Anwendungen wegen eines unverbundenen Nebeneinanders zahlreicher automatisierter Verfahren, Daten und Informationssysteme mit unterschiedlichen Zweckbindungen, Nutzerkreisen, [X.]en und [X.] wesentliche Anhaltspunkte für [X.]efahren und bevorstehende Straftaten in der aktuellen "IT-Struktur" der Polizei verborgen blieben; insbesondere im Verlauf der bundesweiten Mordserie der "[X.] hätten sich Probleme im Informationsfluss gezeigt. Die Einrichtung und Nutzung eines automatisierten "Analysetools" könne die polizeiliche Aufgabenerfüllung erheblich erleichtern und verbessern. Eine umfassende Analyse der verfügbaren Daten sei gerade für die Bekämpfung schwerer Straftaten geboten. Die Polizei könne so über die bisherigen Erkenntnismöglichkeiten hinaus Zusammenhänge sowie Handlungsmuster und damit auch künftiges strafbares oder gefährliches Verhalten von Personen erkennen und geeignete präventive Maßnahmen treffen ([X.], [X.] f.).

§ 25a [X.] regele die automatisierte Analyse bereits rechtmäßig erlangter personenbezogener Daten. Die allgemeinen Regelungen des § 20 [X.] zur Datenweiterverarbeitung, zur Zweckbindung, zum [X.]rundsatz der hypothetischen Datenneuerhebung und besondere Verwendungsregelungen seien zu beachten. Welche Datenbestände für die Datenanalyse erforderlich seien, müsse im Hinblick auf den jeweiligen Analysezweck geprüft und gegebenenfalls über Zugriffsberechtigungen definiert werden ([X.], [X.]).

Auf [X.]rundlage der am 4. Juli 2018 in [X.] getretenen Regelung hat es nach Auskunft des [X.] Innenministers bis Juni 2019 fünf "generelle phänomenbezogene Anordnungen" gemäß § 25a Abs. 3 [X.] gegeben. Im Schwerpunkt erfolge ein Einsatz des [X.] zur Abwehr terroristischer [X.]efahren bei Staatsschutzdienststellen sowie zur Bekämpfung der organisierten Kriminalität und der schweren Kriminalität([X.], [X.] f.). Weitere Anordnungen nach § 25a Abs. 3 [X.] hat es nach Auskunft des [X.] Beauftragten für Datenschutz und Informationsfreiheit seit 2019 nicht mehr gegeben; [X.] werde derzeit auf [X.]rundlage der ersten fünf Anordnungen genutzt.

Der [X.] Innenminister hat außerdem berichtet, die Analyseplattform greife automatisiert auf die drei Datenbanken [X.] (polizeiliches Auskunftssystem für "repressive" Daten), [X.] (Vorgangsbearbeitungssystem für sämtliche Verfahren) und [X.] (Fallbearbeitungssystem zur Speicherung "präventiver" Daten für künftige Ermittlungsverfahren) zu ([X.], [X.]). Die relevanten Daten würden dabei automatisiert auf die Analyseplattform übertragen; sie würden in regelmäßigem Abstand synchronisiert, was auch die Einhaltung der [X.] ([X.], [X.]). Als weitere Datenquellen würden die Verkehrsdaten aus Telekommunikationsüberwachung und aus Abfragen (auch [X.]) bei den Telekommunikationsanbietern genutzt. Außerdem würden sogenannte "forensische Extrakte", also etwa polizeilich beschlagnahmte Mobiltelefone, ausgewertet. Hinzu kämen Daten aus polizeilichen Fernschreiben, einer Art E-Mailsystem, in dem die Polizei hessenweit Informationen austausche ([X.], [X.]8 f.). [X.] anderer Länder, des [X.] oder anderer [X.] sowie öffentliche und andere nicht öffentliche Quellen seien nicht automatisiert eingebunden, könnten aber im Rahmen der gesetzlichen Möglichkeiten angefordert und dann integriert und ausgewertet werden. [X.]leiches gelte im Einzelfall auch für Daten aus präventivpolizeilichen und strafprozessualen Ermittlungsmaßnahmen wie etwa der Telekommunikations- oder der Wohnraumüberwachung sowie - unter der Voraussetzung eines vorherigen richterlichen Beschlusses - für die Daten aus [X.] Netzwerken. Ein direkter Zugriff auf [X.] Netzwerke bestehe nicht, da aus Sicherheitsgründen vom [X.] nicht direkt auf das [X.] zugegriffen werde. Daten des [X.]amts für Verfassungsschutz oder der [X.] würden nicht genutzt (zu allem [X.], [X.] f.; [X.], [X.]8 f.).

Die Analyseplattform [X.] sei in das Netz der Polizei eingebunden und bei Bedarf von jedem Arbeitsplatz aus in [X.] technisch erreichbar. Ein Zugriff auf die gespeicherten Datensätze und deren Nutzung sei allerdings ausschließlich durch dafür gesondert geschultes Personal der Polizei möglich. Es handele sich im Schwerpunkt um Ermittelnde der Kriminalpolizei. Der Zugriff auf die Daten sei durch ein Rollen- und Rechtekonzept geregelt. Die Nutzer der Analyseplattform seien verschiedenen [X.]ruppen zugeordnet, welche jeweils unterschiedliche Zugriffsrechte auf den analysierbaren, integrierten Datenbestand hätten. Die Einteilung der Nutzergruppen in der Analyseplattform erfolge automatisiert über die Zugehörigkeit der Mitarbeitenden zu ihrer Organisationseinheit ([X.], [X.]). In der mündlichen Verhandlung wurde durch das [X.] Ministerium des Innern und für Sport dargelegt, dass derzeit insgesamt 2.099 Personen Zugriff auf [X.] hätten. Die Plattform werde pro Jahr in ungefähr 14.000 Fällen genutzt, davon in 2.000 Fällen nach § 25a Abs. 1 Alt. 2 [X.], also zur Abwehr von [X.]efahren, und in 12.000 Fällen nach § 25a Abs. 1 Alt. 1 [X.], also zur vorbeugenden Bekämpfung bestimmter Straftaten.

2. In [X.] trat § 49 HmbPolDV[X.] als Teil des durch das [X.]esetz über die Datenverarbeitung der Polizei und zur Änderung weiterer polizeirechtlicher Vorschriften ([X.]VBl [X.] S. 485) neu geschaffenen [X.] über die Datenverarbeitung der Polizei am 24. Dezember 2019 in [X.]. Seine Entwurfsfassung orientierte sich stark an § 25a [X.]. Abweichend bestimmt war von Anfang an, dass es sich bei den gespeicherten personenbezogenen Daten nach Absatz 1 um in "polizeilichen Dateisystemen" gespeicherte Daten handeln muss, während § 25a [X.] schlicht von gespeicherten Daten spricht. Der Entwurf wurde im Rahmen des [X.]esetzgebungsverfahrens nach einer umfangreichen Anhörung sachverständiger Auskunftspersonen ([X.] [X.]) geändert. Der [X.]er Innensenator erklärte, man plane kein mit der Rasterfahndung vergleichbares Instrument, sondern eher eine Art qualifizierten Datenabgleich ([X.] [X.], [X.] f., 32). Zudem seien nach ausführlicher Prüfung ein "predictive policing" oder die Anschaffung der hierfür erforderlichen Softwareprodukte nicht geplant. Es gehe vielmehr um eine erweiterte einzelfallbezogene Recherchemöglichkeit und die Möglichkeit, umfassender in den vorhandenen Systemen nach Treffern, Übereinstimmungen und Beziehungen zwischen unterschiedlichen Sachverhalten, die sonst vielleicht nicht sofort auff[X.], suchen zu können, "einfach das, was sozusagen früher der Kriminalbeamte oder der Sachbearbeiter" gemacht habe. Man versuche, so viele Informationen wie möglich zu einem Sachverhalt zusammenzutragen und dann Strukturen, Beziehungen und Übereinstimmungen herzustellen und daraus Schlüsse zu ziehen ([X.] [X.], [X.]5).

Im [X.]esetz wurde das in der Entwurfsfassung noch wie in der [X.]n Regelung verwendete Wort "Datenanalyse" durch das Wort "Datenauswertung" ersetzt, was insbesondere der Klarstellung dienen sollte, dass keine Systeme zum Einsatz kommen, die über den Einsatz von intelligenten, möglicherweise selbstlernenden Algorithmen selbstständig inhaltliche Bewertungen vornehmen ([X.] [X.] 21/40, Anlage 1, [X.]). Zudem wurde eine spezielle Berichtspflicht des [X.]er Senats gegenüber der [X.] eingeführt (§ 75 Sätze 1 und 2 HmbPolDV[X.]).

Die Freie und Hansestadt [X.] hat bislang nach eigenem Bekunden keine Versuche unternommen, eine [X.] vergleichbare Plattform zu errichten ([X.] Drucks 22/1758, [X.] f.). Auch nach Abschluss eines Rahmenvertrags zwischen dem [X.] und dem Unternehmen [X.], der es anderen Ländern erlaubt, das ausgewählte Produkt, eine verfahrensübergreifende Recherche- und Analyseplattform ([X.]), ohne Vergabeverfahren selbstständig abzurufen, hat [X.] über deren Einführung bislang keine Entscheidung getroffen ([X.] Drucks 22/7701, [X.] f.).

Die Beschwerdeführenden des Verfahrens 1 BvR 1547/19 haben ihre Verfassungsbeschwerde am 2. Juli 2019 erhoben und mit Schriftsätzen vom 10. Mai 2021 und vom 23. September 2022 ergänzt. Die Verfassungsbeschwerde im Verfahren 1 BvR 2634/20 ist am 20. November 2020 eingegangen und wurde durch Schriftsätze vom 21. Dezember 2020 und vom 5. September 2022 ergänzt. Nach teilweiser Rücknahme weiterer [X.] durch die Beschwerdeführenden und infolge der [X.] des Senats vom 8. November 2022 sind hier allein die Regelungen des § 25a [X.] und des § 49 HmbPolDV[X.] Verfahrensgegenstände.

In beiden Verfahren rügen die Beschwerdeführenden mit ähnlichem Vorbringen, § 25a [X.] beziehungsweise § 49 HmbPolDV[X.] griffen unverhältnismäßig in ihr [X.]rundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 [X.][X.]) ein. Soweit auch personenbezogene Daten aus Wohnraum- oder Telekommunikationsüberwachung in die Datenanalyse oder -auswertung einbezogen würden, seien überdies das [X.]rundrecht auf Unverletzlichkeit der Wohnung aus Art. 13 Abs. 1 [X.][X.] und das Fernmeldegeheimnis nach Art. 10 Abs. 1 [X.][X.] verletzt. Im Verfahren 1 BvR 1547/19 machen die Beschwerdeführenden zudem für den Fall einer Einbeziehung von durch [X.] erhobenen Daten eine Verletzung der durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] geschützten Vertraulichkeit und Integrität informationstechnischer Systeme geltend. In beiden [X.] wird ferner vorgetragen, aufgrund von Mängeln der angegriffenen Regelungen und ihrer [X.] liege auch eine Verletzung des [X.]rundrechts auf effektiven Rechtsschutz aus Art. 19 Abs. 4 [X.][X.] vor.

Die Beschwerdeführenden sind der Ansicht, aus der besonderen [X.] der Ermächtigungen zur Verarbeitung personenbezogener Daten mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung ergäben sich besondere Rechtfertigungsanforderungen. Den nach § 25a [X.] und § 49 HmbPolDV[X.] möglichen Maßnahmen komme eine ganz andere Qualität zu als einer bloßen weiteren Nutzung personenbezogener Daten, für die der [X.]rundsatz der hypothetischen Datenneuerhebung als Maßstab genüge. Die schärferen Anforderungen seien durch die angegriffenen Regelungen nicht erfüllt.

Die hinsichtlich der eingesetzten Methoden offene Ermächtigung zur verdeckten Datenverarbeitung ohne Begrenzung von [X.] und [X.] erlaube die Erstellung von Persönlichkeits- und [X.]n. Aufgrund der technischen Entwicklung ergäben sich neue, [X.]e Möglichkeiten der Herstellung von Verknüpfungen und der Erzeugung neuer Informationen, wobei auch der Einsatz komplexer Algorithmen und lernfähiger Systeme in Betracht komme. Soweit personenbezogene Daten aus der Wohnraum- oder Telekommunikationsüberwachung oder aus einer [X.] einflössen, erhöhe sich wegen des [X.] der Daten das [X.]ewicht des Eingriffs. Die Begrenzung auf bestehende polizeiliche Datenbestände schränke den möglichen Zugriff nicht hinreichend ein, da solche Bestände unter relativ geringen Anforderungen erweitert werden könnten. Weil von der Datenanalyse oder -auswertung in großer Zahl Menschen erfasst seien, die hierfür keinen Anlass gegeben hätten, könnten die Maßnahmen enorme Streubreite haben. Ein besonderes Risiko ergebe sich insoweit aus dem Zugriff auf Daten aus polizeilichen [X.]sdatenbanken.

Datenanalysen und -auswertungen nach den angegriffenen Regelungen müssten einem herausragenden öffentlichen Interesse dienen und dürften daher nur zum Schutz von besonders gewichtigen Rechtsgütern wie Leib, Leben oder Freiheit der Person sowie Bestand oder Sicherheit des [X.] oder eines [X.] zugelassen werden. Für diese müsse eine mindestens konkretisierte [X.]efahr bestehen. Für Maßnahmen nach der ersten Alternative des § 25a Abs. 1 [X.] und des § 49 Abs. 1 HmbPolDV[X.] sei aber keine insofern ausreichende [X.] geregelt. Der in Bezug genommene Straftatenkatalog des § 100a Abs. 2 StPO umfasse zudem [X.]efährdungstatbestände, die Handlungen im Vorfeld einer Rechtsgutsverletzung kriminalisierten und teilweise die Strafbarkeit erheblich vorverlagerten. Auch würden nicht durchgängig hinreichend gewichtige Rechtsgüter vorausgesetzt. Der nach § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] relevante Katalog des § 100a Abs. 2 StPO enthalte auch Straftaten, deren Schutzgüter nicht gewichtig genug seien, zumal der insoweit einschränkende § 100a Abs. 1 Satz 1 Nr. 2 StPO hier keine Anwendung finde.

Die Beschwerdeführenden sind zudem der Ansicht, dass den angegriffenen Regelungen keine ausreichenden Verfahrenssicherungen in Bezug auf Transparenz, Rechtsschutz und Kontrolle zur Seite gestellt seien. Insoweit beanstanden sie, dass die Regelungen weder Benachrichtigungspflichten noch ein Auskunftsrecht enthielten. Auch die gesetzlichen Vorgaben für die Aufsicht seien ungenügend. Angesichts der [X.] sei ein Richtervorbehalt oder jedenfalls eine Ausweitung der Befugnisse der Datenschutzbehörde sowie eine vollständige Protokollierung erforderlich. Zudem fehlten eingrenzende Vorgaben zur Dauer der Maßnahme, zur Löschung und zur Anwendung der aus den [X.]rundsätzen der Zweckbindung und -änderung resultierenden Beschränkungen.

Im Verfahren 1 BvR 2634/20 machen die Beschwerdeführenden zudem Ausführungen zu besonderen rechtsstaatlichen Herausforderungen der möglichen Verwendung komplexer Algorithmen und (teil-)autonomer Datenverarbeitungssysteme, bei deren Einsatz effektiver Rechtsschutz nur zu gewährleisten sei, wenn eine wirksame technische Vorab- und Dauerkontrolle durch eine unabhängige Instanz erfolge. Bei den nach § 49 HmbPolDV[X.] möglichen komplexen Analysen seien außerdem Vorkehrungen zur Sicherung ihrer Mindestqualität erforderlich.

Im Verfahren 1 BvR 1547/19 haben die [X.] Staatskanzlei und der [X.] Beauftragte für Datenschutz und Informationsfreiheit, im Verfahren 1 BvR 2634/20 die Behörde für Justiz und Verbraucherschutz der Freien und Hansestadt [X.] und der [X.]ische Beauftragte für Datenschutz und Informationsfreiheit Stellung genommen. Der [X.]beauftragte für den Datenschutz und die Informationsfreiheit hat in beiden Verfahren Stellungnahmen abgegeben.

1. Die [X.] Staatskanzlei hält die Verfassungsbeschwerde im Verfahren 1 BvR 1547/19 bereits für unzulässig. Sie scheitere aus [X.]ründen der Subsidiarität. Außerdem sei die Beschwerdebefugnis nicht ausreichend dargelegt. Die Beschwerdeführenden setzten sich nur unzureichend mit den bislang noch nicht geklärten Möglichkeiten der Auslegung des § 25a [X.] in Zusammenschau mit weiteren Normen auseinander.

Sie verfehlten die Substantiierungsanforderungen aber auch deshalb, weil sie von vornherein von einem zu hohen Eingriffsgewicht ausgingen. Die Datenanalyse sei auf den rechtmäßigen polizeilichen Datenbestand beschränkt. Es würden lediglich vorhandene Daten sowie die darin erfassten Verbindungen nachvollziehbar zusammengeführt und dargestellt. Da eine Erhebung durch die Polizei und eine Speicherung in ihren Datenbanken nach den gesetzlichen Vorgaben erfolgt sein müsse, sei auch nicht eine unbegrenzte Zahl von Personen betroffen, die noch nie anlassbezogen polizeilich erfasst worden seien. Die Integration von Daten aus öffentlich zugänglichen [X.] Netzwerken in das nicht an das [X.] angeschlossene Analysesystem [X.] könne nur manuell unter Beachtung der datenschutzrechtlichen Bestimmungen vorgenommen werden. Es gehe nicht um umfassende Persönlichkeitsbilder und [X.], sondern allein um die Effektivierung und Beschleunigung der Datenverarbeitung innerhalb eines klar definierten [X.]. Ein datenschutzrechtliches Sonderregime sei für die Durchführung der Datenanalyse nach § 25a [X.] nicht erforderlich, da die verfassungsrechtlichen Vorgaben durch die anwendbaren sonstigen Regelungen umgesetzt würden; hiermit hätten sich die Beschwerdeführenden nicht vertieft auseinandergesetzt.

Mit § 25a [X.] werde kein flächendeckend verfügbares Instrument geschaffen. Die Befugnis dürfe nur in begründeten Einzelfällen und unter Berücksichtigung des allgemeinen Verhältnismäßigkeitsgebots in Anspruch genommen werden. Die Nutzung zur vorbeugenden Bekämpfung von Straftaten setze tatsächliche Anhaltspunkte für die potenzielle Begehung einer Straftat voraus. Dabei wirke sich die Notwendigkeit eines Verdachts von schweren Straftaten nach § 100a Abs. 2 StPO zusätzlich gefahrerhöhend aus. Die Anforderungen an die [X.]efahrenprognose sänken, je höherwertig das durch die Straftat zu schützende Rechtsgut sei, so dass in aller Regel jedenfalls ein Anfangsverdacht für die Erforderlichkeit einer Datenanalyse nach § 25a Abs. 1 [X.] genüge. Bei der zweiten Anwendungsalternative werde hinreichend bestimmt eine konkrete [X.]efahr für die benannten Schutzgüter verlangt.

Auch die Beanstandung der Regelungen zur [X.]ewährleistung von Transparenz, Rechtsschutz und Kontrolle sei nicht hinreichend substantiiert. Die gesetzlichen Informations-, Benachrichtigungs- und Auskunftspflichten nach § 29 [X.] in Verbindung mit §§ 50 bis 52 des [X.] Datenschutz- und Informationsfreiheitsgesetzes ([X.]) fänden auf § 25a [X.] ebenso Anwendung wie die Protokollpflichten nach § 71 [X.] sowie die Berichtigungs-, Lösch- und Verarbeitungseinschränkungspflichten nach § 27 [X.] in Verbindung mit §§ 53, 70 [X.]. Dementsprechend sei für [X.] ein Löschkonzept mit umfangreichen Löschroutinen entwickelt worden, dessen Inhalte im Rahmen vorab stattfindender Schulungen und durch Unterlagen vermittelt würden. Der von den Beschwerdeführenden angeführten [X.]efahr eines missbräuchlichen Zugriffs durch beliebige Polizistinnen und Polizisten werde mit den Vorgaben des [X.] Datenschutz- und Informationsfreiheitsgesetzes - insbesondere zur Sicherheit der Datenverarbeitung, zur Durchführung der Datenschutz-Folgenabschätzung und zur vorherigen Konsultation des [X.] Datenschutzbeauftragten - begegnet. Es seien zudem nach § 65 [X.] ein Verzeichnis von Verarbeitungstätigkeiten anzufertigen, und nach § 59 Abs. 1 Satz 1 und § 66 [X.] seien Maßnahmen zur [X.]ewährleistung eines - unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen - dem Risiko angemessenen Schutzniveaus zu treffen. In Abstimmung mit dem [X.] Datenschutzbeauftragten seien für [X.] in einem die genannten [X.]rundsätze berücksichtigenden Rechte- und Rollenkonzept Nutzerkreise und strenge Nutzungsbedingungen festgelegt worden. Danach könne lediglich ein beschränkter Benutzerkreis in sachlich zuständigen Organisationsbereichen nach entsprechender Schulung, Belehrung und Freischaltung innerhalb des jeweiligen Zuständigkeitsbereichs die Analyseplattform nutzen.

Eine wirksame Aufsicht sei gewährleistet. Dem Datenschutzbeauftragten kämen über die in § 25a Abs. 3 Satz 2 [X.] vorgesehene Einbindung hinaus seine Rechte aus § 14 [X.] zu, wozu etwa das Recht der Beanstandung, der Anordnung von Abhilfemaßnahmen oder der Warnung zähle. Damit korrespondiere die Verpflichtung öffentlicher Stellen nach § 14 Abs. 4 Satz 1 [X.], den Datenschutzbeauftragten bei seinen Aufgaben zu unterstützen, was sich vor allem in der Pflicht zur Kooperation bei Ausübung der ihm zugewiesenen Untersuchungsbefugnisse - auch in Hinblick auf Verarbeitungsvorgänge inklusive der hierzu verwendeten Software - manifestiere. In Ergänzung dazu verpflichte § 63 [X.] zur proaktiven Zusammenarbeit mit dem [X.] Datenschutzbeauftragten; § 64 [X.] sehe zudem bei Inbetriebnahme neuer Verarbeitungsvorgänge und bei wesentlichen Veränderungen bestehender Dateisysteme mit erheblichem [X.]efährdungspotenzial die Pflicht der für den Datenschutz verantwortlichen Stelle vor, sich an den [X.] Datenschutzbeauftragten zu wenden und diesen anzuhören.

2. Der [X.] Beauftragte für Datenschutz und Informationsfreiheit berichtet über Schlussfolgerungen, die er vor dem Hintergrund seiner Prüftätigkeit im Hinblick auf die praktische Anwendung von [X.] gezogen habe, und gelangt zu der Einschätzung, § 25a [X.] sei verfassungswidrig.

Die [X.]n seien gemessen am Eingriffsgewicht nicht bestimmt genug beziehungsweise zu weit gefasst. Die beiden tatbestandlichen Alternativen bereiteten Schwierigkeiten bei der Definition eines klaren Anwendungsbereichs. Da die erste Alternative der vorbeugenden Bekämpfung von Straftaten die Anwendung weit ins [X.]efahrenvorfeld ziehe, in dem die [X.]renzen von [X.]efahrenabwehr und Strafverfolgung verschwömmen, drohe eine Umgehung der Strafprozessordnung, in der eine vergleichbare Rechtsgrundlage fehle. Es bestehe die Möglichkeit, dass der für die Weiterverarbeitung personenbezogener Daten erforderliche Ermittlungsansatz schon in den tatsächlichen Anhaltspunkten für das Vorliegen einer Straftat oder im Anfangsverdacht für eine Straftat nach § 100a Abs. 2 StPO gesehen und damit bereits eine Nutzung der Anwendung zu präventiven Zwecken begründet werde.

Wegen der Eingriffstiefe des sogenannten "[X.]" sei die [X.] des § 25a Abs. 1 Alt. 1 [X.] nicht hinreichend qualifiziert. Zu fordern sei eine hinreichend konkretisierte [X.]efahr. Zu einer Einhegung der Anwendungsfälle im [X.]efahrenvorfeld tauge auch das Tatbestandsmerkmal "begründeter Einzelfall" nicht, weil § 25a Abs. 1 Alt. 1 [X.] hierzu keine weiteren Anhaltspunkte enthalte und sich auch aus den gesetzlichen Protokollierungspflichten keine weitere Konturierung ergebe; entsprechend werde [X.] von den Behörden so genutzt, dass nicht an einen konkreten Sachverhalt in einem einzelnen Ermittlungsverfahren angeknüpft werde, sondern die Software in übergreifenden Vorgängen und Projekten in verschiedenen Phänomenbereichen Anwendung finde. Um eine wirkliche Auseinandersetzung im Einzelfall sowie eine rechtliche Überprüfung zu gewährleisten, sollte daher in § 25a [X.] im Sinne der Normenklarheit und Bestimmtheit eine gesonderte Pflicht zu einer ausformulierten und dokumentierten Begründung festgeschrieben werden. Die nach § 71 Abs. 2 [X.] geforderte Begründung im Rahmen der Protokollierung genüge nicht, weil durch diese nur eine technische Nachvollziehbarkeit der Abfragen sichergestellt werde.

Eine erhöhte [X.] ergebe sich aus der Vielzahl, Breite und Art der verwendeten Datenbestände, die auch Daten von Nichtstörern beziehungsweise [X.], strafprozessual millionenfach erhobene Daten (überwiegend unbeteiligter Personen) aus [X.] und [X.] Daten umfassten. Nicht mehr angemessen erscheine § 25a [X.] ferner deswegen, weil mit der in [X.] eingesetzten Software Persönlichkeitsprofile erstellt werden könnten. Diese [X.]efahr bestehe insbesondere, weil nach § 20 Abs. 9 [X.] die Einbeziehung der umfangreichen, auch "sonstige Personen" betreffenden Daten aus dem Vorgangsbearbeitungssystem [X.] als Durchbrechung der strengen Zweckbindung zulässig sei. Trotz des Rückgriffs auf solche Daten sowie der Komplexität der Analyse fehle es der Norm zudem an einer gesetzlichen Eingrenzung der Zugriffsmöglichkeiten und Nutzungen von Anwendungen wie [X.]. Zwar bestünden abgestufte Zugriffsrechte und Beschränkungen für Daten aus besonders eingriffsintensiven Maßnahmen, grundsätzlich könnten aber ohne konkrete gesetzliche Begrenzungen alle Nutzer zugreifen.

Betroffenenrechte und Rechtsschutzmöglichkeiten seien nicht hinreichend verankert. Problematisch sei, dass das gesetzliche Auskunftsrecht allein hinsichtlich der [X.] und nicht auch hinsichtlich der Analyseergebnisse verstanden werden könne. Die Norm mache auch keine Vorgaben, wie eine Speicherfrist für die Analyseergebnisse umgesetzt werden solle. Auch spezielle gesetzliche Protokollierungspflichten nach § 28 [X.] oder die gesetzliche Benachrichtigungspflicht nach § 29 Abs. 5 in Verbindung mit § 28 Abs. 2 [X.] umfassten § 25a [X.] nicht, weswegen für eine betroffene Person bei Ablehnung eines Auskunftsersuchens zu § 25a [X.] Rechtsschutz kaum erreichbar sei. Schließlich seien die verfahrensbegleitenden Schutzmaßnahmen gemessen an der [X.] unzureichend. Die Datenschutzbehörde sei lediglich 2019 mehrfach zu generellen phänomenbezogenen Anordnungen der Polizeibehörden angehört worden, auf deren [X.]rundlage die Anwendung von [X.] nunmehr offenbar solange erfolge, wie keine größeren Veränderungen in technischer Hinsicht beziehungsweise bei der Nutzung von [X.]n einträten. Dadurch laufe die als Absicherung in datenschutzrechtlicher Hinsicht gedachte Anhörung nach § 25a Abs. 3 Satz 2 [X.] leer. Hinzu komme, dass die Datenschutzbehörde nicht befugt sei, eine vorübergehende oder endgültige Beschränkung der Verarbeitung anzuordnen.

3. Die Behörde für Justiz und Verbraucherschutz der Freien und Hansestadt [X.] zweifelt im Verfahren 1 BvR 2634/20 bereits an der Zulässigkeit der Verfassungsbeschwerde. Diese sei auch unbegründet. § 49 HmbPolDV[X.] sei nur Ermächtigung für eine technische Hilfestellung für die im Einzelfall tätigen Polizisten und von [X.]falls moderater Eingriffsqualität. Die Datenverarbeitung im Wege einer automatisierten Anwendung begründe keine andere Qualität, wegen der über die [X.]rundsätze der hypothetischen Datenneuerhebung hinaus weitere Anforderungen angelegt werden müssten. Der automatisierte Zugriff unterscheide sich nicht vom gezielten Blick eines Beamten in eine Akte oder ein Dateisystem im Sinne einer manuellen Auswertung; für diese werde lediglich ergänzend eine technische Alternative bereitgestellt. Insbesondere gehe es trotz der Beschreibung in Absatz 2 nicht darum, gewissermaßen anlassunabhängig umfassende [X.] ganzer Milieus oder Persönlichkeitsprofile zu erstellen. Zum einen komme dem Merkmal "in begründeten Einzelfällen" deutlich einschränkende Wirkung zu, zum anderen unterliege auch die weitere Behandlung der durch die Anwendung gewonnenen Erkenntnisse den gesetzlichen Vorgaben des Datenschutzrechts.

Bedeutsam sei zudem, dass § 49 HmbPolDV[X.] nicht zu Datenerhebungen ermächtige, die Möglichkeiten einer [X.]ewinnung neuer Erkenntnisse also durch den vorhandenen Datenbestand eingeschränkt seien. Dass sich so neue Verdachtsmomente ergeben könnten, an die sich operative Maßnahmen anschließen, sei bei der Verarbeitung von in polizeilichen Dateisystemen gespeicherten Daten nichts Ungewöhnliches. Die angegriffene Regelung sei den Vorstellungen des [X.]esetzgebers gemäß auszulegen, der den Einsatz von Software zum "predictive policing" abgelehnt habe und den Einsatz komplexer Algorithmen und lernfähiger Systeme nicht zulassen wollte. Dies komme auch in der Ersetzung des Begriffs "Datenanalyse" durch "Datenauswertung" zum Ausdruck.

Die erste tatbestandliche Alternative der vorbeugenden Bekämpfung bestimmter Straftaten umfasse lediglich die "Verhütung von Straftaten", nicht aber die "Vorsorge für die Verfolgung künftiger Straftaten". Angesichts des Wortlauts der angegriffenen Regelung, insbesondere des Merkmals "in begründeten Einzelfällen", seien zudem stets tatsächliche Anhaltspunkte für die bevorstehende Begehung einer Straftat zu fordern; eine abstrakte [X.]efahrenlage genüge nicht. Bereits die tatbestandliche Anknüpfung an bestimmte Straftatbestände verlange zwangsläufig hinreichende und gesicherte Erkenntnisse über den erwarteten [X.]eschehensablauf. Es sei auch nicht zu beanstanden, dass die angegriffene Regelung für die einzusetzende automatisierte Anwendung zur Datenauswertung keine konkreten Vorgaben mache. Der [X.]esetzgeber dürfe Ermächtigungsgrundlagen grundsätzlich technikoffen halten. Detailliertere Verfahrensregelungen seien angesichts der nicht besonders hohen [X.] der Norm, die bereits durch eine Vielzahl von Verfahrensbestimmungen des gesetzlichen [X.]esamtkontexts flankiert sei, nicht erforderlich.

4. Der [X.]ische Beauftragte für Datenschutz und Informationsfreiheit teilt im Ergebnis weithin die Bedenken der Beschwerdeführenden im Verfahren 1 BvR 2634/20.

§ 49 HmbPolDV[X.] schaffe kaum begrenzte Möglichkeiten der Zusammenführung zur Weiternutzung vormals getrennter, zweckgebundener polizeilicher Daten. Besonders kritisch sei, dass auch die polizeilichen [X.] und Bearbeitungssysteme einbezogen werden könnten. Diese dienten dem Auffinden von Vorgängen und der Rekonstruktion, welche Anzeigen, Sachverhalte und sonstigen [X.]eschehnisse im Zuge der polizeilichen Tätigkeit bearbeitet worden seien. In diese Datenbanken werde eine nicht unerhebliche Zahl von Betroffenen ohne eigenes Zutun aufgenommen.

Auch die an § 6a [X.] angelehnte Regelung der Methode wirke eingriffsverstärkend. Die im [X.]esetzgebungsverfahren geäußerte Ansicht, mit der Ersetzung des Begriffs der "Datenanalyse" durch den der "Datenauswertung" sei ein "[X.]" ausgeschlossen, überzeuge kaum. Welche Methodik zur Verarbeitung verwendet werden solle, sei in § 49 HmbPolDV[X.] nicht ersichtlich; die [X.]esetzesentstehung lasse erkennen, dass es um [X.] gehe. Es bestehe das Risiko der Erzeugung nahezu umfassender Persönlichkeitsbilder und [X.] verdächtiger Zielpersonen; die Verarbeitung verschaffe der Polizei neue Erkenntnisse und Zusammenhänge.

Die in der angegriffenen Regelung formulierte Voraussetzung "in begründeten Einzelfällen…erforderlich" genüge nicht den verfassungsrechtlichen Anforderungen an die [X.], wonach wenigstens tatsächliche Anhaltspunkte für die Entstehung einer konkreten [X.]efahr zu verlangen seien. Fraglich sei, ob angesichts der [X.] die Mindestschwelle einer konkreten [X.]efahr überhaupt noch genüge. Höher müsse die [X.] jedenfalls liegen, wenn Daten verarbeitet würden, die aus einer Wohnraumüberwachung erlangt wurden. Eine entsprechende polizeiliche Praxis sei zwar angesichts der allgemeinen [X.]rundsätze der Zweckbindung für die Weiterverwendung von Daten nach § 34 Abs. 4 HmbPolDV[X.] möglich, jedoch praktisch wegen der potenziellen Menge an Abfragen problematisch. In jedem Fall wäre eine solche Lösung technisch anspruchsvoll, weil im Rahmen der Zusammenführung verschiedene [X.]n für unterschiedliche Dateisysteme abgebildet werden müssten.

Auch sei zum Teil sehr zweifelhaft, ob mit dem in Bezug genommenen Katalog des § 100a Abs. 2 StPO hinreichend bedeutsame Rechtsgüter geschützt würden. Außerdem bedürfe es einer speziellen Auskunftsregelung und spezieller Löschpflichten. Zudem müsse die aufsichtsrechtliche Kontrolle erweitert werden, da nach gegenwärtiger [X.]esetzeslage eine sinnvolle Aufsicht durch die Datenschutzbehörde nicht möglich sei.

5. Der [X.]beauftragte für den Datenschutz und die Informationsfreiheit zweifelt an der Verfassungsmäßigkeit des § 25a [X.] und des § 49 HmbPolDV[X.].

Den Regelungen komme eine erhöhte [X.] zu, weil auf ihrer [X.]rundlage ein umfassender Zugriff auf sämtliche polizeiliche Datenbestände und damit potenziell auf eine sehr große Menge teils sensibler Daten eines großen [X.]es von Personen genommen werden könne. Problematisch seien insbesondere die Einbeziehung von [X.] und die perspektivischen Möglichkeiten einer umfassenden Einbeziehung der Datenbanken anderer Polizeien von [X.]. Weiterhin erhöhe die Art und Weise der Datenverarbeitung das Eingriffsgewicht. Das durch die Regelungen zugelassene "[X.]" gehe über die Rasterfahndung hinaus, weil diese immer noch durch ein begrenzendes [X.] geprägt sei, nun aber Systeme Daten auch unabhängig von einem Raster mit trainierten oder selbstlernenden Algorithmen auswerteten. Eine Nutzung von künstlicher Intelligenz sei nicht ausgeschlossen. Problematisch sei dabei unter [X.], dass beim maschinellen Lernen nach dem derzeitigen Stand der Technik die Nachvollziehbarkeit nicht sichergestellt sei.

Das unklare Merkmal "begründeter Einzelfall" werde weder durch das Erfordernis einer konkreten [X.]efahrenlage oder tatsächlicher Anhaltspunkte noch durch eine sonstige Schwelle eingegrenzt, so dass in der polizeilichen Praxis eine sehr weite Auslegung zu befürchten sei. Es drohe eine Anwendung bereits bei bestimmten Entwicklungen einer polizeilichen Lage (etwa allgemeine Zunahme von Drogendelikten) oder bei jeder Strafanzeige. Die Vorschriften könnten zum Standardinstrument werden. Auch der Verweis auf § 100a Abs. 2 StPO sei problematisch, unter anderem weil der Katalog nach den Erweiterungen der letzten Jahre auch niederschwellige Delikte aufliste.

Zudem sei zweifelhaft, ob die notwendige Trennung nach den unterschiedlichen Zweckbestimmungen bei der automatisierten Datenauswertung praktisch gewährleistet werden könne. Die Einhaltung der Zweckbindung sei bei Zusammenführung und Abgleich einer großen Menge von Daten aus unterschiedlichen Quellen schwierig. Eine Durchbrechung der Zweckbindung sei zwar für § 49 HmbPolDV[X.] anders als bei § 25a in Verbindung mit § 20 Abs. 9 Satz 3 [X.] nicht ausdrücklich geregelt, aber der Zielrichtung nach offenbar auch dort intendiert.

Das [X.]verfassungsgericht hat am 20. Dezember 2022 eine mündliche Verhandlung durchgeführt. [X.] haben sich die Beschwerdeführenden, die [X.] [X.]regierung sowie der Senat der Freien und Hansestadt [X.]. Als sachkundige Dritte nach § 27a [X.] haben sich der [X.] Beauftragte für Datenschutz und Informationsfreiheit, der [X.]ische Beauftragte für Datenschutz und Informationsfreiheit, der [X.]beauftragte für den Datenschutz und die Informationsfreiheit sowie [X.] für den [X.] e.V. geäußert.

Die [X.] gegen § 25a [X.] und gegen § 49 HmbPolDV[X.] sind zulässig, soweit sie gegen die [X.] in § 25aAbs. 1 Alt. 1[X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] (Datenanalyse oder -auswertung zur vorbeugenden Bekämpfung von Straftaten) gerichtet sind. Insoweit erscheint eine Verletzung der Beschwerdeführenden in ihrer durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] als Ausprägung des allgemeinen Persönlichkeitsrechts geschützten informationellen Selbstbestimmung möglich.

Im Übrigen sind die [X.] unzulässig. [X.]egenstand der Prüfung ist damit weder die Frage, ob die [X.]esetzgeber verfassungsrechtlich ausreichende Regelungen zu den durch die Datenanalyse oder -auswertung nach § 25a [X.] und § 49 HmbPolDV[X.] zu schützenden Rechtsgütern getroffen haben. Noch ist hier zu überprüfen, ob die für Transparenz und Rechtsschutz sorgenden Verfahrens- und Organisationsregelungen verfassungsrechtlichen Anforderungen genügen, ob insbesondere auch mit Blick auf komplexe Formen automatisierten [X.] bis hin zu selbstlernenden Systemen (Künstliche Intelligenz, [X.]") hinreichende verfahrensrechtliche Sicherungen bestehen. Es ist auch nicht zu prüfen, ob der verfassungsrechtliche [X.]rundsatz der Zweckbindung bereits erhobener personenbezogener Daten gewahrt ist, ob also insbesondere auch hinreichend begrenzt ist, inwiefern Daten, die unter Eingriff in Art. 13 Abs. 1 [X.][X.] oder Art. 10 Abs. 1 [X.][X.] erhoben worden sind, weiter genutzt werden dürfen. Insoweit haben die Beschwerdeführenden die Möglichkeit einer [X.]rundrechtsverletzung nicht ausreichend dargelegt. Überwiegend fehlen konkretere Ausführungen zu den verfassungsrechtlichen Anforderungen. Zudem hätte eine nähere Auseinandersetzung mit dem einfachgesetzlichen Normenbestand erfolgen müssen, vor allem mit der Frage, warum die aus Sicht der Beschwerdeführenden gebotenen Sicherungen nicht bereits in anderen Bestimmungen des geltenden Rechts, insbesondere des [X.]datenschutz- und Polizeirechts, enthalten sind, die konkret zu benennen und deren Reichweite zu erörtern gewesen wären (vgl. dazu auch [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 129, 132 - [X.] Verfassungsschutzgesetz).

Die [X.] sind, soweit sie zulässig sind, begründet.Aufgrund der angegriffenen Befugnis kann jedenfalls in die durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] als Ausprägung des allgemeinen Persönlichkeitsrechts geschützte informationelle Selbstbestimmungeingegriffen werden (I). Ein [X.]rundrechtseingriff durch automatisierte Datenanalyse oder -auswertung durch Polizeibehörden ist grundsätzlich verfassungsrechtlich rechtfertigbar. Die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung richten sich nach der konkreten Reichweite der Befugnis und sind entsprechend variabel; hier sind sie angesichts der Ausgestaltung der angegriffenen Vorschriften streng (II). § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] enthalten danach keine ausreichende [X.] ([X.]). Beide Vorschriften sind deshalb verfassungswidrig. Dies betrifft die Datenanalyse oder -auswertungsbefugnis zur vorbeugenden Straftatenbekämpfung. Die Befugnis zur Abwehr von [X.]efahren (§ 25a Abs. 1 Alt. 2 [X.], § 49 Abs. 1 Alt. 2 HmbPolDV[X.]) bleibt unberührt.

Werden gespeicherte Datenbestände gemäß § 25a [X.] oder § 49 HmbPolDV[X.] mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 [X.][X.]) aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden. Mit der automatisierten Auswertung gespeicherter Daten erlaubt der [X.]esetzgeber eine weitere Nutzung früher erhobener Daten über den ursprünglichen Anlass hinaus. Das begründet einen neuen [X.]rundrechtseingriff und muss verfassungsrechtlich eigens nach dem [X.]rundsatz der Zweckbindung gerechtfertigt werden (vgl. [X.] 141, 220 <324 Rn. 277, 327 Rn. 285>; näher unten Rn. 55 ff.). [X.] liegt ein [X.]rundrechtseingriff hier nicht nur in der weiteren, zusammenführenden Verwendung vormals getrennter Daten, sondern darüber hinaus in der Erlangung besonders grundrechtsrelevanten neuen Wissens, das durch die automatisierte Datenanalyse oder -auswertung geschaffen werden kann (vgl. [X.] 156, 11 <39 f. Rn. 73 f.>; näher unten Rn. 67 ff.).

Die Rechtfertigung eines [X.]rundrechtseingriffs setzt eine gesetzliche Ermächtigung voraus, die einen legitimen Zweck verfolgt und auch im Übrigen dem [X.]rundsatz der Verhältnismäßigkeit genügt.

Die angegriffenen Regelungen dienen dem legitimen Zweck, vor dem Hintergrund informationstechnischer Entwicklung die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten zu steigern, indem Anhaltspunkte für bevorstehende schwere Straftaten gewonnen werden, die im Datenbestand der Polizei ansonsten unerkannt blieben. Die [X.] [X.]regierung hat in diesem Verfahren dargelegt, die Polizeibehörden seien infolge der insbesondere in den Bereichen terroristischer und extremistischer [X.]ewalt sowie der organisierten und schweren Kriminalität zunehmenden Nutzung digitaler Medien und Kommunikationsmittel mit einem ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen konfrontiert. Die dazu in den polizeilichen Datenbeständen enthaltenen Informationen könnten gerade unter [X.]druck kaum manuell gewonnen werden; eine automatisierte Datenanalyse sei daher von großer Bedeutung für erfolgreiches polizeiliches Handeln.

Zur Steigerung der Wirksamkeit vorbeugender Straftatenbekämpfung sind die Regelungen im verfassungsrechtlichen Sinne geeignet. Sie sind auch erforderlich, weil durch eine automatisierte Datenanalyse oder -auswertung für die Verhütung von Straftaten relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären.

Spezielle Anforderungen ergeben sich hier aus dem [X.]ebot der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem [X.] (vgl. [X.] 141, 220 <269 Rn. 105>; 155, 119 <178 Rn. 128> - Bestandsdatenauskunft II; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 152; stRspr). Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung und die verfassungsrechtlichen Rechtfertigungsanforderungen ergeben sich zum einen aus dem [X.]ewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die [X.]rundsätze der Zweckbindung und Zweckänderung (1). Zum anderen hat die automatisierte Datenanalyse oder -auswertung potenziell ein Eigengewicht, so dass weitergehende Rechtfertigungsanforderungen gelten (2).

1. Nach § 25a [X.] und § 49 HmbPolDV[X.] werden im Wege der automatisierten Datenanalyse oder -auswertung personenbezogene Daten weiterverarbeitet, die bereits früher erhoben und gespeichert worden sind. Die Rechtfertigungsanforderungen an die weitere Nutzung staatlich erhobener Daten richten sich nach den [X.]rundsätzen der Zweckbindung und Zweckänderung (grundlegend [X.] 65, 1 <46>). Erlaubt der [X.]esetzgeber die Nutzung von Daten über den konkreten Anlass und rechtfertigenden [X.]rund einer Datenerhebung hinaus, muss er hierfür eine eigene Rechtsgrundlage schaffen. Er kann unter Wahrung der näheren verfassungsrechtlichen Anforderungen sowohl eine weitere Nutzung der Daten im Rahmen der für die Datenerhebung maßgeblichen Zwecke vorsehen (a) als auch eine Zweckänderung erlauben (b) (vgl. [X.] 141, 220 <324 ff. Rn. 276 ff.> m.w.N.; stRspr). § 25a [X.] und § 49 HmbPolDV[X.] erlauben sowohl zweckwahrende als auch zweckändernde Weiternutzungen (c).

a) Der [X.]esetzgeber kann zum einen eine Datennutzung über das für die Datenerhebung maßgebende Verfahren hinaus als weitere Nutzung im Rahmen der ursprünglichen Zwecke dieser Daten erlauben; er unterliegt dann den im Urteil zum [X.]kriminalamtgesetz näher konturierten verfassungsrechtlichen Anforderungen an die zweckwahrende Weiternutzung (vgl. [X.] 141, 220 <324 ff. Rn. 278 ff.> m.w.N.).

Die zulässige Reichweite solcher Nutzungen richtet sich nach der Ermächtigung für die Datenerhebung. Die jeweilige Eingriffsgrundlage bestimmt die zur Datenerhebung ermächtigte Behörde, den Zweck und die Bedingungen der Datenerhebung und definiert damit die erlaubte Verwendung. Die Zweckbindung der auf ihrer [X.]rundlage gewonnenen Informationen beschränkt sich folglich nicht allein auf eine Bindung an bestimmte, abstrakt definierte Behördenaufgaben, sondern bestimmt sich nach der Reichweite der [X.] in der für die jeweilige Datenerhebung maßgeblichen Ermächtigungsgrundlage. Eine weitere Nutzung innerhalb der ursprünglichen Zwecksetzung kommt damit nur seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht wie für die Datenerhebung maßgeblich: Ist diese nur zum Schutz bestimmter Rechtsgüter oder zur Verhütung bestimmter Straftaten erlaubt, so begrenzt dies deren unmittelbare sowie weitere Verwendung auch in derselben Behörde, soweit keine gesetzliche [X.]rundlage für eine Zweckänderung eine weitergehende Nutzung erlaubt.

Nicht zu den Zweckbindungen, die für jede weitere Nutzung der Daten seitens derselben Behörde im selben Aufgabenkreis zum Schutz derselben Rechtsgüter und zur Verfolgung oder Verhütung derselben Straftaten je neu beachtet werden müssen, gehören grundsätzlich die für die Datenerhebung maßgeblichen Anforderungen an [X.]n, wie sie traditionell die hinreichend konkretisierte [X.]efahrenlage im Bereich der [X.]efahrenabwehr und ein qualifizierter Tatverdacht im Bereich der Strafverfolgung darstellen. Das Erfordernis einer hinreichend konkretisierten [X.]efahrenlage oder eines qualifizierten Tatverdachts bestimmt den Anlass, aus dem entsprechende Daten erhoben werden dürfen, nicht aber die erlaubten Zwecke, für die die Daten der Behörde dann zur Nutzung offenstehen. Folglich widerspricht es nicht von vornherein dem [X.]ebot einer dem ursprünglichen Erhebungszweck entsprechenden Verwendung, wenn die weitere Nutzung solcher Daten bei Wahrnehmung derselben Aufgabe auch unabhängig von weiteren gesetzlichen Voraussetzungen als bloßer Spurenansatz erlaubt wird. Die Behörde kann die insoweit gewonnenen Kenntnisse zum Schutz derselben Rechtsgüter und im Rahmen derselben Aufgabenstellung - allein oder in Verbindung mit anderen ihr zur Verfügung stehenden Informationen - als schlichten Ausgangspunkt für weitere Ermittlungen nutzen. Damit ist keine Datennutzung ins Blaue hinein eröffnet. Vielmehr hat auch eine Verwendung der Daten als Spurenansatz durch die Bindung an die für die Datenerhebung maßgeblichen Aufgaben und die Anforderungen des [X.] einen hinreichend konkreten [X.]. Für die Wahrung der Zweckbindung kommt es demnach darauf an, dass die erhebungsberechtigte Behörde die Daten im selben Aufgabenkreis zum Schutz derselben Rechtsgüter und zur Verfolgung oder Verhütung derselben Straftaten nutzt, wie es die jeweilige [X.] erlaubt. Diese Anforderungen sind erforderlich, aber grundsätzlich auch ausreichend, um eine weitere Nutzung der Daten im Rahmen der Zweckbindung zu legitimieren.

Weiter reicht die Zweckbindung allerdings für Daten aus Wohnraumüberwachungen und [X.]en: Hier ist jede weitere Nutzung der Daten, auch seitens derselben Behörde im selben Aufgabenkreis zum Schutz derselben Rechtsgüter und zur Verfolgung oder Verhütung derselben Straftaten, nur dann zweckentsprechend, wenn sie auch aufgrund einer den [X.] entsprechenden dringenden [X.]efahr (vgl. dazu [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 297 m.w.N.) oder im Einzelfall zumindest hinreichend konkretisierten [X.]efahr (vgl. dazu [X.] 141, 220 <272 f. Rn. 112>) erforderlich ist. Das außerordentliche Eingriffsgewicht solcher Datenerhebungen spiegelt sich hier auch in einer besonders engen Bindung jeder weiteren Nutzung der gewonnenen Daten an die Voraussetzungen und damit Zwecke der Datenerhebung. Eine Nutzung der Erkenntnisse als bloßer Spuren- oder Ermittlungsansatz unabhängig von einer dringenden oder im Einzelfall hinreichend konkretisierten [X.]efahr kommt hier nicht in Betracht.

b) Der [X.]esetzgeber kann zum anderen eine weitere Nutzung der Daten auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (Zweckänderung); als Ermächtigung zu einer Datennutzung für neue Zwecke unterliegt sie den im Urteil zum [X.]kriminalamtgesetz formulierten verfassungsrechtlichen Anforderungen an die zweckändernde Weiternutzung von Daten (vgl. [X.] 141, 220 <326 ff. Rn. 284 ff.>m.w.N.).

Die Ermächtigung zu einer Nutzung von Daten zu neuen Zwecken begründet einen neuen Eingriff in das [X.]rundrecht, in das durch die Datenerhebung eingegriffen wurde. Zweckänderungen sind folglich jeweils an den [X.]rundrechten zu messen, die für die Datenerhebung maßgeblich waren. Hierbei orientiert sich das [X.]ewicht, das einer solchen Regelung im Rahmen der Abwägung zukommt, am [X.]ewicht des Eingriffs der Datenerhebung. Informationen, die durch besonders eingriffsintensive Maßnahmen erlangt wurden, können auch nur zu besonders gewichtigen Zwecken genutzt werden. Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung.

Für Daten aus eingriffsintensiven Überwachungs- und Ermittlungsmaßnahmen kommt es danach darauf an, ob die entsprechenden Daten nach verfassungsrechtlichen Maßstäben auch für den geänderten Zweck mit vergleichbar schwerwiegenden Mitteln neu erhoben werden dürften. Voraussetzung für eine Zweckänderung ist danach, dass die neue Nutzung der Daten dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen [X.]ewichts dient, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten. Nicht in jedem Fall identisch sind die Voraussetzungen einer Zweckänderung mit denen einer Datenerhebung hingegen hinsichtlich des erforderlichen Konkretisierungsgrads der [X.]efahrenlage oder des Tatverdachts, also hinsichtlich der [X.]. Die diesbezüglichen Anforderungen bestimmen unter [X.] primär den Anlass nur unmittelbar für die Datenerhebung selbst, nicht aber auch für die weitere Nutzung der erhobenen Daten. Als neu zu rechtfertigender Eingriff bedarf aber auch die Ermächtigung zu einer Nutzung für andere Zwecke eines eigenen, hinreichend spezifischen Anlasses. Verfassungsrechtlich geboten, aber regelmäßig auch ausreichend, ist insoweit, dass sich aus den Daten - sei es aus ihnen selbst, sei es in Verbindung mit weiteren Kenntnissen der Behörde - ein konkreter Ermittlungsansatz ergibt.

Der [X.]esetzgeber kann danach - bezogen auf die [X.] - eine Zweckänderung von Daten grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden [X.]efahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz die entsprechende Datenerhebung zulässig ist.

Anderes gilt allerdings wie bei der zweckwahrenden Weiterverarbeitung auch hier für Informationen aus Wohnraumüberwachungen oder dem Zugriff auf informationstechnische Systeme. Angesichts des besonderen [X.] dieser Maßnahmen muss hier jede neue Nutzung der Daten wie bei der Datenerhebung selbst auch durch eine dringende [X.]efahr oder eine im Einzelfall hinreichend konkretisierte [X.]efahr gerechtfertigt sein.

c) Nach § 25a [X.] und § 49 HmbPolDV[X.] können personenbezogene Daten sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Die beiden Vorschriften erlauben die Verarbeitung sehr großer Datenmengen, im Wesentlichen ohne selbst nach der Herkunft der Daten und den ursprünglichen [X.]n zu unterscheiden. Zur Wahrung der verfassungsrechtlichen Anforderungen der Zweckbindung müssten darum anderweitig hinreichend normenklare Regelungen getroffen sein, die die Einhaltung des [X.]rundsatzes der Zweckbindung rechtlich und praktisch sichern. Materiell ist bei der fachrechtlichen Ausgestaltung der Zweckbindung auch zu beachten, dass eine Datenanalyse oder -auswertung von Daten, die zwar gegenwärtig in den eigenen Datenbeständen der Behörde gespeichert sind, die aber ursprünglich von einer anderen Stelle erhoben und an sie weitergegeben wurden, keine weitere Nutzung im Rahmen der ursprünglichen Zwecke sein kann, sondern schon wegen dieses Behördenwechsels als zweckändernde Datennutzung den dafür geltenden verfassungsrechtlichen Anforderungen unterliegt. Entsprechend wurde etwa in der mündlichen Verhandlung seitens des [X.] Ministeriums des Innern und für Sport bekundet, dass unter den Voraussetzungen des § 479 Abs. 2 Satz 2 Nr. 2 StPO in eine Datei der [X.]n Polizei gelangte Daten auch später nur unter den Voraussetzungen dieser Vorschrift gemäß § 25a [X.] erneut verarbeitet werden dürfen. Praktisch dürfte zur Einhaltung des verfassungsrechtlichen Zweckbindungsgrundsatzes insbesondere eine Kennzeichnung von Daten erforderlich sein (vgl. etwa § 20a [X.] und § 65 HmbPolDV[X.]; s. aber zur Befreiung hiervon § 20a Abs. 4 [X.] und § 78 Abs. 1 HmbPolDV[X.]; s. auch § 91 [X.]). Ob diese verfassungsrechtlichen Anforderungen hier eingehalten sind, muss allerdings offen bleiben, da dies von den Beschwerdeführenden nicht zulässig gerügt worden ist (oben Rn. 48).

2. Ob der [X.]rundrechtseingriff verfassungsrechtlich gerechtfertigt ist, lässt sich aber bei einer Datenanalyse oder -auswertung nicht allein mit Blick auf das [X.]ewicht der ursprünglichen Datenerhebung beurteilen, weil die weitere Verarbeitung durch eine automatisierte Datenanalyse oder -auswertung eigene Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen (a). Das spezifische Eingriffsgewicht einerautomatisierten Datenanalyse oder -auswertungist nicht immer gleich, sondern hängt von der näheren Ausgestaltung dieser Befugnis ab. Anhand genereller Maßstäbe lässt sich bestimmen, welchen verfassungsrechtlichen Anforderungen eine Befugnis zur automatisierten Datenanalyse oder -auswertung je nach Ausgestaltung unterliegt (b). Die konkreten Rechtfertigungsanforderungen hängen dann davon ab, wie der [X.]esetzgeber die Befugnis im Einzelnen regelt; hier sind die Rechtfertigungsanforderungen wegen der potenziellen Reichweite von § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] hoch (c).

a) Eine weitere Bearbeitung von einmal erhobenen und gespeicherten Daten durch eine automatisierte Datenanalyse oder -auswertungkann spezifische Belastungseffekte haben, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen (vgl. [X.] 156, 11 <39 Rn. 73>). Die automatisierte Datenanalyse oder -auswertung nach § 25a [X.] und § 49 HmbPolDV[X.] ist darauf gerichtet, neues Wissen zu erzeugen. § 25a Abs. 2 [X.] und § 49 Abs. 2 HmbPolDV[X.] beschreiben dies als das Herstellen von Zusammenhängen zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen, den Ausschluss von unbedeutenden Informationen und Erkenntnissen, die Zuordnung eingehender Informationen zu bekannten Sachverhalten sowie die statistische Auswertung der gespeicherten Daten. Rechtlich kann die handelnde Behörde aus den zur Verfügung stehenden Daten mit praktisch [X.] informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Auswertung neue Zusammenhänge erschließen. Die Verknüpfung von Daten ermöglicht etwa mehrstufige Analysen, die neue Verdachtsmomente erst erzeugen, sowie weitere Analyseschritte oder auch daran anschließende operative Maßnahmen ([X.] 156, 11 <40 Rn. 73>).

Zwar ist es für sich genommen nicht ungewöhnlich, dass die Polizei ihre einmal gewonnenen Erkenntnisse als Spuren- oder Ermittlungsansätze allein oder in Verknüpfung mit anderen ihr zur Verfügung stehenden Informationen als Ausgangspunkt weiterer Ermittlungen nutzt (vgl. [X.] 141, 220 <325 f. Rn. 281>). Auch die alltägliche polizeiliche Erkenntnisgewinnung ist Ergebnis einer Zusammenstellung und Bewertung von aus unterschiedlichen Quellen erlangten Informationen (vgl. [X.], AöR 142 <2017>, S. 366 <369, 372 ff.>; s. [X.], [X.] 2020, [X.] <4 f.>; [X.]/[X.], [X.] 2021, [X.]03 <104>).

Die automatisierte Analyse oder Auswertung nach § 25a [X.] und § 49 HmbPolDV[X.] geht aber schon deshalb weiter, weil sie die Verarbeitung großer und komplexer Informationsbestände ermöglicht. Je nach der eingesetzten Analysemethode können zudem durch verknüpfende Auswertung vorhandener Daten neue persönlichkeitsrelevante Informationen gewonnen werden, die ansonsten so nicht zugänglich wären. Die Maßnahme erschließt die in den Daten enthaltenen Informationen damit intensiver als zuvor. Sie bringt nicht nur in den Daten angelegte, aber zunächst mangels Verknüpfung verborgene Erkenntnisse über Personen hervor, sondern kann sich bei entsprechendem Einsatz einem "Profiling" (vgl. § 41 Nr. 4 [X.], § 2 Abs. 10 HmbPolDV[X.]) annähern (vgl. [X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 25a [X.], Rn. 21 ff.). Denn es können sich [X.] neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden. Insoweit kann auch die Kombination personenbezogener und nicht personenbezogener Daten und gegebenenfalls die algorithmentypische Berücksichtigung bloßer Korrelationen neue, sonst nicht sicht- oder ermittelbare persönlichkeitsrelevante Aufschlüsse geben. Ein herkömmliches Verfahren, die nach dem Modell abgestufter Erkenntnisverdichtung erfolgende Ermittlungstätigkeit, wird hierdurch mit einer viel größeren Durchschlagskraft versehen (vgl. [X.] 115, 320 <356 f.> m.w.N. - zur Rasterfahndung).

Regelmäßig sichert der [X.]rundsatz der Zweckbindung die Verhältnismäßigkeit des in der Weiterverarbeitung bereits erhobener Daten liegenden [X.]rundrechtseingriffs (oben Rn. 55 ff.). Dieser [X.]rundsatz wurde jedoch vor dem Hintergrund einer im Wesentlichen manuellen Sichtung und Verknüpfung personenbezogener Daten näher konturiert, die in den tatsächlichen Kapazitätsgrenzen solcher Arbeitsweise auch ihre praktischen Erkenntnisgrenzen finden. Das Ziel einer Befugnis zur automatisierten Datenanalyse oder -auswertung ist nun aber gerade, diese praktischen Erkenntnisgrenzen zu überwinden. Das ist verfassungsrechtlich legitim, weil es der Effektuierung der [X.]efahrenbekämpfung dient. Mit der Überwindung der praktischen Erkenntnisgrenzen klassischer Polizeiarbeit gehen jedoch auch besondere [X.]efahren für die durch die Datenverarbeitung Betroffenen einher. Je nach Ausgestaltung kann die automatisierte Anwendung - insbesondere in Abhängigkeit von Art und Umfang der verarbeiteten Daten und von den [X.]n - die Erstellung von Bewegungs- und Verhaltens- oder Beziehungsprofilen oder noch umfassenderer Persönlichkeitsbilder ermöglichen, die so im Wege händischer Suche oder einfacher automatisierter [X.] nicht erlangt werden könnten. Die automatisierte Anwendung kann die Arbeitsweise und Erkenntnismöglichkeiten der Polizei somit entscheidend verändern und kann so auch das [X.]ewicht der individuellen Beeinträchtigung bedeutend erhöhen (vgl. auch [X.] 156, 11 <39 f. Rn. 73> m.w.N.). Der verfassungsrechtliche [X.]rundsatz der Zweckbindung könnte dem Eingriffsgewicht dann für sich genommen nicht hinreichend Rechnung tragen.

b) Die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung variieren (aa). Denn eine Besonderheit der Datenanalyse oder -auswertungsbefugnis liegt darin, dass die [X.] der darauf gestützten Maßnahmen je nach gesetzlicher Ausgestaltung sehr unterschiedlich sein kann (bb). Entsprechend variabel sind die Anforderungen an die [X.], also insbesondere an die [X.], das zu schützende Rechtsgut und die Sicherung von Transparenz, Rechtsschutz und aufsichtlicher Kontrolle ([X.]), deren Regelung dem [X.]rundsatz des [X.], dem [X.]ebot der Normenklarheit und dem Bestimmtheitsgebot genügen muss (dd).

aa)Die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung variieren, da deren [X.] je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann.Bei einer Begrenzung der Befugnis auf eine sehr schlichte Form des Abgleichs einer überschaubaren Zahl von Daten näher eingegrenzter Herkunft ist das besondere Eigengewicht der Datenanalyse oder -auswertung gering. Je weiter die Möglichkeiten der automatisierten Weiterverarbeitung von Daten reichen, umso mehr entfernt sich der darin liegende Eingriff aber von der ursprünglichen Datenerhebung und umso weniger reicht der [X.]rundsatz der Zweckbindung für sich genommen verfassungsrechtlich aus, um den erneuten Eingriff zu rechtfertigen.

Ermöglicht die automatisierte Datenanalyse oder -auswertungeinen schweren Eingriff in die informationelle Selbstbestimmung der Betroffenen, lässt sie etwa die Erstellung von genaueren Bewegungs-, Verhaltens- oder Beziehungsprofilen zu oder setzt sie vermehrt Personen, die objektiv nicht zurechenbar in das relevante [X.]eschehen verfangen sind, dem Risiko aus, aufgrund der Ergebnisse der automatisierten Datenanalyse oder -auswertung weiteren, gezielt gegen sie gerichteten, polizeilichen Ermittlungsmaßnahmen unterzogen zu werden, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten (Rn. 104 ff.).

Sind hingegen die Möglichkeiten der Erkenntnisgewinnung so eingegrenzt, dass kein besonders schwerer eigenständiger Eingriff in die informationelle Selbstbestimmung der Betroffenen erfolgen kann, kann die Befugnis zur automatisierten Datenanalyse oder -auswertung an eine niedrigere [X.] geknüpft werden oder kann die Polizei davon auch zum Schutz von weniger gewichtigen Rechtsgütern [X.]ebrauch machen (Rn. 107). Unter Umständen kann dann schon die Einhaltung des [X.]rundsatzes der Zweckbindung zur verfassungsrechtlichen Rechtfertigung der weiteren Verarbeitung der Daten in einer automatisierten Anwendung ausreichen (näher unten Rn. 108).

bb) Wie streng die Anforderungen an die [X.] und den Rechtsgüterschutz bei einer Datenanalyse oder -auswertungsbefugnis im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht, das von verschiedenen Faktoren abhängt und demgemäß vom [X.]esetzgeber durch unterschiedliche Vorkehrungen und Kombinationen von Schutzmechanismen beeinflusst werden kann.

(1) [X.]enerell wird das [X.]ewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die [X.]efahr ihres Missbrauchs bestimmt. Dabei ist unter anderem bedeutsam, wie viele [X.]rundrechtsträger wie intensiven Beeinträchtigungen ausgesetzt sind und unter welchen Voraussetzungen dies geschieht, insbesondere ob diese Personen hierfür einen Anlass gegeben haben. Maßgebend sind also die [X.]estaltung der [X.]n, die Zahl der Betroffenen und die Intensität der individuellen Beeinträchtigung im Übrigen. Für das [X.]ewicht der individuellen Beeinträchtigung ist erheblich, ob die Betroffenen als Personen anonym bleiben, welche persönlichkeitsbezogenen Informationen erfasst werden und welche Nachteile den [X.]rundrechtsträgern aufgrund der Maßnahmen drohen oder von ihnen nicht ohne [X.]rund befürchtet werden. Dabei führt insbesondere die Heimlichkeit einer staatlichen Eingriffsmaßnahme ebenso zur Erhöhung ihrer Intensität wie die faktische Verwehrung vorherigen Rechtsschutzes und die Erschwerung nachträglichen Rechtsschutzes, wenn er überhaupt zu erlangen ist ([X.] 156, 11 <48 f. Rn. 96> m.w.N.; stRspr).

Das spezifische Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung hängt besonders davon ab, welcher Art das neue Wissen sein kann, das durch diese Maßnahmen erzeugt wird, insbesondere davon, ob und wie viel persönlichkeitsrelevantes Wissen so geschaffen wird. Das Eingriffsgewicht erhöht sich, wenn besonders private Informationen erlangt werden können. Besonders eingriffsintensiv ist auch, wenn sich das Verhalten einer Person, deren [X.]ewohnheiten oder deren Lebensgestaltung räumlich und über längere [X.] hinweg nachvollziehen lassen, wenn also ein Bewegungs- oder Verhaltensprofil einer Person oder ein umfassenderes Persönlichkeitsbild entstehen kann (vgl. [X.] 115, 320 <350 f.>; 120, 378 <400 f., 406 f., 417>; 125, 260 <319 f.>; 141, 220 <267 Rn. 99>; 150, 244 <284 f. Rn. 100>; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 287, 321 ff.; Beschluss des [X.] vom 9. Dezember 2022 - 1 BvR 1345/21 -, Rn. 174 f. - Polizeiliche Befugnisse nach [X.]). Das Eingriffsgewicht ist zudem höher, wenn die Polizei durch die Datenanalyse oder -auswertung Informationen über Personen erlangt und zum Ausgangspunkt weiterer operativer Maßnahmen macht, die objektiv in keiner Beziehung zu einem konkreten Fehlverhalten stehen und den polizeilichen Eingriff durch ihr Verhalten nicht zurechenbar veranlasst haben (vgl. dazu [X.] 115, 320 <354 f.>; 150, 244 <283 Rn. 98>), wenn also die automatisierte [X.] das Risiko für objektiv Unbeteiligte erhöht, Ziel weiterer polizeilicher Aufklärungsmaßnahmen zu werden (vgl. dazu [X.] 115, 320 <351 ff.>; 120, 378 <403>; 125, 260 <320>). Insofern können mit einer weitergehenden Automatisierung von Polizeiarbeit jenseits des Potenzials, eine Diskriminierung zu verhindern auch spezifische Diskriminierungsrisiken einhergehen, die verfassungsrechtlich umso weniger hinzunehmen sind, je mehr sich die Wirkungen der automatisierten Datenanalyse oder -auswertung einer nach Art. 3 Abs. 3 [X.][X.] unzulässigen Benachteiligung annähern könnten (vgl. zur Rasterfahndung [X.]115, 320 <352 f.>;s. auch [X.] 154, 152 <259 Rn. 192>; näher [X.], AöR 142 <2017>, S. 366 <376 f.>; [X.], AöR 143 <2018>, [X.] <26 ff.>; [X.], [X.], 2019, S. 88 f. m.w.N.).

(2) Das Eingriffsgewicht wird vor allem durch Art und Umfang der verarbeitbaren Daten bestimmt. Eine wesentliche Besonderheit des Eingriffspotenzials von Maßnahmen der elektronischen Datenverarbeitung liegt in der Menge der verarbeiteten Daten, die konventionell gar nicht bewältigt werden könnte (vgl. [X.] 156, 63 <118 f. Rn. 198> m.w.N.). Je größere Mengen personenbezogener Daten in die automatisierte Datenanalyse und -auswertung einbezogen werden können, je weniger der [X.]esetzgeber also die verwendbare Datenmenge begrenzt, umso schwerer wiegt der Eingriff. Eng mit der Regelung der Menge der verwendbaren Daten hängt auch die Regelung der Art der verwendbaren Daten zusammen. Je weniger die verwendbaren Daten der Art nach eingeschränkt sind, umso größer ist die zur Verarbeitung gelangende Datenmenge und umso höher ist tendenziell das Eingriffsgewicht. Die Art der Daten ist aber auch für sich genommen für das Eingriffsgewicht von Bedeutung, weil die Verwendung unterschiedlicher Daten direkt oder mittelbar unterschiedliche Persönlichkeitsrelevanz entfalten kann. Die Art und der Umfang der einbezogenen Daten und deren Auswirkungen auf das [X.]ewicht des [X.]rundrechtseingriffs können durch verschiedene Vorkehrungen näher bestimmt und beschränkt sein.

(a) [X.] kann durch gesetzliche Regeln über die Herkunft der Daten reduziert sein, etwa durch eine Begrenzung auf Daten, die die Behörde selbst erhoben hat oder die eine andere Behörde desselben [X.], jedenfalls aber eine andere inländische Behörde erhoben hat, durch den Ausschluss von Daten, die aus [X.] Netzwerken erhoben wurden, eine Begrenzung auf schon ursprünglich von einer polizeilichen Behörde (des betroffenen [X.]) erhobene Daten oder durch einen Ausschluss von Daten, die ursprünglich von nachrichtendienstlichen Behörden erhoben wurden.

(b) Die verwendbaren Daten können auch mit Blick auf die Umstände der Ersterhebung gesetzlich nach Art und Menge begrenzt sein. Insbesondere Regelungen zur Sicherung der Zweckbindung (Rn. 55 ff.) tragen zugleich zu einer Begrenzung des Datenumfangs bei. Wenn durch organisatorische oder technische Vorkehrungen gesichert wird, dass Daten nur ihrer rechtlichen Verwendbarkeit gemäß weiterverarbeitet werden und wenn die rechtliche Verwendbarkeit hinreichend eng gefasst ist, kann dies den Umfang der verarbeitbaren Daten erheblich reduzieren. [X.] Sicherungen, die die Einhaltung der Zweckbindung sicherstellen, können etwa in der technischen Trennung von Datenbeständen nach unterschiedlichen Verarbeitungszwecken oder in einer zweckabhängigen Verteilung von Zugriffsrechten auf Datenbestände bestehen (vgl. [X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], Stand: 1. Oktober 2022, § 20 [X.], Rn. 105).

[X.] wirkt auch der Ausschluss der Verarbeitung von Daten, die ursprünglich durch besonders schwere [X.]rundrechtseingriffe erlangt wurden (so etwa § 6a Abs. 3 i.V.m. § 4 [X.]). Allerdings dürfen Daten, die aus einer Wohnraumüberwachung oder aus einer [X.] gewonnen wurden, in eine der vorbeugenden Bekämpfung von Straftaten dienende Datenanalyse oder -auswertung ohnehin nur unter sehr engen Voraussetzungen einbezogen werden; wegen des besonderen [X.] ließe sich dies nicht bei einer unterhalb der dringenden oder im Einzelfall hinreichend konkretisierten [X.]efahr liegenden [X.] rechtfertigen (vgl. [X.] 141, 220 <326 Rn. 283; 329 Rn. 291>). Auch Daten, die aus anderen schwerwiegenden [X.] gewonnen wurden, dürfen in eine der vorbeugenden Bekämpfung von Straftaten dienende Datenanalyse oder -auswertung schon nach dem [X.]rundsatz der Zweckbindung zweckändernd nur dann einbezogen werden, wenn sich hieraus im Einzelfall konkrete Ermittlungsansätze zur Abwehr von zumindest auf mittlere Sicht drohenden [X.]efahren ergeben (vgl. [X.] 141, 220 <329 Rn. 290>; s. auch oben Rn. 63).

Neben den [X.] kann eine herkunftsbezogene Eingrenzung der Daten auch dadurch erfolgen, dass nur Daten in die automatisierte Anwendung einbezogen werden, die bei der Wahrnehmung bestimmter polizeilicher Aufgaben angef[X.] sind (vgl. etwa § 2 Satz 1 1. Halbsatz [X.] - nur Daten aus der Terrorismusbekämpfung).

(c) Die Datenmenge lässt sich auch durch einen engeren Zuschnitt der mit der Datenanalyse oder -auswertung vorbeugend zu bekämpfenden Straftaten begrenzen, indem nur Daten verwendet werden, deren Einbeziehung für die Bekämpfung dieser näher eingegrenzten Straftaten erforderlich ist (vgl. etwa § 2 Satz 1 a.E. [X.]).

(d) [X.] wirkt zudem, wenn lediglich Daten Verwendung finden, die sich auf Personen beziehen, bezüglich derer die Polizei tatsächliche Anhaltspunkte besitzt, dass diese selbst in (hinreichend gewichtige) Straftaten verfangen sind oder dass sie Kontaktperson zu einer solchen Person sind (vgl. etwa § 2 und § 3 Abs. 2 [X.]). Hierdurch würde das Risiko reduziert, dass Informationen über Personen gewonnen werden, die selbst keinen zurechenbaren Anlass gegeben haben und dann anlassfrei operativen Folgemaßnahmen der Polizei ausgesetzt sein könnten.

(e) Die Datenmenge wird auch durch Regelungen über Aufbewahrungsfristen und [X.] bestimmt. Soweit mit der Einbeziehung von Verkehrsdaten, insbesondere den aus [X.] gewonnenen Daten (vgl. etwa § 100g Abs. 3 StPO), in den für die automatisierte Datenanalyse oder -auswertung bereitstehenden Datenpool eine breitere bevorratende Speicherung von Verkehrsdaten möglich ist, müssen jedenfalls die erfassbaren Datenmengen substantiell begrenzt und eine Höchstspeicherungsdauer geregelt sein (vgl. für die nachrichtendienstliche [X.] [X.] 154, 152 <259 Rn. 191>).

Als das Eingriffsgewicht mindernd ist hingegen einzustellen, wenn in die Datenanalyse oder -auswertung zwar eine große Zahl von Daten vieler überwiegend nichtbeteiligter Personen einbezogen wird, der Datenabgleich aber in Sekundenschnelle durchgeführt wird und die erfassten Daten im Nichttrefferfall keine weitere polizeiliche Tätigkeit veranlassen (vgl. [X.] 150, 244 <283 Rn. 97>).

(f) Darüber hinaus kann eine Regelung zugelassener [X.]en (vgl. etwa § 3 Abs. 1 [X.]) je nach der inhaltlichen Ausgestaltung begrenzende Wirkung entfalten. Das gilt auch für eine Regelung der einbeziehbaren Dateiformate, wie etwa von Bildern, Video- und Audioaufnahmen in die Datenanalyse oder -auswertung. [X.] kann etwa der Ausschluss biometrischer Daten wirken.

(g) Praktisch kann zur Reduktion der Menge verarbeitbarer Daten auch beitragen, wenn vorgegeben wird, dass Dateien nicht automatisiert einbezogen werden, sondern für jeden Analyse- oder Auswertungsvorgang händisch hinzugezogen werden müssen. [X.] wirkt demgegenüber etwa eine Verknüpfung der Analyse- oder Auswertungseinrichtung mit dem [X.], weil dies die Verarbeitung besonders großer Datenmengen praktisch fördert.

(h) Auch eine technisch und organisatorisch gesicherte Beschränkung des Zugriffs lediglich einer begrenzten Zahl von Mitarbeitenden und eine besondere Qualifizierung dieser Personen kann praktisch die Menge der durch Datenanalyse oder -auswertung verarbeitbaren personenbezogenen Daten begrenzen. Je weniger Personen Zugriff auf das Analyseinstrument haben und je zielgenauer der Zugriff erfolgt, umso weniger Analyse- oder [X.] dürften tendenziell in [X.]ang gesetzt werden und umso weniger Daten werden verarbeitet.

(3) Daneben beeinflusst die zugelassene Methode der Datenanalyse oder -auswertung die [X.]. Besonderes Eingriffsgewicht kann der Einsatz komplexer Formen des [X.] haben. Wenn die Polizei aus den zur Verfügung stehenden Daten mit praktisch [X.] informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen, daraus neue Zusammenhänge erschließen, aus mehrstufigen Analysen neue Verdachtsmomente erzeugen und hieran weitere Analyseschritte oder operative Maßnahmen anschließen kann, können die Nachteile auf [X.]rund einer automatisierten Datenanalyse oder -auswertung für die Betroffenen erheblich sein und das [X.]ewicht der individuellen Beeinträchtigung bedeutend erhöhen (vgl. [X.] 156, 11 <39 f. Rn. 73> m.w.N.). Bei komplexen Formen des [X.] besteht zudem mit Blick auf individuellen Rechtsschutz und aufsichtliche Kontrolle und die dafür unerlässliche Möglichkeit, Fehler zu erkennen und zu korrigieren, die Schwierigkeit der Nachvollziehbarkeit der eingesetzten Algorithmen (vgl. [X.] 154, 152 <259 f. Rn. 192>). Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso [X.], je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die [X.]en Verknüpfungen nachvollzogen werden können.

(a)Das Eingriffsgewicht wird geringer, je mehr der Vorgang der automatisierten Datenanalyse oder -auswertung methodisch einem einfachen Datenabgleich angenähert ist. Beim einfachen Abgleich erfolgt die Suche nach einem vorhandenen Datenbestand etwa über eine Person, indem im jeweiligen System die eingegebenen Daten des Betroffenen an den gespeicherten Daten vorbeigeführt werden; als automatisches Datenverarbeitungsverfahren führt der [X.] insoweit regelmäßig Datenbestände zusammen, um Übereinstimmungen der Daten festzustellen oder Daten des einen Bestands in den anderen zu überführen (vgl. [X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 25 [X.], Rn. 9 f.). Der einfache Abgleich ist also ein suchender Vergleich von Daten zur Feststellung von Übereinstimmungen (vgl. auch [X.] [X.] 21/40, Anlage 1, S. 6).

Die Komplexität des suchenden Vergleichs kann sich allerdings durch eine höhere Zahl an [X.]n und Verknüpfungen erhöhen. Ist die Zahl der vorprogrammierten [X.], die sich ohne weiteren, im Einzelfall menschlich veranlassten Anstoß vollziehen könnten, aber von vornherein begrenzt, reduziert dies die Verknüpfungsmöglichkeiten und trägt zur Senkung des [X.] bei.

(b) Das Eingriffsgewicht ist dagegen umso höher, je offener die Methode des Suchvorgangs gestaltet ist und je weniger die automatisierte Datenanalyse oder -auswertung durch - auch mit Erkenntnissen und Annahmen zu dem konkreten Sachverhalt gespeiste - polizeiliche Suchmuster gesteuert wird. Denn je offener ein automatisierter Suchvorgang zur vorbeugenden Bekämpfung von Straftaten im Vorfeld konkreter [X.]efahren ausgestaltet ist, je weniger Sachverhaltsbezug die Suche also hat, umso eher werden durch die Suche überhaupt erst Anhaltspunkte für eine [X.]efahr generiert. Das Eingriffsgewicht erhöht sich insbesondere, wenn die Datenanalyse oder -auswertung nicht auf einem Suchbegriff, jedenfalls nicht auf einem auf den bislang erkennbaren Sachverhalt bezogenen Suchbegriff gründet, sondern darauf zielt, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, die darüber hinaus (automatisiert) in weiteren [X.]n mit bestimmten Datenbeständen verknüpft werden und so zu weiteren Informationen führen können, nach denen zu suchen die Polizei zuvor keinen Anlass hatte.

Der [X.]rundrechtseingriff gewinnt auch an [X.]ewicht, wenn [X.] nicht auf näher umschreibbare Personen ausgerichtet sind und keine sachliche Verbindung zwischen dem gefährdeten Rechtsgut und den von der automatisierten Anwendung Betroffenen vorausgesetzt wird. Es fehlt dann jede tatsachengestützte Verbindung zu einer konkret verantwortlichen Person. Ein solcher Bezug wird dann überhaupt erst durch die Maßnahme hergestellt, und es steigt das Risiko, dass Personen in weitere polizeiliche Maßnahmen einbezogen werden, die dafür keinen zurechenbaren Anlass gegeben haben (vgl. auch [X.] 115, 320 <361 f.>; [X.], Beschluss des [X.] vom 9. Dezember 2022 - 1 BvR 1345/21 -, Rn. 189 - zur Rasterfahndung).

Die mit einer offenen Suche verbundenen [X.]efahren werden durch eine anspruchsvoll ausgestaltete [X.] verringert (Rn. 104 ff.), können aber auch schon durch eine Einschränkung der Datenverarbeitungsmethode gesenkt werden, wenn der Suchvorgang eingrenzend so geregelt ist, dass er einen Bezug zu einem konkreteren Suchanlass voraussetzt. Je geringere Anforderungen der [X.]esetzgeber an den Anlass einer Datenanalyse oder -auswertung stellt, umso genauer und enger muss er die Methode der Suche regeln. Eine weder im Einzelfall durch einen konkreten Anlass getragene noch durch Vorgaben zur [X.] inhaltlich eingeschränkte automatisierte Durchsuchung großer Bestände personenbezogener Daten auf bislang unbekannte [X.]esetzmäßigkeiten und gefahrenabwehrrechtlich bedeutende Zusammenhänge hin ist verfassungsrechtlich unzulässig. Erlaubt die gesetzlich zugelassene Methode eine Auswertung großer Datenmengen insbesondere auch auf statistische Zusammenhänge hin, ist zudem eine ausreichende Datenqualität sicherzustellen und es müssen Vorkehrungen dagegen getroffen sein, dass die Auswahl der einbezogenen Daten unangemessen verzerrende, diskriminierende Wirkungen entfalten kann (vgl. Rn. 77).

(c) Das Eingriffsgewicht hängt zudem davon ab, welche Art von Suchergebnissen durch eine automatisierte Datenanalyse oder -auswertung erzielt wird.

So ist das Eingriffsgewicht regelmäßig geringer, wenn die Datenanalyse oder -auswertung nicht auf personenbezogene Erkenntnisse, sondern etwa auf die Erkennung gefährlicher oder gefährdeter Orte zielt.

Besonders eingriffsintensiv ist hingegen, wenn Ergebnis der automatisierten Anwendung personenbezogene Erkenntnisse sind und dieses Ergebnis maschinelle Sachverhaltsbewertungen enthält, die also über die bloße Anzeige von Übereinstimmungen zwischen dem Suchkriterium und den durchsuchten Daten hinausgehen. [X.] ist insbesondere, wenn im Sinne eines "predictive policing" maschinell [X.]efährlichkeitsaussagen über Personen getroffen werden (vgl. dazu [X.], AöR 142 <2017>, S. 366 ff. m.w.N.).

(d) Das [X.]ewicht des in der Erlangung neuen Wissens durch eine automatisierte Datenanalyse liegenden eigenen Eingriffs in die informationelle Selbstbestimmung kann sich aber dadurch verringern, dass die Verwendung dieser neuen Informationen an spezifische Voraussetzungen geknüpft wird. Denn für das [X.]ewicht des Eingriffs in die informationelle Selbstbestimmung ist generell auch von Bedeutung, wie die gewonnenen personenbezogenen Informationen weiterverwendet werden und welche Folgen dies für die Betroffenen haben kann (vgl. [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 157 m.w.N.; stRspr).

(e) Besonderes Eingriffsgewicht kann je nach Einsatzart die Verwendung lernfähiger Systeme, also Künstlicher Intelligenz [X.]), haben.Deren Mehrwert, zugleich aber auch ihre spezifischen [X.]efahren liegen darin, dass nicht nur von den einzelnen Polizistinnen und Polizisten aufgegriffene kriminologisch fundierte Muster Anwendung finden, sondern solche Muster automatisiert weiterentwickelt oder überhaupt erst generiert und dann in weiteren Analysestufen weiter verknüpft werden. Mittels einer automatisierten Anwendung könnten so über den Einsatz komplexer Algorithmen zum Ausweis von Beziehungen oder Zusammenhängen hinaus auch selbstständig weitere Aussagen im Sinne eines "predictive policing" getroffen werden. So könnten besonders weitgehende Informationen und Annahmen über eine Person erzeugt werden, deren Überprüfung spezifisch erschwert sein kann. Denn komplexe algorithmische Systeme könnten sich im Verlauf des maschinellen Lernprozesses immer mehr von der ursprünglichen menschlichen Programmierung lösen, und die maschinellen Lernprozesse und die Ergebnisse der Anwendung könnten immer schwerer nachzuvollziehen sein (vgl. [X.], Urteil vom 21. Juni 2021, [X.], [X.]/19, [X.]:[X.]:[X.], Rn. 195). Dann droht zugleich die staatliche Kontrolle über diese Anwendung verloren zu gehen. Wird Software privater Akteure oder anderer [X.] eingesetzt, besteht zudem eine [X.]efahr unbemerkter Manipulation oder des unbemerkten Zugriffs auf Daten durch Dritte (vgl. Wissenschaftlicher Dienst des Deutschen [X.]tags, [X.] durch die Polizei. [X.]rundrechte und Datenschutzrecht, 2. März 2020, [X.]-3000-018/20, S. 8 m.w.N.). Eine spezifische Herausforderung besteht darüber hinaus darin, die Herausbildung und Verwendung diskriminierender Algorithmen zu verhindern. Daher dürften selbstlernende Systeme in der Polizeiarbeit nur unter besonderen verfahrensrechtlichen Vorkehrungen zur Anwendung kommen, die trotz der eingeschränkten Nachvollziehbarkeit ein hinreichendes Schutzniveau sichern.

Aber auch die [X.] deterministischer Systeme, deren Analysefunktion sich also nicht eigenständig verändern kann, sondern in der Software unveränderlich vorprogrammiert ist, können komplex und für die [X.] und Betroffenen schwer nachvollziehbar sein. Können eingriffsintensive Methoden der Datenauswertung, insbesondere komplexe Formen des [X.] zum Einsatz kommen, muss der [X.]esetzgeber für schützende Regelungen sorgen (vgl. [X.] 154, 152 <259 f. Rn. 192>).

(f) Wie schwer Eingriffe durch automatisierte Datenanalyse oder -auswertung wiegen, hängt insgesamt auch davon ab, wie fehleranfällig die eingesetzte Datenauswertungstechnologie ist und ob gegebenenfalls Vorkehrungen zur Entdeckung und Korrektur von Fehlern getroffen sind.

[X.]) Mit der vom [X.]esetzgeber durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der [X.] steuerbaren [X.] korrespondieren die verfassungsrechtlichen Anforderungen an die [X.]. Ob eine Ermächtigung zur automatisierten Datenanalyse oder -auswertung verfassungsrechtlichen Anforderungen genügt, hängt mithin auch davon ab, ob der [X.]esetzgeber angesichts der konkreten Ausgestaltung der Befugnis ausreichende [X.] geregelt hat. Die dem Eingriffsgewicht entsprechenden Anforderungen des [X.]ebots der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Maßnahme zu schützende Rechtsgut als auch an die [X.], also den Anlass der Maßnahme (vgl. auch [X.] 141, 220 <269 Rn. 104, 270 f. Rn. 106 ff., 271 ff. Rn. 109 ff.>; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 174; Beschluss des [X.] vom 9. Dezember 2022 - 1 BvR 1345/21 -, Rn. 89; dazu unten Rn. 104 ff.). Wie ausgeführt (Rn. 75 ff.), stehen dem [X.]esetzgeber dabei vielfältige Möglichkeiten zur Verfügung, um das [X.]ewicht des mit einer automatisierten Datenanalyse oder -auswertung verbundenen Eingriffs in die informationelle Selbstbestimmung so zu steuern, dass es in einem angemessenen Verhältnis zur jeweiligen [X.] und zum [X.]ewicht der bezweckten [X.] steht (vgl. auch [X.] 115, 320 <360>). Ermöglicht die automatisierte Anwendung einen eigenständig schweren Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter engen Voraussetzungen zu rechtfertigen (1). Weniger gewichtige Eingriffe können schon aus geringerem Anlass zu rechtfertigen sein (2). Unter Umständen kann sogar die Einhaltung des [X.]rundsatzes der Zweckbindung ausreichen (3). In jedem Fall ergeben sich aus dem Verhältnismäßigkeitsgrundsatz Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle (4).

(1) Ermöglicht die automatisierte Anwendung einen nach den genannten Kriterien schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten.

(a) Es sind dann hohe Anforderungen an das durch die automatisierte Datenanalyse oder -auswertung zu schützende Rechtsgut zu stellen. Heimliche Überwachungsmaßnahmen, die tief in das Privatleben hineinreichen, sind nur zum Schutz besonders gewichtiger Rechtsgüter zulässig ([X.] 141, 220 <270 Rn. 108>). Zu den besonders gewichtigen Rechtsgütern zählen vor allem Leib, Leben und Freiheit der Person sowie Bestand oder Sicherheit des [X.] oder eines [X.] (vgl. [X.] 133, 277 <365 Rn. 203>; 141, 220 <270 f. Rn. 108, 328 ff. Rn. 288, 292>; 154, 152 <269 Rn. 221>; 156, 11 <55 Rn. 116>; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 243). Vergleichbares [X.]ewicht entfalten kann der Schutz von Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, sofern darunter einem engen Verständnis folgend etwa wesentliche Infrastruktureinrichtungen oder sonstige Anlagen mit unmittelbarer Bedeutung für das [X.]emeinwesen gefasst werden (vgl. [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 244, unter Verweis auf [X.] 141, 220 <296 Rn. 183> sowie [X.] 133, 277 <365 Rn. 203>). Auch kann der [X.]esetzgeber darauf verzichten, das erforderliche Rechtsgut unmittelbar zu benennen und stattdessen an entsprechende Straftaten anknüpfen, deren Verhütung mit der Befugnis bezweckt ist (vgl. [X.] 154, 152 <269 Rn. 221>; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 244).

(b) Auch der [X.] muss dann streng begrenzt sein. Die verfassungsrechtlich erforderliche [X.] ist hier wie für die meisten heimlichen, tief in die Privatsphäre eingreifenden Überwachungsmaßnahmen der [X.]efahrenabwehrbehörden die hinreichend konkretisierte [X.]efahr (dazu im Einzelnen [X.] 141, 220 <272 f. Rn. 112>). Das ist die allgemeine [X.] für heimliche Überwachungsmaßnahmen der [X.]efahrenabwehrbehörden (vgl. [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 248 m.w.N.). Eine hinreichend konkretisierte [X.]efahr setzt voraus, dass zumindest tatsächliche Anhaltspunkte für die Entstehung einer konkreten [X.]efahr für die Schutzgüter bestehen. Allgemeine Erfahrungssätze reichen insoweit allein nicht aus. Vielmehr müssen bestimmte Tatsachen festgestellt sein, die im Einzelfall die Prognose eines [X.]eschehens, das zu einer zurechenbaren Verletzung der hier relevanten Schutzgüter führt, tragen. Eine hinreichend konkretisierte [X.]efahr in diesem Sinne kann danach schon bestehen, wenn sich der zum Schaden führende Kausalverlauf noch nicht mit hinreichender Wahrscheinlichkeit vorhersehen lässt, sofern bereits bestimmte Tatsachen auf eine im Einzelfall drohende [X.]efahr für ein überragend wichtiges Rechtsgut hinweisen. Die Tatsachen müssen dafür zum einen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares [X.]eschehen zulassen, zum anderen darauf, dass bestimmte Personen beteiligt sein werden, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann ([X.] 141, 220 <272 Rn. 112>).

(2) Hingegen können weniger gewichtige Eingriffe beim Vorliegen einer konkretisierten [X.]efahr bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem [X.]ewicht dienen, wie dies etwa bei der Verhütung von Straftaten von zumindest erheblicher Bedeutung der Fall ist. Umgekehrt kann dann eine [X.] genügen, die noch hinter einer konkretisierten [X.]efahr zurückbleibt, wenn die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient (vgl. [X.] 155, 119 <188 f. Rn. 150> m.w.N.). Während also bei eingriffsintensiven Maßnahmen eine konkretisierte [X.]efahr und der Schutz besonders gewichtiger Rechtsgüter zusammenkommen müssen, genügt bei weniger eingriffsintensiven Maßnahmen, wenn die gesetzliche Ermächtigungsnorm eine konkretisierte [X.]efahr oder den Schutz besonders gewichtiger Rechtsgüter voraussetzt (vgl. [X.], Beschluss des [X.] vom 9. Dezember 2022 - 1 BvR 1345/21 -, Rn. 173). Dies kommt hier insbesondere dann in Betracht, wenn der [X.]esetzgeber das [X.] oder -auswertung durch eine strengere Regelung zu Art und Umfang der verwertbaren Daten und zur [X.] verringert.

(3) Sind die einbeziehbaren Daten gesetzlich nach Art und Umfang in einer Weise reduziert und die möglichen Methoden der automatisierten Analyse oder Auswertung von vornherein so eingeschränkt, dass eine auf die Befugnis gestützte Maßnahme nicht zu tieferen Einsichten in die persönliche Lebensgestaltung der Betroffenen führt als sie die Behörde, wenngleich aufwendiger und langsamer, auch ohne automatisierte Anwendung realistisch erlangen könnte, oder zielt die Befugnis von vornherein nur darauf, gefährliche oder gefährdete Orte zu identifizieren, ohne dabei personenbezogene Informationen zu generieren, kann sogar die Einhaltung des [X.]rundsatzes der Zweckbindung ausreichen, um die weitere Verarbeitung der Daten in einer automatisierten Anwendung zu rechtfertigen (Rn. 55). Eine gänzlich anlasslose automatisierte Auswertung personenbezogener Daten durch Polizeibehörden zur vorbeugenden Bekämpfung von Straftaten wäre zwar verfassungsrechtlich unzulässig; die Einhaltung des verfassungsrechtlichen [X.]rundsatzes der Zweckbindung sichert dann jedoch, dass es einen [X.] gibt.

(4) Der Verhältnismäßigkeitsgrundsatz stellt hier in jedem Fall auch Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle (vgl. [X.] 141, 220 <282 Rn. 134> m.w.N.; stRspr). Insbesondere einer sachgerechten Ausgestaltung der Kontrolle kommt große Bedeutung zu. Diese kann angesichts der möglicherweise hohen Zahl von Maßnahmen etwa nach einem abgestuften Kontrollkonzept zwischen unabhängigen und behördlichen Datenschutzbeauftragten aufgeteilt und auch als stichprobenartiges Vorgehen geregelt werden. Für eine effektive Kontrolle unerlässlich ist dabei, dass eigenständig ausformulierte Begründungen dafür gegeben werden, warum bestimmte Datenbestände zur Verhütung bestimmter Straftaten im Wege automatisierter Anwendung analysiert werden. Wird Software eingesetzt, die komplexere Formen des automatisierten Abgleichs von Daten erlaubt, sind auch Vorkehrungen gegen eine hiermit spezifisch verbundene Fehleranfälligkeit erforderlich, was auch gesetzliche Regelungen zu einem staatlichen Monitoring der Entwicklung der eingesetzten Software erfordern kann. Welche Anforderungen an den flankierenden Schutz im Einzelnen zu stellen sind, ist nicht [X.]egenstand dieses Verfahrens.

dd) [X.] einer wenigstens konkretisierten [X.]efahr für besonders gewichtige Rechtsgüterist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das [X.]n erheblich gesenkt ist. [X.]rundsätzlich kann der [X.]esetzgeber diese Regelungsaufgabe zwischen sich und der Verwaltung aufteilen (1). Er muss aber sicherstellen, dass unter Wahrung des [X.] insgesamt ausreichende Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten (2) und zur Beschränkung der Datenverarbeitungsmethoden(3) getroffen werden.

Ob der [X.]esetzgeber ergänzende Regelungen zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der [X.]n auch dann treffen muss, wenn er die Datenanalyse und -auswertungsbefugnis an die strenge Voraussetzung einer wenigstens konkretisierten [X.]efahr für besonders gewichtige Rechtsgüter bindet, muss hier nicht beantwortet werden. [X.]egenstand ist hier auch nicht, ob die verfassungsrechtlichen Anforderungen der Zweckbindung für die Datenanalyse oder -auswertung hinreichend gesetzlich geregelt sind und ob hinreichende Regelungen zu Transparenz, individuellem Rechtsschutz und aufsichtlicher Kontrolle bestehen (Rn. 48). Damit stellt sich hier insoweit auch die Frage der Vereinbarkeit mit dem [X.]esetzesvorbehalt nicht.

(1) Will der [X.]esetzgeber der Polizei eine Befugnis zur automatisierten Datenanalyse oder -auswertung - wie hier - bereits für die vorbeugende Bekämpfung von Straftaten, also im Vorfeld einer konkretisierten [X.]efahr einräumen, muss er zur Wahrung der Verhältnismäßigkeit die [X.] der Maßnahme reduzieren. Bei den hierfür bestehenden Möglichkeiten zur Begrenzung insbesondere von Art und Umfang der Daten und der [X.]n sind die Anforderungen des [X.] zu beachten. Der [X.]esetzgeber muss die wesentlichen [X.]rundlagen zur Begrenzung von Art und Umfang der Daten und der [X.]n selbst durch [X.]esetz vorgeben. Wegen der besonderen Technizität und der raschen Fortentwicklungsbedürftigkeit der hier zur Milderung des Eingriffs benötigten Regelungen kann er, soweit eine tiefergehende gesetzliche Normierung nicht praktikabel erscheint, die Verwaltung zur näheren Regelung organisatorischer und technischer Einzelheiten ermächtigen. Er muss aber sicherstellen, dass im Zusammenwirken der gesetzlichen Vorgaben mit den Regelungsermächtigungen und -verpflichtungen der Verwaltung Art und Umfang der Daten und die [X.]n insgesamt inhaltlich ausreichend, normenklar und transparent begrenzt sind.

Zur Regelung von Aspekten, die nicht unmittelbar vom [X.]esetzgeber selbst zu normieren sind, kommt zunächst eine Verordnungsermächtigung in Betracht. Darüber hinaus kann der [X.]esetzgeber hier die Verwaltung verpflichten, die im [X.]esetz oder in Rechtsverordnungen geregelten Vorgaben in [X.]er Form weiter zu konkretisieren. In jedem Fall bedarf die Konkretisierung durch Verwaltungsvorschriften aber einer gesetzlichen [X.]rundlage. Darin hat der [X.]esetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird (vgl. auch [X.] 133, 277 <357 Rn. 183>). Sind die Vorgaben zu Art und Umfang der in die automatisierte Datenanalyse oder -auswertungeinbeziehbaren Daten und der zulässigen [X.]n aus dem [X.]esetz selbst nur begrenzt erkennbar, bedürfen sie nachvollziehbarer Konkretisierung und Standardisierung durch die Verwaltung. Es ist dann auch deshalb ein Ausgleich durch besondere Transparenzanforderungen an die Verwaltung geboten, weil die Durchführung einer automatisierten Datenanalyse oder -auswertung in der Regel von den Betroffenen nicht wahrgenommen wird und sich die Konkretisierung der gesetzlichen Vorgaben damit kaum im Wechselspiel von Verwaltungsakt und gerichtlicher Kontrolle vollzieht. Mangels verwaltungsgerichtlicher Kontrolle fällt somit ein zentraler Mechanismus notwendiger Begrenzung konkretisierungsbedürftiger Befugnisnormen weitgehend aus. Um diese Besonderheit auszugleichen, hat der [X.]esetzgeber zu gewährleisten, dass die Verwaltung die für die Durchführung einer automatisierten Datenanalyse oder -auswertung im Einzelfall maßgeblichen Vorgaben und Kriterien in [X.]er Form festlegt und verlässlich dokumentiert wie auch in einer vom [X.]esetzgeber näher zu bestimmenden Weise veröffentlicht. Eine solche Festlegung, Dokumentation und Offenlegung dient zum einen der Einhegung der der Verwaltung eingeräumten Befugnisse. Zum anderen sichert sie ein hinreichendes Kontrollniveau. Denn die Dokumentation und Offenlegung der von der Verwaltung festgelegten Kriterien versetzt insbesondere die Datenschutzbeauftragten in die Lage, die Anwendung der Befugnis durch die Exekutive zu kontrollieren (vgl. [X.] 133, 277 <357 f. Rn. 184> m.w.N.).

Der [X.]esetzgeber muss die von ihm selbst zu normierenden Maßgaben auch hinreichend bestimmt und normenklar regeln (vgl. dazu [X.] 156, 11 <45 f. Rn. 86 f.>). Soweit sich Maßgaben zur Eingrenzung zulässiger Datenverarbeitung bereits aus Vorschriften des allgemeinen oder des polizeilichen Datenschutzrechts ergeben, muss deren Anwendbarkeit auf die Datenanalyse oder -auswertungsbefugnis sowohl für die Behörde als auch für Bürgerinnen und Bürger hinreichend deutlich erkennbar sein, und es muss auch hinreichend klar sein, was daraus für die praktische Ausgestaltung gerade der Datenanalyse oder -auswertungsbefugnis folgt.

(2)Will der [X.]esetzgeber die [X.] der automatisierten Datenanalyse oder -auswertung verringern, um dieses Instrument auch im Vorfeld einer konkretisierten [X.]efahr einsetzen zu können, muss er grundlegende Vorgaben zu Art und Umfang der in der automatisierten Datenanalyse oder -auswertungverwendbaren Daten selbst regeln.

Im [X.]esetz selbst ist insbesondere zu regeln, welche Datenbestände einbezogen werden dürfen und inwiefern dies automatisiert erfolgen darf. Wenn der [X.]esetzgeber die verwendbaren Datenbestände nicht selbst abschließend aufzählt, muss er sicherstellen, dass dies untergesetzlich [X.] geregelt und veröffentlicht wird. Wie weit der [X.] (automatisiert) einbeziehbarer Datenbestände in der Sache gefasst werden kann, ist verfassungsrechtlich nicht starr vorgegeben. Jedoch ist die [X.] umso höher, je größer und zahlreicher die verwendbaren Datenbestände sind (Rn. 78 ff.); entsprechend höher müssen dann die Anforderungen an den [X.] und das zu schützende Rechtsgut ausf[X.].

Sofern die für die automatisierte Datenanalyse oder -auswertung verwendbaren Datenbestände nicht von vornherein inhaltlich und mengenmäßig sehr eng begrenzt sind, muss der [X.]esetzgeber zur Begrenzung der automatisierten Anwendung zudem sicherstellen, dass nur einzelne, entsprechend qualifizierte Mitarbeiterinnen und Mitarbeiter der Polizei Zugriff auf die Einrichtung haben und davon nur in dem durch den gesetzlich zu regelnden [X.] erforderlichen Zusammenhang [X.]ebrauch machen können. Die Begrenzung der Zugriffsmöglichkeiten ist über die rechtliche Begrenzung hinaus durch organisatorische und technische Vorkehrungen sicherzustellen. Technische Einzelheiten können in zu veröffentlichenden Verwaltungsvorschriften geregelt werden.

Schon wegen des verfassungsrechtlichen [X.]rundsatzes der Zweckbindung von Daten (Rn. 55 ff.) ist dagegen durch das [X.]esetz selbst zu regeln, dass Daten, die aus Wohnraumüberwachung oder [X.]gewonnen wurden, in eine der vorbeugenden Bekämpfung von Straftatendienende Datenanalyse oder -auswertungnicht einbezogen werden dürfen (Rn. 59, 64). Auch soweit Daten aus anderen schwerwiegenden [X.] gewonnen wurden, ist eine weitere Verwendung inhaltlich auf Konstellationen zu begrenzen, in denen sie Informationen enthalten, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Abwehr von zumindest auf mittlere Sicht drohenden [X.]efahren für vergleichbar gewichtige Rechtsgüter ergeben (Rn. 63). Der [X.]esetzgeber muss auch dies selbst regeln. Für beide Konstellationen muss er zudem regeln, dass die Einschränkung durch entsprechende technische und organisatorische Vorkehrungen wirksam gesichert wird, die den Besonderheiten einer automatisierten Datenanalyse oder -auswertung, insbesondere bei automatisierter Einbindung von Datenbeständen, Rechnung tragen. Insbesondere müssen Informationen aus [X.] Datenerhebung vorab gekennzeichnet oder abgetrennt werden, um gegebenenfalls den Zugriff zu verhindern und dürfen nicht, wie der Prozessbevollmächtigte der Beschwerdeführenden im Verfahren 1 BvR 1547/19 befürchtet, erst nachträglich identifiziert werden (vgl. auch unten Rn. 144). Der [X.]esetzgeber kann dabei die konkrete Ausgestaltung entsprechender Schutzmaßgaben der Verwaltung überlassen, die diese aber normenklar [X.] regeln und veröffentlichen muss. Solange nicht auch praktisch sichergestellt ist, dass Daten, die aus besonders schwerwiegenden [X.] gewonnen wurden, nur unter den genannten Voraussetzungen in die automatisierte Datenanalyse oder -auswertung einbezogen werden können, darf die Befugnis nicht zur vorbeugenden Bekämpfung von Straftaten eingesetzt werden.

Es bestehen weitere Möglichkeiten, das Eingriffsgewicht mit Blick auf Art und Umfang der in der automatisierten Datenanalyse oder -auswertung verwendbaren Daten zu mindern (Rn. 78 ff.). Auch insoweit gilt aber der [X.]esetzesvorbehalt. Zu einer Absenkung der verfassungsrechtlichen Anforderungen an die gesetzliche [X.] oder das zu schützende Rechtsgut führen weitere Einschränkungen also nur, wenn die begrenzenden Maßgaben im Wesentlichen im [X.]esetz selbst geregelt oder durch dieses vorgegeben und durch die Verwaltung klar [X.] geregelt, dokumentiert und veröffentlicht sind.

(3) Wenn der [X.]esetzgeber die [X.] der automatisierten Datenanalyse oder -auswertung reduzieren will, um sie auch im Vorfeld einer konkretisierten [X.]efahr einsetzen zu können, muss er zudem einschränkende Vorgaben zur Methode der automatisierten Datenanalyse oder -auswertung machen und in ihren grundlegenden Zügen im [X.]esetz selbst regeln.

Der Einsatz selbstlernender Systeme muss dafür im [X.]esetz ausdrücklich ausgeschlossen sein. Darüber hinaus muss der [X.]esetzgeber selbst grundlegende Maßgaben zur Begrenzung des [X.] treffen. Es reicht nicht aus, dass die Polizeibehörden die Datenanalyse oder -auswertung faktisch so gestalten, dass sie nicht über einen einfachen Datenabgleich in automatisierter Form hinausgeht, insbesondere nicht automatisiert wiederholte [X.] zur Verknüpfung der [X.]rgebnisse mit weiteren Datenbeständen erfolgen. Eine Beschränkung der [X.] müsste vielmehr im [X.]esetz selbst angelegt sein. Der [X.]esetzgeber müsste auch wenigstens im Ansatz selbst regeln, wenn er das Eingriffsgewicht dadurch vermindern will, dass der Auswertung zur Vermeidung völlig offener [X.] einzelne Suchbegriffe zugrunde gelegt werden, in denen sich polizeiliche Suchmuster abbilden (dazu Rn. 93 ff.). Er müsste auch selbst wenigstens grundlegende Maßgaben treffen, wenn er das Eingriffsgewicht durch eine Begrenzung möglicher Analyseergebnisse reduzieren will (dazu Rn. 96 ff.). Sollen etwa maschinelle Sachverhaltsbewertungen ausgeschlossen werden, die über die Anzeige von Übereinstimmungen zwischen Suchkriterium und durchsuchten Datenbeständen hinaus gehen, sollen insbesondere maschinelle [X.]efährlichkeitsaussagen über Personen im Sinne eines "predictive policing" ausgeschlossen oder die Datenanalyse oder -auswertung von vornherein nur auf die Erkennung gefährlicher oder gefährdeter Orte gerichtet werden, ist das Eingriffsgewicht nur dann verringert, wenn der [X.]esetzgeber dies selbst vorgibt. Die nähere Strukturierung des [X.] könnte allerdings der Verwaltung aufgegeben werden (vgl. auch [X.] 154, 152 <259 Rn. 192>), die auch dies [X.] regeln und ihre Regelung veröffentlichen müsste.

Im Übrigen bestehen weitere Möglichkeiten, das Eingriffsgewicht der automatisierten Datenanalyse oder -auswertung mit Blick auf die [X.] zu mindern (oben Rn. 90 ff.), was aber nur dann zu einer Absenkung der verfassungsrechtlichen Anforderungen an die gesetzliche [X.] oder das zu schützende Rechtsgut führen kann, wenn die begrenzenden Maßgaben dem [X.]esetzesvorbehalt genügen und weitere Maßgaben durch die Verwaltung [X.] geregelt, dokumentiert und veröffentlicht sind.

c) Nach den dargelegten generellen Maßstäben ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnis zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] potenziell sehr hoch (aa), so dass diese Regelungen von Verfassungs wegen strengen [X.] genügen müssen (bb).

aa) Das Eingriffsgewicht der angegriffenen Befugnis zur Datenanalyse oder -auswertung ist hier nach [X.] und [X.] (1) und [X.] (2) potenziell sehr hoch.

(1) Die beiden Vorschriften begrenzen die Art und die Menge der bei einer Datenanalyse oder -auswertung einsetzbaren Daten kaum. Sie regeln nicht, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden dürfen.

(a) Die Vorschriften unterscheiden insbesondere nicht nach Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen (vgl. § 2 [X.]), und anderen Personen, obwohl insbesondere aus den Datenbeständen der Vorgangsbearbeitung (unten Rn. 133 ff.) und aus [X.] (unten Rn. 142) sehr viele Daten zu Personen in die Datenanalyse oder -auswertung eingehen könnten, die keinen Anlass für Maßnahmen zu einer vorbeugenden Bekämpfung schwerer Straftaten geben. Auch Datenbestände aus der Strafverfolgung können solche Daten enthalten, etwa die von Opfern oder Zeugen. Selbst die Einbeziehung von Personen, die einmal strafrechtlich oder polizeilich verantwortlich waren und deren Daten nach § 20 Abs. 6 und 7 [X.] und § 36 Abs. 2 und 3 HmbPolDV[X.] weiterverarbeitet werden können, sind dann häufig Nichtverantwortliche, denn die Normen fordern für die Einbeziehung solcher Daten keine Negativprognose (vgl. für § 20 Abs. 6 und 7 [X.] [X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 20 [X.], Rn. 117). Insgesamt lassen die Regelungen eine breite Einbeziehung von Daten Unbeteiligter zu (ebd., Rn. 123 f.), die deshalb weiteren polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten, obwohl sie hierfür keinen zurechenbaren Anlass gegeben haben.

(b) Die Normen treffen keine Regelung darüber, welche Datenbestände einbezogen werden dürfen. § 49 HmbPolDV[X.] begrenzt die Befugnis, anders als § 25a [X.], zwar auf in polizeilichen Dateisystemen gespeicherte Daten. Das setzt jedoch nicht voraus, dass es sich um originär von der Polizei erhobene Daten handelt und grenzt auch nicht weiter ein, woher die aktuell in polizeilichen Dateisystemen gespeicherten Daten stammen. Ausgeschlossen sind weder Daten aus anderen [X.]ländern, aus dem Zuständigkeitsbereich des [X.] oder aus anderen [X.]. Noch ist ausgeschlossen, dass die Daten von anderen, nicht polizeilichen Behörden oder auch von nicht-öffentlichen Stellen erlangt wurden. Auch die Weiterverwendung von Daten, die seitens nachrichtendienstlicher Behörden erhoben und zur Abwehr einer wenigstens konkretisierten [X.]efahr (vgl. [X.] 156, 11 <55 Rn. 118>; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 245; Beschluss des [X.] vom 28. September 2022 - 1 BvR 2354/13 -, Rn. 132 ff. - [X.]verfassungsschutzgesetz - Übermittlungsbefugnisse) übermittelt wurden, schließen die Regelungen nicht ausdrücklich aus.

Die Frage einer automatisierten Einbindung von Datenbeständen in die Datenanalyse oder -auswertung ist ebenfalls nicht speziell geregelt.

Auch die nur in § 49 HmbPolDV[X.], nicht aber in § 25a [X.] verwendete Formulierung des "Dateisystems" schränkt die verarbeitbaren Datenbestände nicht näher ein. Ein Dateisystem ist nach § 2 Abs. 13 HmbPolDV[X.] jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen [X.]esichtspunkten geordnet geführt wird. Typen und Zahl solcher polizeilichen Systeme oder deren Inhalt sind gesetzlich nicht vorgegeben. Der Begriff des "Dateisystems" erfasst auch mehr als die systematisch betriebenen automatisierten Datenbanken. Ohnehin besteht die Möglichkeit, Dateisysteme - gegebenenfalls kurzfristig - neu zu schaffen.

(c) Allerdings könnte sich aus andernorts allgemein geregelten Weiternutzungsvorschriften ergeben, dass bestimmte Daten und Datenbestände nicht in die Datenanalyse oder -auswertungeinbezogen werden dürfen. Um das Eingriffsgewicht von Maßnahmen nach §§ 25a [X.], 49 HmbPolDV[X.] verfassungsrechtlich maßgeblich senken zu können, müsste deren [X.]eltung und praktische Anwendung für die automatisierte Datenanalyse oder -auswertung jedoch genauer geregelt werden. In den angegriffenen Vorschriften fehlt hierzu jede Maßgabe. Insbesondere fehlt eine Normierung entsprechender organisatorisch-technischer Vorkehrungen.

(aa) [X.]rundsätzlich könnten allgemeine Regelungen über die weitere Nutzung von bereits erhobenen und gespeicherten Daten die Art und Menge der in eine Datenanalyse oder -auswertung einbeziehbaren Daten beschränken und damit das Eingriffsgewicht mindern. Für die Polizei in [X.] und in [X.] ergeben sich [X.]renzen der Weiterverarbeitung insbesondere aus dem allgemeinen [X.]rundsatz der Zweckbindung in § 20 [X.] und in § 34 HmbPolDV[X.]. In diesem Verfahren hat sich allerdings gezeigt, dass die Bedeutung der allgemeinen [X.] in § 20 [X.] und in § 34 HmbPolDV[X.] für die automatisierte Datenanalyse oder -auswertung teilweise ungewiss ist, diese Regelungen aber jedenfalls nicht in der erforderlichen Bestimmtheit und Normenklarheit zur Begrenzung des [X.] beitragen und eine begrenzende Wirkung auch aus praktischen [X.]ründen nicht ohne Weiteres entfalten können.

(α) So könnte, wie der Prozessbevollmächtigte der Freien und Hansestadt [X.] in der mündlichen Verhandlung dargelegt hat, § 49 HmbPolDV[X.] als Spezialregelung verstanden werden, die von den [X.] von vornherein befreit. Wegen der praktischen Schwierigkeiten, die Zweckbindung einzelner Daten bei dem gerade auf die Zusammenführung zu einem Datenpool und auf Automatisierung angelegten Instrument zu realisieren, ist dies fachrechtlich keine fernliegende Interpretation.

(β) Im [X.]n Recht besteht Ungewissheit, ob § 20 Abs. 9 Satz 3 [X.] so zu verstehen ist, dass die allgemeinen [X.] in § 20 Abs. 1 und 2 [X.] für die Einbeziehung der großen Menge von Daten aus der [X.] in die automatisierte Datenanalyse nach § 25a [X.] nicht gelten, beziehungsweise, ob § 20 Abs. 1 und 2 [X.], wenn sie denn Anwendung finden, zu einer nennenswerten Beschränkung der Datenmengen führen.

Die Einbeziehung von Daten der Vorgangsbearbeitung trägt erheblich zum Volumen der Datenanalyse bei. Ein "Vorgang" umfasst sämtliche Unterlagen, die im Zusammenhang einer polizeilichen Tätigkeit über eine bestimmte Person, Sache oder einen sonstigen [X.]egenstand polizeilichen Handelns geführt werden [X.]/[X.], in: [X.]/Denninger, Handbuch des Polizeirechts, 7. Aufl. 2021, Abschnitt [X.], Rn. 832 m.w.N.). In den [X.] erfasst die Polizei Daten, die sie für ihre konkrete polizeiliche Aufgabe und Sachbearbeitung im Einzelfall benötigt. Aufgenommen werden insbesondere Anzeigen, Ermittlungsberichte und Vermerke - auch zu Verkehrsunfällen. Die Systeme enthalten auch Daten zu Personen, die Anzeige erstatten oder Hinweise geben, zu Zeugen, Unfallbeteiligten und anderen Personen, die nicht Verdächtige oder Beschuldigte im Sinne des Strafprozessrechts oder Verantwortliche im Sinne des Polizeirechts sind (vgl. Arzt, in: [X.]/Denninger, Handbuch des Polizeirechts, 7. Aufl. 2021, Abschnitt [X.], Rn. 1184 m.w.N.). In [X.] sind diese Daten automatisiert in die Analyseplattform eingebunden (vgl. auch [X.] [X.], [X.]0).

Ob für diese Daten der Vorgangsbearbeitung bei Einbeziehung in die automatisierte Datenanalyse die Einschränkungen des § 20 Abs. 1 und 2 [X.] gelten, ist demnach für den Umfang der Datenverarbeitung sehr bedeutend. Das ist aber weder klar geregelt noch praktisch eindeutig geklärt. Von einer Nichtgeltung waren der [X.] Beauftragte für Datenschutz und Informationsfreiheit und der [X.]beauftragte für den Datenschutz und die Informationsfreiheit in ihren schriftlichen Stellungnahmen ausgegangen. Der Wortlaut von § 20 Abs. 9 [X.] ließe diese Interpretation ohne Weiteres zu, zumal es Wille des [X.]esetzgebers war, mittels der automatisierten Analyse die Trennung der Datenbestände in der bisherigen Form zu überwinden (vgl. [X.], [X.] f.). In der mündlichen Verhandlung haben hingegen das Ministerium wie auch der [X.] Beauftragte für Datenschutz und Informationsfreiheit vertreten, die allgemeine Zweckbindung gelte doch. § 20 Abs. 9 [X.] regelt diese Frage nicht deutlich.

Davon abgesehen spricht das praktische Verständnis der Bedeutung von § 20 Abs. 2 Satz 1 Nr. 2 [X.] bei der Anwendung von § 25a [X.] dagegen, dass die Menge der verarbeitbaren Daten hierdurch nennenswert eingegrenzt werden könnte. In der mündlichen Verhandlung antwortete das [X.] Ministerium des Innern und für Sport auf die Frage, wie sich für jedes einzelne im Vorgangsbearbeitungssystem gespeicherte Datum sicherstellen lasse, dass sich daraus der in § 20 Abs. 2 Satz 1 Nr. 2 [X.] vorausgesetzte konkrete Ermittlungsansatz ergebe, aus kriminologischer Sicht könne man niemals ausschließen, dass Daten für den jeweiligen Straftatbestand, dessen Begehung mittels Datenanalyse vorbeugend bekämpft werden soll, von Bedeutung seien. Auf die Frage zur quantitativen Bedeutung der Daten der Vorgangsbearbeitung für die Datenanalyse wurde bekundet, diese Daten seien sehr wichtig; polizeilich kenne man keine Unbeteiligten, denn alle Personen, zu denen im Vorgangssystem etwas dokumentiert sei, seien hierdurch Beteiligte. Danach ist nicht ersichtlich, dass § 20 Abs. 2 Satz 1 Nr. 2 [X.], selbst wenn er auf die Datenanalyse angewendet wird, den Umfang der aus dem Vorgangsbearbeitungssystem herangezogenen Daten in der Anwendungspraxis auf eine kleine Menge beschränkt (s. aber zu weiteren Eingrenzungen der [X.]n Anwendungspraxis über das Tatbestandsmerkmal "Einzelfall" unten Rn. 159 ff.).

Insgesamt ist der Datenumfang durch die allgemeinen Regelungen zur Zweckbindung jedenfalls nicht so klar eingegrenzt, dass hierdurch das [X.] oder -auswertung verfassungsrechtlich erheblich eingeschränkt würde.

(ɣ) Bei der automatisierten Analyse oder Auswertung großer Datenbestände, die zudem teils automatisiert einbezogen werden, können Regelungen über die Zweckbindung ihre begrenzende Wirkung auch aus praktischen [X.]ründen nicht ohne Weiteres entfalten, weil die Menge der Daten und deren teils automatisierte Einbindung eine Zweckidentifizierung und -prüfung für jedes einzelne Datum erschweren.

Es bestehen zwar Kennzeichnungsvorschriften (vgl. § 20a [X.], § 65 HmbPolDV[X.]). Von diesen wird jedoch umfänglich befreit (vgl. § 20a Abs. 4 [X.], § 78 Abs. 1 HmbPolDV[X.]). Praktisch findet hier nach übereinstimmenden Aussagen in der mündlichen Verhandlung derzeit keine Kennzeichnung statt. Ohnehin sorgte aber die Kennzeichnung allein noch nicht dafür, dass die durch die [X.] für die einzelnen Daten geltenden [X.]renzen eingehalten werden. Besonders schwierig erscheint dies bei einer automatisierten Einbindung von Dateien, zumal wenn es sich um große Datenbestände handelt. Eine begrenzende Wirkung gesetzlicher [X.] wird sich hier nur mittels organisatorischer und technischer Vorkehrungen realisieren lassen, die näher geregelt werden müssten, um das Eingriffsgewicht in verfassungsrechtlich anzuerkennender Weise reduzieren zu können.

Die allgemeinen Datenschutzregeln in § 20 Abs. 4 [X.] und § 66 [X.] und in § 56 HmbPolDV[X.] verpflichten zwar zu organisatorischen und technischen Vorkehrungen, die die Einhaltung der Zweckbindung sicherstellen. Hierdurch wird der Zugriff auf Daten für eine automatisierte Datenanalyse oder -auswertung aber nicht hinreichend normenklar und bestimmt eingeschränkt. Dies müsste - jedenfalls mit Blick auf die Befugnis aus § 25a [X.] und § 49 HmbPolDV[X.] - näher geregelt werden. [X.] Sicherungen, die die Einhaltung der Zweckbindung sicherstellen, können etwa in der technischen Trennung von Datenbeständen nach unterschiedlichen Verarbeitungszwecken oder einer zweckabhängigen Verteilung von Zugriffsrechten auf Datenbestände bestehen (vgl. [X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 20 [X.], Rn. 105). Die [X.] [X.]regierung hat mehrfach dargelegt, dass nach einem speziellen Rollen- und Rechtekonzept in unterschiedlichem Ausmaß Zugriff auf die Analyseplattform gestattet werde (vgl. auch Auskunft des [X.] Innenministers, [X.], [X.]). Ein solches Konzept kann im [X.]rundsatz zu einer technisch-organisatorischen Sicherung der Zweckbindung geeignet sein, ist aber bislang nicht normiert. Der [X.]esetzgeber hat hierzu keine Vorgaben gemacht. Zwar heißt es in den Begründungen der [X.]esetzentwürfe zu § 25a [X.] und zu § 49 HmbPolDV[X.], welche Datenbestände für die Datenanalyse erforderlich sind, sei im Hinblick auf den jeweiligen Analysezweck zu prüfen und gegebenenfalls über Zugriffsberechtigungen zu definieren (vgl. [X.], [X.]; [X.] Drucks 21/17906, [X.]). Die angegriffenen Vorschriften selbst regeln dies jedoch nicht und ermächtigen und verpflichten auch die Verwaltung nicht zur Erstellung eines solchen Konzepts. Die Verwaltung hat in [X.] zwar ihr spezielles Rollen- und Rechtekonzept entwickelt und geht nach diesem vor, hat dies bislang jedoch nicht als [X.]e Regelung in einer öffentlich zugänglichen Weise dokumentiert.

(bb) [X.]rundsätzlich könnten auch speziellere Regeln über die Weiterverarbeitung von Daten, die mittels besonders schwerer [X.]rundrechtseingriffe erhoben worden sind, die Art und die Menge der in eine Datenanalyse oder -auswertung einbeziehbaren Daten beschränken. Für Daten aus der Strafverfolgung gilt insoweit zwar insbesondere § 479 Abs. 2 Satz 2 StPO. Ähnliche Vorgaben finden sich in § 34 Abs. 4 Satz 1 und § 36 Abs. 2 Satz 2 HmbPolDV[X.]. § 20 Abs. 1 Satz 3 und Abs. 3 [X.] enthält Anforderungen an die Weiterverarbeitung von personenbezogenen Daten aus Wohnraumüberwachung und [X.]. Deren Anwendbarkeit auf die automatisierte Datenanalyse oder -auswertung ist aber nicht hinreichend geregelt und deren Wirkung ohnehin nicht durch Maßgaben zur technischen und organisatorischen Umsetzung praktisch hinreichend gesichert, um das [X.] oder -auswertung hierdurch erheblich zu mindern.

(α) Das gilt insbesondere, wenn in die automatisierte Datenanalyse oder -auswertung Verkehrsdaten aus [X.] einbezogen werden, aus denen sich sehr umfangreiche Datenbestände ergeben können. Der [X.]beauftragte für den Datenschutz und die Informationsfreiheit hat in der mündlichen Verhandlung erklärt, bei der Funkzellenabfrage enthalte eine Lieferung ungefähr 100.000 Daten. Der [X.] Beauftragte für Datenschutz und Informationsfreiheit hat ausgeführt, es stünden Daten aus [X.] in [X.] aus den letzten zwei Jahren zur Verfügung. Allerdings ist deren weitere Verwendung zur [X.]efahrenabwehr, wenn sie nach § 100g Abs. 3 StPO erhoben wurden, durch § 479 Abs. 2 Satz 2 StPO eingeschränkt. Inwiefern eine entsprechende Einschränkung auch gelten würde, wenn [X.] nicht nach der Strafprozessordnung, sondern zu präventiven Zwecken, gestützt auf § 15a Abs. 5 Satz 5 [X.], erhoben wurden, ist dabei nicht ohne Weiteres zu erkennen. In der mündlichen Verhandlung wurde zwar seitens des [X.] Ministeriums des Innern und für Sport erklärt, Verkehrsdaten würden nur im Fall des § 25a Abs. 1 Alt. 2 [X.], also zur Abwehr von [X.]efahren, nicht jedoch zur vorbeugenden Bekämpfung von Straftaten in die Datenanalyse einbezogen. Insoweit erscheint die verwertbare Menge von Verkehrsdaten für die hier allein zu beurteilende Datenanalyse nach § 25a Abs. 1 Alt. 1 [X.] jedenfalls praktisch begrenzt.Auch diese Begrenzung müsste jedoch hinreichend normenklar und transparent geregelt werden, zumal sie offenbar nicht über eine Datenkennzeichnung gesichert ist, die derzeit nicht erfolgt (oben Rn. 139). Soweit der [X.]esetzgeber die technisch-organisatorische Umsetzung der Ausnahme von Verkehrsdaten aus der Datenanalyse nicht selbst regeln kann, muss er die Verwaltung zur näheren Regelung der technischen Einzelheiten und deren Veröffentlichung verpflichten, wenn er das Eingriffsgewicht der automatisierten Datenanalyse auf diese Weise senken will.

(β) Vergleichbares gilt für die Einbeziehung von anderen Daten aus besonders schweren Eingriffen. Seitens des [X.] Ministeriums des Innern und für Sport wurde in der mündlichen Verhandlung erklärt, auch diese Daten würden (wohl ebenfalls wegen § 479 Abs. 2 Satz 2 StPO) nur im Fall des § 25a Abs. 1 Alt. 2 [X.], also zur Abwehr einer [X.]efahr, nicht aber zur vorbeugenden Verhütung von Straftaten in die Datenanalyse einbezogen. Demnach wären die für die Datenanalyse zur vorbeugenden Bekämpfung von Straftaten verwertbaren Daten auch insoweit jedenfalls praktisch begrenzt.

Allerdings ist insbesondere offen geblieben, wie es in der polizeilichen Praxis gelingen kann, Daten aus schweren Eingriffen bei der Erfassung von Neueingängen in dem automatisiert in die Analyseplattform eingebundenen Vorgangsbearbeitungssystem zuverlässig zu identifizieren und vor der automatisierten Datenanalyse auszusondern, obwohl eine Kennzeichnung im Vorgangsbearbeitungssystem nach [X.] hierzu in der mündlichen Verhandlung vorgetragenen Einschätzungen derzeit nicht erfolgt und auch gar nicht möglich ist. Bei den Daten der Vorgangsbearbeitung dürfte eine Aussonderung bestimmter Daten derzeit schon deshalb praktisch nicht erfolgen, weil der Zugriff auf die Daten der [X.] im Rahmen einer automatisierten Anwendung nach § 25a [X.] gerade ermöglicht werden sollte, um sicherzustellen, dass auch Zugriff auf Daten besteht, die aufgrund ihrer Aktualität noch keinen Eingang in weitere polizeiliche Systeme gefunden haben (vgl. [X.], [X.] f.); [X.], in denen Daten aus schweren Eingriffen aus der Datenanalyse herausgehalten werden könnten, sind der Analyse also nicht vorgeschaltet (vgl. auch [X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 20 [X.], Rn. 153).

Wiederum fehlen jedenfalls Vorschriften, die klar regeln, dass Daten aus besonders schweren Eingriffen vor der Durchführung einer Datenanalyse ausgesondert werden müssen und die die technisch-organisatorische Umsetzung dieses [X.] sicherstellen. Auch insoweit ist das [X.] daher nicht hinreichend zuverlässig reduziert.

(2) Spezifisch verstärkt wird das Eingriffsgewicht durch die nach den angegriffenen Regelungen möglichen Methoden der Datenverarbeitung. Dem Wortlaut nach lassen § 25a [X.] und § 49 HmbPolDV[X.] sehr weitreichende Methoden der automatisierten Datenanalyse und -auswertung zu. Der [X.]esetzgeber hat nicht eingegrenzt, welche Methoden der Analyse und Auswertung erlaubt sind.

(a) Die angegriffenen Vorschriften schließen auch komplexere Formen des [X.] nicht aus. Wenn § 25a [X.] und § 49 HmbPolDV[X.] von der automatisierten Anwendung zur Datenanalyse oder zur Datenauswertung, also nicht etwa vom (automatisierten) Abgleich, sprechen, hebt sich das bereits gesetzessystematisch vom einfachen Abgleich (s. § 25 [X.], § 48 Abs. 1 HmbPolDV[X.]) ab. § 25a [X.] und § 49 HmbPolDV[X.] ermöglichen demgegenüber ein "[X.]" (vgl. [X.] 156, 11 <40 Rn. 74>) bis hin zur Verwendung selbstlernender Systeme [X.]). Dabei sind insbesondere auch offene [X.] zulässig (vgl. Rn. 93 ff.). Die Datenanalyse oder -auswertung darf darauf zielen, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, aus denen dann, möglicherweise auch mit Hilfe weiterer automatisierter Anwendungen, weitere Schlüsse gezogen werden. Die Vorschriften schließen auch bezüglich der erzielbaren Suchergebnisse nichts aus (vgl. Rn. 96 ff.); nach dem Wortlaut könnte das Suchergebnis in maschinellen Sachverhaltsbewertungen bestehen - bis hin zu [X.]efährlichkeitsaussagen über Personen im Sinne eines "predictive policing".Es könnten also mittels Datenanalyse oder -auswertung neue persönlichkeitsrelevante Informationen erzeugt werden, auf die ansonsten kein Zugriff bestünde (vgl. [X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 25a [X.], Rn. 21).Diese potenzielle Weite erzielbaren neuen Wissens wird auch nicht durch eingriffsmildernde Regelungen zu dessen Verwendung flankiert.

(b) In [X.] hat der [X.]esetzgeber den Versuch unternommen, so weitgehende Anwendungen auszuschließen, indem er anstelle des Wortes "Datenanalyse" das Wort "Datenauswertung" verwendet hat (Rn. 14). Jedoch hat sich auch im [X.]ischen [X.]esetz die Vorstellung, nur begrenzte Anwendungen zulassen zu wollen, im Wortlaut nicht maßgeblich niedergeschlagen. Eine verfassungsrechtlich ausreichende Klarstellung, dass durch die automatisierte Anwendung lediglich mittels bestimmter Suchkriterien Übereinstimmungen ausgewiesen werden, nicht jedoch die polizeiliche Aus- und Bewertung der Daten ersetzt werden sollten, ist mit der Wortlautumstellung von "Datenanalyse" zu "Datenauswertung" nicht gelungen. Ein maßgeblicher Unterschied zwischen den Wörtern Datenanalyse und Datenauswertung ist nicht zu erkennen. In § 49 Abs. 2 HmbPolDV[X.] wird zudem weiterhin auf [X.] abgestellt, für deren Erreichung Prozesse des "[X.]" eingesetzt werden müssten (vgl. dazu auch [X.] 156, 11 <40 Rn. 74>).

(c) Die hier angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfügung stünden. Ob dem so ist, muss hier nicht aufgeklärt werden. Denn auch wenn eine Norm Funktionsweiterungen erst infolge weiterer technischer Entwicklungen zulässt, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach diesen weiteren Funktionen. Für das Eingriffsgewicht einer Norm sind auch nicht die bloße Vorstellung des [X.]esetzgebers von der begrenzten Reichweite einer Befugnis oder der Wille der Verwaltung, von den rechtlichen Möglichkeiten einer Befugnis nicht umfassend [X.]ebrauch zu machen, maßgeblich. Das [X.]ewicht ist vielmehr nach den rechtlich geschaffenen Eingriffsmöglichkeiten zu beurteilen. Wollte der [X.]esetzgeber das Eingriffsgewicht nachhaltig begrenzen, müsste er dies normenklar im Wortlaut der Regelung niederlegen (vgl. [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 325 f.).

bb) Die [X.]esetzgeber in [X.] und in [X.] haben die Befugnis zur automatisierten Datenanalyse oder -auswertung in § 25a [X.] und in § 49 HmbPolDV[X.] aktuell also kaum eingegrenzt. Sie gestatten der Polizei damit [X.]rundrechtseingriffe, die sehr schwer wiegen können. Die Befugnisse lassen die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu. In ihrer daten- und methodenoffenen [X.] erlauben die Regelungen der Polizei, mit einem Klick umfassende Profile von Personen, [X.]ruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat.

Es gelten daher dieselben verfassungsrechtlichen Anforderungen, wie sie auch an andere tief in die Privatsphäre eingreifende Überwachungsmaßnahmen der [X.]efahrenabwehrbehörden gestellt werden. Die allgemeine [X.] für heimliche Überwachungsmaßnahmen der [X.]efahrenabwehrbehörden ist das Erfordernis einer konkretisierten [X.]efahr (vgl. [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 248 m.w.N.; dazu im Einzelnen [X.] 141, 220 <272 f. Rn. 112>; 154, 152 <268 Rn. 219> und oben Rn. 106)für besonders gewichtige Rechtsgüter (vgl. [X.] 141, 220 <270 Rn. 108> und oben Rn. 105).Wenn demgegenüber in der Praxis, wie insbesondere in der mündlichen Verhandlung ausführlich dargelegt wurde, die rechtlichen Möglichkeiten der Befugnis bei weitem nicht ausgeschöpft werden, nicht ausgeschöpft werden sollen und angesichts des aktuellen Stands der Technik derzeit auch nicht voll ausgeschöpft werden könnten, ändert dies an den verfassungsrechtlichen Anforderungen nichts.

§ 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] genügen danach nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne, weil sie keine hinreichende [X.] enthalten. Die Weiterverarbeitung mittels einer automatisierten Datenanalyse oder -auswertung ist gemäß § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] in begründeten Einzelfällen zulässig, wenn dies zur vorbeugenden Bekämpfung von in § 100a Abs. 2 StPO genannten Straftaten erforderlich ist. Die "vorbeugende Bekämpfung von Straftaten" ist in § 1 Abs. 1 Satz 2 Nr. 1 HmbPolDV[X.] und in § 1 Abs. 4 [X.] definiert als Verhütung von Straftaten beziehungsweise zu erwartenden Straftaten (1) und Vorsorge für die Verfolgung künftiger Straftaten (2). In beiden Alternativen bleibt der [X.] weit hinter der wegen des [X.] verfassungsrechtlich gebotenen Schwelle einer konkretisierten [X.]efahr zurück. Über die Frage, ob ausreichend gewichtige Rechtsgüter normiert sind, ist hier nicht zu entscheiden (oben Rn. 48).

1. Soweit § 25a Abs. 1 Alt. 1 in Verbindung mit § 1 Abs. 4 [X.] und § 49 Abs. 1 Alt. 1 in Verbindung mit § 1 Abs. 1 Satz 2 Nr. 1 HmbPolDV[X.] zur Datenanalyse oder -auswertung zwecks Verhütung der in § 100a Abs. 2 StPO genannten Straftaten ermächtigen, ist der [X.] angesichts des beschriebenen [X.] unverhältnismäßig weit und damit verfassungswidrig geregelt.

a) Indem die Regelungen eine automatisierte Datenanalyse oder -auswertung allgemein zur Verhütung schwerer Straftaten erlauben, fehlt eine hinreichend eingrenzende Konkretisierung des [X.]es und ist das Erfordernis einer wenigstens konkretisierten [X.]efahr nicht erfüllt (vgl. auch [X.] 141, 220 <336 Rn. 313>; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 375). Die [X.] Regelung enthält zwar den Zusatz der "zu erwartenden" Straftat. Dennoch bleibt auch sie weit hinter dem Erfordernis einer konkretisierten [X.]efahr zurück. Eine Erweiterung der polizeilichen Aufgabe in zeitlicher und sachlicher Hinsicht gegenüber der in § 1 Abs. 1 [X.] genannten [X.]efahrenabwehr, "weg von der konkreten Tat", ist auch hier gerade der Sinn der Aufgabenbeschreibung in § 1 Abs. 4 [X.] (vgl. [X.]/[X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 1 [X.], Rn. 128).

b) Auch die weitere Maßgabe beider Regelungen, es müsse ein begründeter "Einzelfall" vorliegen, enthält hier kaum nähere inhaltliche Festlegungen.

aa) Das [X.] ist schon nicht hinreichend bestimmt. So bestehen Zweifel, worauf sich das Tatbestandsmerkmal des Einzelfalls bezieht. Der [X.] Minister des Innern und für Sport hat - damals nach § 25a Abs. 3 [X.] befragt - dargelegt, nicht das einzelne Ermittlungsverfahren sei als Einzelfall anzusehen, sondern ein Einzelfall im Sinne von § 25a [X.] sei ein "Vorgang bzw. ein Projekt, das an ein Ermittlungsverfahren anknüpft" (vgl. [X.], [X.] f.). Weder diese besonders weite Inbezugnahme eines "Projekts" noch die etwas engere Anknüpfung an einzelne Ermittlungsverfahren würden der hier geltenden verfassungsrechtlichen Maßgabe genügen, dass jede einzelne Weiterverwendung eines jeden Datums von Bedeutung für die Abwehr einer wenigstens konkretisierten [X.]efahr sein muss (vgl. [X.] 150, 244 <286 f. Rn. 108>). In der mündlichen Verhandlung hat das [X.] Ministerium des Innern und für Sport allerdings dargelegt, dass die Voraussetzungen des § 25a [X.] bei jeder einzelnen Datenanalyse geprüft würden. Dies müsste dann aber auch normenklar geregelt werden.

bb) In der Sache bleibt die Voraussetzung des begründeten "Einzelfalls" aber in jedem Fall hinter der hier verfassungsrechtlich gebotenen Schwelle einer wenigstens konkretisierten [X.]efahr zurück.

(1) Zwar schließt das [X.], wenn es auf jede einzelne Datenanalyse oder -auswertung angewendet wird, aus, dass ins Blaue hinein (vgl. dazu [X.] 130, 151 <205>) automatisierte Datenanalysen oder -auswertungen gestartet und so durch massenhafte Datenverarbeitung sachliche Anhaltspunkte für eine künftige Begehung von Straftaten überhaupt erst generiert werden. Das [X.] dürfte daher etwa der Voraussetzung eines Spurenansatzes entsprechen (vgl. dazu [X.] 141, 220 <325 f. Rn. 281>). Allein daraus, dass Daten und Datenbestände durch [X.] einbezogen werden und für die konkrete Verhütungsmaßnahme erforderlich sein müssen, mag so praktisch bereits ein gewisser begrenzender Effekt folgen (vgl. [X.] 130, 151 <205>).Von einer wenigstens konkretisierten [X.]efahr ist dies jedoch noch weit entfernt.

(2) In der mündlichen Verhandlung wurde allerdings ein engeres Konzept beschrieben, nach dem die Voraussetzung des "Einzelfalls" in der [X.]n [X.] verstanden und angewendet werde. Es werde durchgehend an eine bereits begangene Straftat oder wenigstens den durch Tatsachen belegten Verdacht einer bereits begangenen Straftat angeknüpft und daraus eine Prognose für die Zukunft hergeleitet: Zum einen müsse für die Vergangenheit davon ausgegangen werden können, dass bereits eine Straftat nach § 100a Abs. 2 StPO begangen wurde. Zum anderen müsse aufgrund dieser Situation für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen sein.

(a) Durch die Verengung auf Konstellationen, in denen eine hinreichende Tatsachengrundlage für die Annahme besteht, dass eine Straftat bereits begangen wurde, wird der Anwendungsbereich von § 25a Abs. 1 Alt. 1 [X.] eingeschränkt. Zwar dürfte die Polizei die in § 25a Abs. 1 [X.] präventiv formulierte [X.] - ungeachtet der Frage einer [X.]esetzgebungskompetenz - schon mangels gesetzlicher [X.]rundlage nicht als Strafverfolgungsinstrument nutzen. Wenn die Prüfung eines hinreichenden Tatverdachts jedoch nur der Feststellung dient, ob sich daraus Anhaltspunkte für die Begehung künftiger [X.] Straftaten ergeben, könnte dies den präventiven Charakter der Datenanalyse wahren. Praktisch kommt die Datenanalyse dann insbesondere hinsichtlich solcher Straftaten in Betracht, die regelmäßig in Serie begangen werden, so dass aus der Begehung einer Straftat unter bestimmten Umständen auf die Begehung weiterer Straftaten geschlossen werden kann. Dies engt den Anwendungsbereich von § 25a Abs. 1 Alt. 1 [X.] weiter ein.

(b) Würde allerdings aus einer abstrakten Annahme, dass bestimmte Straftaten häufig in Serie begangen werden, generell darauf geschlossen, dass eine künftige Begehung solcher Straftaten drohe, bliebe der Eingrenzungseffekt geringer. Vielmehr stellt erst eine nähere Betrachtung, ob die konkreten Umstände der einzelnen (vermutlich) begangenen Straftat erwarten lassen, dass weitere entsprechende Taten begangen werden, einen tatsächlichen Einzelfallbezug her. Nach Darstellungen in der mündlichen Verhandlung werden in der [X.]n Praxis die den [X.] begründenden konkreten Umstände näher betrachtet und wird daraus aufgrund kriminalistischer Erfahrungssätze eine Prognose zur [X.] weiterer Straftaten abgeleitet; eine solche Handhabung der Norm hätte eingrenzende Wirkung. Zugleich wurde aber erklärt, es erfolge eine generalisierende Identifikation von [X.], in denen grundsätzlich mit weiteren Straftaten gerechnet und daher in jedem Einzelfall davon ausgegangen werden müsse, dass weitere Straftaten drohen; dies schwächt den eingrenzenden Effekt wieder ab. Weil keine öffentlich zugängliche Dokumentation der [X.]n Anwendungspraxis vorliegt, kann dies hier nicht näher beurteilt werden.

(c) Der eingrenzende Effekt ist zudem verringert, wenn im Einzelfall nicht auch näher geprüft wird, ob die einzelnen in die Analyse eingestellten Daten geeignet sind, zur Verhütung der möglicherweise bevorstehenden Serientat beizutragen. Ohnehin genügt eine Maßnahme der Datenverarbeitung [X.] grundsätzlich nur, wenn die einzubeziehenden personenbezogenen Daten auf solche beschränkt werden, die für den jeweiligen Zweck der Maßnahme Bedeutung haben können (vgl. [X.] 150, 244 <286 f. Rn. 108 f.>). Denn wenn eine Datenanalyse oder -auswertung zur Verhütung bestimmter Straftaten erlaubt wird, müssen auch die einzelnen Analyse- und Abgleichvorgänge von diesem Zweck her ihre Begrenzung finden. Sollen Datenbestände in die Datenanalyse oder -auswertung einbezogen werden, die mit diesem Zweck nichts zu tun haben, so bedürfte dies eines eigenen tragfähigen [X.]runds. Ohne einen solchen [X.]rund ist eine Maßnahme, die Datenbestände einbezieht, die von vornherein zu dem Zweck der konkreten Datenanalyse oder -auswertung nicht beitragen können, unverhältnismäßig (vgl. [X.] 150, 244 <288 Rn. 111>).

In der [X.]n Praxis scheint zwar eine Einzelfallprüfung der Eignung der vorhandenen Daten konzeptionell vorgesehen zu sein. Die Eignung aller in der Analyseplattform bereitstehenden Daten, einschließlich der Daten aus der Vorgangsbearbeitung, wird aber nach Darstellung des [X.] Ministeriums des Innern und für Sport in der mündlichen Verhandlung bereits daraus gefolgert, dass diese Daten generell geeignet seien, zum Erkenntnisziel des Einzelfalls beizutragen. Eine nähere Prüfung der konkreten Eignung scheint insoweit also nicht vorgenommen zu werden. Tatsächlich wäre eine konkrete Eignungsprüfung für jedes Datum angesichts der in [X.] wegen der Einbeziehung der Daten aus der [X.] sehr umfangreichen Datenmengen praktisch auch schwer vorstellbar. Umso wichtiger wäre auch hier eine normenklare, durch transparente [X.] hinterlegte Regelung dazu, welche Daten überhaupt in die einzelne Datenanalyse einbezogen werden können.

(d) Ungeachtet der näheren Ausgestaltung der [X.]n Anwendungspraxis sind die verfassungsrechtlichen Anforderungen derzeit aber schon deshalb nicht erfüllt, weil das Konzept der [X.]n Praxis von vornherein nicht auf die Identifizierung einer wenigstens konkretisierten [X.]efahr und der zu deren Abwehr geeigneten Daten zielt. Das ist aber wegen der daten- und methodenoffenen Ausgestaltung der Befugnis in § 25a [X.] und § 49 HmbPolDV[X.] erforderlich.

Würde die Befugnis hingegen hinsichtlich Art und Umfang der Daten und zulässiger [X.]n enger gefasst und die potenzielle [X.] dadurch so weit gesenkt, dass eine niedrigere [X.] verfassungsrechtlich genügen würde (Rn. 75 ff., 107), könnte das aktuelle Konzept der [X.]n Praxis Ausgangspunkt einer verfassungskonformen Ausgestaltung der [X.] sein. Im Einzelnen kann und muss dies hier nicht entschieden werden. Ein solches Konzept müsste dann jedenfalls unter Wahrung der Anforderungen des [X.], der Normenklarheit und des [X.] näher geregelt werden. Derzeit findet sich in § 25a [X.] kein Anhaltspunkt für das Konzept der [X.]n Polizei.

[X.]) In anderen sicherheitsrechtlichen Konstellationen hat das [X.]verfassungsgericht zwar, wie beide [X.]regierungen geltend machen, ein [X.] genügen lassen. Unproblematisch kann es zur weiteren Qualifizierung einer durch andere Merkmale bereits näher umschriebenen Schwelle dienen (vgl. [X.] 141, 220 <272 Rn. 112>). Insbesondere dann, wenn die Befugnis voraussetzt, dass eine Maßnahme im Einzelfall zur Abwehr einer [X.]efahr erforderlich sein muss, kann dies eine nähere Spezifizierung des [X.]efahrerfordernisses ersetzen und als hinreichend bestimmte Umschreibung des Erfordernisses einer konkreten [X.]efahr gelten, wenn zu keinem besonders schweren [X.]rundrechtseingriff ermächtigt wird (vgl. [X.] 130, 151 <205>; 155, 119 <192 Rn. 158>). Bei nachrichtendienstlichen Eingriffen, die immer dem Schutz besonders gewichtiger Rechtsgüter dienen müssen, kann das [X.], wenn die Maßnahme für sich genommen nicht tief in die Privatsphäre eingreift, die eigentliche [X.] der [X.] einer beobachtungsbedürftigen Aktion oder Bestrebung verfassungsrechtlich ausreichend qualifizieren (vgl. [X.] 130, 151 <206>; 155, 119 <189 Rn. 151>; 156, 11 <59 Rn. 126>; [X.], Urteil des [X.] vom 26. April 2022 - 1 BvR 1619/17 -, Rn. 206). All das trifft hier jedoch nicht zu.

Die hier angegriffenen Regelungen gleichen insoweit auch nicht § 6a Abs. 3 [X.], der mit dem [X.]rundgesetz vereinbar ist. Zwar spricht auch diese Ermächtigung zur erweiterten Datennutzung vom Einzelfall, sieht jedoch strengere Voraussetzungen vor. Danach darf eine beteiligte Behörde des [X.] zur Erfüllung ihrer gesetzlichen Aufgaben die in der Datei gespeicherten [X.]en erweitert nutzen, soweit dies im Rahmen eines bestimmten einzelfallbezogenen Projekts für die Verhinderung von qualifizierten Straftaten des internationalen Terrorismus erforderlich ist, um weitere Zusammenhänge des Einzelfalls aufzuklären, und Tatsachen die Annahme rechtfertigen, dass eine solche Straftat begangen werden soll. Dies ist mehrfach enger als § 25aAbs. 1 Alt. 1[X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.]. Insbesondere muss die erweiterte Nutzung der [X.] erforderlich sein, "um weitere Zusammenhänge des Einzelfalls" aufzuklären. Letzteres wird bei verfassungskonformer Auslegung von § 6a Abs. 3 [X.] so verstanden, dass eine weitere Nutzung der Datei erst zulässig ist, wenn die Behörde bereits ein wenigstens seiner Art nach konkretisiertes und absehbares [X.]eschehen erkennt oder erkennt, dass das individualisierte Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie in absehbarer [X.] terroristische Straftaten begeht. Die erweiterte Nutzung setzt demnach eine solchermaßen konkretisierte [X.]efahr voraus, zu deren weiterer Aufklärung sie, was hinreichend klar erkennbar ist, dienen muss ([X.] 156, 11 <61 Rn. 130>). Diese eingrenzenden Tatbestandsvoraussetzungen enthalten § 25a [X.] und § 49 HmbPolDV[X.] nicht.

c) Für das hamburgische Recht lässt sich die erforderliche Begrenzung der Befugnis aus § 49 Abs. 1 Alt. 1 HmbPolDV[X.] auch nicht aus anderen Vorschriften des [X.]esetzes entnehmen. Zwar knüpft § 11 Abs. 1 Nr. 6 HmbPolDV[X.] die Verarbeitung personenbezogener Daten, zu der die Datenauswertung nach § 49 HmbPolDV[X.] gehört (vgl. § 2 Abs. 8 HmbPolDV[X.]), zum Zweck der Straftatverhütung allgemein daran, dass tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass die Person künftig Straftaten begehen wird, und die Erhebung zur vorbeugenden Bekämpfung von Straftaten mit erheblicher Bedeutung erforderlich ist. Es mag systematisch nicht ausgeschlossen sein, dies als stets geltende Mindestvoraussetzung der Verarbeitung personenbezogener Daten zum Zweck der Verhütung von Straftaten zu verstehen. Allerdings begreift der hamburgische [X.]esetzgeber § 49 HmbPolDV[X.] als Spezialregelung, auf die das allgemeine Erfordernis des § 11 Abs. 1 Nr. 6 HmbPolDV[X.] keine Anwendung finden soll. Ein von dieser, in der mündlichen Verhandlung bekräftigten, Auffassung abweichendes Verständnis wäre mit der zu respektierenden gesetzgeberischen [X.]rundentscheidung nicht zu vereinbaren.

d) Die hier angesichts der konkreten Ausgestaltung der Datenanalyse oder -auswertung verfassungsrechtlich gebotene Begrenzung der Befugnis auf Fälle einer wenigstens konkretisierten [X.]efahr ist auch nicht dadurch erfolgt, dass die Datenanalyse oder -auswertung nur im "begründeten" Einzelfall zugelassen ist. Selbst wenn bei engerer Ausgestaltung der Befugnis de lege ferenda eine niedrigere [X.] ausreichen würde, ist nicht ersichtlich, inwiefern das Tatbestandsmerkmal des "begründeten" Einzelfalls die Reichweite der Befugnis reduzieren könnte. Insbesondere ist nicht erkennbar, dass hieraus weitere materielle Maßgaben folgen. In der mündlichen Verhandlung wurde seitens des [X.] Ministeriums des Innern und für Sport erklärt, der Einzelfall müsse in dem Sinne begründet sein, dass die in zweifacher Richtung verdichtete Tatsachenbasis vorliegen müsse (oben Rn. 159); das geht aber nicht über die in der [X.]n Praxis bereits aus dem [X.] abgeleiteten Anforderungen hinaus und findet im Übrigen in dem Wort "begründet" ebenso wenig gesetzliche Stütze wie in dem Wort "Einzelfall". [X.] wurde in der mündlichen Verhandlung auch, dass es nicht darum gehe, die Maßnahme mit einer Begründung zu versehen (zur Notwendigkeit Rn. 109). Auch ansonsten würden hieraus keine prozeduralen Anforderungen abgeleitet. Insgesamt ist danach nicht erkennbar, dass die Befugnis durch das Kriterium des "begründeten" Einzelfalls in hinreichender Klarheit beschränkt wird.

e) § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] regeln auch deshalb keine hinreichende [X.], weil über den Katalog des § 100a Abs. 2 StPO auch [X.]efährdungstatbestände erfasst sind. Eine Anknüpfung der [X.] an das Vorfeld von konkreten Rechtsgutsgefahren oder -verletzungen ist verfassungsrechtlich angesichts der Schwere des Eingriffs nicht hinnehmbar, wenn zu diesem [X.]punkt nur relativ diffuse Anhaltspunkte für mögliche Rechtsgutsbeeinträchtigungen bestehen (vgl. [X.] 141, 220 <273 Rn. 113> m.w.N.). Daher entspricht es nicht ohne Weiteres verfassungsrechtlichen Anforderungen, wenn die Ermächtigung zur Erhebung personenbezogener Daten als [X.] an die [X.]efahr der Begehung solcher Straftaten anknüpft, bei denen die Strafbarkeitsschwelle durch die Einbeziehung von Vorbereitungshandlungen in das Vorfeld von konkreten Rechtsgutsgefahren oder -verletzungen verlagert wird. Zwar kann auch mit der Verwirklichung eines Vorfeldtatbestands eine konkretisierte oder konkrete [X.]efahr für die jeweils geschützten Rechtsgüter einhergehen. Sicher ist dies jedoch nicht; allein aus der [X.]efahr der Verwirklichung eines Vorfeldtatbestands ergeben sich nicht notwendigerweise bereits solche [X.]efahren für Rechtsgüter. [X.]erade auf eine [X.]efahr für die geschützten Rechtsgüter kommt es aber an. Zwar ist dem [X.]esetzgeber verfassungsrechtlich nicht verwehrt, zur Bestimmung der [X.] auch an die [X.]efahr der Begehung von [X.] anzuknüpfen. Er muss dann aber eigens sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte [X.]efahr für die durch den Straftatbestand geschützten Rechtsgüter vorliegt. [X.] der [X.]esetzgeber an die Begehung solcher Straftaten an, muss er also zusätzlich fordern, dass damit bereits eine konkretisierte oder konkrete [X.]efahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt (vgl. [X.], Beschluss des [X.] vom 28. September 2022 - 1 BvR 2354/13 -, Rn. 134; Beschluss des [X.] vom 9. Dezember 2022 - 1 BvR 1345/21 -, Rn. 92). Daran fehlt es hier.

2. Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] umfasst nach der Definition in § 1 Abs. 4 [X.] und § 1 Abs. 1 Satz 2 Nr. 1 HmbPolDV[X.] nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten. Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen (vgl. [X.]/[X.], in: [X.]/[X.], [X.] Polizei- und Ordnungsrecht [X.], 27. Edition, Stand: 1. Oktober 2022, § 1 [X.], Rn. 132). Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte [X.]efahr besteht, ist dem nicht zuentnehmen.Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des [X.]es (vgl. auch [X.] 141, 220 <336 Rn. 313>).

Der Deutung des [X.]ischen Senats, § 49 Abs. 1 HmbPolDV[X.] weise unter Berücksichtigung des Merkmals "in begründeten Einzelfällen" gar keinen Bezug zur Vorsorge für die Verfolgung künftiger Straftaten auf, kann angesichts der klaren Definition in § 1 Abs. 1 Satz 2 Nr. 1 HmbPolDV[X.] nicht gefolgt werden. Die [X.] müsste vielmehr ausdrücklich ausgenommen werden.

Im Ergebnis sind § 25a Abs. 1 Alt. 1 [X.] und § 49 Abs. 1 Alt. 1 HmbPolDV[X.] verfassungswidrig. Sie verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] in seiner Ausprägung als informationelle Selbstbestimmung, weil sie keine dem mit diesen Maßnahmen der Datenanalyse und -auswertung verbundenen Eingriffsgewicht angemessene [X.] vorsehen. Im Übrigen haben die [X.] keinen Erfolg, weil hinsichtlich der weiteren Beanstandungen die Möglichkeit einer [X.]rundrechtsverletzung nicht hinreichend dargelegt wurde.

1. Die Feststellung der Verfassungswidrigkeit gesetzlicher Vorschriften führt grundsätzlich zu deren Nichtigkeit. Allerdings kann sich das [X.]verfassungsgericht, wie sich aus § 31 Abs. 2 Sätze 2 und 3 [X.] ergibt, auch darauf beschränken, eine verfassungswidrige Norm nur für mit der Verfassung unvereinbar zu erklären. Es verbleibt dann bei einer bloßen Beanstandung der Verfassungswidrigkeit ohne den Ausspruch der Nichtigkeit. Die [X.] kann das [X.]verfassungsgericht dabei zugleich mit der Anordnung einer befristeten Fortgeltung der verfassungswidrigen Regelung verbinden. Dies kommt in Betracht, wenn die sofortige Ungültigkeit der zu beanstandenden Norm dem Schutz überragender [X.]üter des [X.]emeinwohls die [X.]rundlage entziehen würde und eine Abwägung mit den betroffenen [X.]rundrechten ergibt, dass der Eingriff für eine Übergangszeit hinzunehmen ist. Für die Übergangszeit kann das [X.]verfassungsgericht vorläufige Anordnungen treffen, um die Befugnisse der Behörden bis zur Herstellung eines verfassungsmäßigen Zustands durch den [X.]esetzgeber auf das zu reduzieren, was nach Maßgabe dieser Abwägung geboten ist ([X.] 141, 220 <351 Rn. 355> m.w.N.; stRspr).

2. Danach ist § 25a Abs. 1 Alt. 1 [X.] nur für mit der Verfassung unvereinbar zu erklären. Die [X.] ist mit der Anordnung ihrer vorübergehenden Fortgeltung bis zu einer Neuregelung, längstens jedoch bis zum Ablauf des 30. September 2023 zu verbinden. Anschließend ist die Norm nicht mehr anwendbar. Angesichts der Bedeutung, die der [X.]esetzgeber der Befugnis für die staatliche Aufgabenwahrnehmung beimessen darf und wegen ihrer Bedeutung für die Praxis vorbeugender Straftatenbekämpfung durch die [X.] Polizei, die die Befugnis hierfür regelmäßig nutzt, dabei bislang aber - insoweit grundrechtsschonend - von den besonders weitgehenden Nutzungsmöglichkeiten nicht [X.]ebrauch macht, ist eine befristete Fortgeltung eher hinzunehmen als eine Nichtigerklärung.

Die befristete Anordnung der Fortgeltung bedarf mit Blick auf die betroffenen [X.]rundrechte jedoch einschränkender Maßgaben, die eine Neuregelung durch den [X.]esetzgeber aber nicht präjudizieren. Unter Zugrundelegung des in der [X.]n Praxis gewählten Konzepts wird angeordnet, dass von der Befugnis des § 25a Abs. 1 Alt. 1 [X.] nur [X.]ebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen (vgl. [X.] 154, 152 <268 Rn. 219>; 156, 11 <56 Rn. 120>), dass eine besonders schwere Straftat im Sinne von § 100b Abs. 2StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des [X.] oder eines [X.] gefährden, wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten nach § 25a Abs. 1 Alt. 1 [X.] zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, [X.], Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.

3. Hingegen ist § 49 Abs. 1 Alt. 1 HmbPolDV[X.] für verfassungswidrig und nichtig zu erklären, weil keine Umstände ersichtlich sind, die eine befristete Fortgeltungsanordnung erforderten und rechtfertigten. Es wurde schon nicht dargelegt, dass beabsichtigt wäre, für eine wirksame vorbeugende Bekämpfung von Straftaten kurz- oder mittelfristig von der in § 49 Abs. 1 Alt. 1 HmbPolDV[X.] enthaltenen Ermächtigung [X.]ebrauch zu machen.

Die Auslagenerstattung beruht auf § 34a Abs. 2 und 3 [X.].