Das Bundesinnenministerium von Alexander Dobrindt plant ein neues „Sicherheitspaket“. Sein Ministerium hat zwei Gesetzentwürfe erstellt und an die anderen Ministerien geschickt. Wir veröffentlichen beide Entwürfe in Volltext:

Biometrische Überwachung im Internet

Das Gesetzespaket soll Bundeskriminalamt und Bundespolizei erlauben, Personen anhand biometrischer Daten in „öffentlich zugänglichen Daten aus dem Internet“ zu suchen. Die Polizei soll so Personen „identifizieren, lokalisieren sowie Tat-Täter-Zusammenhänge erschließen“. Biometrische Daten sind zum Beispiel Fotos, aber auch andere Merkmale wie Bewegungs-, Handlungs- oder Sprechmuster.

Dafür dürfte die Polizei digitale Werkzeuge wie die Gesichter-Suchmaschinen Clearview AI oder PimEyes nutzen. Diese suchen massenhaft und anlasslos Fotos im Internet und legen riesige Datenbanken mit Gesichtern an. Solche Datensammlungen sind nach Einschätzungen vieler Datenschützer illegal.

Das BKA soll damit nicht nur Verdächtige suchen, sondern auch andere Personen wie beispielsweise „Kontaktpersonen, Opfer und Zeugen“. Auch das Bundesamt für Migration und Flüchtlinge soll Fotos, die es von Asylsuchenden aufnimmt, mit Gesichter-Suchmaschinen im Internet abgleichen.

Big Data und Künstliche Intelligenz

Darüber hinaus sollen die Gesetze Bundeskriminalamt und Bundespolizei erlauben, „verschiedene Datenbestände technisch zusammenzuführen“ und automatisiert zu analysieren. Die Polizei soll so „Verbindungen zwischen Taten, Personen, Orten sowie anderen Anknüpfungspunkten finden“ und sogar „neues Wissen erzeugen“.

Das ist das Versprechen von Big Data und „Künstliche Intelligenz“ wie von Palantir. Das Bundesverfassungsgericht hatte vor zwei Jahren Landesgesetze zur automatisierten Datenanalyse als verfassungswidrig eingestuft und gekippt. Die Gesellschaft für Freiheitsrechte hat heute Verfassungsbeschwerde gegen Data Mining und Palantir in Bayern eingereicht.

Die Polizei soll den „Grunddatenbestand“ bereits anlasslos „zusammenführen“ und „in einer entsprechenden Anwendung“ vorhalten. Diese „Zusammenführung und Formatierung ist aufgrund der Masse der Daten aufwändig“. Eine „Zusammenführung lediglich im Einzelfall“ wäre daher nicht „schnell und effektiv“.

Bereits dritter Anlauf

Das Doppelgesetz ist bereits der dritte Anlauf für Gesichtserkennung und KI auf Bundesebene. Vor knapp einem Jahr wollte die damalige Innenministerin Nancy Faeser dem BKA diese Befugnisse bereits geben. Wir hatten den Gesetzentwurf veröffentlicht. Dazu kam es aber nie.

Nach dem Messeranschlag in Solingen haben die Ampel-Fraktionen im Bundestag ein Sicherheitspaket beschlossen, das allen Polizeibehörden Gesichtserkennung und KI erlauben sollte. Der Bundesrat hat dieses Gesetz aber gestoppt.

Die aktuelle Bundesregierung aus Union und SPD hat das Vorhaben in ihrem Koalitionsvertrag vereinbart. Demnach plant sie „die automatisierte Datenrecherche und -analyse sowie den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Internetdaten, auch mittels Künstlicher Intelligenz“.

Abstimmung der Bundesregierung

Das Innenministerium hat das Paket in zwei Gesetze getrennt. Der Haupt-Teil ist im ersten Gesetz, das der Bundestag allein beschließen kann. Weitere Teile sind im zweiten Gesetz, dem der Bundesrat zustimmen muss.

Die geplanten Gesetze sind aktuell noch Referentenentwürfe des Innenministeriums. Das Ministerium von Dobrindt hat die Entwürfe zur Vorabstimmung an die anderen Ministerien verschickt. Nach dieser ersten Feedback-Runde folgt die Länder- und Verbändebeteiligung und die offizielle Ressortabstimmung. Wenn das Kabinett das Paket beschließt, geht es in den Bundestag.

Wir haben das Innenministerium nach dem Zeitplan gefragt. Eine Sprecherin teilt mit: „Zu den zeitlichen Abläufen äußert sich das BMI nicht“.

Zivilgesellschaft kritisiert „Totalüberwachung“

Das letzte Sicherheitspaket wurde stark kritisiert. Zivilgesellschaftliche Organisationen lehnten das Gesetzespaket ab. Sachverständige im Bundestag kritisierten das Vorhaben. Die Bundesbeauftragte für Datenschutz bezeichnete die Super-Datenbanken und Gesichtserkennungstechnologie als „besonders problematisch“.

Das aktuelle Sicherheitspaket dürfte ähnlich kritisiert werden. Erik Tuchtfeld, Co-Vorsitzender der Digital-NGO D64, erklärt: „In Zukunft sollen alle Bilder und Videos, auf die Sicherheitsbehörden im Internet zugreifen können, automatisiert nach Gesichtern, Stimmen und Bewegungsmustern durchsucht werden. Das wird die Totalüberwachung des öffentlichen Raumes ermöglichen.“

Weiter kritisiert Tuchtfeld die KI-gestützte Auswertung aller Daten, die den Strafverfolgungsbehörden vorliegen: „Das ist genau, was die Palantir-Software von Trump-Buddy Peter Thiel macht. Es ist erschreckend, wer dem Innenministerium hier offensichtlich als Inspirationsquelle dient.“

Grüne: „Hoffentlich hat das BMI gelernt“

Das letzte Sicherheitspaket wurde auch innerhalb der Ampel-Parteien kontrovers diskutiert. Grüne und FDP sehen sich als Bürgerrechtsparteien, die Gesichtserkennung und KI-Überwachung eigentlich ablehnen. Auch Abgeordnete der SPD waren skeptisch. Am Ende haben fast alle Ampel-Abgeordneten für das Gesetz gestimmt.

Im Gesetzgebungs-Verfahren haben die Ampel-Abgeordneten den Regierungsvorschlag laut eigener Aussage „besser und vor allem grundrechtskonform gemacht“. Der Grüne Abgeordnete Konstantin von Notz sprach von „sehr relevanten und entscheidenden Verbesserungen“ und warb für Zustimmung.

Zum neuen Paket kommentiert von Notz: „Bislang liegt dem Parlament noch kein Vorschlag vor. Für uns als Grüne ist aber völlig klar, dass wir uns auch das neue Gesetzespaket wieder sehr genau mit Blick auf Grundrechtsschutz und Verhältnismäßigkeit anschauen und nötigenfalls wieder Änderungen vorschlagen werden. Bislang können wir nur hoffen, dass das BMI aus den massiven Fehlern, die es im Zuge der Vorlage des letzten Pakets gemacht hat, irgendwas gelernt hat.“

---

• Datum: 26. Juni 2025
• Von: Bundesministerium des Innern
• Status: Referentenentwurf

A. Problem und Ziel

Polizei- und Strafverfolgungsbehörden müssen zum Schutz der inneren Sicherheit auf neue Herausforderungen reagieren können. Im vergangenen Jahr kam es im öffentlichen Raum vermehrt zu schweren Gewalttaten durch Einzeltäter wie in Mannheim, Solingen, Magdeburg, Aschaffenburg und Hamburg. Es besteht eine hohe abstrakte Bedrohungslage für die Sicherheit in Deutschland – auch durch den internationalen Terrorismus. Erhebliche Bedrohungen gehen ebenso von der schweren und organisierten Kriminalität aus; das zeigt sich unter anderem an der gestiegenen Gewaltbereitschaft sowie am zunehmenden Unterwanderungspotential krimineller Gruppierungen in gesellschaftlichen Strukturen.

Die Bedrohung durch terroristische und kriminelle Strukturen erfordert den Einsatz technologischer Instrumente – auch Künstlicher Intelligenz – in der Gefahrenabwehr und der Strafverfolgung. Ziel des Gesetzentwurfs ist es, den Polizeibehörden die rechtlichen Befugnisse zur Verfügung zu stellen, um den Herausforderungen sachgerecht begegnen zu können.

B. Lösung

Der Gesetzentwurf enthält Befugnisse zur automatisierten Datenanalyse, für den biometrischen Internetabgleich sowie das Testen und Trainieren von IT-Produkten für die Polizeibehörden des Bundes, sowohl für die Gefahrenabwehr als auch die Strafverfolgung. Dieser Gesetzentwurf bildet mit dem Entwurf eines zweiten Gesetzes zur Stärkung der Ermittlungsbefugnisse in der Polizeiarbeit ein Gesetzespaket. Er enthält die zustimmungsfreien Bestandteile des Pakets.

Hinsichtlich des Bundeskriminalamts betrifft dies die Aufgabe als Zentralstelle für die Kriminalpolizei des Bundes und der Länder nach § 2 des Bundeskriminalamtgesetzes sowie den Schutz von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts nach § 6 des Bundeskriminalamtgesetzes. Im Hinblick auf die Bundespolizei beziehen sich die Befugnisse auf ihre Aufgabe zur Gefahrenabwehr im Rahmen des Grenzschutzes nach § 2 Absatz 2 Nummer 2 Buchstabe c des Bundespolizeigesetzes, auf ihre Aufgabe nach § 3 Absatz 1 des Bundespolizeigesetzes zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, die auf dem Gebiet der Bahnanlagen der Eisenbahnen des Bundes den Benutzern, den Anlagen oder dem Betrieb der Bahn drohen, beim Betrieb der Bahn entstehen oder von den Bahnanlagen ausgehen, auf ihre Aufgabe zur Gefahrenabwehr im Bereich der Luftsicherheit nach §§ 4 und 4a des Bundespolizeigesetzes, auf ihre Aufgabe zum Schutz von Bundesorganen nach § 5 des Bundespolizeigesetzes sowie auf ihre Aufgaben auf See nach § 6 des Bundespolizeigesetzes. Die Änderungen der Strafprozessordnung ermöglichen die Nutzung der Befugnisse in strafprozessualen Ermittlungsverfahren. Zudem erfolgt eine Angleichung der Regelung zum biometrischen Internetabgleich im Asylgesetz an die gegenständlichen Vorschriften.

Die automatisierte Datenanalyse ist ein zentraler Baustein, um die stetig wachsenden Datenmengen in polizeilichen Ermittlungsverfahren verarbeiten zu können. Mittels der Analyse bereits rechtmäßig erhobener polizeilicher Daten ist es möglich, Verbindungen zwischen Taten, Personen, Orten sowie anderen Anknüpfungspunkten zu finden. Insbesondere für komplexe Ermittlungen in den Bereichen Terrorismus, schwerer und organisierter Kriminalität, ist die automatisierte Datenanalyse als Ermittlungsinstrument notwendig. Überdies ermöglicht sie es, in konkreten Anschlagssituationen schnellstmöglich Daten auszuwerten und somit weitere Maßnahmen zur Gefahrenabwehr zu ergreifen.

Der biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet ist erforderlich, um Personen insbesondere zu identifizieren, lokalisieren sowie Tat-Täter-Zusammenhänge zu erschließen. Die Befugnis erlaubt es, biometrische Daten – zum Beispiel das Lichtbild einer gesuchten Person – mit öffentlich zugänglichen Daten aus dem Internet abzugleichen. Im Rahmen der Ausübung der Befugnis ist die Zusammenarbeit mit Dritten, auch außerhalb der Europäischen Union, erlaubt.

IT-Produkte sind elementarer Bestandteil einer modernen polizeilichen Arbeit. Der Gesetzentwurf enthält eine Befugnis für das Testen und Trainieren von IT-Produkten. Dies umfasst auch selbstlernende Systeme.

Die Befugnisse sind technik- und produktneutral ausgestaltet.

C. Alternativen

Keine.

D. Haushaltsausgaben ohne Erfüllungsaufwand

Es entstehen keine Haushaltsausgaben ohne Erfüllungsaufwand.

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

E.2 Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft entsteht kein Erfüllungsaufwand.

Davon Bürokratiekosten aus Informationspflichten

Keine.

E.3 Erfüllungsaufwand der Verwaltung

Platzhalter.

F. Weitere Kosten

Es entstehen keine weiteren Kosten.

Referentenentwurf des Bundesministeriums des Innern

Vom …

Der Bundestag hat das folgende Gesetz beschlossen:

Artikel 1 – Änderung des Bundeskriminalamtgesetzes

Das Bundeskriminalamtgesetz vom 1. Juni 2017 (BGBl. I S. 1354; 2019 I S. 400), das zuletzt durch Artikel 5 des Gesetzes vom 30. Juli 2024 (BGBl. 2024 I Nr. 255) geändert worden ist, wird wie folgt geändert:

1. Die Inhaltsübersicht wird wie folgt geändert:
   1. Nach der Angabe zu § 10a werden die folgenden Angaben eingefügt:
      

      § 10b – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

      § 10c – Automatisierte Datenanalyse.

   2. Nach der Angabe zu § 63a werden die folgenden Angaben eingefügt:
      

      § 63b – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

      § 63c – Automatisierte Datenanalyse.

2. Nach § 10a werden die folgenden §§ 10b, 10c eingefügt:
   

   § 10b – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

   (1) Das Bundeskriminalamt kann zur Ergänzung vorhandener Sachverhalte Daten, auf die es zur Erfüllung seiner Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern

   1. dies zur Erfüllung seiner Aufgabe als Zentralstelle nach § 2 Absatz 2 Nummer 1 erforderlich ist,
   2. bestimmte Tatsachen den Verdacht begründen, dass eine Straftat im Sinne des § 2 Absatz 1 begangen worden ist oder die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine solche Straftat begehen wird und
   3. die Verfolgung oder Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre.

   Die öffentlich zugänglichen Daten aus dem Internet dürfen nicht in Echtzeit erhoben werden.

   (2) Die Maßnahme nach Absatz 1 darf gegen andere Personen als die in § 18 Absatz 1 Nummer 1 bis 3 bezeichnete Personen nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient.

   (3) Für die nach Absatz 1 abzugleichenden Daten gilt § 12 Absatz 2 entsprechend. Der Abgleich mit Daten, die aus in § 12 Absatz 3 genannten Maßnahmen erlangt wurden, ist ausgeschlossen.

   (4) Die im Rahmen des biometrischen Abgleichs nach Absatz 1 erhobenen Daten sind nach dessen Durchführung unverzüglich zu löschen, sofern sie keinen konkreten Ermittlungsansatz für den Ausgangssachverhalt aufweisen.

   (5) Bei der Übermittlung im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union kann das Bundeskriminalamt, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, personenbezogene Daten an öffentliche und nichtöffentliche Stellen übermitteln und von § 25 Absatz 6 abweichen.

   (6) Im internationalen Bereich gilt § 27 Absatz § mit der Maßgabe, dass das Bundeskriminalamt personenbezogene Daten, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, an öffentliche und nichtöffentliche Stellen übermitteln und, sofern dies zum Zweck des Schutzes der nationalen Sicherheit erforderlich ist, von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abweichen kann.

   (7) Die §§ 25 bis 28 bleiben im Übrigen unberührt.

   § 10c – Automatisierte Datenanalyse

   (1) Das Bundeskriminalamt kann zur Erfüllung der Aufgabe als Zentralstelle im Informationssystem oder im polizeilichen Informationsverbund gespeicherte personenbezogene Daten nach Maßgabe von § 12 mittels einer automatisierten Anwendung zur Datenverarbeitung zusammenführen und darüber hinaus zum Zwecke der Analyse weiterverarbeiten, sofern bestimmte Tatsachen

   1. den Verdacht begründen, dass eine Straftat im Sinne des § 100a Absatz 2 der Strafprozessordnung begangen worden ist und die Tat auch im Einzelfall schwer wiegt, oder
   2. die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat begehen wird, die in § 100a Absatz 2 der Strafprozessordnung genannt ist und sich gegen den Bestand oder die Sicherheit des Bundes oder eines Landes oder gegen Leib, Leben oder Freiheit einer Person oder gegen Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, richtet,

   und dies zur Verhütung oder Verfolgung der Straftat erforderlich ist.

   (2) Im Rahmen der Weiterverarbeitung nach Absatz 1 können insbesondere datei- und informationssystemübergreifend Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, Suchkriterien gewichtet, die eingehenden Erkenntnisse zu bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

3. § 22 wird wie folgt geändert:
   1. Die Überschrift wird durch die folgende Überschrift ersetzt:
      

      § 22 – Weiterverarbeitung von Daten zu weiteren Zwecken.

   2. Nach Absatz 2 wird der folgende Absatz 3 eingefügt:
      

      (3) Das Bundeskriminalamt darf bei ihm vorhandene personenbezogene Daten zur Entwicklung, Überprüfung, Änderung oder zum Trainieren von IT-Produkten einschließlich selbstlernender Systeme weiterverarbeiten und an Dritte übermitteln, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, insbesondere weil

      1. unveränderte Daten benötigt werden oder
      2. eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

      Das Trainieren von IT-Produkten mit personenbezogenen Daten, die aus in § 12 Absatz 3 genannten Maßnahmen erlangt wurden, ist unzulässig. Eine Übermittlung der in Satz 2 genannten Daten ist unzulässig. Personenbezogene Daten werden nur an solche Personen übermittelt, die Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete sind oder die zur Geheimhaltung verpflichtet worden sind. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes ist auf die Verpflichtung zur Geheimhaltung entsprechend anzuwenden. Durch organisatorische und technische Maßnahmen hat das Bundeskriminalamt zu gewährleisten, dass die Daten gegen unbefugte Kenntnisnahme geschützt sind.

4. Nach § 63a werden die folgenden §§ 63b, 63c eingefügt:
   

   § 63b – Biometrischer Abgleich mit öffentlich verfügbaren Daten aus dem Internet

   (1) Das Bundeskriminalamt kann Daten, auf die es zur Erfüllung seiner Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern dies im Einzelfall erforderlich ist

   1. zur Abwehr einer Gefahr für eine zu schützende Person oder für eine zu schützende Räumlichkeit nach § 6 oder
   2. zum Schutz von Leib, Leben, Freiheit, sexueller Selbstbestimmung oder bedeutenden Sachwerten einer zu schützenden Person oder zum Schutz einer zu schützenden Räumlichkeit nach § 6, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen zulassen, an dem bestimmte Personen beteiligt sein werden, oder
   3. zum Schutz von Leib, Leben, Freiheit oder sexueller Selbstbestimmung einer zu schützenden Person oder zum Schutz einer zu schützenden Räumlichkeit nach § 6, wenn das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie in einem übersehbaren Zeitraum eine Straftat gegen eines dieser Rechtsgüter der zu schützenden Person oder gegen eine zu schützende Räumlichkeit begehen wird,

   und die Abwehr der Gefahr auf andere Weise aussichtslos oder wesentlich erschwert wäre. Die öffentlich zugänglichen Daten aus dem Internet dürfen nicht in Echtzeit erhoben werden.

   (2) Der Abgleich nach Absatz 1 darf gegen andere Personen als die entsprechend § 17 oder § 18 des Bundespolizeigesetzes Verantwortlichen, die in § 20 Absatz 1 des Bundespolizeigesetzes bezeichnete Person oder Personen im Sinne von Absatz 1 Nummer 2 oder 3 nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient.

   (3) Für die nach Absatz 1 Satz 1 abzugleichenden Daten gilt § 12 Absatz 2 entsprechend. Der Abgleich mit Daten, die die aus in § 12 Absatz 3 genannten Maßnahmen erlangt wurden, ist ausgeschlossen.

   (4) Die im Rahmen des biometrischen Abgleichs nach Absatz 1 erhobenen Daten sind nach dessen Durchführung unverzüglich zu löschen, sofern sie keinen konkreten Ermittlungsansatz für den Ausgangssachverhalt aufweisen.

   (5) Bei der Übermittlung im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union kann das Bundeskriminalamt, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, personenbezogene Daten an öffentliche und nichtöffentliche Stellen übermitteln und von § 25 Absatz 6 abweichen.

   (6) Im internationalen Bereich gilt § 27 Absatz § mit der Maßgabe, dass das Bundeskriminalamt personenbezogene Daten, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, an öffentliche und nichtöffentliche Stellen übermitteln und, sofern dies zum Zweck des Schutzes der nationalen Sicherheit erforderlich ist, von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abweichen kann.

   (7) Die §§ 25 bis 28 bleiben im Übrigen unberührt.

   § 63c – Automatisierte Datenanalyse

   (1) Das Bundeskriminalamt kann im Informationssystem oder im polizeilichen Informationsverbund gespeicherte personenbezogene Daten nach Maßgabe von § 12 mittels einer automatisierten Anwendung zur Datenverarbeitung zusammenführen und darüber hinaus zum Zwecke der Analyse weiterverarbeiten, sofern dies zur Abwehr einer im Einzelfall bestehenden Gefahr für Leib, Leben oder Freiheit einer nach § 6 zu schützenden Person erforderlich ist. Eine Maßnahme nach Satz 1 ist auch zulässig, sofern

   1. Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat von auch im Einzelfall erheblicher Bedeutung gegen Leib, Leben oder Freiheit einer nach § 6 zu schützenden Person begehen wird, oder und
   2. das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat von auch im Einzelfall erheblicher Bedeutung gegen Leib, Leben oder Freiheit einer nach § 6 zu schützenden Person begehen wird,

   und dies zur Verhütung dieser Straftat erforderlich ist.

   (2) Im Rahmen der Weiterverarbeitung nach Absatz 1 Satz 1 können insbesondere datei- und informationssystemübergreifend Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, Suchkriterien gewichtet, die eingehenden Erkenntnisse zu bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

Artikel 2 – Änderung des Bundespolizeigesetzes

Das Bundespolizeigesetz vom 19. Oktober 1994 (BGBl. I S. 2978, 2979), das zuletzt durch Artikel 5 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht werden nach der Angabe zu § 34 die folgenden Angaben eingefügt:

§ 34a – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

§ 34b – Automatisierte Datenanalyse

§ 34c – Weiterverarbeitung und Übermittlung von personenbezogenen Daten zum Testen und Trainieren von IT-Produkten.

Nach § 34 werden die folgenden §§ 34a bis 34c eingefügt:

„§ 34a – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Die Bundespolizei kann zur Erfüllung einer ihr obliegenden Aufgabe Daten, auf die sie zur Erfüllung ihrer Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern

1. dies zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist und
2. Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat nach den §§ 96 Absatz 2, 97 des Aufenthaltsgesetzes oder eine Straftat, die gegen die Sicherheit der Anlagen oder des Betriebes des Luft-, See- oder Bahnverkehrs gerichtet ist, insbesondere Straftaten nach den §§ 315, 315b, 316b und 316c des Strafgesetzbuches, und eine nicht unerhebliche Gefährdung eines der in Nummer 1 genannten Rechtsgüter erwarten lässt, begehen wird, oder
3. das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat nach den §§ 96 Absatz 2, 97 des Aufenthaltsgesetzes oder eine Straftat, die gegen die Sicherheit der Anlagen oder des Betriebes des Luft-, See- oder Bahnverkehrs gerichtet ist, insbesondere Straftaten nach den §§ 315, 315b, 316b und 316c des Strafgesetzbuches, und eine nicht unerhebliche Gefährdung eines der in Nummer 1 genannten Rechtsgüter erwarten lässt, begehen wird

und die Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre. Die öffentlich zugänglichen Daten aus dem Internet dürfen nicht in Echtzeit erhoben werden.

(2) Der Abgleich nach Absatz 1 darf gegen andere Personen als die nach § 17 oder § 18 Verantwortlichen, die in § 20 Absatz 1 bezeichnete Person oder Personen im Sinne von Absatz 1 Nummer 2 oder 3 nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient.

(3) Für die nach Absatz 1 Satz 1 abzugleichenden Daten gilt § 12 Absatz 2 des Bundeskriminalamtgesetzes entsprechend.

(4) Die im Rahmen des biometrischen Abgleichs nach Absatz 1 erhobenen Daten sind nach dessen Durchführung unverzüglich zu löschen, sofern sie keinen konkreten Ermittlungsansatz für den Ausgangssachverhalt aufweisen.

(5) Sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, kann die Bundespolizei personenbezogene Daten im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union an öffentliche und nichtöffentliche Stellen übermitteln und dabei von § 33 Absatz 6 abweichen.

(6) Sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, kann die Bundespolizei personenbezogene Daten im internationalen Bereich an öffentliche und nichtöffentliche Stellen übermitteln und dabei von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abweichen, sofern dies zum Zweck des Schutzes der nationalen Sicherheit erforderlich ist.

§ 34b – Automatisierte Datenanalyse

(1) Die Bundespolizei kann zur Erfüllung einer ihr obliegenden Aufgabe Daten, auf die sie zur Erfüllung ihrer Aufgaben zugreifen darf, mittels einer automatisierten Anwendung zur Datenverarbeitung zusammenführen und darüber hinaus zum Zwecke der Analyse weiterverarbeiten, sofern

1. dies zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, erforderlich ist,
2. Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat nach den §§ 96 Absatz 2, 97 des Aufenthaltsgesetzes oder eine Straftat, die gegen die Sicherheit der Anlagen oder des Betriebes des Luft-, See- oder Bahnverkehrs gerichtet ist, insbesondere Straftaten nach den §§ 315, 315b, 316b und 316c des Strafgesetzbuches, und eine nicht unerhebliche Gefährdung eines der in Nummer 1 genannten Rechtsgüter erwarten lässt, begehen wird, und dies zur Verhütung der Straftat erforderlich ist, oder
3. das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat nach den §§ 96 Absatz 2, 97 des Aufenthaltsgesetzes oder eine Straftat, die gegen die Sicherheit der Anlagen oder des Betriebes des Luft-, See- oder Bahnverkehrs gerichtet ist, insbesondere Straftaten von auch im Einzelfall erheblicher Bedeutung nach den §§ 315, 315b, 316b und 316c des Strafgesetzbuches, und eine nicht unerhebliche Gefährdung eines der in Nummer 1 genannten Rechtsgüter erwarten lässt, begehen wird, und dies zur Verhütung der Straftat erforderlich ist.

(2) Im Rahmen der Weiterverarbeitung nach den Absatz 1 können insbesondere datei- und informationssystemübergreifend Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, Suchkriterien gewichtet, die eingehenden Erkenntnisse zu bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

§ 34c – Weiterverarbeitung und Übermittlung von personenbezogenen Daten zum Testen und Trainieren von IT-Produkten

Die Bundespolizei kann bei ihr vorhandene personenbezogene Daten zur Entwicklung, Überprüfung, Änderung oder zum Trainieren von IT-Produkten einschließlich selbstlernender Systeme weiterverarbeiten und an Dritte übermitteln, soweit dies zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist, insbesondere weil

1. unveränderte Daten benötigt werden oder
2. eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

Personenbezogene Daten werden nur an solche Personen übermittelt, die Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete sind oder die zur Geheimhaltung verpflichtet worden sind. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes ist auf die Verpflichtung zur Geheimhaltung entsprechend anzuwenden. Durch organisatorische und technische Maßnahmen hat die Bundespolizei zu gewährleisten, dass die Daten gegen unbefugte Kenntnisnahme geschützt sind.

Artikel 3 – Änderung der Strafprozessordnung

Die Strafprozessordnung wird wie folgt geändert:

Artikel 4 – Änderung des Asylgesetzes

Das Asylgesetz in der Fassung der Bekanntmachung vom 2. September 2008 (BGBl. I S. 1798), das zuletzt durch Artikel 2 des Gesetzes vom 25. Oktober 2024 (BGBl. 2024 I Nr. 332) geändert worden ist wird wie folgt geändert:

1. § 15b wird durch den folgenden § 15b ersetzt:

§ 15b – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Das nach § 16 Absatz 1 Satz 1 und 2 erhobene biometrische Lichtbild des Ausländers darf mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgeglichen werden, wenn es zur Feststellung der Identität oder Staatsangehörigkeit erforderlich ist, da der Ausländer keinen gültigen Pass oder Passersatz besitzt. Die öffentlich zugänglichen Daten aus dem Internet dürfen nicht in Echtzeit erhoben werden.

(2) Die im Rahmen des Abgleichs nach Absatz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, sofern sie für die Feststellung der Identität oder Staatsangehörigkeit nicht mehr erforderlich sind.

(3) Bei der Übermittlung im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union kann das Bundesamt personenbezogene Daten an öffentliche und nichtöffentliche Stellen übermitteln, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist.

(4) Im internationalen Bereich kann das Bundesamt personenbezogene Daten an Öffentliche und nichtöffentliche Stellen übermitteln, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist und von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abweichen, sofern dies zum Zweck des Schutzes der nationalen Sicherheit erforderlich ist.

Artikel 5 – Inkrafttreten

Dieses Gesetz tritt am Tag nach der Verkündung in Kraft.

Begründung

A. Allgemeiner Teil

I. Zielsetzung und Notwendigkeit der Regelungen

Polizei- und Strafverfolgungsbehörden müssen zum Schutz der inneren Sicherheit auf neue Herausforderungen reagieren können. Im vergangenen Jahr kam es im öffentlichen Raum vermehrt zu schweren Gewalttaten durch Einzeltäter wie in Mannheim, Solingen, Magdeburg, Aschaffenburg und Hamburg. Es besteht eine hohe abstrakte Bedrohungslage für die Sicherheit in Deutschland – auch durch den internationalen Terrorismus. Erhebliche Bedrohungen gehen ebenso von der schweren und organisierten Kriminalität aus; das zeigt sich unter anderem an der gestiegenen Gewaltbereitschaft sowie am zunehmenden Unterwanderungspotential krimineller Gruppierungen in gesellschaftlichen Strukturen.

Die Bedrohung durch terroristische und kriminelle Strukturen erfordert den Einsatz technologischer Instrumente – auch Künstlicher Intelligenz – in der Gefahrenabwehr und der Strafverfolgung. Ziel des Gesetzentwurfs ist es, den Polizeibehörden die rechtlichen Befugnisse zur Verfügung zu stellen, um den Herausforderungen sachgerecht begegnen zu können.

II. Wesentlicher Inhalt des Entwurfs

Der Gesetzentwurf enthält Befugnisse zur automatisierten Datenanalyse, für den biometrischen Internetabgleich sowie das Testen und Trainieren von IT-Produkten für die Polizeibehörden des Bundes, sowohl für die Gefahrenabwehr als auch die Strafverfolgung. Dieser Gesetzentwurf bildet mit dem Entwurf eines zweiten Gesetzes zur Stärkung der Ermittlungsbefugnisse in der Polizeiarbeit ein Gesetzespaket. Er enthält die zustimmungsfreien Bestandteile des Pakets.

Hinsichtlich des Bundeskriminalamts betrifft dies die Aufgabe als Zentralstelle für die Kriminalpolizei des Bundes und der Länder nach § 2 des Bundeskriminalamtgesetzes sowie den Schutz von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts nach § 6 des Bundeskriminalamtgesetzes. Im Hinblick auf die Bundespolizei beziehen sich die Befugnisse auf ihre Aufgabe zur Gefahrenabwehr im Rahmen des Grenzschutzes nach § 2 Absatz 2 Nummer 2 Buchstabe c des Bundespolizeigesetzes, auf ihre Aufgabe nach § 3 Absatz 1 des Bundespolizeigesetzes zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, die auf dem Gebiet der Bahnanlagen der Eisenbahnen des Bundes den Benutzern, den Anlagen oder dem Betrieb der Bahn drohen, beim Betrieb der Bahn entstehen oder von den Bahnanlagen ausgehen, auf ihre Aufgabe zur Gefahrenabwehr im Bereich der Luftsicherheit nach §§ 4 und 4a des Bundespolizeigesetzes, auf ihre Aufgabe zum Schutz von Bundesorganen nach § 5 des Bundespolizeigesetzes sowie auf ihre Aufgaben auf See nach § 6 des Bundespolizeigesetzes. Die Änderungen der Strafprozessordnung ermöglichen die Nutzung der Befugnisse in strafprozessualen Ermittlungsverfahren. Zudem erfolgt eine Angleichung der Regelung zum biometrischen Internetabgleich im Asylgesetz an die gegenständlichen Vorschriften.

Die automatisierte Datenanalyse ist ein zentraler Baustein, um die stetig wachsenden Datenmengen in polizeilichen Ermittlungsverfahren verarbeiten zu können. Mittels der Analyse bereits rechtmäßig erhobener polizeilicher Daten ist es möglich, Verbindungen zwischen Taten, Personen, Orten sowie anderen Anknüpfungspunkten zu finden. Insbesondere für komplexe Ermittlungen in den Bereichen Terrorismus, schwerer und organisierter Kriminalität, ist die automatisierte Datenanalyse als Ermittlungsinstrument notwendig. Überdies ermöglicht sie es, in konkreten Anschlagssituationen schnellstmöglich Daten auszuwerten und somit weitere Maßnahmen zur Gefahrenabwehr zu ergreifen.

Der biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet ist erforderlich, um Personen insbesondere zu identifizieren, lokalisieren sowie Tat-Täter-Zusammenhänge zu erschließen. Die Befugnis erlaubt es, biometrische Daten – zum Beispiel das Lichtbild einer gesuchten Person – mit öffentlich zugänglichen Daten aus dem Internet abzugleichen. Im Rahmen der Ausübung der Befugnis ist die Zusammenarbeit mit Dritten, auch außerhalb der Europäischen Union, erlaubt.

IT-Produkte sind elementarer Bestandteil einer modernen polizeilichen Arbeit. Der Gesetzentwurf enthält eine Befugnis für das Testen und Trainieren von IT-Produkten. Dies umfasst auch selbstlernende Systeme.

Die Befugnisse sind technik- und produktneutral ausgestaltet.

III. Exekutiver Fußabdruck

Interessenvertreterinnen und Interessenvertreter Dritter oder sonstige Personen außerhalb der Bundesverwaltung sind nicht an der Erstellung des Entwurfs beteiligt worden.

IV. Alternativen

Keine.

V. Gesetzgebungskompetenz

Die Gesetzgebungskompetenz des Bundes folgt für die Änderung des Bundeskriminalamtgesetzes bezüglich der Zentralstellenfunktion Art. 73 Abs. 1 Nr. 10 Buchstabe a des Grundgesetzes und bezüglich des Schutzes von Bundesorganen, Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts aus der Natur der Sache. Für die Änderungen des Bundespolizeigesetzes folgt die Gesetzgebungskompetenz aus Artikel 73 Absatz 1 Nummer 5 (Grenzschutz), 6 (Luftverkehr) und 6a (Eisenbahnen) des Grundgesetzes sowie für die datenschutzrechtlichen Regelungen als Annex zu den jeweiligen Sachkompetenzen. Soweit für die Änderungen des Bundespolizeigesetzes der Schutz von Bundesorganen betroffen ist, folgt die Gesetzgebungskompetenz aus der Natur der Sache. Für die Änderungen des Asylgesetzes folgt die Gesetzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 6 des Grundgesetzes.

VI. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen

Der Gesetzentwurf ist mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen, die die Bundesrepublik Deutschland geschlossen hat, vereinbar.

VII. Gesetzesfolgen

Der Gesetzentwurf dient dem Schutz der öffentlichen Sicherheit in Deutschland und der Stärkung der Ermittlungsbefugnisse im Rahmen von Gefahrenabwehr und Strafverfolgung.

1. Rechts- und Verwaltungsvereinfachung

Die Regelungen des Gesetzentwurfs werden nicht zu einer Rechts- oder Verwaltungsvereinfachung führen.

2. Nachhaltigkeitsaspekte

Der Gesetzentwurf steht im Einklang mit den Leitgedanken der Bundesregierung zur nachhaltigen Entwicklung im Sinne der Deutschen Nachhaltigkeitsstrategie, die der Umsetzung der Agenda 2030 für nachhaltige Entwicklung der Vereinten Nationen dient. Der Entwurf dient entsprechend der Zielvorgabe 16.1 der Erhöhung der persönlichen Sicherheit und dem Schutz vor Kriminalität.

3. Haushaltsausgaben ohne Erfüllungsaufwand

Es entstehen keine Haushaltsausgaben ohne Erfüllungsaufwand.

4. Erfüllungsaufwand

a) Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

b) Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft entsteht kein Erfüllungsaufwand.

c) Erfüllungsaufwand der Verwaltung

Platzhalter.

5. Weitere Kosten

Weitere Kosten sind nicht zu erwarten.

6. Weitere Gesetzesfolgen

Auswirkungen auf demografierelevante Belange sind nicht zu erwarten.

VIII. Befristung; Evaluierung

Befristung und Evaluierung sind nicht vorgesehen.

B. Besonderer Teil

Zu Artikel 1 (Änderung des Bundeskriminalamtgesetzes)

Zu Nummer 1 (Inhaltsübersicht)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von den §§ 10b, 10c.

Zu Buchstabe b

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von den §§ 63b, 63c.

Zu Nummer 2 (§§ 10b, 10c)

Zu § 10b

Das Bundeskriminalamt hat nach § 2 Absatz 2 Nummer 1 die Aufgabe, alle zur Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung nach § 2 Absatz 1 erforderlichen Informationen zu sammeln und auszuwerten. Als Zentralstelle unterstützt das Bundeskriminalamt die Polizeien des Bundes und der Länder in der gesamten Breite der Kriminalitätsbekämpfung, insbesondere aber in den Feldern der Terrorismusabwehr sowie der schweren und organisierten Kriminalität. Für eine moderne Aufgabenwahrnehmung ist es unerlässlich, dass dies auch Informationen aus dem Internet umfasst. Straftäter hinterlassen in der analogen wie auch digitalen Welt Spuren: Das Bundeskriminalamt muss in beiden Situationen über die erforderlichen Ermittlungsinstrumente verfügen. Diesem Zweck dient § 10b.

Ziel des Abgleichs biometrischer Daten mit öffentlich zugänglichen Daten aus dem Internet ist die Identifizierung und Lokalisierung sowie Erkennung von Tat-Täter-Zusammenhängen. Eine entsprechende Befugnis ist neben der hier betroffenen Zentralstellenregelung zur Abwehr von Gefahren des internationalen Terrorismus (§ 39a) und zum Schutz von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts (§ 63b) vorgesehen.

Die Befugnis ist technik- und produktneutral. Die Umsetzung kann mittels eigener IT-Produkte des Bundeskriminalamts oder kommerzieller IT-Produkte Dritter erfolgen.

Zu Absatz 1

Zweck des Abgleichs nach Absatz 1 Satz 1 ist, dass das Bundeskriminalamt zur Erfüllung der Aufgabe als Zentralstelle im Bereich der Strafverfolgung und Straftatenverhütung bestehende Hinweise zu Personen und einer bestimmten Begehungsweise verdichten kann. Mittels des biometrischen Abgleichs von Daten mit öffentlich zugänglichen Daten, insbesondere dem Internet, können Personen identifiziert und lokalisiert sowie Tat-Täter-Zusammenhänge erkannt werden.

Unter einem biometrischen Abgleich im Sinne der Vorschrift ist die technisch gestützte Überprüfung der Übereinstimmung von biometrischen Signaturen mit dem Ergebnis einer Übereinstimmungsbewertung zu verstehen. Ausgangspunkt ist ein biometrisches Datum, beispielsweise ein Fahndungslichtbild, das mit Referenzdaten abgeglichen wird. Unter allgemein öffentlich zugängliche Daten fallen solche Daten, die von jedermann verwendet werden können, beispielsweise aus sozialen Medien, soweit sich diese nicht an einen spezifisch abgegrenzten Personenkreis richten. Konkretisierend fallen darunter Daten, wenn sie jede Person ohne oder nach vorheriger Registrierung, Genehmigung oder Entgeltzahlung nutzen kann. Nicht umfasst sind Daten, die einer spezifischen Schwelle unterzogen sind, beispielsweise der Einstellung von Daten in sozialen Medien für einen begrenzten Kreis, dessen Zugang einer Kontrolle unterzogen wird. Privatkommunikation über Messenger-Dienste von sozialen Medien können nicht von der Maßnahme erfasst werden.

Die Befugnis setzt entsprechend § 9 Absatz 1 voraus, dass die Maßnahme nur zur Ergänzung vorhandener Sachverhalte erfolgen kann. Voraussetzungen für ein Tätigwerden des Bundeskriminalamts ist, dass bereits Ermittlungsunterlagen vorliegen (vgl. Bundestagsdrucksache 13/1550, S. 24). Die Vorschrift setzt einen Tatverdacht bzw. zur Straftatenverhütung eine zumindest konkretisierte Gefahrenlage voraus. Der Abgleich erfolgt zielgerichtet bezogen auf einen konkreten Sachverhalt. Die erstmalige Gewinnung von Verdachts- oder Gefahrenmomenten ist nicht von der Befugnis erfasst.

Zum Zweck der Durchführung des Abgleichs nach Absatz 1 können öffentlich zugängliche Daten aus dem Internet erhoben werden. Die Vorschrift erlaubt zudem die Speicherung der Daten, um diese als Referenz für den Abgleich zu verwenden. Diese temporäre Speicherung erfolgt ausschließlich zu dem Zweck des konkreten Ausgangsverfahrens, eine weitere Verwendung der Daten ist ausgeschlossen, sie sind nach Absatz 4 zu löschen.

Öffentlich zugängliche Daten können auch im Rahmen der allgemeinen Ermittlungsbefugnisse erhoben werden. Spezialgesetzlicher Regelungsbedarf besteht jedoch, da Absatz 1 Satz 1 den biometrischen Abgleich öffentlich zugänglicher Daten mittels automatisierter Verarbeitung regelt. Nur mittels einer solchen technischen Anwendung können Lichtbilder und Videos analysiert werden, die einen Abgleich ermöglicht. Ohne eine solche technische Verarbeitung könnten die erhobenen Daten nicht verwendet werden, da sich öffentlich zugängliche Daten in Format und Struktur von den im Informationssystem oder -verbund gespeicherten Daten unterscheiden.

Nach Satz 2 ist es ausgeschlossen, dass die öffentlich zugänglichen Daten aus dem Internet in Echtzeit erhoben werden dürfen. Die Erhebung von personenbezogenen Daten aus Livestreams im Internet ist daher verboten. Sobald der zugrundeliegende Lebenssachverhalt abgeschlossen ist, ist eine nachträgliche Erhebung der Daten erlaubt.

Zu Absatz 2

Die Maßnahme nach § 10b Absatz 1 ist auch zur Identifizierung und Aufenthaltsermittlung anderer Personen als den in § 18 Absatz 1 Nummer 1 bis 3 genannten möglich, beispielsweise von Kontaktpersonen, Opfern und Zeugen.

Zu Absatz 3

Der Abgleich nach Absatz 1 setzt voraus, dass im Informationssystem oder -verbund Daten als Grundlage des Abgleichs vorhanden sind (Beispiel: Lichtbild eines Tatverdächtigen). Absatz 3 Satz 1 sieht eine entsprechende Geltung des § 12 Absatz 2 für die abzugleichenden Daten vor. Damit werden die Vorgaben der hypothetischen Datenneuerhebung auf die gegenständliche Maßnahme übertragen. Das Bundeskriminalamt darf demnach nur solche Daten als Grundlage des Abgleichs einbeziehen, die mindestens der Verfolgung einer vergleichbar bedeutsamen Straftat dienen und aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Verfolgung solcher Straftaten ergeben. Letzteres sichert, dass nur im Einzelfall notwendige Daten zum Abgleich verwendet werden. Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen oder verdeckten Eingriff in informationstechnische Systeme erlangt wurden, können aufgrund der hohen Eingriffsintensität nicht in den Abgleich einbezogen werden.

Zu Absatz 4

Nach Absatz 4 dürfen ausschließlich Daten verarbeitet werden, sofern sich auf Grundlage des Abgleichs ein konkreter Ermittlungsansatz aus den Daten ergibt. Die Weiterverarbeitung richtet sich im Weiteren nach den Regelungen zur Weiterverarbeitung nach diesem Gesetz oder der Strafprozessordnung. Im Übrigen sind die für die Durchführung des Abgleichs nach Absatz 1 verwendeten Daten unverzüglich zu löschen. Die Vorschrift sichert eine enge Zweckbindung der Daten.

Zu Absatz 5

Zur Durchführung des biometrischen Internetabgleichs nach Absatz 1 kann eine Übermittlung an andere öffentliche oder nichtöffentliche Stellen erforderlich sein. Absatz 5 sieht insofern eine spezielle Übermittlungsbefugnis vor. Die Vorschrift regelt die Möglichkeit, bei der Datenübermittlung im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union von den Regelungen in 825 Absatz6 zur Verpflichtung Dritter zur Zweckbindung abzuweichen. Eine solche Ermessensentscheidung des Bundeskriminalamts kann insbesondere damit begründet werden, dass eine solche Verpflichtung praktisch nicht möglich ist und das Risiko besteht, dass die Durchführung des Abgleichs nicht erfolgen könnte.

Zu Absatz 6

Absatz 6 Satz 1 regelt einen Dispens für Übermittlungen im internationalen Bereich. § 27 Absatz § gilt demnach unter der Maßgabe, dass Datenübermittlung an öffentliche und nichtöffentliche Stellen in Drittstaaten erlaubt ist und von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abgewichen werden kann, sofern dies zum Schutz der nationalen Sicherheit erforderlich ist.

§ 27 Absatz § in Verbindung mit § 81 des Bundesdatenschutzgesetzes setzt Artikel 39 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates um. Die Richtlinie (EU) 2016/680 regelt jedoch nicht die Verarbeitung personenbezogener Daten bei Tätigkeiten, die nicht unter das Unionsrecht fallen. Dies betrifft die nationale Sicherheit betreffende Tätigkeiten sowie Tätigkeiten von Agenturen oder Stellen, die mit Fragen der nationalen Sicherheit befasst sind (Erwägungsgrund 14) und spiegelt den in Artikel 4 Absatz 2 Satz 3 des Vertrags über die Europäische Union primärrechtlich verankerten Vorbehalt der alleinigen Verantwortung der einzelnen Mitgliedstaaten für die nationale Sicherheit wider.

Unter den Begriff der nationalen Sicherheit nach Artikel 4 Absatz 2 Satz 3 des Vertrags über die Europäische Union fällt nach der Rechtsprechung des Europäischen Gerichtshofs das zentrale Anliegen „die wesentlichen Funktionen des Staates und die grundlegenden Interessen der Gesellschaft zu schützen, und umfasst die Verhütung und Repression von Tätigkeiten, die geeignet sind, die tragenden Strukturen eines Landes im Bereich der Verfassung, Politik oder Wirtschaft oder im sozialen Bereich in schwerwiegender Weise zu destabilisieren und insbesondere die Gesellschaft, die Bevölkerung oder den Staat als solchen unmittelbar zu bedrohen, wie insbesondere terroristische Aktivitäten.“ (Europäischer Gerichtshof, Urteil vom 6.10.2020, Rechtssachen C-511/18, C-512/18 und C-520/18, Randnummer 135).

Darunter fallen Tätigkeiten des Bundeskriminalamts im Bereich der Abwehr, Verhütung und Verfolgung von Terrorismus, Spionage, Sabotage und Straftaten einer § 5 Absatz 1 Satz 2 vergleichbaren Dimension. Das Bundesverfassungsgericht führt zu der Vorgängerfassung von § 5 Absatz 1 Satz 2 aus: „Straftaten mit dem Gepräge des Terrorismus in diesem Sinne zielen auf eine Destabilisierung des Gemeinwesens und umfassen hierbei in rücksichtsloser Instrumentalisierung anderer Menschen Angriffe auf Leib und Leben beliebiger Dritter. Sie richten sich gegen die Grundpfeiler der verfassungsrechtlichen Ordnung und das Gemeinwesen als Ganzes.“ (Bundesverfassungsgericht, Urteil vom 24. April 2016, Az. 1 BvR 966/09 u.a., Randnummer 96).

Zu Absatz 7

Absatz 7 stellt klar, dass die Regelungen zur Datenübermittlung in §§ 25 bis 28 im Übrigen Anwendung finden.

Zu § 10c

Das Bundesverfassungsgericht hat in seinem Urteil vom 16. Februar 2023 zur automatisierten Datenanalyse (Az. 1 BvR 1547/19, 1 BvR 2634/20) die verfassungsrechtliche Legitimität von Befugnissen zur automatisierten Datenanalyse bestätigt und die verfassungsrechtlichen Anforderungen an entsprechende Vorschriften konkretisiert. Die neuen Regelungen in §§ 10c, 39b und 63c setzen diese Anforderungen um.

Die Einrichtung und Nutzung einer automatisierten Anwendung zur Datenanalyse ist für die Aufgabenerfüllung des Bundeskriminalamts erforderlich. Ausgangspunkt ist das stetige Ansteigen der vorhandenen Daten, welche durch das Bundeskriminalamt ausgewertet werden müssen. Es bedarf insofern einer Fortentwicklung der technischen Instrumente zur Bewältigung der polizeilichen Aufgaben. Ein Baustein dafür sind Anwendungen zur automatisierten Datenanalyse. Im Vergleich zum Datenabgleich zeichnen sich automatisierte Datenanalysen dadurch aus, dass sie darauf gerichtet sind, neues Wissen zu erzeugen (BVerfG, a. a. O., Randnummer 67).

Das Bundesverfassungsgericht hat in seinem Urteil vom 16. Februar 2023 Kriterien dafür aufgestellt, unter welchen Umständen Eingriffe durch Datenverarbeitungen eine besondere Eingriffsintensität erreichen, die einer spezifischen gesetzlich zu regelnden Eingriffsschwelle bedürfen. Dazu gehören unter anderem die Fähigkeit der Auswertung großer und komplexer Informationsbestände (BVerfG, a. a. O., Randnummer 69) als auch der Einsatz komplexer Formen des Datenabgleichs (BVerfG, a. a. O., Randnummer 90), wobei es sich jeweils nur um Anhaltspunkte zur Bestimmung der Eingriffsintensität handelt.

Die hier eingeführten Vorschriften ermöglichen es dem Bundeskriminalamt, unter Wahrung der verfassungsrechtlichen Voraussetzungen entsprechende Datenanalysen vorzunehmen. Dabei sollen die Datenbestände, die beim Bundeskriminalamt bereits aufgrund bestehender Rechtsgrundlagen rechtmäßig erlangt und gespeichert werden, ausschließlich zum Zwecke der Analyse zusammengeführt und weiterverarbeitet werden. Das Bundeskriminalamt wird auf diese Weise in die Lage versetzt, bereits bei ihm im polizeilichen Informationssystem oder im polizeilichen Informationsverbund nach § 29 vorhandene Informationen besser, schneller und effizienter auszuwerten. Die Befugnisse zur Weiterverarbeitung von personenbezogenen Daten nach § 16 Absatz 1 und für den (ebenfalls automatisierten) Datenabgleich nach § 16 Absatz 4 bleiben von dieser Regelung unberührt.

Eine entsprechende Befugnis ist neben der hier betroffenen Zentralstellenregelung zur Abwehr von Gefahren des internationalen Terrorismus (§ 39b) und zum Schutz von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts (§ 63c) vorgesehen.

Zu Absatz 1

Absatz 1 regelt die Befugnis des Bundeskriminalamts, die im Informationssystem des Bundeskriminalamts oder im Informationsverbund gespeicherten Daten mittels einer automatisierten Anwendung zur Datenanalyse aus verschiedenen Datenbeständen technisch zusammenzuführen. Er regelt ferner die Befugnis, diese zusammengeführten Daten zu analysieren, wenn dies zur Erfüllung der Zentralstellenaufgabe des Bundeskriminalamts erforderlich ist. Die besondere verfassungsrechtliche Rolle des Bundeskriminalamts als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei erfordert hohe Fähigkeiten im Bereich der Auswertung und Analyse von Daten. Als Zentralstelle hat das Bundeskriminalamt insbesondere den gesetzlichen Auftrag, Informationen zu sammeln und auszuwerten und muss daher auch mit den rechtlichen sowie technischen Mitteln ausgestattet werden, die es in die Lage versetzen, diesen Auftrag bestmöglich zu erfüllen.

Voraussetzung ist zunächst, dass dies im Rahmen der Befugnisse des Bundeskriminalamts als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei zur Verfolgung oder Verhütung einer Straftat erforderlich ist. Der Einsatz entsprechender Analysen unterliegt einer angemessenen Eingriffsschwelle. Nach dem Urteil des Bundesverfassungsgerichts vom 16. Februar 2023 kann die automatisierte Datenanalyse bei einer hinreichend konkretisierten Gefahr für besonders gewichtige Rechtsgütern erfolgen (Bundesverfassungsgericht, a. a. O., Randnummer 105f.). Der Tatbestand entspricht der Rechtsprechung des Bundesverfassungsgerichts zu den Anforderungen an eine konkretisierte Gefahrenlage (Urteil vom 20. April 2016, Az. 1 BvR 966/09 und 1 BvR 1140/09, Randnummer 165). Die präventive Regelung in § 10c Absatz 1 Nummer 2 sieht vor, dass eine konkretisierte Gefahrenlage für die Begehung einer Straftat nach § 100a Absatz 2 der Strafprozessordnung bestehen muss und kumulativ die vom Bundesverfassungsgericht anerkannten besonders gewichtigen Rechtsgüter gefährdet sind (Bundesverfassungsgericht, a. a. O., Randnummer 105f.).

Die repressive Aufgabenwahrnehmung des Bundeskriminalamts in seiner Zentralstellenfunktion ist in § 10c Absatz 1 Nummer 1 geregelt. Das Bundesverfassungsgericht sieht als maßgebliches Kriterium für die Rechtfertigung von repressiven Befugnissen das Gewicht der verfolgten Straftaten an (Urteil vom 20. April 2016, Az. 1 BvR 966/09 und 1 BvR 1140/09, Randnummer 106). Eingriffsintensive Überwachungsmaßnahmen – beispielsweise – Telekommunikationsüberwachung erfordern demnach den Verdacht einer schweren Straftat, während besonders eingriffsintensive Überwachungsmaßnahmen – Wohnraumüberwachung und Zugriff auf informationstechnische Systeme – den Verdacht einer besonders schweren Straftat erfordern (Urteil vom 20. April 2016, Az. 1 BvR 966/09 und 1 BvR 1140/09, Randnummer 107). Das Bundesverfassungsgericht hat präventive Befugnisse zur automatisierten Datenanalyse – in der gegenständlichen Ausgestaltung – als eingriffsintensive heimliche Überwachungsmaßnahme eingestuft (Urteil vom 16. Februar 2023, Az. 1 BvR 1547/19, 1 BvR 2634/20, Randnummer 105). Für die Rechtfertigung ist somit der Straftatenkatalog des § 100a Absatz 2 der Strafprozessordnung, der schwere Straftaten umfasst, angemessen. Überdies ist erforderlich, dass die verfolgte Straftat auch im Einzelfall schwer wiegt (zur Speicherung von Telekommunikationsdaten: Bundesverfassungsgericht, Az. 1 BvR 256/08, Randnummer 229).

Die technische Zusammenführung der Daten sichert die Verarbeitbarkeit der Daten im Rahmen der automatisierten Datenanalyse. Die Zusammenführung muss aus technischen Gründen vom Einzelfall und weiteren Eingriffsschwellen unabhängig sein. Die Daten können nur dann schnell und effizient analysiert werden, wenn zumindest der Grunddatenbestand bereits zusammengeführt und aktualisiert in einem einheitlichen Datenformat in einer entsprechenden Anwendung vorliegt. Der Vorgang der Zusammenführung und Formatierung ist aufgrund der Masse der Daten aufwändig, so dass eine Zusammenführung lediglich im Einzelfall dem gewünschten Zweck der schnellen und effektiven Straftatenverhütung und -verfolgung nicht gerecht werden könnte.

Die Eingrenzung der Daten auf das Informationssystem nach § 13 und den polizeilichen Informationsverbund nach § 29 ist aus Gründen der Verhältnismäßigkeit angezeigt. Es dürfen lediglich solche Daten einbezogen werden, die bereits rechtmäßig erhoben wurden. Das Bundeskriminalamt wird somit dazu befugt, die automatisierte Analyse interner Datenbestände durchzuführen.

Nicht von der Befugnis umfasst sind Datenerhebungen in externen/öffentlichen Datenquellen wie zum Beispiel Social-Media Plattformen, um diese einer direkten Analyse zu unterziehen. Daten aus externen Quellen können im konkreten Einzelfall in die Analyse nur dann miteinbezogen werden, wenn diese bereits im Vorfeld auf Basis einer entsprechenden Befugnisnorm zur Datenerhebung rechtmäßig erhoben wurden und weiterhin rechtmäßig gespeichert in dem Informationssystem des Bundeskriminalamts vorliegen oder zwischengespeichert werden, ohne dass es zu einer längerfristigen Speicherung der Daten kommt.

Für die Datenverarbeitung sind die in § 12 geregelten Grundsätze zur hypothetischen Datenneuerhebung zu beachten.

Zu Absatz 2

Absatz 2 enthält eine nicht abschließende Aufzählung der möglichen Formen der Weiterverarbeitung im Rahmen einer automatisierten Anwendung zur Datenanalyse.

Zu Nummer 3 (§ 22)

Zu Buchstabe a

Die Änderung der Überschrift von § 22 folgt aus der Einfügung des Absatzes 3. Die Aufzählung der einzelnen Verarbeitungszwecke wird gestrichen.

Zu Buchstabe b

Die Befugnis zum Testen von IT-Produkten sowie Trainieren von selbstlernenden Systemen ist für die Nutzung von IT- Anwendungen des Bundeskriminalamts von entscheidender Bedeutung. Für die (Weiter-)Entwicklung solcher Anwendungen können mehrstufige Testzyklen erforderlich sein, die unter Umständen auch die Verwendung von pseudonymisierten oder Echtdaten erfordern. Dies gilt für eigene IT-Anwendungen des Bundeskriminalamts als auch im Einzelfall für die Unterstützung im Rahmen der Aufgabe des Bundeskriminalamts als Zentralstelle.

Der neue § 22 Absatz 3 schafft eine ausdrückliche Rechtsgrundlage für die Entwicklung, Überprüfung, Änderung und das Trainieren von IT-Produkten durch das Bundeskriminalamt anhand von Echtdaten. IT-Produkte sind entsprechend der Legaldefinition in § 2 Absatz 9a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Software, Hardware sowie alle einzelnen oder miteinander verbundenen Komponenten, die Informationen informationstechnisch verarbeiten. Ausdrücklich genannt ist das Training selbstlernender Systeme.

Auch wenn das Testen von IT-Produkten mittels personenbezogener Daten in der Regel eine technisch-organisatorische Maßnahme zur Gewährleistung der Sicherheit der Datenverarbeitung im Produktivbetrieb darstellt, die auf Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119/1 vom 4. Mai 2016, S. 1), im Folgenden Datenschutz-Grundverordnung, in Verbindung mit Artikel 32 der Datenschutz-Grundverordnung beziehungsweise § 64 des Bundesdatenschutzgesetzes gestützt werden kann, soll aus Gründen der Rechtssicherheit eine spezialgesetzliche Rechtsgrundlage geschaffen werden.

Erfüllt das Testen und Trainieren von IT-Produkten im Einzelfall die für die wissenschaftliche Forschung kennzeichnenden Merkmale, ist § 21 als Rechtsgrundlage für die Datenverarbeitung für die wissenschaftliche Forschung heranzuziehen.

Eine Verarbeitung personenbezogener Daten durch das Bundeskriminalamt nach § 22 Absatz 3 Satz 1 ist ausschließlich zum Zwecke der Entwicklung, Überprüfung, Änderung und des Trainierens von IT-Produkten zulässig. Zudem muss es sich um IT-Produkte handeln, die das Bundeskriminalamt für die eigene Aufgabenwahrnehmung entwickelt oder nutzt. Die Datenverarbeitung muss zur Erreichung der benannten Zwecke erforderlich sein. Insbesondere muss ein Bedürfnis für unveränderte Daten bestehen oder eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich sein. Die Aufzählung der Gründe für die Erforderlichkeit der Datenverarbeitung ist nicht abschließend.

Die Sätze 2 und 3 dienen dem besonderen Schutz von Daten, die aus den in § 12 Absatz 3 genannten besonders eingriffsintensiven Maßnahmen stammen. IT-Produkte, einschließlich selbstlernender Systeme, dürfen nicht mit Daten, die aus besonders eingriffsintensiven Maßnahmen stammen, trainiert werden. Die Übermittlung von Daten, die aus den in § 12 Absatz 3 genannten Maßnahmen stammen, an Dritte ist nach Satz 3 ausgeschlossen. Dies dient dem Schutz der besonders eingriffsintensiv erhobenen Daten. Für die Entwicklung, Überprüfung und Änderung dieser Daten durch das Bundeskriminalamt gilt dieses Verbot nicht. IT-Produkte des Bundeskriminalamts sind vor größeren technischen Umstellungen in einer separaten Schutzumgebung zu testen. Unter solchen technischen Umstellungen sind zum Beispiel der Umzug der Betriebsumgebung, der Rollout eines neuen Produkts oder ein umfangreiches Update zu verstehen. Ziel der Testung in einer separaten Schutzumgebung ist die Feststellung von Schwachstellen und die Sicherung der Funktionsfähigkeit im Betrieb. Personenbezogene Daten nach § 12 Absatz 3 müssen Teil dieser Betrachtung in der Testumgebung sein. Insbesondere sind technisch-organisatorische Vorkehrungen nach § 12 Absatz 5 zu treffen, die der Sicherstellung der Vorgaben der hypothetischen Datenneuerhebung dienen. Die Vorkehrungen müssen zwingend Bestandteil des Teststadiums sein.

Die Regelungen in den Sätzen 4 und 5 stellen sicher, dass Dritte im Rahmen einer Auftragsverarbeitung nur tätig werden dürfen, wenn sichergestellt ist, dass die Verarbeitung personenbezogener Daten nur durch Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete oder zur Geheimhaltung verpflichtete Mitarbeiterinnen oder Mitarbeiter erfolgt. Dies entspricht der Regelung in § 21 Absatz 4 zur Weiterverarbeitung von personenbezogenen Daten für die wissenschaftliche Forschung.

Absatz 3 Satz 6 regelt den technisch-organisatorischen Schutz der Datensicherheit durch das Bundeskriminalamt. Dies entspricht der Regelung in § 21 Absatz 6 zur Weiterverarbeitung von personenbezogenen Daten für die wissenschaftliche Forschung.

Zu Nummer 4

Zu § 63b

§ 63b regelt die Befugnis zum biometrischen Abgleich mit öffentlich zugänglichen Daten aus dem Internet zum Zweck des Schutzes von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts. Insbesondere die Radikalisierung in der sogenannten Reichsbürger- und Querdenkerszene und die damit verbundene erhöhte Gefährdungslage für die Repräsentanten des Rechtsstaats und der Verfassungsorgane erfordern auch für diesen Aufgabenbereich adäquate rechtliche Befugnisse und technische Fähigkeiten. Aber auch in anderen Phänomenbereichen sind gleichgelagerte Gefahren denkbar. Es wird auf die Begründung zu § 10b verwiesen.

Die in Absatz 1 Nummer 3 geregelte Tatbestandsvariante bezieht sich auf das individuelle Verhalten einer Person und erfordert nicht, dass Tatsachen ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen erkennen lassen. Das Bundesverfassungsgericht hat eine solche Tatbestandsvariante im Bereich des Terrorismus anerkannt (Urteil vom 20. April 2016, Az. 1 BvR 966/09 und 1 BvR 1140/09, Randnummer 112). Das Bundesverfassungsgericht begründete dies damit, dass terroristische Straftaten oft durch lang geplante Taten von bisher nicht straffällig gewordenen Einzelnen an nicht vorhersehbaren Orten und in ganz verschiedener Weise verübt werden (ebenda). Die Aufgabe nach § 6 unterscheidet sich von der Aufgabe der Abwehr des Terrorismus insofern, als dass nicht der Schutz der Allgemeinheit im Vordergrund steht, sondern der Schutz von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts zu schützenden Personen. Inhaltlich weisen beide Aufgaben jedoch eine vergleichbare Ausgangslage auf, insbesondere besteht eine inhaltliche Schnittmenge zwischen Terrorismus und einem Angriff auf nach § 6 geschützte Personen. Unabhängig von der Zielrichtung können solche Angriffe zudem eine Bedrohungs- und Destabilisierungswirkung erzielen, die terroristischen Angriffen vergleichbar ist. Bei der Abwehr möglicher Angriffe auf nach § 6 geschützte Personen bedarf es daher ebenfalls der Möglichkeit, Maßnahmen gegen Personen aufgrund ihres individuellen Verhaltens einzuleiten, sofern eine konkrete Wahrscheinlichkeit für die Begehung einer Straftat in einem übersehbaren Zeitraum besteht.

Zu § 63c

§ 63c regelt die Befugnis zur automatisierten Datenanalyse zum Zweck des Schutzes von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts. Es wird auf den in der Begründung zu § 63b ersichtlichen Bedarf verwiesen.

Der Tatbestand von § 63c Absatz 1 Satz 1 richtet sich auf die Abwehr von Gefahren für Leib, Leben oder Freiheit der geschützten Personen. § 63 Absatz 1 Satz 2 entspricht der Rechtsprechung des Bundesverfassungsgerichts zu den Anforderungen an eine konkretisierte Gefahrenlage für besonders gewichtige Rechtsgüter (Urteil vom 20. April 2016, Az. 1 BvR 966/09 und 1 BvR 1140/09, Randnummer 105f., 165). Im Übrigen wird auf die Begründung zu § 10c verwiesen. Bezüglich der tatbestandlichen Schwelle in Satz 2 Nummer 2 wird auf die Begründung zu § 63b verwiesen.

Zu Artikel 2 (Änderung des Bundespolizeigesetzes )

Zu Nummer 1

Es handelt sich um eine redaktionelle Änderung des Inhaltsverzeichnisses aufgrund der Einfügung der §§ 34a, 34b und 34c.

Zu Nummer 2

Zu § 34a

§ 34a regelt die Befugnis der Bundespolizei, zur Erfüllung einer ihr obliegenden Aufgabe Daten, auf die sie zur Erfüllung ihrer Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abzugleichen.

Die Eingriffsschwellen und Schutzgüter folgen aus dem spezifischen bundespolizeilichen Aufgabenbereich. Gemäß § 2 Absatz 2 Nummer 2 Buchstabe c des Bundespolizeigesetzes ist die Bundespolizei im Rahmen des Grenzschutzes zuständig für die Abwehr von Gefahren. Unerlaubte Grenzübertritte werden vorrangig in Form von Schleusungen organisiert (88 96 f. des Aufenthaltsgesetzes). Von Schleusungen kann eine erhebliche Gefahr für Leib, Leben oder Freiheit der Geschleusten ausgehen. Insbesondere im Falle von Behältnisschleusungen (etwa bei hohen Temperaturen oder bei fehlender ausreichender Sauerstoffversorgung) ist per se von einer Gefährdung von Leib und Leben der Geschleusten auszugehen. Ferner werden alle Formen der Schleusung regelmäßig in Form von organisierter Kriminalität und damit banden- und gewerbsmäßig durchgeführt. Gemäß § 3 Absatz 1 BPolG ist die Bundespolizei ferner zuständig für die Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, die auf dem Gebiet der Bahnanlagen der Eisenbahnen des Bundes, die den Benutzern, den Anlagen oder dem Betrieb der Bahn drohen, beim Betrieb der Bahn entstehen oder von den Bahnanlagen ausgehen. Die Zuständigkeit der Bundespolizei für die Sicherheit des Luftverkehrs ergibt sich aus § 4 des Bundespolizeigesetzes, jene für die Sicherheit des Seeverkehrs aus § 6 des Bundespolizeigesetzes. Auch Eingriffe in die Sicherheit der Anlagen oder des Betriebs des Luft-, See- oder Bahnverkehrs können erhebliche, auch lebensgefährdende Auswirkungen auf eine Vielzahl von Personen haben.

Ziel der Maßnahme kann es unter anderem sein, Hinweise auf den Aufenthaltsort von Schleusern und Saboteuren zu erhalten. Diese sind im Rahmen der Fahndung nach solchen Personen von wesentlicher Bedeutung, um eine Schadensverwirklichung oder -vertiefung durch die Festnahme der Personen zu verhindern. Ebenso können Verbindungen zwischen Personen und Strukturen durch biometrische Übereinstimmungen ermittelt werden. Zudem können im Rahmen der Gefahrenabwehr beispielsweise Schleuser auf Grundlage von Handyvideos der Geschleusten mittels des biometrischen Abgleichs mit öffentlich zugänglichen Daten aus dem Internet identifiziert und im weiteren Verlauf festgenommen werden. Dies ist insbesondere bei gerade andauernden Behältnisschleusungen relevant, bei denen polizeiliches Handeln zur Abwehr von Gefahren für Leib und Leben dringend geboten ist.

Im Übrigen wird auf die Begründung zu § 10b BKAG verwiesen.

Zu § 34b

Die Bundespolizei muss zur Erfüllung ihrer Aufgaben eine wachsende Anzahl von Daten auswerten und miteinander verknüpfen. Dies kann sinnvoll nur über technische Anwendungen geschehen. Der Gesetzentwurf trägt den technischen Möglichkeiten und den Bedarfen der Zeit Rechnung, indem er die Voraussetzung für die Nutzung von Softwares zur automatisierten Datenanalyse durch die Bundespolizei schafft. Bei der konkreten Ausgestaltung insbesondere auch der Eingriffsschwellen wurde den Anforderungen des Bundesverfassungsgerichts im Urteil vom 16. Februar 2023, Az. 1 BvR 1547/19 u. a. Rechnung getragen. Auf die Begründung zu § 10c des Bundeskriminalamtsgesetzes wird verwiesen.

Die Schutzgüter folgen aus dem spezifischen bundespolizeilichen Aufgabenbereich. Auf die Begründung zu § 34a BPolG wird verwiesen. Im Bereich der häufig lebensgefährlichen Schleusungen ist das Erkennen von Tat- und Täterzusammenhängen von entscheidender Bedeutung, um die häufig organisiert agierenden Täterstrukturen zu zerschlagen.

Der Luft-, See- und Bahnverkehr ist als wichtige Infrastruktur zunehmend hybriden Bedrohungen und Sabotageakten ausgesetzt. Das Risiko ist angesichts der weltpolitischen Lage als steigend einzuschätzen. Die einzelnen Sabotageakte lassen sich ohne die Möglichkeit der automatisierten Datenanalyse häufig nicht bestimmten Tätergruppierungen zuordnen und können fälschlicherweise als unzusammenhängende Einzelfälle scheinen. Auch hier ist das Erkennen von Täter- und Tatzusammenhängen für die Abwehr von Gefahren zentral.

Auch Angriffe auf Bundesorgane (§ 5 des Bundespolizeigesetzes) können durch organisierte Tätergruppierungen durchgeführt werden. Solche Angriffe könnten Auswirkungen auf die Aufrechterhaltung der Staats- und Regierungsfähigkeit haben. Hier ist es ebenfalls zentral für das Erkennen von Täter- und Tatzusammenhängen, vorhandene Daten strukturiert zusammenführen zu können.

Zu 34c

Der neue § 34c schafft eine ausdrückliche Rechtsgrundlage für die Entwicklung, Überprüfung, Änderung und das Trainieren von IT-Produkten durch die Bundespolizei anhand von Echtdaten. Auf die Begründung zu § 22 Absatz 3 BKAG wird verwiesen.

Zu Artikel 3 (Änderung der Strafprozessordnung)

Zu Nummer 1

Zu Artikel 4 (Änderung des Asylgesetzes)

Zu Nummer 1

Das Bundesamt für Migration und Flüchtlinge (BAMF) hat nach § 16 Absatz 1 Satz 1 Asylgesetz (AsylG) die Aufgabe die Identität eines Ausländers, der um Asyl nachsucht, durch erkennungsdienstliche Maßnahmen zu sichern. Angesichts der großen Bedeutung der frühzeitigen Identitätsklärung sowohl für die innere Sicherheit als auch für die Durchführung des Asylverfahrens ist es für das BAMF notwendig, die Befugnis zum biometrischen Abgleich mit öffentlich zugänglichen Daten aus dem Internet zu erhalten. Nach der Regelung des § 15b Absatzes 1 AsylG-E ist der biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet zum Zweck der Feststellung der Identität oder der Staatsangehörigkeit vorzunehmen. Die Identität umfasst dabei nicht nur den Namen der Person, sondern weitere Merkmale die einen Menschen von anderen Menschen unterscheidet und damit zu einer individuellen Persönlichkeit macht. Zur Identität zählen daher auch Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der Person sind. Um die Identitätsmerkmale des asylsuchenden Ausländers zu erfassen, ist das BAMF zudem zum Zwecke der Ausführung des Asylgesetzes berechtigt weitere personenbezogene Daten zu erheben. Zur Identität im asylrechtlichen Sinne zählen daher auch das Geburtsland, das Land des gewöhnlichen Aufenthalts, der Familienstand, die Volks- und Religionszugehörigkeit sowie die Sprachkenntnisse des Ausländers.

Unter einem biometrischen Abgleich im Sinne der Vorschrift ist die technisch gestützte Überprüfung der Übereinstimmung von biometrischen Lichtbildern mit dem Ergebnis einer Übereinstimmungsbewertung zu verstehen. Ausgangspunkt ist das vom Ausländer nach § 16 Absatz 1 Satz 1 aufgenommene Lichtbild, das mit Referenzdaten abgeglichen wird. Unter allgemein öffentlich zugängliche Daten fallen solche Daten, die von jedermann verwendet werden können, beispielsweise aus sozialen Medien, soweit sich diese nicht an einen spezifisch abgegrenzten Personenkreis richten. Konkretisierend fallen darunter Daten, wenn sie jede Person ohne oder nach vorheriger Registrierung, Genehmigung oder Entgeltzahlung nutzen kann. Nicht umfasst sind Daten, die einer spezifischen Schwelle unterzogen sind, beispielsweise der Einstellung von Daten in sozialen Medien für einen begrenzten Kreis, dessen Zugang einer Kontrolle unterzogen wird. Privatkommunikation über Messenger-Dienste von sozialen Medien können nicht von der Maßnahme erfasst werden.

Die Befugnis ist technik- und produktneutral. Die Umsetzung kann mittels eigener IT-Produkte der Bundesbehörden oder kommerzieller IT-Produkte Dritter erfolgen.

Die Vorgaben des Artikels 14 der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (ABl. L vom 12.7.2024) (Verordnung über künstliche Intelligenz) sowie des Artikels 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4.5.2013) (Datenschutz-Grundverordnung) sind zu beachten.

Demnach ist der automatisierte Vorgang vor jeglichen weiteren Maßnahmen oder Entscheidungen durch zwei Personen zu überprüfen und zu bestätigen. Zweifel an der Richtigkeit der Treffer gehen nicht zu Lasten des Ausländers. Aufzeichnungen über Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch den Abgleich erlangt werden, sind unverzüglich zu löschen und die Tatsache ihrer Erlangung und Löschung aktenkundig zu machen. Alle übrigen ausgelesenen Daten sind unverzüglich zu löschen, sobald sie für die Feststellung der Identität oder Staatsangehörigkeit nicht mehr erforderlich sind. Das BAMF hat das Auslesen, Auswerten und Löschen von Daten zur Nachvollziehbarkeit der Maßnahme in der Asylakte zu dokumentieren. Das BAMF hat die betroffene Person über den Zweck, den Umfang und die Durchführung des biometrischen Abgleichs in verständlicher Weise zu informieren.

Zur Durchführung des biometrischen Internetabgleichs nach Absatz 1 kann eine Übermittlung an andere öffentliche oder nichtöffentliche Stellen erforderlich sein. § 15b Absatz 3 AsylG-E sieht insofern eine spezielle Übermittlungsbefugnis vor.

§ 15b Absatz 4 AsylG-E regelt einen zu Absatz 3 vergleichbaren Dispens für Übermittlungen im internationalen Bereich. Eine Übermittlung wird ermöglicht, sofern dies zum Schutz der nationalen Sicherheit erforderlich ist.

Zu Artikel 5 (Inkrafttreten)

Die Bestimmung regelt das Inkrafttreten des Gesetzes.

---

• Datum: 26. Juni 2025
• Von: Bundesministerium des Innern
• Status: Referentenentwurf

A. Problem und Ziel

Polizei- und Strafverfolgungsbehörden müssen zum Schutz der inneren Sicherheit stetig auf neue Herausforderungen reagieren. Im vergangenen Jahr kam es im öffentlichen Raum vermehrt zu schweren Gewalttaten durch Einzeltäter wie in Mannheim, Solingen, Magdeburg, Aschaffenburg und Hamburg. Es besteht eine hohe abstrakte Bedrohungslage für die Sicherheit in Deutschland – auch durch den internationalen Terrorismus. Erhebliche Bedrohungen gehen ebenso von der schweren und organisierten Kriminalität aus; das zeigt sich unter anderem an der gestiegenen Gewaltbereitschaft sowie am zunehmenden Unterwanderungspotential krimineller Gruppierungen in gesellschaftlichen Strukturen.

Die Bedrohung durch terroristische und kriminelle Strukturen erfordert den Einsatz technologischer Instrumente – auch Künstlicher Intelligenz – in der Gefahrenabwehr und der Strafverfolgung. Ziel des Gesetzentwurfs ist es, den Polizeibehörden die rechtlichen Befugnisse zur Verfügung zu stellen, um den Herausforderungen sachgerecht begegnen zu können.

B. Lösung

Der Gesetzentwurf enthält Befugnisse zur automatisierten Datenanalyse und für den biometrischen Internetabgleich für das Bundeskriminalamt. Dieser Gesetzentwurf bildet mit dem Entwurf eines ersten Gesetzes zur Stärkung der Ermittlungsbefugnisse in der Polizeiarbeit ein Gesetzespaket. Er enthält die zustimmungsbedürftigen Bestandteile des Pakets. Dies betrifft die Befugnisse des Bundeskriminalamts im Rahmen der Aufgabe der Abwehr internationaler Gefahren des Terrorismus.

Die automatisierte Datenanalyse ist ein zentraler Baustein, um die stetig wachsenden Datenmengen in polizeilichen Ermittlungsverfahren verarbeiten zu können. Mittels der Analyse bereits rechtmäßig erhobener polizeilicher Daten ist es möglich, Verbindungen zwischen Taten, Personen, Orten sowie anderen Anknüpfungspunkten zu finden. Insbesondere für komplexe Ermittlungen in der Terrorismusabwehr, ist die automatisierte Datenanalyse als Ermittlungsinstrument notwendig. Überdies ermöglicht sie es, in konkreten Anschlagssituationen schnellstmöglich Daten auszuwerten und somit weitere Maßnahmen zur Gefahrenabwehr zu ergreifen.

Der biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet ist erforderlich, um Personen insbesondere zu identifizieren, lokalisieren sowie Tat-Täter-Zusammenhänge zu erschließen. Die Befugnis erlaubt es, biometrische Daten – zum Beispiel das Lichtbild einer gesuchten Person – mit öffentlich zugänglichen Daten aus dem Internet abzugleichen. Im Rahmen der Ausübung der Befugnis ist die Zusammenarbeit mit Dritten, auch außerhalb der Europäischen Union, erlaubt.

Die Befugnisse sind technik- und produktneutral ausgestaltet.

C. Alternativen

Keine.

D. Haushaltsausgaben ohne Erfüllungsaufwand

Es entstehen keine Haushaltsausgaben ohne Erfüllungsaufwand.

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

E.2 Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft entsteht kein Erfüllungsaufwand.

Davon Bürokratiekosten aus Informationspflichten

Keine.

E.3 Erfüllungsaufwand der Verwaltung

Platzhalter.

F. Weitere Kosten

Keine.

Referentenentwurf des Bundesministeriums des Innern und für Heimat

Vom …

Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:

Artikel 1 – Änderung des Bundeskriminalamtgesetzes

Das Bundeskriminalamtgesetz vom 1. Juni 2017 (BGBl. I S. 1354; 2019 I S. 400), das zuletzt durch Artikel 5 des Gesetzes vom 30. Juli 2024 (BGBl. 2024 I Nr. 255) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht werden nach der Angabe zu § 39 die folgenden Angaben eingefügt:
   

   § 39a – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

   § 39b – Automatisierte Datenanalyse.

2. Nach § 39 werden die folgenden §§ 39a, 39b eingefügt:
   

   § 39a – Biometrischer Abgleich mit öffentlich verfügbaren Daten aus dem Internet

   (1) Das Bundeskriminalamt kann Daten, auf die es zur Erfüllung seiner Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern

   1. dies zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, im Zusammenhang mit Straftaten nach § 5 Absatz 1 Satz 2 erforderlich ist und

   2. die Abwehr der Gefahr auf andere Weise aussichtslos ist oder wesentlich erschwert wäre.

   Die Maßnahme nach Satz 1 ist auch zulässig, sofern

   3. Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat nach § 5 Absatz 1 Satz 2 begehen wird oder

   4. das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat nach § 5 Absatz 1 Satz 2 begehen wird

   und die Verhütung der Straftat auf andere Weise aussichtslos ist oder wesentlich erschwert wäre. Die öffentlich zugänglichen Daten aus dem Internet dürfen nicht in Echtzeit erhoben werden.

   (2) Der Abgleich nach Absatz 1 Satz 1 darf gegen andere Personen als die entsprechend § 18 oder § 19 des Bundespolizeigesetzes Verantwortlichen, die in § 21 Absatz 1 des Bundespolizeigesetzes bezeichnete Person oder Personen im Sinne von Absatz 1 Satz 2 Nummer 1 oder 2 nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient.

   (3) Für die nach Absatz 1 Satz 1 abzugleichenden Daten gilt § 12 Absatz 2 entsprechend. Der Abgleich mit Daten, die die aus in § 12 Absatz 3 genannten Maßnahmen erlangt wurden, ist ausgeschlossen.

   (4) Die im Rahmen des biometrischen Abgleichs nach Absatz 1 erhobenen Daten sind nach dessen Durchführung unverzüglich zu löschen, sofern sie keinen konkreten Ermittlungsansatz für den Ausgangssachverhalt aufweisen.

   (5) Bei der Übermittlung im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union kann das Bundeskriminalamt, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, personenbezogene Daten an öffentliche und nichtöffentliche Stellen übermitteln und von § 25 Absatz 6 abweichen.

   (6) Im internationalen Bereich gilt § 27 Absatz § mit der Maßgabe, dass das Bundeskriminalamt personenbezogene Daten, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist, an öffentliche und nichtöffentliche Stellen übermitteln und, sofern dies zum Zweck des Schutzes der nationalen Sicherheit erforderlich ist, von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abweichen kann.

   (7) Die §§ 25 bis 28 bleiben im Übrigen unberührt.

   § 39b – Automatisierte Datenanalyse

   (1) Das Bundeskriminalamt kann im Informationssystem oder im polizeilichen Informationsverbund gespeicherte personenbezogene Daten nach Maßgabe von § 12 mittels einer automatisierten Anwendung zur Datenverarbeitung zusammenführen und darüber hinaus zum Zwecke der Analyse weiterverarbeiten, sofern dies zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, im Zusammenhang mit Straftaten nach § 5 Absatz 1 Satz 2 erforderlich ist. Eine Maßnahme nach Satz 1 ist auch zulässig, sofern

   1. Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat nach § 5 Absatz 1 Satz 2 begehen wird oder
   2. das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat nach § 5 Absatz 1 Satz 2 begehen wird

   und dies zur Verhütung dieser Straftat erforderlich ist.

   (2) Im Rahmen der Weiterverarbeitung nach Absatz 1 können insbesondere datei- und informationssystemübergreifend Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, Suchkriterien gewichtet, die eingehenden Erkenntnisse zu bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

Artikel 2 – Inkrafttreten

Dieses Gesetz tritt am Tag nach der Verkündung in Kraft.

Begründung

A. Allgemeiner Teil

I. Zielsetzung und Notwendigkeit der Regelungen

Polizei- und Strafverfolgungsbehörden müssen zum Schutz der inneren Sicherheit stetig auf neue Herausforderungen reagieren. Im vergangenen Jahr kam es im öffentlichen Raum vermehrt zu schweren Gewalttaten durch Einzeltäter wie in Mannheim, Solingen, Magdeburg, Aschaffenburg und Hamburg. Es besteht eine hohe abstrakte Bedrohungslage für die Sicherheit in Deutschland – auch durch den internationalen Terrorismus. Erhebliche Bedrohungen gehen ebenso von der schweren und organisierten Kriminalität aus; das zeigt sich unter anderem an der gestiegenen Gewaltbereitschaft sowie am zunehmenden Unterwanderungspotential krimineller Gruppierungen in gesellschaftlichen Strukturen.

Die Bedrohung durch terroristische und kriminelle Strukturen erfordert den Einsatz technologischer Instrumente – auch Künstlicher Intelligenz – in der Gefahrenabwehr und der Strafverfolgung. Ziel des Gesetzentwurfs ist es, den Polizeibehörden die rechtlichen Befugnisse zur Verfügung zu stellen, um den Herausforderungen sachgerecht begegnen zu können.

II. Wesentlicher Inhalt des Entwurfs

Der Gesetzentwurf enthält Befugnisse zur automatisierten Datenanalyse und für den biometrischen Internetabgleich für das Bundeskriminalamt. Dieser Gesetzentwurf bildet mit dem Entwurf eines ersten Gesetzes zur Stärkung der Ermittlungsbefugnisse in der Polizeiarbeit ein Gesetzespaket. Er enthält die zustimmungsbedürftigen Bestandteile des Pakets. Dies betrifft die Befugnisse des Bundeskriminalamts im Rahmen der Aufgabe der Abwehr internationaler Gefahren des Terrorismus.

Die automatisierte Datenanalyse ist ein zentraler Baustein, um die stetig wachsenden Datenmengen in polizeilichen Ermittlungsverfahren verarbeiten zu können. Mittels der Analyse bereits rechtmäßig erhobener polizeilicher Daten ist es möglich, Verbindungen zwischen Taten, Personen, Orten sowie anderen Anknüpfungspunkten zu finden. Insbesondere für komplexe Ermittlungen in der Terrorismusabwehr, ist die automatisierte Datenanalyse als Ermittlungsinstrument notwendig. Überdies ermöglicht sie es, in konkreten Anschlagssituationen schnellstmöglich Daten auszuwerten und somit weitere Maßnahmen zur Gefahrenabwehr zu ergreifen.

Der biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet ist erforderlich, um Personen insbesondere zu identifizieren, lokalisieren sowie Tat-Täter-Zusammenhänge zu erschließen. Die Befugnis erlaubt es, biometrische Daten – zum Beispiel das Lichtbild einer gesuchten Person – mit öffentlich zugänglichen Daten aus dem Internet abzugleichen. Im Rahmen der Ausübung der Befugnis ist die Zusammenarbeit mit Dritten, auch außerhalb der Europäischen Union, erlaubt.

Die Befugnisse sind technik- und produktneutral ausgestaltet.

III. Exekutiver Fußabdruck

Interessenvertreterinnen und Interessenvertreter Dritter oder sonstige Personen außerhalb der Bundesverwaltung sind nicht an der Erstellung des Entwurfs beteiligt worden.

IV. Alternativen

Keine.

V. Gesetzgebungskompetenz

Die Gesetzgebungskompetenz des Bundes folgt für die Änderung des Bundeskriminalamtgesetzes bezüglich der Abwehr von Gefahren des internationalen Terrorismus aus Art. 73 Abs. 1 Nr. 9a des Grundgesetzes.

VI. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen

Der Gesetzentwurf ist mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen, die die Bundesrepublik Deutschland geschlossen hat, vereinbar.

VII. Gesetzesfolgen

1. Rechts- und Verwaltungsvereinfachung

Der Gesetzentwurf dient dem Schutz der öffentlichen Sicherheit in Deutschland und der Stärkung der Ermittlungsbefugnisse im Rahmen von Gefahrenabwehr und Strafverfolgung.

2. Nachhaltigkeitsaspekte

Der Gesetzentwurf steht im Einklang mit den Leitgedanken der Bundesregierung zur nachhaltigen Entwicklung im Sinne der Deutschen Nachhaltigkeitsstrategie, die der Umsetzung der Agenda 2030 für nachhaltige Entwicklung der Vereinten Nationen dient. Der Entwurf dient entsprechend der Zielvorgabe 16.1 der Erhöhung der persönlichen Sicherheit und dem Schutz vor Kriminalität.

3. Haushaltsausgaben ohne Erfüllungsaufwand

Es entstehen keine Haushaltsausgaben ohne Erfüllungsaufwand.

4. Erfüllungsaufwand

a) Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

b) Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft entsteht kein Erfüllungsaufwand.

c) Erfüllungsaufwand der Verwaltung

Platzhalter.

5. Weitere Kosten

Weitere Kosten sind nicht zu erwarten.

6. Weitere Gesetzesfolgen

Auswirkungen auf demografierelevante Belange sind nicht zu erwarten.

VIII. Befristung; Evaluierung

Befristung und Evaluierung sind nicht vorgesehen.

B. Besonderer Teil

Zu Artikel 1 (Änderung des Bundeskriminalamtgesetzes)

Zu Nummer 1

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von §§ 39a, 39b.

Zu Nummer 2

Zu § 39a

§ 39a regelt die Befugnis zum biometrischen Abgleich mit öffentlich zugänglichen Daten aus dem Internet zum Zweck der Abwehr von Gefahren des internationalen Terrorismus. Ziel der Maßnahme kann es unter anderem sein, Hinweise auf den Aufenthaltsort von aus dem Untergrund agierender Störer zu erhalten, um terroristische Taten zu verhindern. Ebenso können Querverbindungen zwischen Personen und Strukturen durch biometrische Übereinstimmungen ermittelt werden. Zudem können beispielsweise Akteure in Propagandavideos terroristischer Organisationen identifiziert werden.

Die Tätigkeit des Bundeskriminalamts nach § 5 Absatz 1 Satz 2 unterfällt vollumfänglich dem Begriff der nationalen Sicherheit nach Artikel 4 Absatz 2 Satz 3 des Vertrags über die Europäische Union im Sinne der Definition des Europäischen Gerichtshofs (Urteil vom 6.10.2020, Rechtssachen C-511/18, C-512/18 und C-520/18, Randnummer 135). Dem Bundeskriminalamt ist im Rahmen der Wahrnehmung der Aufgabe nach § 5 Absatz 1 Satz 2 die Aufgabe zugewiesen, terroristische Gefahren abzuwehren beziehungsweise terroristische Straftaten zu verhüten. Die in § 5 Absatz 1 Satz 2 einbezogenen Straftaten nach § 129a Absatz 1 und 2 des Strafgesetzbuchs setzen den Katalog der Richtlinie (EU) 2017/541 den Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates um (zum Rahmenbeschluss 2002/475/JI: Bundestagsdrucksache 15/813, S. 6f.).

Das Bundesverfassungsgericht führt zu der Vorgängerfassung von § 5 Absatz 1 Satz 2 aus: „Straftaten mit dem Gepräge des Terrorismus in diesem Sinne zielen auf eine Destabilisierung des Gemeinwesens und umfassen hierbei in rücksichtsloser Instrumentalisierung anderer Menschen Angriffe auf Leib und Leben beliebiger Dritter. Sie richten sich gegen die Grundpfeiler der verfassungsrechtlichen Ordnung und das Gemeinwesen als Ganzes.“ (Bundesverfassungsgericht, Urteil vom 24. April 2016, Az. 1 BvR 966/09 u.a., Randnummer 96).

Im Übrigen wird auf die Begründung zu § 10b verwiesen.

Zu § 39b

§ 39b regelt die Befugnis zur automatisierten Datenanalyse zum Zweck der Abwehr von Gefahren des internationalen Terrorismus. Gerade im Phänomenbereich des internationalen Terrorismus, in dem die Täter häufig in dezentralen Strukturen operieren, ist das Erkennen von Zusammenhängen auf etwa gemeinsame Strukturen und Personengruppen von besonders hoher Bedeutung. Die technologischen Fähigkeiten des Bundeskriminalamts müssen für diesen Bereich dem aktuellen Stand der Technik entsprechen.

Die fachliche Nutzung der nach § 39b Absatz 1 zum Zwecke der Analyse zusammengeführten Daten darf nur dann erfolgen, wenn die Voraussetzungen von Absatz 1 vorliegen, um den Einsatz einer jeweils angemessenen Eingriffsschwelle zu unterwerfen. Voraussetzung ist nach Satz 1 eine Gefahr im Zusammenhang mit Straftaten nach § 5 Absatz 1 Satz 2, soweit besonders gewichtige Rechtsgüter betroffen sind. Nach dem Urteil des Bundesverfassungsgerichts vom 16. Februar 2023 (Az. 1 BvR 1547/19, 1 BvR 2634/20) kann die automatisierte Datenanalyse ebenfalls bei einer hinreichend konkretisierten Gefahr für besonders gewichtigen Rechtsgütern erfolgen (Randnummer 105f.). Satz 2 Nummer 1 oder 2 entspricht der Rechtsprechung des Bundesverfassungsgerichts zu den Anforderungen an eine konkretisierte Gefahrenlage (Urteil vom 20. April 2016, Az. 1 BvR 966/09 und 1 BvR 1140/09, Randnummer 165). Auf Grund des Bezugs auf § 5 Absatz 1 Satz 2 ist für § 16a Absatz 1 Satz 2 Nummer 1 und 2 sichergestellt, dass der Einsatz der automatisierten Anwendung zur Datenanalyse auf den Schutz von besonders gewichtigen Rechtsgütern beschränkt ist. Für den Schutz von Sachen gilt entsprechend der Rechtsprechung des Bundesverfassungsgerichts ein enges Verständnis, nach dem etwa wesentliche Infrastruktureinrichtungen oder sonstige Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen gefasst werden (BVerfG, Az. 1 BvR 1547/19, 1 BvR 2634/20, Randnummer 105).

Es wird auf die Begründung zu § 10c verwiesen.

Zu Artikel 2 (Inkrafttreten)

Die Bestimmung regelt das Inkrafttreten des Gesetzes.

Die Gesellschaft für Freiheitsrechte es hat wieder getan: In einer heute veröffentlichten Beschwerde an das Bundesverfassungsgericht legt sie im Namen von acht Beschwerdeführern dar, wo das bayerische Polizeiaufgabengesetz über die Grenzen des Erlaubten hinausreicht. Sie kommt zu dem Schluss, dass sich der Gesetzgeber im Freistaat nicht ausreichend an die bereits detailliert vorliegenden Vorgaben aus Karlsruhe gehalten hat.

Denn die GFF hatte bereits im Jahr 2023 ein Urteil des Bundesverfassungsgericht erkämpft, das damals ähnliche gesetzliche Befugnisse aus Hamburg und Hessen für verfassungswidrig erklärte. Diesem Urteil Geltung zu verschaffen, aber auch „klarere Grenzen für den Einsatz von Data-Mining-Software“ zu ziehen, ist das erklärte Ziel der Beschwerde.

Es geht also wieder um die automatisierte Datenanalyse durch die Polizei, die ihren Wildwuchs von Datenbanken nicht nur zähmen, sondern vor allem die Daten darin erschließen will. Dafür setzt sie aktuell auf das Softwareprodukt Gotham des US-Konzerns Palantir. Mit dieser Software werden in großem Umfang personenbezogene Polizeidaten aufbereitet und analysiert. Millionen Datenhäppchen über Menschen, die mit der Polizei irgendwann Kontakt hatten, fließen in diese Schattendatenbanken hinein. Oft diskriminierte Gruppen sind besonders betroffen und selbst Berufsgeheimnisträger wie Anwälte, Journalisten oder Ärzte werden nicht verschont und können mitgerastert werden.

Keine Palantir-Konkurrenz in Sicht

„Rechter Verschwörungsideologe Peter Thiel“

Neben den massiven Eingriffen in die informationelle Selbstbestimmung aller dadurch betroffenen Menschen ist auch die starke Abhängigkeit problematisch, in die sich die Polizei begibt. Denn ohne die Palantir-Softwarehilfe ist das Auswerten der eigenen Datenbestände umständlich und zeitaufwendig. Darauf weisen Polizeivertreter bei jeder Gelegenheit hin.

Während die Abhängigkeit an sich bereits eine Herausforderung ist, weil man sich eben langfristig an einen kommerziellen Anbieter bindet, dessen Geschäftsinteressen von den Polizeiinteressen abweichen können oder der sein Geschäftsmodell ändern könnte, so ist speziell dieser US-Konzern als Partner der Polizei eine echte Zumutung. Denn nicht nur der Mitgründer und Großaktionär Peter Thiel, sondern auch der Palantir-Chef Alexander Karp fallen seit Jahren und in zunehmendem Maße durch öffentliche Aussagen auf, die Zweifel nähren, ob für sie Menschenrechte und Demokratie einen Wert haben.

Einer der acht Beschwerdeführer, der Musiker und Aktivist gegen des Polizeigesetz Johannes König, bringt es so auf den Punkt:

Als wäre das bayerische Polizeiaufgabengesetz noch nicht autoritär genug geprägt, setzt die Staatsregierung nun auch noch auf die Überwachungssoftware des rechten Verschwörungsideologen Peter Thiel.

Denn Milliardär Thiel ist ein offensiver rechts-libertärer Kulturkämpfer und Nationalist. Zudem hat der vor 22 Jahren gegründete Konzern dauerhafte und langjährige Verbindungen zu den US-Geheimdiensten und -Militärs, ohne deren Millionenverträge Palantir gar nicht existieren würde. Denn viele Jahre wurde der sektenartige Softwarekonzern von einem CIA-Ableger mitfinanziert und wies niemals Gewinne aus.

Auch zur Trump-Regierung gibt es enge Verbindungen und eine anbiedernde Position der prominenten Palantir-Gesichter Thiel und Karp. Dass Palantir-Software in Kriegsgebieten von Geheimdiensten und Militärs genutzt wird, unterstützt die Trump-Regierung nach Kräften.

Die Zweckbindung untergraben

Die Funktionsweise des Palantir-Produkts ist nur soweit öffentlich nachvollziehbar, wie es der Polizei-Vertragspartner erlaubt. Diese Undurchsichtigkeit könnte behoben werden, wenn ein anderer Vertragspartner zum Zuge käme oder eine eigene Softwarelösung genutzt würde. Aber das löst noch nicht das eigentliche Problem, nämlich welche Daten unter welchen Bedingungen in die automatisierte Analyse einfließen dürfen.

Denn so unverständlich es erscheint, dass im bayerischen Innenministerium auch nach jahrelangen Diskussionen auf den abgründigen Tech-Konzern gesetzt wird, so wenig sollte man sich den Blick auf das Wesentliche verstellen lassen: Palantir ist nicht der Kern des Problems, sondern das Ansinnen, die Zweckbindung polizeilich aufgenommener Daten zu untergraben und letztlich aufzulösen.

Das Zusammenführen und die Analyse von Daten aus polizeilichen Verbunddateien, aus großen Polizeidatenbanken und aus den verschiedenen Fallbearbeitungs- und Auskunftssystemen darf nicht dazu führen, dass aus bloßen praktischen Erwägungen oder weil im konkreten Fall ohnehin niemand genau weiß, wie die Palantir-Software arbeitet, wichtige rechtlichen Schranken wegfallen.

Denn es ist nicht nur eine heimliche, sondern eben auch eine gefährliche Ermittlungsmaßnahme, wenn hinter den Rücken der Menschen die Daten aus den Polizei-Datenbanken gerastert und analysiert werden, die im Vertrauen darauf an die Behörden gegeben wurden, dass mit ihnen sorgsam umgegangen wird. Tritt etwa ein Zeuge eines Diebstahls an die Polizei heran oder wird ein Verkehrsunfall polizeilich aufgenommen, dann sollte niemand der Beteiligten Angst haben müssen, automatisiert in Analysewerkzeugen zu landen, die ihn später mit anderen Straftaten in Verbindung bringen und ihm Überwachungsmaßnahmen bescheren können.

---

Offenlegung: Der Chaos Computer Club unterstützt die Verfassungsbeschwerde der GFF. Die Autorin ist ehrenamtlich Sprecherin des CCC.

Die neue Version 141 von Mozillas Browser Firefox ist da und hat Security-Fixes im Gepäck. Auch den ESR-Versionen (Extended Support Releases) hat Mozilla Sicherheitsverbesserungen in Gestalt der abgesicherten Versionen ESR 115.26, ESR 128.13 und ESR 140.1 spendiert. Gleiches gilt für den Mail-Client Thunderbird, der jetzt ebenfalls in Version 141 sowie in den gefixten ESR-Fassungen 128.13 und 140.1 vorliegt.

Die gefährlichsten unter den geschlossenen Sicherheitslücken wurden mit „High“ bewertet; Einstufungen als „kritisch“ sind nicht dabei. Ein Warnhinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) fasst die Bedrohungen kurz zusammen. Demnach könnten einige der Lücken unter bestimmten Voraussetzungen aus der Ferne ausgenutzt werden, um etwa im Kontext der Software Programmcode auszuführen, Denial-of-Service-Zustände hervorzurufen oder an sensible Daten zu gelangen.

Wer sich für nähere Schwachstellen-Details interessiert, findet diese in Mozillas Advisories zu den jeweiligen neuen Versionen.

Zu den neuen Features in Firefox 141 zählen unter anderem ein KI-Assistent für die Tab-Organisation, eine bessere Anpassbarkeit der vertikalen Tableiste sowie diverse Optimierungen für einen reduzierten RAM-Bedarf. Den Details haben wir eine eigene Meldung gewidmet:

Chrome: Zwei High-Risk-Lücken beseitigt

Für Googles Chrome-Browser gab es am gestrigen Dienstag ein sogenanntes Stable Channel Update auf die Versionen 138.0.7204.168/.169 (Windows, macOS) beziehungsweise 138.0.7204.168 (Linux).

Mit Details zu den geschlossenen Sicherheitslücken geht Googles Update-Mitteilung gewohnt sparsam um: Man wolle den Nutzern ausreichend Zeit geben, die verfügbaren Updates anzuwenden, statt unnötige Angriffsrisiken zu verursachen.

Das Unternehmen gibt an, insgesamt drei Security-Fixes vorgenommen zu haben. Geschlossen wurden zwei Lücken mit „High“-Einstufung (CVE-2025-8010, CVE-2025-8011). „Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um beliebigen Programmcode auszuführen“, erläutert eine diesbezügliche Veröffentlichung des BSI.

Um zu prüfen, ob Chrome bereits auf dem aktuellen Stand ist, können Nutzerinnen und Nutzer den Versionsdialog aufrufen. Den erreichen sie durch einen Klick auf das Symbol mit den drei aufgestapelten Punkten rechts von der Adressleiste und dort den weiteren Weg über „Hilfe“ hin zu „Über Google Chrome“. Das stößt gegebenenfalls auch den Update-Vorgang an, wenn der Browser veraltet ist.

Auf anderen Plattformen sind die App-Stores oder etwa unter Linux die Distributions-spezifische Softwareverwaltung für die Aktualisierung zuständig. Da der Chromium-Code die Basis für andere Webbrowser wie Microsofts Edge darstellt, dürften auch diese in Kürze aktualisierte Fassungen verteilen. Nutzer sollten diese dann zügig installieren.

(ovw)