Conrad, Catharina Pia[1]: Ein Update für den Kernbereichsschutz. Die Gefahr der Bildung von Persönlichkeitsprofilen bei der strafprozessualen Online-Durchsuchung[2]. ISBN: 978-3-428-18925-0, 201 Seiten, Verlag Duncker & Humblot, Berlin, Band 419 der „Schriften zum Strafrecht“, 69,90 €, eBook via Duncker & Humblot eLibrary verfügbar)
Die Feststellung, die Gefahr der Bildung von Persönlichkeitsprofilen sei bisher von Literatur und Rechtsprechung vernachlässigt worden (S. 15), bildet den Ausgangspunkt der 
Untersuchung am Beispiel der strafprozessualen „Online-Durchsuchung“ (§§ 100b, d, e, 101 StPO), die als juristische Dissertation im August 2022 vom Institut für Kriminalwissenschaften der Universität Bremen[3] angenommen worden ist.
Neben der kurzen Einleitung (S. 15-18) und einer (über die hilfreichen Resümees in den jeweiligen Kapiteln hinaus) recht knappen Zusammenfassung der Ergebnisse („Ergebnis und Ausblick“, S. 192 / 193), besteht die Arbeit aus fünf Kapiteln. Zunächst wagt sich die Autorin mangels einer Legaldefinition in enger Anlehnung an die Persönlichkeitspsychologie im sehr knappen ersten Kapitel (S. 19-24) an den „Begriff des Persönlichkeitsprofils“. Hierbei greift sie insbesondere auf das „Fünf-Faktoren-Modell“ (auch als „Big Five“ bezeichnet) zurück, in welchem die Persönlichkeitseigenschaften eines Menschen anhand von fünf feststehenden Parametern bestimmt und ins Verhältnis zueinander gesetzt werden. Am Beispiel einer gemeinsam von Psychologen, Medieninformatikern und Statistikern der LMU München durchgeführten jüngeren (nicht repräsentativen aber gleichwohl im Ergebnis beeindruckenden) Studie (2020) „Predicting personality from patterns of behavior collected with smartphones“ illustriert sie beispielhaft, wie anhand der umfangreichen Sensorik in modernen und aktuell beinahe von jedem genutzen Smart-Phones erzeugten Datenmenge aus den verschiedensten Verhaltensbereichen die latente Gefahr der Erzeugung von umfassenden Persönlichkeitsprofilen erwachsen kann. Obwohl ihre dogmatische Problemstellung auf alle IT-Systeme zielt, ankert ihre Beweisführung vor allem an diesem datenschutzrechtlich wohl brisantesten Device. Ihre Arbeitsdefinition als titelgebende Grundlage der weiteren Untersuchung, die sie in dem kurzen, substanziell m. E. zu unreflektierten[4] ersten Kapitel „erarbeitet“ (S. 25), lautet, die Bildung von Persönlichkeitsprofilen sei dann gegeben, wenn aufgrund der Menge der erhobenen Daten, die sich aus der Dauer der Überwachung oder der Erhebung von Daten aus verschiedenen Lebensbereichen ergeben kann (Rundumüberwachung), eine konkrete Beschreibung der Person möglich ist, sodass ihre Individualität offengelegt wird.[5]
Dogmatisch schlüssig versucht sie im Fortgang ihrer Untersuchung einen „Rechtsmaßstab für die Gefahr der Bildung von Persönlichkeitsprofilen“ zu entwickeln (Kap. 2, S. 25-65). Dazu arbeitet sie nach gewissenhafter Analyse der verfassungsgerichtlichen Rechtsprechung zum Kernbereichsschutz, den sie anschließend in den (deutlich extensiveren) europarechtlichen und judikativen europäischen Kontext einbettetet, kritisch heraus, dass einerseits das „zweistufige Schutzkonzept des BVerfG“[6], jedenfalls im Bereich der Erhebungsphase von Kernbereichsdaten, zu kurz greife und andererseits die Gefahr der Bildung von Persönlichkeitsprofilen als essenzieller verfassungsrechtlicher Prüfmaßstab innerhalb des Kernbereichs der privaten Lebensgestaltung dogmatisch zu verorten sei, was derzeit nicht gewährleistet sei.
Im inhaltlichen Hauptteil der Arbeit (drittes Kapitel, S. 66-178) werden die (historische) Entwicklung inklusive der verfassungsgerichtlichen Rechtsprechung zur „Online-Durchsuchung“ seit dem Jahr 2008[7] (bis 2016[8]), deren begriffliche Unschärfe in Bezug auf deren rechtstatsächliche Anwendungsbreite, der tatbestandliche Rechtsrahmen einschließlich partieller Kritik an der Aufnahme einzelner Tatbestände in den Katalog „Besonders schwerer Straftaten“ in § 100b Abs. 2 StPO als materielle Anwendungsvoraussetzung der „Online-Durchsuchung“, die Abgrenzung zur anderen eingriffsintensiven verdeckten strafprozessualen Maßnahmen (Quellen-TKÜ, akustische und optische Wohnraumüberwachung) und die Verfahrensregelungen umfassend analysiert und vereinzelt de lege ferenda fortschreibungsbedürftige Kritikpunkte herausgearbeitet, insbesondere hinsichtlich der „Datengewinnung mittels Peripheriegeräten“, der Erhebung und Verarbeitung von Daten aus der Videotelefonie, der rechtserheblichen Verletzung des Zitiergebots in Bezug auf Art. 13 GG, der vom Gesetzgeber (vermutlich aufgrund der aufgrund der zu Ende gehenden Legislaturperiode gebotenen, jedoch substanziell unangemessenen Eile[9] versehentlich) unterschiedlich formulierten, in verfassungskonformer Auslegung jedoch inhaltlich gleichbedeutend zu interpretierenden Subsidiaritätsregelungen in § 100b Abs. 1 Nr. 3 und § 100c Abs. 1 Nr. 4 StPO (akustische Wohnraumüberwachung) und der teilweise „naiven, wegen ihrer Unbestimmtheit (…) praktisch kaum umsetzbaren Regelungen“ in § 100a Abs. 5 und 6 StPO, die mit Ausnahme von § 100a Abs. 5 Nr. 1 StPO auch für die „Online-Durchsuchung“ (§ 100b Abs. 4 StPO) zu beachten sind. Das gelingt der Autorin pointiert, dogmatisch schlüssig und inhaltlich in weiten Teilen gut nachvollziehbar. Für den Leser hilfreich sind gerade in diesem umfangreichen Kapitel 3 die vielen kurzen „Zusammenfassungen“ und „Zwischenresümees“. Der eingangs des Kapitels gewählte historische Ansatz der (Gesamt-) Darstellung ist schon aufgrund der z. T. erstaunlichen legislativen / judikativen „Naivität“ im interpretativen Umgang mit den spezifischen Problematiken von „IT-Systemen“ und dem durchgängig „nicht-gegenständlichen“ Cyberraum sehr erhellend.
Im kurzen vierten Kapitel (S. 167-178) fokussiert Conrad auf den „Kernbereichsschutz bei der Online-Durchsuchung“ und unterscheidet hierbei die (ergänzungsbedürftigen) Regelungen auf der Erhebungs- (Kap. 4A) von den Regelungen auf der Verwertungsebene (Kap. 4B). Hierbei kritisiert sie erneut das vom BVerfG entwickelte „zweistufige Schutzkonzept“ (Fn. 6) als „unausgegoren“ und „konkretisierungsbedürftig“. Es fehle u. a. an einer Vorschrift, die die Unterbrechung der (Live-)Maßnahme vorsehe. Zum anderen könne der Gefahr der Bildung von Persönlichkeitsprofilen nur begegnet werden, wenn bereits auf der Erhebungsebene eine Beschränkung der Daten erfolge (S. 178). In Bezug auf die Forschungshypothese könne die aktuelle Regelung daher weder verfassungs- noch europarechtlich überzeugen und müsse daher legislativ fortgeschrieben werden.
Ausgehend von diesen Feststellung des vierten Kapitels bekräftigt die Autorin im fünften Kapitel (S. 179-191), das sie als „Fazit: Unzureichende Regelungen zur Begrenzung der Datenmenge“ tituliert, nochmals ihre Forderung, den Aspekt der Gefahr der Bildung von Persönlichkeitsprofilen dogmatisch dem Kernbereichsschutz unterzuordnen. Diese (im Einzelfall schwierige) prognostische Entscheidung müsse in § 100d StPO legislativ Berücksichtigung finden. Hierzu unterbreitet Conrad auch einen (allerdings eher appellativen) Formulierungsvorschlag für einen Satz 2 des § 100d Abs. 1 StPO de lege ferenda: „Dabei kann nicht nur dem einzelnen Datum Kernbereichsrelevanz zukommen, sondern allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung werden auch dann erlangt, wenn die Gefahr der Bildung von Persönlichkeitsprofilen besteht. Erkenntnisse aus einer unzulässigen Online-Durchsuchung dürfen nicht verwertet werden. Die Sätze 2 und 3 des Absatzes 2 gelten entsprechend.“
Zudem will sie mit einem weiteren Formulierungsvorschlag für § 100d Abs. 2 StPO (neu) die Notwendigkeit der Unterbrechung der Maßnahme regeln: „Die Online-Durchsuchung ist unverzüglich zu unterbrechen, wenn sich während der Überwachung Anhaltspunkte dafür ergeben, dass Daten, die dem Kernbereich privater Lebensgestaltung zuzurechnen sind, erfasst werden. Entsteht bei Durchführung der Maßnahme die Gefahr der Bildung von Persönlichkeitsprofilen, ist die Maßnahme zu beenden.“ Allerdings ergibt sich die Regelung des S. 1 der Regelung de lege ferenda m. E. schon de lege lata aufgrund der in § 100d Abs. 1 StPO getroffenen Rechtsfolge der „Unzulässigkeit“. Eine unzulässige Maßnahme ist stets unmittelbar zu beenden.
„Im Ergebnis kann bei der Online-Durchsuchung eine solche Menge an Daten generiert werden, dass die Gesamtschau der punktuell nicht kernbereichsrelevanten Daten die Gefahr der Bildung von Persönlichkeitsprofilen begründet, sodass dann die Gesamtheit der Daten Kernbereichsrelevanz aufweist.“ Dieser resümierenden Feststellung Conrads (S. 192) ist angesichts der Reichweite der der „Online-Durchsuchung“ vollkommen zuzustimmen. „Der Kernbereichsschutz darf keiner Relativierung zugänglich sein“ (S. 44). Wie diese Erkenntnis allerdings legislativ hinreichend Berücksichtigung finden kann, ohne dass die durch das Bundesverfassungsgericht unter bestimmten Voraussetzungen als im Grundsatz mit den Grundrechten des Grundgesetzes als vereinbar erachtete Maßnahme (vgl. Entscheidung des Gerichts zum BKA-Gesetz, Leitsätze 1a und b, oben Fn. 8) in praxi bis zu einer legislativen Fortschreibung konsequenterweise auszusetzen wäre, bleibt aber auch nach dem Studium der lesenswerten Arbeit offen. Beide im Ansatz lobenswerten Regelungsvorschläge Conrads de lege ferenda lassen in Kombination mit der eingangs (Kap. 1) formulierten Definition des Persönlichkeitsprofils m. E. Deutungsspielraum offen. Dennoch weist sie im sensiblen Spannungsfeld zwischen Freiheit und Sicherheit gerade bei dieser sehr schwerwiegend in Grundrechte eingreifenden Maßnahme auf Schwachstellen hin, die strafrechtswissenschaftlich weiterer Ausdeutung bedürfen. Hierzu hat die Autorin mit ihrer beachtlichen Arbeit ab initio einen wichtigen Beitrag geleistet. Allerdings muss man angesichts der aktuell hohen (abstrakten) Anschlagsgefahr auch darauf hinweisen, dass diese weitreichende, vorbereitungs-, dokumentations- und ermittlungsintensive Maßnahme, die schon aufgrund des enormen administrativen und technischen Aufwandes nur sehr selten zur Anwendung kommt[10], zur Abwehr schwerwiegender Gefahren für gewichtige Rechtsgüter im Einzelfall als Ultima Ratio notwendig ist. Allerdings muss man sich in Übereinstimmung mit Conrad die Frage stellen, ob im Straftatenkatalog des § 100b Abs. 2 StPO durchgängig nur derart gewichtige Rechtsgüter geschützt werden und ob der derzeit „nur“ auf der Verwertungsebene, also nach Kenntnisnahme erfolgende Kernbereichsschutz dogmatisch für eine Fortführung der Maßnahme in praxi ausreichend ist. Verfassungsrechtlich ist dieses Problem m. E. judikativ geklärt, die Autorin erachtet diese engere nationale Auslegung im europarechtlichen Kontext jedoch als kritisch. Die Ausgangsfragestellung der Erhebung eines umfassenden Persönlichkeitsprofils ist vor dem Hintergrund der dynamischen technischen Entwicklungen bedeutsam, m. E. jedoch bei der präventiven Variante der „Online-Durchsuchung“ im BKAG und in zahlreichen Gefahrenabwehrgesetzen der Länder noch beachtlicher. Anders als im Strafverfahren, in dem es ausschließlich darum geht, kriminalistisch be- und entlastende (Beweis-) Tatsachen rund um den relevanten (neben-)strafrechtlichen Tatbestand zu erheben, ist die Gefahr der Bildung von Persönlichkeitsprofilen im Rahmen einer polizeirechtlichen „Gefahrenerforschung“ als deutlich höher einzuschätzen.
Holger Plank (im Januar 2024)
[1] Dr. iur., seit 2022 Wissenschaftliche Mitarbeiterin in der Strafrechtskommission des Deutschen Juristinnenbundes (DJB).
[2] Siehe Verlags-Website des Verlags mit Inhaltsverzeichnis
[3] Betreut durch Prof. Dr. Felix Herzog und Prof. Dr. Andreas Fischer-Lescano (seit 2022 an der Universität in Kassel).
[4] So setzt sie sich auf den lediglich eineinhalb Seiten, die sie den „Erkenntnissen der Persönlichkeitspsychologie“ widmet, kaum mit der durchaus vorhandenen Kritik an der zitierten qualitativen Methode und auch nicht mit den vorsichtigen Vorbehalten hinsichtlich der Ergebnisse der Münchener Studie, auf die sie sich explizit bezieht, auseinander. Selbst Clemens Stachl, als Psychologe Teammitglied der Münchener Studie, interpretiert die Erkenntnisse der Studie und das Big-Five-Modell vorsichtig (vgl. LMU, Einsichten. Das Forschungsmagazin. 2018, Ausgabe 1, S. 16f.).
[5] Allerdings greift das BVerfG in seiner Entscheidung zum BKA-Gesetz (Fn. 8, BVerfGE 141, 220, 280) diesen Umstand durchaus auf: „Es sei mit der Menschenwürde unvereinbar, wenn sich die Überwachung über einen längeren Zeitraum erstrecke und so umfassend sei, dass nahezu lückenlos alle Bewegungen und Lebensäußerungen des / der Betroffenen registriert werden und so zur Grundlage eines Persönlichkeitsprofils gemacht werden können. Beim Einsatz moderner und heimlicher Ermittlungsmaßnahmen müssten die Sicherheitsbehörden mit Rücksicht auf das dem additiven Grundrechtseingriff innewohnende Gefährdungspotenzial handeln und sie hätten Sorge dafür zu tragen, dass die Überwachung insgesamt beschränkt bleibe.“ Allerdings findet diese Forderung im vom BVerfG entwickelten „zweistufigen Schutzkonzept“ weit überwiegend nur auf der Verwertungsebene Berücksichtigung.
[6] Die Autorin bezieht sich insbesondere auf folgende Feststellungen des BVerfG im Urteil zum BKA-Gesetz (Fn. 8, BVerfGE 141, 220, 278), „die Durchführung der Ermittlungsmaßnahme müsse dem Kernbereichsschutz auf zwei Ebenen Rechnung tragen. Auf der ersten Ebene müsse nach Möglichkeit sichergestellt werden, dass kernbereichsrelevante Daten nicht erhoben werden. In jedem Fall sei der Abbruch der Maßnahme vorzusehen, wenn erkennbar werde, dass eine Überwachung in den Kernbereich privater Lebensgestaltung eindringen werde.“ Da diese Prognoseentscheidung im Einzelfall in praxi schwierig ist, „sei dann auf der zweiten Ebene eine Auswertung und Verwertung durch eine unabhängige Stelle vorzunehmen, die über die Löschung und Verwertbarkeit der höchstpersönlichen Daten entscheide.“
[7] 1 BvR 370/07 vom 27.02.2008 am Beispiel des § 5 Abs. 2 Nr. 11 des Verfassungsschutzgesetzes des Landes NRW in der Fassung des Gesetzes vom 20.12.2006; Entwicklung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
[8] 1 BvR 966/09 / 1 BvR 1140/09 vom 20.04.2016 zum BKA-Gesetz in der Fassung vom 25.12.2008, u. a. zu dem dort in § 20k geregelten „Verdeckten Eingriff in informationstechnische Systeme“.
[9] Die „Quellen-TKÜ“ (§ 100a Abs. 1 S. 2 StPO) und die „Online-Durchsuchung“ waren in dem am 22.02.2017 in den Bundestag eingebrachten Gesetzentwurf noch nicht geregelt. Dies geschah (für alle Experten ziemlich überraschend) erst in der „Formulierungshilfe der Bundesregierung für einen Änderungsantrag am 15.05.2017 im Ausschuss für Recht und Verbraucherschutz des Deutschen Bundestages“. Conrad kritisiert (S. 102 f.) zurecht den angesichts der Eingriffsschwere der Maßnahmen ungewöhnlich schnellen und mit wenig Beratungszeit versehenen Gesetzgebungsprozess und unterstellt, dass es u. a. auch deswegen zu dieser in der Sache nicht notwendigen unterschiedlichen Formulierung gekommen sei.
[10] Vgl. hierzu bspw. nur die öffentlich zugänglichen Daten der Justizstatistik, Rubrik Telekommunikationsüberwachung, Übersicht Online-Durchsuchung 2019, 2020, 2021, abgerufen: 30.01.2024.