Beitrag als PDF Version / Volltext
Amtliche Leitsätze:
1. Voraussetzung einer heimlichen Überwachung von Kontaktpersonen mit eingriffsintensiven Maßnahmen zum Zweck der Datenerhebung ist jedenfalls, dass eine Überwachung der polizeirechtlich verantwortlichen Person mit entsprechenden Mitteln zulässig wäre.
2. Im Rahmen einer zweckwahrenden Verarbeitung zuvor erhobener personenbezogener Daten sind diese grundsätzlich zu löschen, nachdem der unmittelbare Anlassfall abgeschlossen und damit der der Erhebungsmaßnahme zugrundeliegende konkrete Zweck erfüllt ist. Ein Absehen von einer Löschung über den unmittelbaren Anlassfall hinaus kommt in Betracht, soweit sich aus den Daten – sei es aus ihnen selbst, sei es in Verbindung mit weiteren Kenntnissen der Behörde – zwischenzeitlich ein konkreter Ermittlungsansatz ergeben hat und damit die Voraussetzungen einer zweckändernden Nutzung vorliegen.
3. Eine vorsorgende Speicherung personenbezogener Grunddaten zur Identifizierung und zu einem bestimmten strafrechtlich relevanten Verhalten von Beschuldigten durch das Bundeskriminalamt auf einer föderalen polizeilichen Datenplattform erfordert jedenfalls die Festlegung angemessener Speicherschwellen sowie die Bestimmung einer angemessenen Speicherdauer:
a. Die vorsorgende Speicherung muss auf einer Speicherschwelle beruhen, die den Zusammenhang zwischen den vorsorgend gespeicherten personenbezogenen Daten und der Erfüllung des Speicherzwecks in verhältnismäßiger Weise absichert und den spezifischen Gefahren der vorsorgenden Speicherung angemessen begegnet. Dies ist bei der Speicherung von Daten für die Verhütung und Verfolgung von Straftaten nur gegeben, wenn eine hinreichende Wahrscheinlichkeit dafür besteht, dass die Betroffenen eine strafrechtlich relevante Verbindung zu möglichen Straftaten aufweisen werden und gerade die gespeicherten Daten zu deren Verhütung und Verfolgung angemessen beitragen können. Diese Prognose muss sich auf zureichende tatsächliche Anhaltspunkte stützen.
b. Es bedarf der gesetzlichen Regelung einer angemessenen Speicherdauer. Diese wird insbesondere geprägt durch das Eingriffsgewicht, die Belastbarkeit der Prognose in der Zeit sowie durch andere sich aus dem Grundsatz der Verhältnismäßigkeit ergebende Gesichtspunkte. Die Prognose verliert ohne Hinzutreten neuer relevanter Umstände grundsätzlich an Überzeugungskraft über die Zeit.
Gründe:
A.
1 Die Beschwerdeführenden wenden sich mit ihrer Verfassungsbeschwerde gegen Regelungen des Gesetzes über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten (Bundeskriminalamtgesetz, im Folgenden: BKAG) in der Fassung des Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1.6.2017 (BGBl I, S. 1354), die zum 25.5.2018 in Kraft getreten sind (BGBl I, S. 1354). Angegriffen ist zum einen die Ermächtigung des Bundeskriminalamts zum Einsatz besonderer Mittel der Datenerhebung zur Abwehr von Gefahren des internationalen Terrorismus, soweit diese eine Überwachung von Kontaktpersonen erlaubt (§ 45 Abs. 1 S. 1 Nr. 4 i.V.m. § 39 Abs. 2 Nr. 2 BKAG). Zum anderen rügen die Beschwerdeführenden Regelungen zur Weiterverarbeitung bereits erhobener personenbezogener Daten im Informationssystem des Bundeskriminalamts und im polizeilichen Informationsverbund (§ 16 Abs. 1 i.V.m. § 12 Abs. 1 S. 1 BKAG; § 18 Abs. 1 Nr. 1, 2 und 4, Abs. 2 Nr. 1 und 3 und Abs. 5 i.V.m. § 13 Abs. 3, § 29 BKAG) sowie zu polizeilichen Hinweisen (§ 16 Abs. 6 Nr. 2 auch i.V.m. § 29 Abs. 4 Satz 2 BKAG).
I.
2 Mit dem Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1.6.2017 beabsichtigte der Bundesgesetzgeber insbesondere die Umsetzung der Vorgaben des Urteils des BVerfG vom 20.4.2016 (BVerfGE 141, 220) und die der Richtlinie (EU) 2016/680 vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl EU, L 119 vom 4.5.2016, S. 89-131; JI-Richtlinie; im Folgenden: JI-RL; vgl. BT-Drs. 18/11163, S. 1). Im Zuge dieser Reform sollte unter anderem die IT-Architektur des Bundeskriminalamts neu strukturiert werden, um so die Effizienz und Effektivität der kriminalpolizeilichen Arbeit zu verbessern. In Reaktion auf die Erfahrungen aus der Aufklärung der NSU-Mordserie im November 2011 wurde gefordert, dass die informationstechnischen Grundlagen für die notwendige Vernetzung aller an einer Ermittlung beteiligten Dienststellen jederzeit sofort verfügbar sein müssten. Es dürfe nicht nochmals vorkommen, dass Zeit und Kraft dafür verloren gingen, unterschiedliche Systeme während einer laufenden Ermittlung zu verknüpfen. Zugleich sollte den Datenschutzanforderungen Rechnung getragen werden (vgl. BT-Drs. 18/11163, S. 76).
3 Die neuen Regelungen im Bundeskriminalamtgesetz zur Einrichtung einer föderalen Datenplattform („polizeilicher Informationsverbund“) stehen im Zusammenhang mit der für notwendig erachteten digitalen Transformation der Polizei. So verständigten sich im November 2016 die Innenminister des Bundes und der Länder auf die „Saarbrücker Agenda zur Informationsarchitektur der Polizei als Teil der Inneren Sicherheit“. Zur Umsetzung dieser Agenda stellte der Bund das Programm Polizei 2020 auf (vgl. Bundesministerium des Innern, Polizei 2020 – White Paper, 2018). Auf seiner Grundlage trafen Bund und Länder im Dezember 2019 die „Verwaltungsvereinbarung über die Errichtung eines Polizei-IT-Fonds und über die Grundlagen der Zusammenarbeit bei der Modernisierung des polizeilichen Informationswesens von Bund und Ländern – Vereinbarung zur Ausführung von Art. 91c Abs. 1 und Abs. 2 S. 1 und S. 4 GG“. Alleinige Regelungsgegenstände sind die Einrichtung eines Polizei-IT-Fonds zur Finanzierung und die Entscheidungsstrukturen bei der Zusammenarbeit bei der Modernisierung des polizeilichen Informationswesens.
4 In der föderalen Informationsordnung der Polizei gab es auch schon zuvor eine IT-Verbundarchitektur. Vorgänger des neuen „polizeilichen Informationsverbunds“ ist das bestehende Informationssystem Polizei (INPOL), das solange weiterbetrieben und gepflegt werden soll, bis die phasenweise Übernahme durch die neuen Komponenten sichergestellt ist (vgl. Bundesministerium des Innern, Polizei 2020 – White Paper, 2018, S. 16). INPOL ist ein Verbundsystem, das von den Polizeien der Länder und des Bundes gemeinsam genutzt wird. Es enthält die Datenbanken für die polizeiliche Fahndung sowie allgemeine Auskunftszwecke (INPOL-Z). Zudem werden auch verbundrelevante Daten aus den Fallbearbeitungssystemen zur Analyse komplexer Sachverhalte gespeichert (INPOL-Fall). Dabei werden die Daten in verschiedenen Dateien gespeichert (vgl. § 9 der Verordnung über die Art der Daten, die nach den §§ 8 und 9 des Bundeskriminalamtgesetzes gespeichert werden dürfen [BKA-Daten-Verordnung – BKADV v. 4.6.2010, BGBl I, S. 716], die zuletzt durch Art. 6 Abs. 12 des Gesetzes zur Reform der strafrechtlichen Vermögensabschöpfung vom 13.4.2017 [BGBl I, S. 872] geändert worden ist), so unter anderem in Delikts- und phänomenbezogene Dateien, in Kriminalaktennachweisen, in Gewalttäterdateien und erkennungsdienstlichen Dateien sowie in der DANN Analyse-Datei und der Haftdatei. Das alte System der Dateien hat allerdings zur Folge, dass eine Person je nach Ermittlungskontext in mehreren Datenbanken gespeichert sein kann. Mangels übergreifender Verknüpfung zwischen den unterschiedlichen Datenbanken können eine Verbindung zwischen den Daten oder Abweichungen (etwa Eingabefehler) nicht systemunterstützt festgestellt werden (vgl. Bundesministerium des Innern, Polizei 2020 – White Paper, 2018, S. 5). Deswegen ist mit der Gesetzesreform die Vorgabe zur Gliederung des Datenbestands des Bundeskriminalamts in Dateien aufgegeben worden (vgl. BT-Drs. 18/11163, S. 2 u. 75 f.). An deren Stelle soll als Ausdruck des kooperativen Föderalismus ein polizeilicher Informationsverbund zwischen den Polizeibehörden von Bund und Ländern treten, dem technisch ein einheitliches Verbundsystem des Bundeskriminalamts und ein System differenzierter Kennzeichnungen der Daten zugrunde liegt. Innerhalb dieses Verbundsystems stellen die daran teilnehmenden Behörden einander Daten zur Verfügung.
5 Das Bundeskriminalamt unterhält zudem für seine eigenen Informationsbestände ein Informationssystem, mit dem es zugleich – soweit vorgesehen – an dem polizeilichen Informationsverbund teilnimmt. Dementsprechend hat der Gesetzgeber die zuvor verstreut geregelten Datenverarbeitungsbefugnisse neu geordnet und zentral normiert. Dabei hat er sich für einen einheitlichen Begriff der Weiterverarbeitung entschieden, an den die Ermächtigungen anknüpfen (vgl. unten Rn. 120).
[…]
III.
26 Die Beschwerdeführenden haben ihre Verfassungsbeschwerde am 22.5.2019 erhoben und mit Schriftsatz vom 29.9.2022 ergänzt. Soweit die Beschwerdeführerinnen zu 1) und 2) zunächst die Befugnisse des Bundeskriminalamts zu Online-Durchsuchungen (§ 49 BKAG) und Quellen-Telekommunikationsüberwachungen (§ 51 Abs. 2 BKAG) beanstandet hatten, haben sie mit Schriftsatz vom 27.4.2022 diesen Teil der Verfassungsbeschwerde zurückgenommen.
27 Die Beschwerdeführenden rügen eine Verletzung ihres Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG). Dabei wenden sich die Beschwerdeführerinnen zu 1) und 2) gegen die Befugnis des Bundeskriminalamts zur Datenerhebung zur Abwehr von Gefahren des internationalen Terrorismus (§ 45 Abs. 1 S. 1 Nr. 4 BKAG), soweit diese eine Überwachung von Kontaktpersonen (§ 39 Abs. 2 Nr. 2 BKAG) erlaubt. Zudem beanstanden sie die Befugnis des Bundeskriminalamts zur Weiterverarbeitung personenbezogener Daten in seinem eigenen Informationssystem, die durch derartige Überwachungsmaßnahmen erlangt wurden (§ 16 Abs. 1 i.V.m. § 12 Abs. 1 S. 1 BKAG). Die Beschwerdeführenden zu 3) bis 5) wenden sich gegen die Weiterverarbeitungsbefugnis in § 18 Abs. 1 Nr. 1, 2 und 4, Abs. 2 Nr. 1 und 3 und Abs. 5 auch in Verbindung mit § 29 Abs. 4 S. 2 BKAG. Alle Beschwerdeführenden greifen die Ermächtigung zur Hinzuspeicherung ermittlungsunterstützender Hinweise im Informationssystem beziehungsweise Informationsverbund an (§ 16 Abs. 6 Nr. 2 auch i.V.m. § 29 Abs. 4 S. 2 BKAG).
[…]
C.
80 Die Verfassungsbeschwerde ist, soweit sie zulässig ist, teilweise begründet. Die angegriffenen Regelungen greifen in das Grundrecht der Beschwerdeführenden auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG ein (I). Sie sind zwar im zu prüfenden Umfang formell verfassungsgemäß (II), genügen aber den Vorgaben der Verhältnismäßigkeit (III) nicht durchgehend. So ist § 45 Abs. 1 S. 1 Nr. 4 BKAG in seiner konkreten Ausgestaltung nicht mit der Verfassung vereinbar (IV). Demgegenüber greifen die gegen § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG erhobenen verfassungsrechtlichen Bedenken bei zutreffender Auslegung nicht durch (V). § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG hingegen wahrt die verfassungsrechtlichen Anforderungen nicht (VI).
I.
81 Die angegriffenen Befugnisse greifen in das als verletzt gerügte Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG ein. Nach ständiger Rechtsprechung umfasst das allgemeine Persönlichkeitsrecht als eigenständige Ausprägung auch das Grundrecht auf informationelle Selbstbestimmung (vgl. BVerfGE 65, 1 [42] – Volkszählung; 78, 77 [84]; 118, 168 [184]; 152, 152 [188 Rn. 83] – Recht auf Vergessen I). Danach setzt die freie Entfaltung der Persönlichkeit unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Das Grundrecht gewährleistet damit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (vgl. BVerfGE 65, 1 [42 f.]; 120, 274 [312]; zum unionalen Datenschutzgrundrecht als Ausprägung der Achtung des Privat- und Familienlebens aus Art. 7 GRCh und des Schutzes personenbezogener Daten aus Art. 8 GRCh vgl. EuGH, Urt. v. 8.4.2014, Digital Rights Ireland and Seitlinger u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 35, 47 und 54 f.; Urt. v. 9.11.2010, Volker und Markus Schecke und Eifert, C-92/09 und C-93/09, EU:C:2010:662, Rn. 47 sowie BVerfGE 152, 216 [254 ff. Rn. 99 ff.] – Recht auf Vergessen II m.w.N.). Es geht damit über den Schutz der Privatsphäre hinaus. Es flankiert und erweitert den grundrechtlichen Schutz von Verhaltensfreiheit und Privatheit, indem es ihn schon auf der Stufe der Persönlichkeitsgefährdung beginnen lässt (vgl. BVerfGE 120, 274 [312]).
82 Dies zugrunde legend stellt zunächst die Befugnis des Bundeskriminalamts zur heimlichen Erhebung von Daten nach § 45 Abs. 1 S. 1 Nr. 4 BKAG einen Grundrechtseingriff dar (vgl. auch BVerfGE 141, 220 [286 f. Rn. 147 ff.]; zum Eingriffsgewicht sogleich unter Rn. 99). Aber auch die Befugnisse zur Weiterverarbeitung zuvor erhobener personenbezogener Daten – § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG und § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG – begründen jeweils eigenständige Eingriffe in das Grundrecht auf informationelle Selbstbestimmung, deren Eingriffsintensität variieren kann (vgl. insbesondere BVerfGE 141, 220 [324 ff. Rn. 276 ff.]; 165, 363 [393 Rn. 61]).
II.
83 Soweit die angegriffenen Befugnisnormen zulässig gerügt sind, sind sie in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund insoweit die Gesetzgebungskompetenz zu.
84 1. § 45 Abs. 1 S. 1 Nr. 4 in Verbindung mit § 39 Abs. 2 Nr. 2 BKAG sowie § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG im Rahmen der Aufgabenerfüllung nach § 5 BKAG sind in kompetenzrechtlicher Hinsicht verfassungsgemäß. Für den Bund besteht die ausschließliche Gesetzgebungskompetenz nach Art. 73 Abs. 1 Nr. 9a GG zur Regelung der Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt in Fällen, in denen eine länderübergreifende Gefahr vorliegt, die Zuständigkeit einer Landespolizeibehörde nicht erkennbar ist oder die oberste Landesbehörde um Übernahme ersucht. Der Begriff der Gefahrenabwehr schließt kompetenzrechtlich die Verhütung von Straftaten ein (vgl. zur Terrorismusabwehr nach dem Bundeskriminalamtgesetz i.d.F. vom 25.12.2008 bereits BVerfGE 141, 220 [263 Rn. 88]). Der hier maßgebliche § 5 Abs. 1 S. 1 BKAG beschränkt diese Befugnisse des Bundeskriminalamts ausdrücklich entsprechend den Vorgaben des Art. 73 Abs. 1 Nr. 9a GG.
85 2. Der Bund verfügt ferner über die Gesetzgebungskompetenz für die Regelungen der § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG hinsichtlich des polizeilichen Informationsverbundes und dem damit ermöglichten überbehördlichen Austausch personenbezogener Daten über bestimmte Personen.
86 a) Soweit die angegriffenen Vorschriften den Austausch von Informationen zwischen dem Bundeskriminalamt, den Landeskriminalämtern, sonstigen Polizeibehörden der Länder und der Steuerfahndung der Landesfinanzbehörden regeln, besteht für den Bund die Gesetzgebungskompetenz des Art. 73 Abs. 1 Nr. 10 Buchstabe a GG zur Zusammenarbeit des Bundes und der Länder in der Kriminalpolizei (vgl. BVerfGE 133, 277 [317 Rn. 97]). Diese Zusammenarbeit umfasst insbesondere die laufende gegenseitige Unterrichtung und Auskunftserteilung und erlaubt funktionelle und organisatorische Verbindungen, gemeinschaftliche Einrichtungen und gemeinsame Informationssysteme (vgl. BVerfGE 133, 277 [317 f. Rn. 97]; 156, 11 [41 Rn. 76]; 163, 43 [79 Rn. 99]). Die Gesetzgebungskompetenz erstreckt sich dabei nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern ebenfalls auf die der Länder untereinander (BVerfGE 163, 43 [80 Rn. 101]). Der Begriff „Kriminalpolizei“ schließt nicht aus, dass der Bund eine Zusammenarbeit auch zur Verhinderung von Straftaten regeln kann, sondern dient lediglich der Beschränkung auf Regelungen, die sich auf bedeutsame Straftaten von Gewicht beziehen (vgl. BVerfGE 133, 277 [318 Rn. 98]; 156, 11 [41 f. Rn. 77]; 163, 43 [81 Rn. 104]). Dabei muss es sich um Straftatbestände handeln, bei denen es der durch Art. 73 Abs. 1 Nr. 10 GG erlaubten Zusammenarbeit bedarf oder eine solche naheliegt. Ausgeschlossen sind von vornherein die allgemeine Gefahrenabwehr oder die Bekämpfung von Kleinkriminalität, erst recht die Bekämpfung von Ordnungswidrigkeiten (BVerfGE 156, 11 [41 f. Rn. 77 f.]; 163, 43 [81 Rn. 104]).
87 Hiernach können § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG kompetenzrechtlich auf Art. 73 Abs. 1 Nr. 10 GG gestützt werden. Die angegriffenen Befugnisnormen ermächtigen das Bundeskriminalamt, dessen Aufgaben auf „kriminalpolizeiliche Angelegenheiten“ beschränkt sind (vgl. § 1 Abs. 1 BKAG), in seiner Funktion als Zentralstelle nach § 2 Absätze 1 bis 3 BKAG personenbezogene Daten weiterzuverarbeiten und insbesondere für den Zugriff der anderen am polizeilichen Informationsverbund teilnehmenden Behörden vorsorgend zu speichern. Der entsprechend dem Kompetenztitel in Art. 73 Abs. 1 Nr. 10 Buchstabe a GG verwendete Begriff „Kriminalpolizei“ dient der Beschränkung auf Regelungen, die sich auf bedeutsame Straftaten von Gewicht beziehen (vgl. BVerfGE 163, 43 [81 Rn. 104] m.w.N.). Dies gilt auch für die Zentralstellenaufgaben des Bundeskriminalamts, die gemäß § 2 Abs. 1 BKAG auf koordinierende und unterstützende Aufgaben bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung beschränkt sind (vgl. zu § 10 Abs. 2, Abs. 1 S. 1 Nr. 1 BKAG a.F. BVerfGE 155, 119 [225 Rn. 241]). Straftaten, die aufgrund ihres grenzüberschreitenden Charakters die Belange eines anderen Bundeslandes oder eines anderen Staates (vgl. BT-Drs. 13/1550, S. 21) betreffen, als auch solche, die den Rechtsfrieden empfindlich stören und die geeignet sind, das Gefühl der Rechtssicherheit der Bevölkerung erheblich zu beeinträchtigen (vgl. BVerfGE 109, 279 [344]; 124, 43 [64]), begründen ein Bedürfnis nach Zusammenarbeit von Bund und Ländern in der Kriminalpolizei.
88 b) Soweit als weitere Behörden die Bundespolizei, Zollbehörden und die Polizei beim Deutschen Bundestag in den Informationsverbund miteinbezogen werden, ergibt sich die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 5 GG sowie aus der Natur der Sache. Die Beteiligung der Bundespolizei und der Zollbehörden am Informationsverbund kann der Bund auf Art. 73 Abs. 1 Nr. 5 GG stützen, der ihm die ausschließliche Gesetzgebungskompetenz für den Zoll- und Grenzschutz einräumt. Die angegriffenen Vorschriften weisen diesen keine neuen, durch Art. 73 Abs. 1 Nr. 5 GG nicht mehr gedeckten, auf die Verhinderung oder Verfolgung von Straftaten gerichteten Datenerhebungsbefugnisse zu, sondern knüpfen an die für die eigene Aufgabenerfüllung erhobenen Daten an und regeln lediglich die wechselseitige Zurverfügungstellung der Daten zwischen den teilnehmenden Behörden „zur jeweiligen Aufgabenerfüllung“ (§ 29 Abs. 3 S. 2 BKAG; vgl. zum Datenaustausch nach dem Antiterrordateigesetz BVerfGE 133, 277 [319 f. Rn. 101, 102]; 156, 11 [43 Rn. 81 f.]). Hinsichtlich der Einbeziehung der Polizei beim Deutschen Bundestag folgt die Gesetzgebungskompetenz des Bundes aus der Natur der Sache (vgl. allgemein zu dieser ungeschriebenen Gesetzgebungskompetenz BVerfGE 12, 205 [251]; 22, 180 [216 f.]; 26, 246 [257]; vgl. zum Schutz von Verfassungsorganen auch BVerfGE 155, 119 [173 Rn. 112]).
89 c) Art. 91c Abs. 2 GG, der vorsieht, dass Bund und Länder die für die Kommunikation zwischen ihren informationstechnischen Systemennotwendigen Standards und Sicherheitsanforderungen auf Grund von Vereinbarungen festlegen können, enthält insoweit keine spezielle Regelung, dieder Annahme einer Gesetzgebungskompetenz des Bundes für die angegriffenen Vorschriften entgegensteht. Art. 91c GG trifft lediglich für die Kommunikation zwischen IT-Systemen von Bund und Ländern eine spezielle Regelung, um einen effizienten, schnellen und sicheren Austausch vonDaten ohne System- und Medienbrüche zu gewährleisten (vgl. Wischmeyer, in: Huber/Voßkuhle, GG, 8. Aufl. [2024], Art. 91c Rn. 21; s.a. Ruge, in: Schmidt-Bleibtreu/Hofmann/Henneke, GG, 15. Aufl. [2022], Art. 91c Rn. 21, 27).
III.
90 1. a. Eingriffe in das Grundrecht auf informationelle Selbstbestimmung bedürfen einer gesetzlichen Ermächtigung, die einen legitimenGemeinwohlzweck verfolgt und für die Zweckerreichung geeignet, erforderlich und verhältnismäßig im engeren Sinne ist (vgl. BVerfGE 65, 1 [44]; 100, 313 [359 f.]; 155, 119 [176 f. Rn. 123]; st. Rspr). Dabei ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne spezielleAnforderungen. Wie streng diese im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht der jeweiligen Befugnis zur Erhebung von oder demweiteren Umgang mit personenbezogenen Daten (vgl. BVerfGE 141, 220 [269 Rn. 105]; 165, 363 [389 f. Rn. 54]; st. Rspr). Zur Konkretisierungder Rechtfertigungsanforderungen sind deshalb die grundsätzlich verschiedenen, aber aufeinander bezogenen Grundrechtseingriffe zu unterscheiden.Vorliegend ist insbesondere zwischen der gesondert geregelten Datenerhebung sowie der unter dem Oberbegriff der Weiterverarbeitung einheitlichnormierten Speicherung personenbezogener Daten und deren weiterer Nutzung zu differenzieren (vgl. BVerfGE 65, 1 [43] – Volkszählung; 120, 351 [361]– Datensammlung über steuerliche Auslandsbeziehungen; sowie BVerfGE 155, 119 [167 Rn. 93] – Bestandsdatenauskunft II). Eine Verwendung zuvorerhobener Daten über den ursprünglichen Anlass hinaus begründet dabei einen neuen Grundrechtseingriff und muss verfassungsrechtlich eigens nachdem Grundsatz der Zweckbindung gerechtfertigt werden (vgl. BVerfGE 141, 220 [324 Rn. 277, 327 Rn. 285]). Der Verhältnismäßigkeitsgrundsatz stellt – vorliegend mangels entsprechender Rügen nicht weiter zu prüfende – Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtlicheKontrolle (vgl. BVerfGE 141, 220 [282 Rn. 134] m.w.N.; st. Rspr). Ebenfalls muss die Datensicherheit gewährleistet werden (vgl. BVerfGE 155, 119 [182 Rn. 135]).
91 b) Für die verfassungsrechtliche Prüfung der Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist die Aufgabe des Gesetzgebers in den Blick zu nehmen, einen Aus- gleich zwischen der Schwere der hier zur Prüfung stehenden Eingriffe in das Grundrecht auf informationelle Selbstbestimmung potentiell betroffener Personen und der Pflicht des Staates zum Schutz der Grundrechte anderer zu schaffen (vgl. BVerfGE 141, 220 [267 Rn. 98]). Der Gesetzgeber hat dabei auf der einen Seite das – mitunter erhebliche – Ein- griffsgewicht der durch die angegriffenen Vorschriften erlaubten Erhebungs- und Weiterverarbeitungsmaßnahmen in Rechnung zu stellen. Erhebungsmaßnahmen können teilweise tief in die Privatsphäre eindringen. Weiterverarbeitungsmaßnahmen können zeitlich über die ursprünglichen Anlasszwecke hinausgehende sicherheitsbehördliche Wissensbestände über Einzelne schaffen und Möglichkeiten ihrer Verknüpfung eröffnen. Hierdurch können für das Persönlichkeitsrecht sensible Zusammenhänge betroffen sein, und dem damit verbundenen potentiell hohen Eingriffsgewicht ist in der Abwägung Rechnung zu tragen. Auf der anderen Seite hat der Gesetzgeber einen wirksamen Schutz der Grundrechte und Rechtsgüter der Bürgerinnen und Bürger zu sichern. Dabei ist zu berücksichtigen, dass die verfassungsmäßige Ordnung, der Bestand und die Sicherheit des Bundes und der Länder sowie Leib, Leben und Freiheit der Person Schutzgüter von hohem verfassungsrechtlichen Gewicht sind. Die Sicherheit des Staates als verfasster Friedens- und Ordnungsmacht und die von ihm – unter Achtung von Würde und Eigenwert des Einzelnen – zu gewährleistende Sicherheit der Bevölkerung sind Rechtsgüter von überragendem verfassungsrechtlichen Gewicht (vgl. BVerfGE 154, 152 [249 Rn. 163]), die mit anderen hochwertigen Verfassungsgütern im gleichen Rang stehen. Der Staat ist deshalb verpflichtet, das Leben, die körperliche Unversehrtheit und die Freiheit des Einzelnen zu schützen, das heißt vor allem, auch vor rechtswidrigen Eingriffen von Seiten anderer zu bewahren (vgl. BVerfGE 141, 220 [267 f. Rn. 100]; st. Rspr; zum Verhältnis von Freiheit und Sicherheit vgl. BVerfGE 154, 152 [226 Rn. 108]).
92 2. Alle zulässig angegriffenen Befugnisse sind zudem am Grundsatz der Bestimmtheit und Normenklarheit zu messen, der der Vorhersehbarkeit vonEingriffen für die Bürge- rinnen und Bürger, einer wirksamen Begrenzung der Befugnisse gegenüber der Verwaltung sowie der Ermöglichung einereffektiven Kontrolle durch die Gerichte dient (vgl. BVerfGE 113, 348 [375 ff.]; 156, 11 [44 Rn. 85]; 162, 1 [95 Rn. 199]; st. Rspr).
93 Bei der Bestimmtheit geht es vornehmlich darum, dass Regierung und Verwaltung im Gesetz steuernde und begrenzende Handlungsmaßstäbe vorfindenund dass die Gerichte eine wirksame Rechtskontrolle vornehmen können. Der Gesetzgeber ist gehalten, seine Regelungen so bestimmt zu fassen, wiedies nach der Eigenart des zu ordnenden Lebenssachverhalts mit Rücksicht auf den Normzweck möglich ist (vgl. BVerfGE 145, 20 [69 f. Rn. 125] m.w.N.). Dabei reicht es aus, wenn sich im Wege der Auslegung der einschlägigen Bestimmung mit Hilfe der anerkannten Auslegungsregeln feststellen lässt, ob die tatsächlichen Voraussetzungen für die in der Rechtsnorm ausgesprochene Rechtsfolge vorliegen. Verbleibende Unsicherheiten dürfen nicht so weit gehen,dass die Vorhersehbarkeit und Justiziabilität des Handelns der durch die Norm ermächtigten staatlichen Stellen gefährdet sind (vgl. BVerfGE 134, 141 [184 Rn. 126]; 156, 11 [44 f. Rn. 85 ff.] m.w.N.).
94 Bei der Normenklarheit steht die inhaltliche Verständlichkeit der Regelung im Vordergrund, insbesondere damit Bürgerinnen und Bürger sich aufmögliche belastende Maßnahmen einstellen können (vgl. BVerfGE 145, 20 [69 f. Rn. 125]). Weil die Grundrechte hier ohne Wissen der Bürgerinnen undBürger und oft ohne die Erreichbarkeit gerichtlicher Kontrolle durch die Verwaltung, durch Polizei und Nachrichtendienste eingeschränkt werden,muss der Inhalt der einzelnen Norm verständlich und ohne größere Schwierigkeiten durch Auslegung zu konkretisieren sein. So mag eine Regelungdurch Auslegung bestimmbar oder der verfassungskonformen Auslegung zugänglich und da- mit im verfassungsrechtlichen Sinne bestimmt sein,jedoch geht damit nicht zwingend auch ihre Normenklarheit für die Adressaten einher (vgl. BVerfGE 163, 43 [83 Rn. 111]; 165, 1 [53 f. Rn. 97]; st. Rspr).
95 Bei der heimlichen Datenerhebung und -verarbeitung sind an die Bestimmtheit und Normenklarheit besonders strenge Anforderungen zu stellen. ImEinzelnen unterscheiden sich die Anforderungen maßgeblich nach dem Gewicht des Eingriffs und sind insoweit mit den jeweiligen materiellen Anforderungen der Verhältnismäßigkeit eng verbunden (vgl. BVerfGE 141, 220 [265 Rn. 94]; 155, 119 [181 Rn. 133]; 162, 1 [95 Rn. 200, 125 f.Rn. 273] jeweils m.w.N.; st. Rspr). Bei heimlichen Überwachungsmaßnahmen, die weit in die Privatsphäre hineinreichen können, sind dieBestimmtheitsanforderungen indessen hoch (vgl. BVerfGE 162, 1 [95 Rn. 200]). Dies trägt dem Umstand Rechnung, dass ein effektiver Schutz gegenüberstaatlicher Datenerhebung und -verarbeitung nur auf Grundlage eines ausreichend spezifischen gesetzlichen Normprogramms möglich ist. Heimliche Überwachungsmaßnahmen gelangen den Betroffenen kaum zur Kenntnis und können daher von ihnen nur selten im Rechtsweg angegriffen werden. Der Gehalt der gesetzlichen Regelung kann so nur eingeschränkt im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle konkretisiert werden, was der Gesetzgeber durch die hinreichende Bestimmtheit der jeweiligen Normen auffangen muss (vgl. BVerfGE 162, 1 [95 f. Rn. 200, 125 f.Rn. 273] m.w.N.).
IV.
96 § 45 Abs. 1 S. 1 Nr. 4 BKAG genügt in seiner konkreten Ausgestaltung nicht diesen verfassungsrechtlichen Anforderungen.
97 Die Regelung ermächtigt das Bundeskriminalamt zu heimlichen Überwachungsmaßnahmen gegenüber Personen, gegen die selbst kein Verdachtterroristischer Aktivitäten besteht, die aber in einem Näheverhältnis zu einer verantwortlichen Person stehen (Kontaktpersonen). Dabei ist der Einsatzbesonderer in § 45 Abs. 2 BKAG aufgeführter Mittel erlaubt, so zum Beispiel längerfristige Observationen oder der Einsatz von Vertrauenspersonenund von verdeckt Ermittelnden. Für die näheren Voraussetzungen der Überwachung verweist § 45 Abs. 1 S. 1 Nr. 4 BKAG auf § 39 Abs. 2 Nr. 2 BKAG.Dieser normiert Kriterien des Näheverhältnisses zwischen der Kontaktperson und der eigentlichen verantwortlichen Person und nimmt hinsichtlich derverantwortlichen Person auf § 39 Abs. 2 Nr. 1 BKAG Bezug.
98 Die durch die Befugnisnorm gestatteten Eingriffe in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) können erhebliches Gewicht haben (1). Grundsätzlich kann der Einsatz besonderer Mittel der Datenerhebung auch gegenüber Kontaktpersonen zurAbwehr entsprechend gewichtiger Gefahren verfassungsrechtlich gerechtfertigt sein. Im Ergebnis erfüllt die in § 45 Abs. 1 S. 1 Nr. 4 BKAG vorgesehene Eingriffsschwelle jedoch nicht die Anforderungen der Verhältnismäßigkeit im engeren Sinne (2).
99 1. § 45 Abs. 1 S. 1 Nr. 4, Abs. 2 BKAG ermächtigt das Bundeskriminalamt zu Eingriffen in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG), die unterschiedlich schwer wiegen können. Während der Eingriff beim Erstellen einzelner Fotos oder bei einer zeitlich begrenzten schlichten Beobachtung eher geringes Gewicht haben kann, ist etwa eine langfristig dauerhafte heimliche Aufzeichnung des gesprochenen Worts und Bilds einer Person regelmäßig ein Eingriff von erheblicher Schwere (vgl. BVerfGE 141, 220 [290 Rn. 160]; 165, 1 [48 Rn. 88]). Insbesondere wenn die in § 45 Abs. 2 BKAG zugelassenen Maßnahmen gebündelt durchgeführt werden und dabei darauf zielen, möglichst alle Äußerungen und Bewegungen zu erfassen und bildlich wie akustisch festzuhalten, können sie tief in die Privatsphäre eindringen und ein besonders schweres Eingriffsgewicht erlangen (vgl. BVerfGE 141, 220 [286 f. Rn. 149 ff.]; 162, 1 [160 f. Rn. 357]). Der Einsatz von Vertrauenspersonen und verdeckt Ermittelnden kann auch im Hinblick auf das durch diese ausgenutzte Vertrauen sehr schwerwiegend sein (vgl. BVerfGE 141, 220 [289 f. Rn. 160]; 162, 1 [153 f. Rn. 340 f., 158 Rn. 351]). Eingriffsmindernd wirkt, dass die Überwachungsbefugnisse nach § 45 BKAG zeitlich befristet sind. So sieht § 45 Abs. 5 S. 3 BKAG bei einer richterlichen Anordnung nach § 45 Abs. 3 BKAG eine zeitliche Begrenzung auf höchstens einen beziehungsweise drei Monate vor. Diese Anordnung kann zwar unbegrenzt oft verlängert werden, dies bedarf aber jeweils erneut richterlicher Anordnung (§ 45 Abs. 5 S. 4 BKAG).
100 2. Die diesem Eingriffsgewicht entsprechenden verfassungsrechtlichen Anforderungen wahrt § 45 Abs. 1 S. 1 Nr. 4 BKAG nicht. Die Vorschrift dient zwareinem legitimen Ziel und ist geeignet und erforderlich, um dieses zu erreichen (a). Nicht zu vereinbaren ist die Norm aber mit den besonderenAnforderungen, die sich aus der Verhältnismäßigkeit im engeren Sinne an die hier erforderliche Eingriffsschwelle ergeben (b). Dem kann durch eineverfassungskonforme Auslegung nicht begegnet werden (c). An diesem Ergebnis ändert auch der Richtervorbehalt nichts (d).
101 a) Die Befugnis des § 45 Abs. 1 S. 1 Nr. 4 BKAG dient einem legitimen Ziel. Sie gibt dem Bundeskriminalamt Überwachungsmaßnahmen an die Hand, mit denen dieses seine Aufgabe der Abwehr von Gefahren des internationalen Terrorismus wahrnehmen soll. Der Begriff des internationalen Terrorismus ist dabei durch die Aufgabenbeschreibung des § 5 Abs. 1 S. 2 BKAG und dessen Verweis auf § 129a Abs. 1 und 2 StGB definiert und – in Übereinstimmung mit den Vorstellungen des verfassungsändernden Gesetzgebers bei Schaffung des Art. 73 Abs. 1 Nr. 9a GG (vgl. BT-Drs. 16/813, S. 12) – auf spezifisch charakterisierte Straftaten von besonderem Gewicht begrenzt. Straftaten mit dem Gepräge des Terrorismus in diesem Sinne zielen auf eine Destabilisierung des Gemeinwesens und umfassen hierbei in rücksichtsloser Instrumentalisierung anderer Menschen Angriffe auf Leib und Leben Dritter. Sie richten sich gegen die Grundpfeiler der verfassungsrechtlichen Ordnung und das Gemeinwesen als Ganzes (vgl. BVerfGE 141, 220 [266 f. Rn. 96 f.]). Die Bereitstellung von wirksamen Überwachungsmaßnahmen zu ihrer Abwehr ist ein legitimes Ziel und für die demokratische und freiheitliche Ordnung von großem Gewicht (vgl. BVerfGE 133, 277 [333 f. Rn. 133]).
102 Die Einräumung der hier angegriffenen Überwachungsbefugnis ist zur Erreichung dieses Ziels geeignet. Sie gibt dem Bundeskriminalamt Überwachungsmaßnahmen an die Hand, die dazu beitragen können, den Gefahren des internationalen Terrorismus entgegenzutreten. Sie ist auch erforderlich. Mildere Mittel, die gleichermaßen effektiv die Ab- wehr des internationalen Terrorismus ermöglichten, sind nicht ersichtlich. Dies lässt freilich unberührt, dass auch die Anwendung der Befugnisse im Einzelfall dem Grundsatz der Geeignetheit und Erforderlichkeit zu folgen hat (vgl. BVerfGE 141, 220 [266 f. Rn. 97]).
103 b) Nicht zu vereinbaren ist § 45 Abs. 1 S. 1 Nr. 4 BKAG aber mit den besonderen Anforderungen, die sich aus der Verhältnismäßigkeit im engeren Sinne an die Rechtfertigung heimlicher Überwachungsmaßnahmen der Polizei ergeben. Denn schon die in § 39 Abs. 2 Nr. 1 BKAG für die polizeirechtlich verantwortliche Person normierte Eingriffs- schwelle rechtfertigte deren heimliche Überwachung mit besonders eingriffsintensiven Mitteln nach § 45 Abs. 2 BKAG nicht. Erst recht darf dann die selbst nicht verantwortliche Kontaktperson, die in einem Näheverhältnis zu dieser verantwortlichen Person steht, nicht mit derart eingriffsintensiven Methoden überwacht werden.
104 aa) Die dem Eingriffsgewicht der heimlichen Erhebungsbefugnisse entsprechenden Anforderungen der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Datenerhebung zu schützende Rechtsgut als auch an die vorliegend allein gerügte sogenannte Eingriffsschwelle, also den Anlass der Überwachung (vgl. auch BVerfGE 141, 220 [269 Rn. 104, 270 f. Rn. 106 ff., 271 ff. Rn. 109 ff.]; 162, 1 [84 f. Rn. 174]). Der Einsatz einer eingriffsintensiven heimlichen Überwachungsbefugnis wie der vorliegenden setzt schon gegenüber der verantwortlichen Person eine wenigstens konkretisierte Gefahr für ein hinreichend gewichtiges Rechtsgut voraus (1). Sollen auch Kontaktpersonen aus dem Umfeld der verantwortlichen Person mit derartigen Mitteln überwacht werden, bedarf es einer hinzutretenden spezifischen individuellen Nähe der Betroffenen zu der aufzuklärenden Gefahr (2).
105 (1) Die Erhebung von Daten durch heimliche Überwachungsmaßnahmen mit hoher Eingriffsintensität ist im Bereich der Gefahrenabwehr grundsätzlich nur verhältnismäßig im engeren Sinne, wenn eine Gefährdung der zu schützenden Rechtsgüter im Einzelfall hinreichend konkret absehbar ist und der Adressat der Maßnahmen aus Sicht eines verständigen Dritten den objektiven Umständen nach in sie verfangen ist (vgl. BVerfGE 141, 220 [271 Rn. 109]). Die verfassungsrechtliche Rechtfertigung verlangt hier, dass entweder eine konkrete Gefahr oder eine wenigstens konkretisierte Gefahr für ein hinreichend gewichtiges Rechtsgut besteht (vgl. dazu BVerfGE 141, 220 [271 ff. Rn. 111 ff.]).
106 Eine konkretisierte Gefahr setzt zumindest tatsächliche Anhaltspunkte für die Entstehung einer konkreten Gefahr für die Schutzgüter voraus. Allgemeine Erfahrungssätze reichen insoweit allein nicht aus, um den Eingriff zu rechtfertigen. Vielmehr müssen bestimmte Tatsachen festgestellt sein, die im Einzelfall die Prognose eines Geschehens tragen, das zu einer zurechenbaren Verletzung der hier relevanten Schutzgüter führt. Eine hinreichend konkretisierte Gefahr in diesem Sinne kann danach schon bestehen, wenn sich der zum Schaden führende Kausalverlauf noch nicht mit hinreichender Wahrscheinlichkeit vorhersehen lässt, sofern bereits bestimmte Tatsachen auf eine im Einzelfall drohende Gefahr für ein überragend wichtiges Rechtsgut hinweisen (BVerfGE 141, 220 [272 f. Rn. 112]; 165, 1 [49 ff. Rn. 90 ff.]; st. Rspr).
107 Dafür müssen grundsätzlich zwei Bedingungen erfüllt sein: Die Tatsachen müssen dafür zum einen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen zulassen, zum anderen darauf, dass bestimmte Personen beteiligt sein werden, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann (BVerfGE 141, 220 [272 f. Rn. 112] m.w.N.). Speziell in Bezug auf terroristische Straftaten, die oft durch lang geplante Taten von bisher nicht straffällig gewordenen Einzelnen an nicht vorhersehbaren Orten und in ganz verschiedener Weise verübt werden, können die Anforderungen an die Erkennbarkeit des Geschehens weiter abgesenkt werden, wenn dafür bereits genauere Erkenntnisse über die beteiligten Personen bestehen: Hier gilt, dass Überwachungsmaßnahmen auch dann erlaubt werden können, wenn zwar noch nicht ein seiner Art nach konkretisiertes und zeitlich absehbares Geschehen erkennbar ist, dafür aber das individuelle Verhalten einer Person bereits die konkrete Wahrscheinlichkeit begründet, dass sie solche Straftaten in überschaubarer Zukunft begehen wird (vgl. BVerfGE 141, 220 [272 f. Rn. 112]; 165, 1 [50 f. Rn. 91]). Denkbar ist das etwa, wenn eine Person aus einem Ausbildungslager für Terroristen im Ausland in die Bundesrepublik Deutschland einreist (BVerfGE 141, 220 [272 f. Rn. 112]).
108 Hingegen wird dem Gewicht eines Eingriffs durch heimliche polizeirechtliche Überwachungsmaßnahmen nicht hinreichend Rechnung getragen, wenn der tatsächliche Eingriffsanlass noch weiter in das Vorfeld einer in ihren Konturen noch nicht absehbaren konkreten Gefahr für die Schutzgüter der Norm verlegt wird. Eine Anknüpfung der Eingriffsschwelle an das Vorfeldstadium ist verfassungsrechtlich angesichts der Schwere des Eingriffs nicht hinnehmbar, wenn zu diesem Zeitpunkt nur relativ diffuse Anhaltspunkte für mögliche Rechtsgutsgefahren bestehen. Die Bedeutung einzelner Beobachtungen ist dann häufig vieldeutig. Die Geschehnisse können harmlos bleiben, aber auch den Beginn eines Vorgangs bilden, der in eine konkrete Gefahr oder gar eine Verletzung der tatbestandlich geschützten Rechtsgüter mündet. Solche Offenheit genügt für die Durchführung von eingriffsintensiven heimlichen Überwachungsmaßnahmen nicht (vgl. BVerfGE 141, 220 [273 Rn. 113]; 165, 1 [51 Rn. 92]).
109 (2) Besondere zusätzliche Anforderungen bestehen für die heimliche Überwachung von Kontaktpersonen, die nicht selbst polizeirechtlich verantwortlich sind. Zwar ist auch der Einsatz einer eingriffsintensiven Überwachungsmaßnahme wie der vorliegend in Rede stehenden unmittelbar gegenüber Kontaktpersonen nicht schlechthin ausgeschlossen. Er steht aber unter strengen Verhältnismäßigkeitsanforderungen und setzt eine spezifische individuelle Nähe der Betroffenen zu der die Überwachung der verantwortlichen Person rechtfertigenden aufzuklärenden Gefahr voraus (vgl. BVerfGE 141, 220 [273 f. Rn. 114 ff., 291 ff. Rn. 167 ff.]).
110 Unabhängig von der hier nicht gerügten spezifischen individuellen Nähe ist Voraussetzung der Überwachung von Kontaktpersonen, dass jedenfalls eine Überwachung der verantwortlichen Person mit entsprechenden Mitteln zulässig wäre. Denn andernfalls fehlte es bereits an einer hinreichenden aufzuklärenden Gefahr. Wenn also bereits die verantwortliche Person nicht mit eingriffsintensiven Maßnahmen überwacht werden darf, darf erst recht nicht die Kontaktperson auf diese Weise überwacht werden.
111 bb) Diesen Anforderungen an die Eingriffsschwelle genügt § 45 Abs. 1 S. 1 Nr. 4 BKAG bereits hinsichtlich der notwendigen Gefahrnähe der in Bezug genommenen verantwortlichen Person nicht; erst recht darf deshalb eine nicht verantwortliche Kontaktperson nicht überwacht werden.
112 Die Vorschrift erlaubt die Datenerhebung hinsichtlich einer Kontaktperson nach § 39 Abs. 2 Nr. 2 BKAG, wenn diese in einer spezifischen Nähebeziehung zu einer verantwortlichen Person steht und die Abwehr der Gefahr oder die Verhütung der Straftaten auf andere Weise aussichtslos ist oder wesentlich erschwert wäre. § 39 Abs. 2 Nr. 2 BKAG nimmt dabei Bezug auf eine verantwortliche Person nach § 39 Abs. 2 Nr. 1 BKAG. Nach § 39 Abs. 2 Nr. 1 BKAG genügt für eine Erhebung personenbezogener Daten, dass Tatsachen die Annahme rechtfertigen, dass diese Person „eine Straftat nach § 5 Absatz 1 S. 2 begehen will und die erhobenen Daten zur Verhütung dieser Straftat erforderlich sind“. Damit bleiben die Anforderungen weit hinter den in § 45 Abs. 1 S. 1 Nr. 1 bis 3 BKAG normierten Anforderungen für besondere Mittel der Datenerhebung bei verantwortlichen Personen zurück und sollen schon nach der gesetzlichen Konzeption nur für weniger eingriffsintensive Erhebungen gelten. Insbesondere müssen hier hinsichtlich der verantwortlichen Person nach § 39 Abs. 2 Nr. 1 BKAG im Gegensatz zur verantwortlichen Person nach § 45 Abs. 1 S. 1 BKAG weder „bestimmte Tatsachen die Annahme rechtfertigen, dass sie [die Person] innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat nach § 5 Abs. 1 S. 2 begehen wird“ (Nr. 2), noch muss „deren individuelles Verhalten die konkrete Wahrscheinlichkeit begründe[n], dass sie [die Person] innerhalb eines übersehbaren Zeitraums eine Straftat nach § 5 Abs. 1 S. 2 begehen wird“ (Nr. 3).
113 c) Eine für derart eingriffsintensive Maßnahmen hinreichende Eingriffsschwelle kann § 45 Abs. 1 S. 1 Nr. 4 BKAG auch nicht im Wege der verfassungskonformen Auslegung entnommen werden (zu deren allgemeinen Voraussetzungen und Grenzen BVerfGE 122, 39 [60 ff.]). Insbesondere kann der Verweis in § 45 Abs. 1 S. 1 Nr. 4 BKAG entgegen der Auffassung der Bundesregierung nicht dergestalt gedeutet werden, dass er sich auf eine verantwortliche Person nach § 45 Abs. 1 S. 1 Nr. 1 bis 3 BKAG bezieht und nur die Tatnähekriterien des § 39 Abs. 2 Nr. 2 Buchst. a bis c BKAG übernimmt. Eine solche Auslegung setzte voraus, dass sämtliche Anforderungen der Verfassung eingehalten würden. Dazu gehört hier, dass der Norm unter Beachtung des Grundsatzes der Bestimmtheit und Normenklarheit eine verfassungskonforme Eingriffsschwelle entnommen werden kann.
114 (aa) Der Annahme einer solchen Eingriffsschwelle steht schon der insoweit eindeutige Wortlaut entgegen. Nichts anderes ergibt sich aus der systematischen Auslegung. Dass die Adressatengruppen des § 45 Abs. 1 S. 1 Nr. 1 bis 4 BKAG durch ein gemeinsames Tatbestandsmerkmal („wenn die Abwehr der Gefahr oder die Verhütung der Straftaten auf andere Weise aussichtslos ist oder wesentlich erschwert wäre“) „verklammert“ werden, lässt nicht die Folgerung zu, dass Nr. 4 als eine Adressatengruppe auch auf die anderen Adressatengruppen in Nr. 1 bis 3 Bezug nehmen soll. Auch das systematische Verhältnis von § 39 BKAG als allgemeiner Befugnis zur Erhebung personenbezogener Daten zu § 45 BKAG als spezieller Vorschrift für besondere Mittel der Datenerhebung vermag einen solchen Zusammenhang nicht herzustellen. Dies gilt umso mehr, als der Gesetzgeber an anderer Stelle im Bundeskriminalamtgesetz den Bezug zur verantwortlichen Person unmissverständlich normiert hat (vgl. etwa § 47 Abs. 2 Nr. 3 BKAG sowie § 65 Abs. 1 Nr. 3 BKAG und § 19 Abs. 1 S. 1 Nr. 3 BKAG).
115 Der Wille des Gesetzgebers, der im Vergleich zur Altfassung nur redaktionelle Folgeänderungen beabsichtigt hat (vgl. BT-Drs. 18/11163, S. 113 f.), hat deshalb in der Vorschrift keinen hinreichenden Niederschlag gefunden (vgl. auch Schulenberg, in: Barczak, BKAG, 2023, § 45 Rn. 74). Es mag zwar zutreffen, dass die eingeschränkte Bedeutung des Verweises dem Bundeskriminalamt bekannt ist und die Vorschrift in der Praxis entsprechend angewendet wird. Jedoch ist für die verfassungsrechtliche Beurteilung einer Erhebungsbefugnis nicht die (derzeitige) Behördenpraxis maßgeblich, sondern die rechtliche Ausgestaltung (vgl. auch BVerfGE 162, 1 [147 Rn. 326]). Der Einsatz grundrechtsintensiver Überwachungsbefugnisse bedarf von Verfassungs wegen hinreichender Anbindung an Maßgaben des Rechts, die dem demokratischen Gesetzgebungsverfahren entspringen (vgl. BVerfGE 154, 152 [238 f. Rn. 139]; 162, 1 [97 Rn. 203 f.; 144 f. Rn. 322]).
116 (bb) Im Wege der Auslegung der Norm eine den verfassungsrechtlichen Anforderungen genügende Eingriffsschwelle zu entnehmen, wäre hier jedenfalls mit dem Grundsatz der Bestimmtheit und Normenklarheit bei heimlichen Überwachungsmaßnahmen nicht zu vereinbaren. Da § 45 Abs. 1 S. 1 Nr. 4 BKAG heimliche Datenerhebungen ermöglicht, die tief in die Privatsphäre einwirken können, gelten insoweit besonders strenge Anforderungen. Weil heimliche Überwachungsmaßnahmen den Betroffenen kaum zur Kenntnis gelangen und daher auch nur selten angegriffen werden, kann der Gehalt der gesetzlichen Regelung nur eingeschränkt im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle konkretisiert werden, was der Gesetzgeber durch die hinreichende Bestimmtheit auffangen muss (vgl. BVerfGE 162, 1 [126 Rn. 273]; oben Rn. 95). Dem genügte jedenfalls eine wie hier normtextkorrigierende Auslegung nicht.
117 (d) Auch der in § 45 Abs. 3 BKAG überwiegend angeordnete Richtervorbehalt ist nicht dazu geeignet, die Mängel einer zu unbestimmt geregelten oder zu niedrig angesetzten Eingriffsschwelle auszugleichen (vgl. BVerfGE 110, 33 [67 f.]; 120, 274 [331 f.]).
V.
118 Soweit die Verfassungsbeschwerde sich gegen § 16 Abs. 1 BKAG wendet, bestehen keine durchgreifenden verfassungsrechtlichen Bedenken gegen die Vorschrift.
119 § 16 Abs. 1 BKAG ermächtigt das Bundeskriminalamt zur Weiterverarbeitung personenbezogener Daten in seinem Informationssystem, soweit dies zur Erfüllung seiner Aufga- ben erforderlich ist und das Bundeskriminalamtgesetz keine zusätzlichen besonderen Voraussetzungen vorsieht.
120 Der Begriff der Weiterverarbeitung wird im Bundeskriminalamtgesetz und auch in den allgemeinen datenschutzrechtlichen Normen im Gegensatz zum Begriff der Verarbeitung (vgl. § 46 Nr. 2 BDSG sowie Art. 3 Nr. 2 JI-RL) nicht legaldefiniert. Das Bundeskriminalamtgesetz unterscheidet innerhalb der allgemeinen Befugnisse zur Datenverarbei- tung (Abschnitt 2) zwischen der Datenerhebung (§ 9 – § 11 BKAG), der Weiterverarbeitung von Daten (§ 12 – § 24 BKAG) und der Datenübermittlung (§ 25 – § 28 BKAG). Nach Wortlaut und Systematik erfasst der Begriff der Weiterverarbeitung die Datenerhebung und Datenübermittlung nicht, die jeweils speziell geregelt sind (vgl. auch Eichenhofer, in: Barczak, BKAG, § 16 Rn. 5). Dieses rechtssystematische Verständnis findet sich auch in der Begründung des Gesetzesentwurfs wieder. Da der einheitliche Begriff der Verarbeitung weit konzipiert sei und insbesondere die Datenerhebung, die Datenübermittlung, die Einschränkung der Datenverarbeitung und das Löschen der Daten umfasse (vgl. § 46 Nr. 2 BDSG), bedürfe es einer Einschränkung. Der Begriff der Weiterverarbeitung solle aus rechtssystematischen Gründen diese Verarbeitungsschritte nicht erfassen. Allerdings fielen unter ihn die übrigen Aspekte der Verarbeitung wie die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, der Abgleich oder die Verknüpfung von Daten (vgl. BT-Drs. 18/11163, S. 90).
121 Diese Weiterverarbeitung geschieht im Rahmen des § 16 Abs. 1 BKAG nach Maßgabe des § 12 BKAG. Die Rüge bezieht sich allein auf die Weiterverarbeitung personenbezogener Daten, die das Bundeskriminalamt zuvor mit besonders eingriffsintensiven Mitteln nach § 45 BKAG erhoben hat und im Rahmen der Aufgabenerfüllung zur Abwehr von Gefahren des internationalen Terrorismus nach § 5 BKAG verarbeitet. Gerügt ist ohnehin nur die Weiterverarbeitung nach Maßgabe von § 12 Abs. 1 S. 1 BKAG, also die Weiterverarbeitung der Daten im Rahmen ihrer ursprünglichen Zwecke.
122 In diesem Umfang erlaubt die Befugnis Eingriffe in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) von erheblichem Gewicht. Sie wahrt aber die verfassungsrechtlichen Vorgaben der Verhältnismäßigkeit im engeren Sinne an eine weitere Nutzung von Daten.
123 1. Soweit § 16 Abs. 1 BKAG gerügt ist, wirkt eingriffsverstärkend, dass die verarbeiteten Daten zuvor mit eingriffsintensiven Überwachungsmethoden nach § 45 Abs. 2 BKAG erhoben wurden (a). Das Eingriffsgewicht wird allerdings nicht dadurch weiter erhöht, dass besonders eingriffsintensive Verarbeitungsmethoden wie beispielsweise eine algorithmenbasierte automatisierte Datenanalyse gestattet wären; es wird vielmehr dadurch gemindert, dass vorliegend nur eine zweckwahrende Verarbeitung nach Maßgabe von § 12 Abs. 1 BKAG verfahrensgegenständlich ist (b).
124 a) Das Eingriffsgewicht von Datenweiterverarbeitungsbefugnissen richtet sich zunächst nach dem Gewicht der vorausgegangenen Datenerhebungseingriffe (vgl. BVerfGE 165, 363 [390 Rn. 54]). Dieses ist umso höher, je eingriffsintensiver die zugrundeliegende Erhebungsmaßnahme war (vgl. zur Abstufung anhand der Eingriffsintensität BVerfGE 141, 220 [269 f. Rn. 105 ff.]). Eingriffsintensivierend wirkt damit vorliegend, dass die personenbezogenen Daten in einem ersten Schritt durch das Bundeskriminalamt im Wege heimlich durchgeführter Befugnisse erhoben wurden, die dabei tief in die Privatsphäre hineinreichen können und berechtigte Vertraulichkeitserwartungen berühren können. Auch wenn sich das Eingriffsgewicht der Erhebungsbefugnisse im Einzelnen unterscheidet, wiegt dieses in der Regel jedenfalls schwer (vgl. BVerfGE 141, 220 [264 f. Rn. 92]; vgl. dazu bereits oben Rn. 99).
125 b) Für die Feststellung des Eingriffsgewichts ist überdies die Art der Datennutzung von Bedeutung, insbesondere, wie die gewonnenen personenbezogenen Informationen weiterverwendet werden und welche Folgen dies für die Betroffenen haben kann (vgl. BVerfGE 65, 1 [45 f.]; 155, 119 [178 f. Rn. 129]; 165, 363 [407 f. Rn. 99] m.w.N.). Insoweit ist das Eingriffsgewicht von § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG dadurch begrenzt, dass die Vorschrift allein die Weiterverarbeitung der Daten im Rahmen ihrer ursprünglichen Zwecke ermöglicht.
126 Die Vorschrift ermächtigt aber nicht zu besonders eingriffsintensiven Verarbeitungsmethoden, was das Eingriffsgewicht erhöhen könnte. Zwar schließt allein der Begriff der Weiterverarbeitung seinem Wortlaut nach auch besonders eingriffsintensive Auswertungsmethoden nicht von vornherein aus. Auch bestimmt allein die bloße Vorstellung des Gesetzgebers von der Reichweite der Befugnis nicht deren Eingriffsgewicht (vgl. BVerfGE 162, 1 [147 Rn. 326]). Allerdings hat der Gesetzgeber § 16 Abs. 1 BKAG erkennbar als Generalermächtigung formuliert (vgl. BT-Drs. 18/11163, S. 97: „Grundnorm“; Graulich, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2. Aufl. [2019], § 16 BKAG Rn. 8), deren Anwendbarkeit durch ihren letzten Halbsatz auch ausdrücklich dahin eingeschränkt wird, dass spezielle Weiterverarbeitungsbefugnisse vorgehen, die ihrerseits an eigenständige Vorgaben geknüpft und durch diese begrenzt sein können. Eine solche Regelungstechnik ist aus dem allgemeinen Polizeirecht hinsichtlich der offen gefassten polizei- und ordnungsrechtlichen Generalermächtigungen bekannt und verfassungsrechtlich im Ausgangspunkt nicht zu beanstanden.
127 Auf eine solchermaßen formulierte Generalklausel dürfen jedoch grundsätzlich nicht solche Eingriffe gestützt werden, die eine erhöhte Eingriffsintensität aufweisen und daher die Schaffung einer speziellen Ermächtigungsgrundlage erfordern. Dies wäre bei einer automatisierten Datenanalyse und -auswertung der Fall, weil diese ein Eigengewicht aufweist, das schon wegen der spezifischen verfassungsrechtlichen Rechtfertigungsanforderungen einer speziellen Ermächtigungsgrundlage bedürfte (vgl. BVerfGE 165, 363 [389 f. Rn. 54, 395 ff. Rn. 66 ff., 400 Rn. 77]). Denn eine automatisierte Datenanalyse und -auswertung ermöglicht breitere und tiefere Erkenntnisse über Personen, kann eine spezifische Fehler- und Diskriminierungsanfälligkeit aufweisen und softwaregestützte Verknüpfungen schwer nachvollziehbar werden lassen (vgl. zu Risiken, aber auch Potenzialen BVerfGE 165, 363 [400 ff. Rn. 77 ff.]). Es ist deshalb davon auszugehen, dass § 16 Abs. 1 BKAG keine Verarbeitungsmethoden mit derartigem potenziellen grundrechtlichen Eigengewicht umfasst.
128 2. § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG wahrt mit diesem Normverständnis die verfassungsrechtlichen Anforderungen. Die Befugnis dient einem legitimen Ziel und ist zu dessen Erreichung geeignet und erforderlich (a). Auch ist sie mit den Anforderungen der Verhältnismäßigkeit im engeren Sinne für eine zweckwahrende Weiterverarbeitung personenbezogener Daten vereinbar (b).
129 a) § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG dient einem legitimen Ziel. Die Vorschrift erlaubt dem Bundeskriminalamt eine Verwendung der von ihm zur Abwehr von Gefahren des internationalen Terrorismus im Sinne des § 5 Abs. 1 S. 2 BKAG erhobenen personenbezogenen Daten zur Wahrnehmung derselben Aufgabe. Ebenso wie die Bereitstellung von wirksamen Aufklärungsmitteln dient auch die Möglichkeit der Datenweiterverarbeitung einem legitimen Ziel und ist für die demokratische und freiheitliche Ordnung von großem Gewicht (dazu oben Rn. 101 f.; vgl. BVerfGE 133, 277 [333 f. Rn. 133]).
130 Die Befugnis ist auch geeignet, da sie dazu beitragen kann, den Gefahren des internationalen Terrorismus wirkungsvoll entgegenzutreten, indem die gewonnenen Kenntnisse auch als Ausgangspunkt für weitere Ermittlungen genutzt werden können. Sie ist zudem erforderlich, weil durch die zweckwahrende Datenweiterverarbeitung relevante Erkenntnisse zur Abwehr des internationalen Terrorismus gewonnen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu erlangen wären.
131 b) § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG ist auch mit dem Grundsatz der Verhältnismäßigkeit im engeren Sinne vereinbar. Dem Eingriffsgewicht für die Betroffenen steht das gewichtige öffentliche Interesse gegenüber, für die Aufklärung und Bekämpfung des internationalen Terrorismus eine effektive Datenweiterverarbeitung zu ermöglichen.
132 Die aus dem Eingriffsgewicht folgenden verfassungsrechtlichen Rechtfertigungsanforderungen der Weiterverarbeitung ergeben sich im Ausgangspunkt aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung (vgl. BVerfGE 141, 220 [324 Rn. 276]; 165, 363 [390 Rn. 54]). Regelmäßig wird so die Verhältnismäßigkeit im engeren Sinne des in der Weiterverarbeitung bereits erhobener Daten liegenden Grundrechtseingriffs gesichert (vgl. BVerfGE 165, 363 [397 Rn. 70]). Vorliegend bedarf es keiner darüber hinausgehenden Rechtfertigungsanforderungen, die etwa für besonders eingriffsintensive Verarbeitungsbefugnisse zu fordern wären (vgl. BVerfGE 165, 363 [389 f. Rn. 54, 395 ff. Rn. 66 ff.]).
133 (aa) Erlaubt der Gesetzgeber die Nutzung solcher Daten über den konkreten Anlass und rechtfertigenden Grund einer Datenerhebung hinaus, muss er hierfür eine eigene Rechtsgrundlage schaffen (vgl. BVerfGE 141, 220 [324 Rn. 277]; st. Rspr). Dabei kann er insbesondere die weitere Nutzung der Daten im Rahmen der ursprünglichen Zwecke erlauben. Eine solche Nutzung kann sich insoweit auf die der Datenerhebung zugrundeliegenden Rechtfertigungsgründe stützen und unterliegt nicht den verfassungsrechtlichen Anforderungen an eine Zweckänderung, sondern lediglich denen an die zweckwahrende Weiternutzung (vgl. BVerfGE 141, 220 [324 ff. Rn. 278 ff.] m.w.N.; 162, 1 [107 Rn. 227]; 165, 363 [390 f. Rn. 57]).
134 Die zulässige Reichweite solcher Nutzungen richtet sich nach der Ermächtigung für die Datenerhebung. Die jeweilige Eingriffsgrundlage bestimmt die zur Datenerhebung ermächtigte Behörde, den Zweck und die Bedingungen der Datenerhebung und definiert damit die erlaubte Verwendung. Die Zweckbindung der auf ihrer Grundlage gewonnenen Informationen beschränkt sich folglich nicht allein auf eine Bindung an bestimmte, jeweilige Datenerhebung maßgeblichen Ermächtigungsgrundlage. Eine weitere Nutzung innerhalb der ursprünglichen Zwecksetzung kommt damit nur seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht wie für die Datenerhebung maßgeblich: Ist diese nur zum Schutz bestimmter Rechtsgüter oder zur Verhütung bestimmter Straftaten erlaubt, so begrenzt dies deren unmittelbare sowie weitere Verwendung auch in derselben Behörde, soweit keine gesetzliche Grundlage für eine Zweckänderung eine weitergehende Nutzung erlaubt (vgl. BVerfGE 141, 220 [324 f. Rn. 279]; 165, 363 [ 390 f. Rn. 57]).
135 Nicht zu den Zweckbindungen, die für jede weitere Nutzung der Daten seitens derselben Behörde im selben Aufgabenkreis zum Schutz derselben Rechtsgüter und zur Verfolgung oder Verhütung derselben Straftaten je neu beachtet werden müssen, gehören grundsätzlich die für die Datenerhebung maßgeblichen Anforderungen an Eingriffsschwellen, wie sie die hinreichend konkretisierte Gefahrenlage im Bereich der Gefahrenabwehr und ein qualifizierter Tatverdacht im Bereich der Strafverfolgung darstellen. Das Erfordernis einer hinreichend konkretisierten Gefahrenlage oder eines qualifizierten Tatverdachts bestimmt den Anlass, aus dem entsprechende Daten erhoben werden dürfen, nicht aber die erlaubten Zwecke, für die die Daten der Behörde dann zur Nutzung offenstehen (vgl. BVerfGE 141, 220 [325 Rn. 280]). Folglich widerspricht es nicht von vornherein dem Gebot einer dem ursprünglichen Erhebungszweck entsprechenden Verwendung, wenn die weitere Nutzung solcher Daten bei Wahrnehmung derselben Aufgabe auch unabhängig von weiteren gesetzlichen Voraussetzungen als Spurenansatz erlaubt wird. Die Behörde kann die insoweit gewonnenen Erkenntnisse zum Schutz derselben Rechtsgüter und im Rahmen derselben Aufgabenstellung – allein oder in Verbindung mit anderen ihr zur Verfügung stehenden Informationen – allgemein und damit unabhängig von konkreten Gefahren oder konkreten Ermittlungsansätzen als Ausgangspunkt für weitere Ermittlungen nutzen. Dies trägt dem Umstand Rechnung, dass sich die Generierung von Wissen – nicht zuletzt auch, wenn es um das Verstehen terroristischer Strukturen geht – nicht vollständig auf die Addition von je getrennten, nach Rechtskriterien formell einoder ausblendbaren Einzeldaten reduzieren lässt. Damit ist keine Datennutzung ins Blaue hinein eröffnet. Vielmehr hat auch eine Verwendung der Daten als Spurenansatz durch die Bindung an die für die Datenerhebung maßgeblichen Aufgaben und die Anforderungen des Rechtsgüterschutzes einen hinreichend konkreten Ermittlungsbezug, den der Gesetzgeber nicht durch weitere einschränkende Maßgaben absichern muss (vgl. BVerfGE 141, 220 [325 f. Rn. 281]; 165, 363 [391 f. Rn. 58]). Die Einhaltung des verfassungsrechtlichen Grundsatzes der Zweckbindung sichert dabei, dass es einen hinreichenden Eingriffsanlass gibt (vgl. BVerfGE 165, 363 [412 Rn. 108]). Die Nutzung als Spurenansatz kann zwar bereits mit Blick auf einen nur potentiellen Informationsgehalt zugelassen werden (vgl. BVerfGE 141, 220 [336 f. Rn. 313]), muss aber immer auf einer Prüfung im Einzelfall basieren und darf nicht etwa dazu dienen, ins Blaue hinein sachliche Anhaltspunkte für eine künftige Begehung von Straftaten überhaupt erst zu generieren (vgl. BVerfGE 165, 363 [432 Rn. 158]). Diese Anforderungen sind erforderlich, aber grundsätzlich auch ausreichend, um eine weitere Nutzung der Daten im Rahmen der Zweckbindung zu legitimieren (BVerfGE 141, 220 [326 Rn. 282]).
136 Weiter reicht die Zweckbindung allerdings für – vorliegend aufgrund der beschränkten Rüge nicht verfahrensgegenständliche – Daten aus Wohnraumüberwachungen und Online-Durchsuchungen: Hier ist jede weitere Nutzung der Daten, auch seitens derselben Behörde im selben Aufgabenkreis zum Schutz derselben Rechtsgüter und zur Verfolgung oder Verhütung derselben Straftaten, nur dann zweckentsprechend, wenn sie auch aufgrund einer den Erhebungsvoraussetzungen entsprechenden dringenden Gefahr (vgl. dazu BVerfGE 162, 1 [134 Rn. 297] m.w.N.) oder im Einzelfall zumindest hinreichend konkretisierten Gefahr (vgl. dazu BVerfGE 141, 220 [272 f. Rn. 112]) erforderlich ist (vgl. BVerfGE 141, 220 [326 Rn. 282]; 165, 363 [392 Rn. 59]).
137 (bb) Der Gesetzgeber kann eine weitere Nutzung der Daten auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben(Zweckänderung); als Ermächtigung zu einer Datennutzung für neue Zwecke unterliegt sie den im Urteil des BVerfG vom 20.4.2016 formuliertenverfassungsrechtlichen Anforderungen an die zweckändernde Weiternutzung von Daten (vgl. BVerfGE 141, 220 [326 ff. Rn. 284 ff.] m.w.N.; siehe auchBVerfGE 165, 363 [392 ff. Rn. 60 ff.]).
138 Informationen, die durch besonders eingriffsintensive Maßnahmen erlangt wurden, können auch nur zu besonders gewichtigen Zwecken genutzt werden. Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung. Für Daten aus eingriffsintensiven Überwachungs- und Ermittlungsmaßnahmen kommt es danach darauf an, ob die entsprechenden Daten nach verfassungsrechtlichen Maßstäben auch für den geänderten Zweck mit vergleichbar schwerwiegenden Mitteln neu erhoben werden dürften. Voraussetzung für eine Zweckänderung ist danach, dass die neue Nutzung der Daten dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen Gewichts dient, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten. Nicht in jedem Fall identisch sind die Voraussetzungen einer Zweckänderung mit denen einer Datenerhebung hingegen hinsichtlich des erforderlichen Konkretisierungsgrads der Gefahrenlage oder des Tatverdachts, also hinsichtlich der Eingriffsschwelle. Verfassungsrechtlich geboten, aber regelmäßig auch ausreichend ist insoweit, dass sich aus den Daten ein konkreter Ermittlungsansatz ergibt (vgl. BVerfGE 141, 220 [326 ff. Rn. 284 ff.]; 165, 363 [393 Rn. 61 f.]).
139 Der konkrete Ermittlungsansatz in diesem Sinne ist ein einzelfallbezogener tatsächlicher Anlass, der sich aus den Daten selbst oder in Verbindung mit weiteren Erkenntnissen der Behörde ergeben muss (vgl. BVerfGE 141, 220 [328 f. Rn. 289, 336 f. Rn. 313]). Allgemeine kriminologische Erwägungen oder Erfahrungssätze reichen daher für sich genommen nicht aus. Vielmehr müssen sich aus den Informationen zureichende tatsächliche Anhaltspunkte für eine Straftatenbegehung oder -aufdeckung ergeben (vgl. BVerfGE 141, 220 [349 Rn. 348]). Der tatsachengestützte Ermittlungsansatz muss hinreichend spezifisch sein, um Rückschlüsse auf eine Straftat von vergleichbarem Gewicht zu ermöglichen, wie sie der ursprünglichen Datenerhebung zugrunde lag, da andernfalls die Einhaltung der Grundsätze der Zweckänderung nicht überprüft werden könnte (vgl. BVerfGE 141, 220 [328 f. Rn. 289, 336 f. Rn. 313]). Dies entspricht für die Strafverfolgung im Wesentlichen dem Anfangsverdacht im strafprozessualen Sinne (vgl. BVerfGE 155, 119 [190 Rn. 153]; vgl. Schulenberg, in: Barczak, BKAG, § 12 Rn. 123 f.; Schwabenbauer, in: Lisken/Denninger, Handbuch des Polizeirechts, 7. Aufl. [2021], Abschnitt G, Rn. 257). Im Bereich der Gefahrenabwehr müssen die Informationen im Einzelfall die Annahme einer zumindest auf mittlere Sicht drohenden Gefahr tragen (vgl. BVerfGE 141, 220 [328 f. Rn. 289 f.]; vgl. Schulenberg, in: Barczak, BKAG, § 12 Rn. 30). Anderes gilt allerdings wie bei der zweckwahrenden Weiterverarbeitung auch hier für Informationen aus Wohnraumüberwachungen oder aus dem Zugriff auf informationstechnische Systeme (siehe oben Rn. 136; vgl. BVerfGE 165, 363 [394 Rn. 64]).
140 cc) Besondere Bedeutung kommt den Löschungsvorgaben zu, mit deren Hilfe der Gesetzgeber die Zweckbindung der Weiterverarbeitungsbefugnisse sichert. Die Regelung von Löschungspflichten gehört zu den übergreifenden Verhältnismäßigkeitsanforderungen. Mit solchen Vorgaben wird gewährleistet, dass eine Verwendung personenbezogener Daten auf die die Datenverarbeitung rechtfertigenden Zwecke begrenzt bleibt und nach Erledigung nicht mehr möglich ist (vgl. BVerfGE 141, 220 [285 f. Rn. 144]). Grundsätzlich sind die erhobenen Daten zu löschen, sobald sie für die festgelegten Zwecke oder den gerichtlichen Rechtsschutz der Betroffenen nicht mehr benötigt werden (BVerfGE 150, 1 [108 Rn. 222]). Die Löschung der Daten ist zur Gewährleistung von Transparenz und Kontrolle zu protokollieren (vgl. BVerfGE 141, 220 [286 Rn. 144]; 154, 152 [265 Rn. 210]).
141 Auch im Falle einer zweckwahrenden Weiterverarbeitung sind die erhobenen Daten daher grundsätzlich zu löschen, nachdem der unmittelbare Anlassfall abgeschlossen und damit der der Erhebungsmaßnahme zugrundeliegende konkrete Zweck erfüllt ist. Danach ist eine zweckwahrende Verarbeitung nicht mehr zulässig. Dies sichern Löschvorschriften ab. Ein Absehen von einer Löschung über den unmittelbaren Anlassfall hinaus kommt nur in Betracht, soweit sich aus den Daten – sei es aus ihnen selbst, sei es in Verbindung mit weiteren Kenntnissen der Behörde – zwischenzeitlich ein konkreter Ermittlungsansatz ergeben hat (vgl. BVerfGE 141, 220 [322 f. Rn. 270]) und damit die Voraussetzungen einer zweckändernden Nutzung vorliegen (siehe vorstehend Rn. 137 ff.; zur Ausnahme der vorsorgenden Speicherung unter engen Voraussetzungen, Rn. 152 ff.).
142 3. Ausgehend von den vorstehenden Maßstäben genügt die zweckwahrende Verarbeitung („weitere Nutzung“) personenbezogener Daten, die zuvor mit besonders eingriffsintensiven Mitteln des § 45 Abs. 2 BKAG erhoben worden sind, nach § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG in Zusammenschau mit den gesetzlichen Löschungsvorgaben den verfassungsrechtlichen Anforderungen.
143 a) Die Eingriffsbefugnis wahrt die verfassungsrechtlichen Anforderungen an eine zweckwahrende Nutzung. Denn soweit die Weiterverarbeitung personenbezogener Daten gerügt ist, die zuvor nach § 45 BKAG erhoben worden sind, sichern die Vorgaben des § 12 Abs. 1 S. 1 BKAG neben der Identität der erhebenden und verarbeitenden Behörde (Bundeskriminalamt), dass die Weiterverarbeitung nur zur Erfüllung derselben Aufgabe (§ 5 Abs. 1 S. 1 und 3 BKAG) und zum Schutz derselben Rechtsgüter oder zur Verfolgung oder Verhütung derselben Straftaten (§ 5 Abs. 1 S. 2 BKAG) erfolgt.
144 Dass § 12 Abs. 1 S. 1 BKAG nicht ausdrücklich im Sinne einer Mindestanforderung auf eine Nutzung der Daten als Spurenansatz verweist oder die Nutzung an eine anderweitige Verarbeitungsschwelle knüpft, ist unbedenklich. Denn § 16 Abs. 1 BKAG setzt voraus, dass die Weiterarbeitung „erforderlich“ sein muss, was gewährleistet, dass die Daten nicht unter der Schwelle im Sinne eines Spurenansatzes mit hinreichendem Ermittlungsbezug genutzt werden können (vgl. auch BVerfGE 165, 363 [432 Rn. 158]). Die in § 12 Abs. 1 S. 1 BKAG niedergelegten Grenzen der zweckwahrenden Weiterverarbeitung gewährleisten zugleich, dass keine Datennutzung ins Blaue hinein eröffnet ist (vgl. BVerfGE 141, 220 [325 f. Rn. 281]; 165, 363 [412 Rn. 108]).
145 Die verfassungsrechtlichen Vorgaben werden auch gewahrt, soweit das Bundeskriminalamt im Rahmen dieser gesetzlichen Vorgaben die zur Abwehr des internationalen Terrorismus erhobenen personenbezogenen Daten so lange zweckwahrend weiterverarbeiten kann, wie der der Datenerhebung zugrundeliegende konkrete Gefahrenabwehrvorgang noch nicht abgeschlossen ist (vgl. zu den konkreten Löschungsvorgaben sogleich Rn. 148 ff.). Denn auf diese Weise kann dem gewichtigen Bedürfnis einer effektiven Terrorismusabwehr durch eine adäquate Bestimmung des Zwecks der Maßnahme Rechnung getragen werden.
146 Der konkrete Zweck kann dabei in Abhängigkeit von der jeweiligen Aufgabe, dem Ermittlungsstand und der Abgrenzbarkeit der Verfahren festgelegt werden. Der Zweck eines Gefahrenabwehrvorgangs muss etwa nicht auf eine Tat im strafprozessualen Sinne (vgl. §§ 155, 264 StPO) beschränkt sein, sondern kann bei terroristischen Gefahren auch in der Bekämpfung einer komplexen kriminellen Struktur – etwa der Zerschlagung einer bestimmten terroristischen Gruppierung – bestehen, muss aber immer den Anforderungen der die Datenerhebung legitimierenden Ermächtigungsgrundlage gerecht werden.
147 Dementsprechend erfolgt nach den Ergebnissen der mündlichen Verhandlung und nach den schriftlichen Stellungnahmen der Abschluss eines Gefahrenabwehrvorgangs ebenso wie dessen Eröffnung durch einen formalen Akt. Ein laufender Vorgang im Rahmen der Abwehr des internationalen Terrorismus nach § 5 BKAG kann komplexe Sachverhalte umfassen und sich über einen gewissen Zeitraum erstrecken, was sich aus den Besonderheiten terroristischer Strukturen und dem praktischen Bedürfnis ergibt, diese aufzuklären (vgl. BVerfGE 141, 220 [325 f. Rn. 281]). Während des laufenden Gefahrenabwehrvorgangs können die insoweit gewonnenen Erkenntnisse zum Schutz derselben Rechtsgüter und im Rahmen derselben Aufgabenstellung als Ausgangspunkt für weitere Ermittlungen dienen, die insbesondere zu einem konkreten Ermittlungsansatz für die Eröffnung eines neuen Gefahrenabwehrvorgangs führen können, der die Voraussetzungen einer zweckändernden Weiterverarbeitung nach § 12 Abs. 2 BKAG erfüllen kann.
148 Der Gesetzgeber hat durch Löschungsvorgaben sichergestellt, dass bei einer Weiterverarbeitung nach § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG der Grundsatz der Zweckbindung gewahrt wird.
149 In Bezug auf die angegriffene Befugnisnorm ergeben sich die Vorgaben zur Löschung personenbezogener Daten gemäß § 1 Abs. 1 S. 1 Nr. 1, Abs. 2 S. 1 und 2 BDSG unmittelbar aus § 75 Abs. 2 BDSG, der wiederum durch § 77 BKAG ergänzt und konkretisiert wird (vgl. BT-Drs. 18/11163, S. 131). § 79 BKAG hat daneben eine spezifisch klarstellende Auffangfunktion für personenbezogene Daten, die mit Maßnahmen zur Abwehr von Gefahren des internationalen Terrorismus oder vergleichbaren Maßnahmen erlangt wurden (vgl. Wilhelm-Robertson, in: Barczak, BKAG, § 79 Rn. 1-3; s.a. Ruthig, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, BKAG, § 77 Rn. 2, § 79 Rn. 1). Bei § 77 BKAG und § 75 BDSG handelt sich um nationale Ausformungen der datenschutzrechtlichen Grundsätze der Datenminimierung und Speicherbegrenzung, die auf unionaler Ebene durch Art. 4 Abs. 1 Buchst. c und d, Art. 16 JI-Richtlinie aufgestellt werden (vgl. BT-Drs. 18/11325, S. 119; Burghardt/Reinbacher, in: BeckOK-DatenschutzR, 46. Ed. [Stand: 1.5.2023], § 75 BDSG Rn. 1; Nolte/Werkmeister, in: Gola/Heckmann, DSGVO – BDSG, 3. Aufl. [2022], § 75 BDSG Rn. 1).
150 Gemäß § 77 Abs. 1 S. 1 BKAG, § 75 Abs. 2 BDSG und § 79 Abs. 1 S. 1 BKAG sind personenbezogene Daten unverzüglich zu löschen, wenn ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist beziehungsweise wenn sie zur Erfüllung des der Erhebungsmaßnahme zugrundeliegenden Zwecks nicht mehr erforderlich sind. Dies verweist auf die verfassungsrechtlichen Grundsätze zur Zweckbindung und genügt den verfassungsrechtlichen Anforderungen (vgl. BVerfGE 141, 220 [322 f. Rn. 270]; 155, 119 [231 f. Rn. 258 f.]). Entsprechend gibt § 77 Abs. 1 S. 1 BKAG eine Erforderlichkeitsprüfung jedenfalls bei der Einzelfallbearbeitung, spätestens aber periodisiert nach Aussonderungsprüffristen (vgl. dazu BVerfGE 141, 220 [323 Rn. 270]) vor, deren Beachtung durch technische Maßnahmen zu gewährleisten ist (§ 77 Abs. 1 S. 3 BKAG).
151 Der Grundsatz der Zweckwahrung wird durch § 79 Abs. 1 S. 1 a.E. BKAG hinreichend gesichert. Danach sind die Daten ausdrücklich nur zu löschen, soweit keine Weiterverarbeitung der Daten nach den Vorschriften des Abschnitts 2 Unterabschnitt 2 erfolgt, zu denen § 16 Abs. 1 BKAG gehört. Die Ergänzung stellt klar, dass eine Löschung über den Anlassfall hinaus bei einer „zulässigen Weiterverarbeitung“ (BT-Drs. 18/11163, S. 132; vgl. auch Ruthig, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, BKAG, § 79 Rn. 2 f.; Wilhelm-Robertson, in: Barczak, BKAG, § 79 Rn. 3) unterbleibt, etwa unter Einhaltung der Voraussetzungen für die zweckändernde Weiterverarbeitung nach § 16 Abs. 1 in Verbindung mit § 12 Abs. 2 BKAG (vgl. zu § 20v Abs. 6 S. 1 BKAG a.F. BVerfGE 141, 220 [322 f. Rn. 270]; vgl. BT-Drs. 18/11163, S. 132). Mit Blick auf die zweckwahrende weitere Verwendung der Daten gemäß § 16 Abs. 1 in Verbindung mit § 12 Abs. 1 S. 1 BKAG kommt ein Absehen von einer Löschung nach Erfüllung des der Erhebungsmaßnahme zugrundeliegenden konkreten Zwecks deshalb nur insoweit in Betracht, als sich aus den Daten konkrete Ermittlungsansätze für die Abwehr von Gefahren des internationalen Terrorismus ergeben (vgl. BVerfGE 141, 220 [322 f. Rn. 270]).
VI.
152 § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1, soweit dieser in Verbindung mit § 13 Abs. 3, § 29 BKAG die Speicherung zuvor erhobener personenbezogener Grunddaten durch das Bundeskriminalamt im polizeilichen Informationsverbund erlaubt, genügt dagegen nicht den verfassungsrechtlichen Anforderungen.
153 § 18 Abs. 1 und 2 in Verbindung mit § 13 Abs. 3, § 29 BKAG erlaubt dem Bundeskriminalamt zur Erfüllung seiner Aufgaben nach § 2 Abs. 1 bis 3BKAG im polizeilichen Informationsverbund, näher bestimmte personenbezogene Daten verschiedener Personenkategorien weiterzuverarbeiten (vgl. zum Begriff Rn. 120). Hier zur Prüfung steht nur die Bereitstellung der Daten in dem Informationsverbund, nicht aber der § 29 Abs. 4 S. 2 BKAG unterfallende Zugriff auf diese Daten. Nach § 2 Abs. 1 bis 3 BKAG unterstützt das Bundeskriminalamt als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei die Polizeien des Bundes und der Länder bei der Verhütung und Verfolgung von Straftaten mitländerübergreifender, internationaler oder erheblicher Bedeutung und unterhält als Zentralstelle einen einheitlichen polizeilichenInformationsverbund als Grundlage für die Datenweiterverarbeitung (vgl. oben Rn. 18).
154 Ungeachtet des tatbestandlich weiten Anwendungsbereichs von § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG ist die Prüfung vorliegend beschränkt. Nicht gegenständlich ist die Weiterverarbeitung solcher personenbezogener Daten, die zuvor mittels einerWohnraumüberwachung oder Online-Durchsuchung gewonnen worden sind. Inwieweit die verfassungsrechtlichen Anforderungen an eine der Speicherung nachfolgende Verwendung der personenbezogenen Daten hier eingehalten sind, muss offen bleiben, da dies nicht zulässig gerügt wordenist.
155 Die durch § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG eröffnete Befugnis zur Speicherung erlaubt Eingriffe in das Grundrecht auf informationelleSelbstbestimmung von mitunter erheblichem Gewicht (1). Die durch diese Vorschrift ermöglichte vorsorgende Speicherung ist unter engenVoraussetzungen, zu denen eine hinreichende Speicherschwelle gehört, rechtfertigungsfähig. Sie wahrt hier aber nicht die verfassungsrechtlichen Vorgaben der Verhältnismäßigkeit im engeren Sinne (2).
156 1. § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG erlaubt die Weiterverarbeitung von zuvor erhobenen oder in sonstiger Weise erlangten personenbezogenen Daten im polizeilichen Informationsverbund und damit Eingriffe in das Grundrecht aufinformationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) von erheblichem Gewicht.
157 a) Generell wird das Gewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung derDaten sowie die Gefahr ihres Missbrauchs bestimmt. Dabei ist unter anderem bedeutsam, wie viele Grundrechtsträger wie intensivenBeeinträchtigungen ausgesetzt sind und unter welchen Voraussetzungen dies geschieht, insbesondere ob diese Personen hierfür einen Anlass gegebenhaben. Maßgebend sind die Zahl der Betroffenen und die Intensität der individuellen Beeinträchtigung im Übrigen. Für das Gewicht derindividuellen Beeinträchtigung ist erheblich, ob die Betroffenen als Personen anonym bleiben, welche persönlichkeitsbezogenen Informationenerfasst werden und welche Nachteile den Grundrechtsträgern aufgrund der Maßnahmen drohen oder von ihnen nicht ohne Grund befürchtet werden.Dabei führt insbesondere die Heimlichkeit einer staatlichen Eingriffsmaßnahme ebenso zur Erhöhung ihrer Intensität wie die faktische Verwehrungvorherigen Rechtsschutzes und die Erschwerung nachträglichen Rechtsschutzes, wenn er überhaupt zu erlangen ist (vgl. BVerfGE 155, 119 [178 f.Rn. 129]; 165, 363 [399 f. Rn. 76] m.w.N.; st. Rspr).
158 Diese allgemeinen Kriterien bestimmen auch bei der hier vorliegenden Ermächtigung zur vorsorgenden Speicherung personenbezogener Daten das Eingriffsgewicht mit und erhalten bei einer solchen teilweise eine spezifische Prägung. Die Speicherung von Daten ist vorsorgend, weil sie nicht zu den Zwecken ihrer Erhebung oder Herstellung erfolgt, ohne dass eine neue Zweckbindung, die zu einer unmittelbaren weiteren Nutzung führt, an ihre Stelle gesetzt wird. Die neu gesetzten Zwecke liegen in der Bereithaltung der Daten für den Fall, dass sie für konkrete Zwecke künftig benötigt werden sollten. Das Besondere dieser Zweckänderung besteht in dem Fehlen einer unmittelbaren konkreten nutzungsorientierten Zwecksetzung zum Zeitpunkt der Speicherung. Zugleich teilt die vorsorgende Speicherung das allgemeine Charakteristikum jeder Speicherung, das darin liegt, dass die betroffenen Daten bereits zuvor durch Erhebung oder in sonstiger Weise in die staatliche Sphäre gelangt sind.
159 Auch das Eingriffsgewicht bei vorsorgenden Speicherungen personenbezogener Daten hängt zunächst ab vom Gewicht der vorausgegangenen Datenerhebungseingriffe und damit von der Herkunft der Daten. Es ist umso höher, je eingriffsintensiver die jeweils zugrundeliegende Erhebungsmaßnahme war (zur Abstufung anhand der Eingriffsintensität BVerfGE 141, 220 [269 f. Rn. 105 ff.]).
160 Maßgeblich geprägt wird die Eingriffsintensität ferner durch Art und Umfang der gespeicherten Daten. Die Art der Daten ist von Bedeutung, weil die Verwendung unterschiedlicher Daten direkt oder mittelbar unterschiedliche Persönlichkeitsrelevanz entfalten kann (vgl. zu einer Unterscheidung besonderer Kategorien personenbezogener Daten beispielsweise Art. 10 JI-RL). Je weniger die zu speichernden Daten der Art und ihrem Umfang nach eingeschränkt sind, umso größer ist die zur Verarbeitung gelangende Datenmenge und umso höher ist tendenziell das Eingriffsgewicht (vgl. BVerfGE 156, 11, [48 Rn. 96]; 165, 363 [401 Rn. 78]; parallel EuGH, Urt. v. 30.1.2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR Sofia, C-118/22, EU:C:2024:97, Rn. 63; EGMR (GK), S. and Marper v. The United Kingdom, Urt. v. 4.12.2008, Nr. 30562/04 u.a., § 103 f.).
161 Es ergibt einen wesentlichen Unterschied, welchen Anlass die betroffene Person zu einer Speicherung gegeben hat (vgl. BVerfGE 165, 363 [399 f. Rn. 76, 403 Rn. 84]). Werden etwa Informationen über (mögliche) Rechtsverstöße gespeichert, ist einzustellen, in welcher Beziehung die betroffenen Personen objektiv zu einem konkreten Fehlverhalten stehen und ob und inwiefern sie einen Eingriff durch ihr Verhalten zurechenbar veranlasst haben (vgl. BVerfGE 165, 363 [400 Rn. 77] m.w.N.). So stellt es für das Eingriffsgewicht einer Speicherung einen Unterschied dar, ob die betroffene Person hinsichtlich einer Straftat verurteilt oder aber lediglich beschuldigt oder verdächtigt wird (vgl. zu einer entsprechenden Unterscheidung anhand von Personenkategorien beispielsweise Art. 6 Buchst. a und b JI-RL; vgl. unter dem Aspekt von Benachteiligungen auch EGMR (GK), S. and Marper v. The United Kingdom, Urt. v. 4.12.2008, Nr. 30562/04 u.a., § 122; Peruzzo and Martens v. Germany, Entscheidung v. 4.6.2013, Kammer V, Nr. 7841/08 und 57900/12, § 43 f.).
162 Bedeutsam für das Eingriffsgewicht ist weiter, wie die gewonnenen personenbezogenen Daten weiterverwendet werden und welche Folgen dies für die Betroffenen haben kann (vgl. BVerfGE 65, 1 [45 f.]; 155, 119 [178 f. Rn. 129]; 165, 363 [407 f. Rn. 99] m.w.N.). Bei einer vorsorgenden Speicherung sind dabei nicht nur die möglichen künftigen Nutzungen zu berücksichtigen und wie viele und welche Grundrechtsträger dabei wie intensiven Beeinträchtigungen ausgesetzt sein können sowie unter welchen Voraussetzungen dies geschehen kann. Es sind darüber hinaus die mit einer vorsorgenden Speicherung verbundenen Besonderheiten einzustellen. Denn die vorsorgende Speicherung schafft einen Datenbestand, der nicht aus sich heraus auf konkrete Zwecke beschränkt ist, dabei aber Möglichkeiten der Verknüpfung von Daten eröffnet und personenbezogen auf potentiell sicherheitsrelevante Bezüge hinweisen kann. Dies wiederum kann zur Erstellung umfassenderer Persönlichkeitsbilder beitragen und erhöht die Wahrscheinlichkeit, von sicherheitsbehördlichen Maßnahmen adressiert zu werden. Die Regelung der Speicherzwecke hat deshalb Einfluss auf das Eingriffsgewicht. Je spezifischer die Zwecke, denen die Speicherung dient (Speicherzwecke), gefasst sind, umso geringer ist das Eingriffsgewicht.
163 Im Hinblick auf föderale polizeiliche Datenplattformen verschiedener Behörden ist einzustellen, welche und wie viele Akteure beteiligt sind und welchen Voraussetzungen der Datenzugriff unterliegt (vgl. BVerfGE 133, 277 [323 Rn. 112 f.]; 165, 363 [404 Rn. 89]; EGMR, Gardel v. France, Urt. v. 17.12.2009, Kammer V, Nr. 16428/ 05, § 70). Insofern wirkt eine Speicherung in einem Informationsverbund, auf den viele Akteure zugreifen können, eingriffsverstärkend.
164 Die Eingriffsintensität bestimmt sich schließlich auch maßgeblich nach der Speicherdauer. Je länger die Speicherung und damit die weitere Nutzungsmöglichkeit der personenbezogenen Daten andauert, desto intensiver ist der Eingriff in das Grundrecht auf informationelle Selbstbestimmung (vgl. BVerfGE 125, 260 [322]).
165 b) Nach diesen Maßstäben ist das Eingriffsgewicht der Speicherung personenbezogener Daten nach § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG erheblich, bei fehlender Begrenzung von Speicherung und Verwendung schwerwiegend.
166 Eingriffsintensivierend wirkt sich aus, dass schon die vorsorgende Speicherung nach § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG regelhaft eine zweckändernde Weiterverarbeitung darstellt. Denn in den meisten Fällen werden personenbezogene Daten zum Zweck der Verhütung und Verfolgung von Straftaten gespeichert werden, die ursprünglich – zumeist von anderen Behörden oder Dritten – zu anderen konkreten Zwecken erhoben worden sind (vgl. zu den diesbezüglichen Erhebungsbefugnissen des Bundeskriminalamts §§ 9 ff. BKAG). Dementsprechend wirkt eingriffsverstärkend, dass die Speicherung losgelöst vom ursprünglichen konkreten Erhebungszweck für noch nicht konkret bekannte künftige Zwecke erfolgt.
167 Die Speicherung hat vorliegend mit Blick auf die Herkunft der personenbezogenen Daten ein erhöhtes Eingriffsgewicht, soweit diese zuvor mittels besonders eingriffsintensiver Überwachungsmaßnahmen erhoben worden sind. Zwar dürfte ein Großteil der in § 18 Abs. 2 BKAG genannten Daten auch ohne eingriffsintensive Maßnahme gewonnen werden können. Dies ist jedoch nicht zwangsläufig der Fall.
168 Mit Blick auf die Art und den Umfang der zu speichernden personenbezogenen Daten wird das Eingriffsgewicht durch die Vorgaben in § 18 Abs. 2 Nr. 1 BKAG beschränkt. Gespeichert werden können im gerügten Umfang danach von Beschuldigten nur die Grunddaten und Informationen betreffend die kriminalaktenführende Polizeidienststelle, die Kriminalaktennummer, die Tatzeiten, die Tatorte sowie die Tatvorwürfe durch Angabe der gesetzlichen Vorschriften und die nähere Bezeichnung der Straftaten. Die Grunddaten sollen der Identifizierung dienen und umfassen deswegen insbesondere Namen, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit und Anschrift der betroffenen Personen (vgl. § 20 S. 2 Nr. 1 BKAG). Diesen Daten kommt eine nicht unerhebliche, aber beschränkt bleibende Persönlichkeitsrelevanz zu.
169 § 18 Abs. 1 BKAG grenzt zudem den von einer Speicherung betroffenen Personenkreis ein und differenziert dabei zumindest im Ausgangspunkt nach verschiedenen Personenkategorien. Die Eigenschaft als Beschuldigter nach § 18 Abs. 1 Nr. 2 BKAG setzt in Anlehnung an das strafprozessuale Verständnis in der Regel voraus, dass gegen den Betroffenen eine Strafverfolgungsbehörde formal ein strafrechtliches Ermittlungsverfahren eingeleitet hat. Die Beschuldigteneigenschaft kann aber auch durch einen anderen Willensakt der Strafverfolgungsbehörden begründet werden (vgl. Schmitt, in: Meyer-Goßner/Schmitt, StPO, 67. Aufl. [2024], Einl. Rn. 76). Demgegenüber knüpft der Begriff des Verurteilten in § 18 Abs. 1 Nr. 1 BKAG an Art. 6 Buchst. b JI-RL an und entspricht den in § 4 des Bundeszentralregistergesetzes geregelten Verurteilungen, die eine gerichtliche Feststellung eines Fehlverhaltens voraussetzen. Ausgehend hiervon ist eingriffsintensivierend bei § 18 Abs. 1 Nr. 2 BKAG zu berücksichtigen, dass es im Gegensatz etwa zu Verurteilten bei Beschuldigten an einem gerichtlich festgestellten Anlass einer Speicherung fehlen kann. Zudem können Beschuldigte einem erheblichen Informationsdefizit unterliegen, da sie nicht notwendigerweise von gegen sie gerichteten Erhebungsmaßnahmen, entsprechenden Weiterverarbeitungen und dem Status als Beschuldigter erfahren (vgl. § 170 Abs. 2 S. 2 StPO).
170 Aufgrund der Heimlichkeit der vorsorgenden Speicherung ist die Erlangung nachträglichen Rechtsschutzes erheblich eingeschränkt, was das Eingriffsgewicht erhöht.
171 Für die Beurteilung der Eingriffsintensität zu gewichten sind auch die weitreichenden Verwendungsmöglichkeiten der gespeicherten Daten durch eine Vielzahl von Behörden (vgl. § 29 Abs. 3 BKAG). Zwar ist das Bundeskriminalamt als Zentralstelle im Wesentlichen auf die Wahrnehmung von Koordinationsaufgaben beschränkt (vgl. BVerfGE 110, 33 [51]). Polizeiliche Aufgaben der Gefahrenabwehr und Strafverfolgung sind insoweit nicht übertragen, sondern werden dort nur koordiniert und informationell verklammert (vgl. BVerfGE 155, 119 [212 Rn. 209]). Neben der Auswertung durch das Bundeskriminalamt im Rahmen seiner Zentralstellenaufgabe (vgl. § 2 Abs. 2 Nr. 1 BKAG) und einer entsprechenden Unterrichtung der Strafverfolgungsbehörden (vgl. § 2 Abs. 2 Nr. 2 BKAG) kann die Weiterverarbeitung aber auch auf eine Kooperation im Rahmen des polizeilichen Informationsverbunds gerichtet sein. Im Rahmen dieses Datenaustauschs, an dem das Bundeskriminalamt nach Maßgabe der §§ 29 und 30 BKAG teilnimmt (§ 13 Abs. 3 BKAG), erhalten aber weitere Sicherheitsbehörden unter den Anforderungen des § 29 Abs. 4 S. 2 BKAG – insbesondere spezifischer Kennzeichnungspflichten (§ 14 BKAG) und Zugriffsberechtigungen (§ 15 BKAG) – auf einen mitunter erheblichen Teil der personenbezogenen Daten Zugriff. Hier erhöhen die erleichterten Zugriffsmöglichkeiten der teilnehmenden Behörden die Eingriffsintensität. Dabei sind nach § 29 Abs. 3 BKAG außer dem Bundeskriminalamt und Landeskriminalämtern zur Teilnahme berechtigt: sonstige Polizeibehörden der Länder, die Bundespolizei, die Polizei beim Deutschen Bundestag, mit der Wahrnehmung grenzpolizeilicher Aufgaben betraute Behörden der Zollverwaltung, die Zollfahndungsämter, das Zollkriminalamt und die mit der Steuerfahndung betrauten Dienststellen der Landesfinanzbehörden. Nicht teilnahmeberechtigt sind die Nachrichtendienste.
172 In diesem Rahmen kann bereits die Speicherung im polizeilichen Informationsverbund als Beschuldigter mit seinen Grunddaten nachteilige Konsequenzen haben. Die Speicherung kann auf den unmittelbaren Austausch von Erkenntnissen gerichtet sein und entsprechende Einträge können gegenüber den teilnehmenden Behörden auf sicherheitsrelevante Bezüge hinweisen. Damit kann die Speicherung in letzter Konsequenz auf operative Maßnahmen gerichtet sein oder jedenfalls die Wahrscheinlichkeit sicherheitsbehördlicher Maßnahmen gegen die Betroffenen deutlich erhöhen.
173 Eingriffsverstärkend wirkt zudem in der konkreten Ausgestaltung, dass der Gesetzgeber auch angesichts der Zweckbestimmung einer künftigen Verhütung und Verfolgung bestimmter Straftaten neben den allgemeinen Löschungsvorgaben keine weitergehenden ausdifferenzierten Begrenzungen hinsichtlich der Speicherdauer der Daten getroffen hat. Damit können Daten mitunter über sehr lange Zeiträume gespeichert werden, ohne dass dabei deutlicher anhand des Gewichts der zu verhütenden oder aufzuklärenden Straftaten differenziert würde.
174 Angesichts dieses erheblichen Eingriffsgewichts wahrt § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG nicht die verfassungsrechtlichen Anforderungen. Zwar dient die Vorschrift einem legitimen Ziel und ist zu dessen Erreichung geeignet und erforderlich (a). Auch ist die ermöglichte vorsorgende Speicherung der von ihr umfassten Daten im polizeilichen Informationsverbund unter engen Voraussetzungen rechtfertigungsfähig. In ihrer konkreten Ausgestaltung ist sie indes mit Anforderungen der Verhältnismäßigkeit im engeren Sinne unvereinbar, da es an einer hinreichend normierten Speicherungsschwelle und den gebotenen Vorgaben zur Speicherdauer fehlt (b).
175 a) Die vorsorgende Speicherung muss einem legitimen Ziel dienen, geeignet und erforderlich sein (vgl. dazu Rn. 90).
176 § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG dient einem legitimen Ziel. Die Befugnis ermöglicht dem Bundeskriminalamt die sachgerechte Erfüllung seiner Aufgaben als Zentralstelle nach § 2 Absätze 1 bis 3 BKAG, die ihrerseits auf eine effektive und zügige Strafverfolgung und Gefahrenabwehr durch die Sicherheitsbehörden gerichtet sind (vgl. auch BT-Drucks. 18/11163, S. 2, 76). Im Rahmen dieser Zentralstellenaufgaben unterstützt das Bundeskriminalamt die Polizeibehörden bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung (§ 2 Abs. 1 BKAG). Zur Wahrnehmung dieser Aufgabe hat es insbesondere alle hierfür erforderlichen Informationen zu sammeln und auszuwerten (§ 2 Abs. 2 Nr. 1 BKAG) sowie die Strafverfolgungsbehörden des Bundes und der Länder unverzüglich über die sie betreffenden Informationen und die in Erfahrung gebrachten Zusammenhänge von Straftaten zu unterrichten (§ 2 Abs. 2 Nr. 2 BKAG). Gleichzeitig unterhält es als Zentralstelle den einheitlichen polizeilichen Informationsverbund, an dem das Bundeskriminalamt nach Maßgabe der §§ 29 und 30 BKAG teilnimmt (§ 13 Abs. 3 BKAG). Die Schaffung eines Informationsverbundes der Polizeien von Bund und Ländern gewährleistet einen zielführenden und zügigen Austausch der Erkenntnisse zwischen den Sicherheitsbehörden (vgl. auch BT-Drucks. 18/11163, S. 2, 76). Die vorsorgende Speicherung dient im Rahmen dieses Zwecks dazu, die Möglichkeit zu schaffen, Zusammenhänge zwischen solchen Straftaten im Sinne von § 2 Abs. 1 BKAG bei ihrem zeitlich gestaffelten Auftreten zu erkennen.
177 Zur Erreichung dieses legitimen Zwecks ist die Befugnis zur Datenweiterverarbeitung nach § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG auch geeignet und erforderlich. Die Regelung ist zur Zweckerreichung geeignet, da die Verhütung und Verfolgung von Straftaten erleichtert wird, wenn Daten und Erkenntnisse gesammelt, verdichtet und effektiv unter den berechtigten Sicherheitsbehörden ausgetauscht werden können. Auf diese Weise kann differenziert Informationsproblemen unter Wahrung der gebotenen Organisationsordnung entgegengetreten werden, die in einem föderalen Staat jedenfalls nicht vollständig auf organisatorischer Ebene gelöst werden können und sollen (vgl. BVerfGE 133, 277 [332 f. Rn. 131]). Die vorsorgend zu speichernden Grunddaten der Beschuldigten bilden dabei die entscheidenden Faktoren für die zweifelsfreie, schnelle und effektive Identifizierung der betreffenden Person (vgl. BT-Drs. 18/11163, S. 99). Die Befugnis ist auch erforderlich, da die Zusammenarbeit der Polizeien von Bund und Ländern mithilfe der Datenweiterverarbeitung durch das Bundeskriminalamt im Rahmen der Zentralstellenaufgaben auf andere, grundrechtsschonendere Weise nicht gleichermaßen wirksam zu erreichen wäre. Insbesondere ist im Vergleich zu dem geschaffenen polizeilichen Informationsverbund kein milderes, gleich geeignetes Mittel ersichtlich. Die ebenfalls ermöglichte Datenübermittlung im Einzelfall oder der Zugriff auf andere partielle Datenbanken (beispielsweise das Bundeszentralregister) sind nicht gleich wirksam. Vor allem sind die eigenen Zugriffsund Verarbeitungsrechte der teilnehmenden Behörden für eine schnelle Verfügbarkeit der Daten und damit effektive Kriminalitätsbekämpfung notwendig. Da gerade Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung aufgrund der verflochtenen Handlungszusammenhänge mitunter schwer zu erfassen sind, hängt der Erfolg einer wirksamen Aufgabenwahrnehmung der Sicherheitsbehörden in besonderer Weise davon ab, dass wichtige Informationen, die bei einer Behörde anfallen, auch für andere Behörden erschlossen werden und durch das Zusammenführen und Abgleichen der verschiedenen Daten aus diffusen Einzelerkenntnissen aussagekräftige Informationen und Lagebilder werden (vgl. BVerfGE 133, 277 [333 Rn. 132]).
178 b) Nicht zu vereinbaren ist die Speicherung nach § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG in ihrer konkreten Ausgestaltung hingegen mit den Anforderungen der Verhältnismäßigkeit im engeren Sinne.
179 aa) Die Verhältnismäßigkeit im engeren Sinne verlangt, dass die Schwere der gesetzgeberischen Grundrechtsbeschränkung bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der sie rechtfertigenden Gründe steht (vgl. BVerfGE 141, 220 [267 Rn. 98]; 148, 40 [57 f. Rn. 49]). Dabei ist ein angemessener Ausgleich zwischen dem Eingriffsgewicht der Regelung und dem verfolgten gesetzgeberischen Ziel, zwischen Individual- und Allgemeininteresse herzustellen (vgl. BVerfGE 100, 313 [375 f.]; 133, 277 [322 Rn. 109]; stRspr). Geboten hierfür ist eine Ausgestaltung, die dem Eingriffsgewicht differenzierend und hinreichend Rechnung trägt.
180 Die vorsorgende Speicherung stellt eine Zweckänderung dar (1). Sie muss an eine eindeutig erkennbare Zweckbestimmung geknüpft sein (2). Weiter sind Anforderungen an die Eingriffsschwellen, hier in Form von Speicherschwellen, zu stellen (3). Aufgrund der weiten Zielsetzung bedarf es spezifischer Begrenzungen der Speicherdauer (4). Schließlich muss der Gesetzgeber klare Verwendungsregeln und differenzierte organisatorische und verfahrensrechtliche Anforderungen sowie adäquate Kontrollmöglichkeiten vorsehen (5).
181 (1) Die vorsorgende Speicherung stellt eine Zweckänderung dar. Eine solche bedarf als Grundrechtseingriff einer verfassungsrechtlichen Rechtfertigung, insbesondere ihrerseits einer gesetzlichen Grundlage (vgl. BVerfGE 141, 220 [324 Rn. 277]). Sie darf allerdings nicht zu einer Umgehung der verfassungsrechtlichen Vorgaben für eine Datenübermittlung führen, auf die die Grundsätze der hypothetischen Datenneuerhebung Anwendung finden.
182 Für eine verfassungsrechtliche Rechtfertigung der vorsorgenden Speicherung erforderlich sind jedenfalls die Festlegung angemessener Speicherzwecke und Speicher schwellen sowie die Bestimmung einer angemessenen Speicherdauer.
183 (2) Die Entkoppelung der vorsorgenden Speicherung von den konkreten Zweckbestimmungen der Erhebung und einer späteren konkreten Nutzung (Rn. 158) erfordert die Festlegung hinreichend gewichtiger, konkret benannter Zwecke für die Speicherung selbst. Diese Speicherzwecke müssen der künftigen Nutzung einen festen Rahmen vorgeben. Der Staat darf nicht etwa alle Daten, die er rechtmäßig erhoben oder geschaffen hat, über den primären Zweck hinaus mit der Begründung vorsorgend speichern, die Daten könnten künftig noch einmal benötigt werden und der gebotene Schutz könne in die Ausgestaltung der zulässigen künftigen Nutzung verlagert werden. Unzulässig wäre es daher, unabhängig von solchen Zweckbestimmungen einen Datenvorrat zu schaffen, dessen Nutzung je nach Bedarf und politischem Ermessen der späteren Entscheidung verschiedener staatlicher Instanzen überlassen bleibt. Die Bereitstellung eines solchen seiner Zwecksetzung nach offenen Datenvorrats würde den notwendigen Zusammenhang zwischen Speicherung und Speicherungszweck aufheben und damit auch die zentrale datenschutzrechtliche Freiheitssicherung durch die Zweckbindung. Auch wäre die Tragweite für die Bürgerinnen und Bürger nicht vorhersehbar (vgl. BVerfGE 125, 260 [345 f., 355 f.]; 155, 119 [180 Rn. 131]).
184 (3) Für die Bestimmung der Speicherschwelle muss der Gesetzgeber neben Herkunft, Art und Umfang der Daten insbesondere berücksichtigen, dass sich die Speicherung auch im Einzelfall an den festgelegten Speicherzwecken messen lassen muss. Die Speicherschwelle muss den Zusammenhang zwischen den vorsorgend gespeicherten personenbezogenen Daten und der Erfüllung des Speicherzwecks in verhältnismäßiger Weise absichern und den spezifischen Gefahren der vorsorgenden Speicherung angemessen begegnen.
185 Bei ihrer Bestimmung sind daher zunächst die Herkunft, also etwa die Erhebungsmethoden, aber auch Art und Umfang der Daten zu berücksichtigen und in Relation zu den mit der Speicherung letztlich verfolgten Zwecken zu setzen. Deren Angemessenheit muss die Besonderheit der vorsorgenden Speicherung einbeziehen. Dies erfordert insbesondere das Bestehen einer hinreichenden Wahrscheinlichkeit dafür, dass die vorsorgend gespeicherten Daten zur Erfüllung der mit der Speicherung letztlich verfolgten Zwecke benötigt werden.
186 Bei der Speicherung von Daten für die Verhütung und Verfolgung vom Speicherzweck erfasster Straftaten ist dies bei personenbezogenen Daten nur gegeben, wenn eine hinreichende Wahrscheinlichkeit dafür besteht, dass die Betroffenen eine strafrechtlich relevante Verbindung zu möglichen Straftaten aufweisen werden und gerade die gespeicherten Daten zu deren Verhütung und Verfolgung angemessen beitragen können. Diese Prognosen müssen sich auf zureichende tatsächliche Anhaltspunkte stützen. Als taugliche Prognosekriterien können insbesondere die Art, Schwere und Begehungsweise der vormaligen Tat sowie die Persönlichkeit des Betroffenen und sein bisheriges strafrechtliches Erscheinungsbild in Frage kommen. Von Bedeutung wird angesichts der allgemeinen fachwissenschaftlichen Erkenntnisse zu Kriminalprognosen regelmäßig sein, ob die Person wiederholt und in welchem Ausmaß sie straffällig geworden ist. Relevant wird auch der Zeitraum sein, während dessen sie strafrechtlich nicht (mehr) in Erscheinung getreten ist (vgl. auch EGMR, P. N. gegen Deutschland, Urt. v. 11.6.2020, Kammer V, Nr. 74440/17, u.a. §§ 76 ff.; EuGH, Urt. v. 30.1.2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia, C-118/22, EU:C:2024:97, Rn. 60 f., 67). Die Wahrscheinlichkeit kann personenbezogen, phänomenbezogen oder tatbezogen begründbar sein. So könnte etwa eine Ausrichtung an Delikts-/Phänomenbereichen erfolgen, wie beispielsweise Terrorismus, Organisierte Kriminalität, Schleusung, Menschenhandel, Ausbeutung, Waffen- und Sprengstoffkriminalität, Gewaltdelikte/gemeingefährliche Straftaten, Rauschgiftkriminalität, Cyberkriminalität, Eigentumskriminalität/Vermögensdelikte, Sexualdelikte, Arzneimittelkriminalität, Falschgeldkriminalität, Geldwäsche, Korruption, Wirtschafts- und Umweltkriminalität und politisch motivierte Kriminalität.
187 (4) Für die verfassungsrechtliche Rechtfertigung der vorsorgenden Speicherung personenbezogener Daten bedarf es zudem der gesetzlichen Regelung einer angemessenen Speicherdauer.
188 Grundsätzlich müssen personenbezogene Daten gelöscht werden, sobald sie für die zuvor festgelegten Zwecke oder den gerichtlichen Rechtsschutz der Betroffenen nicht länger benötigt werden (vgl. oben Rn. 140 f.). Dies gewährleistet im Ausgangspunkt, dass die Daten nicht länger gespeichert werden, als es für die Zwecke, für die sie gespeichert wurden, erforderlich ist (vgl. auch EuGH, Urt. v. 30.1.2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia, C-118/22, EU:C:2024:97, Rn. 43; Art. 4 Abs. 1 Buchstabe e JI-RL; EGMR (GK), S. and Marper v. The United Kingdom, Urt. v. 4.12.2008, Nr. 30562/04 u.a., § 107) und die Speicherdauer der Daten auf ein verfassungsrechtlich zulässiges Maß beschränkt bleibt.
189 Die Dauer der zulässigen Speicherung wird insbesondere geprägt durch das Eingriffsgewicht (Rn. 157 ff.), die Belastbarkeit der Prognose in der Zeit sowie durch andere sich aus dem Grundsatz der Verhältnismäßigkeit ergebende Gesichtspunkte. Die Prognose verliert über die Zeit ohne Hinzutreten neuer relevanter Umstände grundsätzlich an Überzeugungskraft (vgl. auch EuGH, Urt. v. 30.1.2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia, C-118/22, EU:C:2024:97, Rn. 60 f.; EGMR, Catt v. the United Kingdom, Urt. v. 24.1.2019, Kammer I, Nr. 43514/15, §§ 119 f.). Die verfassungsrechtlich gebotene kompensatorische Einhegung einer Befugnis zur vorsorgenden Speicherung gebietet daher ein Regelungskonzept, das entsprechend diesen Gesichtspunkten differenzierte Prüfungs- und Aussonderungsfristen setzt. Auch muss die vorsorgende Speicherung grundsätzlich zeitlich begrenzt sein.
190 Es obliegt dem Gesetzgeber, unter Berücksichtigung seiner Delegationsbefugnisse (vgl. BVerfGE 150, 1 [96 ff. Rn. 190 ff.] m.w.N.) die entsprechenden Regelungen einschließlich der notwendigen prozeduralen Sicherungen hierfür zu treffen.
191 (5) Unerlässliche Voraussetzung für die Verfassungsmäßigkeit der Speicherbefugnis sind weiterhin klar normierte Verwendungsregeln (vgl. BVerfGE 155, 119 [179 f. Rn. 130 f.]; 125, 260 [327 f.]), die insbesondere den im Urteil des BVerfG vom 20.4.2016 formulierten verfassungsrechtlichen Anforderungen an die zweckändernde Weiternutzung personenbezogener Daten genügen müssen (vgl. BVerfGE 141, 220 [326 ff. Rn. 284 ff.] m.w.N.).
192 Der Verhältnismäßigkeitsgrundsatz stellt zudem insbesondere auch bei der Speicherung personenbezogener Daten Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle (siehe bereits Rn. 90; vgl. BVerfGE 141, 220 [282 Rn. 134] m.w.N.; st. Rspr) sowie an die Gewährleistung der Datensicherheit (vgl. BVerfGE 155, 119 [182 Rn. 135]). Für die vorsorgende Speicherung im polizeilichen Informationsverbund gehören dazu klare Zugriffsregeln, die sicherstellen, dass nur für den Spei- cherzweck zuständige Mitarbeiterinnen und Mitarbeiter der Polizei Zugriff haben (vgl. hierzu etwa § 15 Abs. 3 S. 2 und 3 BKAG, BT-Drs. 18/11163, S. 97).
193 (bb) § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG genügt diesen verfassungsrechtlichen Anforderungen nicht. Die Befugnis ist mit dem Grundsatz der Verhältnismäßigkeit im engeren Sinne unvereinbar. Es fehlt an einer hinreichend normierten Speicherschwelle und den gebotenen Vorgaben zur Speicherdauer. Ob darüber hinaus den Gefahren der vorsorgenden Speicherung von mit besonders eingriffsintensiven Methoden erhobenen personenbezogenen Daten hinreichend begegnet wurde (vgl. dazu BVerfGE 133, 277 [373 f. Rn. 226]; 141, 220 [323 Rn. 274]), bedarf deshalb hier keiner Entscheidung.
194 (1) § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG erlaubt eine vorsorgende Speicherung personenbezogener Daten ohne Bindung an ihren vorherigen Zweck. Für die darin liegende Zweckänderung bildet die Vorschrift eine gesetzliche Grundlage. Soweit sie die Speicherung regelt, führt sie für sich genommen auch nicht zu einer Umgehung der Anforderungen des Grundsatzes der hypothetischen Datenneuerhebung; der verfassungsrechtlichen Beurteilung anderer Weiterverarbeitungen bedarf es hier nicht.
195 (2) § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 in Verbindung mit § 13 Abs. 3, § 29 BKAG enthält für die Speicherung personenbezogener Daten zu Zwecken künftiger Straftatenverhütung und -verfolgung keine hinreichende Speicherschwelle. Die Norm lässt für die vorsorgende Speicherung allein die Beschuldigteneigenschaft genügen. Insbesondere ist eine Negativprognose fachrechtlich nicht vorgesehen. Der Status des Beschuldigten ist auch jenseits der Fälle des § 18 Abs. 5 BKAG schon mit Unsicherheiten hinsichtlich der Beziehung zur vorgeworfenen Straftat verbunden und vermag deshalb für sich allein erst recht keinen belastbaren Schluss auf die hinreichende Wahrscheinlichkeit einer relevanten Beziehung zu anderen zukünftig zu verfolgenden oder zu verhütenden Straftaten zu tragen.
196 Zwar hat der Gesetzgeber einzelne Aspekte einer solchen Prognose sowohl für die Tatverdächtigen und Anlasspersonen im Sinne des § 18 Abs. 1 Nr. 3 und 4 BKAG hinsichtlich ihrer Grunddaten berücksichtigt als auch nach § 18 Abs. 2 Nr. 2 BKAG für Beschuldigte hinsichtlich ihrer weiteren personenbezogenen Daten. Eine Übertragung dieser Speicherschwelle für den vorliegenden Anwendungsfall scheidet aber aufgrund des in dem eindeutigen Wortlaut zum Ausdruck gekommenen gesetzgeberischen Willen aus (vgl. dazu BVerfG, Beschl. des Ersten Senats v. 21.11.2023 – 1 BvL 6/21 -, Rn. 67 ff.). Auch wenn die Praxis des Bundeskriminalamts prognostische Elemente vor einer Speicherung berücksichtigt, ist für die verfassungsrechtliche Beurteilung der Befugnis deren rechtliche Reichweite und nicht eine Behördenpraxis maßgeblich (vgl. BVerfGE 162, 1 [147 Rn. 326]).
197 (a) Den verfassungsrechtlichen Anforderungen wird auch nicht dadurch entsprochen, dass eine Speicherung nach § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG die Prüfung der Erforderlichkeit im Einzelfall voraussetzt. Eine derartige Prüfung gebietet § 47 Nr. 3 BDSG, nach dem personenbezogene Daten für das Erreichen des Verarbeitungszwecks unter anderem erforderlich sein müssen. Die Erforderlichkeitsprüfung im Einzelfall gehört zu den in § 47 BDSG normierten allgemeinen Grundsätzen für die Verarbeitung personenbezogener Daten, die auch das Bundeskriminalamt bei Weiterverarbeitungsschritten wie der Speicherung von Daten grundsätzlich zu beachten hat. Ausgeschlossen wäre seine Anwendung nur, soweit das Bundeskriminalamtgesetz eine Vollregelung zur bereichsspezifischen Verarbeitung personenbezogener Daten enthielte. Eine solche Vollregelung hat das Bundeskriminalamtgesetz für die Datenweiterverarbeitung aber nicht getroffen (vgl. auch Wolf-Rüdiger/Schenke/Graulich/Ruthig, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2. Aufl. [2019], Einführung Rn. 27).
198 Auch die danach vorzunehmende Prüfung der Erforderlichkeit im Einzelfall kann aber mangels näher bestimmter Vorgaben nicht hinreichend gewährleisten, dass den Anforderungen einer spezifischen Negativprognose Rechnung getragen wird. Denn eine nicht näher angeleitete Prüfung der Erforderlichkeit genügt in ihrer Offenheit nicht dem verfassungsrechtlich gebotenen Differenzierungsgrad.
199 (b) Eine hinreichende Schwelle für die Speicherung nach § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG lässt sich auch nicht durch Rückgriff auf die Vorgaben des § 12 Abs. 2 BKAG gewinnen. Denn dem Bundeskriminalamtgesetz kann nicht im Wege der anerkannten Auslegungsmethoden entnommen werden, dass die Voraussetzungen von § 12 Abs. 2 BKAG bei der vorliegenden Speicherung zu prüfen sind. Im Gegensatz zum Wortlaut des § 16 Abs. 1 BKAG soll nach § 18 Abs. 1 Nr. 2, Abs. 2 Nr. 1 BKAG eine Weiterverarbeitung, also insbesondere eine Speicherung zuvor erhobener personenbezogener Daten, nicht ausdrücklich „nach Maßgabe des § 12“ BKAG erfolgen. Auch systematische Erwägungen streiten nicht für eine Anwendbarkeit der Vorschrift. Überdies wird § 12 BKAG nicht in den Ausführungen der Begründung des Gesetzesentwurfs zu § 18 BKAG erwähnt (vgl. BT-Drs. 18/11163, S. 99 ff.). Dass das Kriterium der hypothetischen Datenneuerhebung in § 12 Abs. 2 BKAG als allgemeiner Grundsatz formuliert sein soll, der bei jeder Datenverarbeitung durch das Bundeskriminalamt – unabhängig von der jeweiligen Eingriffsintensität der ursprünglichen Erhebungsmaßnahme – zu beachten sei (vgl. BT-Drs. 18/ 11163, S. 92), rechtfertigt kein anderes Ergebnis. Insbesondere ist nicht zu erkennen, dass der Gesetzgeber bereits jede zweckändernde Speicherung personenbezogener Daten im Rahmen der Zentralstellenaufgaben vom Erfordernis des Vorliegens konkreter Ermittlungsansätze abhängig machen wollte.
200 (3) Überdies fehlt es an einem hinreichend ausdifferenzierten Regelungskonzept zur Speicherdauer. Die vorhandenen Regelungen in § 75 Abs. 2 und 4 BDSG und § 77 Abs. 1 BKAG genügen diesen Anforderungen nicht. Nach § 75 Abs. 2 BDSG sind personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist. Zudem enthält § 75 Abs. 4 BDSG die Pflicht, angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden. Ob gespeicherte personenbezogene Daten zu löschen sind, überprüft das Bundeskriminalamt danach zuvörderst im Rahmen einer durch Gesetz oder Verordnung nicht hinreichend angeleiteten Einzelfallbearbeitung.
201 An diesem Defizit vermögen auch etwaige Vorgaben aus dem als „Verschlusssache – nur für den Dienstgebrauch“ eingestuften und im hiesigen Verfahren nicht vorgelegten Leitfaden des Bundeskriminalamts für ein Löschkonzept nichts zu ändern.
202 Zwar sieht § 77 Abs. 1 S. 1 BKAG zeitlich festgelegte Fristen für die Prüfung der Löschungspflichten vor. Diese Aussonderungsprüffristen dürfen bei Erwachsenen zehn Jahre nicht überschreiten, wobei nach Zweck der Speicherung sowie Art und Schwere des Sachverhalts zu unterscheiden ist (vgl. § 77 Abs. 1 Satz 2 BKAG).
203 Allerdings genügt dies allein nicht den Anforderungen an ein durch den Gesetzgeber auszugestaltendes Regelungskonzept. Es bleibt hier weiterhin dem Bundeskriminalamt überlassen, durch eigene innerbehördliche Vorgaben die Prüfungs- und Aussonderungsfristen zu konkretisieren. Es kann deshalb offenbleiben, ob die verfassungsrechtlichen Kriterien zur Bemessung der Fristen (vgl. Rn. 189) angemessen abgebildet sind.
[…]