Der Einsatz komplexer Datenanalyseverfahren in den Polizeibehörden bedürfe spezifischer Rechtsgrundlagen. Die Verfahren müssten verfassungskonform ausgestaltet sein und die digitale Souveränität des Staates wahren. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht in dem IT-Großprojekt P20 der Polizeibehörden von Bund und Ländern eine Möglichkeit, datenschutzkonforme und kontrollierbare Lösungen auf Open-Source-Basis zu entwickeln.

Bisher könnten die Datenanalyseverfahren der Polizeibehörden grundsätzliche alle Menschen betreffen, auch ohne dass sie durch ihr Verhalten einen Anlass für polizeiliche Ermittlungen gegeben hätten, so die DSK-Vorsitzende und Berliner Datenschutzbeauftragte Meike Kamp. "Aus der Verknüpfung großer Datenmengen können neue Erkenntnisse entstehen." Es bestehe die Gefahr, dass Menschen unbegründet ins Visier polizeilicher Ermittlungen gerieten. Daher brauche es klare gesetzliche Regeln. 

Das BVerfG habe die bereits die verfassungsrechtlichen Weichen für den behördlichen Einsatz automatisierter Datenanalysen gestellt. Polizeibehörden dürften einschneidende Verfahren nur bei schwerwiegenden Rechtsgutsverletzungen und im Rahmen enger Verfahrensbestimmungen einsetzen. Bisher trügen die rechtlichen Vorschriften diesen Voraussetzungen nicht ausreichend Rechnung. Bund und Länder müssten nun den Einsatz von automatisierten Datenanalysen verfassungskonform ausgestalten. Dabei müsse auch gewährleistet werden, dass keine Datenübermittlung in Drittländer erfolgt.