Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Rechtshistorische Bedeutung wird es erlangen, das Urteil des Bundesverfassungsgerichts (BVerfG), 1 BvR 370/07 vom 27.02.2008 zur vorgesehenen Online-Durchsuchung durch den Verfassungsschutz in Nordrhein-Westfalen. Hat doch das BVerfG aus dem Grundgesetz ein neues Grundrecht abgeleitet, das die Presse als "Computer-Grundrecht" oder "IT-Grundrecht" tituliert. Das BVerfG nennt es:

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Wie das Grundrecht auf informationelle Selbstbestimmung wird es aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) abgeleitet.

Doch warum ein neues Grundrecht?

Zugriff: Die ganze Welt

Ausgangslage

Zugriff: Die ganze Welt

Der Gesetzgeber in NRW hatte dem Verfassungsschutz durch § 5 Abs. 2 Nr. 11 Verfassungsschutzgesetz (VSG) folgende Maßnahme eingeräumt:

heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig

Unter anderem gegen diese Regelung wandten sich eine Journalistin, ein Mitglied des Landesverbandes Nordrhein-Westfalen der Partei DIE LINKE sowie zwei Rechtsanwälte.

Schutzbedarf

Zugriff: Die ganze Welt

Die obersten Hüter der Verfassung stellen - ganz in der Tradition des Volkszählungsurteils - fest:

Die moderne Informationstechnik eröffnet dem Einzelnen neue Möglichkeiten, begründet aber auch neuartige Gefährdungen der Persönlichkeit.(BVerfG, a.a.O, Absatz Nr. 170)

Sie führen aus, dass das Leben immer mehr vom Einsatz von Informationstechnik durchdrungen wird.

Heutige Personalcomputer können für eine Vielzahl unterschiedlicher Zwecke genutzt werden, etwa zur umfassenden Verwaltung und Archivierung der eigenen persönlichen und geschäftlichen Angelegenheiten, als digitale Bibliothek oder in vielfältiger Form als Unterhaltungsgerät. Dementsprechend ist die Bedeutung von Personalcomputern für die Persönlichkeitsentfaltung erheblich gestiegen.
Die Relevanz der Informationstechnik für die Lebensgestaltung des Einzelnen erschöpft sich nicht in der größeren Verbreitung und Leistungsfähigkeit von Personalcomputern. Daneben enthalten zahlreiche Gegenstände, mit denen große Teile der Bevölkerung alltäglich umgehen, informationstechnische Komponenten. So liegt es beispielsweise zunehmend bei Telekommunikationsgeräten oder elektronischen Geräten, die in Wohnungen oder Kraftfahrzeugen enthalten sind. (BVerfG, a.a.O, Absatz Nr. 172, 173).

[...]

Insbesondere das Internet als komplexer Verbund von Rechnernetzen öffnet dem Nutzer eines angeschlossenen Rechners nicht nur den Zugriff auf eine praktisch unübersehbare Fülle von Informationen, die von anderen Netzrechnern zum Abruf bereitgehalten werden. Es stellt ihm daneben zahlreiche neuartige Kommunikationsdienste zur Verfügung, mit deren Hilfe er aktiv soziale Verbindungen aufbauen und pflegen kann. Zudem führen technische Konvergenzeffekte dazu, dass auch herkömmliche Formen der Fernkommunikation in weitem Umfang auf das Internet verlagert werden können (vgl. etwa zur Sprachtelefonie Katko, CR 2005, S. 189). (BVerfG, a.a.O, Absatz Nr. 176).

Gerade diese Verbreitung vernetzter System der Informationstechnik bergen jedoch früher ungeahnte Gefährdungen für das Persönlichkeitsrecht:

Solche Gefährdungen ergeben sich bereits daraus, dass komplexe informationstechnische Systeme wie etwa Personalcomputer ein breites Spektrum von Nutzungsmöglichkeiten eröffnen, die sämtlich mit der Erzeugung, Verarbeitung und Speicherung von Daten verbunden sind. Dabei handelt es sich nicht nur um Daten, die der Nutzer des Rechners bewusst anlegt oder speichert. Im Rahmen des Datenverarbeitungsprozesses erzeugen informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten, die ebenso wie die vom Nutzer gespeicherten Daten im Hinblick auf sein Verhalten und seine Eigenschaften ausgewertet werden können. In der Folge können sich im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten mit Bezug zu den persönlichen Verhältnissen, den sozialen Kontakten und den ausgeübten Tätigkeiten des Nutzers finden. Werden diese Daten von Dritten erhoben und ausgewertet, so kann dies weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen (vgl. zu den aus solchen Folgerungen entstehenden PersönlichkeitsgefährdungenBVerfGE 65, 1 <42>). (BVerfG, a.a.O, Absatz Nr. 178).

Bei einem vernetzten, insbesondere einem an das Internet angeschlossenen System werden diese Gefährdungen in verschiedener Hinsicht vertieft. (BVerfG, a.a.O, Absatz Nr. 179).

Denn durch die Vernetzung wird Dritten eine technische Zugriffsmöglichkeit eröffnet, die zum Ausspähen und Manipulieren von Daten genutzt werden kann.

Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann. Ein technischer Selbstschutz kann zudem mit einem hohen Aufwand oder mit Funktionseinbußen des geschützten Systems verbunden sein. Viele Selbstschutzmöglichkeiten - etwa die Verschlüsselung oder die Verschleierung sensibler Daten - werden überdies weitgehend wirkungslos, wenn Dritten die Infiltration des Systems, auf dem die Daten abgelegt worden sind, einmal gelungen ist. Schließlich kann angesichts der Geschwindigkeit der informationstechnischen Entwicklung nicht zuverlässig prognostiziert werden, welche Möglichkeiten dem Nutzer in Zukunft verbleiben, sich technisch selbst zu schützen. (BVerfG, a.a.O, Absatz Nr. 180)

Vor diesem Hintergrund und der Bedeutung, die die informationstechnischen Systeme inzwischen für die Persönlichkeitsentfaltung erlangt haben, sieht das BVerfG ein "grundrechtlich erhebliches Schutzbedürfnis" (BVerfG, a.a.O, Absatz Nr. 181)

Regelungslücke

Zugriff: Die ganze Welt

Daher nehmen die Richter eine Prüfung vor, ob die bestehenden Grundrechte diesem Schutzbedürfnis ausreichend Rechnung tragen.
Sie beziehen in diese Überlegungen Art. 10 GG (Post- und Fernmeldegeheimnis), Art. 13 GG (Unverletztlichkeit der Wohnung) sowie das Grundrecht auf informationelle Selbstbestimmung ein.

Das Ergebnis ist jedoch, dass keines dieser Grundrechte dem erheblichen Schutzbedarf gegenüber einer heimlichen Infiltration der Informationssysteme der Bürger ausreichend gerecht wird. So findet - um nur einige Argumente beispielhaft zu nennen - der Schutzbereich von Art. 10 GG dort seine Grenzen, wo der Kommunikationsvorgang abgeschlossen und die Inhalte beim Nutzer selbst gespeichert sind (siehe dazu auch unsere Seite "Zugriff auf Kommunikationsverbindungsdaten" ) - gerade diese können jedoch bei einer Infiltration des Systems gelesen werden.
Art. 13 GG biete auch keinen hinreichenden Schutz für diese Fallkonstellation, da die Infiltration unabhängig vom Standort erfolgen könne, "so dass ein raumbezogener Schutz nicht in der Lage ist, die spezifische Gefährdung des informationstechnischen Systems abzuwehren." Denn wenn ein Rechnernetzwerk für die Infiltration ausgenutzt werde, ist die durch Art. 13 GG geschützte räumliche Privatsphäre nicht betroffen. Ein schönes Beispiel spricht das BVerfG hier direkt an:

Dies gilt insbesondere für mobile informationstechnische Systeme wie etwa Laptops, Personal Digital Assistants (PDAs) oder Mobiltelefone. (BVerfG, a.a.O, Absatz Nr. 194)

Auch das Grundrecht auf informationelle Selbstbestimmung bietet keinen ausreichenden Schutz. Denn wer auf ein IT-System zugreift und die dort gespeicherten Daten auswertet, geht über die einzelne Datenerhebung und damit den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung hinaus.

Somit entsteht eine grundrechtliche Regelungslücke, der jedoch das allgemeine Persönlichkeitsrecht "in seiner lückenfüllenden Funktion" dadurch Rechnung trägt, "dass es die Integrität und Vertraulichkeit informationstechnischer Systeme gewährleistet." (BVerfG, a.a.O, Absatz Nr. 201)

Solange allerdings ein staatlicher Zugriff auf Datenbestände erfolgt, die nur einen punktuellen Bezug zu dem Lebensbereich eines Betroffenen haben - als Beispiel wird eine nicht vernetzte elektronische Steuerungsanlage der Haustechnik genannt - reiche der Schutz des Grundrechts auf informationelle Selbstbestimmung aus.

Das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme ist hingegen anzuwenden, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf Personalcomputer, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen. Der spezifische Grundrechtsschutz erstreckt sich ferner beispielsweise auf solche Mobiltelefone oder elektronische Terminkalender, die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können. (BVerfG, a.a.O, Absatz Nr. 203)

Schrankenregelung

Zugriff: Die ganze Welt

Wie das Grundrecht auf informationelle Selbstbestimmung auch ist das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme nicht schrankenlos gewährleistet.

In dieses darf vielmehr durch eine normenklare, hinreichend bestimmte und angemessene gesetzliche Regelung eingegriffen werden.
Ausführlich prüfen die Richter die Intensität des Eingriffs und kommen zu dem Ergebnis, dass diese besonders hoch ist. Dies wird insbesondere mit der Heimlichkeit (Absatz Nr. 238) und mit den Gefahren für die Integrität des Zugriffsrechners (Absatz Nr. 239) begründet. So wird beispielsweise auch ausgeführt, dass der Staat möglicherweise unbekannte Sicherheitslücken von Betriebssystemen nutzt, also auch kein Interesse an der Erhöhung der Sicherheit hat:

In der Folge besteht die Gefahr, dass die Ermittlungsbehörde es etwa unterlässt, gegenüber anderen Stellen Maßnahmen zur Schließung solcher Sicherheitslücken anzuregen, oder sie sogar aktiv darauf hinwirkt, dass die Lücken unerkannt bleiben. Der Zielkonflikt könnte daher das Vertrauen der Bevölkerung beeinträchtigen, dass der Staat um eine möglichst hohe Sicherheit der Informationstechnologie bemüht ist. (Absatz Nr. 241)

Aus diesen Gründen sind an die in das Grundrecht eingreifende Rechtsnorm die genannten Anforderungen zu stellen sowie vorzusehen, dass die Infiltration grundsätzlich unter den Vorbehalt einer richterlichen Anordnung zu stellen ist und den Kernbereich privater Lebensgestaltung schützt.

Die geprüfte Norm im Verfassungsschutzgesetz Nordrhein-Westfalens hat diese Anforderungen nicht erfüllt, so dass deren Nichtigkeit festgestellt wird.

Fazit

Zugriff: Die ganze Welt

Das Gericht hat ausdrücklich anerkannt, dass der Staat auch die Aufgabe hat, seine Bürger vor Terror zu schützen und dass eine autorisierte Kenntnisnahme von Kommunikation (einer der an der Kommunikation Beteiligten gibt sein Passwort weiter oder der Staat verschafft sich Kenntnis von öffentlich zugänglichen Inhalten z.B. in Blogs) nicht verfassungsrechtlich relevant ist - eine Passage, die Bundesinnenminister Schäuble nach der Urteilsverkündung besonders betont hat.

Die Aufgaben an den Gesetzgeber sind nach diesem Urteil jedoch ebenso klar:
Das Gericht macht Vorgaben, wie ein Gesetz für einen Bundestrojaner aussehen muss: normenklar, hinreichend bestimmt, angemessen, mit dem Vorbehalt einer richterlichen Anordnung und Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung.

Zum 01.08.2008 hat nun auch Bayern einen Anlauf zur Einführung der Online-Durchsuchung unternommen – und damit die erste Regelung nach dem Grundsatzurteil des BVerfG geschaffen (bekannt unter dem Schlagwort "Bayern-Trojaner"). Die Neuregelung, die den bayerischen Polizei- und Verfassungsschutzbehörden neue Befugnisse verleiht, soll nicht zuletzt die Vorgaben des Bundesverfassungsgerichts umsetzen und mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme vereinbar sein. Das Bundesverfassungsgericht prüft gegenwärtig, ob das tatsächlich der Fall ist - denn auch gegen die bayerischen Bestimmungen wurde inzwischen Verfassungsbeschwerde eingelegt.

Aber auch losgelöst von der aktuellen politischen Debatte wird dieses Urteil als Grundlagenentscheidung zu sehen sein. Es ist zu erwarten, dass sich die zukünftige Rechtsprechung des BVerfG angesichts der zunehmenden Durchdringung des Alltags mit Technik noch öfter mit ähnlich gelagerten Fragen auseinander setzen muss.

Reaktionen:

Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 27.02.2008

Spiegel-Online vom 27.02.2008: Richter erfinden das Computer-Grundrecht

Zurück zur Übersicht

Weiterführende Seiten zu den Themen: