Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
Stand: 12.09.2018
Rechtshistorische Bedeutung hatte es erlangt, das Urteil des Bundesverfassungsgerichts (BVerfG), 1 BvR 370/07 vom 27.02.2008 zur vorgesehenen Online-Durchsuchung durch den Verfassungsschutz in Nordrhein-Westfalen. Hatte doch das BVerfG aus dem Grundgesetz ein neues Grundrecht abgeleitet, das die Presse als "Computer-Grundrecht" oder "IT-Grundrecht" tituliert. Das BVerfG nannte es:
Wie das Grundrecht auf informationelle Selbstbestimmung, das dem so genannten Volkszählungsurteils "entsprungen" ist, wurde es aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) abgeleitet.
Bis zur Geltung der Datenschutzgrundverordnung (DS-GVO) im Mai 2018 fusste das deutsche Datenschutzrecht auf diesen Grundrechten, so dass diese Urteil nach wie vor rechtshistorisch interessant bleiben.
Doch wie kam es zu diesem damals neuen Grundrecht?
Ausgangslage
Der Gesetzgeber in NRW hatte dem Verfassungsschutz durch § 5 Abs. 2 Nr. 11 Verfassungsschutzgesetz (VSG) folgende Maßnahme eingeräumt:
Unter anderem gegen diese Regelung wandten sich eine Journalistin, ein Mitglied des Landesverbandes Nordrhein-Westfalen der Partei DIE LINKE sowie zwei Rechtsanwälte.
Schutzbedarf
Die obersten Hüter der Verfassung stellten - ganz in der Tradition des Volkszählungsurteils - fest:
Sie führten aus, dass das Leben immer mehr vom Einsatz von Informationstechnik durchdrungen wird.
Die Relevanz der Informationstechnik für die Lebensgestaltung des Einzelnen erschöpft sich nicht in der größeren Verbreitung und Leistungsfähigkeit von Personalcomputern. Daneben enthalten zahlreiche Gegenstände, mit denen große Teile der Bevölkerung alltäglich umgehen, informationstechnische Komponenten. So liegt es beispielsweise zunehmend bei Telekommunikationsgeräten oder elektronischen Geräten, die in Wohnungen oder Kraftfahrzeugen enthalten sind. (BVerfG, a.a.O, Absatz Nr. 172, 173).
[...]
Insbesondere das Internet als komplexer Verbund von Rechnernetzen öffnet dem Nutzer eines angeschlossenen Rechners nicht nur den Zugriff auf eine praktisch unübersehbare Fülle von Informationen, die von anderen Netzrechnern zum Abruf bereitgehalten werden. Es stellt ihm daneben zahlreiche neuartige Kommunikationsdienste zur Verfügung, mit deren Hilfe er aktiv soziale Verbindungen aufbauen und pflegen kann. Zudem führen technische Konvergenzeffekte dazu, dass auch herkömmliche Formen der Fernkommunikation in weitem Umfang auf das Internet verlagert werden können (vgl. etwa zur Sprachtelefonie Katko, CR 2005, S. 189). (BVerfG, a.a.O, Absatz Nr. 176).
Gerade diese Verbreitung vernetzter System der Informationstechnik bergen jedoch früher ungeahnte Gefährdungen für das Persönlichkeitsrecht:
Bei einem vernetzten, insbesondere einem an das Internet angeschlossenen System werden diese Gefährdungen in verschiedener Hinsicht vertieft. (BVerfG, a.a.O, Absatz Nr. 179).
Denn durch die Vernetzung wird Dritten eine technische Zugriffsmöglichkeit eröffnet, die zum Ausspähen und Manipulieren von Daten genutzt werden kann.
Vor diesem Hintergrund und der Bedeutung, die die informationstechnischen Systeme inzwischen für die Persönlichkeitsentfaltung erlangt haben, sieht das BVerfG ein "grundrechtlich erhebliches Schutzbedürfnis" (BVerfG, a.a.O, Absatz Nr. 181)
Regelungslücke
Daher nehmen die Richter eine Prüfung vor, ob die bestehenden Grundrechte diesem Schutzbedürfnis ausreichend Rechnung tragen.
Sie beziehen in diese Überlegungen Art. 10 GG (Post- und Fernmeldegeheimnis), Art. 13 GG (Unverletztlichkeit der Wohnung) sowie das Grundrecht auf informationelle Selbstbestimmung ein.
Das Ergebnis ist jedoch, dass keines dieser Grundrechte dem erheblichen Schutzbedarf gegenüber einer heimlichen Infiltration der Informationssysteme der Bürger ausreichend gerecht wird. So findet - um nur einige Argumente beispielhaft zu nennen - der Schutzbereich von Art. 10 GG dort seine Grenzen, wo der Kommunikationsvorgang abgeschlossen und die Inhalte beim Nutzer selbst gespeichert sind (siehe dazu auch unsere Seite "Zugriff auf Kommunikationsverbindungsdaten" ) - gerade diese können jedoch bei einer Infiltration des Systems gelesen werden.
Art. 13 GG biete auch keinen hinreichenden Schutz für diese Fallkonstellation, da die Infiltration unabhängig vom Standort erfolgen könne, "so dass ein raumbezogener Schutz nicht in der Lage ist, die spezifische Gefährdung des informationstechnischen Systems abzuwehren." Denn wenn ein Rechnernetzwerk für die Infiltration ausgenutzt werde, ist die durch Art. 13 GG geschützte räumliche Privatsphäre nicht betroffen. Ein schönes Beispiel spricht das BVerfG hier direkt an:
Auch das Grundrecht auf informationelle Selbstbestimmung bietet keinen ausreichenden Schutz. Denn wer auf ein IT-System zugreift und die dort gespeicherten Daten auswertet, geht über die einzelne Datenerhebung und damit den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung hinaus.
Somit entsteht eine grundrechtliche Regelungslücke, der jedoch das allgemeine Persönlichkeitsrecht "in seiner lückenfüllenden Funktion" dadurch Rechnung trägt, "dass es die Integrität und Vertraulichkeit informationstechnischer Systeme gewährleistet." (BVerfG, a.a.O, Absatz Nr. 201)
Solange allerdings ein staatlicher Zugriff auf Datenbestände erfolgt, die nur einen punktuellen Bezug zu dem Lebensbereich eines Betroffenen haben - als Beispiel wird eine nicht vernetzte elektronische Steuerungsanlage der Haustechnik genannt - reiche der Schutz des Grundrechts auf informationelle Selbstbestimmung aus.
Schrankenregelung
Wie das Grundrecht auf informationelle Selbstbestimmung auch ist das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme nicht schrankenlos gewährleistet.
In dieses darf vielmehr durch eine normenklare, hinreichend bestimmte und angemessene gesetzliche Regelung eingegriffen werden.
Ausführlich prüfen die Richter die Intensität des Eingriffs und kommen zu dem Ergebnis, dass diese besonders hoch ist. Dies wird insbesondere mit der Heimlichkeit (Absatz Nr. 238) und mit den Gefahren für die Integrität des Zugriffsrechners (Absatz Nr. 239) begründet. So wird beispielsweise auch ausgeführt, dass der Staat möglicherweise unbekannte Sicherheitslücken von Betriebssystemen nutzt, also auch kein Interesse an der Erhöhung der Sicherheit hat:
Aus diesen Gründen sind an die in das Grundrecht eingreifende Rechtsnorm die genannten Anforderungen zu stellen sowie vorzusehen, dass die Infiltration grundsätzlich unter den Vorbehalt einer richterlichen Anordnung zu stellen ist und den Kernbereich privater Lebensgestaltung schützt.
Die geprüfte Norm im Verfassungsschutzgesetz Nordrhein-Westfalens hat diese Anforderungen nicht erfüllt, so dass deren Nichtigkeit festgestellt wurde.
Das Gericht hat ausdrücklich anerkannt, dass der Staat auch die Aufgabe hat, seine Bürger vor Terror zu schützen und dass eine autorisierte Kenntnisnahme von Kommunikation (einer der an der Kommunikation Beteiligten gibt sein Passwort weiter oder der Staat verschafft sich Kenntnis von öffentlich zugänglichen Inhalten z.B. in Blogs) nicht verfassungsrechtlich relevant ist - eine Passage, die Bundesinnenminister Schäuble nach der Urteilsverkündung besonders betont hat.
Die Aufgaben an den Gesetzgeber waren nach diesem Urteil jedoch ebenso klar:
Das Gericht machte Vorgaben, wie ein Gesetz für einen Bundestrojaner aussehen muss: normenklar, hinreichend bestimmt, angemessen, mit dem Vorbehalt einer richterlichen Anordnung und Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung.