Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Stand: 12.09.2018

Rechtshistorische Bedeutung hatte es erlangt, das Urteil des Bundesverfassungsgerichts (BVerfG), 1 BvR 370/07 vom 27.02.2008 zur vorgesehenen Online-Durchsuchung durch den Verfassungsschutz in Nordrhein-Westfalen. Hatte doch das BVerfG aus dem Grundgesetz ein neues Grundrecht abgeleitet, das die Presse als "Computer-Grundrecht" oder "IT-Grundrecht" tituliert. Das BVerfG nannte es:

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Wie das Grundrecht auf informationelle Selbstbestimmung, das dem so genannten Volkszählungsurteils "entsprungen" ist, wurde es aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) abgeleitet.

Bis zur Geltung der Datenschutzgrundverordnung (DS-GVO) im Mai 2018 fusste das deutsche Datenschutzrecht auf diesen Grundrechten, so dass diese Urteil nach wie vor rechtshistorisch interessant bleiben.

Mit Geltung der DS-GVO fusst der europäische und damit auch der deutsche Datenschutz nun auf Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten (siehe dazu auch Erwägungsgrund 1 der DS-GVO).

Doch wie kam es zu diesem damals neuen Grundrecht?

Zugriff: Die ganze Welt

Ausgangslage

Zugriff: Die ganze Welt

Der Gesetzgeber in NRW hatte dem Verfassungsschutz durch § 5 Abs. 2 Nr. 11 Verfassungsschutzgesetz (VSG) folgende Maßnahme eingeräumt:

heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig

Unter anderem gegen diese Regelung wandten sich eine Journalistin, ein Mitglied des Landesverbandes Nordrhein-Westfalen der Partei DIE LINKE sowie zwei Rechtsanwälte.

Schutzbedarf

Zugriff: Die ganze Welt

Die obersten Hüter der Verfassung stellten - ganz in der Tradition des Volkszählungsurteils - fest:

Die moderne Informationstechnik eröffnet dem Einzelnen neue Möglichkeiten, begründet aber auch neuartige Gefährdungen der Persönlichkeit.(BVerfG, a.a.O, Absatz Nr. 170)

Sie führten aus, dass das Leben immer mehr vom Einsatz von Informationstechnik durchdrungen wird.

Heutige Personalcomputer können für eine Vielzahl unterschiedlicher Zwecke genutzt werden, etwa zur umfassenden Verwaltung und Archivierung der eigenen persönlichen und geschäftlichen Angelegenheiten, als digitale Bibliothek oder in vielfältiger Form als Unterhaltungsgerät. Dementsprechend ist die Bedeutung von Personalcomputern für die Persönlichkeitsentfaltung erheblich gestiegen.
Die Relevanz der Informationstechnik für die Lebensgestaltung des Einzelnen erschöpft sich nicht in der größeren Verbreitung und Leistungsfähigkeit von Personalcomputern. Daneben enthalten zahlreiche Gegenstände, mit denen große Teile der Bevölkerung alltäglich umgehen, informationstechnische Komponenten. So liegt es beispielsweise zunehmend bei Telekommunikationsgeräten oder elektronischen Geräten, die in Wohnungen oder Kraftfahrzeugen enthalten sind. (BVerfG, a.a.O, Absatz Nr. 172, 173).

[...]

Insbesondere das Internet als komplexer Verbund von Rechnernetzen öffnet dem Nutzer eines angeschlossenen Rechners nicht nur den Zugriff auf eine praktisch unübersehbare Fülle von Informationen, die von anderen Netzrechnern zum Abruf bereitgehalten werden. Es stellt ihm daneben zahlreiche neuartige Kommunikationsdienste zur Verfügung, mit deren Hilfe er aktiv soziale Verbindungen aufbauen und pflegen kann. Zudem führen technische Konvergenzeffekte dazu, dass auch herkömmliche Formen der Fernkommunikation in weitem Umfang auf das Internet verlagert werden können (vgl. etwa zur Sprachtelefonie Katko, CR 2005, S. 189). (BVerfG, a.a.O, Absatz Nr. 176).

Gerade diese Verbreitung vernetzter System der Informationstechnik bergen jedoch früher ungeahnte Gefährdungen für das Persönlichkeitsrecht:

Solche Gefährdungen ergeben sich bereits daraus, dass komplexe informationstechnische Systeme wie etwa Personalcomputer ein breites Spektrum von Nutzungsmöglichkeiten eröffnen, die sämtlich mit der Erzeugung, Verarbeitung und Speicherung von Daten verbunden sind. Dabei handelt es sich nicht nur um Daten, die der Nutzer des Rechners bewusst anlegt oder speichert. Im Rahmen des Datenverarbeitungsprozesses erzeugen informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten, die ebenso wie die vom Nutzer gespeicherten Daten im Hinblick auf sein Verhalten und seine Eigenschaften ausgewertet werden können. In der Folge können sich im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten mit Bezug zu den persönlichen Verhältnissen, den sozialen Kontakten und den ausgeübten Tätigkeiten des Nutzers finden. Werden diese Daten von Dritten erhoben und ausgewertet, so kann dies weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen (vgl. zu den aus solchen Folgerungen entstehenden PersönlichkeitsgefährdungenBVerfGE 65, 1 <42>). (BVerfG, a.a.O, Absatz Nr. 178).

Bei einem vernetzten, insbesondere einem an das Internet angeschlossenen System werden diese Gefährdungen in verschiedener Hinsicht vertieft. (BVerfG, a.a.O, Absatz Nr. 179).

Denn durch die Vernetzung wird Dritten eine technische Zugriffsmöglichkeit eröffnet, die zum Ausspähen und Manipulieren von Daten genutzt werden kann.

Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann. Ein technischer Selbstschutz kann zudem mit einem hohen Aufwand oder mit Funktionseinbußen des geschützten Systems verbunden sein. Viele Selbstschutzmöglichkeiten - etwa die Verschlüsselung oder die Verschleierung sensibler Daten - werden überdies weitgehend wirkungslos, wenn Dritten die Infiltration des Systems, auf dem die Daten abgelegt worden sind, einmal gelungen ist. Schließlich kann angesichts der Geschwindigkeit der informationstechnischen Entwicklung nicht zuverlässig prognostiziert werden, welche Möglichkeiten dem Nutzer in Zukunft verbleiben, sich technisch selbst zu schützen. (BVerfG, a.a.O, Absatz Nr. 180)

Vor diesem Hintergrund und der Bedeutung, die die informationstechnischen Systeme inzwischen für die Persönlichkeitsentfaltung erlangt haben, sieht das BVerfG ein "grundrechtlich erhebliches Schutzbedürfnis" (BVerfG, a.a.O, Absatz Nr. 181)

Regelungslücke

Zugriff: Die ganze Welt

Daher nehmen die Richter eine Prüfung vor, ob die bestehenden Grundrechte diesem Schutzbedürfnis ausreichend Rechnung tragen.
Sie beziehen in diese Überlegungen Art. 10 GG (Post- und Fernmeldegeheimnis), Art. 13 GG (Unverletztlichkeit der Wohnung) sowie das Grundrecht auf informationelle Selbstbestimmung ein.

Das Ergebnis ist jedoch, dass keines dieser Grundrechte dem erheblichen Schutzbedarf gegenüber einer heimlichen Infiltration der Informationssysteme der Bürger ausreichend gerecht wird. So findet - um nur einige Argumente beispielhaft zu nennen - der Schutzbereich von Art. 10 GG dort seine Grenzen, wo der Kommunikationsvorgang abgeschlossen und die Inhalte beim Nutzer selbst gespeichert sind (siehe dazu auch unsere Seite "Zugriff auf Kommunikationsverbindungsdaten" ) - gerade diese können jedoch bei einer Infiltration des Systems gelesen werden.
Art. 13 GG biete auch keinen hinreichenden Schutz für diese Fallkonstellation, da die Infiltration unabhängig vom Standort erfolgen könne, "so dass ein raumbezogener Schutz nicht in der Lage ist, die spezifische Gefährdung des informationstechnischen Systems abzuwehren." Denn wenn ein Rechnernetzwerk für die Infiltration ausgenutzt werde, ist die durch Art. 13 GG geschützte räumliche Privatsphäre nicht betroffen. Ein schönes Beispiel spricht das BVerfG hier direkt an:

Dies gilt insbesondere für mobile informationstechnische Systeme wie etwa Laptops, Personal Digital Assistants (PDAs) oder Mobiltelefone. (BVerfG, a.a.O, Absatz Nr. 194)

Auch das Grundrecht auf informationelle Selbstbestimmung bietet keinen ausreichenden Schutz. Denn wer auf ein IT-System zugreift und die dort gespeicherten Daten auswertet, geht über die einzelne Datenerhebung und damit den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung hinaus.

Somit entsteht eine grundrechtliche Regelungslücke, der jedoch das allgemeine Persönlichkeitsrecht "in seiner lückenfüllenden Funktion" dadurch Rechnung trägt, "dass es die Integrität und Vertraulichkeit informationstechnischer Systeme gewährleistet." (BVerfG, a.a.O, Absatz Nr. 201)

Solange allerdings ein staatlicher Zugriff auf Datenbestände erfolgt, die nur einen punktuellen Bezug zu dem Lebensbereich eines Betroffenen haben - als Beispiel wird eine nicht vernetzte elektronische Steuerungsanlage der Haustechnik genannt - reiche der Schutz des Grundrechts auf informationelle Selbstbestimmung aus.

Das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme ist hingegen anzuwenden, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf Personalcomputer, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen. Der spezifische Grundrechtsschutz erstreckt sich ferner beispielsweise auf solche Mobiltelefone oder elektronische Terminkalender, die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können. (BVerfG, a.a.O, Absatz Nr. 203)

Schrankenregelung

Zugriff: Die ganze Welt

Wie das Grundrecht auf informationelle Selbstbestimmung auch ist das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme nicht schrankenlos gewährleistet.

In dieses darf vielmehr durch eine normenklare, hinreichend bestimmte und angemessene gesetzliche Regelung eingegriffen werden.
Ausführlich prüfen die Richter die Intensität des Eingriffs und kommen zu dem Ergebnis, dass diese besonders hoch ist. Dies wird insbesondere mit der Heimlichkeit (Absatz Nr. 238) und mit den Gefahren für die Integrität des Zugriffsrechners (Absatz Nr. 239) begründet. So wird beispielsweise auch ausgeführt, dass der Staat möglicherweise unbekannte Sicherheitslücken von Betriebssystemen nutzt, also auch kein Interesse an der Erhöhung der Sicherheit hat:

In der Folge besteht die Gefahr, dass die Ermittlungsbehörde es etwa unterlässt, gegenüber anderen Stellen Maßnahmen zur Schließung solcher Sicherheitslücken anzuregen, oder sie sogar aktiv darauf hinwirkt, dass die Lücken unerkannt bleiben. Der Zielkonflikt könnte daher das Vertrauen der Bevölkerung beeinträchtigen, dass der Staat um eine möglichst hohe Sicherheit der Informationstechnologie bemüht ist. (Absatz Nr. 241)

Aus diesen Gründen sind an die in das Grundrecht eingreifende Rechtsnorm die genannten Anforderungen zu stellen sowie vorzusehen, dass die Infiltration grundsätzlich unter den Vorbehalt einer richterlichen Anordnung zu stellen ist und den Kernbereich privater Lebensgestaltung schützt.

Die geprüfte Norm im Verfassungsschutzgesetz Nordrhein-Westfalens hat diese Anforderungen nicht erfüllt, so dass deren Nichtigkeit festgestellt wurde.

Das Gericht hat ausdrücklich anerkannt, dass der Staat auch die Aufgabe hat, seine Bürger vor Terror zu schützen und dass eine autorisierte Kenntnisnahme von Kommunikation (einer der an der Kommunikation Beteiligten gibt sein Passwort weiter oder der Staat verschafft sich Kenntnis von öffentlich zugänglichen Inhalten z.B. in Blogs) nicht verfassungsrechtlich relevant ist - eine Passage, die Bundesinnenminister Schäuble nach der Urteilsverkündung besonders betont hat.

Die Aufgaben an den Gesetzgeber waren nach diesem Urteil jedoch ebenso klar:
Das Gericht machte Vorgaben, wie ein Gesetz für einen Bundestrojaner aussehen muss: normenklar, hinreichend bestimmt, angemessen, mit dem Vorbehalt einer richterlichen Anordnung und Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung.

Zurück zur Übersicht