Integrität und Vertraulichkeit informationstechnischer Systeme

Ein neues IT-Grundrecht?

27.10.2008
Das Bundesverfassungsgericht hat mit einem Urteil das Persönlichkeitsrecht im Internetzeitalter neu bestimmt. Rechtsanwalt Martin Stabno stellt die Leitlinien der Entscheidung vor.

Das Urteil vom 27.02.2008 (Az.: 1 BvR 370/07) hat weitreichende Bedeutung für das anstehende Gesetzgebungsverfahren der sogenannten "Online-Durchsuchung" und dürfte zukünftig für weitere Rechtsfragen mit Bezug zu personenbezogenen Daten im Internet eine entscheidende Grundlage bieten.

Gegenstand der Klage, die von einer Journalistin, einem Mitglied der Landespartei DIE LINKE und drei Rechtsanwälten eingereicht worden ist, war nicht die noch anstehende Umsetzung der "Online-Durchsuchung" auf Bundesebene, sondern eine bereits existierende gesetzliche Regelung in Nordrhein-Westfalen. Das Bundesverfassungsgericht hat im Ergebnis die angegriffenen gesetzlichen Regelungen zum größten Teil für verfassungswidrig und nichtig erklärt.

Zu unterscheiden sind zwei kritisierte Überwachungsmaßnahmen: die "Online-Durchsuchung" sowie das "heimliche Beobachten oder Aufklären". Maßgeblicher Inhalt der vorliegenden Entscheidung ist die "Online-Durchsuchung", in deren Zusammenhang und Prüfung das Bundesverfassungsgericht ein "neues Grundrecht geschaffen" hat (genauer: eine neue Ausprägung des Schutzbereichs des allgemeinen Persönlichkeitsrechts). Daher orientiert sich diese Darstellung primär an den Ausführungen des Bundesverfassungsgerichts zur Online-Durchsuchung. Die Leitlinien der Begründung bezüglich des heimlichen Aufklärens werden kurz zusammenfassend dargestellt.

Persönlichkeitsrecht

Maßgeblich war für die Entscheidung des Bundesverfassungsgerichts, dass die Vorschrift des § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 des Verfassungsschutzgesetzes (VSG) das allgemeine Persönlichkeitsrecht in seiner besonderen Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verletzt. Die Vorschrift wahre insbesondere nicht das Gebot der Verhältnismäßigkeit. Angesichts der Schwere des Eingriffs sei die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen.

Zudem muss der Eingriff nach Ansicht des Bundesverfassungsgerichts grundsätzlich unter den Vorbehalt richterlicher Anordnung gestellt werden. Diesen Anforderungen werde § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 VSG nicht gerecht. Darüber hinaus fehle es an hinreichenden gesetzlichen Vorkehrungen, um Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung zu vermeiden.

Die "Online-Durchsuchung"

Bei der Online-Durchsuchung nehmen staatliche Stellen einen heimlichen Zugriff auf infor-mationstechnische Systeme (zum Beispiel PC) vor. Orientierend an der gesetzlichen Regelung in Nordrhein-Westfalen ("clientorientierte Aufklärung") beschreibt das Gericht diese Form der nachrichtendienstlichen Aufklärung als eine technische Infiltration, mit der etwa Sicherheitslücken des Zielsystems ausgenutzt werden oder die Installation eines Spähprogramms erfolgt. Mittels der Infiltration sollen die Nutzung des Systems überwacht oder die Speichermedien durchgesehen oder das Zielsystem ferngesteuert werden . Davon zu differenzieren ist das heimliche Beobachten oder Aufklären.

1. Der neue Schutzbereich des allgemeinen Persönlichkeitsrechts

Einer der sog. "Leitsätze" der Entscheidung umfasst die aus juristischer Sicht bedeutende Aussage, dass das allgemeine Persönlichkeitsrecht das Grundrecht auf "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" umfasst.

Das Bundesverfassungsgericht begründet diese neue Auslegung des allgemeinen Persön-lichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG mit der besonderen Bedeutung der Nutzung der Informationstechnik für das Persönlichkeitsrecht. Die moderne Informations-technik eröffne dem Einzelnen neue Möglichkeiten, begründe jedoch neuartige Gefährdun-gen der Persönlichkeit. Informationstechnische Systeme (insbesondere Personalcomputer) seien allgegenwärtig und ihre Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung .

Hinsichtlich der möglichen Gefährdungen führt das Gericht aus, dass vor allem die Vernet-zung von an das Internet angeschlossenen Systemen eine technische Zugriffsmöglichkeit eröffnet, um die auf dem System vorhandenen Daten auszuspähen oder zu manipulieren. Der Einzelne könne diese Zugriffe zum Teil nicht wahrnehmen oder nur begrenzt abwehren. Aus der besonderen Bedeutung der Nutzung informationstechnischer Systeme folge ein besonderes Schutzbedürfnis. Der Einzelne sei darauf angewiesen, dass der Staat die mit Blick auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet.

Nach der Begründung des Gerichts konnte das allgemeine Persönlichkeitsrecht in seiner bisher anerkannten Ausprägung diesem besonderen Schutzbedürfnis nicht ausreichend Rechnung tragen, sodass nun der weitere Schutzbereich der Integrität und Vertraulichkeit informationstechnischer Systeme hinzugekommen ist. Dieses Recht fuße in Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG. Es soll den persönlichen und privaten Lebensbereich der Grundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik insoweit schützen, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten.

Als Beispiele für informationstechnische Systeme nennt das Bundesverfassungsgericht insbesondere Personalcomputer. Das "Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme" (so ausdrücklich bezeichnet) sei jedoch nur anwendbar, wenn Systeme erfasst sind, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen. Nicht umfasst seien daher nicht vernetzte elektronische Steuerungsanlagen in der Haustechnik; betroffen seien PCs, Laptops, PDAs (elektronische Terminkalender) und Mobiltelefone .

2. Eingriffe in das neue Grundrecht

Ein Eingriff in das "neue Grundrecht" wurde vom Bundesverfassungsgericht dann ange-nommen, wenn die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können; dann sei die technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen . Das allgemeine Persönlichkeitsrecht in seiner neuen Ausprägung schützt nach der Begründung des Gerichts insbesondere vor einem heimlichen Zugriff auf das System. Geschützt seien sowohl Daten, die im Arbeitsspeicher gehalten werden als auch solche, die temporär oder dauerhaft auf dem Speichermedium des Systems abgelegt werden.

Weiter liege ein Eingriff in den Schutzbereich vor, wenn Daten mit Mitteln erhoben werden, die zwar technisch von den Datenverarbeitungsvorgängen des Systems unabhängig sind, aber diese Datenverarbeitungsvorgänge zum Gegenstand haben (Einsatz von Hardware-Keyloggern oder Messung der elektro-magnetischen Abstrahlung von Bildschirm beziehungsweise Tastatur) .

3. Rechtfertigung des Eingriffs

Ein Grundrecht kann nur verletzt sein, wenn der festgestellte Eingriff nicht durch andere Rechtspositionen gerechtfertigt werden kann. Den in diesem Zusammenhang hervorzuhe-benden "Grundsatz der Verhältnismäßigkeit" sieht das Bundesverfassungsgericht durch die strittige Norm als verletzt an und setzt für eine zulässige gesetzliche Regelung sehr hohe Hürden.

Das Bundesverfassungsgericht berücksichtigt, dass ein heimlicher Zugriff auf ein System der staatlichen Stelle den Zugang zu einem Datenbestand eröffnet, der herkömmliche Informationsquellen an Umfang und Vielfältigkeit in großem Umfang übertreffen kann. Die diversen Nutzungsmöglichkeiten würden typischerweise bewusst zum Speichern persönlicher Daten von gesteigerter Sensibilität genutzt (private Text-, Bild- oder Tondateien). Ein derartiger Datenbestand könne genaue Informationen über die persönlichen Verhältnisse und die Lebensführung des Betroffenen liefern, die bis zu tagebuchartigen Aufzeichnungen reichen könnten. Ein derartiger Zugriff auf einen Datenbestand sei mit dem Risiko verbunden, dass die erhobenen Daten in einer Gesamtschau weit reichende Rückschlüsse auf die Persönlichkeit des Betroffenen bis zu einer Bildung von Verhaltens- und Kommunikationsprofilen ermöglichen.

Eine besondere Schwere erlangt der Grundrechtseingriff durch eine Heimlichkeit der Überwachung, da der Betroffene sich mangels Kenntnis nicht gerichtlich zur Wehr setzen kann. Als erschwerend kommt für das Gericht weiter eine längerfristige Überwachung des Systems zum Tragen. So sei die Ermittlung von nur im Arbeitsspeicher vorhandener Daten möglich. Beispielhaft wird in der Begründung der Cache-Speicher von Webbrowsern genannt, dessen Daten eine Auswertung über die Nutzungsgewohnheiten ermöglichen oder für die Erlangung von Passwörtern. Schließlich war nach der Anhörung von Sachverständigen im gerichtlichen Verfahren nicht ausgeschlossen, dass durch die Infiltration des Systems dasselbe Schäden erleiden könnte .

In Anbetracht dessen legte das Bundesverfassungsgericht fest, dass ein derart schwerer Eingriff in das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informations-technischer Systeme nur erfolgen darf, wenn die Eingriffsermächtigung ihn davon abhängig macht, dass tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut vorliegen. Als solche überragend wichtige Rechtsgüter nennt das Gericht ausdrücklich Leib, Leben und Freiheit der Person. Ferner seien überragend wichtig solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Hierzu zählte die Funktionsfähigkeit wesentlicher Teile existenzsichernder öffentlicher Versorgungseinrichtungen. Schließlich ist das Vorliegen einer konkreten Gefahr für die genannten Rechtsgüter erforderlich. Allein eine Vermutung oder allgemeiner Erfahrungssätze sind nicht ausreichend.

Verfahrensrechtlich schreibt das Bundesverfassungsgericht vor, dass aufgrund der hohen Eingriffsintensität und des heimlichen Zugriffs die "Online-Durchsuchung" grundsätzlich unter den Vorbehalt einer richterlichen Anordnung zu stellen ist, das heißt ohne einen richterlichen Be-schluss kann die Maßnahme nicht durchgeführt werden. Ausnahmsweise kann für Einfälle (Gefahr im Verzug) eine vorherige richterliche Überprüfung entfallen, wenn diese nachgeholt wird. An das Vorliegen einer solchen Ausnahme sind hohe Anforderungen zu stellen, so dass die richterliche Überprüfung den Regelfall darstellt.

Das "heimliche Beobachten oder Aufklären" im Internet

Unter diesen Begriffen werden in Anlehnung an die zu prüfenden gesetzlichen Regelungen in Nordrhein-Westfalen ("serverorientierte Aufklärung") Maßnahmen verstanden, mit denen staatliche Stellen Inhalte der Internetkommunikation auf dem dafür technisch vorgesehenen Weg zur Kenntnis nehmen. Darunter kann nach der Begründung des Gesetzgebers in Nordrhein-Westfalen z. B. die Teilnahme an einem Chat, einer Auktion oder Tauschbörse unter einer Legende verstanden werden. Denkbar ist für das Bundesverfassungsgericht auch, E-Mails mittels eines durch einen Informanten oder Keylogging erlangtes Passwort abzurufen.

Das Bundesverfassungsgericht erklärte die entsprechende gesetzliche Regelung des § 5 Abs. 2 Nr. 11 Alt. 1 VSG für verfassungswidrig, da diese Eingriffe mit dem Grundsatz der Verhältnismäßigkeit nicht im Einklang stehen. Verletzt wurde hier allerdings nicht das "neue Grundrecht", sondern das nach Art. 10 Abs. 1 GG geschützte Telekommunikationsgeheimnis.

Interessant waren in diesem Zusammenhang die Ausführungen des Gerichts für Konstellationen, in denen das Telekommunikationsgeheimnis nicht durch staatliche Maßnahmen verletzt wird und somit erlaubt ist. Beispielhaft nennt das Gericht eine Situation, in der ein Teilnehmer eines geschlossenen Chats der für die Verfassungsschutzbehörde handelnden Person seinen Zugang freiwillig zur Verfügung stellt und die Behörde sodann diesen Zugang nutzt. Weiter liege kein Eingriff vor, wenn die Behörde allgemein zugängliche Inhalte erhebt, indem sie offene Diskussionsforen oder nicht zugangsgesicherte Webseiten einsieht.

Durch das Telekommunikationsgeheimnis wird nach der Begründung des Gerichts nur das Vertrauen des Einzelnen darin geschützt, dass eine Fernkommunikation, an der er beteiligt ist, nicht von Dritten zur Kenntnis genommen wird. Das Vertrauen der Kommunikationspartner zueinander wird nicht vom Telekommunikationsgeheimnis umfasst. Sobald ein Kommu-ikationspartner daher der staatlichen Stelle den Zugriff erlaube, handele diese autorisiert. Als Verstoß gegen das Telekommunikationsgeheimnis wertete das Bundesverfassungsgericht Situationen, in denen staatliche Stellen im Rahmen der heimlichen Aufklärung Kommunikationsinhalte überwachen, indem sie Zugangsschlüssel nutzt, die ohne oder gegen den Willen der Kommunikationsbeteiligten erlangt wurden (zum Beispiel durch Keylogging) .

Eine "reine Internetaufklärung" hält das Bundesverfassungsgericht allerdings für zulässig. Nach der Begründung des Gerichts ermöglichen die Kommunikationsdienste des Internet in weitem Umfang den Aufbau von Kommunikationsbeziehungen, in deren Rahmen das Vertrauen eines Kommunikationspartners in die Identität und Wahrhaftigkeit seiner Kommunikationspartner nicht schutzwürdig ist. Dies gelte auch dann, wenn der Kommunikationspartner längere Zeit, etwa im Rahmen eines Diskussionsforums, an der Kommunikation teilnimmt und sich eine "elektronische Gemeinschaft" gebildet habe. Mangels von Überprüfungsmöglichkeiten sei sein Vertrauen darauf, dass er nicht mit einer staatlichen Stelle kommuniziert, nicht schutzwürdig.

Ein unzulässiger Eingriff in das Recht auf informationelle Selbstbestimmung kann nach den Darlegungen des Gerichts allerdings gegeben sein, wenn Informationen, die durch die Sichtung allgemein zugänglicher Inhalte gewonnen werden, gezielt zusammengetragen, gespeichert und ggf. unter Hinzuziehung weiterer Daten ausgewertet werden und sich daraus eine besondere Gefährdungslage für die Persönlichkeit des Betroffenen ergibt .

Bei der Lektüre dieser Schilderungen kann man durchaus die Schlussfolgerung ziehen, dass das Internet mit der Nutzung von E-Mails und Diskussionsforen beim Bundesverfassungsgericht "angekommen" ist. Die Darlegungen, welche Möglichkeiten den staatlichen Stellen für die "reine Internetaufklärung" zur Verfügung stehen, ohne Grundrechte der Betroffenen zu verletzen, kann als "Segelanweisung" dahingehend verstanden werden, in welchem Maß bereits zur Zeit das Vorgehen der Ermittlungsbehörden und Nachrichtendienste - grundrechts-systematisch - als zulässig angesehen wird.

Andererseits macht das Bundesverfassungsgericht deutlich, dass sich der einzelne Bürger nie sicher sein kann, in einem Chat, Diskussionsforum oder per E-Mail mit dem (verdeckt handelnden) Staat zu kommunizieren. Dies stellt - freiheitsrechtlich - die oft zitierte Kehrseite der Medaille dar.

Künftige Entwicklungen

Es dürfte zukünftig spannend zu beobachten sein, wie sich die neue und erweiterte Auslegung des Schutzbereichs des allgemeinen Persönlichkeitsrechts und damit das neue Grund-recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme auf weitere Rechtsfragen auswirken, die in keinem unmittelbaren Zusammenhang mit der "Online-Durchsuchung" stehen. Großen Einfluss hat diese neue Rechtsprechung auf den Begriff der personenbezogenen Daten - jedenfalls in Bezug auf die Verwendung derselben in informationstechnischen Systemen. Denn dieser Rechtsbegriff wurde maßgeblich geprägt durch das sogenannte "Volkszählungsurteil" aus dem Jahr 1983, an das das Bundesverfassungsgericht in seiner Begründung ausdrücklich anknüpft. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, bewertete das Urteil als "(...) die aus Datenschutzsicht wichtigste Entscheidung des Bundesverfassungsgerichts seit dem Volkszählungsurteil".

Der Politik in Gestalt der Großen Koalition verbleibt nun die Aufgabe, die Vorgaben des Bundesverfassungsgerichts bzgl. der gesetzlichen Regelung der "Online-Durchsuchung" auf Bundesebene in Gesetzesform zu gießen. Diese Umsetzung bleibt abzuwarten und sodann zu bewerten.

Der Autor Martin Stabno ist Rechtsanwalt und Verwaltungswirt und arbeitet in der Kanzlei Feil Rechtsanwälte, Georgsplatz 9, 30159 Hannover, Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de