Das IT-Grundrecht im Detail
Mittwoch, 27. Februar 2008, von Benjamin Küchenhoff
Zur dogmatischen Einordnung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
Die im nordrhein-westfälischen Verfassungsschutzgesetz (VSG) vorgesehene Online-Durchsuchung ist verfassungswidrig. Das entschied heute das BVerfG (1 BvR 370/07, 1 BvR 595/07). In seiner Entscheidung entwickelt das Gericht ein neues Grundrecht „auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Dieses Recht schützt den Betroffenen vor Zugriffen auf Computer, Netzwerke und vergleichbare Systeme, wenn diese Zugriffe sein Persönlichkeitsrecht gefährden.
Die im nordrhein-westfälischen Verfassungsschutzgesetz (VSG) vorgesehene Online-Durchsuchung ist verfassungswidrig. Das entschied heute das BVerfG (1 BvR 370/07, 1 BvR 595/07). In seiner Entscheidung entwickelt das Gericht ein neues Grundrecht „auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Dieses Recht schützt den Betroffenen vor Zugriffen auf Computer, Netzwerke und vergleichbare Systeme, wenn diese Zugriffe sein Persönlichkeitsrecht gefährden.
Das neue Grundrecht im Einzelnen:
1. Dogmatische Herleitung
Das BVerfG bezeichnet seine neue Rechtskonstruktion umstandslos als „Grundrecht“ (1. Leitsatz; Abs. 166). Dieses Grundrecht ist, so das Gericht, eine weitere „Ausprägung des allgemeinen Persönlichkeitsrechts“ gemäß Art. 2 Abs. 1 i.V.m. Art.1 Abs. 1 GG (Abs. 167) und steht damit dem in BVerfGE 65, 1ff entwickelten Recht auf informationelle Selbstbestimmung gleich (vgl. Abs. 196, 201). Es bedürfe der „lückenschließenden Gewährleistung“ des Persönlichkeitsschutzes, um den „neuartigen Gefährdungen“ durch technischen Fortschritt und durch den Wandel der Lebensverhältnisse zu begegnen (Abs. 169). Die Grundrechte des Telekommunikationsgeheimnisses (Art. 10 Abs. 1 GG) und der Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG) sowie das Recht auf informationelle Selbstbestimmung trügen diesem Schutzbedürfnis nicht hinreichend Rechnung (Abs. 181ff.), da sie jeweils „Schutzlücken“ hinterließen (Abs. 187, 191).
2. Grundrechtsinhalt
Informationstechnische Systeme
Das Grundrecht schützt vor einem Zugriff auf „informationstechnische Systeme“. Das BVerfG definiert diesen Begriff nicht unmittelbar, nennt aber etliche Beispiele. Geschützt sind danach
- Das Internet insgesamt (Abs. 4);
- Rechnernetzwerke (Abs. 4);
- Personalcomputer (Abs. 172);
- Telekommunikationsgeräte (Abs. 173), z.B. Mobiltelefone (Abs. 203);
- elektronische Geräte in Wohnungen (Abs. 173) bzw. „Steuerungsanlagen der Haustechnik“ (Abs. 202);
- elektronische Geräte in Kraftfahrzeugen (Abs. 173);
- elektronische Terminkalender (Abs. 203).
Zugriff
Geschützt sind diese informationstechnischen Systeme vor einem „Zugriff“.
Zugriff ist dabei jeder Zugriff, d.h. wohl jede Einwirkung, auf das informationstechnische System, nicht nur der Zugriff auf bestimmte Daten oder einzelne Kommunikationsvorgänge (Abs. 201). Wird auf Daten zugegriffen, sind sowohl die „im Arbeitsspeicher gehaltenen“ wie die „temporär oder dauerhaft“ abgespeicherten Daten umfasst (Abs. 205).
Heimlicher Zugriff?
Das BVerfG bestimmt nicht eindeutig, ob der Zugriff heimlich sein muss oder ob das Grundrecht auch vor offenem Zugriff schützt. Gegen eine Beschränkung auf den heimlichen Zugriff sprechen einige Formulierungen des Gerichts (Abs. 205: „insbesondere“; Abs. 180: „zum Teil“). Deutlich ist aber, dass das Gericht den heimlichen Zugriff als Hauptangriffspunkt betrachtet: Es macht die „Vertraulichkeits- und Integritätserwartung“ des Benutzers als Schutzgut aus (Abs. 206) und betont die besondere Schutzwürdigkeit gegenüber heimlichen Zugriffen (Abs. 238 sowie ausführlich bei der Verhältnismäßigkeitsprüfung des § 5 Abs. 2 Nr. 11 VSG, Abs. 226ff.). Auch verschiedene Schutzlücken in Art. 10 Abs. 1 und 13 Abs. 1 GG werden gegenüber „heimlichen“ bzw. „infiltrierenden“ Maßnahmen festgestellt (Abs. 187, 189, 194) – aber eben nicht alle (Abs. 185 f.). Zudem sind auch offene Zugriffe auf informationstechnische Systeme denkbar – etwa die erzwungene Duldung von Zugriffen – die die Persönlichkeit des Betroffenen ebenso beeinträchtigen können wie ein heimlicher Zugriff. Richtigerweise betrifft also nicht nur der heimliche, sondern jeder Zugriff den Schutzbereich des neuen Grundrechts.
Gefährdung der Persönlichkeit
Nicht jeder Zugriff auf informationstechnische Systeme eröffnet automatisch den Schutzbereich. Das Grundrecht schützt vor Zugriffen nur, wenn dadurch die Persönlichkeit des Betroffenen in einem bestimmten Maße gefährdet ist. Dies ist dann der Fall, wenn der Zugriff auf das System es ermöglicht, „einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“ (Abs. 203). Nicht geschützt ist der Betroffene gegen den Zugriff auf Geräte, die nach ihrer technischen Konstruktion „lediglich Daten mit punktuellem Bezug zu einem bestimmten Lebensbereich des Betroffenen“ enthalten – das BVerfG nennt hier Haustechnikanlagen als Beispiel (Abs. 202).
Eingriff
Ein Eingriff in den Schutzbereich liegt vor, „wenn die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können“ (Abs. 206).
Schranken
Das neue Grundrecht steht unter einem allgemeinen Gesetzesvorbehalt; gerechtfertigt können Eingriffe sowohl zur Prävention als auch zur Strafverfolgung sein (Abs. 207).
Anforderungen an die Verhältnismäßigkeit
Bei seiner Prüfung, ob die nordrhein-westfälische Vorschrift verhältnismäßig ist, stellt das BVerfG auch einige allgemeine Erwägungen an, die für die künftige Anwendung des neuen Grundrechts von Bedeutung sind – wohl wissend, dass die Politik schon im Vorfeld angekündigt hat, diese Entscheidung zum Maßstab für künftige Regelungen zur Online-Durchsuchung zu nehmen.
Insbesondere nimmt das Gericht Stellung zur Intensität möglicher Grundrechtseingriffe. Die Intensität eines Eingriffs sei erhöht, und die Verhältnismäßigkeit besonders streng zu prüfen, wenn
- Daten erhoben werden, die Rückschlüsse auf das Kommunikationsverhalten zulassen, da dadurch die Möglichkeit der Bürger zur „unbeobachteten Fernkommunikation“ beschränkt werde; diese Möglichkeit liege auch „im Allgemeinwohl“ (Abs. 233);
- die Überwachung länger andauert (Abs. 234ff);
- der Eingriff heimlich erfolgt (Abs. 238);
- andere Rechtsgüter des Betroffenen oder Dritter, z.B. die Integrität des Rechners, gefährdet sind (Abs. 239ff).
Absolut geschützter Kernbereich privater Lebensgestaltung
Das BVerfG konkretisiert auch die Reichweite des aus Art. 1 Abs. 1 GG abgeleiteten Kernbereichs privater Lebensgestaltung. Dieser ist absolut geschützt und darf nicht durch staatliche Eingriffe angetastet werden; seine heutige Gestalt hat ihm das BVerfG in BVerfGE 109, 279ff. verliehen. Um diesen Schutz zu gewährleisten, entwickelt das BVerfG in seiner heutigen Entscheidung ein „zweistufiges Schutzkonzept“ (Abs. 280). Eine gesetzliche Regelung mit Auswirkung auf diesen Kernbereich müsse
- darauf hinwirken, „dass die Erhebung kernbereichsrelevanter Daten soweit wie informationstechnisch und ermittlungstechnisch möglich unterbleibt“ (Abs. 281);
- wenn die Kernbereichsrelevanz sich vorher nicht klären lasse, „geeignete Verfahrensvorschriften“ enthalten, die bei der Erhebung von kernbereichsbezogenen Daten „die Intensität der Kernbereichsverletzung und ihre Auswirkungen für die Persönlichkeit und Entfaltung des Betroffenen so gering wie möglich bleiben“ (Abs. 282f.).
Das Grundrecht ist subsidiär gegenüber anderen Grundrechten; das BVerfG nennt „insbesondere“ Art. 10 Abs. 1, 13 Abs. 1 GG sowie das Recht auf informationelle Selbstbestimmung (Abs. 167ff.). Das neue Grundrecht soll also nur die festgestellten Regelungslücken füllen.
Kommentare
Der Beitrag betrachtet sehr ausführlich die Konsequenzen des "neuen" Grundrechtes „auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“.
Leider bleibt dabei der letzte Satze des Punktes 5. der Leitsätze unberücksichtigt.
Mit der Formulierung
"Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein."
bleibt es dem Staat weiterhin überlassen, sich unbemerkt in Kommunikationswege einzuschalten und die Kommunikation im Internet zu überwachen. Grundlage dafür ist die technische Gegebenheit der Internet-Kommunikation, dass diese unverschlüsselt erfolgt und jeder Kommunikationsteilnehmer (Provider, Netzbetreiber usw.) prinzipiell mitlesen kann. Diese Informationen kann der Staat auch weiterhin unbeschränkt abgreifen und nutzen.
Leider bleibt dabei der letzte Satze des Punktes 5. der Leitsätze unberücksichtigt.
Mit der Formulierung
"Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein."
bleibt es dem Staat weiterhin überlassen, sich unbemerkt in Kommunikationswege einzuschalten und die Kommunikation im Internet zu überwachen. Grundlage dafür ist die technische Gegebenheit der Internet-Kommunikation, dass diese unverschlüsselt erfolgt und jeder Kommunikationsteilnehmer (Provider, Netzbetreiber usw.) prinzipiell mitlesen kann. Diese Informationen kann der Staat auch weiterhin unbeschränkt abgreifen und nutzen.
Zum Urteil des BVerfG gibt es in der Tat noch einiges zu sagen, aber nicht in einem einzigen Beitrag - der würde zu lang. Hier ging es deshalb zunächst nur um das neue IT-Grundrecht.
Wobei ich Ihre Auffassung jetzt gar nicht unbedingt in dem Urteil wiederfinde. Das BVerfG spricht ja explizit von "öffentlich zugänglichen" Teilen des Internet. Ich denke, es geht hier um das Auswerten von Internetseiten in Projekten wie dem "Dark Web":
http://www.spiegel.de/netzwelt/web/0,1518,505255,00.html
Das betrifft aber nicht die Kommunikationsvorgänge an sich - die sind und bleiben vom Fernmeldegeheimnis geschützt. Übrigens ist mir auch neu, dass "Internet-Kommunikation" unverschlüsselt erfolgt. Meines Wissens hängt das im großen Maße davon ab, welches Protokoll eingesetzt wird und an welchem Abschnitt des Kommunikationswegs angesetzt wird.
http://www.spiegel.de/netzwelt/web/0,1518,505255,00.html
Das betrifft aber nicht die Kommunikationsvorgänge an sich - die sind und bleiben vom Fernmeldegeheimnis geschützt. Übrigens ist mir auch neu, dass "Internet-Kommunikation" unverschlüsselt erfolgt. Meines Wissens hängt das im großen Maße davon ab, welches Protokoll eingesetzt wird und an welchem Abschnitt des Kommunikationswegs angesetzt wird.
Die Kommunikation im Internet (eMail, http, ftp) erfolgt generell unverschlüsselt.
Ausnahmen bilden nur VPN (virtuelle private Netze)-Verbindungen von Unternehmen oder SSL-Verbindungen.
Einfach mal im Browser nachsehen, wann https erscheint, nur dann ist die Verbindung verschlüsselt.
Ausnahmen bilden nur VPN (virtuelle private Netze)-Verbindungen von Unternehmen oder SSL-Verbindungen.
Einfach mal im Browser nachsehen, wann https erscheint, nur dann ist die Verbindung verschlüsselt.
Ja, aber: 
1. Die Verschlüsselung hängt m.W. schon davon ab, welches Protokoll verwendet wird, bzw. an welchen Stellen des Übertragungswegs / auf welchem "Layer" die Überwachung stattfindet. Der Uplink zum Service-Provider z.B. dürfte üblicherweise schon verschlüsselt sein, oder? Genauso kann - und wird - in vielen sicherheitsrelevanten Bereichen auch jetzt schon Verschlüsselung eingesetzt, eben über die erwähnten SSL-Verbindungen.
2. Ich finde die Behauptung, die Entscheidung erlaube dem Staat nun das "Einschalten in Kommunikationswege", etwas zu undifferziert. Denn die Entscheidung trennt zwischen dem Auslesen von Inhaltsdaten - diese sind vom IT-Grundrecht geschützt - und dem Aufschalten auf bestehende Kommunikationsverbindungen, der sog. "Telekommunikationsüberwachung". Diese ist von neuen Grundrecht nicht erfasst - wohl aber vom Fernmeldegeheimnis. Das BVerfG schreibt dazu in den Absätzen 188 ff.:
Hier ist also begrifflich zu trennen zwischen dem Auswerten von Internet-Inhalten
(1.) auf dem "herkömmlichen" Weg (Ansurfen und Auswerten von Internetseiten),
(2.) auf dem Weg des "Hacking" und
(3.) auf dem Weg des "Abhörens" eines Kommunikationsvorgangs.
Punkt 1 ist m.E. überhaupt nicht vom Schutzbereich des IT-Grundrechts erfasst (str.), Punkt 2 unterfällt dem IT-Grundrecht. Punkt 3 unterfällt ausschließlich dem Fernmeldegeheimnis (Art. 10 GG).
1. Die Verschlüsselung hängt m.W. schon davon ab, welches Protokoll verwendet wird, bzw. an welchen Stellen des Übertragungswegs / auf welchem "Layer" die Überwachung stattfindet. Der Uplink zum Service-Provider z.B. dürfte üblicherweise schon verschlüsselt sein, oder? Genauso kann - und wird - in vielen sicherheitsrelevanten Bereichen auch jetzt schon Verschlüsselung eingesetzt, eben über die erwähnten SSL-Verbindungen.
2. Ich finde die Behauptung, die Entscheidung erlaube dem Staat nun das "Einschalten in Kommunikationswege", etwas zu undifferziert. Denn die Entscheidung trennt zwischen dem Auslesen von Inhaltsdaten - diese sind vom IT-Grundrecht geschützt - und dem Aufschalten auf bestehende Kommunikationsverbindungen, der sog. "Telekommunikationsüberwachung". Diese ist von neuen Grundrecht nicht erfasst - wohl aber vom Fernmeldegeheimnis. Das BVerfG schreibt dazu in den Absätzen 188 ff.:
Zitat:
Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert („Quellen-Telekommunikationsüberwachung“), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist. Insbesondere können auch die auf dem Personalcomputer abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des Systems aufweisen. Erfasst werden können beispielsweise das Verhalten bei der Bedienung eines Personalcomputers für eigene Zwecke, die Abrufhäufigkeit bestimmter Dienste, insbesondere auch der Inhalt angelegter Dateien oder - soweit das infiltrierte informationstechnische System auch Geräte im Haushalt steuert - das Verhalten in der eigenen Wohnung.
Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen - anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung - stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit kann durch Art. 10 Abs. 1 GG nicht oder nicht hinreichend begegnet werden.
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.
Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen - anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung - stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit kann durch Art. 10 Abs. 1 GG nicht oder nicht hinreichend begegnet werden.
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.
Hier ist also begrifflich zu trennen zwischen dem Auswerten von Internet-Inhalten
(1.) auf dem "herkömmlichen" Weg (Ansurfen und Auswerten von Internetseiten),
(2.) auf dem Weg des "Hacking" und
(3.) auf dem Weg des "Abhörens" eines Kommunikationsvorgangs.
Punkt 1 ist m.E. überhaupt nicht vom Schutzbereich des IT-Grundrechts erfasst (str.), Punkt 2 unterfällt dem IT-Grundrecht. Punkt 3 unterfällt ausschließlich dem Fernmeldegeheimnis (Art. 10 GG).
Das Bundesverfassungsgericht hat ein neues Grundrecht entdeckt - das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. In dem Verfahren 1 BvR 370/07 (Volltext der Entscheidung) hat das Gericht m...
Aufgenommen: 03.03.2008, 05:05h
Am Mittwoch will die Bundesregierung über die Novelle des heftig umstrttenen BKA-Gesetzes abstimmen. Mitte April hatten sich der Bundesinnenminister und die Justizministerin auf einen Entwurf geeinigt; er sieht vor, die Befugnisse der Kriminalpolizei des
Aufgenommen: 03.06.2008, 12:12h
Ich bin Nutzer eines alternativen DNS-Servers. Als die Deutsche Telekom neben Ihren Datenskandalen kurz vor den Netzsperrenverträgen angefangen hat, DNS-Anfragen zu manipulieren und mir bei nicht existierenden Domains Suchseite und Werbung unterschieben w
Aufgenommen: 25.06.2009, 10:10h