Das IT-Grundrecht im Detail
Zur dogmatischen Einordnung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
Die im nordrhein-westfälischen Verfassungsschutzgesetz (VSG) vorgesehene Online-Durchsuchung ist verfassungswidrig. Das entschied heute das BVerfG (1 BvR 370/07, 1 BvR 595/07). In seiner Entscheidung entwickelt das Gericht ein neues Grundrecht „auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Dieses Recht schützt den Betroffenen vor Zugriffen auf Computer, Netzwerke und vergleichbare Systeme, wenn diese Zugriffe sein Persönlichkeitsrecht gefährden.
Das neue Grundrecht im Einzelnen:
1. Dogmatische Herleitung
Das BVerfG bezeichnet seine neue Rechtskonstruktion umstandslos als „Grundrecht“ (1. Leitsatz; Abs. 166). Dieses Grundrecht ist, so das Gericht, eine weitere „Ausprägung des allgemeinen Persönlichkeitsrechts“ gemäß Art. 2 Abs. 1 i.V.m. Art.1 Abs. 1 GG (Abs. 167) und steht damit dem in BVerfGE 65, 1ff entwickelten Recht auf informationelle Selbstbestimmung gleich (vgl. Abs. 196, 201). Es bedürfe der „lückenschließenden Gewährleistung“ des Persönlichkeitsschutzes, um den „neuartigen Gefährdungen“ durch technischen Fortschritt und durch den Wandel der Lebensverhältnisse zu begegnen (Abs. 169). Die Grundrechte des Telekommunikationsgeheimnisses (Art. 10 Abs. 1 GG) und der Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG) sowie das Recht auf informationelle Selbstbestimmung trügen diesem Schutzbedürfnis nicht hinreichend Rechnung (Abs. 181ff.), da sie jeweils „Schutzlücken“ hinterließen (Abs. 187, 191).
2. Grundrechtsinhalt
Informationstechnische Systeme
Das Grundrecht schützt vor einem Zugriff auf „informationstechnische Systeme“. Das BVerfG definiert diesen Begriff nicht unmittelbar, nennt aber etliche Beispiele. Geschützt sind danach
- Das Internet insgesamt (Abs. 4);
- Rechnernetzwerke (Abs. 4);
- Personalcomputer (Abs. 172);
- Telekommunikationsgeräte (Abs. 173), z.B. Mobiltelefone (Abs. 203);
- elektronische Geräte in Wohnungen (Abs. 173) bzw. „Steuerungsanlagen der Haustechnik“ (Abs. 202);
- elektronische Geräte in Kraftfahrzeugen (Abs. 173);
- elektronische Terminkalender (Abs. 203).
Zugriff
Geschützt sind diese informationstechnischen Systeme vor einem „Zugriff“.
Zugriff ist dabei jeder Zugriff, d.h. wohl jede Einwirkung, auf das informationstechnische System, nicht nur der Zugriff auf bestimmte Daten oder einzelne Kommunikationsvorgänge (Abs. 201). Wird auf Daten zugegriffen, sind sowohl die „im Arbeitsspeicher gehaltenen“ wie die „temporär oder dauerhaft“ abgespeicherten Daten umfasst (Abs. 205).
Heimlicher Zugriff?
Das BVerfG bestimmt nicht eindeutig, ob der Zugriff heimlich sein muss oder ob das Grundrecht auch vor offenem Zugriff schützt. Gegen eine Beschränkung auf den heimlichen Zugriff sprechen einige Formulierungen des Gerichts (Abs. 205: „insbesondere“; Abs. 180: „zum Teil“). Deutlich ist aber, dass das Gericht den heimlichen Zugriff als Hauptangriffspunkt betrachtet: Es macht die „Vertraulichkeits- und Integritätserwartung“ des Benutzers als Schutzgut aus (Abs. 206) und betont die besondere Schutzwürdigkeit gegenüber heimlichen Zugriffen (Abs. 238 sowie ausführlich bei der Verhältnismäßigkeitsprüfung des § 5 Abs. 2 Nr. 11 VSG, Abs. 226ff.). Auch verschiedene Schutzlücken in Art. 10 Abs. 1 und 13 Abs. 1 GG werden gegenüber „heimlichen“ bzw. „infiltrierenden“ Maßnahmen festgestellt (Abs. 187, 189, 194) – aber eben nicht alle (Abs. 185 f.). Zudem sind auch offene Zugriffe auf informationstechnische Systeme denkbar – etwa die erzwungene Duldung von Zugriffen – die die Persönlichkeit des Betroffenen ebenso beeinträchtigen können wie ein heimlicher Zugriff. Richtigerweise betrifft also nicht nur der heimliche, sondern jeder Zugriff den Schutzbereich des neuen Grundrechts.
Gefährdung der Persönlichkeit
Nicht jeder Zugriff auf informationstechnische Systeme eröffnet automatisch den Schutzbereich. Das Grundrecht schützt vor Zugriffen nur, wenn dadurch die Persönlichkeit des Betroffenen in einem bestimmten Maße gefährdet ist. Dies ist dann der Fall, wenn der Zugriff auf das System es ermöglicht, „einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“ (Abs. 203). Nicht geschützt ist der Betroffene gegen den Zugriff auf Geräte, die nach ihrer technischen Konstruktion „lediglich Daten mit punktuellem Bezug zu einem bestimmten Lebensbereich des Betroffenen“ enthalten – das BVerfG nennt hier Haustechnikanlagen als Beispiel (Abs. 202).
Eingriff
Ein Eingriff in den Schutzbereich liegt vor, „wenn die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können“ (Abs. 206).
Schranken
Das neue Grundrecht steht unter einem allgemeinen Gesetzesvorbehalt; gerechtfertigt können Eingriffe sowohl zur Prävention als auch zur Strafverfolgung sein (Abs. 207).
Anforderungen an die Verhältnismäßigkeit
Bei seiner Prüfung, ob die nordrhein-westfälische Vorschrift verhältnismäßig ist, stellt das BVerfG auch einige allgemeine Erwägungen an, die für die künftige Anwendung des neuen Grundrechts von Bedeutung sind – wohl wissend, dass die Politik schon im Vorfeld angekündigt hat, diese Entscheidung zum Maßstab für künftige Regelungen zur Online-Durchsuchung zu nehmen.
Insbesondere nimmt das Gericht Stellung zur Intensität möglicher Grundrechtseingriffe. Die Intensität eines Eingriffs sei erhöht, und die Verhältnismäßigkeit besonders streng zu prüfen, wenn
- Daten erhoben werden, die Rückschlüsse auf das Kommunikationsverhalten zulassen, da dadurch die Möglichkeit der Bürger zur „unbeobachteten Fernkommunikation“ beschränkt werde; diese Möglichkeit liege auch „im Allgemeinwohl“ (Abs. 233);
- die Überwachung länger andauert (Abs. 234ff);
- der Eingriff heimlich erfolgt (Abs. 238);
- andere Rechtsgüter des Betroffenen oder Dritter, z.B. die Integrität des Rechners, gefährdet sind (Abs. 239ff).
Ein heimlicher Zugriff sei nach diesen Maßstäben nur dann zulässig, „wenn bestimmte Tatsachen auf eine im Einzelfall drohende Gefahr für ein überragend wichtiges Rechtsgut hinweisen“ (Abs. 242); überragend wichtig sind „Leib, Leben und Freiheit der Person“ sowie solche Allgemeingüter, „deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt“ (Abs. 247). Erforderlich ist auch die Einrichtung eines Richtervorbehaltes (Abs. 257) bzw. einer vergleichbaren „vorbeugenden Kontrolle […] durch eine unabhängige und neutrale Instanz“ (Abs. 258ff.). Zulässig ist unter bestimmten Voraussetzungen eine Ausnahmeregelung für Eilfälle (Abs. 261).
Absolut geschützter Kernbereich privater Lebensgestaltung
Das BVerfG konkretisiert auch die Reichweite des aus Art. 1 Abs. 1 GG abgeleiteten Kernbereichs privater Lebensgestaltung. Dieser ist absolut geschützt und darf nicht durch staatliche Eingriffe angetastet werden; seine heutige Gestalt hat ihm das BVerfG in BVerfGE 109, 279ff. verliehen. Um diesen Schutz zu gewährleisten, entwickelt das BVerfG in seiner heutigen Entscheidung ein „zweistufiges Schutzkonzept“ (Abs. 280). Eine gesetzliche Regelung mit Auswirkung auf diesen Kernbereich müsse
- darauf hinwirken, „dass die Erhebung kernbereichsrelevanter Daten soweit wie informationstechnisch und ermittlungstechnisch möglich unterbleibt“ (Abs. 281);
- wenn die Kernbereichsrelevanz sich vorher nicht klären lasse, „geeignete Verfahrensvorschriften“ enthalten, die bei der Erhebung von kernbereichsbezogenen Daten „die Intensität der Kernbereichsverletzung und ihre Auswirkungen für die Persönlichkeit und Entfaltung des Betroffenen so gering wie möglich bleiben“ (Abs. 282f.).
3. Konkurrenzen
Das Grundrecht ist subsidiär gegenüber anderen Grundrechten; das BVerfG nennt „insbesondere“ Art. 10 Abs. 1, 13 Abs. 1 GG sowie das Recht auf informationelle Selbstbestimmung (Abs. 167ff.). Das neue Grundrecht soll also nur die festgestellten Regelungslücken füllen.
