Vertraulichkeit und Integrität informationstechnischer Systeme
Bei diesem Text handelt es sich um die Arbeitsversion eines im DeGruyter-Verlag veröffentlichten Werkes, das unter folgendem Link abgerufen werden kann. Hauptverantwortlich für den als PDF veröffentlichten Artikel war Maximilian Petras.
Kommentare oder direkte Änderungen sind herzlich willkommen und werden in der zweiten Auflage berücksichtigt. Eine Anleitung dazu gibt es unter diesem Link
Notwendiges Vorwissen: Prüfung eines Freiheitsgrundrechts, Recht auf freie Entfaltung der Persönlichkeit, Grundrecht auf informationelle Selbstbestimmung
Lernziel: Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme verstehen und abgrenzen
Das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme (teilweise etwas unpräzise als "Computergrundrecht" bezeichnet) wurde vom BVerfG als Ausformung des Persönlichkeitsrechts vor dem Hintergrund neuer Persönlichkeitsgefahren neu formuliert.[1] Es schützt davor, dass digitale Endgeräte heimlich überwacht werden. Das BVerfG hielt den Schutz bestehender Grundrechte nicht für ausreichend, da so viele private Aspekte unserer Persönlichkeit auf Smartphones oder Computern zu finden sind, dass eine Überwachung sehr viel über die betroffene Person aussagt.
Das Bundesverfassungsgericht hielt es für notwendig, die Dogmatik weiter zu entwickeln, weil digitale Endgeräte omnipräsent sind. Faktisch ist ein großer Bereich gesellschaftlicher Teilhabe nur über digitale Kommunikation möglich. Gusy spricht hier anschaulich von einer "Informations- und Kommunikationsgesellschaft"[2]. Dass ein erhöhter Schutzbedarf besteht, war auch in der Literatur unumstritten, allerdings war unklar, ob hierfür tatsächlich ein neues Grundrecht notwendig war. Teilweise wurde die informationelle Selbstbestimmung als ausreichend empfunden, da es letztendlich auch um den Schutz (einer größeren Menge) Daten gehe.[3] Wegen der ebenfalls bestehenden Schwächen der informationellen Selbstbestimmung wurde auch eine Anknüpfung an das Persönlichkeitsrecht unter Einbeziehung von Art. 8 EMRK vorgeschlagen.[4] Andererseits könnte das neue Grundrecht auch so gelesen werden, dass eine reine abwehrrechtilche Perspektive der sonstigen digitalen Grundrechte nicht ausreicht und es auch darum gehen muss, die Vertraulichkeit und Integrität der Systeme einer privaten Kommunikationsinfrastruktur freiheitsfördernd zu gestalten.[5] Gerade die informationelle Selbstbestimmung ist – trotz Ansätzen zu einem Systemdatenschutz – auf die selbstbestimmte Kontrolle einzelner Datenverarbeitungen gerichtet.[6] Wenn auf ein informationstechnisches System zugegriffen wird, ist nicht nur eine Vielzahl unterschiedlicher Datenbestände einsehbar, sondern gleichzeitig (z.B. durch den Zugriff auf Passwörter) der Zugriff auf externe Datenspeicher möglich.[7] Dieses Gefährdungspotential lässt sich nur mit dem Grundrecht auf informationelle Selbstbestimmung nicht abbilden.
A. Schutzbereich
[Bearbeiten]I. Sachlicher Schutzbereich
[Bearbeiten]Das Grundrecht bezieht sich auf Systeme, die so viele personenbezogene Daten der betroffenen Person enthalten, dass ein Zugriff auf das System einen Einblick in wesentliche Teile der Lebensgestaltung oder sogar ein aussagekräftiges Bild der Persönlichkeit der Person ermöglicht.[8] Hierbei muss das System als eigenes genutzt werden, sodass eine gewisse Vertraulichkeits- und Integritätserwartung der Nutzer:in besteht.[9] Geschützt wird also nicht nur das System selbst, sondern vor allem das Vertrauen darauf, dass ein eingesetztes System so funktioniert, wie es von der Nutzer:in erwartet werden kann.[10] In den Schutz einbezogen sind auch Daten, die zwar auf externen Servern ("Cloud") gespeichert werden, aber nur über das Gerät zugänglich sind.
Beispiel: Geschützt sind der eigene Laptop, das eigene Tablet oder das persönliche Smartphone. Nicht geschützt wären öffentlich zugängliche Computer in der Universität. Auch Smart-Home Geräte können darunter fallen, wenn sie im WLAN hängen.
Wichtig für die Eröffnung des Schutzbereiches ist der Eingriff auf das System über das Internet (z.B. durch einen "Staatstrojaner" als verwendete Spähsoftware). Wenn die staatlichen Sicherheitsbehörden manuell in die Wohnung eindringen würden, um händisch Spähsoftware auf dem Computer der Zielperson zu installieren, wären eher das Persönlichkeitsrecht in der Dimension des Privatsphärenschutzes und der Schutz der Wohnung aus Art. 13 GG relevant.[11]
Weitgehend ungeklärt ist die Reichweite des Schutzes gegenüber Privaten.[12] Die Frage wird umso drängender im Angesicht einer Netz-, Soft- und Hardwareinfrastruktur, die weitgehend von global agierenden, durch Geschäftsgeheimnisse notorisch intransparenten Konzernen zur Verfügung gestellt wird.
II. Persönlicher Schutzbereich
[Bearbeiten]Das Grundrecht findet auf alle natürlichen Personen Anwendung, da es aus dem Recht auf freie Entfaltung der Persönlichkeit hergeleitet wird.
Auch eine Anwendung auf juristische Personen ist denkbar, ggf. mit einem abgemilderten Schutz, da hier die Aspekte der Menschenwürde nicht betroffen sein können.
B. Eingriff
[Bearbeiten]Ein Eingriff in den Schutzbereich liegt schon dann vor, wenn eine entsprechende Spähsoftware ("Trojaner") auf dem Gerät installiert ist und noch keine Daten abgegriffen worden sind. Bereits jetzt ist die Integrität des Gerätes betroffen, da schon zu diesem Zeitpunkt beliebige Daten ausgelesen oder sogar verändert/gelöscht werden können.[13] Im Gegensatz zu anderen Beeinträchtigungen digitaler Grundrechte ist der heimliche Eingriff hier der Normalfall. Das führt u.a. zu den besonders hohen Anforderungen an die Rechtfertigung.
C. Rechtfertigung
[Bearbeiten]I. Einschränkbarkeit
[Bearbeiten]Das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme kann wegen der Herleitung aus Art. 2 I GG durch ein Gesetz beschränkt werden. Es handelt sich lediglich um einen einfachen Gesetzesvorbehalt.
II. Grenzen der Einschränkbarkeit
[Bearbeiten]Ein Eingriff in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme kann gerechtfertigt werden, solange die gesetzliche Grundlage bestimmte Anforderungen erfüllt. Auch hier steht das Gericht in seiner Tradition gegenüber staatlicher Überwachung formelle Anforderungen und äußere Grenzen zu definieren.[14]
Die gesetzliche Grundlage muss dem Bestimmtheitsgebot entsprechen. Insbesondere müssen die tatbestandlichen Voraussetzungen der Eingriffgrundlage klar herausgestellt werden.[15] Gerade hier ist eine sorgfältige Beachtung des Bestimmtheitsgebotes besonders wichtig, da die Eingriffe heimlich erfolgen und wenigstens die Möglichkeit des Eingriffs bekannt sein soll. Ein Eingriff in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme ist nur zum Schutz besonders hochwertiger Rechtsgüter möglich, für deren Gefährdung tatsächliche Anhaltspunkte bestehen.[16]
Beispiel für besonders hochwertige Rechtsgüter: Hochwertige Rechtsgüter, die den Eingriff in ein informationstechnisches System rechtfertigen würden, wären zum Beispiel Leib, Leben, Freiheit der Person oder solche Güter der Allgemeinheit, die staatliche Existenzgrundlagen sichern (kritische Infrastruktur).
Ein heimlicher Zugriff auf private Endgeräte ist nicht nur besonders umfangreich hinsichtlich der erlangten Daten, er gefährdet auch die Integrität des Rechners, da bestehende Sicherheitslücken ausgeweitet und die Dateien selbst durch den Staat verändert werden könnten.[17] Deshalb steht der Eingriff unter Richtervorbehalt.[18] Der Richtervorbehalt wird hier vor allem mit der Hochwertigkeit des betroffenen Rechtsguts, der Heimlichkeit der Maßnahme sowie mit der Schaffung vollendeter Tatsachen, wofür Rechtsschutz typischerweise nicht rechtzeitig möglich ist, begründet.[19]
Ein Eingriff in den Kernbereich der Lebensgestaltung (Intimsphäre) muss durch den Staat von Anfang an vermieden werden. Sofern diese Daten unabsichtlich erhoben werden, muss durch geeignete Verfahren garantiert werden, dass sie anschließend wieder gelöscht werden.[20]
Hier besteht folglich das Dilemma, dass die Daten erst sicher der Intimsphäre zugeordnet werden können, wenn sie durch die Behörden ausgewertet werden und somit bereits erhoben sind. Allerdings bleibt es laut BVerfG bei dem Vorrang der Nichterhebung. Deshalb muss im Sinne des "zweistufigen Schutzkonzeptes"[21] gezielt nach Anhaltspunkten gesucht werden, ob die Intimsphäre berührt sein könnte.
D. Konkurrenzen
[Bearbeiten]Art. 10 GG ist immer dann einschlägig, wenn der Staat den Kommunikationsvorgang selbst überwacht. Der Schutz reicht jedoch nicht so weit, dass auch die auf dem Endgerät gespeicherten Daten erfasst werden.[22]
Ein Sonderproblem besteht hier bei der sogenannten "Quellen-Telekommunikationsüberwachung". Hier wird in das zur Kommunikation benutzte Geräte eingedrungen, weil die über das Internet verschickten Datenpakete verschlüsselt sind und von den Sicherheitsbehörden nicht gelesen werden können. In diesem Fall müsste auch das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme eingreifen.[23]
Das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme ist gegenüber dem Schutz der Wohnung aus Art. 13 GG spezieller, sofern nicht die komplette Wohnung sondern lediglich der in der Wohnung stehende Computer überwacht wird. Darüber hinaus werden gerade kleine Geräte wie Laptops oder Smartphones nicht ständig in der Wohnung gelagert, sodass sie grundlegend geschützt werden müssen.[24] Wenn allerdings über das Gerät eine Überwachung der Wohnung erfolgt (Kamera oder Mikrofon werden eingeschaltet), stellt das einen eigenständigen Eingriff in Art. 13 GG dar, der auch hieran gemessen werden muss.[25]
Das Recht auf freie Entfaltung der Persönlichkeit in Ausformung des Schutzes der Privatsphäre hilft ebenfalls nicht weiter, da die auf einem Endgerät gespeicherten Daten allen möglichen Sphären zugerechnet werden können.[26]
Ebenfalls tritt das Grundrecht auf informationelle Selbstbestimmung wegen der besonders großen Menge betroffener Daten und des speziell gelagerten Zugriffes hinter dem hier einschlägigen Grundrecht zurückspezi.[27]
E. Parallele Regelungen auf EU- und EMRK-Ebene
[Bearbeiten]Ein den Gehalt dieses Grundrechts erfassendes ähnliches Grundrecht auf GRCh- oder EMRK-Ebene gibt es nicht. Am ehesten würde der Schutz durch Art. 7, 8 GRCh garantiert werden. Sowohl in Bezug auf die gespeicherten Daten als auch hinsichtlich ihres Privatsphärenbezuges. Gleiches gilt für Art. 8 EMRK.
Zusammenfassung: Die wichtigsten Punkte
[Bearbeiten]- Das "Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme" schützt persönliche digitale Endgeräte.
- Für die Rechtfertigung eines Eingriffes müssen zahlreiche Verfahrensvorkehrungen eingehalten werden.
Weiterführende Studienliteratur
[Bearbeiten]- BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07 = BVerfGE 120, 274 – Online-Durchsuchung
- Wegener/Muth, Das "neue Grundrecht" auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Jura 2010, 847
Fußnoten
[Bearbeiten]- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 168 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ Gusy, DuD 2009, 33 (41).
- ↑ Eifert, NVwZ 2008, 521 (522).
- ↑ Wegener/Muth, Jura 2010, 847 (849).
- ↑ Gusy, DuD 2009, 33 (37).
- ↑ Hoffmann-Riem, JZ 2008, 1009 (1015).
- ↑ Hoffmann-Riem, JZ 2008, 1009 (1016).
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 205 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 208 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ Hoffmann-Riem, JZ 2008, 1009 (1012).
- ↑ Gusy, DuD 2009, 33 (39).
- ↑ Hoffmann-Riem, JZ 2008, 1009 (1019).
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 242 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ Wegener/Muth, Jura 2010, 847 (848).
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 216 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 252 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 242f = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 261 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ Gusy, DuD 2009, 33 (40).
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 283ff. = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ Hoffmann-Riem, JZ 2008, 1009 (1021).
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 187 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ Hoffmann-Riem, JZ 2008, 1009 (1022).
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 196 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ Hoffmann-Riem, JZ 2008, 1009 (1021).
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 199 = BVerfGE 120, 274 – Online-Durchsuchung.
- ↑ BVerfG, Urt. v. 27.2.2008, Az.: 1 BvR 595/07, Rn. 202 = BVerfGE 120, 274 – Online-Durchsuchung.