http://www.faz.net/-gqz-778tf
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER
F+ Icon
F.A.Z. PLUS
abonnieren

Veröffentlicht: 26.02.2013, 16:30 Uhr

Datenschutz Das vergessene Grundrecht

Vor fünf Jahren wurde das IT-Grundrecht zum Schutz der digitalen Privatsphäre eingeführt. In der Praxis spielt das neue Recht bisher kaum eine Rolle. Das muss sich ändern.

von Gerhart R. Baum, Constanze Kurz und Peter Schantz
© dapd Der Schutz privater Daten ist zwar gesetzlich gewährleistet, in der Praxis ist davon aber noch zu wenig zu spüren.

Heute vor fünf Jahren, am 27.Februar 2008, verkündete das Bundesverfassungsgericht sein Urteil zur „Online-Durchsuchung“ und schuf gleichzeitig ein neues Grundrecht. Es erhielt einen etwas sperrigen Namen: Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, oft kurz „IT-Grundrecht“ genannt. Das Gericht war - mit weitem Vorsprung vor vielen Politikern - im Informationszeitalter angekommen. Dies war nicht zuletzt ein Verdienst des damaligen Verfassungsrichters Wolfgang Hoffmann-Riem in seinem letzten Verfahren als Berichterstatter vor seinem Ausscheiden aus dem Gericht.

Eigentlich müsste das Karlsruher Urteil im Zentrum der aktuellen Diskussionen stehen. Zu Unrecht führt das „IT-Grundrecht“ jedoch ein Schattendasein. Anders beim Urteil zur Volkszählung 1983, das das Grundrecht auf informationelle Selbstbestimmung postulierte: Es wurde ausgiebig im juristischen Schrifttum, aber auch mit Herzblut in der breiten Öffentlichkeit diskutiert. Heute bestimmen die Grundsätze des Volkszählungsurteils jede Form von Datenverarbeitung, sei es durch Unternehmen, Privatpersonen oder staatliche Stellen.

Nicht so beim „IT-Grundrecht“. Das überrascht, war dem Urteil doch ein monatelanger Streit über eine ganz grundlegende Frage vorausgegangen: Ob und wie dürfen Polizei und Nachrichtendienste heimlich in Computer und Telefone von Bürgern eindringen? Welche Informationen dürfen sie auf diesem Weg ausspähen?

Der Staat sucht Zugang zu den Computern

Bereits mehr als ein Jahr vor dem Urteil waren Anfragen verschiedener europäischer Behörden bei den Herstellern von Spionagesoftware bekanntgeworden. Im November 2006 beschloss der Haushaltsausschuss des Bundestags im Rahmen des „Programms zur Stärkung der Inneren Sicherheit“ mit einem Volumen von mehr als hundertdreißig Millionen Euro die Ausstattung der Polizeien und Geheimdienste des Bundes mit finanziellen Mitteln, um das Arsenal der Überwachungs- und Kontrollinstrumente zu erweitern, verdächtige Computern heimlich zu infiltrieren. In der Folge gab es erste Ausschreibungen von Polizeibehörden für Programmierer mit entsprechenden Fähigkeiten.

Ein privatwirtschaftlicher Markt für Schadsoftware und Sicherheitslücken war längst entstanden, auch von Kriminellen und Wirtschaftsspionen genutzte Trojaner waren bekannt. Dass aber demokratische Staaten den heimlichen Zugang zu Computern suchten, war neu. Entsprechend groß war 2007 die Empörung, als öffentlich wurde, dass die Nachrichtendienste des Bundes in noch immer unbekanntem Umfang ohne Rechtsgrundlage - und damit rechtswidrig - bereits seit Jahren Rechner infiltriert hatten.

Gegenstand der Entscheidung vom 27.Februar 2008 waren mehrere Verfassungsbeschwerden (unter anderen von zwei der Autoren, Gerhart R. Baum und Peter Schantz) gegen das Verfassungsschutzgesetz des Landes Nordrhein-Westfalen. Es erlaubte als erstes Gesetz in Deutschland ausdrücklich eine „Online-Durchsuchung“. Eine „Online-Durchsuchung“ ist der heimliche Zugriff auf einen Rechner mittels einer Spionagesoftware, die es ermöglicht, sämtliche Daten auf dem Rechner zu lesen - auch solche, die verschlüsselt kommuniziert oder hinterlegt werden. Für viele, wenn nicht die meisten Menschen ist ein Rechner eine Art „ausgelagertes Gehirn“. Er enthält vielfältige Informationen wie E-Mails, Kalender, Texte, Tagebücher, Bilder, Filme, aber auch Passwörter, finanzielle Daten oder die Ultraschallbilder vom Arzt.

Daten des Herzschrittmachers wären für andere lesbar

Mit einem einzigen Zugriff auf einen Rechner kann man sich oft ein umfassendes Bild über die Persönlichkeit des Menschen machen. Teilweise können die Nutzer dabei gar nicht kontrollieren und steuern, welche Informationen ein System über sie speichert. Man denke nur an Fahrzeugcomputer oder das eigene Smartphone. Darüber hinaus erlaubt die staatliche Schadsoftware auch eine Live-Beobachtung der Computernutzung - die Behörden können dem Betroffenen über die Schulter schauen.

Nach der Rechtsprechung des Gerichts bis zu diesem Urteil hätte nur das fünfundzwanzig Jahre zuvor etablierte Recht auf informationelle Selbstbestimmung dem Bürger gegen solch tiefgreifende Eingriffe einen Schutz geboten, allerdings einen relativ schwachen. Die „stärkeren“ Freiheitsrechte - das Fernmeldegeheimnis und das Recht auf Unverletzlichkeit der Wohnung - passten nicht. Das Gericht schloss diese Lücke, indem es das „IT-Grundrecht“ entwickelte und - zumindest eine „Online-Durchsuchung“ - nur unter ähnlich hohen Hürden erlaubte wie eine heimliche Wohnraumüberwachung durch einen Großen Lauschangriff.

Vergleichbar dem Schutz der Wohnung, gewährleistet das „IT-Grundrecht“ eine digitale Privatsphäre, die umfassend gegen jede staatliche Einsichtnahme abgeschirmt ist - nicht nur bei heimlichen Maßnahmen wie der „Online-Durchsuchung“. Ausdrücklich verweist das Gericht auch auf die Beschlagnahme von Festplatten. Auch deren Auswertung eröffnet so detaillierte Einsichten in das Privatleben von Menschen, dass die Selbstverständlichkeit, mit der sie jedes Jahr zu Tausenden beschlagnahmt werden, angesichts der klaren Worte im Urteil nur erstaunen kann.

Das neue Recht spielt kaum eine Rolle

Wie alle Grundrechte strahlt das „IT-Grundrecht“ als verfassungsrechtliche Wertentscheidung auch auf das Verhältnis von Privatpersonen untereinander aus. Welche Folgen hat der besondere Schutz der Vertraulichkeit von informationstechnischen Systemen im Verhältnis von Arbeitnehmern und Arbeitgebern? Wann darf beispielsweise der Arbeitgeber auf einen Rechner zugreifen, den er einem Arbeitnehmer auch für seine private Nutzung überlassen hat? Das sind bisher kaum diskutierte Fragen des Arbeitsalltags, die große Teile der Bevölkerung unmittelbar betreffen, auf die aber der Gesetzentwurf für den Beschäftigtendatenschutz keine Antwort bereithält. Doch nicht nur das: Auch in Anhörungen und Diskussionen hierzu spielen die Folgerungen aus dem neuen Grundrecht kaum eine Rolle.

Eine weitere Neuerung ist der Schutz der Integrität des informationstechnischen Systems. Grundgedanke ist: Derjenige, der die Funktionalität eines Computers manipuliert, hat bereits die entscheidende Hürde genommen, um es auszuspähen. Zugleich trägt das Gericht damit auch dem technischen Kontrollverlust der meisten Nutzer Rechnung: Sie müssen schlicht darauf vertrauen, dass ihr informationstechnisches System ordnungsgemäß funktioniert und nicht in irgendeiner Form fremdgesteuert wird.

Gerade diesem Schutz der Integrität ist in der Diskussion kaum Beachtung geschenkt worden. Dabei wird die Integrität von Rechnern und Smartphones im Alltag vielfältig berührt: Zu denken ist etwa an Programme oder Updates, die auch ohne das Zutun des Nutzers auf seinem Rechner installiert werden. Manche Programme wenden das informationstechnische System quasi gegen ihre Nutzer, sie speichern ungewollt etwa den Standort oder bei E-Books das Leseverhalten und funken diese Daten „nach Hause“. Verkäufer von Apps oder E-Books bedingen sich zuweilen das Recht aus, eine Fernlöschung vom Rechner des Käufers durchführen zu dürfen. Wann aber hat der Nutzer solchen Eingriffen in die Integrität wirklich „freiwillig“ zugestimmt, ist er sich solcher Funktionalitäten überhaupt bewusst? Hier ist die Politik gefordert. Sie muss prüfen, ob die Rahmenbedingungen des Datenschutzrechts die eigenverantwortliche Entscheidung des Nutzers im Lichte des „IT-Grundrechts“ noch gewährleisten.

Grenzen der Regulierbarkeit

Den juristischen Terminus „informationstechnisches System“ ziehen die Richter durchgängig dem Alltagsbegriff „Computer“ vor. Das ist eine fundamental andere, ganzheitliche Sichtweise auf die Systeme. Sie prägt den Umgang der Richter mit den Schranken für diejenigen, die heimlich in diese Systeme einbrechen wollen. Das Urteil beschränkt das neue Grundrecht nicht auf den Computer, sondern weitet es auf alle komplexen informationstechnischen Systeme aus, deren Daten allein ein aussagekräftiges Bild einer Person liefern können, etwa Smartphones, elektronische Terminkalender, sogar Herzschrittmacher oder vergleichbare medizinische elektronische Hilfen.

Das Gericht nahm die technische Entwicklung vorweg und bezog auch vernetzte informationstechnische Systeme mit ein - und damit virtuelle Festplatten, netzbasierte Anwendungen und Systeme, die ohne Eingriff des Menschen miteinander kommunizieren. Doch es ist bisher noch nicht einmal ansatzweise ausgelotet, wie weit der Schutz des „IT-Grundrechts“ reichen könnte.

Die Rezeption des Urteils beschränkte sich weitgehend auf die Maßnahmen, die bereits Gegenstand der Entscheidung gewesen waren: die „Online-Durchsuchung“ und die verwandte „Quellen-TKÜ“. Eine „Quellen-TKÜ“ ist eine Infiltration eines Rechners, die technisch streng auf laufende Kommunikationsvorgänge, typischerweise Internettelefonie via Skype, zu beschränken ist. Ob eine solche Begrenzung technisch überhaupt möglich ist, ist ausgesprochen zweifelhaft. Der Gesetzgeber regelte beide Maßnahmen im BKA-Gesetz, indem er die Karlsruher Entscheidung fast wörtlich übernahm - nicht aber ihren Geist.

Auf Augenhöhe mit dem Terror

Ob derart schwerwiegende Maßnahmen wie eine „Online-Durchsuchung“ oder „Quellen-TKÜ“ tatsächlich erforderlich sind, wurde nicht thematisiert - geschweige denn ihre Durchführbarkeit. Das Argument der Sicherheitsbehörden blieb simpel: Man brauche die „Online-Durchsuchung“ und „Quellen-TKÜ“ einfach, um mit Terroristen und Verbrechern technisch „auf Augenhöhe“ zu bleiben. Ob es Alternativen gibt oder das vorhandene Arsenal von Überwachungsmaßnahmen ausreicht, wurde - wie bei vielen Sicherheitsgesetzen - noch zu wenig diskutiert. Auch empirische Untersuchungen und Evaluationen, die den Bedarf der Behörden untersuchen und belegen, gibt es kaum und für die „Online-Durchsuchung“ und „Quellen-TKÜ“ gar nicht.

Unter anderem gegen die Bestimmungen des BKA-Gesetzes zur „Quellen-TKÜ“ und „Online-Durchsuchung“ ist deshalb und wegen der mangelhaften Umsetzung des Karlsruher Urteils eine Verfassungsbeschwerde - vertreten von Gerhart R. Baum, Burkhard Hirsch und Peter Schantz - erhoben worden, die seit 2009 anhängig ist. Politisch stellt sich neben der Erforderlichkeit derart schwerer Grundrechtseingriffe die Frage, ob ein Staat, der die IT-Sicherheit aktiv fördert, selbst die Hintertüren öffnen sollte, die er zu schließen sucht. Die Nutzung kryptographischer Technologien zur Sicherung von Informationen wird in Zukunft noch bedeutender sein, als sie es heute bereits für die berufliche und private Kommunikation ist. Deren absichtliche Aushebelung, um an Inhalte von Kommunikation und gespeicherten Daten zu gelangen, bleibt ein zweischneidiges Schwert.

Mehr zum Thema

Die „Quellen-TKÜ“ und ihr Rechtsrahmen blieb in den letzten fünf Jahren der einzige intensiver diskutierte Aspekt des Urteils. Anlass war die kaum nachvollziehbare Praxis der Strafverfolgungsbehörden: Das Gericht verlangte eindeutig eine spezielle gesetzliche Grundlage; auch in der Rechtswissenschaft und sogar vom Generalbundesanwalt wird dies so gesehen. Doch die ganz überwiegende Meinung in der Rechtswissenschaft stieß politisch auf taube Ohren. Und die Strafverfolgungsbehörden und mehrere Amts- und Landgerichte ignorierten die verfassungsgerichtliche Vorgabe und übertrugen einfach die Regeln über die herkömmliche Telefonüberwachung (§ 100a StPO). Diese Regeln berücksichtigen weder die Vorgaben des Gerichts noch die besonderen Gefahren für die Persönlichkeitsrechte des Betroffenen, wenn die Integrität seines Rechners durch die Installation eines Trojaners kompromittiert wird.

Staatliche Stellen haben schon hundert Trojaner eingesetzt

Die mangelnde Sensibilität für das Zusammenspiel von Technik und Grundrechten deckte eine Analyse staatlicher Trojaner durch den Chaos Computer Club auf. Die Spähprogramme verstießen gegen die Grenzen, die das Gericht in seiner Entscheidung gezogen hatte. Die Funktionen der Spähsoftware gingen über das zulässige Spektrum hinaus, weil sie nicht nur die Überwachung laufender Telekommunikation ermöglichten, sondern auch das Ausspähen des infiltrierten Systems. Von den Behörden war noch nicht einmal bemerkt worden, dass der bei einem privaten Anbieter bestellte Trojaner ohne den Quellcode der Software geliefert worden war.

Offenbar fehlte den Sicherheitsbehörden das Knowhow, um die Software zu prüfen, geschweige denn selbst zu programmieren. Mehrere Untersuchungen, auch des Bundesdatenschutzbeauftragten, haben dies inzwischen bestätigt. Von der stets versprochenen Zurückhaltung ist in Wahrheit wenig zu spüren. Staatlicherseits wurden in den letzten Jahren bundesweit in etwa hundert Fällen Trojaner eingesetzt. Die mangelnde Zurückhaltung zeigt sich auch in der Geringschätzung des Kernbereichs privater Lebensgestaltung, also der Intimsphäre der Bürger. Jeder staatliche Eingriff ist hier tabu. Dennoch fand der Bundesdatenschutzbeauftragte Aufzeichnungen und Übersetzungen erotischer Gespräche, die eigentlich sofort hätten gelöscht werden müssen.

Worauf wir verzichten sollten

In den vergangenen fünf Jahren seit dem Urteil ist die große Mehrheit der Deutschen wie selbstverständlich im digitalen Zeitalter angekommen. Das Urteil gibt Antworten auf die Gefahren, die sich aus dieser Entwicklung für die Grundrechte ergeben. Diese Vorgaben darf die Politik nicht länger ignorieren, weil es eben keine unverbindlichen Ratschläge sind, sondern sie sich aus dem Grundgesetz ableiten. Es ist die Aufgabe der Politik, die Rahmenbedingungen für die digitale Privatsphäre zu konkretisieren, die das „IT-Grundrecht“ jedem Bürger gewähren soll.

Darüber hinaus sollte das Urteil Anlass sein, eine Debatte über digitale Bürgerrechte anzustoßen. Weil fast jedes Handeln Datenspuren hinterlässt, ist es technisch ohne weiteres möglich, fast jeden Aspekt des Lebens zu erfassen. Und die Dynamik der technischen Entwicklung nimmt noch zu. Wenn wir aber alles wissen können, geht es am Ende um die Frage, auf welche Informationen und welche Methoden wir bewusst verzichten wollen, auch wenn sie zur Abwehr terroristischer Gefahren oder der Bekämpfung von Kriminalität zumindest potentiell dienen könnten. Welche Schranken wir uns auferlegen, entscheidet darüber, ob auch die digital erfassten Gedanken in Zukunft noch frei sein werden.

Glosse

Inkasso furioso

Von Oliver Jungen

Einnahmen in Höhe von acht Milliarden Euro reichen den Öffentlich-Rechtlichen nicht. Noch jeder säumige Zahlungspflichtige soll gestellt werden. Als Geldeintreiber will man aber nicht dastehen. Mehr 2 4

Abonnieren Sie den Newsletter „Literatur“

Zur Homepage