Im Gespräch: Wolfgang Hoffmann-Riem „Der Staat muss Risiken eines Missbrauchs durch Infiltrierung vorbeugen“

Herr Professor Hoffmann-Riem, würden Sie das Urteil zur Online-Durchsuchung heute wieder so fällen?

Ja, ohne Abstriche. Das Bundesverfassungsgericht sah 2008 eine Lücke im Persönlichkeitsschutz, wenn die Bürger sich nicht auch dagegen wehren können, dass der Staat Computer infiltriert und eine Schadsoftware - sogenannte Trojaner - installiert, durch die alle Kommunikationsvorgänge abgerufen werden können.

Reicht dafür nicht das Grundrecht auf Datenschutz?

Das Grundrecht auf informationelle Selbstbestimmung, das 1983 im Volkszählungsurteil entwickelt wurde, schützt vor einzelnen Datenerhebungen. Die Infiltration, das Ausspähen oder gar die Manipulation eines komplexen informationstechnischen Systems geht weit darüber hinaus. Das Grundrecht auf Schutz der Persönlichkeit bliebe lückenhaft, wenn nicht auch die Integrität und Vertraulichkeit des informationstechnischen Systems selbst geschützt wäre.

Weitere Artikel

• Innenministerium: Trojaner nicht eingesetzt 
• Ein amtlicher Trojaner: Anatomie eines digitalen Ungeziefers 
• Enttarnung des Staatstrojaners: Code ist Gesetz 
• Die Software von Innen: Der Text des Trojaners 
• Chaos Computer Club: Der deutsche Staatstrojaner wurde geknackt 

Jetzt hat der Chaos Computer Club gezeigt, wie anfällig staatlich installierte Trojaner für Missbrauch, aber auch für Angriffe von Hackern sind. Reicht der Grundrechtsschutz?

Das Bundesverfassungsgericht hatte über ein klassisches Grundrechtsproblem zu entscheiden: Den Eingriff des Staates in den Persönlichkeitsbereich. Die Online-Durchsuchung ist nur ausnahmsweise zur Abwehr konkreter Bedrohungen von überragend wichtigen Rechtsgütern wie Leib und Leben oder für den Bestand des Staates zulässig. Auch muss der Eingriff verhältnismäßig sein und darf nicht selbst zu weiteren Gefahren führen. Nur wenn das beachtet wird, ist dem Grundrecht Genüge getan.

Wenn es möglich ist, einen staatlichen Trojaner zu hacken, dürfen Trojaner trotzdem weiter eingesetzt werden?

Das Gericht hat das Risiko gesehen, dass staatliche Trojaner auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden können. Auch deshalb hat es besonders strenge Anforderungen an die ausnahmsweise Nutzung von Trojanern gestellt und Sicherungen gegen Missbrauch gefordert.

Ihr Urteil galt dem staatlichen Zugriff auf einzelne Computer. Ist das Problem heute nicht viel größer?

Ja. Als Gericht waren wir auf den Ausgangsfall beschränkt. Die aktuellen Probleme reichen viel weiter. Die Funktionsfähigkeit der globalen Informationsinfrastrukturen, etwa das Internet, ist heute für fast alle Lebensbereiche unverzichtbar - und sie ist anfällig. Denken Sie nur an weltweit koordinierte Hackerangriffe oder Cyberwar. Die Finanzkrise hat uns unvorbereitet getroffen. Ob wir auf einen nicht auszuschließenden Einbruch der Funktionsfähigkeit des Internet vorbereitet sind, lässt sich bezweifeln. Derartige Fragen aber liegen außerhalb der Kompetenz des Bundesverfassungsgerichts.

Lassen Sie uns zu den Trojanern zurückkommen. Dürfen im Rahmen einer zulässigen Quellen-Telekommunikationsüberwachung (TKÜ) alle Daten auf einem Computer ausgespäht werden?

Nein. Die Quellen-TKÜ darf nur ausnahmsweise und nur als begrenzte Überwachung erfolgen, nämlich als Zugriff auf laufende Telekommunikation vor der Verschlüsselung oder auf eingehende Telekommunikation nach der Entschlüsselung durch den Computer. Beim Verfassungsgericht bestand die Sorge, dass die seinerzeit verfügbaren technischen Vorkehrungen diese Begrenzung nicht sichern können, sondern dass es zur Infiltration des Computers mit der Möglichkeit seiner Ausforschung oder des Zugriffs durch Dritte kommen könnte. Deswegen hat es geeignete technische Sicherungen angemahnt.

Was ist, wenn bei einem Staatstrojaner Sicherungen gegen Missbrauch fehlen, wie man sie sonst selbst aus Flirtportalen kennt?

Soweit der Staat überhaupt das informationstechnische System infiltrieren darf, muss er Risiken eines Missbrauchs vorbeugen. Es müssen wirkungsvolle Sicherungen eingebaut sein, sonst ist das Vorgehen rechtswidrig.

Offenbar ist es mit einem Trojaner möglich, jemandem Daten unterzuschieben, ohne dass dieser es merkt. Wäre das zulässig?

Das Unterschieben von Daten ist in jedem Fall unzulässig. Wenn der Betroffene es nicht merken kann, kann er sich auch nicht wehren, möglicherweise auch nicht beweisen, dass die Daten - etwa kinderpornografische Filme - gar nicht von ihm stammen.

Sind Informationen verwertbar, die auf solch unsicherem Weg erlangt wurden?

Wenn der Verdacht besteht, dass die Daten dem Bürger untergejubelt wurden, dürfen sie nicht für belastende Maßnahmen gegen ihn verwendet werden. Die Frage ist nur, ob man Daten, die sich auf einem Computer befinden, ansehen kann, dass sie manipuliert wurden.

Hacker haben festgestellt, dass die Schadstoffsoftware an einen Server in Amerika sendet. Ist das ein verfassungsrechtliches Problem?

Bei der Nutzung ausländischer Server bestehen weitere Risiken, bis hin zu dem Risiko, dass ein fremder Staat auf die dort verfügbaren Daten zugreift. Dagegen kann sich ein deutscher Bürger jedenfalls nicht vor einem deutschen Gericht wehren. Ihre Frage verweist auf ein grundsätzliches Problem: Die Globalisierung der Kommunikation erhöht Risiken und erschwert Rechtsschutz, ja macht ihn vielfach unmöglich.

Was beunruhigt Sie eher - Eingriffe des Staates oder Beeinträchtigung durch Private?

Das kommt drauf an. Allgemein gilt: Die Grundrechte wurden als Abwehrrechte gegen den Staat entwickelt. In dieser Richtung ist Grundrechtsschutz wirksam, soweit der Staat Aufgaben wahrnimmt. Eine Reihe früher staatlicher Aufgaben sind jetzt privatisiert worden. Viele Bereiche - wie das Internet - sind neu und weitgehend außerhalb der Verantwortung des Staates eingerichtet worden. Eingriffe Privater in Freiheiten können ähnlich gefährlich sein wie staatliche Eingriffe. Private sind aber nicht ohne weiteres an die Grundrechte gebunden. Hier aber hilft das Lüth-Urteil des Bundesverfassungsgerichts aus dem Jahr 1958. Die Grundrechte enthalten auch einen Auftrag an den Staat, die allgemeine Rechtsordnung so einzurichten, dass Freiheitsschutz auch gegen Private möglich wird. Allerdings ist dies in einer globalen Ordnung wie beim Internet schwer, da der Staat territorial begrenzt ist. Hier ist internationale Koordination von Schutz gefordert.

Das Bundesverfassungsgericht hat in der Online-Entscheidung den Schutz der Bürger vor allem für einen Kernbereich privater Lebensgestaltung stark gemacht. Ist das heute nicht überholt?

Der Schutz dieses Kernbereichs ist Teil des Schutzes der Menschenwürde und darf niemals aufgegeben werden. Richtig ist aber, dass die Grenzen zwischen privat und öffentlich fließender werden. Die Facebook community scheut sich nicht, private, ja intime Daten weiterzugeben, über die meine Eltern nicht einmal mit rotem Kopf gesprochen hätten. Leichtfertiger Umgang mit privaten Daten ist aber keine Rechtfertigung für den Staat, auf solche Daten ungehemmt zuzugreifen. Vor allem müssen die Bürger grundsätzlich die Möglichkeit zum Selbstschutz behalten. Mit der Online-Durchsuchung aber wird Selbstschutz der Bürger ausgeschaltet. Auch deshalb hat das Bundesverfassungsgericht Anlass gesehen, den Grundrechtsschutz zu stärken.