BVerfG und Online-Durchsuchung

von Prof. Dr. Thomas Hoeren, veröffentlicht am 28.02.2008

Das Bundesverfassungsgericht hatte sich in seiner Entscheidung vom 27. Februar 2008 (Aktenzeichen: 1 BvR 370/07; 1 BvR 595/07) mit einer Verfassungsbeschwerde auseinanderzusetzen, die sich gegen die Rechtmäßigkeit von Normen des Verfassungsschutzgesetzes Nordrhein-Westfalen wandte.

Gegenstand der Entscheidung waren § 5 Abs.2 Nr.11 i.V.m. § 7 Abs.1, § 5 Abs.3, § 5a Abs.1 und § 13 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen, die unter anderem den heimlichen Zugriff auf informationstechnische Systeme ermöglichen sollten.

Das BVerfG erklärte diese Normen für verfassungswidrig und nichtig.

Voraussetzungen für eine rechtmäßige heimliche Durchsuchung informationstechnischer Systeme

Zudem konkretisierte das BVerfG die Voraussetzungen, die für die Verfassungsmäßigkeit einer heimlichen Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, vorliegen müssen.

So sei es für die verfassungsrechtliche Zulässigkeit solcher Maßnahmen notwendig, dass „tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“. Zu solchen Rechtsgütern zählte das BVerfG „Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt“. Die Maßnahme kann schon dann rechtmäßig sein, wenn sich zwar noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft auch tatsächlich eintritt, sofern lediglich „bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen“. Ferner müssen geeignete gesetzliche Vorkehrungen mit der Ermächtigung verbunden werden, um dadurch die Interessen des Betroffenen verfahrensrechtlich abzusichern. Insbesondere sei die heimliche Infiltration eines informationstechnischen Systems grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Die gesetzliche Grundlage, die zu einem solchen Eingriff ermächtigt, müsse zudem Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

Das BVerfG sah diese Voraussetzungen bei den untersuchten Normen für nicht vollständig erfüllt an.

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Diese strengen Voraussetzungen seien gerechtfertigt, da die heimliche Infiltration einen Eingriff in das allgemeine Persönlichkeitsrecht (Art.2 Abs.1 i.V.m. Art.1 Abs.1 GG) darstelle. Das BVerfG entwickelte hierzu das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das als Teil des allgemeinen Persönlichkeitsrechts verfassungsrechtlichen Rang genieße.

Hingegen sei ein Eingriff allein an Art.10 Abs.1 GG zu messen, „soweit sich eine Ermächtigung auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden“. Der Schutz aus Art.10 Abs.1 GG ende jedoch dort, wo der Kommunikationsvorgang abgeschlossen sei. Die Garantie der Unverletzlichkeit der Wohnung aus Art.13 Abs.1 GG könne gewissen Schutzlücken auch nicht schließen, da ein Eingriff unabhängig vom Standort erfolgen könne, so dass ein raumbezogener Schutz nicht in der Lage sei, „die spezifische Gefährdung des informationstechnischen Systems abzuwehren“. Auch das Recht auf informationelle Selbstbestimmung sowie die bisher anerkannten Ausprägungen des allgemeinen Persönlichkeitsrechts reichten nach Ansicht des BVerfG nicht aus, den möglichen Persönlichkeitsgefährdungen wirksam zu begegnen. Diese Schutzlücken schloss das BVerfG durch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Eingriffe in dieses Grundrecht können nach Ansicht des BVerfG grundsätzlich sowohl zu präventiven Zwecken als auch zur Strafverfolgung gerechtfertigt sein, sofern sie auf einer verfassungsmäßigen gesetzlichen Grundlage beruhen.

Folgen des Urteils

Neben der Nichtigkeit einiger Normen des konkret untersuchten Verfassungsschutzgesetzes hat das Urteil auch erhebliche Auswirkungen auf künftige Gesetzesvorhaben. So hat das BVerfG durch sein Urteil sehr klar umgrenzt, welche Maßnahmen unter welchen Voraussetzungen grundsätzlich gerechtfertigt sein könnten. Diese Maßgaben wird der Gesetzgeber etwa bei der Ausgestaltung des BKA-Gesetzes zu berücksichtigen haben, um die Verfassungsmäßigkeit solcher Überwachungsmaßnahmen zu gewähren.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

14 Kommentare

Kommentare als Feed abonnieren

Ungeachtet des vorstehenden Themas wurde bisher nirgends erörtert, wie der Eingriff in das aus Art. 14 Abs.1 GG verbürgte Recht gerechtfertigt wird, denn bei der Ausspähung und anschließenden Übersendung der Daten werden diese schlussendlich auf Kosten des Grundrechtsträgers bewerkstelligt, dies mag zwar vor dem Hintergrund des eigentlichen Grundrechtseingriffes zunächst von untergeordneter Bedeutung sein, ist jedoch ebenso ein Aspekt der in die Erörterung einzubeziehen ist, bislang keine Beachtung erfuhr.

0

Sehr geehrter Herr RA Korumtas,
besten Dank für Ihren Hinweis. Ich sehe noch nicht, wie Art. 14 GG tangiert sein soll. Wo sind die "Kosten des Grundrechtsträgers"? Der bekommt doch gar nichts von dem Eingriff mit und trägt auch keine Lasten.
Herzlichen Gruss IHr TH

0

Art. 14 ist jedenfalls nicht ganz abwegig - die Kosten entstehen nämlich im Transfer. Zum einen muss man beachten, dass nicht jeder eine so genannte Flatrate hat, so dass zusätzlicher Datentransfer in der Tat Kosten verursachen kann. Darüber hinaus wird Bandbreite geschluckt, was die Nutzungsfähigkeit des eigenen Anschlusses betrifft. Hinzu kommt, dass regelmässigeine Übermässige Nutzung eines Anschlusses (auch bei einer Flatrate) zu einer Kündigung führen kann. Den Artikel 14 GG würde ich also nur nach detaillierter Prüfung ablehnen.

Der ein oder andere mag nun sagen, dass dies überzogen erscheint, wenn man von ein paar Megabyte übertragener Daten ausgeht. Ein praktischer Fall aus Österreich zeigt aber die Dimensionen um die es geht: 98 Gigabyte wurden hier transferriert (http://www.heise.de/newsticker/meldung/104603). Insofern sind obige Überlegungen nicht direkt zu verwerfen.

Und zum weiteren Diskutieren: Ich schlage den Namen "Integritäts-Grundrecht" oder "Grundrecht auf informationelle Integrität" als Bezeichnung für das "neue" Grundrecht vor.

0

Das liest sich gut, Herr Ferner. Sind Bandbreite und Transfer nicht ein Problem der Vermögensschäden? Ich würde da Art. 2 GG heranziehen, bin aber kein Verfassungsrechtler. An den langen Namen, den das BVerfG gewählt hat, wird man sich in der Tat gewöhnen müssen. Schade, daß es da wohl kaum ein Kürzel gibt. IHr TH

0

Wie beim Aufbrechen einer Wohnung mit einem Brecheisen wird der Computer durch den Trojaner beschädigt. Schließlich handelt es sich nicht um ein Ausspähen, bei dem nur Bildschirm- oder Tastatursignale mitgeschnitten werden, sondern einen Eingriff in das Computersystem. Ähnlich wie bei eienr Virusinfektion ist es wahrscheinlich, dass der Trojaner auch nach Beendigung des Eingriffs nicht spurlos beseitigt werden kann. Vielmehr ist mit dauernden Performance Verlusten und Inkompatibilitäten bzw. Programmabstürzen zu rechnen. Wenn bereits "normale" Programme nach der Deinstallation nicht vollständig verschwunden sind und die Systemperformance nach mehrfacher Installation und Deinstallation von Software immer weiter zurückgeht, ist dies bei das bei einem Trojaner erst recht zu erwarten. Die Folge wird sein, dass die Nutzer ihr System nach dem Trojaner-Angriff nur eingeschränkt nutzen können und schließlich neu installieren müssen. Zwar werden die Sicherheitsbehörden - ähnlich wie bei einem Wohnungsaufbruch - versuchen die Beschädigungen zu minimieren um die Entdeckungsgefahr zu reduzieren. Ein Brecheisen hinterlässt allerdings eine Beschädigung - auch bei vorsichtiger Anwendung. Ähnliches kann und muss bei einem Trojaner erwartet werden. § 303b Abs. 1 Nr. 3 StGB (Computersabotage), den ich als Schutznorm für Art 14 GG sehen würde, wäre damit tatbestandsmäßig erfüllt.

0

In der Tat ist es fraglich, ob für die "Funktionstüchtigkeit des eigenen Anschlusses" Art.2 oder Art.14 einschlägiger ist. Jedenfalls lehne ich Artikel 13 und 10 erstmal ab. Bei gewerblichen Telefonanschlüssen sollte die Funktionsfähigkeit des Anschlusses durchaus (als Teil des Gewerbebetriebes) über Artikel 14 GG geschützt werden. Ich denke, bei privaten Anchlüssen muss man Abwägen welcher besser passt, ich würde momentan (ohne es auszubreiten) zu Artikel 14 tendieren und analog zu gewerblichen Anschlüssen argumentieren. Muss aber zugeben, dass ich das zielgerichtet mache, weil ich den zu allgemeinen Artikel 2 umschiffen möchte.

0

Lieber Herr Erbguth, lieber Herr Ferner,
ich danke für die interessanten Überlegungen. Ich würde beim Schutz des Gewerbetriebes eher an Art. 12 GG denken. Aber auch Art. 14 GG ist - mit Ihren Überlegungen - denkbar. Wie sehen Sie die Reichweite des Urteilks? Wird das die Diskussion um die Vorratsdatenspeiucherung beeinflussen? Ich sehe auf jeden Fall Konsequenzen für die diskutierte Einführung eines Auskunftsanspruchs der Musikindustrie gegen Access Provider (Enforcement-Richtlinie). Dort will die Musikindustrie ohne richterliche Anordnung Zugriff auf die Daten der P2P-Nutzer. Das ist m.E. mit dem jetzigen BVErfG-Urteils undenkbar. Ohne richterliche Prüfung gibt es keinen Zugriff auf die Daten; so verstehe ich das BVerfG. Oder? Herzlichen Gruss Ihr TH

0

Hallo in die Runde,

gerade bei der Enforcement-Richtlinie zeigt sich doch, ähnlich wie bei der Vorratsdatenspeicherung, das grundlegende Problem der aktuellen Rechtsprechung des BVerfG: Die engen Grenzen, die das Gericht zieht, treten gezwungenermaßen hinter europäisches Recht zurück, sobald dieses vorliegt (Anwendungsvorrang des Europarechts). Dem BVerfG bliebe dann nur noch übrig, die Solange-Rechtsprechung aufzugeben.

Ich persönlich verstehe das Urteil übrigens gerade nicht als Fortschreibung der Rechtsprechung zum informationellen Selbstbestimmungsrecht. Soweit ich die Richter verstehe, geht es wirklich explizit um ein neues Grundrecht, das eben nicht nur die Daten auf dem PC schützt, sondern den PC an sich (vgl. auch die Rnn. 196 ff.). Gerade im Stichwort "Integrität" wird deutlich, dass es dem BVerfG m.E. vor allem um die Unverletzlichkeit, Unantastbarkeit des IT-Systems geht. Also ein Grundrecht, dass einen räumlich definierten Bereich schützt, weil dieser mit "Privatsphäre" aufgeladen ist; hier ergeben sich Analogien zu Art. 13 GG.

Freundliche Grüße,

Simon Möller

0

Hallo Herr Prof. Hoeren,

ich denke, in der Diskussion um die VDS muss man sorgsam zwischen öffentlicher und fachlicher Diskussion unterscheiden. Jedenfalls in fachlicher Hinsicht ergeben sich durchaus Fragen durch den aufgezeigten Problemkreis, die die Öffentlichkeit erstmal nicht nachvollziehen kann. Die Ergebniss aber können am Ende abstrus sein: Zu denken ist an den zu unrecht verdächtigten, der plötzlich ein horrende Rechung wegen einer staatlichen Maßnahme tragen muss. Aber auch den aufgrund solcher Maßnahmen verurteilten Täter, der den Staat hinterher in Anspruch nimmt wegen entstandener Kosten in der Überwachung. Beides wirft ein seltsames Licht auf die Überwachungsmaßnahme Bundestrojaner.
Ich denke aber, da nichtmal die vom eco-Verband berechneten 300 Millionen Euro Mehrkosten die Bevölkerung erreicht haben (diesmal wenn es um die VDS geht), wird dieser Punkt wohl erstmal den Juristen vorbehalten sein.

Mir ist übrigens noch ein Fall eingefallen, in dem es wirklich teuer werden kann: Wenn ein Bundestrojaner eingesetzt wird, um einen Server im Internet (etwa ein Forum) zu überwachen. Bei Servern wirken sich Extra- ÜBertragungen im Gigabyte Bereich sehr schnell auf die Rechnungen aus. Ich vermute ohnehin, dass die Überwachung von Internet-Servern in Zukunft mehr Relevanz haben wird als das Spionieren auf privaten Rechnern. Aber das ist nur Vermutung, da nunmal Foren auf Servern liegen und Datenübertragungen wie z.B. bei Internet-Telefonie ebenfalls auf Server angewiesen sind. Warten wir es ab.

Der Zugriff der Musikindustrie ist sehr kompliziert, da es auch hier um zwei verschiedene Daten geht: Die Musikindustrie soll Zugriff auf die ggfs. erhobenen Nutzungsdaten erhalten, nicht auf die Daten, die im Rahmen der VDS erhoben werden.Auch wenn es inhaltlich um die gleichen Daten geht, werden Nutzungs respektive Bestandsdaten durch die Provider mehr oder minder "freiwillig" erhoben, der Zugriff durch private kann hier noch gesteuert werden. Sofern diese Daten im Rahmen der VDS gespeichert werden, wäre ein Zugriff aber ausgeschlossen.

Ich bleibe aber bei meiner Einschätzung, dass man bei der Schaffung des §113b TKG einen sytematischen Fehler begangen hat, da nicht der 113b die Zugriffsgrundlage ist, sondern vielmehr die jeweilige Norm, die auf dem §113b TKG beruht. Da der §113b TKG ausdrücklich die öffentliche Sicherheit erwähnt, sehe ich keinen Grund, warum z.B. ein Bundesland keinen Zugriff auf die im Rahmen der VDS erhobenen Daten schaffen könnte - etwa für Ordnungsbehörden, und dies ohne richterlichen Vorbehalt. Anders als kommuniziert ist die Regelung in der StPO ja gerade nicht die einzige, sondern sie ist nur das erste gesetzliche Beispiel für die Anwendung des §113b TKG.
Jederzeit kann ein weiteres Gesetz geschaffen werden, das im Rahmen des §113b TKG Zugriff auf die Daten der VDS gibt - und ich denke, ich muss Juristen nicht erklären, wie weitgehend der Begriff der "öffentlichen Sicherheit und Ordnung" ist. Insbesondere die Tatsache, dass hiervon auch Individualrechtsgüter erfasst werden, also auch die Rechte der so genannten Musikindustrie.

Wie das im Lichte des BVerfG-Urteils aussieht, kann ich noch nicht einschätzen, weil ich das Urteil immer noch nicht vollständig lesen und analysieren konnte. Aufgrund dessen, was ich bisher gelesen habe, sehe ich hier aber keinen Grund einen Zugriff (auch ohne Richtervorbehalt) bei entsprechender gesetzlicher Ermächtigung abzulehnen, da das Integritäts-Grundrecht damit quasi zu einem Anonymitäts-Grundrecht ausgedehnt wird. Das aber hat das BVerfG gerade nicht festgehalten. Der Benutzer kann auf den Bestand (s)einer IT-Anlagen weiterhin vertrauen, so wie sein Kennzeichen an seinem Auto im Strassenverkehr aber zur Identifizierung bei Fehlverhalten genutzt werden kann (auch durch Dritte!), so kann auch die IP im "öffentlichen IT-Verkehr" herangezogen werden. Detailliert ausführen und begründen möchte ich es aber nur, wenn ich die Zeit hatte, alles in Ruhe durchzuarbeiten.

vg
Ferner

0

Ein kurzer Nachtrag: Das "Recht am eingerichteten und ausgeübten Gewerbebtrieb" wird als Recht des Eigentums im Rahmen des Artikels 14 geschützt (Zwar nicht in einem BVerfG-Urteil, wohl aber vom BVerwG und der Literatur), so dass ich meine obige Argumentation darauf stützen möchte und weiterhin den Artikel 14 GG als passend ansehe.
Ohne auszuschweifen würde ich dann Nicht-Gewerbliche Anschlüsse ebenfalls unter den Artikel 14 fassen, da dieser auch das Besitzrecht des Mieters (BVerfGE 89,1, 5) schützt - die Analogie zum Telefonanschluss drängt sich für mich geradezu auf, zusammen mit den ebenfalls im Rahmen des Artikels 14 GG anerkannten vertraglichen Nutzungsrechten (wieder kein BVerfG Urteil dazu, aber wieder Literatur, BGHZ und BGHSt).

0

Ich kann mir nach den Überlegungen von Herrn Ferner vorstellen, daß hier auch Art. 14 GG einschlägig ist. Im übrigen habe ich aber meine Zweifel, ob nicht doch die Umsetzung der Enforcement-Richtlinie von dem Urteil tangiert ist. So wie ich das Urteil lese, hat das BVerfG sehr weitgehend den Richtervorbehalt als Korrektiv für den Eingriff in TK-Daten akzentuiert. Oder? und: ist nicht auch das Integritäts-Grundrecht betroffen, wenn der P2P-User fürchten muß, daß seine IP-Adressen und Loginfiles ohne richterliche Anordnung an die Musikindustrie herausgegeben werden?
Gibt es eigentlich einen Vorschlag für eine geeignete Kurzbezeichnung des "neuen Grundrechts"? Ist das überhaupt ein "neues Grundrecht"? Herzlichen Gruss IHr TH

0

Zum Grundrecht gab es hier eine Abstimmung: http://www.telemedicus.info/article/686-Ergebnis-der-Abstimmung-zum-IT-G.... Ich finde die Begriffe aber Grossteils unpassend, da das BVerfG ja gerade keine "Intimsphäre" begründet hat bzw. zwar einen Kernbereich deifniert, in diesen aber prinzipiell Eingriffe zulässt - wenn auch nur für höchste Rechtsgüter. Ich bleibe beim "Integritäts-Grundrecht" weil nach dem was ich bisher gelesen habe das Vertrauen des Betroffenen in die Integrität der genutzten EDV-Anlage geschützt wird. Ob es insofern wirklich ein neues GR ist weiss ich auch noch nicht, neu ist aber auf jeden Fall die Ausdrücklichkeit mit der es nun festgehalten wurde. Ich drucke gerade endlich das Urteil aus und werde es bis übermorgen durch haben, dann kann ich mich detaillierter äussern.

0

Zur Erläuterung: Ich empfand das "Grundrecht auf informationelle Integrität" (analog zum Grundrecht auf informationelle Selbstbestimmung, dass hierdurch nun ergänzt wird) als passenden Begriff. Das "Integritäts-Grundrecht" soll hierzu die Kurzform sein. Ich muss aber leider eingestehen dass es in der dortigen Abstimmung mit 14% nicht gerade berauschende Ergebnisse eingefahren hat. Bei mir stand aber nur teilweise die Griffigkeit des Wortes im Vordergrund, vielmehr war das sprachliche Ausschlaggebend und die Nähe zum Gr auf informationelle Selbstbestimmung. Beides ist zu stark miteinander verzahnt.

0

Hallo Herr Prof. Hoeren,

die Frage der VDS muss sich aber auch Ihnen stellen: Speziell bei dem von Ihnen gerade aktualisierten Skript zum Internetrecht. Auf Seite 437 vertreten Sie (zwischen den Zeilen, nicht ausdrücklich) die Auffassung, eine dynamische IP Adresse ist ein relativ personenbezogenes Datum. Diese Auffassung lässt sich heute aber nur noch schwerlich begründen, speziell in Zeiten der VDS. Gerade da der Staat zunehmend Zugriff auf die Logfiles privater Anbieter nimmt, ist es dem Nutzer egal, ob seine IP vom Anbieter selbst oder z.B. einem Staatsanwalt aufgelöst wird. Einfachstes Beispiel ist die Erfassung von IP-Adressen in Tauschbörsen durch die Musikindustrie.

Fakt ist, dass eine IP, gleich ob statisch oder dynamisch, immer einem Menschen zugeordnet werden kann - wenigstens dem Anschlussinhaber. Ob der Betroffene am Ende auch der Nutzer ist, ist dabei gleich, da es ja gerade kein Nutzerbezogenes, sondern nur ein personenbezogenes Datum ist.

Zugegeben, ich bin einer der Verfechter der Auffassung, dass die IP heutzutage ein personenbezogenes Datum ohne Einschränlung ist. Daneben ist für mich ein Konstrukt wie das "relativ personenbezogene Datum" eine Aufweichung der Vorgabe, dass es keine unbedeutenden Daten gibt, da hier (je nach speichernder Stelle) ein Datum gewichtet wird. Dabei gilt zu beachten, dass all diejenigen, die diese Auffassung vertreten, fast ausschliesslich auf Literatur aus den 90ern verweisen können - wo teilweise Argumente herrschen, dass eine Zuordnung der IP nicht möglich ist, weil die Datenberge zu gross wären. Argumente, die heute schlicht überholt sind.

Lange rede kurzer Sinn: Es wäre schön, wenn die aktuelle Diskussion um IP Adressen auch auf Seite 437 berücksichtigt werden würde - die Diskussion hier im Blog zeigt dabei den einen Aspekt - die Tatsache dass die Datenschützer europaweit inzwischen diese Linie vertreten, zeigt das die zukünftige Linie absehbar ist. Eine datenschutzrechtliche Entlastung der Webmaster wäre m.E. übrigens auf anderem Wege möglich, aber das erspare dem Leser an dieser Stelle und führe es nur auf Wunsch aus.

vg
Ferner

0

Kommentar hinzufügen