Nach jahrelanger Vorbereitung schuf die Bundeswehr kürzlich eine Abteilung, die zu Angriffen auf fremde Computernetzwerke fähig sein soll (s. dazu hier). Eine Vielzahl an Informatikexperten aus deutschen Universitäten stellten das „Cyber-Heer“ zur Verfügung. Der rechtliche Rahmen derartiger Hack-Attacken ist allerdings noch nicht geklärt.
Das Thema ist nicht nur von politischer Brisanz, sondern auch im höchsten Grade examensrelevant. Computerbezogene Grundrechtseingriffe eignen sich nämlich hervorragend um die Grundrechtssystematik abzuprüfen. Im Zuge der stetig voranschreitenden technischen Entwicklungen muss die Staatsgewalt stets berücksichtigen, welche Grundrechtspositionen bei internetbezogenen Eingriffen überhaupt tangiert sein können. Eine saubere Trennung der einzelnen Schutzbereiche ist nicht nur für den Rechtsanwender, sondern auch für Examenskandidaten in Klausuren von hoher Relevanz, da die infrage kommenden Grundrechte mitunter sehr unterschiedliche Anforderungen an die Rechtfertigung von Eingriffen auf Ebene der Schranken stellen. So bedürfen etwa „Durchsuchungen“ i. S. d. Art. 13 II GG eines Richtervorbehalts, wohingegen Eingriffe in die Berufsfreiheit nach Art. 12 I GG bereits durch ein einfaches Gesetz gerechtfertigt sein können. Die im Folgenden aufgezeigten Aspekte stellen solche dar, wie sie wohl am häufigsten in Klausuren und mündliche Prüfungen Einzug erhalten. Gleichwohl sei dem Examenskandidat gerade im Kontext computerspezifischer Fallgestaltungen geraten eine genaue Würdigung des konkreten Einzelfalls vorzunehmen. Mit den stetig voranschreitenden technischen Entwicklungen und der technikneutralen Grundrechtsdogmatik geht nämlich einher, dass es keinen numerus clausus an computerspezifischen Eingriffen geben kann.
1. Schutz der räumlichen Privatsphäre durch Art. 13 I GG
Schutzgut des Art. 13 I GG ist die räumliche Privatsphäre. Unter einer Wohnung versteht man jeden Raum, den der Einzelne der allgemeinen Zugänglichkeit entzieht und zum Ort seines Lebens und Wirkens bestimmt. Hierzu werden nach h.M. auch Betriebs- und Geschäftsräume gezählt.[1] Sofern ein Computer in einer Wohnung lokalisiert ist, könnte bei einem Hackerangriff durch den Staat der Schutzbereich von Art. 13 I GG tangiert sein. Die staatliche Maßnahme spielt sich allerdings auf virtueller Ebene ab. Sofern kein Beamter die Wohnung betritt, etwa um Schadsoftware einzuspielen, ist die räumliche Privatsphäre der Wohnung also nur durch Bits und Bytes, nicht aber durch ein physisches Eindringen betroffen.
Beim Schutzbereich des Art. 13 I GG ist indes zu beachten, dass er sich nicht in der Abwehr eines körperlichen Eindringens in die Wohnung erschöpft, sondern etwa auch bei einer akustischen oder optischen Wohnraumüberwachung[2] berührt wird.[3] Umfasst ist deshalb ebenso die Infiltration eines informationstechnischen Systems, also etwa eines Computers, der sich in einer Wohnung befindet, um mit dessen Hilfe bestimmte Vorgänge innerhalb der Wohnung zu überwachen. Der Schutz des Art. 13 I GG greift insbesondere dann, wenn die an das System angeschlossenen Peripheriegeräte, wie ein Mikrofon oder eine Kamera, angezapft werden, um den Nutzer zu überwachen.[4] Wenn ein in der Wohnung befindlicher Computer mittels eines Trojaners infiltriert wird, ist die Privatheit in der räumlich abgeschotteten Wohnung somit zumindest dann tangiert, wenn die Geräte quasi als getarnte Überwachungskamera oder Abhörvorrichtung genutzt werden. Aus diesem Grund ist der Schutzbereich des Art. 13 I GG in solch einem Fall eröffnet. Mit dieser Sachverhaltskonstellation vergleichbar ist etwa das Beobachten einer Wohnung mittels Wärmebildkameras. Auch in einem solchen Fall wird nicht physisch eingegriffen. Gleichwohl ist die Privatheit in einem erheblichen Maße betroffen, da der Beobachter in diesem Fall ähnliche Einblicke hat, wie jemand, der die Wohnung tatsächlich physisch betritt.
Zu beachten ist an dieser Stelle zudem, dass die vorgenannten Ausführungen nicht bloß auf Computer in Form von stationären Endgeräten beschränkt sind. Informationstechnische Systeme und entsprechende Peripheriegeräte befinden sich gleichermaßen auf Laptops, Tablets und v.a. auch moderneren Smartphones. Werden solche Geräte gehackt um Vorgänge in der Wohnung auszuspähen, wäre ebenso der Schutzbereich des Art. 13 I GG tangiert.
2. Schutz des Post-, Brief und Fernmeldegeheimnisses, Art. 10 I GG
Für den Schutz der Privatsphäre des Bürgers ist neben Art. 13 I GG vor allem auch Art. 10 I GG relevant, der das Brief- und Postgeheimnis sowie das Fernmeldegeheimnis regelt. Damit gewährleistet Art. 10 GG allgemein die Vertraulichkeit des durch Kommunikationsmittel ermöglichten Informationsaustauschs über gewisse Entfernungen. Der geschützte Kommunikationsvorgang soll gegen unbefugte Kenntniserlangung „durch Dritte“ abgeschirmt werden.[5] Der Schutzbereich des Art. 10 GG wird dabei dynamisch interpretiert, er ist also offen für technische Entwicklungen.[6]
Das Fernmeldegeheimnis ist von den drei Einzelgrundrechten des Art. 10 I GG für den Bereich des Internets am wichtigsten. Es schützt die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe der Telekommunikationstechnik. Die Beteiligten sollen dabei möglichst so gestellt werden, wie sie bei einer Kommunikation unter Anwesenden stünden.[7] Der Schutzbereich ist somit immer dann eröffnet, wenn ein dem Telefonieren vergleichbarer Vorgang überwacht wird. Sofern etwa ein Gespräch, das über Skype oder Google-Talk geführt wird, abgehört wird, liegt es nahe, dass auch der Schutzbereich des Fernmeldegeheimnisses nach Art. 10 I GG betroffen sein könnte.[8] Sofern eine Behörde ein Chatgespräch mitliest oder ein Skypetelefonat abhört, gestaltet es sich für den Betroffenen deshalb faktisch genauso, als würde die Behörde ein „klassisches“ Telefongespräch überwachen.
Einen Grenzfall stellt in diesem Zusammenhang das Überwachen des E-Mail-Verkehrs dar. Hier gilt es nach der Rechtsprechung des BVerfG zu unterscheiden:[9] Werden E-Mails gelesen, die auf einer Festplatte als Datei – beispielsweise bei einer Nutzung der E-Mail-Software Microsoft Outlook – gespeichert sind, ist Art. 10 I GG nicht einschlägig, denn der Kommunikationsvorgang ist bereits beendet. Sofern sich die E-Mail aber noch auf dem Mailserver befindet und noch nicht auf dem lokalen Datenträger gespeichert ist, wird das „Abfangen“ der Mail hingegen noch vom Telekommunikationsgeheimnis erfasst.[10] Die auf dem Mailserver des Providers vorhandenen E-Mails sind noch nicht in den Herrschaftsbereich des Empfängers gelangt, sodass die spezifischen Gefährdungen, vor denen Art. 10 I GG schützen will, noch weiterhin bestehen.
3. Das allgemeine Persönlichkeitsrecht, Art. 2 I i. V. mit 1 I GG
Sofern ein Eingriff in den Schutzbereich des Art. 13 I GG oder von Art. 10 I GG nicht in Betracht kommt, etwa wenn sich der Staat in cloudbasierte Internetspeicher wie Dropbox oder Google-Drive einhackt, kann zumindest das subsidiär anwendbare allgemeine Persönlichkeitsrecht (APR) relevant werden. Dieses leitet sich aus Art. 2 I i.V. mit 1 I GG ab. Das ursprünglich durch die zivilrechtliche Rechtsprechung entwickelte APR[11] ist mittlerweile auch im Verfassungsrecht als Grundrecht anerkannt und dient zur Abwehr von diversen Formen der Beeinträchtigung der Privatsphäre oder bestimmter Persönlichkeitsrechte, die sich nicht einem anderen spezifischen Freiheitsrecht zuordnen lassen.[12] Eine abschließende Definition des allgemeinen Persönlichkeitsrechts gibt es daher nicht.[13] Es ergänzt „als ‚unbenanntes‘ Freiheitsrecht die speziellen (‚benannten‘) Freiheitsrechte“ und schützt allgemein die „engere persönliche Lebenssphäre und die Erhaltung ihrer Grundbedingungen […], die sich durch die traditionellen konkreten Freiheitsgarantien nicht abschließend erfassen lassen.“[14] Ebenso wie Art. 10 I GG (s.o.), wird das APR dynamisch interpretiert, sodass das GG offen für neue Gefährdungen und technische Innovationen ist.[15]
Statt einer abschließenden Definition haben sich in Rechtsprechung und Literatur anerkannte Fallgruppen bzw. Ausprägungen des allgemeinen Persönlichkeitsrechts herausgebildet. Eine für die hiesige Problematik sehr wichtige Ausprägung des APR ist das sog. Recht auf informationelle Selbstbestimmung, welches dem Einzelnen die Befugnis verleiht, grundsätzlich über die Preisgabe und Verwendung seiner persönlichen Daten zu verfügen.[16] Jeder Bürger darf also prinzipiell selber darüber bestimmen, „wer was wann und bei welcher Gelegenheit“[17] über ihn weiß. Der Schutzbereich des Rechts auf informationelle Selbstbestimmung ist insbesondere ab dann beeinträchtigt, sobald Ermittlungsbehörden Daten erheben, wenn sie also ungefragt auf bestimmte Dateien des Nutzers zugreifen.
4. Computergrundrecht
Nicht geschützt ist jedoch die Integrität des informationstechnischen Systems als solches. Die bloße Infiltration, bei der noch keine konkreten Daten erhoben werden, berührt noch nicht das Recht auf informationelle Selbstbestimmung.[18] Da durch Art. 10, 13 GG und die bisherigen Ausprägungen des APR somit kein allumfassender Schutz im Hinblick auf die Nutzung informationstechnischer Systeme gewährleistet ist, musste im Hinblick auf den technischen Fortschritt und die damit einhergehenden Gefahren eine weitere Ausprägung des APR geschaffen werden. Als zusätzlicher Unterfall von Art. 2 I i. V. mit Art. 1 I GG besteht aus diesem Grund das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (kurz: „Computergrundrecht“).[19] Es bewahrt den persönlichen und privaten Lebensbereich der Grundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik auch insoweit, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten.[20] Geschützt sind aber nur solche Systeme, die personenbezogene Daten in einem gewissen Umfang enthalten, so dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten.[21] Außerdem muss der Betroffene das fragliche System „als eigenes“ nutzen. Es kommt also nicht darauf an, wer Eigentümer des Geräts ist, sondern es ist vielmehr danach zu fragen, wer über das informationstechnische System selbstbestimmt verfügt.[22]
Sofern im Rahmen einer Klausur Zugriffe auf informationstechnische Systeme zu diskutieren sind, ist es im Hinblick auf den Aufbau wichtig, zunächst die Schutzbereiche der vorgenannten Grundrechte zu diskutieren um anschließend die jeweils bestehenden Lücken im Bereich von computerbezogenen Eingriffen aufzeigen zu können, die dann durch das subsidiär greifende Computergrundrecht geschlossen werden.
5. Berufs-, Wissenschafts- und Religionsfreiheit
Die vorgenannten Aspekte stellen den Grundstock für jedwede Argumentation im Kontext computerbasierter Grundrechtseingriffe dar. Je nach Ausgestaltung des Sachverhalts können jedoch noch weitere Grundrechte Gegenstand der Diskussion sein. Sofern Ermittlungsbehörden etwa Daten ausspähen, die berufsbezogene Informationen enthalten, ist fraglich, ob hierdurch neben den zuvor diskutierten Grundrechten auch ein Eingriff in die Berufsfreiheit (Art. 12 I GG) gegeben sein kann. Im Rahmen einer solchen Diskussion muss bei der Frage, ob ein Eingriff in den Schutzbereich des Art. 12 I GG vorliegt, jedoch beachtet werden, dass nicht jede Maßnahme, die die Berufstätigkeit faktisch oder mittelbar betrifft, einen Grundrechtseingriff in Art. 12 I GG darstellt. Regelungen, die keine „objektiv berufsregelnde Tendenz“ haben, greifen nämlich nicht in die Berufsfreiheit ein.[23] Um einen Eingriff in Art. 12 I GG zu bejahen, muss der Datenüberwachungsvorgang deshalb Tätigkeiten betreffen, die typischerweise beruflich ausgeübt werden und es muss eine nennenswerte Behinderung der beruflichen Tätigkeit eintreten. Eine solche Fallgestaltung wäre in Bezug auf Online-Durchsuchungen etwa bei Fällen von Industriespionage denkbar.
Ähnliche Überlegungen können bei einem Forschungsbezug der überwachten Daten angestellt werden. In solch einem Fall müsste diskutiert werden, ob über die computerspezifischen Grundrechte hinaus auch noch die Wissenschaftsfreiheit nach Art. 5 III S. 1 GG tangiert sein könnte. Der Begriff der Wissenschaft wird definiert als jede Tätigkeit, die nach Inhalt und Form als ernsthafter planmäßiger Versuch zur Ermittlung der Wahrheit anzusehen ist.[24] Auch Bezüge zur Religionsfreiheit nach Art. 4 GG sind in diesem Kontext denkbar. Damit ein Grundrechtseingriff bejaht werden kann, muss allerdings neben der Berührung religionsspezifischer Inhalte darüber hinaus eine tatsächliche Beeinträchtigung der Glaubensbetätigung vorgebracht werden.[25] Es bleibt demnach bei derartigen Konstellationen primär bei einem Schutz über die jeweils einschlägigen Ausprägungen des APR, Art. 10 I GG und Art. 13 I GG. Die Berufs-, Wissenschafts- und Religionsfreiheit stellen daher regelmäßig nicht den Schwerpunkt der Diskussion dar.
_________________________________________________
[1] BVerfGE 32, 54; Papier, in: Maunz/Dürig, Art. 13 Rdnr. 10.
[3] So das BVerfG in der Entscheidung zum großen Lauschangriff: BVerfGE 109, 279.
[4] BVerfGE 120, 274 (310).
[5] S. nur BVerfGE 115, 166 (182); 106, 28 (37).
[6] S. nur BVerfGE 124, 43 (54); 115, 166 (182): „Das Grundrecht ist entwicklungsoffen und umfasst nicht nur die bei Entstehung des Gesetzes bekannten Arten der Nachrichtenübertragung, sondern auch neuartige Übertragungstechniken. […] Auf die konkrete Übermittlungsart (Kabel oder Funk, analoge oder digitale Vermittlung) und Ausdrucksform (Sprache, Bilder, Töne, Zeichen oder sonstige Daten) kommt es nicht an.“ Vgl. instruktiv auch Durner, in: Maunz/Dürig, Art. 10 Rdnr. 47.
[8] Zu den technischen Besonderheiten einer Skype-Überwachung s. Stadler, MMR 2012, 18 (20).
[9] S. dazu BVerfGE 124, 43.
[10] BVerfGE 124, 43 (54 f.).
[11] Grundlegend
BGHZ 13, 334; 24, 72; 26, 349.
[12] Grundlegend BVerfGE 34, 269; ferner BVerfGE 54, 148; vgl. auch bereits BVerfGE 6, 32 (41), in der jedoch noch nicht ausdrücklich von einem „allgemeinen Persönlichkeitsrecht“ die Rede ist; s. ausführlich zur Entwicklung des allgemeinen Persönlichkeitsrechts und seinen zahlreichen Unterfällen Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 127 ff; Brandner, JZ 1983, 689; Seifert, NJW 1999, 1889.
[13] So auch
Di Fabio, in: Maunz/Dürig, Art. 2 Rdnr. 147.
[14] BVerfGE 54, 148 (153).
[15] S. bereits
BVerfGE 54, 148 (153).
[18] Vgl.
BVerfGE 120, 274 (311 ff).
[19] S. allgemein zum Recht auf Integrität und Vertraulichkeit informationstechnischer Systeme Wegener/Muth, Jura 2010, 847; Kutscha, NJW 2008, 1042; Britz, DÖV 2008, 411; Hoeren, MMR 2008, 365; Schnabel/Roßnagel, NJW 2008, 3534; Luch, MMR 2011, 75; s. ausführlich Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Diss. 2010.
[20] BVerfGE 120, 274 (316).
[21] BVerfGE 120, 274 (314).
[22] BVerfGE 120, 274 (315);
Hornung, CR 2008, 299, 303;
Wedde, AuR 2009, 373;
Stögmüller, CR 2008, 435, 436;
Roßnagel/Schnabel, NJW 2008, 3534, 3538.
[23] BVerfGE 13, 181 (186).
[25] Der Schutzbereich des Art. 4 GG erfasst zum einen das sog. forum internum, also die Freiheit, religiöse und weltanschauliche Überzeugungen zu bilden und zu haben, sowie gleichermaßen das sog. forum externum, also die Freiheit aus religiöser Überzeugung zu handeln, vgl. etwa BVerfGE 108, 282 (296).