Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigener informationstechnischer Systeme. von Prof. Dr. Wolfgang Hoffmann-Riem, Hamburg *

Transkript

1 Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigener informationstechnischer Systeme von Prof. Dr. Wolfgang Hoffmann-Riem, Hamburg * I. Der Anfang des Volkszählungsurteils und seine fortwährende Bedeutung Der 15. Dezember 1983 er liegt ein Vierteljahrhundert zurück war ein großer Tag für den Ausbau des Grundrechtsschutzes in Deutschland: Dieses Entscheidungsdatum trägt das Volkszählungsurteil des BVerfG. 1 Hier wurde das "Grundrecht auf informationelle Selbstbestimmung" als Unterfall des Persönlichkeitsschutzes verfassungsgerichtlich anerkannt. Wer die Entscheidung heute liest, mag überrascht sein, dass eine Volkszählung, also die statistische Erfassung von Informationen wie dem Namen, der Anschrift, der Art des Lebensunterhalts, des Berufes und anderer ähnlicher "Daten" 2 eine derart große Aufregung verursachen und zugleich eine derart wegweisendes Urteil stimulieren konnte. Dabei mag eine Rolle gespielt haben, dass das Jahr 1984, das Orwell in futuristischer Absicht als Titel seines Buches über die Gefahren des Überwachungsstaats durch den Big Brother gewählt hatte, noch bevorstand und die Fantasien beflügelte. Seinerzeit stand die Computertechnologie in den Anfängen. Datenverarbeitung erfolgte weitgehend über zentrale Großcomputer, die schwergewichtig und voluminös, teuer und vor allem vergleichsweise langsam und aus heutiger Sicht mit sehr geringer Speicherkapazität ausgestattet waren. Der leistungsfähige und preiswerte Computer für jedermann wie jetzt der PC stand erst am Anfang der Ent- * 1 2 Bei dem Beitrag handelt es sich um die überarbeitete und ergänzte Fassung eines Vortrags auf einer Datenschutztagung der Friedrich-Ebert-Stiftung in Berlin am 1. Juli Ein Dank für hilfreiche Anregungen geht an Marion Albers, Matthias Bäcker und Ulf Buermeyer. Der Beitrag ist erschienen in: Juristenzeitung 2008, S Vgl. BVerfGE 65, 1. Das BVerfG hat im Volkszählungsurteil den Begriff "Daten" in einem Kontext benutzt, für den die informationstechnische Literatur zum Teil den Begriff der "Information" verwendet; dazu s. statt vieler Albers, Informationelle Selbstbestimmung, 2005, S. 87 ff.; Vesting, in: Hoffmann-Riem/Schmidt-Aßmann/ Vosskuhle (Hrsg.), Grundlagen des Verwaltungsrechts Bd. 2 (2008), 20 Rn. 11 ff. Im Folgenden wird entsprechend der Übung in der juristischen Literatur der Begriff der Daten weiterhin benutzt, auch soweit in der informationstechnischen/-wissenschaftlichen Literatur der Begriff der Information verwendet wird. Daten sind vergegenständlichte Zeichen, Informationen die bei den Empfängern oder in Kommunikationssystemen gebildeten Sinngehalte (vgl. etwa Albers, a.a.o., S. 141 ff.). Der Schutz von Daten ist eine Schutzdimension des Grundrechts auf informationelle Selbstbestimmung sowie auch des Grundrechts auf Schutz der Vertraulichkeit und Integrität eigener informationstechnischer Systeme, aber letztlich werden die Daten um der mit ihnen transportierten Informationen willen geschützt.

2 wicklung und Nutzungen, wie sie heute das Smartphone ermöglicht, waren allenfalls Gegenstand von Fantasie. Für die Datenfülle, die heute ein USB-Stick aufnehmen kann, wurden immobile Großmaschinen benötigt. In der Folge hatte sich das Bewusstsein noch gar nicht auf die ungeheuren Erweiterungen kommunikativer Handlungschancen eingestellt, die der Computer in den folgenden Jahren, insbesondere dank der internationalen Vernetzung auch privater Rechner und der Entwicklung des Internet, ermöglichen würde. Nicht derartige Chancen, sondern Gefährdungen von Freiheit durch den Daten sammelnden und verarbeitenden Staat standen im Vordergrund der öffentlichen Diskussion. Obwohl die durch die Volkszählung erfassten Daten anonym bleiben sollten, wurde das Risiko ihrer Individualisierbarkeit gesehen und über die damit verbundene Missbrauchsgefahr diskutiert. Grundrechtsdogmatisch ging es um eine Aktivierung des abwehrrechtlichen Schutzes eines Grundrechts, das erst Konturen gewinnen musste. Dem BVerfG gelang es, die Grundüberlegung in wenige Worte zu fassen, die zwischenzeitlich nichts an Aussagekraft eingebüßt haben 3 : Das in Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG 4 gewährleistete allgemeine Persönlichkeitsrecht könne "gerade auch im Hinblick auf moderne Entwicklungen und die mit ihnen verbundenen neuen Gefährdungen der menschlichen Persönlichkeit Bedeutung gewinnen. Die bisherigen Konkretisierungen durch die Rechtsprechung umschreiben den Inhalt des Persönlichkeitsrechts nicht abschließend. Es umfasst auch die aus dem Gedanken der Selbstbestimmung folgende Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Dieses Recht auf 'informationelle Selbstbestimmung' ist nicht schrankenlos gewährleistet. Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über 'seine' Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit." Die abwehrrechtlich fundierte Dogmatik der Entscheidung ordnete die staatliche Aktivität als Eingriff in eine individualrechtliche Position, die letztlich wie ein Recht am eigenen Datum wirkte 5, über dessen Preisgabe und Verwendung der Einzelne frei wenn auch unter Aner Die folgenden Zitate entstammen BVerfGE 65, 1, (Auslassungen sind nicht gekennzeichnet). Ob es notwendig und sinnvoll ist, auch Art. 1 Abs. 1 GG als Begründung des allgemeinen Persönlichkeitsrechts heranzuziehen, bezweifelt mit beachtlichen Argumenten Britz, Freie Entfaltung durch Selbstdarstellung, 2007, insbesondere S. 25 f. Jedenfalls dürfte es geboten sein, Datenschutz insoweit, als ein auf die Menschenwürde beziehbarer Persönlichkeitsschutz nicht betroffen ist, aus Art. 2 Abs. 1 GG abzuleiten, soweit nicht andere Grundrechte wie Art. 12 und 14 GG einschlägig sind. Kritisch dazu etwa Hoffmann-Riem, AöR 123 (1998), 513, 520 f. m.w.hinweisen. Grundsätzliche Kritik an der Konstruktion des BVerfG insbes. bei Albers (Fn. 2), etwa S. 238 und passim. Die Vorstellung von einem Recht am eigenen Datum passt erst recht nicht, wenn es sich um Daten über Informationen handelt, die inhaltlichen Aufschluss über das Verhalten mehrerer geben, ohne dass allein das Interesse eines der betroffe-

3 kennung seiner Einbindung in soziale Zusammenhänge - sollte entscheiden können. Da es um die Abwehr eines staatlichen Eingriffs ging, siedelte die Entscheidung im Verhältnis von Staat und Bürger. Dass hier immer noch Schutzbedarf besteht, zeigen beispielhaft die vielen Ermächtigungen zu Datenzugriffen im Interesse der Gewährleistung der öffentlichen Sicherheit und der Verfolgung von Straftaten, die sich in zunehmender Zahl in Polizei- und Verfassungsschutzgesetzen sowie in Normen der Strafverfolgung befinden und insbesondere infolge des 11. September 2001 als Mittel (auch) der Terrorismusabwehr geschaffen worden sind. Dass eine Reihe dieser Ermächtigungen oder zumindest ihre Handhabung im konkreten Fall in den letzten Jahren vom Bundesverfassungsgericht als verfassungswidrig und zwar insbesondere auch als Verletzung des Grundrechts auf informationelle Selbstbestimmung 6 - angesehen worden sind, signalisiert die fortwährende Bedeutung des abwehrrechtlichen Schutzes. II. Veränderungen der Gefahren und der Chancen durch Kommunikationstechnologien 1. Chancen und Risiken Gegenüber der Zeit des Volkszählungsurteils hat sich die Gefährdungslage grundsätzlich verändert, wie auch die Chancen der kommunikativen Nutzung der Elektronik zur individuellen und kollektiven Entfaltung gewaltig gestiegen sind. Heute hat praktisch jedermann Zugang zu leistungsfähigen Computern; rund 35 Mio. Deutsche nutzen den globalen Verbund des Internet. Weltweit waren es im Juli 2008 über 860 Mio. Internetnutzer. Kennzeichnend sind nicht mehr zentrale Datenspeicher, sondern dezentrale Nutzungen und die Vernetzung dezentraler und vielfach global zugänglicher, höchst leistungsfähiger Computersysteme. Die Digitalisierung im Verbund mit der Computertechnologie hat auch angesichts der Globalisierung eine kommunikative Evolution bewirkt, die in ihrer Bedeutung für die gesellschaftliche Entwicklung der der industriellen Revolution des 19. Jahrhunderts nicht nachsteht. Große und kleine Computer und entsprechende informationstechnische Kommunikationsinfrastrukturen sind zu zentralen Produktivkräften in praktisch allen Lebensbereichen geworden, sei es für die Gestaltung der privaten Lebenswelt oder die Aufgabenerfüllung 6 nen Personen rechtlich schutzwürdig ist. Noch schwieriger wird es mit der Zuordnung eines Datums zu einer Person, wenn es seinen Informationswert aus der Kombination mit anderen Daten gewinnt, die von anderen Personen generiert werden oder worden sind. Vgl. insbesondere BVerfGE 115, 320 ff. (Rasterfahndung) sowie BVerfGE, Urteil v BvR 2074/05, 1 BvR 1254/07 = NJW 2008, 1505 ff. (automatische Erfassung von Kfz-Kennzeichen).

4 durch den Staat und das Wirtschaften durch Unternehmen. Kommunikationstechnologien prägen die reale Grundrechtsausübung in praktisch allen sozialen Lebensräumen. 7 Viele der Technologien und Dienste waren zur Zeit des Volkszählungsurteils unbekannt, so z. B. ISDN, RFID, WLAN, UMTS; Dienste wie e-commerce, e-government, Navigationssysteme; soziale Netzwerke wie StudiVZ oder auch Ermittlungsmethoden wie Kfz-Scanning oder die Online- Durchsuchung. Träger und Garant der Funktionsfähigkeit informationstechnischer Infrastrukturen ist nur begrenzt der Staat, im Übrigen, sogar in erster Linie, sind es private Unternehmen, darunter auch solche mit globaler Macht wie Google, Microsoft oder die großen Telekommunikationsunternehmen. Zwischen den verschiedenen Unternehmen untereinander sowie im Verhältnis zum Bürger, aber auch im Verhältnis dieser Unternehmen zum Staat gibt es erhebliche Machtasymmetrien. Dass Machtgebrauch und damit Risiken des Machtmissbrauchs keineswegs auf den Staat beschränkt sind, tritt immer stärker in das öffentliche Bewusstsein, etwa wenn über die Fülle der Daten und Selektionsmöglichkeiten, über die etwa Google verfügt 8, diskutiert wird, oder wenn Skandale aufgedeckt werden, wie etwa die Nutzung der Verbindungsdaten der Kunden der Deutschen Telekom zur Überwachung der eigenen Mitarbeiter 9 oder der illegale Verkauf von Bankdaten. 10 Gleichzeitig aber greift der Staat, insbesondere im Bereich der Gefahrenvorsorge und -abwehr sowie der Strafverfolgung, auf Daten zu, so dass auch Schutz vor solchen Eingriffen zu gewähren ist. 2. Schutzbedürfnisse und -möglichkeiten Auf den Schutz vor Eingriffen des Staates, aber auch vor Freiheitsverletzungen durch Private sind die vorliegend maßgebenden Grundrechte des Persönlichkeitsschutzes, der Kommunikationsfreiheit und des Schutzes der Wohnung ausgerichtet. Betroffen ist insbesondere die Freiheit kommunikativer Entfaltung. Kommunikationsfreiheit ist eine Freiheit, die im Zusammenwirken mit anderen genutzt wird. 11 Insofern ist die individuelle Position nur aus der sozialen Beziehung heraus beschreibbar. Ein auf das "einsame" Individuum fokussiertes Denken Zum Ubiquitous Computing (der allgegenwärtigen Datenverarbeitung) s. statt vieler Kühling, Die Verwaltung 40 (2007), 153 f. sowie die Beiträge in Roßnagel/Sommerlatte/Wienand (Hrsg.), Digitale Visionen Zur Gestaltung allgegenwärtiger Informationstechnologien, 2008 sowie in Mattern (Hrsg.), Die Informatisierung des Alltags Leben in smarten Umgebungen, Dazu s. statt vieler Maurer, Informatik Spektrum 30 (2007), 273 ff. Zu diesem sog. Telekom-Skandal s. Süddeutsche Zeitung vom , S. 2, sowie vom , S. 1 und Scherer, MMR 2008, 433 ff. Vgl. statt vieler Dams, Die Welt vom Allgemein zu diesem Konzept s. insbesondere Suhr, Entfaltung des Menschen durch die Menschen, 1976; ders., EuGRZ 1984, 529, 537. S. auch weiterführend Albers (Fn. 2) und Britz (Fn. 4), S. 45 f.

5 der Grundrechtsdogmatik könnte die sozialen Dimensionen der Kommunikationsfreiheit und damit die darauf bezogenen Schutzerfordernisse nicht angemessen erfassen. Soweit personenbezogene Kommunikation technologisch gestützt ist, setzt effektiver Grundrechtsschutz auch Schutz der technologischen Kommunikationsinfrastruktur und deren konkrete Nutzung voraus, soweit diese auf die Freiheit des Einzelnen rückbezogen werden kann. Die Funktionsfähigkeit hat nicht nur eine technische Seite, sondern auch eine soziale und kann normativ beeinflusst werden, etwa durch Sicherungen der Zugangsfreiheit, der Manipulationsfreiheit und generell durch Schutz vor einseitigem Machtgebrauch oder gar - missbrauch. Die verschiedenen Dimensionen der Funktionsfähigkeit verweisen auf unterschiedliche Gefahrenpotenziale und Gefährdete sowie auf unterschiedliche, die Funktionsfähigkeit sichernde oder gefährdende Akteure. Deshalb sind mehrpolige und mehrdimensionale Konzepte des Freiheitsschutzes gefragt. Der Staat kann die Funktionsweise der Kommunikationsinfrastrukturen nur begrenzt sichern schon wegen der globalen Reichweite der Netze, aber auch der Dominanz privater Akteure bei der Schaffung und Aufrechterhaltung der Netze unter Abwicklung von Dienstleistungen. Beteiligt sind auch Akteure, die sich ihr Recht selbst setzen (wie etwa ICANN). 12 Der Staat kann aber seine Rechtsetzungsmacht im Rahmen der Reichweite der von ihm gesetzten Normen, gegebenenfalls erweitert um zwischenstaatliche Rechtsakte, nutzen. Die Sicherung der realen Voraussetzungen der Verhaltens-, insbesondere der Kommunikationsfreiheit in technologisch vernetzten Beziehungen kann nicht nur durch Setzung staatlicher (oder privater) Verhaltens- und Kontrollnormen erfolgen, sondern auch auf andere Weise 13, etwa durch rechtliche Maßgaben, die auf die Art der Konfiguration des Kommunikationssystems einwirken oder die technologischen Datenschutz und Selbstschutz, etwa durch Verschlüsselung, ermöglichen. Der Staat kann insoweit Anreize setzen, gegebenenfalls auch durch Ge- und Verbote auf Strukturen hinwirken, die zur Aktivierung solcher unterschiedlicher Schutzfunktionen führen können. Denn ein nicht nur bei der Bestimmung des Schutzziels, sondern auch bei den Vorkehrungen des Schutzes möglichst auf das Paradigma der Selbstbestimmung ausgerichteter Datenschutz stößt dort an seine faktischen und normativen Die "Internet Corporation for Assigned Names and Numbers" mit Sitz in Marina del Rey (Kalifornien) verwaltet Schlüsselstrukturen des Internet, nämlich u. a. die Vergabe von Blöcken von IP-Adressen (so genannten Adressräumen) und die zentralen DNS-Server, die gleichsam als "Telefonbuch" des Internet die Umsetzung der textlichen Adressangaben (etwa zu IP-Adressen (im Beispiel: ) sicherstellen. Dazu s. Albers (Fn. 2), etwa S. 466 f., 544 f.

6 Grenzen, wo es dem Einzelnen an Schutzmöglichkeiten oder am Bewusstsein der Schutzbedürftigkeit seiner persönlichen Daten fehlt. 14 III. Insbesondere: Schutz des Vertrauens in die eigengenutzten informationstechnischen Systeme Gegenwärtig ist zu beobachten, dass informationstechnische Kommunikationsinfrastrukturen 15 immer mehr personenbezogene Daten aufnehmen und verarbeiten 16, so in eigengenutzten Computern, der beispielsweise eingesetzt wird: als Archiv für aufzubewahrende Informationen, als Hilfsmittel bei der Erfüllung eigener Aufgaben (Schreiben, Rechnen, Verwalten), als Medium zur Unterhaltung (Computerspiele, digitale Bibliothek, Audiothek, Videothek) oder zur (Fern-)Steuerung haushaltswirtschaftlicher Steuerungssysteme in "intelligenten Haushalten" 17 und zur Schaffung so genannter intelligenter Fahrzeuge 18 ("Internet der Dinge" 19 ). Bei der Online-Anwendung ist der Computer mit anderen Computern vernetzt und die in ihm enthaltenen und durch ihn generierten Daten können gegebenenfalls auch auf anderen Computern genutzt werden. Die Einbindung in Netze, insbesondere in das weltumspannende Internet, ermöglicht ferner den Zugriff auf die dort verfügbaren Daten, aber auch auf dort angebotene Dienstleistungen bei der Arbeit mit dem eigenen Computer, wobei dem Nutzer vielfach nicht bekannt ist, welche Software ihm noch "zu Diensten" ist oder zum Zugriff auf seine Der Unterschied zwischen der Motivation der Massen, die sich gegen die Volkszählung in den achtziger Jahren wandten, einerseits, und der heute verbreiteten Bereitschaft, in sozialen Netzwerken (wie Schüler/StudiVZ), in Kundebindungsprogrammen (z.b. Payback) und Internetportalen auch privateste Details offenzulegen, begrenzt zusätzlich die Verwirklichungschancen staatlicher Hilfen zum Selbstschutz, macht sie aber als Angebote nicht entbehrlich, s. auch u. V 2 d. Zu den Entwicklungsperspektiven s. statt vieler Roßnagel, Datenschutz im informatisierten Alltag, 2007, insbes. S. 26 ff. Zur Notwendigkeit eines transdisziplinären Orientierungsrahmens vgl. Rolf, Mikropolis 2010, 2008, S. 95 ff. S. statt vieler Kutscha, NJW 2008, 1042, Auf das Problem der elektronischen Vernetzung (einschließlich Fernbedienung) haushaltstechnischer Geräte hat das BVerfG in seiner Entscheidung zur Online-Durchsuchung, Urteil v BvR 370/07, 1 BvR 595/07 = NJW 2008, 822 (abrufbar unter schon hingewiesen zur praktischen Anschauung: Bayerlein-Hoppe, Elektrobörse Handel 02/2004, 12 ff. Es ist sicherlich kein Zufall, dass die internationale Funkausstellung Berlin im Jahre 2008 eine konzeptionelle Umorientierung dahin gehend vorgenommen hat, dass nunmehr auch elektronisch gestützte Vorkehrungen für "intelligente Haushalte" in eine Kommunikationsmesse integriert worden sind. S. insbesondere die EU-Initiative, dargestellt etwa in der Mitteilung der Kommission "Für eine europaweit sicherere, saubere und effizientere Mobilität: Erster Bericht über die Initiative "Intelligentes Fahrzeug", KOM (2007), 541 endg. Intelligente Verkehrssysteme sollen insbesondere die Verkehrssicherheit und die Energieeffizienz erhöhen und sehen den vermehrten Einsatz von Informations- und Kommunikationstechniken vor, die zugleich über genormte Schnittstellen bordeigener Informations- und Kommunikationssysteme eine Informationsübertragung von Fahrzeug zu Fahrzeug, zwischen Fahrzeug und Infrastruktur, von Fahrzeug zu Notrufsystemen (einschließlich Vorkehrungen mit genauer Standortkontrolle) u. a. ermöglichen sollen. Vgl. auch Dencker, zfs 2008, 423 ff.; Vieweg, in: 45. VGT, 2007, S. 292 ff. Ullinger/ten Hompel (Hrsg.), Internet der Dinge, 2007; Fleisch/Mattern (Hrsg.), Das Internet der Dinge Ubiquitous Computing und RFID in der Praxis, S. auch oben Fn. 7.

7 Informationen genutzt wird. Wenn wie zu erwarten ist in Zukunft vermehrt über das Internet bereit gestellte Anwendungen mit der Software auf dem genutzten Rechner zusammenwachsen (sogenanntes "cloud computing" 20 oder "services in the cloud"), werden deren Verbreitung und Vielfältigkeit und damit auch die Unüberschaubarkeit für den Nutzer weiter zunehmen. Kontrollverlust ist unvermeidbar. Normative Grundsätze wie der der Datensparsamkeit und Datenvermeidung ( 3a Abs. 1 BDSG), werden nicht überflüssig, verlieren aber an Wirkungsmöglichkeiten, soweit auf die Netzinfrastruktur zugegriffen wird wie es bei online-nutzungen praktisch unvermeidbar ist. Schon die Festplatte vieler PCs bietet ein Spiegelbild der persönlichen Interessen und Neigungen, der ökonomischen Situation sowie auch der physischen und psychischen Befindlichkeit oder der Verhaltensweisen ihrer Nutzer. 21 Sensible Informationen sind aber nicht nur auf dem eigenen Computer "gelagert", sondern befinden sich auch im Netz selbst. Wer sich den Zugang zum informationstechnischen System verschafft, kann gewissermaßen jedenfalls ausschnitthaft Zugang zum "ausgelagerten Gehirn" 22 oder gar zur "ausgelagerten Psyche", aber auch zu vielen anderen wichtigen Informationen über die betroffene Persönlichkeit erhalten. Diese "Verletzlichkeit" des Persönlichkeitsrechts führt zu Forderungen nach Schutz, so (weiterhin) hinsichtlich der dem Nutzer grundsätzlich bekannten Daten und Datensammlungen, aber auch hinsichtlich der im Nutzungsvorgang entstehenden Inhaltedaten sowie der flüchtig oder dauerhaft generierten, dem Nutzer häufig nicht bekannten Daten (der Funktionsdaten) und Verwendungsmöglichkeiten. Grundrechtliche Relevanz gewinnen Sicherungen insbesondere, soweit sie erforderlich sind, um Persönlichkeitsschutz zu gewährleisten (Persönlichkeitsrelevanz). 1. Schutz des Vertrauens Ein effektiver Schutz solcher Daten und der sie verbreitenden Kommunikation muss nicht nur Schutz vor Zugriff auf sie umfassen, sondern auch den des Vertrauens 23, dass die eingesetzte Vgl. dazu David Chappell, A Short Introduction to Cloud Platforms. An enterprise-oriented view, 2008, abrufbar unter Die Wolke (cloud) steht als Metapher für die undurchsichtige, in ständiger Bewegung befindliche komplexe Infrastruktur, auf die netzbasierte Kommunikation zugreift, ohne dass die Nutzer sie näher kennen oder gar kontrollieren können. So etwa Kutscha, NJW 2008, Hassemer, Süddeutsche Zeitung v formuliert: "Der Computer ist ein ausgelagerter Teil des Körpers". Grundsätzlich zum Vertrauen und seinen Dimensionen s. die Beiträge in Klumpp u. a. (Hrsg.), Informationelles Vertrauen für die Informationsgesellschaft, Auf die vielen Facetten des Begriffs des Vertrauens und auf Theorien über die Vertrauensbildung kann hier nicht näher eingegangen werden. Zu unterschiedlichen disziplinären Sichtweisen s. Möllering, in: Max-Planck-Institut für Gesellschaftsforschung, Jahrbuch 2007/2008, S. 73 ff.

8 Hard- und Software und insgesamt die eigengenutzten informationstechnischen Kommunikationsinfrastrukturen nicht nur technisch, sondern auch in den Anwendungskontexten so funktionieren 24, wie der Nutzer es erwarten darf 25 und das er auf dieser Grundlage auf den Schutz informationstechnisch gespeicherter oder kommunizierter Daten vertrauen darf (systembezogenes Vertrauen). Zu den mit dem Vertrauen verkoppelten normativ geschützten Erwartungen gehört die grundsätzliche Vertraulichkeit des eigenen informationstechnischen Systems 26, die Grundlage der Vertraulichkeit der Kommunikation selbst ist, also Schutz vor Einblicken des Staates oder Dritter. 27 Von den Schutzerwartungen erfasst ist aber auch die Integrität des informationstechnischen Systems, also der Schutz vor der Überwindung von Hindernissen, die vor dem Eindringen schützen, sowie vor Störungen und Manipulationen 28, etwa vor Verfälschungen, vor Ergänzungen durch weitere Daten oder durch Software, die den Umgang mit den Daten manipulieren kann. 29 Schutzbedarf besteht auch gegen Manipulationen der eingesetzten Hardware sowie vor Infiltration und Manipulation der Programme, die (wie das Betriebssystem oder die Anwendersoftware) die Funktionsweise ermöglichen oder Dritten den Zugang zu diesem System eröffnen. Das BVerfG benutzt den Begriff des informationstechnischen Systems als verfassungsrechtlichen, dessen Konturen noch erarbeitet werden müssen und keineswegs allein aus der informationstechnischen Literatur entnommen werden dürfen. Es verdeutlicht, dass der besondere Schutzbedarf nur bei komplexen informationstechnischen Systemen besteht, so nicht etwa bei nicht vernetzten elektronischen Steuerungsanlagen der Haushaltstechnik 30, wohl aber bei vernetzten Personal Computern, komplexeren Mobiltelefonen oder Personal Digital Assistant Es handelt sich insofern um Funktionsschutz, vgl. Hornung, CR 2008, 299, 302. Der Funktionsschutz ist aus grundrechtlicher Sicht als Mittel zum Persönlichkeitsschutz zu verstehen. Vgl. Volkmann, DVBl. 2008, 590, 592. Der Begriff der informationstechnischen Systeme ist bisher nicht legal definiert. Das BVerfG (Fn. 17) hat ihn der informationstechnischen Literatur übernommen, deren Begrifflichkeit in der bei der betreffenden Entscheidung angegriffenen gesetzlichen Regelung enthalten war. Zu den künftigen rechtsdogmatischen Aufgaben wird es gehören, die rechtlich relevanten Strukturen der "eigenen informationstechnischen Systeme" näher zu umschreiben, und zwar in einer Weise, die auf die Persönlichkeitsrelevanz des Systemschutzes ausgerichtet ist. Auch dort, wo das BVerfG nicht stets von "eigenen" (besser: eigengenutzten) informationstechnischen Systemen spricht, wird durch den Kontext deutlich, dass der Persönlichkeitsschutz entscheidender Bezugspunkt des grundrechtlichen Systemschutzes ist. Vgl. auch Britz (Fn. 4), S. 77. Insoweit geht es in informationstechnischer Terminologie auch um Security im Sinne der IT-Sicherheit, s. dazu etwa Kubicek, in: Klumpp u.a. (Fn. 23), S. 17, 25 ff. Zum Schutz der Informationsrichtigkeit vgl. Albers (Fn. 2), S. 119 f.; Britz (Fn. 4), S. 52 f. Vgl. BVerfGE (Fn. 17) Rn. 202.

9 (PDAs). 31 Die Voraussetzungen hinreichender Komplexität können aber auch ein mit dem Computer verbundene USB-Stick oder eine angeschlossene externe Festplatte erfüllen Persönlichkeitsrelevanz Allerdings ist das informationstechnische System nicht um seiner selbst willen grundrechtsgeschützt 33, sondern nur insofern, als seine Vertraulichkeit und Integrität Persönlichkeitsrelevanz haben. 34 Diese wiederum ergibt sich aus der Art der Daten, die mit Hilfe des Systems transportiert werden oder in ihm gespeichert sind oder werden können. Der über den Schutz des informationstechnischen Systems angestrebte Schutz der Daten erstreckt sich aber auch auf die im Arbeitsspeicher gehaltenen und temporär oder dauerhaft auf den Speichermedien des Systems abgelegten (eventuell nur mittelbar) persönlichkeitsrelevanten Daten. 35 Da der Nutzer aber bei den heute üblichen komplexen informationstechnischen Systemen regelhaft nicht weiß und nicht wissen kann, welche personenbezogenen oder gegebenenfalls seine Persönlichkeit betreffenden Daten über die von ihm eingegebenen hinaus bei dem Nutzungsvorgang generiert, wo und wie lange sie festgehalten (aufbewahrt) und in welchen Verwendungskontexten sie durch wen genutzt werden, kann er sein Selbstbestimmungsrecht über die Preisgabe und die Verwendung solcher Daten mit dem er bisher darüber entschied, wieweit er Vertrauen in die Geheimhaltung setzen konnte insoweit praktisch nicht ausüben. Die Möglichkeit autonomer Disposition entfällt auch, wenn die Art der Daten ihm bekannt ist, er aber durch Selbstschutz überfordert ist oder Selbstschutz zu unzumutbaren Funktionseinbußen führt. Mit dem Gewinn an technischen Möglichkeiten des Informationsaustauschs korrespondiert ein struktureller Verlust an informationeller Autonomie. 36 Systembezogener Funktionsschutz ermöglicht allerdings jedenfalls in Grenzen Vorkehrungen zum Ausgleich der Vgl. BVerfGE (Fn. 17) Rn Näher dazu Bäcker, in: Brink/Rensen (Hrsg.), Aktuelle Rechtsprechung des Bundesverfassungsgerichts, 2009 (i. E.), unter III, 2a; Böckenförde, JZ 2008, 925, 929 Fn. 41. Insofern gibt es aber ergänzenden Schutz durch andere Grundrechte wie Art. 12, 14 GG. Ein auf informationstechnische Systeme ausgerichtetes Konzept des Eigentumsschutzes aber bedarf noch der Ausarbeitung. Das etwa von Eifert, NVwZ 2008, 521, 522 befürchtete Risiko, der Integritätsschutz mache den Grundrechtsschutz zu einem apersonalen technikorientierten Grundrecht, besteht nicht, wenn mit dem BVerfG der Bezug des Integritätsschutzes zum Grundrecht auf Persönlichkeitsschutz aus Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG gewahrt bleibt, wenn auch erstreckt schon auf die Ebene der Persönlichkeitsgefährdung. Die persönlichkeitsschutzbezogene Komponente übersieht z. B. auch Lepsius, in: Roggan (Hrsg.), Online- Durchsuchungen, 2008, S. 21, 32 ff., wenn er die neue Schutzdimension als "entindividualisierten Schutz der Funktionsfähigkeit" dieser Systeme umschreibt und den vom Gericht geforderten Persönlichkeitsbezug nur als "Schutzbereich konturierend, nicht aber individualisierend" umschreibt (a.a.o. S. 35). Einen illustrativen Einblick in das Gefährdungspotenzial und die Möglichkeiten eines verdeckten hoheitlichen Zugriffs auf Computersysteme gibt Buermeyer, HRRS 2007, 154 ff. Instruktiv Kurz, in: Sokol (Hrsg.), "Persönlichkeit im Netz: Sicherheit Kontrolle Transparenz", 2007, S. 4 ff.

10 Folgen dieses Autonomieverlustes, kaum allerdings solche zur Wiederherstellung der Möglichkeit folgenreicher, selbstbestimmter Entscheidung über den Umgang mit den eigenen Daten. Das vom BVerfG dem Recht der informationellen Selbstbestimmung zugrunde gelegte Paradigma 37 der Freiheitssicherung durch die grundsätzliche Möglichkeit autonomer Entscheidung über Datenzugang und -verwendung 38 gibt zunächst ein Ziel des Freiheitsschutzes an, verweist aber auch auf mögliche Wege der Zielerreichung über Selbstbestimmung. Dies hat das Datenschutzrecht durch bestimmte Instrumente aufgegriffen, wie etwa durch die Weichen stellende Funktion der Einwilligung ( 4 Abs. 1, 4a BDSG) oder die Aufforderung zur Nutzung der Möglichkeiten der Anonymisierung und Pseudonymisierung ( 3a BDSG). Bei dem Verweis auf solche Instrumente baut der Persönlichkeitsschutz aber auf empirischen Prämissen auf, die aufgrund der Entwicklung der Computertechnologie, der Netzkonstellationen und vieler neuer Dienste zunehmend erodieren. Das hat um nur ein Beispiel zu nennen Folgen etwa für die Relevanz des Einwilligungserfordernisses. 39 Für den, der nicht einmal übersehen kann, worin er einwilligt wer nicht wissen kann, wer was wann und bei welcher Gelegenheit über wen weiß 40 kann andere nicht "informiert 41 und damit selbstbestimmt zur Datenverarbeitung ermächtigen; die Einwilligung reduziert sich ohne hinreichende Informationsgrundlage dann auf eine Formalie ohne materielle Legitimationskraft oder wird gar zur Fiktion. Auf die Möglichkeit zum Freiheitsschutz durch den Betroffenen selbst kann effektiver Datenschutz nur insoweit aufbauen, als die Betroffenen diese Möglichkeiten wirkungsvoll wahrnehmen können. Darüber hinaus bedarf es ergänzender Schutzmechanismen. Auf ihre Einrichtung haben schon in der Vergangenheit viele Bemühungen gezielt, so solche zum Persönlichkeitsschutz durch System- und Technikgestaltung. 42 Da der Betroffene nur begrenzt Herr der System- und Technikgestaltung ist, setzt effektiver Persönlichkeitsschutz insoweit voraus, dass der Betroffene grundsätzlich darauf vertrauen darf, dass solche Schutzmechanismen, soweit es sie gibt, auch tatsächlich greifen. Grundrechtlicher Persönlichkeitsschutz als Freiheitsschutz fordert dann auch Schutz von Vertrauen, der über den Schutz des Vertrauens in die Möglichkeit selbstbestimmter Entscheidung über das Ausmaß der Zugänglichkeit von Daten Zu ihm s. BVerfGE 65, 1, 42 f. Dass diese Befugnis nicht quasi-eigentumsrechtlich (miss)verstanden werden darf, wurde schon betont (bei Fn. 5). Zu ihm vgl. statt vieler Holznagel/Sonntag, in: Rossnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, S. 678 ff. m.w. Hinweisen. Dazu BVerfGE 65, 1, 43. Zum Grundsatz der informierten Einwilligung s. 4 Abs. 1 Satz 1 BDSG sowie Art. 2 Lithdsrl. Zum Systemschutz und zu seinen unterschiedlichen Facetten s. Albers, in: Hoffmann-Riem/Schmidt- Aßmann/Vosskuhle (Fn. 2), 22 Rn. 102 ff.

11 hinaus geht. Zu sichern ist auch der Schutz des Vertrauens in die Vertraulichkeit und Integrität des informationstechnischen Systems selbst, dem der Grundrechtsträger sich anvertraut, ohne dass von ihm erwartet wird, es selbst beherrschen zu können. IV. Ansätze für grundrechtlichen Schutz Das Persönlichkeitsgrundrecht ergänzt auch durch den in anderen Normen wie der EMR vermittelten Schutz (etwa Art. 8 EMRK) ermöglicht es, die informationstechnisch gestützte Kommunikation als vertrauensbasierte Freiheitsausübung zu schützen. 1. Abwehr und Schutz Vom grundrechtlichen Schutz umfasst ist die Abwehr (nicht gerechtfertigter) staatlicher Eingriffe. Es geht aber auch um die Gewährung von Schutz, sei es durch Erfüllung der in Grundrechten enthaltenen subjektiven Schutzansprüche und gegebenenfalls entsprechender Schutzpflichten 43, sei es in Ausgestaltung der objektiv-rechtlichen Vorgaben der Grundrechte. 44 Schutzdimensionen außerhalb des rein abwehrrechtlichen Schutzes der Grundrechte 45 treten umso mehr in das Zentrum grundrechtlicher Garantien, je mehr die realen Voraussetzungen der Freiheitsausübung der Bürger einerseits durch den Staat, andererseits aber auch durch Private oder im Zuge von Kooperationsakten zwischen Staat und Privaten geschaffen und erhalten werden müssen, aber gegebenenfalls auch von ihnen in Frage gestellt werden. 46 Deshalb wird immer bedeutsamer, dass das BVerfG schon seit längerem vermehrt auf die objektivrechtliche Dimension des Grundrechtsschutzes zurückgegriffen hat. 47 In den jüngeren Senatsentscheidungen zum Schutz vor Eingriffen in die technologisch gestützte Kommunikation und vor Zugriffen auf die entsprechenden Informationen standen allerdings Eingriffe oder Ermächtigungen zu Eingriffen durch den Staat 48 im Vordergrund, da in den entsprechenden Verfahren jeweils nur sie Gegenstand waren. Soweit es um die Aktivierung anderer, also auch der Zu Schutzpflichten allgemein s. etwa BVerfGE 39, 1, 42; 46, 160, 164; 56, 54, 73; 115, 118, 152. Zutreffend etwa Stögmüller, CR 2008, 435 ff. S. auch Hornung, CR 2008, 299, 305; Kutscha, NJW 2008, 1042, 1044; Sachs/Krings, JuS 2008, 486. S. die Hinw. in Fn. 43. Allgemein dazu s. statt vieler Schulze-Fielitz, in: Hoffmann-Riem/Schmidt-Aßmann/Vosskuhle, Grundlagen des Verwaltungsrechts, Bd. 1, 2006, 23, insbesondere Rn. 64 ff., 91 ff. Vgl. etwa zu Art. 5 Abs. 1 Satz 1 GG BVerfGE 7, 198, 205 ff.; zu Art. 10 GG: BVerfGE 106, 28, 37 zu Art. 2 Abs. 1 i.v.m. I Abs. 1 GG: BVerfGE 96, 56, 64; zu Art. 2 Abs. 1 und 14 Abs. 1 GG: BVerfGE 84, 192, 194 f; 114, 73, 89 ff. Vgl. auch die Argumentation zur Eröffnung einer Informationsquelle im Bereich der Informationsfreiheit (Art. 5 Abs. 1 GG): BVerfGE 103, 44, 61. S. ferner BVerfGE 49, 89, 140 ff. oder etwa BVerfG, JZ 2007, 576. BVerfGE 107, 299, 313 f. legt dar, dass Maßnahmen privater Unternehmen hier eines Telekommunikationsunternehmens dem Staat zuzurechnen sind, wenn sie hoheitlich angeordnet wurden und dem betreffenden Unternehmen kein Handlungsspielraum zur Verfügung steht.

12 objektiv-rechtlichen Grundrechtsfunktionen geht, bedarf es soweit sie nicht im Zuge der Auslegung und Anwendung geltender Normen bedeutsam werden regelhaft entsprechender Ausgestaltungen durch den Gesetzgeber. Dazu stehen ihm nicht nur Ge- und Verbote offen, sondern ebenso andere Gestaltungen wie Regelungen mit Bezug auf Organisation und Verfahren oder zur Technikgestaltung. 2. Einschlägige Grundrechtsnormen Für den grundrechtlichen Schutz stehen unterschiedliche Normen bereit, so neben dem Schutz des Telekommunikationsgeheimnisses (Art. 10 GG) der der Unverletzlichkeit der Wohnung (Art. 13 GG) sowie ergänzend und häufig zentral die verschiedenen Dimensionen des Grundrechts auf Schutz der Persönlichkeit aus Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG 49, ergänzend gegebenenfalls auch Art. 12, 14 GG und subsidiär die allgemeine Handlungsfreiheit des Art. 2 Abs. 1 GG. a) Telekommunikationsgeheimnis Art. 10 GG schützt die unkörperliche Übermittlung von Informationen mit Hilfe des Telekommunikationsverkehrs. 50 Ausgangspunkt der verfassungsrechtlichen Verbürgung ist die Idee, die durch den technischen Übermittlungsvorgang und die Einschaltung eines Kommunikationsmittlers regelhaft bedingt durch die räumliche Distanz 51 entstehenden Gefahren abzuwehren. Mit dieser Zielrichtung enthält das Grundrecht insbesondere ein Abwehrrecht gegen die Kenntnisnahme des Inhalts und der näheren Umstände der Telekommunikation durch den Staat; es umfasst aber auch den Auftrag an den Staat, Schutz gegen den Zugriff privater Dritter auf den Inhalt und die Umstände der Kommunikation zu gewähren. Hinzu tritt der Schutz dagegen, dass der Staat das entsprechende kommunikationsbezogene Wissen Privater für sich zugänglich macht, etwa durch Ermächtigungen zum Zugriff auf die bei Telekommunikationsunternehmen vorhandenen, auf bestimmte Kommunikationsvorgänge bezogenen Verkehrsdaten (früher: "Verbindungsdaten") 52 oder durch die Normierung einer ent BVerfG, (Fn. 17), Rn 166 ff. Vgl. BVerfGE 67, 157, 172; , 35 f.; 115, 166, 182. Zur Reichweite dieses Schutzes s. insbesondere Bäcker, in: Brink/Rensen (Fn. 32), unter II. Die räumliche Distanz kann jedenfalls insoweit kein wesentliches Element sein, als die Zugriffsmöglichkeit nicht auf ihr beruht, sondern auf der Nutzung der Telekommunikation einerlei, wieweit die für sie eingesetzten Rechner voneinander entfernt "stehen". Vgl. BVerfGE 107, 299, 312 f.; 113, 348, 365.

13 sprechend ausgestalteten Pflicht zur Vorratsdatenspeicherung, gekoppelt mit Zugriffsrechten auf die bevorrateten Daten. 53 b) Schutz der Wohnung Schutz kann auch das Sondergrundrecht aus Art. 13 GG gewähren 54, das die räumliche Sphäre, in der sich das Privatleben entfaltet, insbesondere vor Eindringen schützt, und zwar auch bei Nutzung von Hilfsmitteln zur Verschaffung von Einblicken in oder Eindrücken über Vorgänge in der Wohnung. 55 Der so gewährte Schutz erstreckt sich auf die durch das Eindringen ermöglichten Informationserhebungen und die Verwendung der so gewonnenen Daten. c) Grundrecht auf Schutz der Persönlichkeit Besonders wichtig ist das Grundrecht auf Schutz der Persönlichkeit aus Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG 56, zu dem das BVerfG schon im Volkszählungsurteil ausgeführt hat, dass die bisherigen Konkretisierungen nicht abschließend sind. Auch die seinerzeitige Ergänzung um das Recht auf informationelle Selbstbestimmung war nicht mit der Aussage gekoppelt, dass nunmehr eine abschließende Konkretisierung erfolgt ist. Seit längerem anerkannt sind als (nicht ausdrücklich im Verfassungstext enthaltene) Teilausprägungen dieses Grundrechts das Grundrecht 57 auf Schutz des eigenen Bildes, das Grundrecht auf Schutz des eigenen Wortes, das Grundrecht auf Schutz der Privatsphäre in räumlicher und thematischer Hinsicht sowie das Grundrecht auf informationelle Selbstbestimmung. Dem hat das BVerfG im Urteil zur Online-Durchsuchung 58 als weitere Teilausprägung ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität der eigenen informationstechnischen Systeme 59 hinzugefügt, das gelegentlich als IT-Grundrecht bezeichnet wird Dazu s. 113a, b TKG und den Beschluss des BVerfG, NVwZ 2008, 543. Vgl. BVerfGE 89, 1, 12; 103, 142, 105 f. Vgl. BVerfG (Fn. 17), Rn Vgl. aber auch Fn 4. Die Bezeichnung als "Grundrecht" (s. etwa BVerfG, NJW 2008, 1793, 1794) ist der früher üblichen als "Recht" vorzuziehen, da sie die verfassungsrechtliche Fundierung betont und eine Unterscheidung zu dem entsprechenden zivilrechtlichen "Recht" erlaubt. Darüber hinausgehende Rechtsfolgen sind damit aber nicht verbunden, so zutreffend Böckenförde, JZ 2008, 925, 927 Fn. 25. BVerfG (Fn. 17): Konkret betrifft das Urteil die Online-Durchsuchung; seine verfassungsrechtliche Reichweite geht aber weit darüber hinaus. Die in den Medien vorgeschlagene Verkürzung des Grundrechts als "Computer-Grundrecht" leitet in die Irre. Besser aber als Rechtsbegriff untauglich ist der des IT-Grundrechts, den etwa Bäcker, in: Brenk/Rensen (Fn. 32) benutzt. Bäcker, in: Brenk/Rensen (Fn. 32).

14 Das Verhältnis dieser Teilausprägungen des Persönlichkeitsschutzgrundrechts zueinander ist nicht immer einfach zu klären. So zielen das Grundrecht am eigenen Bild und Wort auf Elemente des Persönlichkeitsschutzes, die auch vom Grundrecht auf informationelle Selbstbestimmung umfasst, aber ebenfalls in anderen Grundrechtsverhältnissen (wie bei Art. 5 GG) wichtig sein können. Der Privatsphärenschutz schließt personenbezogene Daten ein 61, geht aber über dessen Schutz deutlich hinaus, etwa wenn er auf den Schutz des Verhaltens in einer als Privatsphäre geschützten Situation zielt, zum Beispiel als Schutz vor Verhaltensgeboten in entsprechenden Räumen. Auch die nunmehr vom BVerfG anerkannte Gewährleistung der Vertraulichkeit und Integrität der eigenen informationstechnischen Systeme enthält Überschneidungen zu den anderen Teilausprägungen, gewinnt seine besondere Bedeutung aber durch die gegenständliche Konzentration auf den Schutz der Inanspruchnahme informationstechnischer Systeme für eigene persönlichkeitsbezogene Zwecke gegen damit verbundene Gefährdungen. Der grundrechtliche Schutz der Vertraulichkeit und Integrität der eigenen informationstechnischen Systeme ist vom BVerfG nicht als neues Grundrecht konzipiert 62 worden, sondern als eine Ausprägung des Grundrechts auf Schutz der Persönlichkeit. Diese ist, wie auch die anderen erwähnten Ausprägungen des Schutzes der Persönlichkeit, zwar nicht im Grundrechtsteil des Grundgesetzes ausdrücklich angesprochen, wohl aber in ihr fundiert. Das Schutzrecht basiert daher auf den gleichen normativen Prämissen, die Grundlage der Konkretisierungen der anderen Schutzdimensionen des Persönlichkeitsrechts sind. V. Insbesondere: Die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität der eigengenutzten informationstechnischen Systeme Die neue Ausprägung des Persönlichkeitsschutzes ist vor allem in den Medien auf durchgängige Zustimmung gestoßen 63, hat aber im Fachschrifttum zum Teil Kritik, aber auch Zustimmung erfahren. 64 Die Kritik 65 hält die neuartige Konkretisierung für entbehrlich, insbesondere Das scheint für die Redeweise von Böckenförde, JZ 2008, 925 von der "elektronischen Privatsphäre" zu sprechen. Dagegen ist einzuwenden, dass der grundrechtliche Privatsphärenschutz räumlich/thematisch nicht anhand des Mediums definiert wird, mit dessen Hilfe die Privatsphäre gestaltet wird. Dies übersieht ein Teil der Literatur, so beispielsweise Lepsius, in: Roggan (Fn. 34), S. 21 ff. Dieser Aufsatz unternimmt im Übrigen eine Rekonstruktion der Entscheidung, die sich von deren Aussagen und Prämissen so weitgehend löst, dass die grundrechtsdogmatische Einordnung durch Lepsius auch nicht ansatzweise überzeugen kann. Daher zu Recht ablehnend auch Böckenförde, JZ 2008, 925, 928 Fn. 38. Vgl. statt vieler Prantl, Süddeutsche Zeitung v , S. 4. Angegriffen werden insbesondere die Konstruktion und die Argumentationsweise im Einzelnen, nicht aber die angestrebte Schutzdimension. Aus der eher kritisch eingestellten Literatur insoweit s. etwa Britz, DÖV 2008, 411 ff.; Sachs/Krings, JuS 2008, 482 ff.; Eifert, NVwZ 2008, 521 ff.; Lepsius, in: Roggan (Fn. 62), S. 21 ff.; Bull, in: Jahrbuch Öffentliche Sicherheit 2008/2009, S. 317 ff.; Hoeren, MMR 2008, 365 ff. S. auch

15 weil der beabsichtigte Schutz schon durch das Grundrecht auf informationelle Selbstbestimmung gewährt sei; sie sieht darüber hinaus das Risiko einer Minimierung des Schutzes auf informationelle Selbstbestimmung. 66 Auch werden die fehlende dogmatische Strukturierung und die damit verbundenen Risiken in der Abgrenzung zum Recht auf informationelle Selbstbestimmung kritisiert. 67 Befürchtet wird das Risiko eines "apersonalen technikorientierten Grundrechts. 68 Im Folgenden soll versucht werden, wichtige Prämissen für die neue Ausprägung des Grundrechts zu rekonstruieren und insbesondere zu zeigen, dass der Schutzbedarf über den hinausgeht, der jedenfalls nach der bisherigen Rechtsprechung mit dem Grundrecht auf informationelle Selbstbestimmung befriedigt wurde. 1. Der Ausgangspunkt In den bisherigen Ausführungen des BVerfG zum Schutz des Grundrechts auf informationelle Selbstbestimmung wurde insbesondere ausgeführt, dass es seinen Trägern Schutz gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe der auf sie bezogenen, individualisierten oder individualisierbaren Daten gewährt. 69 Zum Teil wurde auch (übergreifend und deshalb ohne nähere Spezifizierung und ohne Kraft zur rechtsdogmatischen Begrenzung) dahin gehend formuliert, dass es Gefährdungen und Verletzungen der Persönlichkeit Rechnung trage, die sich für den Einzelnen, insbesondere unter den Bedingungen moderner Datendie Nachw. in Fn. 16 und 25 sowie die Beiträge in Roggan (Fn. 34). Im Grundsatz und vielen Einzelheiten zustimmend etwa Hornung, CR 2008, 299 ff.; Hirsch, NJW 2008 unter Verweis auf NJOZ 2008, 2902; Lorenz, StRR 2008, 140 ff.; Stögmüller, CR 2008, 435 ff.; Jäger, Juris-itr 12/2008; Petri, DUD 2008, 443; Bäcker, in: Brink/Rensen (Fn. 32); Böckenförde, JZ 2008, 925 ff.; Michael/Morlok, Grundrechte, 2008, Rn. 427 ff. Kritisiert wird insbesondere die dem Gericht unterstellte Ansicht, das Recht auf informationelle Selbstbestimmung betreffe nur "einzelne Kommunikationsvoraussetzungen oder gespeicherte Daten" bzw. von Daten mit "punktuellem Bezug zu einem bestimmten Lebensbereich" (in Bezug genommen werden insoweit insbesondere die Formulierungen in BVerfG [Fn. 17], Rn. 201 f.). Die Ausführungen des BVerfG werden jedoch missverstanden, wenn sie als abschließende Ausführungen über den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung verstanden werden. Wie der Kontext der Ausführungen ergibt, sollte vor allem verdeutlicht werden, dass die Komplexität des Schutzbedarfs hinsichtlich informationstechnischer Systeme von der bisherigen Rechtsprechung und Dogmatik des Rechts auf informationelle Selbstbestimmung noch nicht hinreichend erfasst wurde. Die Rechtsprechung und weitgehend auch die Literatur befassen sich mit Vorkehrungen gegen konkrete Maßnahmen der Datenerhebung und -nutzung auch dort, wo sie Instrumente etwa Vorkehrungen zum Selbstschutz, zum Schutz durch Technik- und Systemgestaltung in einer vorgelagerten Ebene vorsehen. Die vom BVerfG nunmehr herausgestellte Dimension des eigenständigen Schutzes des Vertrauens in das eigengenutzte informationstechnische System selbst kommt dabei durchgängig nicht in den Blick. So etwa Britz, DÖV 2008, 411, 413; Sachs/Krings, JuS 2008, 481, 484; Volkmann, DVBl. 2008, 591; Eifert, NVwZ 2008, 521 f. Vgl. etwa Kutscha, NJW 2008, 1043; Lepsius, in: Roggan (Fn. 34); s. auch Fn. 62. S. dazu schon oben Fn. 34. Vgl. BVerfGE 65, 1, 43; 67, 100, 143; 84, 239, 279; 103, 21, 33; 115, 166, 190; 115, 320, 341 ff.

16 verarbeitung, "aus informationsbezogenen Maßnahmen" ergeben. 70 Die bisher vom BVerfG getroffenen Entscheidungen zu diesem Grundrecht beziehen sich auf Gefährdungen, die durch Datenerhebungen bewirkt werden, einerlei ob sie punktuell oder fortlaufend, im Einzelfall oder massenhaft durchgeführt werden. Die grundrechtlich möglichen oder gar gebotenen Schutzvorkehrungen begrenzen sich allerdings nicht auf Maßnahmen mit direktem Bezug auf den Vorgang der Datenerhebung und anschließender Speicherung, Verwendung, Bearbeitung oder Weitergabe, sondern erstrecken sich auch auf (organisatorische, verfahrensmäßige, systemische u. ä.) Voraussetzungen dafür, dass derartige Erhebungen und nachfolgende Maßnahmen den grundrechtlichen Vorgaben entsprechen oder gegebenenfalls unterbleiben. Hier wird deutlich, dass der Schutz informationeller Selbstbestimmung schon auf der Ebene der Grundrechtsgefährdung ansetzt und deshalb durch Maßnahmen zur Verringerung solcher Gefährdungen bewirkt werden kann. Auch wo Schutzvorkehrungen wie etwa Maßnahmen zum Systemdatenschutz 71 der Datenerhebung vorgelagert sind, handelt es sich um Maßnahmen zur Vorbeugung gegen Datenbeeinträchtigungen sie erfolgen dann insbesondere in Gestalt der Kontextsteuerung und - gestaltung, nicht aber um den Schutz des Vertrauens in die Funktionsweise des informationstechnischen Systems selbst. Anders formuliert: Datenschutz durch Systemgestaltung ist nicht identisch mit einem Schutz des informationstechnischen Systems (einerlei, ob in ihm rechtliche Vorkehrungen der Systemgestaltung verwirklicht sind) vor dem Zugriff auf das System selbst und den in der Folge ermöglichten Datenzugriffen. Wenn für diese neue Dimension des Systemschutzes besondere Anforderungen formuliert werden, liegt darin nicht zugleich die von der Literatur zum Teil kritisierte "Minimalisierung" des Rechts auf informationelle Selbstbestimmung 72 : Sein Schutzziel und sein Schutzniveau bleiben unverändert. Allerdings wird sein Anwendungsbereich nicht auf weitere Schutzdimensionen ausgedehnt, die vom Grundrecht auf informationelle Selbstbestimmung bisher nicht angemessen erfasst werden; dieser Schutz wird stattdessen in einer neuen (insoweit speziellen) grundrechtlichen Konkretisierung verankert und über regelmäßig strengere Anforderungen verwirklicht. Eine Verringerung grundrechtlichen Persönlichkeitsschutzes insgesamt liegt darin jedenfalls nicht. 2. Neuartige Dimensionen des Schutzbedarfs So die Formulierung in BVerfG, NJW 2008, 1505, 1506 (zur Kfz-Kennzeichenerfassung). S. oben bei Fn. 42. S. oben Fn. 65.

17 In dem Urteil zur Online-Durchsuchung ist das Gericht von der Prämisse ausgegangen, dass der bisher für das Grundrecht auf informationelle Selbstbestimmung konzipierte Schutz nicht ausreicht, um auch das für den Persönlichkeitsschutz wichtige Vertrauen in die Funktionsfähigkeit der zur Kommunikation eingesetzten eigenen informationstechnischen Systeme zu schützen. Ein Schutz (nur) vor der Erhebung und weiteren Nutzung personenbezogener Daten greift zu kurz, wenn er nicht auch den Schutz vor dem Zugriff auf das eigene informationstechnische System umfasst, das zur kommunikativen Entfaltung genutzt wird, auf dessen ungestörte Funktionsweise regelmäßig vertraut wird und bei dessen Infiltration oder gar Manipulation Gefahren für den Persönlichkeitsschutz entstehen, die über den Schutz der erhobenen Daten selbst nicht hinreichend abgewehrt werden können. 73 So bewirken die Infiltration eines komplexen informationstechnischen Systems mit der Möglichkeit zur Manipulation seiner Funktionsweise oder der Einbau von Software zur Veränderung der von dem System verarbeiteten personenbezogenen Daten und übermittelten Kommunikationsvorgänge eigenständige Gefahrenquellen, deren Entstehung Gefährdungen auch für die in dem informationstechnischen System verfügbaren Daten bewirkt. Die wirkungsvolle Abwehr solcher Persönlichkeitsgefährdungen fordert eine (Vor-)Verlagerung des Schutzes in den der eigengenutzten Infrastruktur, der die Möglichkeit selbstbestimmten Umgangs mit Daten sowie die Freiheit und Integrität der über die Infrastrukturen vermittelten Kommunikation sichern soll. Durch Infiltrationsmaßnahmen werden diese für Fremdbestimmung geöffnet. Schutzbedarf gegenüber solchen Infiltrationen besteht schon, bevor ein Zugriff auf bestimmte Daten erfolgen kann o- der erfolgt 74, setzt sich aber fort, wenn es zu einem solchen Eingriff kommt. In den Blick geraten unterschiedliche Ebenen der Gefährdung. Einige der Gefahren könnten durch das (schon bisher ausgebaute) Grundrecht auf informationelle Selbstbestimmung, gegebenenfalls nach Modifikationen, abgewehrt werden 75, andere aber nicht oder jedenfalls nicht Dass allein über den "Schutz der Daten immer zugleich hinreichend" den mit der Verletzung der Vertraulichkeit und Integrität informationstechnischer Systeme verbundenen Gefährdungen Rechnung getragen wird wie z. B. Eifert, NVwZ 2008, 522 annimmt -, ist nicht erkennbar. Der Schutz des Vertrauens in die Art der Leistung dieses informationstechnischen Systems kann so nicht erreicht werden. So können z. B. Integritätsverletzungen etwa Manipulationen an der Software mit persönlichkeitsschutzbezogenen Auswirkungen bewirken, dass Schutz der einzelnen Daten praktisch unmöglich gemacht wird. Im Übrigen müsste sich der Schutz, der sich (nur) als Schutz der erhobenen Daten verwirklicht, an der Qualität dieser Daten ausrichten, ohne auch eigenständig durch die Art ihrer Erlangung in seiner Art und Intensität beeinflusst werden zu können. Zuzugeben ist allerdings, dass das BVerfG bei der Bestimmung des Schutzbedarfs, insbesondere der Ermittlung der Eingriffsintensität, auch auf Umstände zurückgegriffen hat, die nicht auf die Qualität der betroffenen Daten bezogen sind, wie etwa die Streubreite oder die Massenhaftigkeit von Eingriffen. Zutreffend Petri, DUD 2008, 446. S. die Hinweise oben Fn. 64: Mehrere Autoren halten diese Vorgehensweise in jedem Fall für hinreichend.

18 so, dass den Spezifika der Gefahrenlage bei der Nutzung der eigenen informationstechnischen Systeme hinreichend Rechnung getragen wird. a) Persönlichkeitsbezogene Streubreite des Eingriffs Dem Risiko, dass aufgrund solcher Infiltrationen auf leichtere Weise als bisher bestimmte Daten erhoben werden können, könnte in vielerlei Hinsicht in der Tat durch das bisherige Grundrecht auf informationelle Selbstbestimmung ergänzend auch durch Art. 10 bzw. 13 GG begegnet werden. Ermöglicht die Infiltration nicht nur, auf bestimmte Kommunikationsvorgänge oder einzelne Daten zuzugreifen, sondern auch auf alle weiteren im Kommunikationssystem "abgelegten" oder über ihn erschließbaren (etwa beim Provider verfügbaren) Daten, so kann allerdings eine kaum im Einzelnen und eventuell auch typisiert nicht vorhersehbare Vielzahl und Vielfalt von Lebensumständen und persönlichen Charakteristika erfasst werden, die nur durch die Infiltration des informationstechnischen Systems ermöglicht wird. Die "persönlichkeitsbezogene" Streubreite des Zugriffs auf das informationstechnische System erhöht das Gefährdungspotenzial nachfolgender informationstechnischer Eingriffe und vermindert die Möglichkeit zur Gegenwehr durch eigenbestimmte Maßnahmen. Es bedürfte jedenfalls neuer rechtsdogmatischer Anstrengungen, wenn diese Risiken allein durch Ausbau der Reichweite des Grundrechts auf informationelle Selbstbestimmung Rechnung getragen werden sollte. b) Vom System generierte Daten Insbesondere ist zweifelhaft, ob das Grundrecht auf informationelle Selbstbestimmung hinreichend wirksam vor dem Zugriff auf die vom informationstechnischen System meist ohne nähere Kenntnis des Betroffenen, vielfach ohne Kenntnisnahmemöglichkeit generierten Daten schützt. Zugriffe auf das informationstechnische System zwecks Zugriff auf solche Daten können zwar als Eingriff in das Grundrecht auf informationelle Selbstbestimmung eingeordnet und dessen Rechtfertigungsprogramm unterworfen werden. Probleme entstehen aber dadurch, dass die Schutzmöglichkeit des Betroffenen auch die Möglichkeit zu wirksamem Ex-post-Schutz faktisch begrenzt ist. Dagegen hilft es nicht, wenn er, wie zum Teil befürwortet wird, auf die Möglichkeit zu vorbeugendem Selbstschutz verwiesen wird. So gibt es für den Nutzer zwar gewisse Möglichkeiten, die Schaffung der im Kommunikationsvorgang generierten Einzeldaten etwa von Cookies 76 oder Datensammlungen etwa von Caches Dies sind auf einem Clientrechner gespeicherte Daten, um einem Serverrechner bestimmte Informationen zu vermitteln, insbesondere bei wiederholten Besuchen.

19 technisch zu unterbinden, aber eben nur begrenzte: Stets setzen sie sowohl ein besonderes Gefahrenbewusstsein als auch beträchtlichen technischen Sachverstand voraus, zum Teil so bei flash cookies ist es extrem schwierig, sie überhaupt zu finden. 78 Entsprechende Qualifikationen können bei den Nutzern nicht ohne weiteres vorausgesetzt werden. Es entspricht auch nicht dem verfassungsrechtlichen Leitbild des Freiheitsschutzes, diesen nur einer kleinen Minderheit gefahrenbewusster und technikerfahrener Personen etwa Freaks, Hackern oder gar auf solche Fähigkeiten spezialisierten Kriminellen zu gewähren. 79 Ferner ist bedeutsam, dass Unterbindungen etwa von Cookies oder Caches meist nur um den Preis nicht unerheblicher Funktionseinbußen zu erreichen sind: In vielerlei Hinsicht sind sie auch für den Betroffenen selbst "nützlich". Er vertraut letztlich darauf, auch sie unbeschwert nutzen zu können. Will der Nutzer derartige Datengenerierungen und -sammlungen nicht unterbinden, fordert effektiver Persönlichkeitsschutz, dass er jedenfalls darauf vertrauen darf, dass die so gewonnenen Daten nicht in unübersehbaren Zusammenhängen und insbesondere unautorisiert durch Dritte genutzt werden können. Durch Infiltration informationstechnischer Systeme werden sie aber für nicht am Kommunikationsvorgang Beteiligte nutzbar, ohne dass der Betroffene dies erkennen und sich schützen kann. c) Schaffung von Persönlichkeitsbildern neuartiger Tiefe und Breite Eine besondere mit dem traditionellen Grundrechtsschutz nicht ohne erhebliche Weiterungen erfasste Gefährdungslage wird dadurch geschaffen, dass durch die Infiltration die technische Hürde grundsätzlich also nicht nur im Einzelfall überwunden wird, die sonst einer Ausspähung oder Überwachung entgegensteht. Ist die Hürde übersprungen, entfällt der systembezogene Schutzwall, der sonst bei Eingriffen in das Recht auf informationelle Selbstbestimmung je neu überwunden werden müsste und gegen den gegebenenfalls Rechtsschutzmöglichkeiten bestehen. Auch wenn die infiltrierende Stelle nur an bestimmten Daten interessiert Ein Cache ist ein schneller Pufferspeicher, der Kopien vom Inhalt eines anderen (Hintergrund-)Speichers enthält und somit den Zugriff auf diesen beschleunigt. Daten werden also für einen schnelleren Zugriff auf ein schnelleres Medium zwischengespeichert. Die meisten Web-Browser legen auf der Festplatte in Form temporärer Dateien einen solchen Cache an. Flash cookies so genannt nach der Software flash player, mit der sie erstellt werden können im Vergleich zu "normalen" cookies erheblich schwerer angezeigt und gelöscht werden, mit den Standardeinstellungen des Betriebssystems Microsoft Windows XP etwa sind sie auf der Festplatte nicht einmal sichtbar. Innerhalb des Browsers können sie gar nicht lokalisiert werden, da sie Browser-unabhängig verarbeitet und gespeichert werden. Aus demselben Grund können die gespeicherten Daten dem jeweiligen Nutzer selbst bei Nutzung verschiedener Browser auf demselben System und auch über beliebig viele Browser-Sitzungen hinweg eindeutig zugeordnet werden. Vgl. BVerfG, JZ 2007, 576: Informationeller Selbstschutz muss dem Einzelnen auch tatsächlich möglich und zumutbar sein.

20 ist 80, ist es für sie praktisch nicht ausgeschlossen, auch andere Daten zu erlangen und auf andere Kommunikationsvorgänge zuzugreifen. Beispielsweise wird durch die Infiltration die Erlangung eines potenziell großen und über vielfältige Facetten der Persönlichkeit höchst aussagefähigen Datenbestandes ermöglicht. Einblicke in wesentliche Teile der Lebensgestaltung können ebenso eröffnet werden wie Wege zur Schaffung von differenzierten Interessen-, Verhaltens-, Kommunikations- und Sozialprofilen und damit höchst aussagekräftigen Persönlichkeitsbildern. 81 Vor der Konstruktion von Persönlichkeitsbildern durch Verwertung einzelner Datenerhebungen schützt allerdings schon das Grundrecht auf informationelle Selbstbestimmung. 82 Beseitigt die Infiltration informationstechnischer Systeme aber grundsätzlich die technische Hürde des Zugangs auf alle diese Informationen, können durch die Erfassung aller so im informationstechnischen System zugänglichen Daten über längere Zeiträume Möglichkeiten zur Kumulation und Kombination vieler Informationen aus unterschiedlichen Lebensbereichen in einer bei den bisher möglichen Eingriffen nicht herstellbaren Tiefe und Breite geschaffen werden. 83 Auch wenn gegen konkrete Datenerhebungen das Grundrecht auf informationelle Selbstbestimmung in seinem Schutz vor Persönlichkeitsbildern hinreichend aktivierbar ist, blieben bei der Infiltration informationstechnischer Systeme jedenfalls Risiken, dass Persönlichkeitsbilder einer bisher unbekannten Breite und Dichte geschaffen werden und dass der Betroffene das Gefahrenpotenzial gar nicht abschätzen und sich häufig nicht wirkungsvoll wehren könnte: Die auf das informationstechnische System bezogene Schutzlücke ließe sich auf der Ebene des Schutzes gegen konkrete Datenerhebungen nicht effektiv schließen. Durch die Infiltration des informationstechnischen Systems ist ein "virtueller Fuß in die Tür" zur Persönlichkeit gestellt worden. d) Risiko der Datenverfälschung Auch ist mit der Möglichkeit der Infiltration des Systems das Risiko der (praktisch kaum erkennbaren) Verfälschung einzelner erfasster Daten und deren Kombination mit anderen ver So sind Sicherheitsbehörden regelmäßig nur an der gezielten selektiven Übermittlung spezifischer für sie relevanter Daten interessiert. Ein von ihnen installierter Trojaner funktioniert am besten, wenn er nur einzelne Daten, und zwar genau die für die behördliche Aufgabe wichtigen, überträgt (z. B. Namen von Kommunikationspartnern, abgespeicherte -inhalte etc.) Dennoch ist durch die Infiltration die Hürde grundsätzlich übersprungen. Plastisch die Formulierung bei Böckenförde, JZ 2008, 925, 928: "Es ist die Vermittlungsleistung des informationstechnischen Systems, dass einzelne personenbezogene Daten zu einer auf einmal und immer wieder zugänglichen, dynamischen Gesamtheit aggregiert, und daher bei unberechtigtem Zugang den Betroffenen in seiner persönlichen Lebensführung entblößen kann." S. etwa BVerfGE 65, 1, 42 f.; 109, 279, 323; 112, 304, 319. Michael/Morlok (Fn. 64), Rn. 429 sprechen von einem qualitativen Sprung.