Online-Durchsuchungs-Urteil

Das Land Nordrhein-Westfalen hatte durch eine Änderung des Verfassungsschutzgesetzes NRW die Befugnis zu verdeckten Online-Durchsuchungen eingeführt. Danach sollte der Verfassungsschutz berechtigt sein, durch technische Mittel — also durch das Einschleusen von Spähsoftware, sogenannten Trojanern — heimlich auf informationstechnische Systeme zuzugreifen. Gemeint waren damit Computer, Laptops, Smartphones und Tablets, die von Zielpersonen genutzt werden. Zweck sollte die verdeckte Ausspähung gespeicherter Daten, E-Mails, Kommunikationsinhalte und Standortdaten sein. Mehrere Beschwerdeführer — darunter ein Rechtsanwalt und ein Journalist — rügten, dass diese Befugnis ihr Recht auf informationelle Selbstbestimmung und ihr allgemeines Persönlichkeitsrecht grundlegend verletze. Das Verfassungsschutzgesetz NRW wurde der Sache nach für Personen eingeführt, die der Mitgliedschaft in einer extremistischen oder terroristischen Vereinigung verdächtig waren. Das BVerfG stand vor der Frage, ob das bereits in BVerfGE 65, 1 anerkannte Recht auf informationelle Selbstbestimmung ausreichend ist, um den staatlichen Zugriff auf komplexe informationstechnische Systeme zu begrenzen, oder ob die spezifische Qualität solcher Systeme — ihre Funktion als umfassende Persönlichkeitsspeicher — ein eigenständiges Grundrecht erfordert. Außerdem war zu klären, unter welchen strikten Voraussetzungen ein solcher Eingriff überhaupt verfassungsgemäß sein kann.

Vermittelt das Grundgesetz einen hinreichenden verfassungsrechtlichen Schutz gegen heimliche staatliche Online-Durchsuchungen informationstechnischer Systeme? Folgt dieser Schutz aus dem bereits anerkannten Recht auf informationelle Selbstbestimmung, oder bedarf es eines neuen, eigenständigen Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme? Und welche konkreten Anforderungen — insbesondere hinsichtlich Anlass, Zweck, Verhältnismäßigkeit und richterlicher Kontrolle — gelten für die gesetzliche Grundlage einer solchen Maßnahme? Welche Unterschiede bestehen zwischen dem Schutz einzelner personenbezogener Daten durch das Recht auf informationelle Selbstbestimmung und dem Schutz eines gesamten IT-Systems als Persönlichkeitsspeicher?

Das Bundesverfassungsgericht erklärte die einschlägige Norm des Verfassungsschutzgesetzes NRW für verfassungswidrig und erkannte zugleich ein neues Grundrecht an: das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das aus Art. 2 I in Verbindung mit Art. 1 I GG folgt. Das Gericht begründete die Notwendigkeit dieses neuen IT-Grundrechts damit, dass informationstechnische Systeme — anders als bloße Einzeldaten — eine qualitativ andere Bedrohungslage begründen: Ein moderner Computer oder ein Smartphone enthält nicht nur einzelne Datenpunkte, sondern bildet die gesamte digitale Identität einer Person ab — Kommunikationsverhalten, soziale Beziehungen, berufliche Tätigkeit, finanzielle Situation, Gesundheitszustand, politische Überzeugungen, private Gedanken. Der Zugriff auf das gesamte System ermöglicht daher eine umfassende Persönlichkeitserkundung, die weit über das hinausgeht, was das Recht auf informationelle Selbstbestimmung erfasst, das einzelne Datenpunkte im Blick hat. Das neue IT-Grundrecht gewährleistet daher die Vertraulichkeit des Systems — der Staat darf nicht heimlich auf die gespeicherten Inhalte zugreifen — und die Integrität des Systems — der Staat darf das System nicht heimlich verändern oder mit Schadsoftware infiltrieren. Eingriffe in dieses Grundrecht sind nur unter strengen Voraussetzungen verfassungsgemäß: Es muss eine konkrete Gefahr für überragend wichtige Rechtsgüter bestehen — Leib, Leben, Freiheit von Personen oder der Bestand des Staates. Es bedarf einer richterlichen Anordnung im Einzelfall. Die Maßnahme muss auf das Notwendige begrenzt sein, und es müssen technische Vorkehrungen getroffen werden, um den Zugriff auf nicht eingriffsbegründende Daten zu minimieren. Das Gericht verlangte zudem, dass die Ermächtigungsnorm klar und bestimmt formuliert ist (Bestimmtheitsgebot) und die Art der Maßnahme, ihren zeitlichen Umfang und den Kreis der Betroffenen präzise festlegt. Vage Generalklauseln, die Behörden einen weiten Ermessensspielraum beim Einsatz von Spähsoftware lassen, genügen den verfassungsrechtlichen Anforderungen nicht.

Das Online-Durchsuchungs-Urteil vom 27. Februar 2008 ist die bisher letzte große Grundrechtserweiterung durch das BVerfG. Es zeigt, wie das Gericht durch richterliche Rechtsfortbildung auf technologische Entwicklungen reagiert und das Grundgesetz für neue Lebenswirklichkeiten aktualisiert. Das IT-Grundrecht ist seitdem der verfassungsrechtliche Maßstab für alle Normen über Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), Staatstrojaner, digitale Rasterfahndung, Cloud-Zugriffe und Cyberabwehrmaßnahmen. Die Entscheidung baut systematisch auf dem Volkszählungs-Urteil (BVerfGE 65, 1) auf und entwickelt es fort: Nicht mehr das einzelne Datum, sondern die Integrität des gesamten informationstechnischen Systems ist der neue Schutzgegenstand. Für die Praxis bedeutet das: Gesetzgeber müssen staatliche Befugnisse zur Online-Überwachung auf ein überragend wichtiges Schutzgut und eine konkrete Gefahrensituation beschränken; anlasslose Massenüberwachung ist verfassungswidrig. Die Entscheidung hat erhebliche politische und gesetzgeberische Folgewirkungen gehabt: Das Bundesverfassungsschutzgesetz, die Polizeigesetze der Länder und die Strafprozessordnung wurden in der Folge mehrfach angepasst, um die strikten Anforderungen des IT-Grundrechts zu erfüllen. Gleichzeitig zeigt das Urteil die Grenzen richterlicher Technikregulierung: Das BVerfG kann Mindeststandards setzen, aber die Entwicklung neuer Überwachungstechnologien geht schneller als die Grundrechtsentwicklung durch Einzelfallentscheidungen. Die Herausforderungen durch Cloud-Computing, Künstliche Intelligenz und vernetzte Geräte (Internet of Things) werden das IT-Grundrecht in den kommenden Jahren vor neue Bewährungsproben stellen. Folgerechtsprechung: In der BKA-Gesetz-Entscheidung (BVerfGE 141, 220 vom 20.04.2016) hat das BVerfG die Maßstäbe des IT-Grundrechts auf die polizeilichen Befugnisse des Bundeskriminalamts zur Terrorismusabwehr konkretisiert und einen detaillierten Katalog verfahrensrechtlicher Sicherungen entwickelt — insbesondere die Pflicht zur Kernbereichsabschirmung, also zum Schutz des absolut geschützten Bereichs privater Lebensgestaltung, dessen Inhalte selbst bei rechtmäßiger Maßnahme nicht erfasst oder verwertet werden dürfen. In der Folge wurden umfangreiche technisch-organisatorische Vorkehrungen für staatliche IT-Eingriffe etabliert: getrennte Datenpools, externe Kernbereichsbeauftragte und nachgelagerte richterliche Kontrolle der erhobenen Daten. Diese Folgerechtsprechung zeigt, dass das IT-Grundrecht nicht statisch ist, sondern dynamisch an neue Bedrohungslagen und Überwachungstechnologien angepasst wird.

Das IT-Grundrecht aus Art. 2 I i.V.m. Art. 1 I GG ist ein eigenständiges Grundrecht neben dem Recht auf informationelle Selbstbestimmung. Abgrenzung: Einzeldaten (z.B. Melderegisterabfrage, Kontoabfrage) → Recht auf informationelle Selbstbestimmung. Systemzugriff (Computer, Smartphone, Cloud-Konto, Server) → IT-Grundrecht. Prüfungsschema: (1) Schutzbereich — informationstechnisches System, das als persönlicher Kommunikations- und Wissensspeicher genutzt wird; Vertraulichkeit und Integrität des Systems. (2) Eingriff — heimlicher Zugriff, Installation von Schadsoftware, Kopieren von Inhalten, Manipulation. (3) Rechtfertigung — überragend wichtiges Rechtsgut (Leib, Leben, Freiheit oder Bestand des Staates), konkrete Gefahr, Verhältnismäßigkeit, Richtervorbehalt. Merke: Keine anlasslose Massenüberwachung — das IT-Grundrecht erfordert einen konkreten Verdacht. Vertiefung: Der Begriff 'informationstechnisches System' ist weit zu verstehen: Er umfasst Computer, Laptops, Smartphones, Tablets, Smart-Home-Geräte, Cloud-Dienste und vernetzte Server. Entscheidend ist die Funktion als Persönlichkeitsspeicher — nicht die technische Beschaffenheit des Geräts. Die Unterscheidung zwischen Quellen-TKÜ und Online-Durchsuchung ist klausurrelevant: Quellen-TKÜ (Erfassung laufender Kommunikation am Gerät des Betroffenen) ist am IT-Grundrecht zu messen, weil der Zugriff auf das System selbst erfolgt. Klassische TKÜ (Überwachung auf Leitungsebene, ohne Eingriff in das System) ist am Fernmeldegeheimnis (Art. 10 GG) zu messen. In der Prüfung: Art. 10 GG kommt in Betracht, wenn die Kommunikation während der Übertragung abgefangen wird. Das IT-Grundrecht greift, wenn auf die gespeicherten Inhalte im System zugegriffen wird. Diese Abgrenzung kann in der Klausur eine Weichenstellung bilden, wenn unterschiedliche Maßnahmen mit unterschiedlichen Eingriffsqualitäten vorliegen.