Computer-Grundrecht

Karlsruhe. In seinem Urteil 1 BvR 370/07 vom 27. Februar 2007 schreibt das Bundesverfassungsgericht ein neues Kapitel Computer-Geschichte. Es erklärt das nordrhein-westfälische Verfassungsschutzgesetz zur heimlichen Ausspähung von Computern in seinen entscheidenden Teilen für verfassungswidrig. Schon einmal - am 15. Dezember 1983 - hat das höchste deutsche Gericht sich mit der Computerei befasst, anlässlich der damals geplanten Volkszählung. Aus dem allgemeinen Persönlichkeitsrecht (Artikel 2 Abs. 1 GG) leitete das Gericht das Grundrecht auf informationelle Selbstbestimmung ab, ein Recht, das über den Schutz der Privatsphäre hinausgeht und dem Einzelnen die Befugnis gibt, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Wenn dieses Grundrecht eingeschränkt wird, dann - so das Gericht damals - geht das nur unter strengen Beachtung der Grundsätze der strikten Zweckbindung, der Normenklarheit und der Verhältnismäßigkeit.

Angesichts der immensen technischen Entwicklung und insbesondere der zugenommenen Vernetzung betrachtet das Bundesverfassungsgericht das Grundrecht der informationellen Selbstbestimmung nicht mehr als ausreichend.

Schließen einer Grundrechtslücke

§ 5 Befugnisse
(1) ...
(2) Die Verfassungsschutzbehörde darf ... als nachrichtendienstliche Mittel die folgenden Maßnahmen anwenden:
...
11. heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. ...

Die entscheidende Textstelle
des zurückgewiesenen nordrhein-westfälischen
Verfassungsschutzgesetzes

Der entscheidende Satz des neuen Urteils lautet:

§ 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 VSG, der den heimlichen Zugriff auf informationstechnische Systeme regelt, verletzt das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) in seiner besonderen Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Die Ausprägung des allgemeinen Persönlichkeitsrechts, so das Gericht weiter, muss heute weiter gefasst werden und schützt vor Eingriffen in informationstechnische Systeme, soweit der Schutz nicht durch andere Grundrechte, wie insbesondere Art. 10 oder Art. 13 GG, sowie durch das Recht auf informationelle Selbstbestimmung gewährleistet ist.

Eines solchen Lücken schließenden Schutzes bedarf es insbesondere, um neuartigen Gefährdungen zu begegnen, zu denen es im Zuge des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse kommen kann.

Die jüngere Entwicklung der Informationstechnik hat dazu geführt, dass informationstechnische Systeme allgegenwärtig sind und ihre Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung ist. Dementsprechend ist die Bedeutung von Computern für die Persönlichkeitsentfaltung erheblich gestiegen. Der Leistungsumfang informationstechnischer Systeme und ihre Bedeutung für die Persönlichkeitsentfaltung nehmen noch zu, wenn solche Systeme miteinander vernetzt werden.

Die zunehmende Verbreitung vernetzter informationstechnischer Systeme begründet für den Einzelnen neben neuen Möglichkeiten der Persönlichkeitsentfaltung auch neue Persönlichkeitsgefährdungen. Der Blick auf die vielfältigen von Computern verwalteten Informationen kann weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen, so das Gericht.

Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis. Der Einzelne ist darauf angewiesen, dass der Staat die mit Blick auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet. Die grundrechtlichen Gewährleistungen der Art. 10 und Art. 13 GG wie auch die bisher in der Rechtsprechung des Bundesverfassungsgerichts entwickelten Ausprägungen des allgemeinen Persönlichkeitsrechts tragen dem durch die Entwicklung der Informationstechnik entstandenen Schutzbedürfnis nicht hinreichend Rechnung. Deshalb ist es erforderlich, den Schutz über das in dem Volkszählungsurteil vom 1983 definierte Maß auszudehnen.

In weiteren Teilen seiner Begründung führt das Bundesverfassungsgericht aus, dass die Bestimmungen des nordrhein-westfälischen Verfassungsschutzgesetzes auch nicht den Anforderungen der Normenklarheit und der Verhältnismäßigkeit genügen. Wir wollen uns an dieser Stelle aber damit auseinandersetzen, was das Urteil für die verbreitete Überwachungspraxis in den Betrieben bedeutet.

Folgen für die Betriebsverfassung

In vielen Betrieben werden notorisch die Zugriffe auf Internetseiten und das Empfangen sowie Versenden von E-Mails protokolliert. Unter der Vorgabe, Softwarelizenzen zu verwalten, werden die Aufrufe und Nutzungsdauern der überwachten Programme gespeichert. In vielen Systemen zur Verwaltung der Kundenbeziehungen (CRM - Customer Relationship Management) laufen elektronische Stoppuhren mit, die jeden Kundenkontakt erfassen. Systeme mit GPS-Ortung können lückenlos die Bewegungen der Beschäftigten, z.B. der Mitarbeiter eines technischen Außendienstes, festhalten. Und so weiter.

Viele Firmen meinen, wenn sie die persönliche Nutzung des Rechnernetzes verbieten (z.B. Internetzugang und Mail), dann sei die umfangreiche Protokollierung der Benutzeraktivitäten gerechtfertigt und dürfe auch zu Überwachungszwecken genutzt werden. Dem kann der Satz aus der Begründung des Bundesverfassungsgerichts entgegengehalten werden:

Das Schutzbedürfnis des Nutzers eines informationstechnischen Systems beschränkt sich jedoch nicht allein auf Daten, die seiner Privatsphäre zuzuordnen sind.

Wir schließen daraus zunächst nur einmal, dass der Blick auf die allgegenwärtigen Überwachungsmöglichkeiten verschärft werden muss. Viele allzu großzügig abgefassten betrieblichen Regelungen gehören auf den Prüfstand. Wenn nun wirklich Aktivitäten der Benutzer protokolliert werden, dann sind sie einer strengen Zweckbindung zu unterwerfen (z.B. Verwendung der Daten nur im Rahmen gesetzlicher Dokumentationspflichten). Deutlich mehr Phantasie wird gefragt sein, um die Einhaltung solcher Zweckbindungen auch technisch abzusichern. Ebenso sollte die Einhaltung des Grundsatzes der Verhältnismäßigkeit deutlich mehr Aufmerksamkeit erhalten. So ist es in den allermeisten Fällen keineswegs erforderlich, festzuhalten, wer wie oft und wie lange ein Programm benutzt, um Lizenzen zu verwalten.

Die Grundsätze der Verhältnismäßigkeit und Normenklarheit.
Was das Gericht noch beschlossen hat
Folgen für betriebliche Regelungen

Karl Schmitz, März 2008

Bisherige aktuelle Themen...