Freiheit, Sicherheit, Datenschutz

Die Wechselbeziehungen zwischen Freiheit und Sicherheit wurden seit der Antike im-mer wieder erörtert. Das heißt aber nicht, dass zu dieser Thematik schon alles gesagt wurde. Vielmehr spiegelt sich im Verhältnis von Freiheit und Sicherheit die gesellschaftspolitische Entwicklung und der zivilisatorische Wandel des jeweiligen Gemeinwesens, so dass sich immer wieder neue Fragestellungen ergeben. Gegenwärtig stehen in diesem Zusammenhang der Einfluss der modernen Technik im Schutz- und Gewährleistungsstaat und die Rolle, die hierbei dem Datenschutz zukommt, im Mittelpunkt des Interesses. Einen Beitrag zur laufenden Diskussion leisten die Vorträge, die am 10. November 2007 anlässlich der 52. Jahrestagung der Deutschen Sektion der Internationalen Juristen-Kommission e.V. gehalten wurden und hiermit in schriftlicher Form einem breiten Publikum vorgelegt werden.

• Der Dreiklang: Freiheit- Sicherheit - Datenschutz
  Ein Bermuda-Dreieck für die Grundrechte?
• Freiheit, Sicherheit und moderne Technik
  Widerspruch oder Ansporn

Die Broschüre kann durch Einsendung eines ausreichend frankierten DIN A 5 Umschlages beim Hessischen Datenschutzbeauftragten bestellt werden.

Zurück zur Übersicht der Fachthemen

Stand: 28.03.2008
 
 

Der Dreiklang: Freiheit- Sicherheit - Datenschutz
Ein Bermuda-Dreieck für die Grundrechte?

I. Bermuda-Dreieck

Am 5. Dezember 1945 flog eine aus fünf Maschinen bestehende Schwadron Bomber der US-Marine von Florida in Richtung auf die Bahamas ab und verschwand spurlos. Dieser berühmte Flug 19¹ war der Ursprung der Legende vom Bermuda-Dreieck,² in dem Menschen, Schiffe und Flugzeuge auf rätselhafte Weise verloren gehen.³ Den Eindruck eines unerklärlichen Verlustes gewinnt man auch bei den gegenwärtigen Diskussionen um Freiheit, Sicherheit und Datenschutz. Die Freiheit soll, so befürchten die einen, weltweit durch einen ausgerasteten US-Präsidenten und bei uns durch einen übereifrigen Bundesinnenminister bedroht sein. Von Sicherheit, sagen die anderen, könne keine Rede mehr sein, wenn praktisch hinter jeder Straßenecke islamistische Bombenleger und international agierende Menschen- und Drogenhändler lauern. Was den Datenschutz angeht, behaupten die einen, sei der gläserne Bürger bereits zum Plastinat mutiert. Die anderen bezeichnen den Datenschutz als perversen Grundrechtsschutz. Wenn an diesen Befunden auch nur ein Körnchen Wahrheit ist, haben wir es mit einem Grundrechteschwund zu tun, der der Erklärung bedarf.

II. Methodische Vorbemerkung

Die Bundesrepublik Deutschland bezeichnet sich nicht nur als sozialen Rechts- und Bundesstaat (Art. 20, Art. 28 Abs. 1 GG), sondern hat mit der Entscheidung für diese Unterform des Verfassungsstaates ihren Rechtsbindungswillen ausgedrückt. Danach sind die Wesensmerkmale des Verfassungsstaats für Deutschland unverzichtbar und unabänderlich. Alle, selbst verfassungsändernde Gesetze müssen im Einklang mit den Wesensmerkmalen des Verfassungsstaats stehen. Derartige abstrakte Anforderungen lassen sich schwer nachprüfen, wenn konkrete Regelungen verfassungsrechtlich umstritten sind; ein Schicksal, das fast jeder neuen Regelung droht.⁴ Hilfreich ist dann eine pragmatische Herangehensweise, ehe man das Prüfprogramm der Verfassungsmäßigkeit einer Regelung ablaufen lässt. So stellt sich zunächst einmal die Frage: Warum leistet sich ein Staatsvolk einen Staat? Staatlichkeit bedeutet Freiheits- und Eigentumsbeschränkungen. Diese müssen von den Betroffenen akzeptiert werden und setzen, da Gewalt auf Dauer an Wirkung verliert,⁵ deren Loyalität voraus. Die spürbarste Freiheitsbeschränkung, die Abgabenlast, wird nicht aus Nächstenliebe oder Solidarität hingenommen, sondern weil vom Staat eine Gegenleistung erwartet wird. Niemand finanziert freiwillig seinen Staat und nimmt sonstige Freiheitseinbußen hin, wenn er sich davon nichts verspricht. Die Verfassungsväter der USA haben bleibend im 14. Zusatzartikel der US-Verfassung das Minimum umschrieben, was man als real oder vermeintlich Geschröpfter von seinem Staat verlangen kann, nämlich „life, liberty or property“; dem fügte der Supreme Court das „right to privacy“ hinzu. Oder im Sprachgebrauch der Erklärung der Menschen- und Bürgerrechte von 1789: Das Ziel jeder „association politique“ ist die „conservation“ der „liberté, proprieté, sûreté“ und der „résistance à l’oppression“. In der Sprache des Grundgesetzes ist das Mindeste, was der Staat gewährleisten muss, der Schutz von Würde, Leben, Gesundheit, Freiheit und Eigentum.

Freiheit, Sicherheit und Datenschutz sind staatsbezogen.

III. Freiheit

Freiheit ist ein vager Begriff. Im Alltagsverständnis liegt er zwischen David Hassel-hoffs: „I’ve been looking for freedom“ (deutsche Fassung Tony Marshall: „Auf der Straße nach Süden mit den Kranichen zieh’n“)⁶ und Janis Joplins „Me and Bobby Mc-Gee“.⁷ „Freedom’s just another word for nothing left to lose.“⁸
Der Rechtsbegriff der Freiheit ist nicht wesentlich bestimmter. Er ist lediglich, wie erwähnt, staatsbezogen. Der moderne Staat entstand mit der Durchsetzung des staatlichen Gewaltmonopols. Gewaltmonopol bedeutet Verbot der Selbstjustiz und mehr oder weniger weitreichender Freiheitsverzicht.⁹ Wenn der Richter des Bundesverfassungsgerichts Landau betont, es werde zu schnell vergessen, dass die Sicherheit der Bürger „fundamentaler Staatszweck und erste Voraussetzung für ein Leben in Freiheit“ sei, hat er Recht. Aber das ist nur die halbe Wahrheit. Jeder Staat steht vor der Aufgabe, bürgerliche Freiheit und staatliche Eingriffsbefugnisse zu verteilen. Nach der Formulierung des Bundesverfassungsgerichts ist „das Grundgesetz ... eine wertgebundene Ordnung, die den Schutz von Freiheit und Menschenwürde als den obersten Zweck allen Rechts erkennt.“¹⁰ Ersetzen wir die „wertgebundene Ordnung“ durch den schlichteren Begriff des Verfassungsstaates, dann setzt der Rechtsbegriff der Freiheit den Begriff eben dieses Verfassungsstaats voraus. Im Verfassungsstaat ist der Freiheitsverzicht die rechtfertigungsbedürftige Ausnahme.¹¹ Auszugehen ist von der grundrechtlich geschützten Freiheitsposition des Einzelnen, in die der Staat nur beschränkend eingreifen darf, wenn er sich hierfür auf ein überwiegendes Interesse der Allgemeinheit oder auf kollidierende Grundrechte stützen kann.

IV. Sicherheit

1. Grundrecht

Die Freiheitsgrundrechte kollidieren mit den kollektiven und individuellen Sicherheitsbelangen. Ob es ein unbenanntes „Grundrecht auf Sicherheit“ gibt, ist umstritten.¹² Was das Recht auf Leben und körperliche Unversehrtheit angeht, ist zwar neben dem Eingriffsverbot gegenüber der Staatsgewalt ein Schutzanspruch durch die Staatsgewalt anerkannt.¹³ Auch ein Teilnehmer an einer Massenveranstaltung hat jedoch kein subjektives Recht, dass ein sich im Zielanflug befindliches Renegade-Flugzeug mit unschuldigen Passagieren zu seiner Rettung abgeschossen wird.¹⁴ Das spricht gegen die Annahme eines (durchsetzbaren) Grundrechts auf Sicherheit.

2. Staatsziel Sicherheitsgewährleistung

Aus dem staatlichen Gewaltmonopol und dem Wesen der Verfassungsstaatlichkeit, zu der sich das Grundgesetz bekennt, folgt aber jedenfalls ein Staatsziel der Sicherheitsgewährleistung im Sinne einer objektiven Pflicht des Staates zur Abwehr von Gewalttätigkeiten Dritter. In zahlreichen Entscheidungen hat das Bundesverfassungsgericht ausgeführt, das menschliche Leben stelle innerhalb der grundgesetzlichen Ordnung einen Höchstwert dar. Demgemäß folge aus Art. 2 Abs. 2 Satz 1 in Verbindung mit Art. 1 Abs. 1 Satz 2 GG die umfassende, im Hinblick auf den Wert des Lebens besonders ernst zu nehmende Pflicht des Staates, jedes menschliche Leben zu schützen, es vor allem vor rechtswidrigen Angriffen von Seiten anderer zu bewahren.¹⁵ Das galt schon immer. Unstreitig ist die Bereinigung von Konflikten zwischen den Bürgern die zentrale Staatsaufgabe, die traditionell unter den Begriff der Gefahrenabwehr subsumiert wird.¹⁶ Das aktuelle Recht der Gefahrenabwehr geht zurück auf die Rechtsprechung des PrOVG, das den Zusammenhang von Gefahrenabwehr und Gefahrenbegriff herstellte und die Gefahr als solchen Zustand der Dinge definierte, „welcher die Besorgnis begründet, dass ein schädigendes Ereignis eintreten werde“.¹⁷ Die „Besorgnis“ war von Anfang an als Risikokomponente im Rahmen der prognostischen Gefahrenabwehr angelegt, geriet aber in Vergessenheit und wurde erst in den 70er Jahren des vergangenen Jahrhunderts reaktiviert und nunmehr als Risikovorsorge der Gefahrenabwehr zur Seite gestellt.¹⁸ Dem Zeitgeist wird man wohl Rechnung tragen und sich mit Schlagworten wie „Risikogesellschaft“¹⁹, „Umweltstaat“²⁰, „Vorsorgestaat“ oder gar „ökologischem Verfassungsstaat“²¹ abfinden müssen. Problematisch wird es gleichwohl, wenn man den staatlichen Schutzanspruch bereits an dem Begriff des Risikos festmacht;²² denn in jedem Menschen steckt ein potentielles Risiko für seine Mitmenschen.

3. Untermaßverbot

Während bei Eingriffen in die Freiheit der Grundsatz der Verhältnismäßigkeit ein Übermaßverbot impliziert, d. h. nur der geringst mögliche Eingriff zugelassen wird, ist umgekehrt beim Schutz des menschlichen Lebens das Übermaßverbot zu beachten. Der Staat hat die größtmögliche Sicherheit für Leben und Gesundheit zu gewährleisten. Im Umweltschutz gilt es nicht nur, Grenzwerte von schädlichen Immissionen einzuhalten, sondern alles Machbare zu untenehmen, die Immissionen zu reduzieren. Ehe man Flugzeuge abschießt, muss man alles tun, um zu verhindern, dass Terroristen überhaupt in die Flugzeuge gelangen. Ist das geschehen, ist freilich der Schießbefehl zur Abwehr einer Katastrophe durch übergesetzlichen Notstand gedeckt.

---

Fußnoten (bitte auf die Ziffer klicken, um zur Textstelle zurückzukehren):

¹Gian Quassar, They Flew Into Oblivion, 2004; Allgemein ders., Into The Bermuda Triangle, 2004.
²Gebiet im westlichen Atlantik nördlich der Karibik.
³Die Legende hatte 1974 mit dem Bestseller von Charles Berlitz Hochkonjunktur und flackert immer wieder auf.
⁴Die Deutschen haben ihr vormals militärisches Aggressionspotential offenbar auf die Führung von Verfassungsrechtsstreitigkeiten umgeleitet und sind sogleich bei dem Totschlagargument der Verfassungswidrigkeit angelangt.
⁵Vgl. Böckenförde, Der säkularisierte Staat, 2007, S. 24 f. Grundlegend Heller, Staatslehre, 1934, S. 243: „Ihrer gesellschaftlichen Funktion wegen muss aber jede Staatsgewalt nicht nur nach rechtstechnischer Legalität streben, sondern sie muss ihrer Selbsterhaltung wegen auch auf eine sittliche Rechtfertigung ihren positiven Rechts- und Konventionalnormen bedacht sein, d.h. nach Legitimität streben.“
⁶"Pearl" Columbia VCK 30322.
⁷Columbia 45314.
⁸Die Bahn (DB) wirbt für Freiheit mit "Ihre Ideen spontan verwirklichen; einfach das Leben genießen, Freiheit jeden Tag erleben. Mobility BahnCard 100".
⁹In James Patterson, Ave Maria, 2006 wird auf S.30 der Spruch zitiert. "Ihr Recht, den Arm auszustrecken, endet bei der Nase eines anderen Menschen."
¹⁰BVerfG vom 20.12.1960 -1 BvL 21/60 -, BVerfGE 12, 45 (51); vom 14.03.1972 - 2 BvR 41/71 -, BVerfGE 33, 1 (10); vom 27.03.1974 - 2 BvR 38/74 -, BVerfGE 37, 57 (65).
¹¹In der Diktion des Bundesverfassungsgerichts (Beschluss vom 06.06.2007 - 1 BvR 1423/07 -, NJW 2007, 2167): "In der freiheitlichen Demokratie des Grundgesetzes haben Grundrechte einen hohen Rang. Der hoheitliche Eingriff in ein Grundrecht bedarf der Rechtfertigung, nicht aber benötigt die Ausübung des Grundrechts einer Rechtfertigung."
¹²Vgl. Isensee, Das Grundrecht auf Sicherheit, 1983.
¹³BVerfG, Kammerbeschl. vom 11.07.2007 - 1 BvR 501/07 -, NJW 2007, 2910; EGMR, Urt. vom 26.07.2005 - 73316/01 (Siliadin / Frankreich), NJW 2007, 41; Urt. vom 08.11.2005 - 34056/02 (Gongadze / Ukraine), NJW 2007, 895 Nr.164. So richtet sich der Schutzanspruch der Leibesfrucht gegen die abtreibungswillige Mutter. Den Schutzanspruch, den man schon den Embryonen zubilligt, wird man wohl den geborenen Menschen nicht versagen können (Zur Garantenstellung des Staates für das werdende menschliche Leben BVerwG, Urt. vom 03.07.2003 - 3 C 26.01 -, DVBl. 2003, 1330 [1331]). Bei der Abtreibung findet im Übrigen sehr wohl eine Abwägung von Leben und Leben statt. Wenn man die Formel des Bundesverfassungsgerichts "Wo menschliches Leben ist, da ist Menschenwürde" (BVerfG, Urt. vom 25. 02. 1975 - 1 BvF 1, 2, 3, 4, 5, 6/ 74 -, BVerfGE 39,1 [41]. Kritisch zu Recht Nettesheim, Die verfassungsrechtliche Garantie der Menschenwürde - eine Rahmenbestimmung, in: Kühl, Juristen-Rechtsphilosophie, 2007, S. 231 ff., 254 ff.) strikt durchhält, dann greift die Tötung der unschuldigen Leibesfrucht ähnlich in die Menschenwürde ein wie das Abschießen eines Renegade-Flugzeugs mit unschuldigen Passagieren. Der Ansatz ist freilich nicht durchzuhalten; s. auch FN.12.  
¹⁴Die Tötung unschuldiger Menschen durch den Staat - sei sie gezielt oder ungezielt - muss nicht unbedingt deren Menschenwürde antasten. Daher wird man den Abschussbefehl wohl nicht als Menschenwürdeverstoß behandeln können. Die Menschenwürde-Passagen im Luftsicherheitsurteil des Bundesverfassungsgerichts (- 1 BvR357/05 -, BVerfGE 115, 118 [151ff.]; hierzu Gramm, Der wehrlose Verfassungsstaat? DVBl. 2006, 653 ff.) haben, worauf Pestalozza zutreffend aufmerksam gemacht hat (Inlandstötungen durch die Streitkräfte - Reformvorschläge aus ministeriellem Hause, NJW 2007, 492 ff.[494]), lediglich obiter-dicta-Charakter. Dennoch erscheint die Konstruktion des Bürgeropfers von Depenheuer, Selbstbehauptung des Rechtsstaats, 2007) recht weit (oder weit rechts) hergeholt.
¹⁵BVerfG, Urt. vom 25.2.1975 - 1 BvF 1, 2, 3, 4, 5, 6/ 74 -, BVerfGE  39,1 (42);Urt. vom 16.10.1977 - 1 BvQ 5/77 -, BVerfGE 46, 160 (164); Beschl. vom 01.08.1978 - 2 BvR 1013, 1019, 1034/77 -, BVerfGE 49, 24 (53); Beschl. vom 14.01.1981 - 1 BvR 612/72 -, BVerfGE 56, 54 (73).
¹⁶Vgl. nur Herzog, Ziele, Vorbehalte und Grenzen der Staatstätigkeit, in : HStR III, 2. Aufl., 1996, § 58 Rn 38 ff.; Drews / Wacke / Vogel / Martens, Gefahrenabwehr, 9. Aufl., 1986, S. 1.
¹⁷PrVBl. 32, 119 (120).
¹⁸BVerfG, Beschl. vom 08.08.1978 - 2 BvL 8/77 -, BVerfGE 49, 89 (143). Zur Problematik der damit verbundenen versicherungsrechtlichen Sichtweise Anna Leisner, Die polizeiliche Gefahr zwischen Eintrittswahrscheinlichkeit und Schadenshöhe, DÖV 2002, 326 ff.
¹⁹U. Beck, Die Risikogesellschaft, 1987.
²⁰Kloepfer (Hrsg.), Umweltstaat als Zukunft, 1994.
²¹Steinberg, Der ökologische Verfassungsstaat, 1998.
²²Korrekt BVerwG, Beschl. vom 29.03.2007 - 7 C 9.06 -, DÖV 2007, 837 (838).; ähnlich bereits Ronellenfitsch, Buchbesprechung, DÖV 2006, 752.

Stand: 17.03.2008
 
 

V. Datenschutz

1. Grundlagen

Technische Entwicklungssprünge rufen in Deutschland Angst hervor. Mit der Entwick-lung der Großrechnertechnologie zu Beginn der 1970er Jahre kam die Vorstellung vom „gläsernen Menschen“ auf. Das war damals noch reine Utopie. Dennoch stieß die Datenerhebung nach dem Volkszählungsgesetz 1983 auf massiven Widerstand. Im Rechtsstreit um dieses Gesetz nutzte das Bundesverfassungsgericht die Gelegenheit, die verfassungsrechtlichen Grundlagen des Datenschutzes umfassend darzustellen. Im Urteil vom 15. Dezember 1983²³ schuf es das Recht auf „informationelle Selbstbestimmung“, das die Befugnis des Einzelnen gewährleistet, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.²⁴ Das Recht auf informationelle Selbstbestimmung wurde freilich nicht schrankenlos gewährleistet. Insbesondere muss der Einzelne Einschränkungen dieses Rechts hinnehmen, die im überwiegenden Interesse anderer oder der Allgemeinheit liegen. Solche Beschränkungen bedürfen jedoch einer gesetzlichen Grundlage, aus der sich normenklar²⁵ die Voraussetzungen und der Umfang der Beschränkungen ergeben und die dem hier besonders zu beachtenden Grundsatz der Verhältnismäßigkeit entspricht.²⁶ Darauf aufbauend entwickelte sich in Deutschland ein ausgefeiltes Datenschutzrecht. Das benötigen wir auch dringend, weil sich seither das Datenumfeld gravierend verändert hat. Die Informationsgesellschaft ist Wirklichkeit geworden.²⁷ In der Informationsgesellschaft besteht die Möglichkeit, automatisiert Informationen zu beschaffen und zu verarbeiten, um „Profile“ zu erstellen (Kundenprofil, Wählerprofil, Täterprofil, Gesundheitsprofil, Bewegungsprofil), die in ihrer Verknüpfung ein genaues Persönlichkeitsbild abgeben. Die individuelle Privatheit wird dadurch praktisch aufgehoben. Der Staat beansprucht zunehmend die Berechtigung, unbegrenzt solche Verknüpfungen vorzunehmen. Dem steht in Deutschland und in der EU das Datenschutzrecht entgegen.

Datenschutzrecht gibt es auf Verfassungs- und gemeinschaftsrechtlicher Ebene sowie in einfachgesetzlichen und untergesetzlichen Konkretisierungen. Dabei ist das bereichsspezifische vom subsidiären Datenschutzrecht zu unterscheiden. Soll der Datenschutz relativiert werden, bietet sich eine Korrektur der bereichsspezifischen Regelungen an. Jedoch sind auch dann die verfassungsrechtlichen Vorgaben zu berücksichtigen, die im allgemeinen Datenschutzrecht ihren Niederschlag gefunden haben. Als einfachgesetzliche Ausformung des Grundrechts auf informationelle Selbstbestimmung normiert das allgemeine Datenschutzrecht eine Reihe von Datenschutzgrundsätzen. (Grundsatz des Erlaubnis- bzw. Einwilligungsvorbehalts; Zweckbindungsgrundsatz; Erforderlichkeitsgrundsatz; Grundsatz der „Datenaskese“).

2. Stoßrichtung

Was die Stoßrichtung des Datenschutzes angeht, ist wieder eine Dreiecksbeziehung festzustellen, nämlich der defensive Datenschutz, der offensive Datenschutz und der Datenzugangsschutz.²⁸ In Relation zur ersten Dreieckbeziehung kann man auch die Abwehrkomponente, die Schutzkomponente und die Zugangskomponente unterscheiden.

a) Abwehrkomponente Beim Datenschutz geht es zunächst um die (defensive) Abwehrkomponente („Freiheitskomponente“). Da ein derartiges Grundrecht auf Datenschutz im Grundgesetz nicht ausdrücklich genannt ist, hätte das Bundesverfassungsgericht allein auf die allgemeine Handlungsfreiheit zurückgreifen können. Das tat es aber nicht, sondern stützte das „Recht auf informationelle Selbstbestimmung“ auf Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG. So ging das Gericht schon bisher vor, wenn es das Persönlichkeitsrecht gegenüber der allgemeinen Handlungsfreiheit aufwerten wollte. Dogmatisch war die Kombination des am weitesten beschränkbaren Grundrechts des Art. 2 Abs. 1 GG mit der nach h. M. unbeschränkbaren Menschenwürde eine heikle Angelegenheit. Dass sich eine Gleichung 0%+100%:2= 50% Beschränkbarkeit verbietet, liegt auf der Hand. Vielmehr ist methodisch wie folgt vorzugehen: Die allgemeine Handlungsfreiheit ist Bestandteil eines Wertesystems des Grundrechts. Dieses nimmt in Art. 2 Abs. 1 GG seinen Ausgang und markiert lediglich den Grundbereich unbenannter und benannter Freiheitsrechte, die sich auf einer gleitenden Skala auf Art. 1 Abs. 1 GG zubewegen. Je mehr man sich der Menschenwürde nähert, desto strenger sind die Voraussetzungen für die Einschränkung, desto größer wird die Begründungslast für die Beschränkung.²⁹ Das ändert indessen nichts daran, dass es sich bei der informationellen Selbstbestimmung um ein beschränkbares Grundrecht handelt. Generell bedürfen solche Beschränkungen einer gesetzlichen Grundlage, aus der sich ihre Voraussetzungen und ihr Umfang klar und für die Betroffenen erkennbar ergeben. Ferner sind die Datenschutzgrundsätze zu beachten. Eingriffe, die hiergegen verstoßen, sind verfassungswidrig.

b) Schutz- und Sicherheitskomponente Nach der Rechtsprechung verpflichtet das informationelle Selbstbestimmungsrecht die staatlichen Organe, dem Einzelnen Schutz davor zu bieten, dass private Dritte ohne sein Wissen und ohne seine Einwilligung Zugriff auf seine Individualität kennzeichnenden Daten nehmen.³⁰ Dabei spielt die Sicherheit der Kommunikation eine immer größere Rolle. Nicht der Staat bedeutet die größte Gefahr für die informationelle Selbstbestimmung, sondern die Neugier privater Dritter, denen umfassende Möglichkeiten des Datenzugriffs zur Verfügung stehen. Hier tritt die Schutzkomponente auf den Plan. Der Staat muss unbefugte Datenzugriffe Dritter verhindern. Der Pflicht des Staates korrespondieren aber grundsätzlich keine individuellen Ansprüche auf staatliches Einschreiten im Einzelfall.

c) Zugangskomponente Der moderne Datenschutz ist ambivalent. Er dient nicht nur dazu, persönliche Daten vor den sprunghaft wachsenden technischen Zugriffsmöglichkeiten des Staates oder unbefugter Dritter abzuschirmen. Vielmehr sind Informationen unter den heutigen Lebensbedingungen „Rohstoff“ nicht nur der Produktion, sondern auch der Macht. Dass der Staat auf diesen Rohstoff zugreift und den Zugriff im Ineresse einer effektiven Aufga-benerfüllung optimiert, versteht sich von selbst. Daraus ergeben sich Konsequenzen für das Staat-Bürger-Verhältnis. Es gilt eine informationelle Machtbalance herzustellen. Die Informationsfreiheit galt bislang nur als Abwehrrecht, welches den Staat hindert, den Informationsfluss aus „allgemein zugänglichen Quellen“ zu unterbinden. Behör-denakten zählten nach herkömmlichem Verständnis nicht dazu. Insoweit hat aber auch in Deutschland mit dem Inkrafttreten des Informationsfreiheitsgesetzes des Bundes³¹ am 1. Januar 2006 ein Umdenken stattgefunden. Durch dieses Gesetz sollen die demokratischen Rechte jedes Einzelnen durch einen allgemeinen und voraussetzungslosen Zugang zu amtlichen Informationen des Bundes unter Berücksichtigung des Daten- und Geheimnisschutzes verstärkt werden. Auch die Länder Brandenburg, Berlin,³² Bremen³³ Schleswig-Holstein, Nordrhein-Westfalen und das Saarland haben Informationsfreiheitsgesetze erlassen. Daneben bestehen spezielle Informationszugangsgesetze.³⁴ Zweck dieser Gesetze ist es, durch ein umfassendes Informationsrecht das in Akten festgehaltene Wissen und Handeln öffentlicher Stellen unter Wahrung des Schutzes personenbezogener Daten unmittelbar zugänglich zu machen, um über die bestehenden Informationsmöglichkeiten hinaus die demokratische Meinungs- und Willensbildung zu fördern und eine Kontrolle des staatlichen Handelns zu ermöglichen. Die Informationsfreiheit hat nur dann zurückzutreten, wenn ein umfassender Informationsanspruch dem Schutzweck eines Spezialgesetzes oder dem generellen Schutzzweck des Schutzes persönlicher Daten zuwiderlaufen würde.³⁵ Die internationale und nationale Rechtsentwicklung läuft somit auf die Anerkennung eines Rechts auf Zugang zu Behördeninformationen zu, das mit Belangen des defensiven Datenschutzes und Geheimnisschutzes kollidieren kann. Gelegentlich kann der Zugangsanspruch auch den Schutzanspruch ergänzen. Schutz- und Zugangsschutz laufen etwa synchron bei der staatlichen Durchsetzung des Anspruchs auf Zulassung von Parabolantennen trotz entgegenstehender Mietverträge.³⁶

---

Fußnoten (bitte auf die Ziffer klicken, um zur Textstelle zurückzukehren):

²³1 BvR 209, 269, 362, 420, 440, 484/83 -, BVerfGE 65, 1.
²⁴Urt. vom15.12.1983 - 1 BvR 209, 269, 362, 420, 440, 484/83 -, BVerfGE 65,1 (43); Beschl. vom 09.03.1988 - 1 BvL 49/86 -, BVerfGE 78, 77 (84);  Beschl. vom 11.06.1991 - 1 BvR 239/90 -, BVerfGE 84, 192 (194);  Beschl. vom12.04.2005 - 2 BvR 1027/032 -, BVerfGE 113, 29 (46); Urt. vom 02.03.2006 - 2 BvR 2099/04 -, BVerfGE 115, 166 (188); Beschl. vom 04.04.2006 - 1 BvR 518/02 - BVerfGE 115, 320 (341f.); Urt. vom 13.02.2007 - 1 BvR 421/05 -, BVerfGE 117, 202; BayVerfGH, Entscheid. vom 28.03.2003 - Vf.7,8 -VII/00 -, DVBl. 2003, 861; HambOVG, Beschl. vom 21.03.2007 - 3 Bs 396/05  DÖV 2007, 893 (Ls); SächsOVG, Beschl. vom 19.04.2006 - 3 BS 322/05 -, NJW 2007, 169 (170); BGH, Urt. vom 01.03.2007 - IX ZR 189/05 -, BGHZ 171, 252 (256).
²⁵BVerfG, Beschl. vom12.04.2005 - 2 BvR 1027/032 -, BVerfGE 113, 29 (50).
²⁶BVerfG, Urt. vom 15.12.1983 1 BvR 209, 269, 362, 420, 440, 484/83 -, BVerfGE 65, 1 (44); BVerfG, Urt. vom 13.02.2007 - 1 BvR 421/05 -,  DVBl. 2007,381(383).
²⁷Überzogen Sofsky, Verteidigung des Privaten, 2007; vgl. auch Schaar, Das Ende der Privatsphäre. Der Weg in die Überwachungsgesellschaft, 2007.
²⁸HDSB, 35. Tätigkeitsbericht, 2007, S. 21ff.
²⁹Das Bundesverfassungsgericht verfolgt methodisch einen etwas anderen Ansatz, indem es enger auf die Elemente des Persönlichkeitsrechts abstellt und nach der Art der Persönlichkeitsgefährdung differenziert. Eine derartige Vorgehensweise kann sich nur leisten, wem die Befugnis zur authentischen Verfassungsinterpretation verliehen ist. Dann kann man wie im Beschluss vom 13.06.2007 - 1 BvR 1550/03 u. a. -, NJW 2007, 2464 (2465 Nr. 85) argumentieren: "Das allgemeine Persönlichkeitsrecht gewährleistet Elemente der Persönlichkeit, die nicht Gegenstand der besonderen Freiheitsgarantien des Grundgesetzes sind, diesen aber in ihrer konstituierenden Bedeutung für die Persönlichkeit nicht nachstehen (vgl. BVerfGE 99, 185 [193]; 114, 339 [346]. Einer solchen lückenschließenden Gewährleistung bedarf es insbesondere, um neuartigen Gefährdungen zu begegnen, zu denen es im Zuge des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse kommen kann (vgl. BVerfGE 54, 148 [153]; 65,1 [41]. Die Zuordnung eines konkreten Rechtsschutzbegehrens zu den verschiedenen Aspekten des Persönlichkeitsrechts richtet sich daher vor allem nach der Art der Persönlichkeitsgefährdung, die den konkreten Umständen des Anlassfalls zu entnehmen ist (vgl. BVerfGE 101,361 [380]; 196, 28 [39].".. )  
³⁰BVerfG, Urt. vom 13.2.2007 - 1 BvR 421/05 -, DVBl. 2007, 381 (383).
³¹Gesetz zur Regelung des Zugangs zu Informationen des Bundes (Informationsfreiheitsgesetz - IFG) vom 5. September 2005 (BGBl. I S. 2722); vgl. Kloepfer / von Lewinski, Das Informationsfreiheitsgesetz des Bundes (IFG), DVBl. 2005,1277 ff.; Bräutigam, Das deutsche Informationsfreiheitsgesetz aus rechts-vergleichender Sicht, DVBl. 2006,950 ff.; Schoch, Das Recht auf Zugang zu staatlichen Informationen, DÖV 2006, 1 ff.; ferner Rossi, Informationszugangsfreiheit und Verfassungsrecht, 2004.
³²Ein Anspruch auf Einsicht in den Terminkalender des Regiereden Bürgermeisters von Berlin besteht gleichwohl nicht; vgl. OVG Berlin-Brandenburg, Urt. vom 10.5.2005 - 2 A 178/04 -.
³³Vgl. VG Bremen, Beschl. vom 5.7.2007 - 2 V 1731/07 -, DÖV 2007, 846.
³⁴Z.B. Umweltinformationsgesetz (UIG) vom22.12.2004 (BGBl. I S. 3704).
³⁵Zum Verhältnis des (nachrangigen) Resozialisierungsinteresses eines verurteilten Straftäters und der Unangreifbarkeit eines Online-Pressearchivs OLG Frankfurt a. M., Urt. vom 20.99.2006 - 16 W 55/06 -, NJW 2007, 1366.
³⁶Vgl. BGH, Urt. vom 16.05.2007- VIII ZR 207/04 -.

Stand: 17.03.2008
 
 

VI. Beziehungsgeflecht im Kampf gegen Terrorismus
und Organisierte Kriminalität

1. Ausgangslage

Der verfassungsrechtliche Befund lautet, dass Freiheit einerseits eine vorstaatliche Position ist, in die der Staat nachträglich eingreift, dass vielfach Freiheit andererseits aber erst durch den Staat vermittelt wird. Rudoph W. Giuliani führte kürzlich aus: “At the core of all Americans is the belief that all human beings have inalienable rights that proceed from God but must be protected by the state.”³⁷ Freiheit und Sicherheit gehören untrennbar zusammen. „Ohne Sicherheit ist keine Freiheit“,³⁸ formulierte von Humboldt. Freiheit kann umfassend nur in Sicherheit ausgelebt werden. Die Freiheit des einen erfordert die Freiheitsbeschränkung anderer. Maßnahmen zur Gewährleistung der Sicherheit greifen zwangsläufig in die vorstaatliche Freiheit ein. Sie müssen daher gerechtfertigt werden und akzeptabel sein. Nicht akzeptabel sind Eingriffe, die unnötig sind oder von der vorstaatlichen Freiheit nicht mehr viel übrig lassen.

Freiheit, Sicherheit und Datenschutz ergaben bislang ein ausgewogenes . Infolge der jüngsten Entwicklung des internationalen Terrorismus und der Organisierten Kriminalität, glaubt man dieses Gefüge aufheben zu müssen.

2. Terrorismus

Die Terrorismusbedrohung ist nichts Neues. Schon immer gab es terroristische Anschläge. Als Reaktion auf die als Amerikanisierung und westlicher Imperialismus empfundene Globalisierung hat jedoch im Verlauf der 1990er Jahre eine spiegelbildliche Globalisierung des Terrors stattgefunden, der zur Hauptwaffe des Islamismus wurde. Die Bildung transnationaler Netzwerke, die weltweite Rekrutierung von Mitgliedern und die Nutzung der Medien fanden ihren Höhepunkt in den Anschlägen vom 11. September 2001 auf das Word Trade Center in New York und das Pentagon. Kennzeichen des modernen Terrorismus ist es, dass die Terroristen ihr Leben opfern, um möglichst viele Unschuldige auf möglichst spektakuläre Weise zu töten, mit dem Ziel, hoch zivilisierte Staaten, deren modernster technischer Errungenschaften sie sich dabei bedienen, zu verteufeln und archaische Werte durchzusetzen. Die islamistischen Angriffe richten sich gegen die gesamte westliche Zivilisation und sparen die Bundesrepublik Deutschland nicht aus. Anfang September 2007 gelang es deutschen Behörden im Einsatz gegen das internationale Terrornetz Dschihad-Union offenbar schwere Bombenattentate gegen amerikanische und usbekische Einrichtungen – Generalbundsanwältin Harms sprach von den bisher schwerwiegendsten Anschlagsplanungen in Deutschland – zu verhindern. Vorausgegangen war der bis dato größte Einsatz deutscher Sicherheitskräfte, bei dem 300 Beamte seit sechs Monaten Tag und Nacht im Einsatz waren. Ob hierbei die Online-Durchsuchung von Computern zum Einsatz kam, ist nicht ganz klar. Während Justizministerin Zypries dies bestreitet, lautet es aus Sicherheitskreisen, es sei sehr wohl in Computer mit technischen Mitteln eingedrungen worden.³⁹ Wie dem auch sei, technische Mittel zu Terrorismusabwehr stehen offenbar zur Verfügung oder können entwickelt werden. Dagegen ist an sich nicht einzuwenden. Generalbundsanwältin Harms wurde mit den Äußerungen zitiert: „Wir müssen technisch auf Augenhöhe mit den Ter-roristen bleiben und dürfen nicht nur hinterher hecheln.“⁴⁰ Ich meine, wir sollten den Terroristen technisch immer einen Schritt voraus sein. Das heißt aber nicht, dass wir faktisch auf Augenhöhe mit den Terroristen bleiben, Terrorismus mit Gegenterror beantworten und die internationale Kriminalität mit ihren eigenen Waffen schlagen dürften. Das will auch niemand. Trotzdem wurde die Gesetzgebungsmaschinerie angekurbelt, um fragwürdige Rechtsgrundlagen zur Verbrechensbekämpfung zu schaffen.

Aufgerufen zum Tätigwerden fühlten sich die Gesetzgeber auf allen Ebenen. Auf euro-päischer Ebene sind vor allem die VO Nr. 2580/2001 vom 27.10.2001⁴¹ und Nr. 881/2002⁴² hervorzuheben, die auf die Austrocknung der Finanzströme Osamar Bin Ladens, der Al-Quaida, der Taliban und weiterer aufgelisteter internationaler Terrorgruppen richten.⁴³ Datenschutzrechtlich bedeutsam ist die Rechtsprechung des EuGH zum Schengener Informationssystem (SIS).⁴⁴ Eine Zusammenstellung und Würdigung der nationalen Antiterrorgesetzgebung findet sich auf der Homepage des HDSB.⁴⁵
3. Organisierte Kriminalität

Weniger spektakulär, aber nicht weniger gefährlich, ist die internationale organisierte Kriminalität, die so sehr zum festen Begriff geworden ist, dass man das Adjektiv „organisiert“ getrost groß schreiben kann. Erfasst werden neben Rauschgifthandel und Geldwäsche, Menschen- und Waffenschmuggel, Schleusung von illegalen Migranten, die Verschiebung von Kraftfahrzeugen und anderen hochwertigen Produkten, Produktpiraterie und sonstige Wirtschaftsstraftaten und Taten, die sich des Internets bedienen oder das Internet selbst angreifen (Cyber Crimes). Das Auswärtige Amt verweist in diesem Zusammenhang auf Schätzungen der Vereinten Nationen, wonach jährlich mehrere hundert Mrd. US-Dollar umgesetzt werden. Dadurch werde die internationale Sicherheit und Stabilität massiv gefährdet. Die international organisierte Kriminalität erfordert international koordinierte Abwehrmaßnahmen. Die Vereinten Nationen verabschiedeten 1994 in Neapel den „Globalen Aktionsplan gegen das organisierte Verbrechen“ und richteten eine Verbrechensverhütungskommission (Commission on Crime Prevention and Criminal Justice) ein. An 15. November 2000 verabschiedete die Generalversammlung der VN das Übereinkommen gegen die grenzüberschreitende organisierte Kriminalität, das durch mehrere Zusatzprotokolle ergänzt wird. Der Europarat vereinbarte mehrere Konventionen zur Verbrechensbekämpfung, darunter die Konvention betreffend die Geldwäsche sowie die Ermittlung und Einziehung von Erträgen aus Straftaten (1990).⁴⁶ Wichtig ist auch das Übereinkommen gegen Datennetzkriminalität, das am 23. November 2007 in Budapest von 26 Staaten einschließlich Deutschlands geschlossen wurde. Ferner wurden Einrichtungen zur Bekämpfung der Organisierten Kriminalität geschaffen wie die Financial Action Task Force (FATF) und die Lyon-Gruppe der G8. Diese Einrichtungen verfügen über umfassende Datenbestände, auf die nur nach Maßgabe nationalen Datenschutzrechts zugegriffen werden darf.  

4. Folgerung

Jede Stärkung staatlicher Kontroll- und Eingriffsmöglichkeiten bedeutet zugleich eine Reduzierung des persönlichen Freiheitsraums der Bürgerinnen und Bürger. Das ist auch im Interesse größtmöglicher Sicherheit nicht grenzenlos möglich. Dennoch wird gerade der Datenschutz als Fessel für den Sicherheitsstaat empfunden. Das Argument ist verbreitet, man habe nichts zu verbergen und sei mit Dateneingriffen bei sich und damit auch bei anderen einverstanden, wenn diese Eingriffe nur einem vernünftigen Zweck dienten. In der Tat: Wer ist nicht erleichtert darüber, dass eine Videoüberwachung die Ergreifung von Kofferbombenlegern ermöglichte? Wer freut sich nicht, dass mit Hilfe von Überwachungskameras ein Autobahnmörder gefasst werden konnte? Die unter VII. aufgeführten Beispiele sollen als Gegenrechnung aufzeigen, dass die Fülle der möglichen Datenzugriffe am Menschenbild des Grundgesetzes rühren.

Vorab noch eine allgemeine Bemerkung: Ausfluss der Menschenwürde ist ein für Dritte unzugänglicher Bereich individueller Privatheit, den das Bundesverfassungsgericht seit dem Elfes-Urteil⁴⁷ anerkennt. In seiner Mikrozensusentscheidung von 1969 hat das Bundesverfassungsgericht ausgeführt, dass es mit der Menschenwürde nicht zu vereinbaren wäre, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren.⁴⁸ Im Anschluss an seinen ersten Präsidenten Wintrich⁴⁹ führte das Gericht weiter aus, eine umfassende Einsichtnahme in die persönlichen Verhältnisse seiner Bürger sei dem Staat auch deshalb versagt, weil dem Einzelnen um der freien und selbstverantwortlichen Entfaltung seiner Persönlichkeit willen ein „Innenraum“ verbleiben müsse, in dem er „sich selbst besitzt“ und „in den er sich zurückziehen kann, zu dem die Umwelt keinen Zutritt hat, in dem man in Ruhe gelassen wird und ein Recht auf Einsamkeit genießt“. Man ist erinnert an „Heartbreak Hotel“ von Elvis Presley.⁵⁰ Die Kernbereichslehre wurde also schon lange vor dem Grundrecht auf informationelle Selbstbestimmung geboren. Im Zusammenhang mit dem Datenschutz wurde sie nur aktualisiert und ist dabei ad absurdum geführt zu werden. Das Bundesverfassungsgericht hat einen Kernbereich privater Lebensgestaltung anerkannt, der vor Datenzugriffen des Staats absolut geschützt sein soll. Was diesen Kernbereich ausmacht, ist noch ungeklärt. Meist wird der Kernbereich räumlich gesehen⁵¹ und - von der Sonderproblematik des „Bildnisses aus dem Bereich der Zeitgeschichte“ abgesehen⁵² - auf den Wohnbereich beschränkt. Dadurch wird bildlich das Kind mit dem Bad ausgeschüttet. Es geht nicht an, dass im absolut geschützten Intimbereich des Bads abhörsicher terroristische oder kriminelle Aktionen vorbereitet werden können. Ähnliches gilt für die personelle Komponente des Kernbereichs. Auch in der Vertraulichkeit ehelicher oder familiärer Beziehungen oder im Kontakt mit Berufsgeheimnisträgern können terroristische Anschläge verabredet und Straftaten vorbereitet werden. Hier kann ebenfalls kein absoluter Schutz bestehen. Ein anderer Ansatz stellt auf die Formen der privaten Lebensgestaltung ab, so dass die „Privatheit“ auch im öffentlichen Raum,⁵³ bei der Telekommunikation oder etwa im Reiseverkehr zu respektieren ist. Die Kernbereichslehre muss somit von Art. 13 GG gelöst werden, so dass sich auch Placebo-Lösungen wie das „Richterband“ erübrigen.⁵⁴ Freilich fallen dann kriminelle Aktionen im räumlichen Intimbereich nicht automatisch unter den Kernbereichsschutz. Allein der zuletzt genannte Ansatz führt zu praktikablen Ergebnissen. Methodisch beruht er auf einer Abwägung.⁵⁵ Die Abwägung gehört zum juristischen Handwerkszeug und ist bei der Entscheidungsfindung nicht hinwegzudenken.⁵⁶ Gegen die Abwägung im Verfassungsrecht⁵⁷ wird zwar gelegentlich vorgebracht, anders als bei der Planung, die es mit der Gestaltung von Sachzielen zu tun habe, gehe es im Verfassungsrecht um Rechtsanwendung.⁵⁸ Gleichwohl ist die Abwägung eine unentbehrliche Methode nicht nur im Planungsrecht, sondern auch für den Umgang mit Grundrechten. Ohne umfassende Abwägung misslingt der Ausgleich konträrer Grundrechtspositionen in mehrpoligen Rechtsverhältnissen. Den Kritikern der Abwägungsmethode ist einzuräumen, dass durch die Gewichtung der Abwägungsbelange Unsicherheiten in die Verfassung hineingetragen werden. Es trifft aber nicht zu, dass das Grundgesetz für die Gewichtung der Abwägungsbelange keine Maßstäbe enthält. Der Gewichtung der Abwägungsbelange im Einzelfall liegt das Wertesystem des Grundgesetzes zugrunde, das den Werten unterschiedliche „Wertigkeit“ zumisst, wie ohnehin die Freiheitsrechte unterschiedliches Gewicht aufweisen. Dabei sind die jeweiligen Verfassungswerte in ihrer jeweiligen Beziehung zur Menschenwürde als dem Mittelpunkt des Wertesystems der Verfassung zu sehen.⁵⁹ In Betracht kommt eine Werteskala. Schließlich lässt sich die korrekte Position auf der Skala zwischen Menschenwürde und Handlungsfreiheit auffinden. Lediglich die Endpunkte dieser Skala sollten nicht erreicht werden.

---

Fußnoten (bitte auf die Ziffer klicken, um zur Textstelle zurückzukehren):

³⁷Toward a Realistic Peace, Foreign Affairs, September/October 2007, 2 ff.(4).
³⁸Wilhelm von Humboldt, Ideen zu einem Versuch, die Grenzen der Wirksamkeit eines Staates zu bestimmen, 1792, Ausgabe 2002, S. 58.
³⁹FAZ 207/ 6.9.2007 S. 1; DIE WELT vom 070.9.2007, S. 3. Nicht eindeutig waren auch die Ausführungen des amerikansichen Geheimdienstdirektors McConnell vor dem Senatsausschuss für Heimatschutz; vgl. FAZ 212/12.9.2007, S.1
⁴⁰Art. Das Gesicht des starken Staates, in DIE WELT vom 07.09.2007, S. 3.
⁴¹ABlEG Nr. L 344 vom 28.12.2001, S. 70.
⁴²ABlEG Nr. L 139 vom 29.05.2002,S. 9.
⁴³Hierzu Schlarmann / Spiegel, Terror und kein Ende - Konsequenzen der EG-Verordnungen zur Bekämpfung des internationalen Terrorismus für in Deutschland  tätige Unternehmen, NJW 2007, 870 ff.
⁴⁴Urt. vom 03.01.2006 - C-03/03 - (Kommission ./.Spanien), DVBl. 2006, 584 (Ls)
⁴⁵http.www.datenschutz.hessen.de (Ronellenfitsch, Datenschutz bei der Terrorismusbekämpfung); vgl. auch Ronellenfitsch, Der Beitrag der Eisenbahnunternehmen zur Terrorismusabwehr, DVBl. 2005, 65 ff.; ders., Das Recht auf informationelle Selbstbestimmung im Krieg gegen den Terrorismus, in: Nettesheim / Oppermann, (Hrsg.) Ehresymposium f. Kossoy, 2007, S. 115 ff. ; ferner, Roggan / Bergemann, Die "neue Sicherheitsarchitektur" der Bundesrepublik Deutschland, NJW 2007, 876 ff.
⁴⁶Vgl. auf Gemeinschaftsebene Richtlinie 91/308/EWG vom 10.06.1991 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche (ABlEG Nr. L 166 vom 28.06.1991, S. 77) i. d. F. der RL 20001/97/EG vom 04.12.2001 (ABl. Nr. L 344 vom 28.12.2001, S. 76).
⁴⁷Urt. vom 16.01.1957 - 1 BvR 253/56 -, BVerfGE 6,32.
⁴⁸Beschl. vom 16.07.1969 - 1 BvL 19/63 -, BVerfGE 27,1 (6).
⁴⁹Die Problematik der Grundrechte, 1957, S. 15 f.
⁵⁰RCA 6420: "And be so lonely they could die."
⁵¹Beschl. vom 26.04.1994 - 1 BvR 1968/88 -, BVerfGE 90, 255 (260).
⁵²Hierzu jüngst BGH, Urt. vom 06.03.2007 - VI ZR 51/06 -, BGHZ 171, 275.
⁵³Urt. vom15.12.1999 - 1 BvR 653/96 -, BVerfG 101, 361 (382 f.).
⁵⁴Vgl. aber Perne, Richterband und Kernbereichsschutz - Zur verfassungsrechtlichen Problematik des nachträglichen Lauschens und Spähens durch den Richter, DVBl. 2006, 1486 ff.
⁵⁵Deutlich in BVerfG, Beschl. vom 24.05.1977 - 2 BvR 988/75 -, BVerfGE 44, 353(373).
⁵⁶Vgl. Koch, Die normtheoretische Basis der Abwägung, in: Erbguth u.a. (Hrsg.), Abwägung im Recht, Werner Hoppe zur Emeritierung, 1996, S. 9 ff.; Bartlsperger, Das Abwägungsgebot in der Verwaltung als objektives und individualrechtliches Erfordernis konkreter Verhältnismäßigkeit, ebd., S. 79 ff. Abzuwägen lernt man im Planungsrecht, wo die Abwägungsschritte des Ermittelns, Gewichtens und eigentliches Abwägen in Fleisch und Blut übergegangen sind. Auf Verfassungsebene behilft man sich mit Chiffren, wie Staatsstrukturprinzipien (der Abwägung entzogen), Staatszielen (Richtungsangabe der Abwägung), materiellen Aussagen von Verfassungsrang, z. B. Staatsaufgaben (Abwägungsmaterial) und praktische Konkordanz (Abwägungsergebnis).
⁵⁷Leisner, "Abwägung überall" - Gefahr für den Rechtsstaat, NJW 1997, 636 ff.; demgegenüber wiederum Jansen, Die Abwägung von Grundrechten, Der Staat 1997, 27 ff.
⁵⁸Ossenbühl, Abwägung im Verfassungsrecht, in: Erbguth, u. a.(Hrsg.), Abwägungen im Recht, 1996, S. 25 ff. (25).
⁵⁹BVerfG, Urt. vom 25.02.1975 - 1 BvF 1, 2, 3, 4, 5, 6/ 74 -, BVerfGE  39,1 (43).

Stand: 17.03.2008
 
 

VII. Beispiele

1. Abwehr-, Freiheitskomponente

Die Freiheitskomponente knüpft an der Privatsphäre an, nimmt im kommunikativen Bereich Kontakt mit der Umgebung auf (namentlich durch Telekommunikation) und greift über in den Bereich mobiler Grundrechtsentfaltung, der wirtschaftlichen und politischen Betätigung.

a) Privatsphäre Das Recht auf Privatheit, beginnend mit der physisch-psychischen Privatsphäre,⁶⁰ verbietet es, den Menschen in seiner gesamten Persönlichkeit zu katalogisieren. Die Identifikation anhand von Einzelmerkmalen ist dagegen zulässig, auch wenn dadurch in die innere Privatsphäre eingedrungen wird.

• Diese Gefahr besteht etwa bei einem unbegrenzten Einsatz der Gendiagnostik.⁶¹ Genanalysen ermöglichen indikative und prädikativ-prognostische Aussagen. Dabei ist nicht die Gewinnung der Aussage das Problem, sondern deren Vernetzung und ihr Verwendungszweck. Bei der Verbrechensbekämpfung ist die DNA-Analyse allgemein anerkannt und akzeptiert. Das ist im Ansatz berechtigt. Die Aufdeckung von Straftaten von erheblicher Bedeutung liegt im Allgemeinwohl. Das staatliche Gewaltmonopol erfordert es, dass der Staat auch wirklich Gewalt zum Schutz Schwacher ausübt. Erhebliche Straftaten, die eine Genanalyse rechtfertigen, sind daher Angriffe gegen Leib und Leben oder die sexuelle Selbstbestimmung, aber auch „Einstiegsdelikte“, die ein entsprechendes Aggressionspotential erwarten lassen. Der verharmlosend so genannte genetische Fingerabdruck sollte jedoch nicht zur Aufklärung von Bagatelldelikten verwendet werden. Blut, Sperma, Haare oder Speichel ermöglichen eine Analyse der individuell unterschiedlichen Abfolgen von Basen auf den Genen (Short-Tandem-Repeats, STR). Die Daten werden somit aus nicht- codierten Teilen der DNA-Spuren gewonnen, und lassen wohl keinen Aufschluss über die Erbanlagen des Verdächtigen zu. Bestimmte STR treten aber immer in Nachbarschaft zu bestimmten Genen auf, so dass es wissenschaftlich nicht völlig ausgeschlossen ist, dass die beim Bundeskriminalamt gespeicherten Gendateien doch auch Aufschlüsse über Krankheitsanlagen der Betroffenen liefern könnten. Wenn sich Gendateien zu Zwecken nutzen lassen, die überhaupt nicht der Anlass der Datenerhebung waren, weckt das Begehrlichkeiten, die an die Grenze des Da-tenmissbrauchs heranreichen. Dass hier der Datenschutz ansetzen muss, liegt auf der Hand.


• Auch der normale Fingerabdruck ist als Mittel biometrischer Erfassung datenschutzrechtlich nicht unproblematisch. Er hinterlässt Datenspuren, die zur Identitätsfeststellung nicht erforderlich sind.⁶²

Zur engeren äußeren Privatsphäre zählt insbesondere der Wohnbereich, dem bei der Bekämpfung der Organisierten Kriminalität große Bedeutung zukommt. Des weiteren spielt bei der Terrorismusbekämpfung die Überwachung der Kommunikation bis in den Wohnbereich eine zentrale Rolle.⁶³

• Die akustische Wohnraumüberwachung wurde im Jahr 1998 mit Änderung von Art. 13 Abs. 3 GG⁶⁴ legalisiert. Einen Teil der darauf gestützten zur Bekämpfung der Organisierten Kriminalität vorgenommenen Änderungen der StPO wurde aber vom Bundesverfassungsgericht mit Urteil vom 3. März 2004 aufgehoben.⁶⁵ Mit Beschluss vom gleichen Tag übertrug das Bundesverfassungsgericht seine Grundsätze auf die Telekommunikationsüberwachung nach dem Außenwirtschaftsgesetz.⁶⁶ In diesem Zusammenhang forderte das Bundesverfassungsgericht unter Berufung auf seine ständige Rechtsprechung einen (absolut) abhörsicheren „Kernbereich privater Lebensgestaltung“,⁶⁷ ließ dagegen weitgehende Eingriffe in den mobilitätsgeprägten Lebensbereich zu.⁶⁸ Der Gesetzgeber ergänzte mit dem Gesetz zur Umsetzung des Urteils des Bundesverfassungsgerichts vom 3. März 2004 (akustische Wohnraumüberwachung) vom 24. Juni 2005⁶⁹ die Ausgestaltung des Lauschangriffs entsprechend den verfassungsrechtlichen Vorgaben.⁷⁰ Mit Kammerbeschluss vom 11. Mai 2007 hat das Bundesverfassungsgericht die Verfassungsmäßigkeit des neugefassten § 100c Abs. 1 StPO⁷¹ bestätigt. Eine umfassende Regelung auf dem Gebiet der strafprozessualen heimlichen Ermittlungsmethoden ist bezweckt mit dem Gesetzentwurf der Bundesregierung zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 27. April 2007.⁷² Hinsichtlich des absoluten Kernbereichs privater Lebensgestaltung hat sich der Kammerbeschluss vom 11. Mai 2007 eine Rückzugsmöglichkeit eröffnet, indem es eine positive Konkretisierungspflicht verneinte und auf die Kasuistik setzte.⁷³ Damit wird es möglich, unabhängig von der Wohnung private und öffentliche Bereiche zu unterscheiden, ohne gleich räumliche Tabuzonen zu errichten.⁷⁴ Wird hiervon nicht Gebrauch gemacht, löst die verabsolutierte Kernbereichsthese genau den angedeuteten Bermuda-Effekt aus. Werden als staatsfrei deklarierte Kernbereiche der Abwägung entzogen gibt sich der Staat selbst auf.⁷⁵
  b) Kommunikation Der Übergang vom Wohnbereich zum Telekommunikationsbereich ist fließend. Mit dem Internet holen wir uns die Welt ins Haus und öffnen zugleich die Tür für ungebetene Gäste. Als Nahtstelle zwischen den beiden Lebensbereichen sieht das Bundesverfassungsgericht die Hauswand an und ordnet den Bereich innerhalb der eigenen vier Wände Art. 13 GG und den Rest Art. 10 GG zu.
  
  • Nach dem Urteil vom 2. März 2006⁷⁶ schützt Art. 10 GG die Fernkommunikation Privater, d. h. die Vertraulichkeit der individuellen Kommunikation, wenn diese wegen der räumlichen Distanz zwischen den Beteiligten auf eine Übermittlung durch andere angewiesen ist und dadurch in besonderer Weise einen Zugriff Dritter – einschließlich staatlicher Stellen – ermöglicht.⁷⁷ Darüber hinaus wird der öffentliche Fernmeldeverkehr vor Eingriffen der öffentlichen Hand geschützt.⁷⁸
  • Außerhalb des laufenden Kommunikationsvorgangs werden die im Herrschaftsbe-reich des Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Kommunikation durch Art. 13 Abs. 1 GG und das Recht auf informationelle Selbstbestimmung geschützt. Hier folgt das Bundesverfassungsgericht nicht dem räumlichen Verständnis der Kernbereichslehre. Das ist auch sachgerecht.
  • Da die Telekommunikation heute nicht mehr nur von der Wohnung, sondern über Mobiltelefon praktisch von jedem Standort aus abgewickelt wird, sind die technischen Mittel zur Ermittlung des Standortes eines aktiv geschalteten Mobilfunkgeräts und zur Ermittlung der Geräte- und Kartennummer sicherheitsrelevant. Diese Mittel werden vereinfachend unter dem Begriff des IMSI-Catchers zusammengefasst, ohne die IMEI (International Mobile Equipment Identity = Gerätenummer) und IMSI (International Mobile Subscriber Identity = Nummer der SIM⁷⁹-Karte) zu trennen. Die Ermittlung des Standorts einer Person und der von ihr verwendeten Geräte- und Kartennummer kann unter den unterschiedlichsten Gesichtpunkten vor allem für die Strafverfolgen und die Gefahrenabwehr erforderlich sein. Benötig wird der IMSI-Catcher, wenn die Rufnummer nicht bekannt ist, weil der Betroffene sich ein Mobiltelefon von einem Unbekannten geliehen, die Chipkarte getauscht oder eine Karte unter falschen Personalien gekauft hat. Nur durch die Ermittlung der Bestandsdaten des genutzten Mobiltelefons wird dann eine Überwachung der Telekommunikation möglich. Ob dadurch bereits in das Fernmeldegeheimnis eingegriffen wird, ist zwei-felhaft. Die erste Kammer des Zweiten Senats des Bundesverfassungsgerichts hat jedenfalls die Verfassungsbeschwerde gegen § 100i StPO nicht zur Entscheidung angenommen⁸⁰ und stieß deswegen auf heftige Kritik.⁸¹ Der Kammer ist zuzugestehen, dass die Strafverfolgungsbehörden mit dem technischen Fortschritt Schritt halten müssen. Ob aber, wie bei der Verhältnismäßigkeitsprüfung angenommen, die Eingriffsintensität namentlich in die Rechte Dritter wirklich so gering ist, mag man bezweifeln. Die Risiken der IMSI-Catcher sind erheblich. Denn beim Einsatz des IMSI-Catchers werden die Daten des Kommunikationspartners zunächst ebenfalls abgefangen und der Inhalt der Gespräche zugänglich gemacht, da es auch möglich ist, die Verschlüsselung der Gespräche auszuschalten. Ferner simuliert der IMSI-Catcher innerhalb einer Funkzelle eine Basisstation mit starker Feldstärke, so dass sich alle Handys in einem bestimmten Umkreis nicht nur beim Provider als der eigentlichen Funkstelle, sondern auch beim IMSI-Catcher melden. Die so „eingefangenen“ Telefon- und Gerätenummern können dann gespeichert und verarbeitet werden. Der erste Schritt in die schrankenlose Telefonüberwachung ist getan. Faktisch muss jeder, der durch Aktivschaltung seines Mobilfunkgeräts erreichbar bleiben will, damit rechnen, dass sein gegenwärtiger Aufenthaltsort jederzeit ermittelt wer-den kann. In der Praxis wird freilich nichts so heiß gegessen, wie es gekocht wird. Technische Voraussetzung des Einsatzes eines IMSI-Catchers ist die ungefähre Kenntnis des Standorts eines Mobiltelefons der observierten Person. Der Standort muss sodann durch weitere Messungen präzisiert werden, wenn sich in der simulierten Funkzelle mehrere Mobilfunkteilnehmer befinden, da sämtliche eingeschalteten Mobilfunktelefone im Einzugsbereich des IMSI-Catchers ihre Daten an diesen senden. Der Aufwand des Einsatzes von IMSI-Catchern ist angesichts dieser Schwierigkeiten freilich so hoch, dass von der Möglichkeit selten Gebrauch gemacht werden wird.
  • Bequemer ist der Zugriff auf vorrätige Daten der Telekommunikation. Die Anbieter elektronischer Kommunikationsdienste oder Kommunikationsnetze sollen nach der Richtlinie 2006/24/EG⁸² verpflichtet werden, die bei ihren betriebsbedingt anfallenden Kommunikationsdaten („Verbindungsdaten“) über den betrieblich erforderlichen Zeitraum hinaus ab dem Zeitpunkt der Kommunikation mindestens sechs Monate und höchstens zwei Jahre auf Vorrat zu speichern.⁸³ Die Richtlinie entspricht den Intentionen, die im Inland bereits vom Bundesrat schon 2002 verfolgt,⁸⁴ von der rot-grünen Bundesregierung und der Bundestagsmehrheit aber ursprünglich abgelehnt worden waren.⁸⁵ Auch das Bundesverfassungsgereicht hatte darauf aufmerksam gemacht, dass Anordnungen gegenüber Telekommunikationsunternehmen, im Rahmen der Strafverfolgung Auskunft über die für die Abrechnungszwecke bereits vorhandenen oder in Durchführung einer Zielwahlsuche zu ermittelnden Verbindungsdaten zu erteilen, in das Fernmeldegeheimnis des von der Aus-kunft betroffenen eingreifen.⁸⁶ Gegenwärtig wird das Gesetz zur Umsetzung der Richtlinie beraten.⁸⁷ Die Vorratsdatenspeicherung greift in das Fernmeldegeheimnis und in die informationelle Selbstbestimmung ein. Datenschutzrechtlich werden der Zweckbindungsgrundsatz, Erforderlichkeitsgrundsatz, Grundsatz der „Datenaskese“ berührt. Von den Anbietern von Kommunikationsdiensten wurden ferner Eingriffe in Berufsfreiheit und Eigentum beanstandet. Verfassungsrechtliche Bedenken lassen sich jedoch ausräumen, wenn der Zugriff auf die gespeicherten Daten auf die Ermittlung von Straftaten beschränkt wird, die sich gegen hochrangige Rechtsgüter richten oder die den Kommunikationsvorgang selbst betreffen. Die Schwelle des Souveränitätsvorbehalts, bei der deutsches Recht dem Gemeinschaftsrechts vorgeht, ist jedenfalls noch nicht erreicht, so dass eine Verfassungsbeschwerde gegen ein die Richtlinie korrekt umsetzendes Bundesgesetz keine Erfolgsaussichten hat. Nicht so eindeutig dürften die Erfolgsausichten der von Irland und der Slowakei gegen die Richtlinie vor dem EuGH erhobenen Klage wegen der angeblich vertragswidrig gewählten Rechtsgrundlage sein.⁸⁸ Selbst wenn die Richtlinie aufgehoben werden sollte, würde dies nicht die nationalen gesetzlichen Regelungen beseitigen. Die Vorratsdatenspeicherung wird sich nicht vermeiden lassen.
  • Allgemein- und datenschutzpolitisch brisanter ist die Online-Durchsuchung, von der Online-Überwachung ganz zu schweigen. Bundesinnenminister Schäuble plant im Rahmen seines „Programms zur Stärkung der inneren Sicherheit“ (PSIS) die gesetzliche Ermächtigung von Online-Durchsuchungen durch das Bundeskriminalamt. Das bedeutet, dass ein Zugriff über das Internet auf den PC und sonstige „informationstechnische Systeme“ von Verdächtigen erfolgen darf. Über die technische Umsetzung des Vorhabens existieren noch keine Angaben. Die Vorschläge reichen vom unbemerkten Eindringen in die Wohnung eines Verdächtigen und der Installation eines entsprechenden Programms über das online Aufspielen einer Spionagesoftware bis hin zur Versendung von E-Mails unter falschem Namen,⁸⁹ um auf diese Weise Programme (Trojaner) auf dem PC der Verdächtigen zu installieren.  Dieses Vorhaben hat eine längere Vorschichte: Im Jahr 2006 beantragte die Bundesanwaltschaft beim Ermittlungsrichter I des BGH:
    
    „Gem. §§ 102, 105 Abs. 2, 94, 98, 169 Abs. 1 Satz 2 StPO die Durchsuchung des von dem Beschuldigten benutzten Personalcomputers/Laptops, insbesondere der auf der Festplatte und im Arbeitsspeicher abgelegten Dateien, und deren Beschlagnahme anzuordnen und den Ermittlungsbehörden zur verdeckten Ausführung dieser Maßnahme zu gestatten, ein hierfür konzipiertes Computerprogramm dem Beschuldigten zur Installation zuzuspielen, und die auf den Speichermedien des Computers abgelegten Dateien zu kopieren und zum Zwecke der Durchsicht an die Ermittlungsbehörden zu übertragen.“

    Beantragt wurde eine verdeckte Online-Durchsuchung. Der Ermittlungsrichter des BGH lehnte den Antrag ab.⁹⁰ Mit Beschluss vom 31. Januar 2007⁹¹ wies der BGH die Beschwerde der Generalbundesanwaltschaft zurück, da die verdeckte Online-Durchsuchung mangels einer Ermächtigungsgrundlage unzulässig sei. Prompt fanden die Stimmen Gehör, die forderten, eine Ermächtigungsgrundlage zu schaffen. Als erste landesrechtliche Regelung sieht nunmehr § 5 Abs. 2 Nr. 11 Satz 1 3. Alt. i. V. m. § 7 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen vom 20. Dezember 2006⁹² vor: Heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit dem Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, soll dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig sein.⁹³ Gegen diese Regelung wurden fünf Verfassungsbeschwerden erhoben, die beim Bundesverfassungsgericht unter dem Az. 1 BvR 377/07 und 1 BvR 595/07anhängig sind. Verfassungsrechtlich ist bedeutsam, dass der PC mittlerweile am Kernbereich der Privatheit teilnimmt, da er vielen Menschen zur Aufbewahrung privatester Informationen (Fotografien, Tagebuchaufzeichnungen, persönliche Briefen, Reiseberichte u. dgl.) dient.⁹⁴ Dass dieser Privatbereich durch vorab definierte Suchkriterien effektiv geschützt werden könnte, erscheint realitätsfern.⁹⁵ Unabhängig wo sich der PC befindet, ist damit der Kernbereich privater Lebensgestaltung berührt. Das generelle Abstellen auf Art. 13 GG liegt neben der Sache.⁹⁶ Die Geeignetheit und Erforderlichkeit der Online-Durchsuchung zur Terrorismus- und Kriminalitätsbekämpfung ist noch nicht dargetan. In der FAZ, die sich sonst mit Begeisterung über die Gutmenchenhaltung mokiert, erschien ein Artikel in vergleichbar moralisierender Tonlage mit dem Titel „Perverser Grundrechtsschutz“:⁹⁷ Die Online-Durchsuchung wird man als ultima ratio der Gefahrenabwehr und Verbrechensbekämpfung nicht vollständig verhindern können. Gegenwärtig ist ihre Einführung gleichwohl rechtlich fragwürdig. Warnungen vor der Stasi- Wiedergeburt (so Chaos Computer Club) sind ebenso unberechtigt wie die Befürchtung, eng begrenzte Einsatzschranken der Online-Durchsuchungen würden in kürzester Zeit gelockert. Die Online-Durchsuchung ist im Übrigen weniger ein verfassungsrechtliches als ein informationspolitisches Problem. Auch von staatlicher Seite werden den Verbrauchern alle Arten technischer Geräte zur elektronischen Kommunikation schmackhaft gemacht mit der Empfehlung, alles zu tun, um die Sicherheit des Kommunikationsvorgangs zu gewährleisten. Wie lässt sich dann rechtfertigen, dass der Staat wie ein Einbrecher in den Kommunikationsvorgang eindringt, ohne dass die Betroffenen dies überhaupt bemerken?⁹⁸ Ich habe mehrfach von einer „datenschutzpolitischen Sauerei“ gesprochen und mir dafür den Vorwurf intellektueller Niveaulosigkeit zugezogen. Dabei war das Schwein nur symbolisch für die Anwendung schmutziger Tricks gemeint: sus magis in caeno gaudet quam fote sereono.⁹⁹ Hinzu kommt, dass unklar ist, wie die Online-Durchsuchung bei PCs funktionieren soll, die hinter einer Firewall oder einem Router mit Network Adress Translation liegen. Der Zugriff auf den zu überwachenden PC erfordert es entweder, sich physischen Zugang zum PC zu verschaffen, also ggf. in eine fremde Wohnung einzudringen und etwa einen Hardware-Keylogger zu installieren, der alle Tastatureingaben an die Fahnder sendet. Dies ist der Sache nach nur eine Variante des Lauschangriffs. Oder aber, und dies ist die eigentlich problematische Variante der Online-Durchsuchung, durch eine entsprechende Software werden solche Spähprogramme heimlich über das Internet oder durch E-mails installiert. In diesem Zusammenhang hat sich die Redewendung von den „Bundestrojanern“ etabliert. Diese können allerdings durch anspruchsvolle Betriebssysteme, Firewalls oder Virenabwehrprogramme wirkungslos gemacht werden.  Möglich ist nur der Zugriff durch „Bundestrojaner“ vor der Verschlüsselung, der aber eine Sicherheitslücke eröffnet, die von Computerviren genutzt werden kann. Eine Verpflichtung der Softwarehersteller, von vornherein Sicherheitslücken in ihrer Software zur programmieren, straft die gesamte Informations- und Kommunikationspolitik der letzten Jahre Hohn. Hinzu kommt, dass die Online-Durchsuchung, um effektiv zu sein, auf alle informationstechnischen Systeme ausgedehnt werden müsste. Dass gegenwärtig von Online-Durch-suchungen, wegen der horrenden Kosten des Einsatzes nur sparsam Gebrauch gemacht werden würde, trägt nicht zur Beruhigung bei. Durch Ausweitung des Anwendungsfeldes der Online-Durchsuchung ließen sich aller Voraussicht nach auch die Kosten senken. Schlechterdings nicht nachvollziehbar ist unter diesen Umständen die Polemik in der FAZ gegen die Angst vorm Bundestrojaner.¹⁰⁰ Die Datenschutzbeauftragen des Bundes und der Länder erhoben daher im Rahmen ihrer 73. Konferenz im März 2007 die Forderung an die Bundesregierung, die Landesregierungen und die Parlamente, auf die Schaffung von Ermächtigungsgrundlagen für die Online-Durchsuchung zu verzichten und warnten zugleich davor, die eGovernment Projekte zu konterkarieren, indem das Vertrauen der Bevölkerung in die Sicherheit der elektronischen Kommunikation mit Behörden zerstört wird. Auf der 74. Konferenz der Datenschutzbeauftragten am 24./25 Oktober 2007 wurde diese Forderung noch einmal bekräftigt.

  
  c) Mobilität
  Am 10. Januar 2006 habe ich vor der Leipziger Juristischen Gesellschaft eine Vortrag gehalten zum Thema: Mobilität und Datensicherheit.¹⁰¹ Hiervon möchte ich nur eine kurze Passage wiederholen:

  „Die Erstellung von Bewegungsprofilen im Wege der automatisierten Datenverarbeitung greift nicht nur in die informationelle Selbstbestimmung, sondern auch in das Grundrecht auf Mobilität ein. Die Datenschutzgrundsätze müssen so interpretiert werden, dass das Grundrecht auf Mobilität voll zur Entfaltung kommt. Das Grundrecht auf Mobilität umfasst das Recht auf selbstbestimmten Ortswechsel. In dieses Grundrecht wird durch Datenzugriffe ständig eingegriffen. Vom freien Ortswechsel kann nicht die Rede sein, wenn man auf Schritt und Tritt beobachtet und die Beobachtung gespeichert und datenmäßig erfasst und verarbeitet wird“.

  
  
  • Der freie Ortswechsel wird zunächst durch eine überzogene Kamera- und Videoüberwachung beeinträchtigt. Die Kameraüberwachung in Echtzeit und die Videoüberwachung als gespeicherte Kameraüberwachung muss in Leipzig besonders ver-traut sein, fand doch hier in der Innenstadt 1996 das erste Pilotprojekt in Deutschland als Maßnahme vorbeugender Bekämpfung der Kriminalität statt.¹⁰² Beschlüsse der Innenministerkonferenz und der Datenschutzbeauftragten im Jahr 2000 über den begrenzten Einsatz dieser Maßnahme der präventiven Kriminalitätsbekämpfung führten zu einer Ergänzung der Polizeigesetze. Das Recht der Privatheit muss gleichwohl gewahrt bleiben. Stand ursprünglich die Bekämpfung, in praxi die Verlagerung, der Kriminalitätsschwerpunkte im Vordergrund, setzt sich mehr und mehr das Konzept der Sicherheitsinseln durch. Die Zulässigkeit dieses Eingriffs hängt von der konkreten Ausgestaltung der Eingriffsbefugnis ab (Anlass, räumliche Erstreckung, Dateilöschung usw.). Vermieden werden müssen „Placebo-Kameras, die lediglich ein „Pseudo-Sicherheits¬gefühl vermitteln.¹⁰³ Der Kammerbeschluss des Bun-desverfassungsgerichts vom 23. Februar 2007 zur Videoüberwachung von Resten einer ehemaligen mittelalterlichen Synagoge¹⁰⁴ brach erfreulicher Weise eine Lanze für die mobile Privatheit.
  • In diesen Kontext gehören auch die Erfassung von Kfz-Kenneichen und die Zweckentfremdung von Maut-Daten, vom Datenhunger der USA bei den Flugpassagierdaten¹⁰⁵, der auch auf die EU appetitanregend gewirkt hat, ganz zu schweigen.
  • Wesentlich massiver ist der Eingriff in die informationelle Selbstbestimmung und Mobilität bei der Rasterfahndung.¹⁰⁶ Diese Fahndung erfolgt durch die Übermittlung personenbezogener Daten bestimmter Personengruppen zum automatisierten Abgleich mit anderen Datenbeständen. Im September 2001 enthielten die Polizeigesetze der Bundes¬länder Ermächtigungsgrundlagen für solche Fahndungen. Nach dem 11.09.2001 liefen denn auch in allen Bundesländern Rasterfahndungen an, um „Schläfer“ aufzufinden. Die Maßnahmen richteten sich insbesondere gegen Studenten technischer Fachrichtungen aus vorwiegend arabischen Herkunftsländern. Das Problem bestand darin, dass ein Teil der Polizeigesetze das Vorliegen einer gegenwärtigen Gefahr erforderte,¹⁰⁷ die nicht nachzuweisen war. In Hessen etwa wurde die Rasterfahndung gerichtlich kassiert,¹⁰⁸ worauf das dortige Polizeigesetz dahingehend geändert wurde, dass tatsächliche Anhaltspunkte für die Erforderlichkeit der Rasterfahndung zur Verhütung erheblicher Straftaten genügen.¹⁰⁹ Die daraufhin wieder aufgenommenen Rasterfahndungen blieben gleichwohl weitgehend erfolglos. Das alles dürfte wohl mit dazu beigetragen haben, dass das Bundesverfassungsgericht mit Beschluss vom 4. April 2006¹¹⁰ die Anordnung einer Rasterfahndung in Nordrhein-Westfalen kassierte und eine präventive polizeiliche Rasterfahndung mit dem Grundrecht auf informationelle Selbstbestimmung nur für vereinbar erklärte, wenn eine konkrete Gefahr für hochrangige Rechtsgüter besteht. Diese Rechtsprechung stieß auf Kritik. So war von „Fessel für die wehrhafte Demokratie“¹¹¹ die Rede. An Stelle einer konkreten Gefahr solle eine abstrakte Dauergefahr genügen. Das würde aber den Marsch in die Risikogesellschaft bedeuten, wobei die Eingriffsintensität vom jeweiligen Fahndungsraster abhinge.
  • Geradezu bagatellisiert wurde vom Bundesverfassungsgericht mit Urteil vom 12.04.2005¹¹² die Überwachung mittels Global Positioning System (GPS). Der Pkw als Denunziant böte Anlass für eine gesonderte Untersuchung.
  
  d) Wirtschaftliche Betätigung
  Eingangs wurde aus gutem Grund die Abgabenlast als spürbarste Freiheitsbeschränkung bezeichnet und ihre Akzeptanz durch die Betroffenen zum Tragpfeiler des Verfassungsstaats erhoben. Auf Datenzugriffe in die Konten reagiert daher die in diesem Sinne staatstragende Bevölkerung empfindlich, mag man nun Eingriffsbefugnisse mit Steuerehrlichkeit begründen oder nicht.
  
  • Das Bundesverfassungsgericht hat dem unbestimmten Zugriff auf die Kontostammdaten mit Beschluss vom 13. Juni 2007¹¹³ zwar einen Riegel vorgeschoben. Zu einer Bestärkung des wie auch immer gearteten Bankengeheimnisses hat sich das Gericht aber nicht bewegen lassen. Die Abwägung des Risikos, staatlichen Ermittlungen ausgesetzt zu sein mit den fiskalischen Gemeinwohlbelangen dürfte sich rechtlich kaum angreifen lassen. Ob die Konteninhaber die Abfragemöglichkeiten wirklich nicht als unangemessene Belastung empfinden werden, wird die Praxis zeigen. Immerhin: Terroristische Aktionen erfordern jedenfalls erhebliche Finanzmittel; die Organisierte Kriminalität hat letztlich die Bereicherung der Kriminellen zum Ziel.¹¹⁴ Dies führt zu wirtschaftlichen Betätigungen, die in der Regel breite Datenspuren hinterlassen.
  • Durch Zugriff auf diese Datenbestände lassen sich „intelligente Sanktionen“ zur Terrorismusbekämpfung und Bekämpfung der Organisierten Kriminalität entwickeln. Das beginnt im Kampf gegen den Terrorismus bereits auf der Ebene der Vereinten Nationen, deren Sanktionenregime (Listing) trotz der Einführung des Focal Point der Delisting-Anträge erhebliche Rechtsschutzlücken aufweist.¹¹⁵ Die dieses Sanktionensystem umsetzenden erwähnten EG - Verordnungen Nr. 2580/2001 und Nr. 881/2002 enthalten im Hinblick auf die aufgelisteten Personen die Verpflichtung von Unternehmen, Versicherungen und Banken zum Einfrieren von Geldern und ein Verbot zur Bereitstellung von wirtschaftlichen Ressourcen.
  • Der Datenzugriff des Staates wurde schon mit dem 2. Terrorismusbekämpfungsgesetz vom 9. Januar 2002¹¹⁶ erleichtert, das dem Bundesamt für Verfassungsschutz und dem Bundesnachrichtendienst die Befugnis einräumte, von Kreditinstituten, Finanzunternehmen und Finanzdienstleistern Auskünfte zu Konten, Konteninhabern, Geldbewegungen und Geldanlagen zu verlangen. Mit Rücksicht auf die informationelle Selbstbestimmung und Art. 10 GG sah der Gesetzgeber jedoch verfahrensrechtliche Schutzvorkehrungen der Betroffenen vor (Einschaltung der G 10-Kommission vor Vollzug einer beabsichtigten Maßnahme, Information der betroffenen Personen nach Abschluss der Maßnahmen). Durch das Gesetz zur Ergänzung des Terrorismusbekämpfungsgesetzes vom 5. Januar 2007¹¹⁷ wurde der Kreis der Auskunftsberechtigten um den Militärischen Abschirmdienst erweitert und die Prüfungszuständigkeit der G 10-Kommission auf die Eingriffe in das Brief-, Post- und Fernmeldegeheimnis beschränkt. Bertold Huber hält diese Kontrollreduktion für rechtsstaatlich bedenklich.¹¹⁸ Ob die Regelung mit der Rechtsprechung des Bundesverfassungsgerichts vereinbar ist,¹¹⁹ erscheint fraglich.
  • Auf den ersten Blick harmlos wirkt die Einführung einer einheitlichen Steuernummer. Datenschutzrechtlich problematisch ist allerdings, dass damit ein weiterer Schritt in Richtung auf eine einheitliche Personenkennnummer gemacht wird.
  • Mitten in das Beziehungsgeflecht von Freiheit – Sicherheit – Datenschutz ragt der besondere Vertrauensschutz von Berufsgeheimnisträgern, bei denen sich Freiheits- und Zugangskomponente schneiden.  Bei der Beschlagnahme von Datenträgern in einer Anwaltskanzlei¹²⁰ und der Überwachung des Mobiltelefonanschlusses¹²¹ sowie der sonstigen Telefonüberwachung eines Strafverteidigers¹²² steht der abwehrende Datenschutz, bei der Durchsuchung und Beschlagnahme in Verfahren gegen Presseangehörige, um deren Informanten zu ermitteln,¹²³ der Zugangsschutz im Vordergrund. Nach der Rechtsprechung des EuGH verstößt übrigens die Pflicht von Rechtsanwälten zur Zusammenarbeit mit den für die Geldwäsche zuständigen Behörden nicht generell gegen das Recht auf ein faires Verfahren nach Art. 6 EMRK.¹²⁴

  e) Politische Betätigung
  Der Errichtung einer Antiterrordatei diente das Gesetz zur Errichtung gemeinsamer Dateien von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder (Gemeinsame Dateien-Gesetz) vom 01.12. 2006.¹²⁵ Gegen dieses Gesetz ist beim Bundesverfassungsgericht eine Verfassungsbeschwerde anhängig.¹²⁶ Die Datei verknüpft zwar „nur“ bereits vorhandene Daten. Die datenschutzrechtliche Problematik besteht indessen darin, dass von derzeit über 40 verantwortlichen Stellen für einen kaum begrenzbaren Personenkreis (Zeugen an einem Attentat, Unfallbeteiligte) verdeckt Daten gespeichert werden können, über deren Existenz auch über das Auskunftsrecht des § 10 Abs. 2 ATDG keine abschließende Kenntniserlangung möglich ist. Der Rechtsschutz gegen eine unzulässige Datenspeicherung läuft dann weitgehend leer.

  
  2. Schutzkomponente

  Die Schutzkomponente umfasst die Fülle der möglichen Datenschutzverstöße durch Private von technischen Minispionen bis hin zur heimlichen Kamera- und Videoüberwachung. Hiergegen bietet das BDSG ein reichhaltiges Arsenal an Eingriffsermächtigungen, die freilich der technischen Entwicklung angepasst werden müssen. Auch hier ist abzuwägen. Jedenfalls müssen Anhaltspunkte dafür bestehen, dass das schutzwürdige Interesse des Überwachenden das Recht der Betroffenen auf informationelle Selbstbestimmung¹²⁷ überwiegt, was bei der Aufklärung von geringfügigen Delikten verneint wird.¹²⁸

  • Nicht geringfügig war ein „wildes“ Urinieren im Keller eines Mietshauses.¹²⁹
  
  
  • Grund zur Besorgnis gibt die Entwicklung der Funkerkennung und der Computerkriminalität. Die Funkerkennung (RFID / „Radio Frequency Identification“) ist eine technische Methode, die es ermöglicht, Daten berührungslos und ohne Sichtkontakt zu erfassen, zu verarbeiten und zu speichern.¹³⁰ Die Funkerkennung ist nichts bahnbrechend Neues. Schon in den 1960er Jahren gab es elektronische Warensicherungsgeräte auf der Grundlage der Mikrowellentechnik oder Induktion. In den 1970er Jahren erfolgte die Tierkennzeichnung vor allem in der Landwirtschaft. Seit den 1980er Jahren wurden Transponder im Straßenverkehr für Mautsysteme genutzt. Weitere Anwendungsfelder waren Zugangskontrollen, elektronische Wegfahrsperren, Tankkarten sowie sonstiges bargeldloses Zahlen. 1999 begann die Ent-wicklung eines globalen Standards zur Warenidentifikation, der zur Formulierung des Electronic Product Code im Jahr 2003 führte. Dadurch ist der Weg zu einem offenen System geebnet. Ohne Anspruch auf Vollständigkeit ergaben und ergeben sich Einsatzfelder im Gesundheitswesen,¹³¹ bei der Automation und Logistik, bei Zugangskontrollen, bei der Kfz-Identifikation im Zusammenhang mit Mautsystemen usw. Isoliert erscheint der Einsatz von RFID „harmlos“ und komfortabel. In der Summe ist unter datenschutzrechtlichen Aspekten der massenhafte Einsatz von Funkerfassungs-Systemen problematisch. Bedenken richten sich insbesondere auf die Möglichkeiten für Behörden und Unternehmen, mittels Funkerkennung in die Privatsphäre von Personen einzudringen. Die verdeckte Sammlung einer Vielzahl von Daten, die sich alle auf ein und dieselbe Person beziehen, die Lokalisierung von Personen, die sich auf öffentlichen Plätzen aufhalten, die Erstellung von Kundenprofilen durch Beobachtung des Verbraucherverhaltens in Geschäften, das Auslesen von Informationen über Kleidungsstücke und Accessoires, die gerade getragen werden, oder über mitgeführte Medikamente, erfordern datenschützerische gesetzgeberische Maßnahmen der Risikovorsorge, zumal die Technik aufgrund ihrer geringen Kosten praktisch jedermann zur Verfügung steht. Hinzu kommt die Bedrohung durch Industriespionage, da das Signal von Transpondern mit empfindlichen Empfängern auch noch in größerer Entfernung abgefangen werden kann. Das besondere Bedrohungspotenzial der Funkerkennung ergibt sich somit daraus, dass es möglich ist, ohne Wissen und Wollen des Besitzers des tags mit diesem zu kommunizieren, der tag versteckt angebracht werden kann, da kein optischer Kontakt zwischen tag und Schreib-/ Lesegerät erforderlich ist und die Kommunikation aus einiger Entfernung von Dritten mitgelesen werden kann.
  • Das leitet über zu Computerkriminalität. Der Schutz gegen das Ausspähen von elektronisch übermittelten bzw. gespeicherten Daten wies trotz der §§ 202a, 303a und 303b StGB noch Lücken auf. Über das widerrechtliche Sichbeschaffen von Computerdaten wird nunmehr durch das am 11. August 2007 in Kraft getretene Strafrechtsänderungesetz zur Bekämpfung der Computerkriminalität¹³² der unbefugte Zugang zu Daten bestraft werden. Stoßrichtung ist das Hacking. Wie gefährlich das ist, haben Hackerangriffe mit dem Einsatz von Key-Logging-Trojanern, Sniffer oder Backdoorprogrammen gezeigt. Das unbefugte Ausspähen soll jedoch nur strafbar sein, wenn besondere Schutzvorkehrungen gegen einen solchen Zugang vorgesehen sind. Durch die neuen § 202b und § 202c StGB wird auch das Abfangen von übermittelten Daten unter Strafe gestellt. Bestraft wird schließlich die Computersabotage bei privaten Nutzern. Bundesrat und Teile der Wirtschaft hatten sich gegen die Ergänzung um § 202c StGB ausgesprochen, da unter die Vorschrift auch Programme zur Aufdeckung von Sicherheitslücken fallen könnten („Hacker-Tools“). In ihrer Gegenäußerung hatte die Bundesregierung die Kritik zurückgewiesen, da der Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen bereits tatbestandlich nicht unter die Neuregelung falle.¹³³ Für eine Bewertung der Novelle ist es noch zu früh. Der erste Eindruck deutet darauf hin, dass es sich um Flickwerk handelt, das auf Klärung durch die Gerichtsbarkeit angewiesen ist.
  • Abschließend sei bemerkt, dass der staatliche Schutzanspruch leer läuft, wenn die Zivilgerichte Forderungsabtretungen, die den Vorgaben des BDSG widersprechen trotz § 134 BGB für wirksam halten.¹³⁴
  
  3. Zugangskomponente
  Zu den grundrechtlich geschützten Daten gehören auch solche, die Informationen über genetische Merkmale einer Person enthalten, aus denen sich im Abgleich mit den Daten einer anderen Person Rückschlüsse auf die Abstammung ziehen lassen.¹³⁵
  • Damit sind die heimlichen Vaterschaftstests angesprochen, bei denen nach dem Verständnis des Bundesverfassungsgerichts die Zugangskomponente im Vordergrund steht. Man hätte diese Fallgruppe ebenfalls bei der Schutzkomponente ansiedeln können, da durch die Aktionen sowohl des juristischen, wie auch des mutmaßlichen biologischen Vaters¹³⁶ zugleich die Persönlichkeitsrechte von Kind und Mutter berührt sind. Die informationelle Selbstbestimmung des Kindes umfasst zudem die Befugnis, selbst darüber zu entscheiden, ob und zu welchem Zweck die eigenen Daten über das Genom genutzt werden. Daraus erwächst aber laut Bundesverfassungsgericht kein Recht auf Nichtwissen hinsichtlich der eigenen Abstammung. Auch das Recht auf informationelle Selbstbestimmung der Mutter, das diese an sich vor Einblicken in ihr Sexualleben schützt, soll nicht deren Interesse umfassen, bei einem Seitensprung nicht erwischt zu werden. Vorrangig soll das Persönlichkeitsrecht des Vaters sein. Um dieses Ergebnis zu begründen, rückt Brosius-Gersdorf die Informationszugangsfreiheit des Vaters in die Nähe zu Art. 1 Abs. 1 GG, während sich der Datenschutz von Kind und Mutter allein nach Art. 2 Abs. 1 GG richten soll.¹³⁷ Das erscheint reichlich willkürlich. Eher kommt es auf die Umstände des Einzelfalls an (etwa die Konfliktsituation bei einer Vergewaltigung). Eine Datennotwehr billigte das Bundesverfassungsgericht dem mutmaßlich gehörnten juristischen Vater ohnehin nicht zu, erteilte aber dem Gesetzgeber einen Regelungsauftrag¹³⁸.
  
  

  ---

  
  Fußnoten (bitte auf die Ziffer klicken, um zur Textstelle zurückzukehren):
  
  ⁶⁰BVerfG, Beschl vom 15.01.1970 - 1 BvR 13/68,- BVerfGE 27, 344 (350 ff.); Beschl. vom 24.05.1977 - 2 BvR 988/75 -, BVerfGE 44, 353 (372 f.); Beschl. vom 26.04.1994 - 1 BvR 1968/88 - BVerfGE 90, 255 (260); Urt. vom 15.12.1999 - 1 BvR 653/96 -, BVerfG 101, 361 (382 f.).
  ⁶¹Ronellenfitsch, Genanalysen und Datenschutz, NJW 2006, 321/325.
  ⁶²Leitbild sollte Howard Carpendale sein: "Deine Spuren im Sand, hat der Wind mitgenommen." (Sommer 1975; Electrola)
  ⁶³Baldus, Präventive Wohnraumüberwachung durch Verfassungsschutzbehörden der Länder, NVwZ 2003, 1289 ff.
  ⁶⁴Gesetz vom 26.03.1998 (BGBl. I S. 610).
  ⁶⁵1 BvR 2378/98, 1084/99 -,BVerfGE 109, 279.
  ⁶⁶1 BvF 3/92 -, BVerfGE 110, 33.
  ⁶⁷Urt. vom3.3.2004 - 1 BvR 2378/98, 1084/99 -, BVerfGE 109,279 (313); Urt. vom 27.07.2005 -1 BvR 668/04 - DVBl. 2005, 1192.
  ⁶⁸Vgl. hierzu Ronellenfitsch, Mobilität und Datensicherheit, SächsVBl. 2006, 101 ff.
  ⁶⁹ BGBl. I S. 1841.
  ⁷⁰Vgl. auch BT-Drs 15/4533; BGH, NJW 2005, 3295.
  ⁷¹2 BvR 543/06 -, NJW 2007, 2753.
  ⁷²BT-Drs. 275/07.
  ⁷³BVerfG, Urt. vom 16.01.1957 - 1 BvR 253/56 -, BVerfGE 6,32 (41), 389 (433); Beschl. vom 16.07.1969 - 1 BvL 19/63 -, BVerfGE 27, 1 (6); Beschl vom15.01.1970 - 1 BvR 13/68,- BVerfGE 27, 344 (350f.); Beschl. vom 08.03.1972 - 2 BvR 28/71; BVerfGE  32, 373 (378f. Krankenblätter); Beschl. vom 19.07.1972 - 2 BvL 7/71 -, BVerfGE 33, 367 (376f.); Beschl. vom 31.01.1975 - 2 BvR 454/71 -, BVerfGE 34, 238 (248: "Wann eine heimliche Tonbandaufnahme den schlechthin unantastbaren Bereich privater Lebensgestaltung berührt und wann sie lediglich den unter bestimmten Voraussetzungen dem staatlichen Zugriff offenstehenden Bereich des privaten Lebens betrifft, lässt sich nur schwer abstrakt umschreiben. Diese Frage kann befriedigend nur von Fall zu Fall unter Berücksichtigung seiner Besonderheiten beantwortet werden."); Beschl. vom 14.09.1989 - 2 BvR 1062/87 -, BVerfGE 80, 367 (374); Urt. vom 03.03.2004 - 1 BvR 2378/98, 1084/99 -, BVerfGE 109, 279 (314).
  ⁷⁴Vgl. § 32a Abs. 2 Zollfahndungsdienstgesetz. Hierzu NJW-aktuell Heft 24/2007, VI. Vgl. auch VerfGH RP, Urt. vom 29.01.2007 - VGH B 1/06 -, DVBl. 2007, 569.
  ⁷⁵Wer derartiges fordert, ist mit einem öffentlichen Amt überfordert. Der Rücktritt von Bandesjustizministerin Leutheusser-Schnarrenberger 1996 von ihrem damaligen Amt war daher nur konsequent. Ebenso konsequent ihr Beitrag; Verfassungsrechtliche Schranken des Großen Lauschangriffs, DuD 2005, 323ff.
  ⁷⁶2 BvR 2099/04 -, BVerfGE 115, 166 (182).
  ⁷⁷Vgl. auch BVerfG, Beschl. vom20.6.1984 - 1 BvR 1494/78  - BVerfGE 67, 157 (171); Urt. vom 14.07.1999 - 1 BvR 2226/94, 2420, 2437/95- BVerfGE 100,314 (358); vom 09.10.2002 - 1 BvR 1611/96, 805/98 -, BVerfGE 106, 28: Art. 10 GG "gewährleistet die freien Entfaltung der Persönlichkeit durch einen privaten, vor den Augen der Öffentlichkeit verborgenen Austausch von Nachrichten, Bedenken und Meinungen (Informationen) und wahrt damit die Würde des denkenden und freiheitlich handelnden Menschen." (BVerfGE 67, 157,194)
  ⁷⁸BVerfG, Beschl. vom 20.06.184 - 1 BvR 1494/78  - ,BVerfGE 67, 157 (172).
  ⁷⁹Subscriber Identity Module.
  ⁸⁰Beschl. vom 22.08.2006 - 2 BvR 1345/03 -, NJW 2007, 351.
  ⁸¹Nachbaur, Standortfeststellung und Art. 10 GG - Der Kammerbeschluss des BVerfG zum Einsatz des "IMSI-Catchers", NJW 2007, 335 ff.
  ⁸²RL 2006/24/EG des Europäischen Parlaments und des Rates über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der RL 2002/58/EG vom 15.03.2006 (ABlEG Nr. L, 105/54).
  ⁸³Zur Vorratsdatenspeicherung Breyer, Die systematische Aufzeichnung und Vorhaltung von Telekommunikations-Verkehrsdaten für stattliche Zwecke in Deutschland, 2005; Gola / Reif, Datenschutz- und presserechtliche Bewertung der "Vorratsdatenspeicherung", NJW 2007, 2599 ff.
  ⁸⁴BT-Drs 14/9801 Anlage.
  ⁸⁵BT-Drs 15/4597.
  ⁸⁶Urt. vom 12.03.2003 - 1 BvR 330/96, 348/99 -, BVerfGE 107, 299.
  ⁸⁷BT-Drs 16/5846.
  ⁸⁸Rs. C-301/06. Die Hoffnung von Leutheusser-Schnarrenberger, Vorratsdatenspeicherung - Ein vorprogrammierter Verfassungskonflikt, ZRP 2007, 9 ff. auf eine Verlagerung der Regelungskom-petenz in die 3. Säule erscheint trügerisch. Im Rat der EU gilt zwar das Einstimmigkeitsprinzip. In der 3. Säule ist aber auch der Datenschutz schwächer.
  ⁸⁹Klassische Variante: E-Mail mit Dateianhang; neue Varianten: Drive-by-Downloads unter Ausnutzung von Sicherheitslücken in der Browser-Software oder in Betriebssystemen.
  ⁹⁰Beschl. vom 25.11.2006 1 Bis 186/2006, BecksRS 2007,00295. Anders noch die Entscheidung des Ermittlungsrichters III vom 21.02.2006, wistra 2007,28.
  ⁹¹ StB 18/06 -, NJW 2007, 930 m. Anm. Hamm.
  ⁹²GV NW 2006, S. 620.
  ⁹³In der Gesetzesbegründung heißt es hierzu: "Mit der Einfügung der neuen Nr. 11 wird das bisher schon zulässige nachrichtendienstliche Mittel des Eindringens in technische Kommunikationsbeziehungen durch Bild-, Ton- und Datenaufzeichnungen für den Bereich des Internets näher modifiziert. Die zunehmende Kommunikationsverlagerung extremistischer Bestrebungen auf das Internet, insbesondere dessen verdeckte oder verschlüsselte Bereiche und die Cyber-Angriffe von Extremisten auf fremde Systeme macht eine wirksame Nachrichtenbeschaffung auch in diesem technischen Umfeld erforderlich. Hierzu soll zukünftig neben der Beobachtung der offenen Internetseiten auch die legendierte Teilnahme an Chats, Auktionen und Tauschbörsen, die Feststellung der Domaininhaber, die Überprüfung der Homepagezugriffe, das Auffinden verborgener Webseiten und der Zugriff auf gespeicherte Computerdaten ermöglicht werden. Während die Abfrage von Ix-Adressen beim Provider oder durch Telekommunikationsgesellschaften ermöglichte Mithören von Gesprächen im Art. G 10-Gesetz geregelt sind, bedarf es hinsichtlich der übrigen Maßnahmen zur offensiven Nutzung des Internets einer Präzisierung der schon bestehenden landesrechtlichen Vorschrift." (LT-Drs. 14/2211, S. 17).
  ⁹⁴Das ist besonders wichtig für Behinderte, die auf den PC angewiesen sind.
  ⁹⁵Sollten solche Suchkriterien entwickelt werden, dann werden sich Terroristen und Kriminelle dies zu Nutze machen und zusätzlich durch geeignete Gegenmaßnahmen eine erfolgreiche Online-Durchsuchung verhindern.
  ⁹⁶A.A. Kutscha, Verdeckte "Online-Durchsuchung" und Unverletzlichkeit der Wohnung, NJW 2007, 1169 ff.
  ⁹⁷ Reinhard Müller, FAZ 235/10.10.2007, S.10.
  ⁹⁸Dabei soll der Telekommunikationsvorgang sogar lückenlos erfasst werden. Gegenstand der Online Durchsuchung sollen "informationstechnische Systeme" sein. Auch wenn die Begründung zum Verfassungsschutzgesetz nur auf den Internetbezug abstellt, werden jegliche elektronische Systeme erfasst, mit denen Informationen verarbeitet werden. Dazu gehören Großrechner, PC, Notebooks, Kleinstrechner, ferner Digitaltelefone, digitale Anrufbeantworter, Mobiltelefone, digitale Videorecorder, elektronische Sensoren (digitale Kamerasysteme, Mikrofone, Messfühler, Funkmikrofone, Systeme zur Ortsfeststellung, Navigationseinrichtungen), smart Chips, RFID-Chips u.dgl. Kurz: Der Gegenstand der Online Durchsuchungen ist nicht präzisiert und damit uferlos. Auch die Mittel der Zugriffe sind nicht begrenzt. Nicht einmal durch Abschalten der Geräte kann man sich schützen, weil vielfach eine Fernaktivierung der Programme (z.B. Anschalten von Mikrofon und Kamera) durch die Überwachungsorgane möglich ist. Ob dies verhältnismäßig ist, darf bezweifelt werden.
  ⁹⁹Heraklit, zit. nach Kudla, Lexikon der lateinischen Zitate, 1999, S. 386
  ¹⁰⁰Stefan Tomik, FAZ 235/10.10.2007, S.4: Technisch funktionieren solche Angriffe auf die gleiche Weise wie die geplante Online-Durchsuchung von Computern durch das Bundeskriminalsamt (BKA). Doch ausgerechnet der einzige Trojaner, der  von einer deutschen Sicherheitsbehörde einge-setzt werden soll, löst eine hitzige Diskussion aus. "Motto: Täglich werden Menschen bestohlen. Warum soll der Staat sich nicht auch als Dieb betätigen?" Tomik hätte lediglich den Beitrag seines Kollegen Milos Vec, FAZ 212/12.9.2007,S.33 lesen müssen, um sich die Problematik der Online-Durchsuchung zu vergegenwärtigen.
  ¹⁰¹Der Vortrag ist abgedruckt in: SächsVBl. 2006, 101 ff. Ich halte es mit Johnny Halliday: "Dison que j’ai la maladie du movement." (Paris Match, S.2007, 79.)
  ¹⁰²Hierzu Büllesfeld, Polizeiliche Videoüberwachung öffentlicher Straßen und Plätze zur Kriminalitätsvorsorge, 2002; Bücking (Hrsg.), Polizeiliche Videoüberwachung öffentlicher Räume, 2007 .
  ¹⁰³Vgl. FAZ 217/17.9.2005, S. 3.
  ¹⁰⁴1 BvR 2368/06 -, NVwZ 2007, 688 mit Besprechung von Zöller/Fetzer, NVwZ 2007,775 ff.
  ¹⁰⁵Hierzu Volz, Extraterritoriale Terrorismusbekämpfung, 2007, S. 129 ff.
  ¹⁰⁶Vgl. Welp, Zur Legitimation der Rasterfahndung, in: Recht der Persönlichkeit, 1996, S. 389 ff.; Siebrecht, Rasterfahndung, 1997; Bettina Sokol, Rasterfahndung von 20 Jahren und heute, in: Bäumler (Hrsg.), Polizei und Datenschutz, 1999, S. 188 ff.; Gusy, Rasterfahndung nach Polizeirecht,? KritV 2002, 474 ff.; Bausback, Rasterfahndung als Mittel der vorbeugenden Verbrechensbekämpfung - Notwendigkeit einer Vereinheitlichung der landesrechtlichen Regelungen angesichts des internationalen Terrorismus?, BayVBl. 2002, 713 ff.; Lisken, Zur polizeilichen Rasterfahndung, NVwZ 2002, 513 ff.; Achelpöhler / Niehaus, Rasterfahndung als Mittel der Verhinderung von Anschlägen islamistischer Terroristen in Deutschland, DÖV 2003, 49 ff.; Krane, "Schleierfahndung" -  Rechtliche Anforderungen an die Gefahrenabwehr durch ereignisunabhängige Personenkontrollen, 2003;  Horn, Vorbeugende Rasterfahndung und informationelle Selbstbestimmung, DÖV 2003, 746 ff.; AG Düsseldorf, Beschl. vom 02.10.2001 - 151 Gs 4092/01 -; LG Düsseldorf Beschl. vom 29.10.2001 - 151II 1/01 -; OLG Düsseldorf, Beschl. vom 08.02.2002 - 3 Wx 351/01-, NVwZ 2002, 629; - 3 Wx 357/01-, NVwZ 2002, 631; VG Mainz, Beschl. vom 19.02.2002 - 1 L 1106/01.MZ - ; OVG Rheinland-Pfalz, Beschl. vom 22.03.2002 - 12 B 10 331/02 -, DÖV 2002, 743; VG Hamburg Beschl. vom 27.02.2002 - 14 VG 446/2002 -;  LG Wiesbaden, Beschl. vom 06.02.2002 - 4 T 707/01 -; OLG Frankfurt, Beschl. vom 21.02.2002 - 20 W 55/02 -, NVwZ 2002, 626; Beschl. vom 08.01.2002 - 20 W 479/01 -, NVwZ 2002.623; LG Berlin, Beschl. vom 15.01.2002 - 84 T 278/01 -, RDV 2002, 84; KG, Beschl. vom 16.04.2002 - 1 W 89-98/02 -, NVwZ 2002, 1537; AG Kiel, Beschl. vom 05.11.2001 - 43 Gs 2706/01 - und vom 02.11.2001 - 43 Gs 2703/01 -; OVG Bremen, Beschl. vom 08.07.2002 - 1 B 155/02 -, NordÖR 2002, 372; BayVerfGH, Entscheid. vom 28.03.2003 - Vf 7,8 - VII/00 -, DVBl. 2003,862.
  ¹⁰⁷§ 47 Abs. 1 BerlASOG; § 46 Abs. 1 BbgPolG, § 44 Abs. 1 MVSOG; § 31 NWPolG.
  ¹⁰⁸HDSB, 31. Tätigkeitsbericht 2002, S. 16ff. Vgl. aber auch HessStGH, Urt. vom 12.12.2005 - P.St. 19/14 - NVwZ 2006, 685 = NJW 2006, 1951 (Ls.).
  ¹⁰⁹§ 26 HSOG; vgl. auch LT-Drs 15/3755.
  ¹¹⁰ BvR 518/02 - BVerfGE 115, 320.
  ¹¹¹Bausback, NJW 2006, 1922 ff.
  ¹¹²- 2 BvR 581/02 -, DVBl. 2005, 765.
  ¹¹³- 1 BvR 1550/03 u.a., NJW 2007, 2464.
  ¹¹⁴Laut eigenem Selbstverständnis ist die Aufgabe eines Mafiosi, möglichst viel Geld zu verdienen; WELT KOMPAKT 6.11.2007, S. 3
  ¹¹⁵Feinäugle, Die Terroristenlisten des Sicherheitsrates - Endlich Rechtsschutz des Einzelnen gegen die Vereinten Nationen?, ZRP 2007, 75 ff.
  ¹¹⁶BGBl. I S. 361.
  ¹¹⁷Terrorismusbekämpfungsergänzungsgesetz - TBEG (BGBl. I S. 2).
  ¹¹⁸Huber, Das Bankgeheimnis der Nachrichtendienste, NJW 2007, 81 ff.
  ¹¹⁹Vgl. Beschl. vom 04.02 2005 - 2 BvR 308/04 -, CR 2005, 799 (800)
  ¹²⁰BVerfG, NJW 2005, 1917; vgl. auch Kammerbeschl. vom 07.09.2006 - 2 BvR 1219/ 05 -, NJW 2006, 1443.
  ¹²¹BVerfG, Kammerbeschl. vom 18.04.2007 - 2 BvR 2094/05 -, NJW 2007, 2749.
  ¹²²BVerfG, Kammerbeschl. vom 30.04.2007 - 2 BvR 2151/06 -, NJW 2007, 2753.
  ¹²³ BVerfG, Urt. vom 27.02.2007 - 1 BvR 538/06 -, NJW 2007, 1117.
  ¹²⁴EuGH (Große Kammer), Urt. vom 26.06.2007 - C 305/05 (Ordres des barreaux francophones et germanophone u.a./ Conseil de ministres u.a.), NJW 2007, 2387.
  ¹²⁵BGBl. I S. 3409.
  ¹²⁶- 1 BvR 1215/07 -. Dabei spielt die Legende vom Trennungsgebot eine Rolle; hierzu zutreffend Baumann, Vernetzte Terrorismusbekämpfung oder Trennungsgebot, DVBl. 2005, 798 ff.
  ¹²⁷KG, Beschl. vom 26.06.2002 - 24 W 309/01 -, NJW 2002, 2798.
  ¹²⁸OLG Karlsruhe, Urt. vom 08.11.2001 - 12 U 180/01 -, NJW 2002, 2799.
  ¹²⁹AG Zerbst, NJW-RR 2003, 1595.
  ¹³⁰Vgl. zum Folgenden Der Hessische Datenschutzbeauftragte, 33. Tätigkeitsbericht, vorgelegt zum 31.12.2004, S. 150ff. Die wichtigsten Bestandteile eines Funkerkennungssystems sind (1) der Transponder (Etikett, Chip, tag usw.) als beweglicher Datenträger, (2) die Sende-Empfangs-Einheit (Lesegerät, Reader) und (3) die nachgelagerte Integrationseinheit mit Servern, Diensten und sonstigen Systemen. Im Funkerkennungssystem werden die Daten auf den - regelmäßig mit einer eindeutigen Seriennummern versehenen - Transpondern gespeichert und über Radiowellen verfügbar gemacht. Der Transponder besteht aus einem elektronischen Schaltkreis zur Datenspeicherung und einer Antenne zum Senden und Empfangen von Funkwellen (Transmitter + Responder). Die Funkerkennung erfolgt über einen Datenspeicher, der aus einiger Entfernung ausgelesen werden kann und in manchen Fällen ein Kleincomputer ist. Das Lesegerät besitzt eine Antenne und einen Demodulator, der die ankommenden Informationen in digitale Daten umwandelt, die dann von einem Rechner verarbeitet werden können.
  ¹³¹In den USA wurde 2004 von der Gesundheitsbehörde der Einsatz des "VeriChip" am Menschen genehmigt, der, unter die Haut gepflanzt, lebenswichtige Informationen im Notfall verfügbar macht.
  ¹³²BGBl.I S. 1786; hierzu Ernst, Das neue Computerstrafrecht, NJW 2007, 2661 ff.
  ¹³³BT-Drs 16/3656, S. 31ff.
  ¹³⁴BGH, Urt. vom 27.02.2007 - XI ZR 195/05 -, NJW 2007, 2106
  ¹³⁵BVerfG, Beschl. vom 14.12.2000 - 2 BvR 1741/99,276, 2061/00 -, BVerfGE 103, 21 (32) ; BVerfG, Urt. vom 13.02.2007 - 1 BvR 421/05 -, DVBl. 2007, 381 (382).
  ¹³⁶Zu dessen Stellung BGH, Urt. vom 06.12.2006 - XII ZR 164/04 -, NJW 2007, 1678.
  ¹³⁷Brosius-Gersdorf, Das Kuckucksei im Familiennest - Erforderlichkeit einer Neuregelung der Vaterschaftsuntersuchung, NJW 2007, 806 ff. (808).
  ¹³⁸Hierzu Brosius-Gersdorf, Vaterschaftstests. Verfassungsrechtliche und verfassungspolitische Direktiven für eine Reform, der Vaterschaftsuntersuchung, 2006. Eine Verpflichtung, eine Vaterschafts-begutachtung durchzuführen, besteht de lege lata nicht; BGH, Urt. vom6.12.2006 - XII ZR 97/04 -, NJW 2007, 912.
  

  zurück nach oben springen

   
  

  Artikel/Seite in der Druckansicht öffnen

   
  

  Artikel/Seite per eMail versenden

     
  Stand: 18.03.2008
  
   
   

VIII. Schlussbemerkung

Freiheit ist nur in Sicherheit möglich, aber Sicherheit muss der Freiheit dienen. Maßnahmen zur Gewährleistung der Sicherheit greifen zwangsläufig in die vorstaatliche Freiheit ein. Sie müssen gerechtfertigt werden und akzeptabel sein. Nicht akzeptabel sind Eingriffe, die unnötig sind oder von der Freiheit nicht mehr viel übrig lassen.

Der Verfassungsstaat erfordert ein ausgewogenes Verhältnis von Freiheitsschutz und Sicherheitsgewährleistung. In Zeiten einer akuten Bedrohung durch internationalen Terrorismus und organisierte Kriminalität muss der Staat bestrebt sein, sich dem Bedrohungsszenario entsprechende Abwehrinstrumente zu schaffen. Das erklärt den Wunsch von  Seiten der Sicherheitsbehörden nach stärkerer Kontrolle möglichst aller Lebensbereiche der Bevölkerung. Einen absoluten Schutz kann es aber niemals geben. Umgekehrt gibt es aber auch keine absolut kontrollfreien Räume. Die Absolutheit, mit der die Unantastbarkeitslehre bei der Menschenwürde verfochten wird, verleitet zwar dazu, Kernbereiche der Privatheit abzustecken. Auch der räumliche Intimbereich des individuellen Menschen darf jedoch für terroristische und kriminelle Aktionen nicht missbraucht werden. Die Annahme absolut geschützter räumlicher Kernbereiche verleitet obendrein dazu, den Schutz der Privatsphäre im öffentlichen Bereich zu relativieren. Maximale Freiheit ist ebenso wenig das Ziel wie maximale Sicherheit. Vielmehr geht es um die optimale Freiheit und Sicherheit als Ergebnis umfassender Abwägung, in deren Rahmen der Datenschutz angemessene Berücksichtigung findet.

Absolute Positionen führen zu einem Grundrechteschwund auf der Gegenseite. Für die Freiheit oder Sicherheit kann dann ungewollt der Bermuda-Effekt eintreten.  

Wenn wir den von Hause aus relativen Datenschutz als lästige Fessel betrachten und ihn sehenden Auges immer mehr abbauen, besteht dagegen keine Bermuda-Situation. Der Verlust dieses zentralen Teilbereichs der Freiheit ist dann nicht unerklärlich. Wir haben ihn uns selbst zuzuschreiben.

IX. Thesen

(1) Im Beziehungsdreieck Freiheit – Sicherheit – Datenschutz besteht ein unerklärlicher Grundrechteschwund (Bermuda-Effekt).

(2) Freiheit im Rechtssinn setzt den Verfassungsstaat voraus. Neue Gesetze sind daraufhin zu überprüfen, ob sie im Einklang mit den Wesensmerkmalen des Verfassungsstaates stehen. Dabei ist darauf zu achten, dass staatbürgerliche Freiheitspositionen und staatliche Eingriffsbefugnisse in einem ausgewogenen Verhältnis stehen. Für die Ausgewogenheit kommt es darauf an, welche staatlichen Gegenleistungen die Eingriffsbetroffenen erhalten. Das Mindeste, was die Bürger von ihrem Staat erwarten, ist der Schutz von Würde, Leben, Freiheit und Eigentum (life, liberty, property or privacy).

(3) Die zulässige Intensität der Freiheitsbeschränkungen hängt ab von der Bedeutung des Freiheitsbereichs, in den eingegriffen wird. Nach der Systematik des Grundgesetzes schwebt die Freiheit zwischen der (schwachen) allgemeinen Handlungsfreiheit und den starken „schrankenlosen“ Freiheiten mit dem Fixpunkt der Menschenwürde. Dazwischen liegen unbenannte Freiheiten, die noch positioniert werden müssen.

(4) Aus dem bürgerlichen Gewaltverbot folgt eine staatliche Schutzpflicht. Ein (subjektives) Grundrecht auf Sicherheit scheitert an der fehlenden Durchsetzbarkeit im Einzelfall. Das ändert nichts an der Verpflichtung des Staates zur Gefahrenabwehr auch im Individualinteresse. Das Abstellen auf den Risikobegriff ist hier verfehlt, da sonst jeder Mensch ein Risiko für seine Mitmenschen wäre. Liegt dagegen eine Gefahr für Leib und Leben vor, gilt das Untermaßverbot.

(5) Im Volkszählungsurteil vom 15.12.1983 schuf das Bundesverfassungsgericht das Grundrecht auf „informationelle Selbstbestimmung“, das die Befugnis des Einzelnen gewährleistet, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Die informationelle Selbstbestimmung besteht nicht schrankenlos. Die Verteilung von Freiheit und Schranken erfolgt im bereichsspezifischen und allgemeinen Datenschutzrecht.

(6) Hinsichtlich der Stoßrichtung des Datenschutzes sind die Freiheitskomponente, die Schutzkomponente und die Zugangskomponente zu unterscheiden.

(7) Die Freiheitskomponente erfasst die informationelle Selbstbestimmung als Abwehrrecht, das in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verankert ist. Die Verbindung bedeutet nicht 0% + 100% : 2 = 50% Beschränkbarkeit. Vielmehr bewegt sich die informationelle Selbstbestimmung auf einer gleitenden Skala. Je mehr sich der konkrete Freiheitsbereich der Menschenwürde nähert, desto weniger kommt eine Beschränkung in Betracht.

(8) Die Schutzkomponente bezieht sich auf die Sicherheit der Kommunikation. Der Staat hat im Rahmen des Möglichen Eingriffe Dritter (Privater oder Staatsorgane fremder Staaten) in die informationelle Selbstbestimmung zu verhindern.

(9) Die Zugangskomponente beruht auf der Erwägung, dass Informationen Rohstoff der Macht sind. Durch den verstärkten Zugriff auf diesen Rohstoff erweitert der Staat seine Macht. Zum Ausgleich muss den Bürgern ebenfalls der Informationszugang erleichtert werden. Die elektronische Akte sollte daher so gestaltet werden, dass allgemein zugängliche von geheimhaltungsbedürftigen Teilen getrennt werden.

Einerseits gilt es, die vorstaatliche Freiheit vor staatlichen Eingriffen zu schützen. Andererseits wird Freiheit vielfach erst durch den Staat vermittelt. Das betrifft auch den Datenschutz. Freiheit, Sicherheit und Datenschutz bildeten bisher ein ausgewogenes Gesamtgefüge. Infolge der Bedrohung durch den internationalen Terrorismus und die Organisierte Kriminalität glauben manche, dieses Gefüge aufheben zu müssen.

(11) Der islamistische Terrorismus bedroht jede Zivilisation, also auch Deutschland. Die Terroristen bedienen sich der modernsten Technik. Insofern genügt es nicht, mit den Terroristen auf Augenhöhe zu bleiben. Wir müssen den Terroristen technisch immer einen Schritt voraus sein, dürfen aber nicht versuchen, sie mit ihren eigenen Waffen zu schlagen.

(12) Nicht weniger bedrohlich ist die Organisierte Kriminalität, die die internationale Sicherheit und Stabilität gefährdet. Gleichwohl darf auch hier die Verbrechensbekämpfung nur auf dem Boden des Rechts erfolgen.

(13) Jede Stärkung staatlicher Kontroll- und Eingriffsmöglichkeiten reduziert den persönlichen Freiheitsraum der Bürger. Freiheitsbeschränkungen sind auch im Interesse der Sicherheit nicht grenzenlos möglich. Der Datenschutz lässt sich von den Sicherheitsbehörden im Zusammenhang mit tagespolitischen Ereignissen leicht als Fessel für den Staat an den Pranger stellen, was zu einem Verlust der öffentlichen Sicherheit führe. Die Fülle der gegenwärtig bereits möglichen Eingriffe in die informationelle Selbstbestimmung zeigt umgekehrt jedoch einen Freiheitsverlust, der am Menschenbild des Grundgesetzes rührt.

(14) Das Bestreben, einerseits Freiheit und informationelle Selbstbestimmung eingriffsfest zu gestalten, bzw. andererseits Sicherheit vor jedem terroristischen und organisiert- kriminellen Angriff herzustellen, führt tendenziell zu Übertreibungen. Ein Beispiel ist die Anwendung der Kernbereichslehre auf die informationelle Selbstbestimmung.

(15) Die Freiheitskomponente des Datenschutzes ist zunächst in der inneren Privatsphäre berührt. Der Mensch darf nicht in seiner gesamten Persönlichkeit katalogisiert werden. Die Identifikation an Hand von Einzelmerkmalen, ist jedoch zulässig. Hier kommt auch eine DNA-Analyse in Betracht.

(16) Zur äußeren Privatsphäre zählt vor allem der Wohnbereich. Hier hat das Urteil des Bundesverfassungsgerichts vom 03.03.2004 (BVerfGE 109, 279) mit seiner rigiden Anwendung der Kernbereichslehre Verwirrung gestiftet. Der Kammerbeschluss vom 11.05.2007 (NJW 2007, 2753) rudert vorsichtig zurück. Das ist zu begrüßen. Tabuzonen lösen nur den Bermuda-Effekt aus.

(17) Das Bundesverfassungsgericht ordnet den Wohnbereich dem Art. 13 GG zu und läst den durch Art. 10 GG geschützten Telekommunikationsbereich an der Hauswand enden (BVerfGE 115, 166. Hier hält sich das Bundesverfassungsgericht nicht an die räumliche Unterscheidung der Schutzbereiche. Das ist sachgerecht, da die Telekommunikation heute nicht mehr allein von der Wohnung her abgewickelt wird.

(18) Da Daten von jedem Standort aus übermittelt werden können, muss die Privatsphäre nach außen ausgedehnt werden. Maßgeblich für die Privatheit ist der Inhalt der verarbeiteten Informationen.

(19) Standort und Gerätenummer der Mobilfunkgeräte lassen sich mit Hilfe eines IMSI-Catchers ermitteln. Dieser ist komplexer und datenschutzrechtlich brisanter als es im Beschluss des Bundesverfassungsgerichts vom 22.08.2006 (NJW 2007, 351) zum Ausdruck kommt.

(20) Wichtig sind auch die Verbindungsdaten der Anbieter technischer Kommunikati-onsdienste und Kommunikationsnetze, die nach der RL 2006/24/EG mindestens 6 Mo-nate auf Vorrat zu speichern sind. Der Eingriff in das Fernmeldegeheimnis ist jedoch nicht so gravierend, dass der Souveränitätsvorbehalt gegenüber dem Gemeinschaftsrecht aktiviert werden könnte.

(21) Allgemein- und datenschutzpolitisch besonders brisant ist dagegen die Online-Durchsuchung, die sich in eng begrenzten Fällen zwar verfassungsrechtlich rechtfertigen lässt, aber politisch fragwürdig ist, weil sie das Vertrauen der Bevölkerung in die Integrität der Staatsgewalt untergräbt. Gegen die Online-Durchsuchung nach dem Verfassungsschutzgesetz Nordrhein-Westafeln sind jedenfalls fünf Verfassungsbeschwerden anhängig.

(22) Die Mobilität wird beinträchtig durch GPS-Systeme sowie die Kamera- und Videoüberwachung. Nachdem das Bundesverfassungsgericht in der Entscheidung vom 12.04.2005 (DVBl. 2005, 765) die GPS-Überwachung geradezu bagatellisiert hatte verlangte es  im Beschluss vom 04.04.2006 (BVerfGE 115, 320) als Voraussetzung für eine Rasterfahndung eine konkrete Gefahr für die Allgemeinheit oder Einzelne. Ob dies als Absage an die Übertragung der Risikokonzeption auf datenschutzrechtliche Fragen gewertet werden kann, lässt sich nicht definitiv sagen.

(23) Wirtschaftliche Betätigungen werden häufig durch staatliche Zugriffe auf Dateien erschwert. Dabei können auch personenbezogene Daten berührt werden. Das Bundesverfassungsgericht hat durch Beschluss vom 13.06.2007 (NJW 2007, 2464) den Zugriff auf Kontostammdaten vorerst gestoppt. Entsprechend Abfragemöglichkeiten werden sich aber auf Dauer nicht verhindern lassen.

(24) Politische Aktivitäten werden bereits durch die Existenz einer Anti-Terrordatei  beeinflusst. Gegen das Gemeinsame Dateien-Gesetz wurde erwartungsgemäß bereits Verfassungsbeschwerde erhoben. Ob das Bundesverfassungsgericht die Gelegenheit nutzen wird, die heilige Kuh des Trennungsprinzips zu schlachten, erscheint zweifelhaft.

(25) Der Staat ist gehalten, die Computerkriminalität zu bekämpfen und Vorkehrung gegen die missbräuchliche Verwendung von RFID-Chips zu treffen.

(26) Der Staat hat einen ungehinderten Datenfluss aus allgemein zugänglichen Quellen zu gewährleisten. Dies ist eine Aufgabe der Daseinsvorsorge.

(27) Bei Vaterschaftstests hat die Informationsfreiheit des biologischen und des juristischen Vaters Vorrang vor dem Interesse der Mutter an der Wahrung ihrer Intimsphäre (BVerfGE 103,21).

(28) Das Internet ist eine allgemein zugängliche Quelle i. S. v. Art. 5 Abs. 1 Satz 1 GG. Maßnahmen zur Bekämpfung von Terroristen und Kriminellen, die sich des Internets bedienen, haben dem Rechnung zu tragen.

(29) Freiheit ist nur in Sicherheit möglich, aber Sicherheit muss der Freiheit dienen. Der Verfassungsstaat erfordert ein ausgewogenes Verhältnis von Freiheitsschutz und Sicherheitsgewährleistung. Absolute Abwägungssperren verhindern nur sachgerechte Erebnisse. Das Dogma von der Unabwägbarkeit der Menschenwürde verleitet dazu, undurchdringliche Kernbereiche der Privatheit zu errichten. Absolute kontrollfreie Räume darf es jedoch nicht geben. Umgekehrt ist ein Verlust von Privatheit nicht akzeptabel, der eintritt, sobald der Wohnbereich verlassen wird.

(30) Maximale Freiheit ist ebenso wenig Ziel des Verfassungsstaats wie maximale Sicherheit. Angestrebt werden kann nur eine optimale Freiheit und Sicherheit, in derer beiden Windschatten Platz für den Datenschutz ist. Absolute Positionen führen zum Grundrechteschwund.

Stand: 18.03.2008
 
 

Freiheit, Sicherheit und moderne Technik
Widerspruch oder Ansporn

In dem Dreiklang Freiheit, Sicherheit und Datenschutz spielt die Technik eine wichtige Rolle. An drei Beispielen soll erläutern werden, wie kleine Details darüber entscheiden können, ob eine Technik zur Überwachung geeignet ist oder nicht. Die Techniken werden bereits für Sicherheitsbelange genutzt und je nach Ausprägung ist die Freiheit unterschiedlich stark tangiert.

Der Begriff der Überwachung ist für jeden Betroffenen mit einer etwas anderen Bedeutung belegt. Eine übliche Definition für Überwachung differenziert zwischen der Observation und technischen Maßnahmen:

„Eine Observation (v. lat. observare = beobachten) ist das unauffällige, systematische Beobachten einer Person, von Sachen und Objekten zur Beschaffung von Beweisen, Ermittlungshinweisen und grundlegenden oder ergänzenden Erkenntnissen für weitere Maßnahmen.

Elektronische Überwachung: wird oft benutzt, um eine Beobachtung aus der Distanz mittels elektronischer Ausrüstung oder anderer technischer Mittel zu beschreiben. Neben technischen Maßnahmen kann Überwachung auch mit "low-tech" durchgeführt werden, etwa durch Beschattung.“¹
Für die weiteren Ausführungen soll Überwachung bedeuten, dass ohne Wissen oder ohne Zustimmung des Betroffenen festgestellt werden kann, wo er sich wann aufgehalten hat.
An den Beispielen IMSI-Catcher und RFID bei Ausweisdokumenten wird die Bedeutung von  Normen und Standards beleuchtet, die quasi ein Überwachungspotential schaffen. Bei Biometrie mit dem Fokus auf Pässe und Ausweise soll eine vielleicht nicht so bekannte Variante mit weniger Überwachungspotential dargestellt werden.

1. Der IMSI -Catcher²

Der IMSI-Catcher ist ein Gerät, mit dem in Mobilfunknetzen, die nach dem GSM-Standard³ betrieben werden, Handys lokalisiert und Telefonnummern ermittelt werden können. Er ist technisch auch in der Lage, Gespräche abzuhören. Diese Möglichkeit ergibt sich aber nur, weil im GSM-Standard vorgesehen ist, dass eine Basisstation ein Handy veranlassen kann, die Gesprächsverschlüsselung abzuschalten. Daraus ergibt sich die Feststellung:

Bei der Formulierung des GSM-Standards wurde die Möglichkeit des Abhörens vorgesehen.⁴

Zur Erläuterung sollen die verschiedenen Abläufe skizziert werden.

1.1 Normales Telefonat

Wenn das Handy eingeschaltet wird, ermittelt es alle in der Nähe befindlichen Basisstationen. Im Handy wird eine Liste von allen zugelassenen Basisstationen angelegt. Es sind solche des eigenen Anbieters mit einer ausreichenden Sendestärke. Mit der stärksten Basisstation wird dann eine Verbindung aufgebaut. Dazu werden die IMEI⁵ und die IMSI übertragen. Die Basisstation schickt die Daten weiter an Server des Anbieters, die als Infrastruktur dem Betrieb des Kommunikationsnetzes dienen.

Abb. 1: Handy-Nutzung Normalfall

Im HLR⁶ wird geprüft, ob die IMSI einem Vertragspartner zugeordnet ist. Wenn ja, wird die Information an den Sicherheitsserver weitergeleitet. Aus den nur dort und in der SIM⁷-Karte vorliegenden geheimen Schlüsselinformationen werden dann Schlüssel generiert, mit denen anschließend die Gespräche verschlüsselt übertragen werden. Diese und einige andere Daten werden zum MSC⁸ mit dem zugehörigen VLR⁹ übertragen und dort gespeichert. Voraussetzung für die verschlüsselte Übertragung der Gespräche ist das Schlüsselaustauschverfahren, welches auf einem Geheimnis aufsetzt, das zwischen der SIM-Karte und dem Sicherheitsserver des Mobilfunkanbieters aufgeteilt gespeichert wird. Nur dort sind die Schlüssel vorhanden.

Im Unterschied zu Gesprächen werden SMS¹⁰ unverschlüsselt übertragen.

1.2 IMSI-Catchen

Wenn Strafverfolgungsbehörden einen Verdächtigen überwachen, wissen sie oft nur, dass dieser ein Handy benutzt. Die Teilnehmernummer ist in der Regel nicht bekannt. Um diese zu erhalten, wird der IMSI-Catcher eingesetzt.

Der IMSI-Catcher simuliert eine Basisstation, die eine bessere Übertragung verspricht als andere Stationen. Wenn ein Handy feststellt, dass die neue Station einen besseren Empfang verspricht als die Station bei der es eingebucht ist, versucht es zu dieser Basisstation zu wechseln. Es sendet dazu IMEI und IMSI an die neue Station. Im vorliegenden Fall empfängt der IMSI-Catcher die Informationen und meldet gleich darauf technische Probleme an das Handy zurück. Das wechselt dann zurück zur alten Station.

Auf diese Weise erhält der IMSI-Catcher an den Orten, an denen überwacht wird, alle IMEIs und  IMSIs der verschiedenen Anbieter und speichert sie mit Ort, Datum und Uhrzeit. Später wird verglichen, welche IMSI / IMEI Kombinationen verdächtig sind; z. B. solche die an allen Orten waren. Dann wird eine Überwachung entsprechend den rechtlichen Erfordernissen beantragt.

Abb. 2: IMSI feststellen / fangen

Aus Datenschutzsicht ist wichtig, dass es eine Datei gibt, in der auch von Unbeteiligten für eine längere Zeit nachvollziehbar ist, wann sie sich wo aufgehalten haben.

1.3 Abhören beim Anbieter

Wenn abgehört werden darf, stellt der Kommunikationsanbieter die nötigen Daten über eine dafür vorgesehene Schnittstelle den Sicherheitsbehörden zur Verfügung. Die Abläufe entsprechen ansonsten denen eines normalen Telefonats.

Abb. 3:  Abhören von Gesprächen beim Anbieter

1.4 Abhören mit dem IMSI-Catcher

Der IMSI-Catcher ist gegenüber dem Anbieter mit einer eigenen Teilnehmernummer und einer eigenen IMSI eingebucht. Wenn er also ein Gespräch weiterleiten will, kann er gegenüber dem Anbieter das Gespräch verschlüsseln, weil dieser es für seine SIM-Karte verschlüsselt. Er kennt aber nicht das Geheimnis, mit dem er einen Schlüsselaustausch für das überwachte Handy durchführen könnte. Er muss also die Verschlüsselung ausschalten, wenn das Gespräch geführt werden soll.

Abb. 4 :  Abhören von Gesprächen mit einem IMSI-Catcher

Folglich ist eine nicht verschlüsselte Gesprächsübertragung ein Indiz¹¹ für eine Überwachung. Da der Anbieter ein Gespräch und auch eine SMS mit der Kennung des IMSI-Catchers annimmt, würden diese auch dem Gesprächspartner oder dem Empfänger einer SMS angezeigt. Falsche oder unterdrückte Rufnummern und ausbleibende SMS können somit ebenfalls ein Hinweis auf eine Überwachung sein.

Das Abhören mit dem IMSI-Catcher ist also nur möglich, weil der GSM-Standard vorsieht, dass die Gesprächs-Verschlüsselung durch die Basisstation abgeschaltet werden kann. Es muss sich zwar das Mobilfunkgerät gegenüber dem Anbieter ausweisen, aber der Anbieter kann seine Authentisierung gegenüber dem Gerät verweigern.  

Im Standard wurde folglich die Abhörmöglichkeit mit spezifiziert. Jede Stelle, die einen IMSI-Catcher besitzt, kann daher unabhängig von den rechtlich zugelassenen Telekommunikationsüberwachungsmaßnahmen Gespräche abhören.

2. RFID¹² und Biometrie¹³ am Beispiel von Ausweisdokumenten

2.1 Vorbemerkung zur ICAO¹⁴

Bei den beiden nächsten Beispielen spielt die ICAO eine wesentliche Rolle. Die ICAO ist eine Sonderorganisation der UNO. Sie erarbeitet Vorschläge, die von den Mitglieds-staaten auf Grundlage des Chicagoer Abkommens von 1944 umgesetzt werden. Die ICAO hat u. a. Standards für elektronische Reisepässe und andere Reisedokumente erarbeitet.¹⁵ Diese wurden 2004 in europäisches Recht¹⁶ übertragen. Wesentliche Elemente der Spezifikation waren die RFID-Technik und der Einsatz biometrischer Merkmale. Vorbehalte gegen die spezifizierte Technik wurden von vielen Stellen geäußert.¹⁷ Gerade die Aufnahme weiterer biometrischer Merkmale, in der EU hat man sich für den Fingerabdruck und nicht für die als Alternative mögliche Iris entschieden, hat zu Diskussionen geführt. Es stellt sich die Frage, ob es zwingend ist, die Entscheidung  für Fingerabdrücke auch für nationale Nicht-Reisedokumente zu übernehmen.

In den folgenden Ausführungen wird davon ausgegangen, dass RFID und erweiterte Biometrie zum Einsatz kommt. Das Für und Wider eines Verzichts wird nicht diskutiert.

2.2 RFID am Beispiel Ausweisdokumente

RFID ist eine Technik, die es erlaubt aus einiger Entfernung Daten zwischen einem Chip und einem Lesegerät auszutauschen. Dabei muss kein direkter Kontakt zwischen Chip und Lesegerät hergestellt werden; es ist keine Sichtverbindung nötig. Die Daten können im Prinzip ohne Wissen und Wollen der Person, die den RFID-Chip bei sich führt, ausgelesen werden.¹⁸ Technisch wird durch das Lesegerät ein Magnetfeld erzeugt, das einen Strom in der zum Chip gehörenden Spule induziert. Der Chip benötigt den Strom, um arbeiten zu können. Die Daten werden vom Lesegerät und dem Chip jeweils mittels der Spulen durch Modulation des Magnetfeldes übertragen und als Änderung der Feldstärke gelesen.¹⁹
In der Diskussion zur RFID-Problematik bei Ausweisdokumenten wird das Problem oft auf die Frage reduziert, mit welchem Aufwand ein Auslesen oder Mitlesen der im Chip gespeicherten Daten möglich ist. Neben den Lesereichweiten wird dabei über die Güte der Zugriffsschutzmechanismen diskutiert. Die Bundesregierung sieht die Sicherheits-vorkehrungen als ausreichend an.²⁰
Der Hessische Datenschutzbeauftragte betrachtet die vorgesehenen Sicherheitsvorkehrungen unter den unten erläuterten Annahmen ebenfalls als angemessen.

2.2.1 Lesereichweiten

Die Lesereichweiten unterscheiden sich erheblich je nachdem, ob der Chip aktiv ausgelesen werden soll oder die Kommunikation zwischen einem (zugelassenen) Lesegerät und dem Chip mitgeschnitten wird. Beim Auslesen ist die Energiezufuhr vom Lesegerät zum Chip das Element, das die Reichweite beschränkt. Nach dem heutigen Stand kann man für den bei Ausweisdokumenten eingesetzten Standard²¹ davon ausgehen, dass die erreichbaren Lesereichweiten höher sind als spezifiziert. Jedoch auch unter Laborbedingungen sind die Lesereichweiten nicht beliebig zu vergrößern; man kann für Sicherheitsbetrachtungen von folgenden maximalen Reichweiten ausgehen:

Aktives Lesen weniger als 1 Meter, Mitlesen der Kommunikation etwa 20m.²² Generell kann als Schutz gegen das unbemerkte Auslesen eines RFID-Chips dieser auch abge-schirmt werden. Solche „Faradayschen Käfige“ werden gerade für Reisepässe bereits angeboten.²³

2.2.2 BAC²⁴ und EAC²⁵

Als Zugriffsschutz für Reisepässe mit RFID-Chip sind BAC und EAC vorgesehen. Beide Funktionen prüfen, ob das Lesegerät berechtigt ist, die Daten auszulesen.²⁶
Wegen der vergleichsweise geringen Schlüssellänge könnte die BAC ein Problem darstellen. Dies gilt jedoch nicht für das Auslesen. Der RFID-Chip ist kein Hochleistungscomputer. Um mit einer Brute-Force-Attacke die möglichen Schlüssel auszuprobieren,²⁷ müsste man für lange Zeit, nicht nur Stunden, hinter der Person mit einem Lesegerät in kurzem Abstand hergehen. Wäre der Reisepass gestohlen, so hätte man aber sowieso alle Daten verfügbar und im Zweifel ein wesentlich besseres Lichtbild aus kurzer Entfernung aufgenommen. Das Mitlesen ist daher in diesem Zusammenhang das realistischere Angriffsszenario. Dazu muss das Abhörsystem aber in relativer Nähe zu einem zugelassenen Lesegerät installiert werden.²⁸ Für die durch BAC geschützten Daten gibt es einfachere Wege, die gewünschten Informationen zu erhalten.

Sobald Fingerabdrücke gespeichert werden, kommt die EAC zum Einsatz. Bei EAC muss das Lesegerät ein Zertifikat des ausstellenden Landes haben. Dieses Zertifikat hat eine beschränkte Gültigkeit. Die Verschlüsselungsmechanismen selbst haben eine so hohe Güte, dass der Aufwand für eine Entschlüsselung zu hoch ist. Ein Szenario um unbefugt Daten auszulesen wäre, dass ein Lesegerät mit gültigem Zertifikat entwendet wird. Mit diesem könnten dann die Daten ausgelesen werden. Da die Zertifikate nur eine kurze Gültigkeitsdauer haben, schlägt nach kurzer Zeit die Gültigkeitsprüfung zu. Dazu muss beachtet werden, dass der RFID-Chip keine Uhr besitzt. Er kann die Gültigkeit im Prinzip nicht prüfen. Es wird lediglich bei jedem Lesevorgang das Datum, das vom Lesegerät mit überträgen wird, gespeichert und als letztes gültiges Datum vermerkt. Jeder spätere Lesevorgang muss nach diesem Zeitpunkt erfolgen und das Zertifikat muss dann noch gültig sein.

Der Pass muss immer wieder mit einem aktuellen Datum versorgt werden, damit die EAC ihre Funktion erfüllen kann. Deshalb sollte man vor einer Reise also einmal zur Bundespolizei gehen und das Dokument auf Lesbarkeit prüfen lassen. Damit wird auch das aktuelle Datum gesetzt und mit abgelaufenen Zertifikaten kann nicht mehr auf die Daten zugegriffen werden.

2.2.3 Bewegungsprofil

Diese Sicherheitsfunktionen helfen aber nicht gegen die Bildung eines Bewegungsprofils!

Jeder RFID-Chip, auch die der Ausweisdokumente, überträgt in der Initialisierungs-phase seine eindeutige Chip-ID²⁹ an das Lesegerät. Dies geschieht analog der IMEI. Erst wenn Chip und Lesegerät miteinander kommunizieren, greifen die BAC oder EAC als Zugriffsschutz. Es wäre also möglich, nur an Hand dieser Informationen festzustellen, ob ein bestimmter Chip in der Nähe eines Lesegeräts ist. Durch die Kombination der Informationen vieler Lesegeräte könnte theoretisch ein Bewegungsprofil gebildet werden.³⁰
Dieses Szenario wurde schon für sogenannte “logische Bomben” herangezogen. Man platziert in einem Aufzug oder einer Drehtür eine Bombe, die über ein Lesegerät aktiviert werden kann. Wenn dann die Chip-IDs der Pässe einer Reihe gefährdeter Personen bekannt wäre, könnten zielgenaue Anschläge begangen werden.³¹
Angesichts des Überwachungspotentials besitzen Deutsche Pässe eine besondere Funktion. Abweichend von der normalen standardkonformen Technik haben sie keine eindeutige Chip-ID, sondern bei jedem Lesevorgang wird eine Zufallszahl generiert, aus der die Chip-ID gebildet wird.³²
Hierdurch wird verhindert, dass ein Bewegungsprofil gebildet werden kann.

2.3. Biometrie

Beim Einsatz biometrischer Verfahren muss als erstes geklärt werden, was erreicht werden soll. Geht es um eine Identifikation, d. h. soll mit einem Abgleich aus vielen gespeicherten Merkmalsätzen die richtige Person gefunden werden, oder um eine Verifikation, d. h. soll eine behauptete Identität mit einem gespeicherten Merkmal verglichen werden?

Bei Ausweisdokumenten geht es (meist) um eine Verifikation. Ein Ausweis wird vorgelegt und es soll überprüft werden, ob er für die Person ausgestellt wurde, die ihn vorlegt.

2.3.1 Das Lichtbild

Das Lichtbild ist als biometrisches Merkmal seit langem bei Ausweisdokumenten der Standard. Insofern ist es logisch, dass die ICAO ein (digitales) Lichtbild als primäres biometrisches Merkmal definiert hat. Hier gibt es keine Abweichung zur akzeptierten Ausprägung von Ausweisen.

Es stellt sich jedoch die Frage, inwieweit das digitale Lichtbild zur Überwachung geeignet ist.

Die Technik ist so weit fortgeschritten, dass sie im Prinzip zur Überwachung geeignet ist. Als Gegenbeweis wird manchmal auf das Ergebnis des Versuchs am Hauptbahnhof Mainz verwiesen.³³ Dort hat das BKA über einen längeren Zeitraum versucht, Testpersonen mit Videoüberwachungstechniken im Menschenstrom zu identifizieren. Es nahmen 200 Pendler als Testpersonen teil, die aus den täglich etwa 23.000 Passanten am Mainzer Hauptbahnhof erkannt werden sollten. Als Ergebnis hat das BKA mitgeteilt, dass die Technik nicht für die Belange der Polizei geeignet sei. Es ist aber ein Trugschluss, dies als Beweis dafür zu sehen, dass die Technik nicht zur Überwachung geeignet ist. Für eine Überwachung reichen meist bereits Indizien wer wann wo war, um diesen dann nachzugehen.

Die Systeme sollten eine FAR³⁴ von 0,1% haben; also nur in einem von 1.000 Fällen durfte eine Person fälschlicherweise als gesucht erkannt werden. Diese Zuverlässigkeit wird von Zeugen bei der Polizei oder vor Gericht nicht erreicht. Unter dieser Voraussetzung betrug die Erkennungsrate bei guten Lichtverhältnissen bis zu 60% und bei schlechten etwa 20%! Die FRR³⁵ betrug entsprechend 40 % bzw. 80%. Zur Verdeutlichung der Zahlen sollen folgende Tabellen dienen, wobei in Klammern hypothetische Werte gesetzt sind, falls die Teilnehmerzahl 100 Personen gewesen wäre:

Vom System als Test-Teilnehmer identifiziert	Vom System nicht als Test-Teilnehmer identifiziert
FAR 23 Personen (23 Personen	22777 Personen 22877 Personen	Nicht-Teilnehmer 22800 Personen 22900 Personen)
120 Personen (60 Personen	FRR 80 Personen 40 Personen	Test-Teilnehmer 200 Personen 100 Personen)
143 Personen ( 83 Personen	22857 Personen 22917 Personen	Passanten 23000 23000)

Tabelle 1: Erkennungsrate 60%

In dieser Ausgangskonstellation erhält die Polizei bei 200 Testteilnehmern in 23 von 143 Fällen, das entspricht etwa 15%, eine Fehlinformation. Nehmen nur 100 Personen teil, werden also weniger Personen gesucht, so bleibt die Zahl der Fehlinformationen mit 23 gleich, aber es werden nur 60 gesuchte Personen erkannt; der Anteil der Falschmeldungen steigt auf fast 28%. Je weniger Personen gesucht werden, umso größer wird also der Anteil der Falschmeldungen.

Vom System als Test-Teilnehmer identifiziert	Vom System nicht als Test-Teilnehmer identifiziert
FAR 23 Personen	22777 Personen	Nicht-Teilnehmer 22800 Personen
40 Personen	FRR 160 Personen	Test-Teilnehmer 200 Personen
63 Personen	22937	Passanten 23000

Tabelle 2: Erkennungsrate 20%

Bei einer Erkennungsrate von 20% würde die Polizei in 23 von 63 Fällen, das entspricht mehr als einem Drittel, eine Fehlinformation erhalten. Würde die Zahl der Test-Teilnehmer bei 50 liegen, so hätte man in diesem Fall sogar eine Fehlerquote von fast 70%.

In der Gesamtschau kam das BKA zur Einschätzung, dass die Systeme für die Polizeiarbeit nicht gut genug sind.

Falls aber eine Stadt fast flächendeckend mit Videokameras zu Überwachungszwecken versehen wäre, ändert sich das Bild. Wenn eine Person im Sommer durch die Stadt spaziert und nur jede zweite Kamera sie erkennt, kann man aus der Kombination der Daten „wann und wo“ von mehreren Kameras den Weg rekonstruieren. Wenn man die Aufzeichnungen noch gezielt durchforschen kann mit dem Schwerpunkt auf Kleidung oder Utensilien, so reicht die sichere Identifizierung durch eine Kamera für ein Bewegungsprofil. Die Konsequenz kann nur lauten, dass Lichtbilder und Gesichtserkennung ein Überwachungspotential haben.

2.3.2 Der Fingerabdruck

Als sekundäres biometrisches Merkmal wurden von der ICAO Fingerabdruck oder Iris festgelegt. Man hat sich in der EU³⁶ und in Deutschland für den Fingerabdruck entschieden.

Gegenüber der Öffentlichkeit hat man immer wieder als Grund für die Einführung von Fingerabdrücken als biometrischem Merkmal die damit einhergehende Fälschungssicherheit der Ausweise genannt. Diese Begründung verwundert, wenn man die Antwort der Bundesregierung auf eine Kleine Anfrage liest. Darin wird festgestellt, dass im Zeitraum von 2001 bis 2006 die Bundespolizei sechs Fälschungen deutscher Pässe entdeckt hat.³⁷ Für Personalausweise wird eine Zahl von 88 Totalfälschungen genannt.³⁸
Die Konsequenz ist, dass keine höhere Fälschungssicherheit benötigt wird.

Das biometrische Merkmal kann im Prinzip verhindern, dass eine Person einen Pass vorlegt, der für eine andere Person ausgestellt wurde. In diesem Fall würde das Merkmal der Verifikation dienen. Dies ergibt sich aus den Bestimmungen von § 3 Abs. 5 Personalausweisgesetz, § 16a, Satz 2 Paßgesetz oder Artikel 4 Abs. 3 der EU-Verordnung 2252/2004³⁹ wenn man sie konsequent anwendet. Der Fingerabdruck ist in diesem Punkt nicht unproblematisch. Bei ca. 2 % der Bevölkerung ist er nicht so ausgeprägt, dass er abgenommen, d.h. „enrollt“ werden kann⁴⁰ (FER⁴¹). Außerdem gibt es Berufsgruppen wie beispielsweise Landarbeiter oder Handwerker und Sportler wie Handballer, bei denen der Abgleich zwischen gespeichertem und präsentiertem Merkmal oft zum Ergebnis „keine Übereinstimmung“ kommt (FNMR⁴²), da seit der Passausstellung die Fingerabdrücke „beschädigt“ wurden. Vor diesem Hintergrund ist zu befürchten, dass es viele Personen gibt, bei denen die Verifikation unberechtigterweise keine Übereinstimmung signalisiert. Sollte der Wert der FRR bei 2 % liegen, betrifft es mehr als 1.000.000 Bundesbürger!

Unabhängig von der Frage, wie der Anteil gesenkt werden kann, sind unbedingt Schulungen der Beamten nötig, damit auf die Fehlermeldung beim Lesen der Ausweise richtig reagiert wird.

Das sind aber nicht die einzigen Probleme des biometrischen Merkmals Fingerabdruck. Fingerabdrücke haben ein Überwachungspotential. Man hinterlässt seine Fingerabdrücke an den Orten wo man war. Wenn jemand die Fingerabdrücke für Vergleiche besitzt, kann er feststellen, ob diese Person dort war. Im Zusammenhang mit Reisepässen wird oft gefragt, wie die Datenschutzbeauftragten dazu stehen, dass fremde Staaten die Pässe auslesen können, um die Daten zu speichern. Die Lösung dieses Problems hat aus Sicht des Hessischen Datenschutzbeauftragten deshalb keine hohe Priorität, weil fremde Staaten, die die Fingerabdrücke von Reisenden haben wollen, gar nicht auf die Reisepässe angewiesen sind. Der Reisende muss sie sich an der Grenze abnehmen lassen, um überhaupt einreisen zu dürfen! Nicht nur die USA, sondern seit dem 20. November 2007 auch Japan⁴³ nehmen Reisenden bei der Einreise Abdrücke aller 10 Finger ab. In beiden Fällen wird kein für die EAC von der Bundesrepublik Deutschland he-rausgegebenes Zertifikat benötigt.

2.3.3 Alternativen: Iris oder Venenmuster

Es bleibt die Frage, ob es für den Personalausweis bessere Lösungen gibt. Für den Fingerabdruck gilt: ein Missbrauch ist nur durch die im Gesetz festgeschriebene Zweckbindung verhindert. Bei anderen Merkmalen wie der Iris oder dem Venenmuster der Fingerkuppen ist ein Überwachungspotential kaum oder nicht gegeben. Man hinterlässt keine Spuren, die durch einen Abgleich mit diesen Merkmalen zu der Aussage führen, dass man an einem bestimmten Ort war. Nach Aussagen der Hersteller sind die Werte für FAR und FRR⁴⁴ bei beiden Merkmalen sogar besser als für Fingerabdrücke. Bei den biometrischen Merkmalen für den Personalausweis sollte noch einmal das Überwachungspotential betrachtet werden. Außer beim Lichtbild sollte es nicht vorhanden sein. Die Formulierung des Personalausweisgesetzes würde es zulassen, dass mit dem Venenmuster der Fingerkuppen gearbeitet wird.

Wenn über die Fälschungssicherheit von Ausweisen mit biometrischen Merkmalen zur Verifikation nachgedacht wird, sollte der Anker all dieser Vorkehrungen nicht vergessen werden, das Personenstandswesen. Sollte es möglich sein, einen echten falschen Ausweis ausgestellt zu bekommen, sind alle Sicherheitsmechanismen unwirksam. Gerade hier gibt es z. Z. Entwicklungen, bei denen der Anspruch einer dauerhaften Verfügbarkeit der Urkunden nicht zweifelsfrei gegeben ist.

2.3.4 Zusammenfassung

Zusammenfassend bleibt festzustellen:

Wenn statt Verifikation Identifikation das Ziel ist, sollte es die Politik auch so benennen! Wenn es tatsächlich um die Verifikation geht, sollte über bessere Mechanismen nachgedacht werden.

An einem Beispiel zeigt sich das datenschutzrechtliche Konfliktpotential noch einmal.

Am Frankfurter Flughafen gibt es Planungen, statt des Irismusters demnächst Fingerabdrücke zur Verifikation von Vielfliegern heranzuziehen. Es ist bedenklich, wenn die Überlegungen der Verantwortlichen zum Überwachungspotential sich auf die Aussage reduzieren lassen: „Die Zweckbindung ist durch organisatorische und technische Maßnahmen gewährleistet“.

4. Online-Durchsuchung

Das Thema Online-Durchsuchung wird derzeit heftig diskutiert.⁴⁵ An dieser Stelle soll die Diskussion nicht erneut geführt werden, sondern lediglich auf ein praktisches Problem hingewiesen werden. In der Beratung müssen Datenschutzbeauftragte immer wieder Hinweise geben, wie eine ausreichende Datensicherheit erreicht werden kann. Bisher konnte auf entsprechende Informationen staatlicher Stellen verwiesen werden. Es fällt schwer, Bedenken zu zerstreuen, wenn staatliche Stellen sich die Möglichkeit zur Online-Durchsuchung schaffen.

Wie eine Online-Durchsuchung technisch genau abläuft ist weitgehend unklar.⁴⁶ Allerdings hat das Bundesministerium des Innern⁴⁷ glaubhaft versichert, dass keine Hintertüren in der Software in Auftrag gegeben werden. Aber damit ist nicht gesagt, dass deutsche Behörden nicht im Internet bei Auktionen mit bieten, auf denen exploits⁴⁸ versteigert werden. Es spricht vieles dafür, dass dies der eingeschlagene Weg ist.⁴⁹
Hier zeichnet sich ein Problem mit der Glaubwürdigkeit ab. Der Staat versucht im Rahmen von e-Government Initiativen den Bürger dazu zu bringen, das Internet für seine Kommunikation mit der Verwaltung und darüber hinaus zu benutzen. Er tut es und verlangt vom Bürger, dass dieser sich vor Angriffen schützt. Dazu erstellt er auch Informationen, wie man sich schützen kann.⁵⁰
Gleichzeitig wird zugegeben, dass der Staat Hintertüren kennt, die es ihm erlauben, auf Rechnern Daten zu kopieren und an die überwachenden Behörden zu übertragen.⁵¹ Wie passt diese Tatsache mit seiner Aufgabe zusammen, Bürgern und Wirtschaft vor solchen Hintertüren zu warnen und möglichst sogar Vorschläge für Sicherheitsmaßnahmen zu machen? Wie soll ein Datenschutzbeauftragter weiterhin anfragenden Bürgern sagen, dass das BSI oder andere Stellen und damit ein Teil des Sicherheitsbereichs ein vertrauenswürdiger Ansprechpartner für IT-Sicherheitsbelange ist? Der Vertrauensschaden kann dadurch groß werden. Jedenfalls sind Bedenken gegenüber der Aussage angebracht, dass nur in wenigen Fällen die Software eingesetzt wird, wenn der Einsatz der RFS⁵² bereits bei Hooligans gefordert wird⁵³, da diese über das Internet Krawalle absprechen.

Sollte der Staat Hintertüren oder exploits für sich nutzen, um auf Rechner zugreifen zu können, so kann er keinen Gewerbetreibenden oder anderen Bürger zwingen, diese Technik als Zugangsvoraussetzung für staatliche Leistungen zu nutzen.

5. Fazit

Es gibt viele moderne Techniken mit Überwachungspotential. In einigen Fällen kann man den öffentlich geäußerten Sicherheitsansprüchen genügen, ohne die Freiheit der Bürger übermäßig einzuschränken. Diese Wege sollten alle Beteiligten gehen. Wo sich die Wege trennen, sollte aber auch das Ziel klar gesagt werden, damit der Bürger sich entscheiden kann.

---

Fußnoten (bitte auf die Ziffer klicken, um zur Textstelle zurückzukehren):

¹wikipedia, Stand 5.11.2007, www.wikipedia.de
²IMSI: International Mobile Subscriber Identity, eindeutige Identifizierung von Netzteilnehmern als interne Teilnehmerkennung
³Global System for Mobile Communication, früher Groupe Special Mobile
⁴Zu den generellen Gefährdungen bei der Nutzung von  GSM-Mobilfunkeinrichtungen  siehe:  Bundesamt für Sicherheit in der Informationstechnik, GSM-Mobilfunk Gefährdungen und Sicherheits-maßnahmen, Bonn 2003
⁵IMEI: International Mobile Equipment Identity, eindeutige 15-stellige Seriennummer von GSM oder UMTS-Endgeräten
⁶HLR: Home Location Register, zentrales Teilnehmerverzeichnis; dort wird auch gespeichert, in welchem Netzsegment (MSC mit VLR) ein Teilnehmer eingebucht ist.
⁷SIM: Subsciber Identity Module, Chipkarte, die in dem Handy die teilnehmerspezifischen Daten speichert und einige relevante Verarbeitungsschritte vornimmt.
⁸MSC: Mobile Switchung Center, Vermittlungsstelle in GSM-Netzen, die mehrere Basisstationen kontrolliert.
⁹VLR: Visitor Location Register, Server, der in einem MSC die für Telefonate relevanten Daten speichert.
¹⁰SMS: Short Message Service
¹¹BSI, Broschüre "GSM-Mobilfunk", Bonn 2003: Lt, Ziffer 2.1 gibt es Handys, die eine fehlende Verschlüsselung anzeigen.
¹²RFID: Radio Frequency Identification
¹³Def. : "automated recognition of individuals based on their behavioural and biological characteristics" [ISO2006a]. Automatische Erkennung von Menschen auf Basis ihres Verhaltens und/oder der Eigenschaft ihrer biologischen Charakteristika.
¹⁴ICAO: International Civil Aviation Organization
¹⁵ICAO Document 9303, Machine Readable Travel Documents (MRTD), www.icao.int
¹⁶Verordnung (EG) Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedsstaaten ausgestellten Pässen und Reisedokumenten.
¹⁷In der Budapester-Erklärung zu maschinenlesbaren Ausweis-Dokumenten hat das FIDIS-Exzellenznetzwerk im September 2006 wesentliche Kritikpunkte dargestellt.
¹⁸Zu den grundsätzlichen Anforderungen aus Sicht des Datenschutzes siehe: der Hessische Datenschutzbeauftragte 33. Tätigkeitsbericht Ziff. 8.4, sowie Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder aus 2004 (33. TB Ziff 10.5) und 2006 (35. TB Ziff 10.7)
¹⁹Die skizzierte Arbeitsweise gilt für induktiv arbeitende Systeme. Kapazitiv arbeitende Systeme haben ganz geringe Lesereichweiten. Zur Funktionsweise siehe:  Risiken und Chancen des Einsatzes von RFID-Systemen, BSI 2004, Seite 31ff.
²⁰Bundestagsdrucksache 16/3891, Antwort auf die Kleine Anfrage der Abgeordneten Piltz, Flach, Ahrendt u.a. zu "Erfahrungen mit den biometrischen Reisepässen."
²¹ISO 14443, Standardlesereichweite aktiv ca. 10 cm, andere Standards wie ISO 15693 sehen wesentlich größere Lesereichweiten vor.
²²Heydt-Benjamin, Bailey, Fu, Juels und O’Hare: Vulnerabilities in First Generation RFID-enabled Credit-Cards Draft October 2006, actives Lesen <0,5m. Finke, Kelter: Radio Frequency Identification Abhörmöglichkeiten der Kommunikation zwischen Lesegerät und Transponder am Beispiel eines ISO 14443-Systems, BSI, 2004
Risiken und Chancen des Einsatzes von RFID-Systemen, BSI 2004, Seite 55ff Robroch, Vortrag Asia Cards Singapore, 26. April 2006, aktives Lesen < 0,5m, Mitlesen < 25m In der Budapester-Erklärung des FIDIS-Exzellenznetzwerk vom September 2006 werden 10m als Leseentfernung genannt. Es wird aber nicht zwischen aktivem Lesen und Mitlesen unterschieden, was zur Verdeutlichung hätte geschehen sollen.
²³Die Stadt Lübeck bietet Alu-Hüllen für den neuen Reisepass an: www.heise.de/newsticker/meldung/98237
²⁴BAC: Basic Access Control, Zugriffskontrollmechanismen für Reisepässe mit RFID-Chip der ersten Generation
²⁵EAC: Extended Access Control, Zugriffskontrollmechanismen für Reisepässe mit RFID-Chip der zweiten Generation, d.h. mit zusätzlichem biometrischen Merkmal wie Fingerabdruck BSI, Technical Guideline TR-03110, Advanced Security Mechanisms for MRTD - Extended Access Control (EAC), spezifiziert die Sicherheitsmechanismen der EAC
²⁶BSI, Digitale Sicherheitsmerkmale im elektronischen Reisepass, 01.06.2005, übersichtliche Darstellung des Themas Für eine detaillierte Beschreibung der Funktionsweise von BAC und EAC siehe Kügler, Naumann: Sicherheitsmechanismen für kontaktlose Chips im deutschen Reisepass, DuD 3/2007, Seite 176 ff.
²⁷Das BSI geht von 2 hoch 56 Bit für den vollen Suchbaum aus, die durch diverse Annahmen wesentlich reduziert werden können. Es verbleiben aber 2 hoch 20 Schlüssel. Kügler, Naumann, DuD 3/2007, Seite 178
²⁸Innerhalb der EU werden die Daten in jedem Fall stark verschlüsselt, wenn der Chip dies unterstützt. Das Szenario betrifft daher eher nicht EU-Staaten. Kügler, Naumann, DuD 3/2007, Seite 179
²⁹Chip-UID, Chip unique - ID
³⁰muss natürlich nicht zwingend die Chip-ID des Passes genommen werden. Es gibt viele Chipkarten oder andere Gegenstände mit integrierten RFID-Chips, die betrachtet werden sollten.
³¹Neben anderen  Pfitzmann, Stellungnahme als Sachverständiger für den Innenausschuss des Dt. Bundestages am 23. April 2007. Bei Kenntnis der genauen MRZ und damit des BAC-Schlüssels wäre die Möglichkeit ebenfalls gegeben, wenn gezielt eine Person gesucht wird.
³²Diese Möglichkeit wird im Standard erlaubt. Die ICAO empfiehlt mittlerweile die Vorgehensweise. Sie wird von fast allen Industrieländern eingesetzt.
³³BKA: Forschungsprojekt Gesichtserkennung als Fahndungshilfsmittel Foto-Fahndung, Abschlussbericht, Wiesbaden Februar 2007
³⁴FAR: False Acceptance Rate, hier Anteil der Passanten, die fälschlicherweise als Test-Teilnehmer identifiziert wurden
³⁵FRR: False Rejection Rate, hier Anteil der nicht erkannten Test-Teilnehmer
³⁶Artikel 1 Abs. 2 der Verordnung (EG) 2252/2004 vom 13. Dezember 2004
³⁷Bundestagsdrucksache 16/5507: Antwort der Bundesregierung auf die Kleine Anfrage zur Notwendigkeit neuer biometrischer Pässe aus Sicherheitsgründen
³⁸Bundestagsdrucksache 16/7073: Antwort der Bundesregierung auf die kleine Anfrage zur Notwendigkeit neuer biometrischer Personalausweise aus Sicherheitsgründen.
³⁹§16a, Satz 2 PaßG "... die Identität des Inhabers überprüfen dürfen ...." §3 Abs. 5 PersAuswG "... dürfen nur zur Überprüfung der Echtheit des Dokuments und zur Identitätsprüfung des Personalausweisinhabers ausgelesen und verwendet werden. ..." Artikel 4 Abs. 3, 2252/2004 "... nur verwendet werden ...die Identität des Inhabers ... zu überprüfen ..."
⁴⁰TAB-Arbeitsbericht Nr. 93 "Biometrie und Ausweisdokumente"
⁴¹FER, False Enrolment Rate Anteil der nicht gelungen Speicherungen eines biometrischen Merkmals. Zusammen mit anderen möglichen Fehlerquellen führt sie zur FRR, dem Anteil der Passinhaber, die bei einer Kontrolle nicht als solche erkannt werden.
⁴²FNMR: False Non Match Rate, Anteil der Abdrücke, bei denen fälschlicherweise keine Übereinstimmung erkannt wurde. In der Normung wird der Begriff "Match" mittlerweile durch "Comparison" ersetzt.
⁴³www.spiegel.de vom 04. Oktober 2007, Japan fordert Fingerabdruck und Foto bei der Einreise
⁴⁴www.heise.de/security vom 23.07.2007, Rütten: Venenmuster als Alternative zum Fingerabdruck
⁴⁵Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat auf ihrer 74. Sitzung am 25. und 26. Oktober 2007 die Entschließung "Nein zur Online-Durchsuchung" gefasst; abrufbar unter www.datenschutz.hessen.de.  
⁴⁶Der AK-Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in einem Arbeitspapier vom 30. November 2007 "Technische Aspekte der Online-Durchsuchung" dargestellt; abrufbar unter www.datenschutz.hessen.de. Eine Analyse der wahrscheinlich eingesetzten Technik ist zu finden in Pohl: Zur Technik der heimlichen Online-Durchsuchung, , DuD 9/2007, Seite 684ff.
⁴⁷Antwort auf den Fragenkatalog der SPD-Bundestagfraktion vom 22. August 2007 zu Frage 9.
⁴⁸Angriffsprogramm, dass veröffentlichte Sicherheitslücken (Zero-Day-Exploit) oder nicht veröffentlichte Sicherheitslücken (Less-Than-Zero-Day-Exploit) ausnutzt.
⁴⁹Pohl, DuD 9/2007 Seite 687.
⁵⁰Eine Website ist beispielsweise www.bsi-für-bürger.de. Weiterhin hat das BSI ein CERT (Computer Emergence Response Team) eingerichtet, um schnell auf Gefahren reagieren zu können.
⁵¹Der Begriff "Bundestrojaner" wurde hierfür geprägt; das BKA spricht von RFS (Remote forensic Software; Software zum Fernanalysieren von Rechnern)
⁵²Im Zusammenhang mit der Erhebung von Telekommunikationsinhalten spricht die Bundesregierung von Quellen-TKÜ. Die dazu genutzte Software muss aber vergleichbare Schwachstellen nutzen wie die RFS.
⁵³Mainzer Allgemeine Zeitung vom 20. September 2007, Seite 4, "Trojaner für Hooligans?": Forderung des rheinland-pfälzischen CDU-Vorsitzenden

Stand: 19.03.2008