Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Datenschutz als Ihr Grundrecht in Deutschland

digitale Fingerabdrücke mit Schlosssymbol im Abdruck
Quelle: ©SunnySideUp - stock.adobe.com

Informationelle Selbstbestimmung und das IT-Grundrecht – Grundgesetz für die Bundesrepublik Deutschland (GG), Artikel 2 Absatz 1 in Verbindung mit Artikel 1

Neues Recht für neue Technik

Dank des Rechtes auf informationelle Selbstbestimmung können die Menschen in Deutschland grundsätzlich ganz allein darüber entscheiden, welche personenbezogenen Daten sie preisgeben möchten. Und natürlich auch, wer sie verwenden darf. Es handelt sich dabei um eine noch relativ junge Ausprägung des Allgemeinen Persönlichkeitsrechtes, die mittlerweile jedoch eine ganz eigenständige Bedeutung erlangt hat. Denn seit Inkrafttreten des Grundgesetzes 1949 hat die Datenverarbeitung bekanntlich ganz neue Dimensionen erreicht. Das Bundesverfassungsgericht hat dies im Rechtsstreit um die geplante Volkszählung von 1983 erkannt und das Persönlichkeitsrecht in seinem Volkszählungs-Urteil entsprechend erweitert, indem es feststellte, dass es im Angesicht der automatisierten Datenverarbeitung keine belanglosen Daten mehr gebe.

Gestern wie heute: Es geht um Selbstbestimmung

Aufgrund der zwischenzeitlich weiter gestiegenen Verknüpfungsmöglichkeiten personenbezogener Daten aus verschiedenen Lebensbereichen könnten das damalige Urteil und seine Begründung heute gar nicht aktueller sein. Die bereits vor über 50 Jahren im sogenannten Mikrozensus-Beschluss vom Bundesverfassungsgericht erkannte Gefahr für die Demokratie, Personen in ihrer Gesamtheit katalogisieren und profilieren zu können, bildete so schon vor Jahren die Grundlage für das Volkszählungsurteil und ist in der vernetzten Welt von heute besonders relevant. Dabei ist die Gefahr umso größer, je niedrigschwelliger und weniger aufwendig die Verarbeitungsmechanismen werden. Im Zweifel bekommen Betroffene die Verarbeitung nicht einmal mit und können sie so natürlich auch nicht kontrollieren. Statt Selbstbestimmung bliebe so nur gefühlte Ohnmacht gegenüber einer dauernden Überwachung. Schon im Volkszählungsurteil stand daher: "Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen." Aufgrund dieses "nachhaltigen Einschüchterungseffektes" bestünde die Gefahr, dass man seine Freiheitsrechte nicht mehr wahrnehmen und damit seine Persönlichkeit nicht mehr frei entfalten könne. Aus diesem Grund, so die Richter 1983, müsse jedem ein Selbstbestimmungsrecht über seine Daten zustehen. Der technischen Entwicklung folgend lässt sich der Bogen von staatlicher Überwachung zur kommerziellen Auswertung der eigenen Daten leicht spannen.

Wie wirken die Urteile des Bundesverfassungsgerichtes?

Das Bundesverfassungsgericht wurde 1951 als Hüter der Verfassung der Bundesrepublik Deutschland gegründet. Sein Maßstab ist allein das Grundgesetz. Zum heutigen Ansehen und Wirken der freiheitlich-demokratischen Grundordnung hat es einen großen Teil beigetragen. Dies gilt vor allem für die Durchsetzung der Grundrechte. Es ist Gericht und Verfassungsorgan zugleich und völlig unabhängig, untersteht also nicht der Aufsicht eines Ministeriums. Seine Entscheidungen sind unanfechtbar.

Die Rechtsprechung des Bundesverfassungsgerichtes bindet alle übrigen Staatsorgane – die Verfassungsorgane von Bund und Ländern sowie sämtliche Gerichte und Behörden. Diese Bindung bezieht sich im Regelfall auf einen ganz konkret entschiedenen Sachverhalt. Manche Entscheidungen, vor allem wenn es um die Verfassungsmäßigkeit einer Rechtsnorm geht, haben sogar Gesetzeskraft und gelten nicht nur für einen Einzelfall.

Verfassungswidrige Gesetze werden durch das Bundesverfassungsgericht normalerweise für nichtig erklärt. Anschließend ist es, als hätte es dieses Gesetz nie gegeben. Manchmal erklärt es ein Gesetz nur als unvereinbar mit dem Grundgesetz und entscheidet, ab wann es nicht mehr angewendet werden darf. Dies geschieht oft, wenn dem Gesetzgeber mehrere Wege offenstehen, den Verfassungsverstoß zu beseitigen, oder wenn die Nachteile der sofortigen Außerkraftsetzung größer wären als die durch die weitere Geltung entstehenden Nachteile.

Wem gehören die Daten, die wir überall hinterlassen? Uns!

Das Urteil und die Gesetze und Verordnungen, die daraus folgten, beziehen sich auf alle persönlichen Daten – also alle „Informationen“ –, die sich einer bestimmten Person zuordnen lassen. Da geht es zum Beispiel um Alter, E-Mail- sowie Postadresse, Telefonnummer, Anzahl der Familienmitglieder, Glaube, Gesundheit oder Einkommens- und Vermögensverhältnisse. Doch das ist in Zeiten sorgloser Internetnutzung längst nicht alles. Jeden Tag hinterlassen wir unzählige Datenspuren, die Rückschlüsse auf unser Leben und unsere Persönlichkeit zulassen. Überwachungskameras filmen uns, so dass genau nachverfolgt werden kann, wann wir an welchem Ort waren. Online-Shops wissen, für welche Produkte wir uns interessieren und welche wir schließlich gekauft haben. Fitnesstracker überwachen unseren Herzschlag und die Körpertemperatur und dokumentieren, teilweise sogar metergenau, die Standorte und Laufwege. Pausenlos werden massenhaft persönliche Daten erzeugt, gespeichert und verwendet.

Beim Surfen im Internet weist uns der Provider eine IP-Adresse zu, die dem Anschlussinhaber zugeordnet werden kann. Der Handel mit diesen Daten ist längst ein etabliertes und stetig wachsendes Geschäftsmodell. Unser gesetzlich festgeschriebenes Recht auf informationelle Selbstbestimmung ist also permanent gefordert.

Auch Selbstbestimmung hat Grenzen

Nun ist es aber so, dass ein „Rahmenrecht“ wie das Allgemeine Persönlichkeitsrecht auch in dieser speziellen Ausprägung nicht grenzenlos ist und mit den anderen Grundrechten und den verhältnismäßigen Interessen des Staates in Ausgleich und Einklang gebracht werden muss. Doch was bedeutet Ausgleich und Einklang? Gesetze und Verordnungen dürfen auch in das Recht auf informationelle Selbstbestimmung eingreifen und den gewährten Schutz für bestimmte Anliegen verkürzen. Diese Eingriffe müssen sich aber auf das Notwendigste beschränken und dürfen außerdem den Kern des Grundrechtes nicht berühren. So dürfen zum Beispiel im Rahmen der Steuererhebung nur die wirklich erforderlichen Informationen eingefordert werden, wie Arbeitsverhältnisse, Wohnort und Adressdaten, geleistete Abgaben, Familienstand, Kinder etc. Es kann jedoch nicht verlangt werden, dass man sein soziales Leben oder andere Details offenlegt, die keinen Bezug zum eigentlichen Zweck haben.

Datenschutz und Selbstbestimmung gelten auch für Werbung und kommerzielle Auswertung

Auch wenn Grundrechte keine direkte Wirkung im Privatrecht (zum Beispiel Bürger/Unternehmen) entfalten, so strahlen ihre Rechtsgedanken trotzdem aus. Das heißt, dass es auch für private Unternehmen, die zumeist ein großes Interesse an persönlichen Daten haben, Grenzen des Erlaubten gibt. Wo diese Grenzen im Privatrecht verlaufen, ist durch die DSGVO, die gleichermaßen für Unternehmen wie auch den Staat gilt, sogar klarer geworden. Auch privaten Unternehmen ist die Datenverarbeitung nur unter bestimmten Umständen erlaubt. Werden dagegen personenbezogene Daten ohne Einwilligung oder gesetzliche Erlaubnis gesammelt oder verwendet, gibt es einen Anspruch auf Unterlassung und sogar auf Schadensersatz. Die Aufsichtsbehörden können in solchen Fällen Bußgelder verhängen.

Wer freiwillig Daten preisgibt, hat das Nachsehen

Wer Informationen selbst publik gemacht oder ordnungsgemäß darin eingewilligt hat, dass sie erhoben und verwendet werden dürfen, hat oft das Nachsehen. Das bezieht sich beispielsweise auf die sogenannten Sozialen Medien und andere digitale Zusammenhänge, wo viele Menschen viele Daten und Informationen über sich freiwillig preisgeben. Natürlich gibt es auch hier gesetzliche Regelungen, die dem Nutzer in Form von zustimmungspflichtigen allgemeinen Geschäftsbedingungen angeboten werden müssen. Doch sie zu lesen, erfordert Zeit. Viel Zeit. Gut zu wissen ist, dass jede Einwilligung in die Datenverarbeitung streng zweckgebunden ist und jederzeit widerrufen werden kann.

Das Gesetz hält Schritt mit der technischen Entwicklung

Die jüngste Ausprägung des Allgemeinen Persönlichkeitsrechtes ist das sogenannte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme oder verkürzt: das IT-Grundrecht. Es wurde im Februar 2008 vom Bundesverfassungsgericht entwickelt, weil immer mehr Menschen mit Computern, Smartphones und Tablets wie selbstverständlich im digitalen Zeitalter ankamen. Diese Veränderung der Lebenswelt brachte auch neue Gefährdungen mit sich, denn all diese informationstechnischen Systeme können ausgespäht werden. Das IT-Gesetz soll den Menschen einen rechtlichen Schutz bieten – auch vor den Gefahren, die von staatlicher Überwachung ausgehen können.

Was genau ist mit „informationstechnische Systeme“ gemeint?

Mit „informationstechnischen Systemen“ sind neben Computern im klassischen Sinne gemeint: das Internet insgesamt, Tablets, Smartphones sowie alle sonstigen elektronischen Geräte, die persönliche Daten verarbeiten. Wie der Staat seine Überwachung vornimmt, ist dabei vollkommen egal. Ob er spezielle Software einsetzt, das Gerät "hackt", den Bildschirm mit einer Kamera filmt oder die elektromagnetische Strahlung misst – verboten ist es allemal. 

IT-Grundrecht: Die Behörden dürfen eben nicht alles

Auslöser der Gerichtsentscheidung von 2008 war das damals geltende nordrhein-westfälische Verfassungsschutzgesetz. Es sah die Möglichkeit vor, Computersysteme heimlich zu infiltrieren, um sie zu überwachen und ihre Speichermedien auszulesen. Das Ganze ist damals auch unter dem Schlagwort „Online-Durchsuchung“ bekannt geworden. Das Bundesverfassungsgericht beurteilte diese Regelung als grundrechtswidrig. Den neuartigen Gefährdungen aufgrund des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse müsse man begegnen können. Übersetzt heißt das: Auch Verfassungsschützer dürfen nicht einfach nach Gutdünken neue Technik anwenden, nur weil sie vorhanden ist. Die Richter stellten fest, dass bestehende Grundrechte wie das Telekommunikationsgeheimnis (Art. 10 GG), das Recht auf informationelle Selbstbestimmung (Art. 1 Abs. 1, Art. 2 Abs. 1 GG) sowie das Grundrecht auf Unverletzlichkeit der Wohnung (Art. 13 GG) zu diesem Zeitpunkt nur einen lückenhaften Schutz boten. Also haben sie nachgebessert.

Das Bundesverfassungsgericht hat die Lücke erkannt – und geschlossen

Die Richter erkannten, dass das Recht auf informationelle Selbstbestimmung zwar vor einzelnen Datenerhebungen schützt, nicht jedoch vor dem Zugriff auf einen womöglich riesigen Datenbestand. Und genau den hinterlassen Nutzer allein dadurch, dass sie das System nutzen bzw. dem System eine Vielzahl Daten anvertrauen, die ohne weitere Datenerhebung oder -verarbeitung ausgespäht werden könnten. Um genau diese Schutzlücken zu schließen, leitete das Verfassungsgericht das IT-Grundrecht ab. Es soll die Bürgerinnen und Bürger davor bewahren, dass der Staat aus der Ferne ihre informationstechnischen Systeme überwacht, ausspäht oder manipuliert.

Worum es geht: Persönlichkeitsprofile

Das Verfassungsgericht beschreibt ziemlich genau, was das IT-Grundrecht zulässt und was es verbietet. Zum Beispiel ist es dem Staat verboten, auf bestimmte Daten zuzugreifen, „wenn gerade durch die Vielzahl und Vielfalt der Daten die Persönlichkeit des Betroffenen in besonderem Maße gefährdet ist.“ Das heißt: Umfassende Persönlichkeitsprofile dürfen nicht erstellt werden. Gleichzeitig befindet das Gericht aber auch, dass der Schutzumfang des Rechts auf informationelle Selbstbestimmung weiterhin ausreicht, wenn es nur um einzelne Datenerhebungen innerhalb eines technisch-inhaltlich abgegrenzten Bereiches geht.

Wichtig sind: die Art der Daten und ihre Quellen – und ihre Zusammenführung

Was also laut IT-Grundrecht gar nicht geht ist, dass "ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten." Digitale Geräte wie Smartphones oder Computer enthalten aber in der Regel eine Vielzahl von Fotos, privaten Nachrichten, Audiodateien, Kontakten und Nachweise von Kommunikation. Der Zugriff darauf ist also nicht erlaubt. Das gilt übrigens auch für „Server“, also die großen Speicher, auf denen diese Daten abgelegt sind. Doch in Zeiten des „Internets der Dinge“ sind auch Autos und Haushaltsgeräte immer häufiger ständig online und mit immer mehr Sensoren ausgestattet – vom intelligenten Thermostat bis hin zum Kühlschrank, der selbstständig Lebensmittel ordert. Ob hier auch die Regelungen des IT-Grundrechtes greifen, hängt davon ab, ob und in welchem Umfang durch sie persönliche Daten verarbeitet werden.

Enge Grenzen für den staatlichen Zugriff

Laut IT-Grundrecht darf sich der Staat nur in engen Grenzen Zugriff auf persönlichkeitsbezogene Daten verschaffen. Er muss immer dann tätig werden, wenn es um die Vorbeugung von Straftaten oder um Strafverfolgung geht. Heimlich, also ohne Wissen der betreffenden Personen, darf er das aber nur tun, wenn Leib, Leben oder die Freiheit eines Menschen gefährdet sind. Die Rechtmäßigkeit einer solchen Maßnahme muss von einem Richter geprüft und genehmigt werden. Außerdem hat er die technischen Voraussetzungen dafür zu schaffen, dass auf Informationen aus dem „unantastbaren Kernbereich privater Lebensgestaltung“ möglichst gar nicht erst zugegriffen wird. In jedem Fall ist eine ausdrückliche gesetzliche Grundlage erforderlich.

Was ist mit unseren privaten Geschäftsbeziehungen?

Wir bestellen, wir kaufen, wir treffen Vereinbarungen, wir übermitteln bei unseren privaten Geschäften und Tätigkeiten ständig Daten. All das fällt unter den Begriff „Privatrechtsverkehr“. Hier greift wieder der Schutz, den uns das absolut geschützte allgemeine Persönlichkeitsrecht unter dem Passus "sonstiges Recht" gewährt (nach § 823 Abs. 1 Bürgerliches Gesetzbuch [BGB]). Eine Vielzahl der Fälle wird durch das „neue“ Recht auf informationelle Selbstbestimmung aber bereits abgedeckt. Zwar erheben Private durchaus spezifische Daten, wofür sie in aller Regel ein Geschäftsmodell und Geschäftsbedingungen als Begründung haben. Doch sie greifen Daten nicht in umfassenden „Spähattacken“ von den Systemen der Nutzer ab.

Wie können Sie Ihre Grundrechte geltend machen?

Die Grundrechte werden oft als Abwehrrechte der Bürgerinnen und Bürger bezeichnet. Sie verpflichten den Staat zur Einhaltung derselben und berechtigen Private, die Einhaltung zu fordern, notfalls sogar gerichtlich zu erzwingen. Denn mit den Justizgrundrechten wird auch die Garantie des Rechtsweges festgeschrieben. Wenn sich jemand durch eine Maßnahme des Staates in einem Grundrecht verletzt fühlt, kann er vor einem ordentlichen Gericht dagegen klagen. Wenn der Rechtsschutz vor den ordentlichen Gerichten erschöpft ist, steht betroffenen Bürgerinnen und Bürgern mit einer Verfassungsbeschwerde ein weiterer Rechtsbehelf zur Verfügung.

Die Klage wird direkt beim Bundesverfassungsgericht eingereicht. Sie kann sich nicht nur gegen die Verletzung der in den Art. 1 bis 19 des Grundgesetzes genannten Grundrechte richten. Auch bei Verletzung von sogenannten grundrechtsgleichen Rechten, wie zum Beispiel des Wahlrechtes aus Art. 38, kann eine Verfassungsbeschwerde eingereicht werden.
 

Mitlesen und mithören verboten – egal in welchem Medium – Grundgesetz für die Bundesrepublik Deutschland, Artikel 10 Absatz 1

Brief- und Postgeheimnis: allumfassend.

Art. 10 des Grundgesetzes schützt Nachrichten aller Art, die an andere weitergegeben werden. Dabei wird zwischen dem Briefgeheimnis, dem Postgeheimnis und dem Fernmeldegeheimnis unterschieden. Das Brief- und Postgeheimnis schützt alles, was mit der Post verschickt wird - Briefe, Pakete und Postkarten. Die Post wird auf ihrem Weg bis zum Empfänger geschützt. Der Postbote darf die Post nicht öffnen, nicht lesen und auch niemandem erzählen, von wem man Post bekommt. Selbst Eltern, Freunde oder Betreuer dürfen die Post nicht einfach öffnen und lesen. Um irgendetwas per Post Versandtes öffnen oder lesen zu dürfen, braucht man die Erlaubnis des Adressaten.

Fernmeldegeheimnis: klingt altbacken, meint aber auch alles Elektronische und Digitale

Das Fernmeldegeheimnis schützt Nachrichten, die elektronisch verschickt werden, zum Beispiel über das Telefon oder das Internet. Gemeint sind damit Telefongespräche, SMS, E-Mails oder WhatsApp-Nachrichten sowie Nachrichten ähnlicher Messengerdienste. Solche Nachrichten sind privat und genießen den ganzen Schutz des Grundgesetzes.

Privat ist, was wir für privat befinden

Allein die Empfängerin oder der Empfänger entscheidet darüber, ob private Nachrichten gelesen oder gehört werden dürfen – und von wem. Es bedarf also immer einer ausdrücklichen Erlaubnis. Der Staat muss mit entsprechenden Regelungen dafür sorgen, dass die Nachrichten geheim bleiben. Er legt zum Beispiel fest, welche technischen Voraussetzungen Systeme erfüllen müssen, um diese Geheimhaltung zu gewährleisten, oder welche Ausnahmen zu welchen Bedingungen gelten. 

Ausnahmen für Behörden nur mit richterlicher Genehmigung

Auch die Polizei oder andere Behörden dürfen Nachrichten nicht lesen oder abhören. Es gibt nur wenige Ausnahmen, zum Beispiel wenn der Verdacht besteht, dass die ausgespähte Person eine Terroristin bzw. ein Terrorist ist oder einen Menschen getötet hat. Allerdings dürfen die Behörden auch in einem solchen Falle nur mit der Genehmigung einer Richterin oder eines Richters Nachrichten lesen oder abhören.