EN

Gutachten
Das digitale Briefgeheimnis

Soziale Medien, Chat- und Kommunikationsanwendungen auf einem Mobiltelefon

Soziale Medien, Chat- und Kommunikationsanwendungen auf einem Mobiltelefon

© picture alliance / NurPhoto | Artur Widak

Die Diskussionen um verschlüsselte Kommunikation und ein sogenanntes Recht auf Verschlüsselung werden längst nicht mehr nur in Fachkreisen geführt. Durch die flächendeckende Anwendung der technischen Möglichkeiten zur Verschlüsselung von Daten, die fortschreitende Nutzung sozialer Medien sowie zunehmende Erschwernisse für Sicherheitsbehörden bei digitalen Ermittlungen hat die rechtspolitische Debatte in den letzten Jahren eine neue Dynamik bekommen. Die Verschlüsselung von Kommunikation und Inhalten stellt ein notwendiges Mittel zum Schutz der Grundrechte und der digitalen Sicherheit von Staat, Wirtschaft und Gesellschaft dar. Die Behauptungen, Verschlüsselung führe zu einem erhöhten Gefährdungspotenzial für die Allgemeinheit, weil die Ermittlungsarbeit erschwert werde und Verschlüsselungstechnik werde nur von denjenigen eingesetzt, die „etwas zu verbergen“ hätten, greifen zu kurz und missachten die grundrechtlichen Aspekte der Debatte um Verschlüsselung. Das vorliegende Gutachten widmet sich der Frage, inwieweit ein Recht auf Verschlüsselung als Ausformung des digitalen Briefgeheimnisses bereits existiert, unter welchen Umständen es gegebenenfalls eingeschränkt werden kann und was dies für aktuelle rechtspolitische Diskussionen bedeutet.

Die Ergebnisse im Überblick

  1. Aus dem nationalen Verfassungsrecht ist ein Recht auf Verschlüsselung ableitbar.

  2. Aus dem europäischen Verfassungsrecht ist ein Recht auf Verschlüsselung ableitbar.

  3. Ein Recht auf Verschlüsselung ergibt sich zwar nicht als solches aus den nationalen und europäischen verfassungsrechtlichen Gewährleistungen. Es kann aber aus der Zusammenschau verschiedener Grundrechte abgeleitet werden. Relevant sind die Grundrechtspositionen, die die digitale Datenverarbeitung und -übermittlung zum Gegenstand haben. Das sind im Grundgesetz im Wesentlichen: das Fernmeldegeheimnis gem. Art. 10 Abs. 1 GG und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS) nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Das Recht auf Verschlüsselung ist Grundvoraussetzung für die Ausübung dieser Grundrechte und essenzieller Bestandteil der Ausübung zahlreicher weiterer Grundrechte, die inhaltlich die Privat- und Intimsphäre betreffen. Auf europäischer Ebene ergibt sich ein entsprechendes Recht insbesondere aus Art. 7 GRCh (Achtung des Privat- und Familienlebens) und Art. 8 GRCh (Schutz personenbezogener Daten). Sie schützen umfassend die Vertraulichkeit und Integrität der digitalen Datenverarbeitung, was den Rückschluss auf ein Recht auf verschlüsselte Kommunikation ermöglicht.

  4. Bei einer Ableitung eines Rechts auf Verschlüsselung aus verschiedenen verfassungsrechtlichen Gewährleistungen auf nationaler und europäischer Ebene ergibt sich im chronologischen Kommunikationsablauf ein nahezu lückenloser Grundrechtsschutz. Der Kommunikationsvorgang selbst, also Inhalte, Umstände/Metadaten und Verkehrsdaten, ist vom Schutzbereich des Art. 10 Abs. 1 GG umfasst. Auch der vorgelagerte Schritt, nämlich das Generieren der noch unverschlüsselten Inhalte, die im Anschluss (verschlüsselt) übermittelt werden sollen, fällt darunter. Geschützt sind damit sowohl die Transport- als auch die Inhaltsverschlüsselung. Das subsidiäre GVIiS als besondere Ausprägung des Allgemeinen Persönlichkeitsrechts schützt hingegen keinen Kommunikationsvorgang, sondern schützt vor dem staatlichen Zugriff auf IT-Systeme, durch den ein substanzieller Einblick in wesentliche Teile der Lebensgestaltung einer Person möglich wäre (z.B. Computer, Smartphones und elektronische Terminkalender). Weil sich Dateninhaber durch Verschlüsselung vor einem solchen Zugriff schützen können, muss das Recht auf Verschlüsselung auch in den Schutzbereich des GVIis fallen. Auf europäischer Ebene sind ebenfalls sämtliche Verarbeitungsschritte von der Erhebung über die Übermittlung bis hin zur Speicherung eines Datums umfasst.

  5. Ein Recht auf Verschlüsselung besteht aus einer aktiven sowie aus einer passiven Dimension. Damit ist es nicht nur Abwehrrecht gegenüber staatlichem Handeln umfasst, sondern kann für den Staat auch (weit gefasste) Handlungspflichten auslösen, um der Umsetzung von Datenverschlüsselung als Methode zur Ausübung effektiven Grundrechtsschutzes gerecht zu werden. Aus Art. 10 GG lässt sich die staatliche Verpflichtung ableiten, effektive Maßnahmen zur Gewährleistung von Verschlüsselung zu realisieren. Dieser Pflicht kann der Staat beispielsweise durch gezielte Informationsmaßnahmen und -kampagnen für Bürgerinnen und Bürger nachkommen, damit diese Verschlüsselung umsetzen können. Zudem muss der Staat Datensätze seiner Bürgerinnen und Bürger verschlüsseln, um sie vor dem Zugriff Dritter zu schützen. Durch entsprechende Regelungen im StGB ist der Staat seiner Verpflichtung, rechtswidrige Maßnahmen Privater zu regulieren bzw. sanktionieren, nachgekommen. § 165 Abs. 2 TKG, wonach Telekommunikationsanbieter angemessene technische und organisatorische Vorkehrungen gegen schädliche Einwirkungen treffen müssen, erfüllt die staatliche Schutzpflicht in Bezug auf die Verpflichtung privater Telekommunikationsanbieter. Durch die Schutzpflicht kann dem Recht auf Verschlüsselung im Ergebnis zu einer besseren Wirksamkeit in der Praxis verholfen werden.

  6. Ein Recht auf Verschlüsselung existiert nicht grenzenlos, d.h. es ist im Rahmen der verfassungsrechtlichen Interessenabwägung zu im Einzelfall höherrangigen Zwecken beschränkbar.

  7. Eine solche theoretische Einschränkbarkeit eines Rechts auf Verschlüsselung bedeutet jedoch keine beliebige Einschränkbarkeit. Sowohl die nationalen wie auch die europäischen verfassungsrechtlichen Voraussetzungen verlangen hier deutlich qualifizierte Maßstäbe und u.a. eine klare und verhältnismäßige gesetzliche Ermächtigungsgrundlage. Die Grenze für Eingriffe stellt der Kernbereich der privaten Lebensgestaltung dar. Qualifizierte Anforderungen sind insbesondere bei verschlüsselten Daten notwendig, weil ein Eingriff in solche ungleich höher wiegt als ein Eingriff in nur unverschlüsselte Daten.

  8. Die häufig im Überwachungskontext zitierte politische Aussage „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ greift inhaltlich zu kurz, da sie die vorgenannten qualifizierten Rechtfertigungsvoraussetzungen für den Eingriff in ein Recht auf Verschlüsselung nicht angemessen wiedergibt, sondern suggeriert, dass Verschlüsselung und deren (technische) Einschränkbarkeit generell gleichrangig nebeneinanderstünden, was nicht der Fall ist.

  9. Aktuelle gesetzgeberische Vorhaben und behördliche Maßnahmen aus dem Sicherheitsbereich genügen diesen strengen Anforderungen zur Einschränkbarkeit eines Rechts auf Verschlüsselung nicht immer, so beispielsweise im Hinblick auf den Entwurf der CSA-Verordnung durch die Europäische Kommission.

  10. Ein Recht auf Verschlüsselung ist in vielen Fällen einfachgesetzlich reguliert, und das sowohl im europäischen wie auch im nationalen Recht. Zu berücksichtigen ist jedoch, dass die Verschlüsselung häufig nicht unmittelbar in den Gesetzen genannt wird, sondern Gegenstand technischer und organisatorischer Maßnahmen und Vorkehrungen (TOM bzw. TOV) oder beispielhaft als ein mögliches Verfahren zur Herstellung von Datensicherheit genannt ist. Betroffen sind dabei sowohl das öffentliche Recht, wie auch das Strafrecht und das Zivilrecht. Insbesondere in letztgenanntem ist es möglich, die Umsetzung von Verschlüsselung auch auf vertraglicher Grundlage individuell zwischen den Parteien eines Rechtsgeschäfts zu regeln.