Das Grundgesetz enthält keine detaillierten Vorgaben zur IT-Sicherheit.[1] Allerdings kann die Schutzpflichtenkomponente der Grundrechte als Anknüpfungspunkt für die verfassungsrechtlichen Grundlagen der IT-Sicherheit dienen.
Grundrechte sind in erster Linie Abwehrrechte gegen den Staat (status negativus). Neben dieser abwehrrechtlichen Komponente kommt den Grundrechten aber auch noch eine Schutzpflichtenkomponente zu (status positivus). Die Grundrechte sind somit nicht lediglich subjektiv-rechtliche Abwehrrechte gegenüber staatlichem Handeln, sondern ihnen wohnt auch ein objektiv-rechtlicher Gehalt inne. Die Existenz grundrechtlicher Schutzpflichten folgt grundsätzlich aus der den Grundrechten zugrundeliegenden Werteordnung. Als Ausgangspunkt für die Schutzpflichtenfunktion gilt Art. 1 Abs. 1 S. 2 GG, wonach es Verpflichtung aller staatlichen Gewalt ist, die Menschenwürde zu achten und zu schützen.[2]
Ob aber aus den Schutzpflichten Leistungsrechte des Einzelnen erwachsen, ist stark umstritten. Ebenso ist der Umfang der konkreten Schutzpflichten unbestimmt – insbesondere auch die Frage, ob und auf welche Art ein staatliches Handeln geboten ist. Dies hängt maßgeblich vom Einzelfall und dem in Frage stehenden Grundrecht bzw. dem vom Schutzbereich desselben erfassten Rechtsguts oder Verhaltens ab. So steht beispielsweise im Falle des Art. 2 Abs. 2 GG, wonach „jeder […] das Recht auf Leben und körperliche Unversehrtheit [hat]“, die Schutzpflichtenfunktion in der Praxis klar im Vordergrund.[3] Die Rechtsprechung leitet darüber hinaus auch aus dem Recht auf informationelle Selbstbestimmung [4] und dem Fernmelde- bzw. Telekommunikationsgeheimnis [5] entsprechende Schutzpflichten her. Allein schon der vom Bundesverfassungsgericht formulierte Wortlaut des IT-Grundrechts [6] als „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ [7] legt den Schluss nahe, dass auch dieses eine Schutzpflichtenkomponente enthält.[8]
Problematisch und nicht abschließend geklärt ist, ob und auf welche Art ein staatliches Organ tätig werden muss, um der Schutzpflichtenkomponente eines bestimmten Grundrechts gerecht zu werden.
Zunächst unumstritten sind dahingegen die Adressaten einer etwaigen Schutzpflicht. Diese richten sich gemäß Art. 1 Abs. 3 GG sowohl an die Legislative und Exekutive als auch die Judikative.[9] Primärer Adressat der Schutzpflichten ist damit zuallererst der Gesetzgeber.[10] Dieser ist gehalten, die sich aus den Wertungen der Grundrechte ergebenden Schutzpflichten durch eine Umsetzung derselben in einfaches Recht zu verwirklichen und zu konkretisieren.[11] Dies hat auch den Sinn und Zweck, die Schutzpflichten für die Verwaltung handhabbar zu machen und um dem Grundsatz des Vorbehalts des Gesetzes Rechnung zu tragen.[12]
Der Rechtsprechung, insbesondere dem Bundesverfassungsgericht, obliegt dabei die Aufgabe, die „aktiven“ Staatsorgane, also den Gesetzgeber und die Exekutive, auf eine Wahrung der Schutzpflichten hin zu kontrollieren.
Insbesondere zwischen privaten Akteuren kommt es immer häufiger zu Gefährdungen der IT-Sicherheit. Dementsprechend stellt sich die Frage, inwiefern Grundrechte (auch neben den Schutzpflichten)[13] horizontale Anwendung zwischen Privaten finden können. Das Bundverfassungsgericht hat in seiner Lüth-Entscheidung erstmals herausgestellt, dass die Grundrechte als Abwehrrechte zwar in erster Linie gegen den Staat gerichtet sind, daneben aber auch eine objektive Wertordnung verkörpern.[14] Zwar kommt wegen der Ausrichtung der Grundrechte an den Staat keine unmittelbare Drittwirkung in Betracht, allerdings entspringt eben dieser objektiven Wertordnung des Grundgesetzes die Pflicht, bei der Auslegung und Anwendung des Privatrechts die grundrechtlichen Wertentscheidungen zu berücksichtigen, was seither unter dem Begriff der „mittelbaren Drittwirkung“ anerkannt ist.[15] Dementsprechend sind diese grundrechtlichen Wertentscheidungen auch bei der Auslegung des Privatrechts zu beachten, den Grundrechten kommt mithin eine „Ausstrahlungswirkung“ zu, welche über das „Einfallstor“ der unbestimmten Rechtsbegriffe Einzug in zivilrechtliche Rechtsverhältnisse halten.[16]
Gerade für die Gewährleistung von IT-Sicherheit enthalten sowohl das IT-Grundrecht als auch das Recht auf informationelle Selbstbestimmung wichtige Schutzgehalte, die über ihre objektiv-rechtliche Dimension in Form einer mittelbaren Drittwirkung Geltung auch im Zivilrecht entfalten.[17] Insbesondere entfaltet das neue IT-Grundrecht über § 823 Abs. 1 BGB auf Grund der grundsätzlichen Anerkennung des allgemeinen Persönlichkeitsrechts als absolutes Recht im Sinne des § 823 Abs. 1 BGB seine Wirkung im Privatrecht.[18] Geschützt vom Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist das Interesse des Nutzers, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten nicht von unbefugten Dritten genutzt oder manipuliert werden und damit bestehende Vertraulichkeits- und Integritätserwartung hinsichtlich eines informationstechnische Systems nicht enttäuscht werden.[19] Beispielhaft kommen nach Roßnagel/Schnabel als Eingriffe in das Grundrecht etwa „das Einschleusen von „Computerviren”, die Veränderungen in dem Computer des Nutzers vornehmen, „Trojaner”, durch die das IT-System ferngesteuert wird, oder das Einbinden des Computers in ein „Bot-Netz”, über das z.B. Spam oder Schadenssoftware massenhaft verteilt wird“ [20] in Betracht. Die sich daraus ergebenden Verkehrssicherungspflichten können auch durchaus praktische Auswirkungen auf Dienstanbieter nach sich ziehen. So werden etwa „die Hersteller von Hard- und Software von Kommunikationssystemen und die Anbieter von Kommunikationsdiensten genau beachten müssen, welche Sicherheitsmaßnahmen sie vorsehen und ergreifen, um die Vertraulichkeit und Integrität von IT-Systemen Dritter nicht zu gefährden“.[21]
Bei der Beurteilung zivilrechtlicher Anspruchsgrundlagen ist also stets das IT-Grundrecht auch insbesondere in seinen IT-sicherheitsrechtlichen Implikationen zu sehen und durch die involvierten Gerichte bei der Auslegung heranzuziehen. Die verfassungsgerichtliche Kontrolle hinsichtlich eines Unterlassens durch den Gesetzgeber – also hinsichtlich der Frage des „ob“ des Tätigwerdens – beschränkt sich dabei nur auf eine Art Evidenzkontrolle.[22] Dabei ist für das Bundesverfassungsgericht eine Orientierung am sogenannten Untermaßverbot geboten. Das heißt, dass der Staat den verfassungsrechtlich garantierten Schutz von Rechtspositionen des Einzelnen (beispielsweise durch ein Unterlassen von entsprechenden Schutzmaßnahmen) nicht unterschreiten darf.[23] Unbeschadet des Untermaßverbotes hat der Gesetzgeber aber grundsätzlich sowohl hinsichtlich der Frage des „ob“ als auch der Frage des „wie“ seiner Handlungen einen weiten Einschätzungs-, Wertungs- und Gestaltungsspielraum.[24]
Ob sich aus den Schutzpflichten auch eine subjektiv-rechtliche Berechtigung des Grundrechtsträgers ableiten lässt (so dass er im Falle einer Verfassungsbeschwerde die Verletzung eines eigenen Rechts geltend machen kann), ist indes nicht gesichert und hängt vom jeweiligen Einzelfall ab.[25]
Auch ist umstritten, ob dem Einzelnen ein subjektives Recht auf eine Tätigkeit des Gesetzgebers zusteht. So dürfte es aufgrund der Einschätzungsprärogative der Legislative ausgeschlossen sein, dass dem Einzelnen ein Anspruch auf eine bestimmte staatliche Maßnahme zukommt. Ein Anspruch auf ein Tätigwerden überhaupt ist jedoch nicht ausgeschlossen.[26]
Insgesamt ist damit aus den Schutzpflichten der Grundrechte zu folgern, dass in jedem Fall ein Mindestschutzniveau der IT-Sicherheit eingehalten werden muss.[27]
Im Folgenden werden die einzelnen in Betracht kommenden Grundrechte, die unter anderem die IT-Sicherheit gewährleisten kurz abstrakt dargestellt. Darüber hinaus haben weitere verfassungsrechtliche Vorgaben einen Einfluss auf die IT-Sicherheit.
[1] BVerfG, NJW 2010, 833, 840.
[2] Klein, Grundrechtliche Schutzpflicht des Staates, NJW 1989, 1633.
[3] BVerfGE 46, 160, 164; Stern, DÖV 2010, 241, 244.
[4] BVerfG, MMR 2007, 93, 93; Hornung, CR 2008, 229, 305; Roßnagel/Schnabel, NJW 2008, 3534, 3535.
[5] Hoffmann-Riem, AöR 2009, 513, 534.
[6] Siehe dazu mehr unter „IT-Grundrecht“.
[7] BVerfG, NJW 2008, 822.
[8] So: Bartsch, CR 2008, 613 ff.; Hoffmann-Riem, JZ 2008, 1009, 1019; Stögmüller, CR 2008, 435 ff.; Möllers/Pflug, in: Kloepfer, Schutz kritischer Infrastrukturen, 2010, S. 47, 60.
[9] Für Exekutive und Judikative vgl. BVerfGE 84, 212, 226f.; H. H. Klein, Die grundrechtliche Schutzpflicht, DVBl. 1994, 489, 494ff.; Stern, DÖV 2010, 241, 247.
[10] Vgl. Möllers/Pflug, in: Kloepfer, Schutz kritischer Infrastrukturen, 2010, S. 47, 62.
[11] Vgl. Stern, DÖV 2010, 241, 247.
[12] Vgl. Möllers/Pflug, in: Kloepfer, Schutz kritischer Infrastrukturen, 2010, S. 47, 62.
[13] Fraglich ist, ob die „mittelbare Drittwirkung“ als Sonderfall der Schutzpflichtenfunktion zu verstehen ist, oder eine eigene Grundrechtsfunktion darstellt, siehe dazu Jarass, Bausteine einer umfassenden Grundrechtsdogmatik, AöR 120 (1995), 345, 352 f.
[14] Vgl. BVerfG, Urt. v. 15. 1. 1958 – 1 BvR 400/57 – NJW 1958, 257 ff.
[15] Vgl. statt aller Jarass, Bausteine einer umfassenden Grundrechtsdogmatik, AöR 120 (1995), 345, 352.
[16] Vgl. Jarass, Bausteine einer umfassenden Grundrechtsdogmatik, AöR 120 (1995), 345, 352.
[17] Vgl. Hornung, Ein neues Grundrecht, CR 2008, 299, 305.
[18] Roßnagel/Schnabel, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, NJW 2008, 3534, 3536.
[19] Vgl. Roßnagel/Schnabel, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, NJW 2008, 3534, 3536; BVerfG, NJW 2008, 822, 827.
[20] Roßnagel/Schnabel, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, NJW 2008, 3534, 3536.
[21] Roßnagel/Schnabel, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, NJW 2008, 3534, 3536.
[22] Vgl. Stern, DÖV 2010, 241, 247.
[23] BVerfG, NVwZ 1993, 877.
[24] BVerfGE 77, 170, 214 f.; BVerfGE 79, 174, 201 f.; vgl. etwa zur Berufsfreiheit Ruffert, in: BeckOK GG, Stand 01.03.2015, Art. 12 GG Rn. 19 f.
[25] Bejahend bei der Berufsfreiheit etwa Scholz, in: Maunz/Dürig, Grundgesetz-Kommentar, 74. Ergänzungslieferung Mai 2015, Rn. 3 ff.
[26] Vgl. Stern, DÖV 2010, 241, 248.
[27] Vgl. Möllers/Pflug, in: Kloepfer, Schutz kritischer Infrastrukturen, 2010, S. 47, 61.