DuD Datenschutz und Datensicherheit 6 | 2012 395

SCHWERPUNKT

1 Das neue IT-Grundrecht

Der 27. Februar 2008 war ein denkwürdiger Tag für den Daten-schutz in Deutschland. Das Bundesverfassungsgericht hat mit sei-ner Entscheidung zur Online-Durchsuchung1 nicht nur § 5 Abs. 2 Nr.11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen2 für nichtig erklärt, sondern auch das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informa-tionstechnischer Systeme als Ausprägung des allgemeinen Per-sönlichkeitsrechts entwickelt. Das Bundesverfassungsgericht hat dabei festgestellt, dass aus der Bedeutung der Nutzung informa-tionstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbun-den sind, ein grundrechtlich erhebliches Schutzbedürfnis folgt. Der Staat müsse mit Blick auf die ungehinderte Persönlichkeitsentfal-tung die Integrität und Vertraulichkeit derartiger Systeme achten. Die vorhandenen Grundrechte und die vom Bundesverfassungs-gericht entwickelten Ausprägungen des allgemeinen Persönlich-keitsrechts würden den Einzelnen angesichts des durch die Ent-wicklung der Informationstechnik entstandenen Schutzbedürfnis-ses nicht mehr ausreichend vor persönlichkeitsrelevanten Eingrif-fen in informationstechnische Systeme schützen3. Diese Aussage gewinnt insbesondere deshalb an Bedeutung, weil im Zeitalter von E-Government, E-Commerce und E-Community moderne Per-sönlichkeitsentfaltung die Nutzung vertraulicher und integerer in-formationstechnischer Systeme einschließt.

* Die Ausführungen in diesem Beitrag geben ausschließlich die persönliche Ansicht des Verfassers wieder.

1 BVerfG, 1 BvR 370/07 vom 28. Februar 20082 Gesetz vom 20. Dezember 2006, GVBl. NRW 2006, S. 6203 Vgl. BVerfG (Fn. 1), Abs. 181

Das Gericht differenzierte hier klar zwischen dem neu abge-leiteten Grundrecht und dem Recht auf informationelle Selbst-bestimmung indem es feststellt, dass „das Recht auf informatio-nelle Selbstbestimmung den Persönlichkeitsgefährdungen nicht vollständig Rechnung trägt, die sich daraus ergeben, dass der Ein-zelne zu seiner Persönlichkeitsentfaltung auf die Nutzung infor-mationstechnischer Systeme angewiesen ist und dabei dem Sy-stem persönliche Daten anvertraut oder schon allein durch des-sen Nutzung zwangsläufig liefert. Ein Dritter, der auf ein solches System zugreift, kann sich einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf wei-tere Datenerhebungs- und Datenverarbeitungsmaßnahmen an-gewiesen zu sein. Ein solcher Zugriff geht in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebun-gen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus.“4 Mit aller Deutlichkeit begründete das Ge-richt neue Persönlichkeitsgefährdungen für den Einzelnen mit der zunehmenden Verbreitung vernetzter informationstechni-scher Systeme5 und beschreibt die Möglichkeit, das Verhalten und die Eigenschaften des Einzelnen auswerten zu können, wo-mit weitreichende Rückschlüsse auf die Persönlichkeit des Nut-zers bis hin zu einer Profilbildung ermöglichen werden.6

Aus der Sicht eines Informatikers unter den Datenschützern ist die Klarstellung des Gerichts besonders bemerkenswert, dass das allgemeine Persönlichkeitsrecht auch in technischer Hin-sicht den Schutz personenbezogener Daten fordert. Das Gericht führte aus, dass ein Eingriff in dieses Grundrecht dann anzuneh-men ist, wenn die Integrität des geschützten informationstechni-schen Systems angetastet wird, indem auf das System so zugegrif-fen wird, dass dessen Leistungen, Funktionen und Speicherin-halte durch Dritte genutzt werden können. Dann nämlich wäre die entscheidende technische Hürde für eine Ausspähung, Über-wachung oder Manipulation des Systems genommen. Hier wird die eigentliche, eigenständige Bedeutung des neuen Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informa-tionstechnischer Systeme deutlich: Erstmals liegt eine Entschei-

3 Vgl. BVerfG (Fn. 1), Abs. 1814 Vgl. BVerfG (Fn. 1), Abs. 2005 Vgl. BVerfG (Fn. 1), Abs. 1776 Vgl. BVerfG (Fn. 1), Abs. 178

Gabriel Schulz*

Das neue IT-Grundrecht – staatliche Schutzpflicht und InfrastrukturverantwortungDas Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme hat nun schon seinen vierten Geburtstag gefeiert. Daher erscheint die Frage gerechtfertigt, ob bzw. in welchem Umfang der Staat seiner vom Bundesverfassungsgericht verordneten Schutzpflicht und Infrastrukturverantwortung inzwischen nachgekommen ist. Kann der Staat seinen Bürgerinnen und Bürgern den sicheren und vertrauenswürdigen Rahmen bieten, der für die freie, nämlich vorbehaltlose Entfaltung des Einzelnen insbesondere auch dann erforderlich ist, wenn er im täglichen Alltag Informationstechnologie nutzt?

Dipl.-Ing. Gabriel Schulz

Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

E-Mail: gabriel.schulz@datenschutz-mv.de

396 DuD Datenschutz und Datensicherheit 6 | 2012

SCHWERPUNKT

dung des Bundesverfassungsgericht zu dem Problem vor, dass Staat und Gesellschaft im Informationszeitalter mit Datenver-arbeitungsprozessen zunehmend auch Persönlichkeitsrechte ge-fährden, ohne dass sie zielgerichtet personenbezogene Daten im engeren Sinn erheben und verwenden.7

2 Staatliche Schutzpflicht und Infrastruktur verantwortung

Die vom Gericht beschriebenen Möglichkeiten zur Auswertung und Profilbildung durch die Nutzung informationstechnischer Systeme ist keineswegs beschränkt auf staatliche Stellen. Folge-richtig beschränkt sich das Gericht auch nicht darauf, vom Staat lediglich zu fordern, bei Zugriffen auf informationstechnische Sys-teme deren Vertraulichkeit und Integrität zu beachten. Vielmehr beschreibt schon die Bezeichnung des Grundrechts mit „Recht auf Gewährleistung“ eine staatliche Schutzpflicht. Es definiert einen objektiven Auftrag an den Staat, Maßnahmen zu ergreifen, um die Vertraulichkeit und Integrität informationstechnischer Systeme zu gewährleisten. Aus diesem Auftrag erwächst neben der grund-rechtlichen Absicherung auch eine staatliche Infrastrukturverant-wortung. Der Staat wird angehalten, den Bürgern durch Recht-setzung, Rechtsprechung oder Exekutivmaßnahmen einen siche-ren Rahmen zu setzen, in dem sie – soweit möglich – trotz man-gelnder Selbstschutzmaßnahmen auf die Unangetastetheit der von ihnen vielfältig genutzten komplexen Systeme vertrauen können.8 Das Gericht erkennt dabei sehr wohl einen möglichen Konflikt des Staates, der aus der Infiltration informationstechnischer Systeme durch Ermittlungsbehörden resultiert.9 Da die eingesetzte Infiltra-tionstechnik regelmäßig auf bislang unbekannte Sicherheitslücken angewiesen ist, muss befürchtet werden, dass die Ermittlungsbe-hörden sogar aktiv darauf hinwirken, dass derartige Lücken un-erkannt bleiben. Der Zielkonflikt könnte daher das Vertrauen der Bevölkerung beeinträchtigen, dass der Staat um eine möglichst ho-he Sicherheit der Informationstechnologie bemüht ist.

3 Gewährleistung der Vertraulichkeit und Integrität durch den Staat

Einige Entwicklungen im technischen und rechtlichen Bereich sind offensichtlich von der Infrastrukturverantwortung und von der Schutzpflicht des Staates motiviert. So sind sowohl die Einführung des neuen, elektronischen Personalausweises und die Novellierung des Personalausweisgesetzes als auch die Etablierung der De-Mail und das De-Mail-Gesetz offenbar Schritte in diese Richtung.

3.1 Der neue Personalausweis

Seit dem 1. November 2010 erhalten Bürgerinnen und Bürger auf Antrag den neuen, elektronischen Personalausweis. Zu diesem Zeitpunkt trat das Gesetz über Personalausweise und den elektro-nischen Identitätsnachweis in Kraft10. Der neue Personalausweis bietet dem Ausweisinhaber mit dem elektronischen Identitäts-

7 Vgl. Petri , DuD 2008, 4468 Vgl. Luch, MMR 2011, 789 Vgl. BVerfG (Fn. 1), Abs. 24110 Personalausweisgesetz vom 18. Juni 2009 (BGBl. I S. 1346), zuletzt geän-

dert durch Artikel 4 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 2959)

nachweis eine neue Funktion, mit der er in E-Government- oder E-Business-Anwendungen auf elektronischem Weg seine Identi-tät nachweisen kann. In der Begründung zum Personalausweis-gesetz11 führt das Bundesinnenministerium aus, dass mit der Ein-führung eines elektronischen Identitätsnachweises im Personal-ausweis ein wesentlicher Schritt zur Errichtung einer Infrastruk-tur für die zuverlässige Identifizierung im elektronischen Rechts- und Geschäftsverkehr unternommen wird. Der Ausweis sollte zum Katalysator für mehr Sicherheit und Komfort in E-Govern-ment und E-Business werden.12 Der Staat scheint auf dem richti-gen Weg zu sein, seiner o. g. Schutzpflicht und seiner Infrastruk-turverantwortung nachzukommen.

Doch dem neuen Personalausweis war kein guter Start beschie-den. Schon Anfang November 2010, kurz nach der Veröffentli-chung der so genannten AusweisApp13, fanden Fachleute Design-fehler der Update-Routine heraus.14 Dadurch wurde zwar nicht der Ausweis angegriffen, aber auf dem Personalcomputer, auf dem die AusweisApp installiert war, entstand eine Sicherheits-lücke. Daraufhin musste die AusweisApp vom Netz genommen und sicherheitstechnisch überarbeitet werden.

Und es gab weitere Kritikpunkte. Für die Nutzung des elektro-nischen Identitätsnachweises benötigt der Nutzer für den Rech-ner, auf dem die AusweisApp läuft, ein Personalausweis kompatib-les Kartenlesegerät. Als Chipkartenleser stehen verschiedene Ty-pen zur Auswahl. Ausweisinhaber können zwischen dem einfa-chen Basisleser, dem Standardleser mit integriertem PIN-Pad und dem Komfortleser, der auch die qualifizierte elektronische Signatur unterstützt, wählen15. Alle Lesertypen werden in der entsprechen-den Technischen Richtlinie des BSI16 definiert. Die Risiken der ver-schiedenen Lesertypen wurden in einer Studie17 untersucht, die das Bundesinnenministerium im Rahmen der Begleitforschung zum Personalausweis beauftragt hatte. Ein Schwerpunkt der Studie be-traf die Sicherheitslevel der verschiedenen Leser. Ob mit der PIN-Eingabe tatsächlich nur der Datenkatalog zur Übermittlung frei ge-schaltet wird, der von der AusweisApp auf dem Nutzer-PC ange-zeigt wird und dass der Authentisierungsnehmer nicht nachvollzie-hen kann, mit welchem Leser und in welcher Sicherheitsumgebung die PIN eingegeben wurde, war offensichtlich nicht Gegenstand der Studie. Detailliert bewertet wurden aber Fragen der Sicherheit der PIN-Eingabe. Nach der Bewertung dieses Teilaspektes des Gesamt-verfahrens kommen die Autoren zum Ergebnis, dass nur der Stan-dard- oder der Komfortleser empfohlen werden können. Ein Rest-risiko beim Einsatz des neuen Personalausweises wäre der Basis-leser, bei dem die Eingabe der PIN über die Tastatur am potenziell nicht vertrauenswürdigen Bürger-PC vorgenommen wird. Somit kann nicht ausgeschlossen werden, dass spezialisierte Schadsoft-ware mittels Keylogging die PIN während der Eingabe mitliest.

11 BT-Drs. 16/1048912 Vgl. Reisen, DuD 2008, 16413 http://www.personalausweisportal.de/DE/Die_neuen_Funktionen/

Software/software_node.html14 http://www.heise.de/newsticker/meldung/Neuer-Personalausweis-Ausweis

App-mit-Luecken-2-Update-1133376.html15 http://www.personalausweisportal.de/DE/Die_neuen_Funktionen/

Lesegeraete/Lesegeraete_node.html16 BSI: Technische Richtlinie TR-03119, Anforderungen an Chipkartenleser

mit ePA-Unterstützung17 Dietrich, Rossow, Pohlmann, Restrisiken beim Einsatz der AusweisApp auf

dem Bürger-PC zur Online-Authentisierung mit Penetrationstest, FH Gelsenkir-chen, Oktober 2010

DuD Datenschutz und Datensicherheit 6 | 2012 397

SCHWERPUNKT

Mit Blick auf die vom neuen Grundrecht abgeleitete staatliche Schutzpflicht und Infrastrukturverantwortung wäre nun zu er-warten gewesen, dass die Bundesregierung alles dafür tut, um die Verbreitung der in der Studie empfohlenen Lesegeräte zu för-dern. Immerhin standen 24 Millionen Euro zur Verfügung, die der Bund im Rahmen des IT-Investitionsprogramms aus dem Konjunkturpaket II zur Förderung der Verfügbarkeit von Lese-geräten bereitgestellt hatte18. Aber getreu dem Motto, lieber Mas-se als Klasse, förderte der Bund mit dem so genannten IT-Sicher-heitskit mehrheitlich ausgerechnet die als Risiko eingestuften Ba-sisleser. Die vom Bundesinnenministerium nach einer Kleinen Anfrage der Bundestags-Linksfraktion19 vorgelegten Zahlen ver-deutlichen dies. Gefördert wurden zwar auch 230.000 Standard- und Komfortlesegeräte, aber mit 1.237.000 Exemplaren mehr als die fünffache Menge an Basislesern20. Im Ergebnis werden ganz wesentliche zur Risikominimierung erforderliche Maßnahmen21 somit doch dem Bürger angelastet.

Zunächst nur nebenbei erwähnt werden soll hier die Tatsache, dass mit der ausbleibenden Förderung von Komfortlesern eine weitere Chance vertan wurde, sichere Infrastrukturen bspw. für die Nutzung der qualifizierten elektronischen Signatur zu för-dern. Der neue Personalausweis unterstützt nämlich die Erzeu-gung dieser besonders sicheren Signaturen. Dafür ist aber gerade der nicht zuletzt mangels staatlicher Förderung wenig verbreitete Komfortleser erforderlich. Nun soll das neue E-Government des Bundes alle Fragen zum Schriftformerfordernis in elektronischen Verfahren richten. Dazu aber mehr weiter unten.

3.2 De-Mail und Dokumentenablage

Mit dem De-Mail-Gesetz22 möchte die Bundesregierung einen weiteren Beitrag zur rechtssicheren und vertrauensvollen Kom-munikation im Rechts- und Geschäftsverkehr leisten. Dem Ge-setzentwurf der Bundesregierung und der Begründung23 ist zu entnehmen, dass sie eine zuverlässige und geschützte Infrastruk-tur für notwendig erachtet, die die Vorteile der E-Mail mit Si-cherheit und Datenschutz verbindet. Entscheidende Vorausset-zung für den Erfolg von De-Mail-Diensten sei das Vertrauen der Öffentlichkeit in die Vertrauenswürdigkeit dieser neuen Diens-te. Notwendig sei daher, dass Sicherheit und Datenschutz nicht nur behauptet, sondern nachgewiesen werden. Die Begründung spricht in diesem Zusammenhang tatsächlich von der Schutz- und Gewährleistungsfunktion des Staates und lässt vermuten, dass der Blick auf das neue IT-Grundrecht gerichtet war. Aller-dings müssen die Begriffe Vertrauenswürdigkeit und Vertrau-lichkeit genau auseinander gehalten werden.

Vertraulichkeit ist gewährleistet, wenn sichergestellt werden kann, dass Informationen nur Berechtigten bekannt werden24. Dies lässt sich bspw. durch kryptographische Verschlüsselung leicht überprüfbar sicherstellen. Vertrauenswürdigkeit hingegen besteht

18 http://www.personalausweisportal.de/DE/Die_neuen_Funktionen/Lese-geraete/Lesegeraete_node.html

19 http://dip21.bundestag.de/dip21/btd/17/036/1703637.pdf20 http://www.heise.de/newsticker/meldung/Stotterstart-des-neuen-

Personalausweises-1145554.html21 Vgl. Bender, Kügler, Margraf, Naumann, DuD 2010, 76422 Gesetz zur Regelung von De-Mail-Diensten und zur Änderung weiterer

Vorschriften vom 28. April 2011 (BGBl. I S. 666), zuletzt geändert durch Artikel 2 Absatz 3 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 3044)

23 http://dip21.bundestag.de/dip21/btd/17/036/1703630.pdf24 aus einem Vortrag von Prof. Dr. Andreas Pfitzmann zu einer Sondersitzung

des AK Technik am 3. September 2009 in Berlin

aus vielen Aspekten und impliziert unter anderem Glaubwürdigkeit in Aussagen die gemacht werden und in Aktivitäten, die im Bereich der IT getan werden, um mehr Sicherheit zu erlangen25.

Das Gesetz bietet mit der Möglichkeit der Akkreditierung der De-Mail-Diensteanbieter ein Nachweisverfahren, das die Vertrau-enswürdigkeit in De-Mail-Dienste gewährleisten soll26. Akkredi-tierte Diensteanbieter dürfen sich im Geschäftsverkehr auf die nachgewiesene Sicherheit berufen und ein entsprechendes Güte-zeichen führen. Dennoch äußerten im Laufe des Gesetzgebungs-verfahrens der Bundesrat, die Konferenz der Datenschutzbeauf-tragten des Bundes und der Länder, verschiedene Verbände sowie die Opposition heftige Kritik, denn eine durchgehende Vertrau-lichkeit im Sinne einer Ende-zu-Ende-Verschlüsselung wurde stan-dardmäßig nicht angeboten27. Der Gesetzentwurf und die Techni-schen Richtlinien des BSI28 sehen zwar eine Transportverschlüsse-lung zwischen Nutzer-Client und Diensteanbieter einerseits und zwischen den Diensteanbietern andererseits vor, lassen aber aus-drücklich die Entschlüsselung von De-Mails beim Diensteanbie-ter zum Zwecke der Virenprüfung zu. An diesen grundsätzlichen Vorgaben hat sich bis zur Verabschiedung des Gesetzes nichts ge-ändert. Immerhin werden die De-Mail-Diensteanbieter mit § 7 Abs. 1 De-Mail-Gesetz nun verpflichtet, die für die Verschlüsse-lung von Nachrichten notwendigen Informationen in einem Ver-zeichnisdienst zu veröffentlichen. Die von Datenschützern immer wieder geforderten Möglichkeiten zum Selbstdatenschutz29 stehen den Nutzern auf diese Weise immerhin recht komfortabel zur Ver-fügung. Im Ergebnis bleibt aber der Nutzer dafür verantwortlich, für durchgehende Vertraulichkeit zu sorgen. Folgerichtig appellier-te der Bundesbeauftragte für den Datenschutz und die Informati-onsfreiheit in seiner Pressemitteilung30 vom 2. Mai 2011 an die Nut-zer von De-Mail: „Wer sicher gehen will, sollte verschlüsseln!“ und weist auf die Notwendigkeit der Verschlüsselung von De-Mails mit sensiblen Inhalten wie Gesundheitsdaten hin.

Besonders deutlich wird der Anknüpfungspunkt zum neuen IT-Grundrecht bei einem weiteren Dienst, den das De-Mail-Ge-setz vorsieht. Akkreditierte Diensteanbieter können gemäß § 8 De-Mail-Gesetz Nutzern einen Dienst zur sicheren Ablage von Dokumenten anbieten. „Die sichere Dokumentenablage ist vom Grundrecht auf Vertraulichkeit und Integrität informationstech-nischer Systeme geschützt“, so die Begründung31. Der akkreditier-te Diensteanbieter ist verpflichtet, alle Dokumente verschlüsselt abzulegen. Allerdings erfordert auch dieser Dienst das Vertrau-en der Nutzer in den Diensteanbieter. Dieser wird nicht etwa an-gehalten, ausschließlich bereits vom Nutzer verschlüsselte Doku-mente anzunehmen, sondern soll die ihm zur Ablage übergebe-nen Dokumente selbst verschlüsseln. Bei dieser Konstellation ist prinzipiell nicht auszuschließen, dass der Diensteanbieter die In-halte der abzulegenden Dokumente vor der Verschlüsselung zur Kenntnis nimmt. Insofern ist auch hier wieder der Nutzer gut be-raten, dem Appell des Bundesdatenschutzbeauftragten zu folgen,

25 http://www.internet-sicherheit.de/service/glossar/eintrag/eintrag-detail/vertrauenswuerdigkeit/

26 Vgl. Schuhmacher, Mehrfeld, KIS 2011, 39 (BSI-Forum)27 Vgl. Probst, DSB 4/2011, 1228 https://www.bsi.bund.de/DE/Themen/EGovernment/DeMail/

TechnischeRichtlinien/TechnRichtlinien_node.html29 79. Konferenz der Datenschutzbeauftragten des Bundes und der Län-

der, Ein modernes Datenschutzrecht für das 21. Jahrhundert, http://www.baden-wuerttemberg.datenschutz.de/lfd/pm/2010/06_02.htm

30 http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/ 2011/12_InkrafttretenDEMailGesetz.html?nn=409394

31 siehe Fn. 23

398 DuD Datenschutz und Datensicherheit 6 | 2012

SCHWERPUNKT

und seine Dokumente selbst zu verschlüsseln, bevor er sie dem Diensteanbieter zur Dokumentenablage übergibt.

4 Respektierung der Vertraulichkeit und Integrität durch den Staat

Das Grundrecht auf Gewährleistung der Vertraulichkeit und In-tegrität informationstechnischer Systeme schließt die Respektie-rung dieser Sicherheitsziele durch den Staat ein. Angesichts der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und dem daraus resultierenden grund-rechtlich erheblichen Schutzbedürfnis adressiert das Gericht auch unmissverständlich den Staat: „Der Einzelne ist darauf angewie-sen, dass der Staat die mit Blick auf die ungehinderte Persönlich-keitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet.“32 Angesichts der im Folgenden beschriebenen Aspekte sind hier leider noch erhebli-che Defizite zu konstatieren.

4.1 Nutzung von Social Media durch öffentliche Stellen

Mit der datenschutzrechtlichen Bewertung der Reichweitenanalyse von Facebook durch das Unabhängige Landeszentrum für Daten-schutz Schleswig-Holstein (ULD) vom 19. August 201133 wurde auch eine breite Diskussion zur Zulässigkeit der Nutzung so ge-nannter Social Plugins und des Betriebs von Fan-Pages durch öf-fentliche Stellen in Deutschland angestoßen. Die technische Ana-lyse des ULD hatte deutlich gemacht, in welchem Umfang perso-nenbezogene Daten sowohl von Facebook-Mitgliedern als auch von Nichtmitgliedern im Zusammenhang mit dem so genannten Ge-fällt-mir-Button und mit dem Betrieb von Fanpages an Facebook-Server in die USA übermittelt werden. Die Konferenz der Daten-schutzbeauftragten des Bundes und der Länder forderte darauf-hin in ihrer Entschließung vom 28./29. September 201134 alle öf-fentlichen Stellen auf, von der Nutzung von Social-Plugins abzu-sehen und empfahl, keine Profilseiten oder Fanpages einrichten. Auch die obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich setzten der Nutzung von Social Media in Unternehmen mit ihrem Beschluss vom 8. Dezember 201135 en-ge Grenzen. Die gemeinsame Pressemitteilung36 der Vorsitzenden der Datenschutzkonferenz und des Düsseldorfer Kreises vom 2. März 2011 konkretisiert nochmals die Forderungen an Facebook. Am 21. Dezember 2011 veröffentlichte der Irische Data Protection Commissioner (DPC) seinen 148-Seiten starken Bericht zum Zu-stand des Datenschutzes bei Facebook37, in dem zahlreiche Daten-schutzverstöße aufgelistet wurden. Schließlich empfahl auch der IT-Planungsrat in seiner 7. Sitzung am 8. März 2012 öffentlichen Stellen des Bundes und der Länder, insbesondere vor der direkten Einbindung von Social-Plugins und bei der Nutzung von Fan-Pa-ges eine sorgfältige Prüfung unter Einbeziehung der Datenschutz-beauftragten vorzunehmen38.

32 siehe Fn. 333 https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf34 http://www.datenschutz-mv.de/dschutz/beschlue/82_DSK/Nutzerdaten.pdf35 http://www.datenschutz-mv.de/dschutz/ddk/ds_soz_netzw.html36 http://www.lda.brandenburg.de/sixcms/detail.php?gsid=bb1.c.282121.

de&template=aktuell_d137 http://netzpolitik.org/2011/datenschutzbericht-zu-facebook-veroffentlicht/38 http://www.it-planungrat.de/DE/Entscheidungen/Entscheidungen_node.

html

Nun kann man sich natürlich fragen, was Facebook, Fan-Pages und Gefällt-mit-Button mit dem neuen IT-Grundrecht zu tun ha-ben. Das Bundesverfassungsgericht hat jedoch klargestellt, dass vom Grundrecht auf Gewährleistung der Vertraulichkeit und In-tegrität informationstechnischer Systeme zunächst das Interesse des Nutzers geschützt ist, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeite-ten und gespeicherten Daten vertraulich bleiben.39 Das Grundrecht schützt auch vor Datenerhebungen mit Mitteln, die zwar technisch von den Datenverarbeitungsvorgängen des betroffenen informa-tionstechnischen Systems unabhängig sind, aber diese Datenver-arbeitungsvorgänge zum Gegenstand haben40. Werden nun infor-mationstechnische Systeme wie Personalcomputer, Laptop oder Smartphone verwendet, um von öffentlichen Stellen angebotene Dienste in sozialen Netzen zu nutzen, bei denen zahlreiche per-sonenbezogene Daten über einen langen Zeitraum ohne die aus-drückliche und informierte Einwilligung des Nutzers und somit von ihm weitgehend unbemerkt ausgelesen und vom Netzbetreiber für nicht genau definierte Zwecke verwendet werden, ist das neue IT-Grundrecht tangiert. Hier ist zwar nicht der Staat der Nutznie-ßer der ausgelesenen Daten. Aber die mit dem Recht auf informa-tionelle Selbstbestimmung abzuwehrenden Persönlichkeitsgefähr-dungen ergeben sich ja nicht nur aus den vielfältigen Möglichkeiten des Staates sondern auch aus denen privater Akteure41. Wenn nun eine öffentliche Stelle wie die Polizei in Hannover eine Facebook-Fan-Page einrichtet, um etwa Fahndungsaufrufe, Vermisstenan-zeigen oder Stellenausschreibungen zu veröffentlichen42, ermög-licht sie zumindest die datenschutzwidrige Nutzung personenbe-zogener Daten durch Facebook. Denn völlig unstrittig ist selbst un-ter Befürwortern43 der Nutzung von Social Media durch die öffent-lichen Verwaltung, dass Facebook mit den Daten der Besucher die-ser Seite auf eine Weise umgeht, die nach deutschem Datenschutz-recht unzulässig wäre. Muss hier erst die Europäische Kommissi-on die Hausaufgaben für den deutschen Gesetzgeber machen? Bei aller Kritik an den ersten Entwürfen der Datenschutz-Grundver-ordnung44 legt sie jedenfalls den Grundstein für ein einheitliches Datenschutzrecht in Europa und liefert somit auch wirksame In-strumente zum Datenschutz bei sozialen Netzwerken45. Mit dem Grundrecht auf Gewährleistung von Vertraulichkeit und Integri-tät informationstechnischer Systeme ist jedenfalls ein Angebot wie das der Polizei in Hannover nicht zu vereinbaren.

4.2 Einsatz von „Staatstrojanern“ zur Quellen-TKÜ

Auch nach dem denkwürdigen 28. Februar 2008 kamen so ge-nannte Staatstrojaner zum Einsatz, nun allerdings ausschließ-lich mit der Begründung, verschlüsselten Telekommunikations-verkehr, insbesondere Internet-Telefonie, vor der Verschlüsselung abhören zu können (so genannte Quellen-Telekommunikations-überwachung, kurz Quellen-TKÜ). Laut ntv-Online vom 15. Ok-tober 2011 haben die Behörden von Bund und Ländern derarti-

39 Vgl. BVerfG (Fn. 1), Abs. 20440 Vgl. BVerfG (Fn. 1), Abs. 20541 Vgl. BVerfG, Beschluss der 1. Kammer des Ersten Senats vom 23. Oktober

2006 – 1 BvR 2027/02 -, JZ 2007, S. 57642 http://de-de.facebook.com/PolizeiHannover?sk=wall43 Vgl. Schulz/Schliesky (Hrsg.), Transparenz, Partizipation, Kollaboration –

Web 2.0 für die öffentliche Verwaltung, 18744 Europäische Kommission vom 25. Januar 2012, KOM(2012)9 endgültig45 https://www.datenschutzzentrum.de/presse/20120222-pm-web20-in-

verwaltung.htm

DuD Datenschutz und Datensicherheit 6 | 2012 399

SCHWERPUNKT

ge Trojaner in den letzten drei Jahren in rund einhundert Fäl-len eingesetzt.46 Beispielsweise erließ das Amtsgericht Landshut auf Antrag der Staatsanwaltschaft Landshut am 2. April 2009 einen Beschluss nach §§ 100 a, 100 b StPO, in dem ausdrücklich die Überwachung des verschlüsselten Telekommunikationsver-kehrs über HTTPS und über Messenger wie z. B. „Skype“ an-geordnet wurde47.

Auf die rechtliche Bewertung des Trojanereinsatzes soll hier nicht weiter eingegangen werden. Ich verweise auf entsprechen-de Kommentierungen48 und Aufsätze49 sowie auf die bereits ange-kündigten Bewertungen des Bundesdatenschutzbeauftragten50. Im Folgenden soll vielmehr betrachtet werden, welche Risiken für die Vertraulichkeit und Integrität für die informationstechnischen Sy-steme entstanden sind, auf denen der Trojaner eingesetzt wurde.

Wesentliche technische Details des o. g. Trojanereinsatzes wur-den erstmals am 8. Oktober 2011 durch eine entsprechende Ver-öffentlichung des Chaos Computer Clubs (CCC) bekannt51. Unter anderem wurde dort ausgeführt, dass die Verschlüsselung der aus-geleiteten Informationen nach dem Advanced Encryption Stan-dard (AES) erfolgte. Wirklich dumm war dabei, dass der verwen-dete Schlüssel fest in den Programmcode implementiert und somit problemlos auslesbar war. Zudem hat der CCC festgestellt, dass die Kommunikation mit der Software völlig unzureichend abgesi-chert war. Die mangelhaften Authentisierungsmechanismen hat-ten laut CCC die Folge, dass der Trojaner von Dritten hätte „über-nommen“ werden können, etwa um weitere Programme nachla-den und ausführen zu können. Dass auf diese Weise Datenbestän-de auf dem Zielrechner beliebig verändert oder ausgelesen werden können, muss sicher nicht weiter erläutert werden.

Das Bundesverfassungsgericht hat die Infiltration des Ziel-computers als „die entscheidende Hürde“ angesehen, „um das System insgesamt auszuspähen“.52 Damit hat es verdeutlicht, dass mit jeder Infiltration weitere Gefährdungen verbunden sind, etwa das Risiko unabsichtlicher Datenverluste oder der Missbrauch der eingesetzten Software durch Dritte. Nicht nur die Hard- und Software, sondern auch die ausgeleiteten Daten müssen sicher vor unberechtigter Kenntnisnahme, Manipu-lationen und versehentlichen Änderungen geschützt werden. Von zentraler Bedeutung sind dabei die sichere, kryptographi-sche Verschlüsselung ausgeleiteter Daten zur Gewährleistung der Vertraulichkeit und sichere Authentisierungsverfahren zur Gewährleistung der Integrität der betroffenen informations-technischen Systeme. Beim Einsatz der Trojaner fehlten offen-bar in vielen Fällen die vom Bundesverfassungsgericht geforder-ten technischen Vorkehrungen, mit denen sichergestellt werden sollte, dass sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränken53. Dadurch wurde die Vertraulichkeit und Integrität der betroffe-nen informationstechnischen Systeme nicht nur nicht respektiert sondern sogar in gravierendem Maße gefährdet. Sogar eine Be-schädigung des betroffenen Systems wurde offenbar in Kauf ge-

46 http://www.n-tv.de/politik/Trojaner-hundertfach-im-Einsatz- article4533666.html

47 Bay. LT-Drs. 16/1060748 bspw. Bär, MMR 2011, 69049 bspw. Braun, K&R 2011, 68150 http://www.heise.de/newsticker/meldung/Datenschuetzer-Schaar-

Maengel-bei-staatlicher-Ueberwachungssoftware-1433048.html51 http://www.ccc.de/de/updates/2011/staatstrojaner52 Vgl. BVerfG (Fn. 1), Abs. 18853 Vgl. BVerfG (Fn. 1), Abs. 190

nommen. Aus Brandenburg wurde ein Fall bekannt, bei dem der Computer des Verdächtigen durch das Überspielen des Trojaners beschädigt und die Festplatte lahm gelegt wurde54.

5 Der Entwurf des E-Government-Gesetzes des Bundes

Am 24. September 2010 hat der IT-Planungsrat die Nationale E-Government Strategie beschlossen, mit der sich Bund, Länder und Gemeinden zum ersten Mal gemeinsam darauf verständigt haben, wie die elektronische Abwicklung von Verwaltungsange-legenheiten über das Internet weiterentwickelt werden soll.55 Hier-zu streben Bund und Länder im Rahmen ihrer Zuständigkeiten an, elektronische und Papier gebundene Kommunikation recht-lich gleich zu stellen sowie Schriftformerfordernisse und weitere Formvorschriften zur Vereinfachung der elektronischen Kommu-nikation mit der Verwaltung, abzubauen. Das E-Government-Ge-setz des Bundes56 soll ein wichtiger Schritt in diese Richtung sein.

Es verwundert schon etwas, dass weder in der Nationalen E-Government-Strategie noch in der Begründung zum E-Govern-ment-Gesetz auf das Grundrecht auf Gewährleistung der Ver-traulichkeit und Integrität informationstechnischer Systeme Be-zug genommen wird. Wie kann der Staat das Vertrauen der Bür-gerinnen und Bürger in E-Government-Verfahren erwarten, wenn er hier nicht sehr deutlich klarmacht, dass die informa-tionstechnischen Systeme, die essentielle Voraussetzung für die Inanspruchnahme von E-Government-Dienstleistungen sind, ei-nem besonderen Grundrechtsschutz unterliegen?

Das E-Government-Gesetz soll offenbar wesentliche Ände-rungen in § 3a Abs. 2 VwVfG57 in Verbindung mit Änderun-gen des De-Mail-Gesetzes58 herbeiführen. Künftig sollen ne-ben der qualifizierten elektronischen Signatur zwei weitere so genannte „sichere Technologien zur elektronischen Ersetzung der Schriftform“ zugelassen werden. Hierfür wurden zwei Ver-fahren identifiziert, mit denen es möglich sein soll, alle Funktio-nen der Schriftform abzubilden. Dabei handelt es sich einerseits um De-Mail mit einer modifizierenden Versandoption „absen-derbestätigt“ und andererseits um elektronische Anwendungen, bei denen die Verwaltung elektronische Formulare bereitstellt, die in Verbindung mit sicherer elektronischer Identifizierung, insbesondere der eID-Funktion des neuen Personalausweises, genutzt werden sollen.

Die Änderungen im De-Mail-Gesetz sind eine Folge der vorge-sehenen Änderung von § 3a Abs. 2 Nr. 3 VwVfG. Danach kann die durch Rechtsvorschrift angeordnete Schriftform bei Verwaltungs-akten oder sonstigen behördlichen Maßnahmen auch durch Ver-sendung einer De-Mail-Nachricht nach § 5 Abs. 5 De-Mail-Gesetz durch die Behörde ersetzt werden. Die oben beschriebenen Beden-ken zur Vertraulichkeit und Integrität einer De-Mail müssen dem-nach auch in Bezug auf das E-Government-Gesetz geltend gemacht

54 http://www.pnn.de/brandenburg-berlin/585741/55 http://www.it-planungsrat.de/SharedDocs/Downlads/DE/

Pressemitteilung/NEGS.html?nn=146170056 vgl. Referentenentwurf der Bundesregierung mit Bearbeitungsstand vom

5. März 2012 unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/ Gesetzestexte/Entwuerfe/Entwurf_EGov.html?nn=109628

57 Verwaltungsverfahrensgesetz vom 23. Januar 2003 (BGBl. I S. 102), zu-letzt geändert durch Artikel 2 Absatz 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2827)

58 siehe Fn. 22

400 DuD Datenschutz und Datensicherheit 6 | 2012

SCHWERPUNKT

werden. Der Sender der Nachricht wird zwar durch ein sicheres Anmeldeverfahren identifiziert und die Nachricht einschließ-lich aller Metadaten nun zusätzlich durch eine vom De-Mail-Diensteanbieter aufgebrachte qualifizierte elektronische Signatur gegen Veränderungen geschützt. Bedenkenswert daran ist die Tat-sache, dass die Schriftform nicht etwa durch Signatur des Senders gewahrt werden soll, sondern durch die Signatur des Dienstanbie-ters. Das wirft nicht nur Fragen hinsichtlich der möglichen Ver-wendung von Pseudonymen auf, denn in § 3a Abs. 2 Satz 3 VwV-fG heißt es schließlich, dass die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signatur-Schlüsselinhabers nicht unmittelbar durch die Behörde ermöglicht, nicht zulässig ist. Fragen entstehen auch in Bezug auf die durchgängige Nach-weisbarkeit der Integrität des übermittelten Dokuments. Denn wie kann die Integrität eines Dokumentes bei dessen elektronischer Übermittlung sichergestellt werden, wenn das Dokument nur auf einem Teil des Übertragungsweges signiert wird, nämlich nur auf dem Weg vom Diensteanbieter zum Empfänger der De-Mail?

Als begeistertem Segler drängt sich mir der Vergleich zu ei-ner Ankerkette auf, die mit einem Bindfaden zusammengehal-ten wird. Und beruhigt es wirklich, dass – um bei dem Ver-gleich zu bleiben – vom Kapitän ein Matrose abgestellt wurde, der die Schwachstelle sorgsam bewacht? Sinngemäß argumen-tierten so jedenfalls Vertreter des Bundesinnenministeriums in der Sondersitzung des IT-Planungsrates am 31. Januar 2012, in der die Grundzüge des Gesetzentwurfs vorgestellt wurden. Es wurde nämlich auf die in § 17 Abs. 1 De-Mail-Gesetz normier-te Akkreditierung der De-Mail-Diensteanbieter verwiesen, die ja schließlich ein Zertifikat des Bundesdatenschutzbeauftrag-ten hinsichtlich der datenschutzrechtlichen Anforderungen ein-schließt (§ 18 Abs. 3 Nr. 4 De-Mail-Gesetz).

Auch bei dem im Gesetzentwurf beschriebenen zweiten si-cheren Verfahren, das elektronische Formulare und die eID-Funktion des neuen Personalausweises nutzt, bleiben Fragen of-fen. In der Gesetzesbegründung wird eingeräumt, dass nicht al-le Schriftformfunktionen allein durch den Einsatz des neuen Personalausweises oder ein vergleichbares Identifizierungsver-fahren erfüllt werden können. In Kombination mit den zusätz-lichen Funktionalitäten einer von der Behörde zur Verfügung gestellten elektronischen Anwendung soll sich behördenseitig dieser Mangel ausgleichen lassen. Wie die Verwaltung auf die-se Weise den hohen Ansprüchen an das Schriftformerfordernis genügen kann, wird allerdings nicht weiter ausgeführt.

6 Fazit

Das Grundrecht auf Gewährleistung der Vertraulichkeit und In-tegrität informationstechnischer Systeme scheint erste Spuren hinterlassen zu haben. Offensichtlich ist der Staat ernsthaft be-müht, den von Bundesverfassungsgericht geforderten sicheren Rahmen für vertrauliche und integre Nutzung informationstech-nischer Systeme zu schaffen, in dem sich die Teilnehmer auch der Vertraulichkeit ihrer Kommunikation und der Identität ihrer Kommunikationspartner sicher sein können. Mit der Einführung des neuen Personalausweises und der De-Mail-Dienste hat die Bundesregierung jedenfalls zwei wichtige Vorhaben in dieser Be-ziehung auf den Weg gebracht. Auch von Seiten der Datenschüt-zer wird dies anerkannt. So begrüßt der Bundesdatenschutzbe-auftragte in seiner o. g. Pressemitteilung vom 2. Mai 2011 aus-

drücklich, dass das De-Mail-Gesetz den Rechtsrahmen für eine zuverlässige und sichere Kommunikation schafft, und ein – ver-glichen mit der normalen E-Mail-Kommunikation – deutlich hö-heres Schutzniveau gewährleistet.

Auch das E-Government-Gesetz kann ein weiterer Baustein für den geforderten sicheren Rahmen sein. Der Entwurf ist zwar vorrangig geprägt vom Willen, die elektronische Kommunikati-on durch den Abbau bundesrechtlicher Hindernisse zu erleich-tern. Elektronische Verwaltungsdienste sollen einfacher, nutzer-freundlicher und effizienter angeboten werden. Ob die Möglich-keiten ausreichend sind, etwa die Authentizität von Willenserklä-rungen in elektronischen Geschäftsprozessen zu beweisen und Er-klärungen nachweisbar zuzustellen, werden wohl erst die Gerichte klären können. Und angesichts der beschriebenen Schwachstellen der neuen Verfahren wird sich dann zeigen, ob Akkreditierungen und Datenschutz-Audits ausreichend Vertrauen und Rechtssicher-heit schaffen, um eine durch Rechtsvorschrift angeordnete Schrift-form durch die elektronische Form zu ersetzen.

Keinesfalls darf jedoch der Eindruck erweckt werden, dass sich Nutzer dieser Dienste nun entspannt zurücklehnen dürfen in der Annahme, der Staat wird es schon richten. Auch die Nutzer dieser begrüßenswerten Angebote des Staates sind gefordert, nach wie vor sehr sorgsam mit schutzbedürftigen Daten umzugehen und für die IT-Sicherheit der eigenen Technik, sei es Personalcompu-ter, Laptop oder Smartphone, zu sorgen.

Ob Bürgerinnen und Bürger die neuen Verfahren dann tat-sächlich nutzen, wird maßgeblich davon abhängen, ob sie diesen Diensten ausreichend Vertrauen schenken. Wie wichtig das Ver-trauen der Bürger in E-Government-Angebote des Staates ist, hat das Bundesinnenministerium in der Begründung zum De-Mail-Gesetz ausgeführt.59 Mit Blick auf die Vorbehalte vieler Bürger gegenüber dem neuen Personalausweis60 scheint es mit dem Ver-trauen bisher jedoch nicht allzu weit her zu sein. Das verwun-dert aber angesichts der bekannt gewordenen Details um den Einsatz des Staatstrojaners und des wenig datenschutzfreund-lichen Umgangs mit Social Media durch öffentliche Stellen von Bund und Ländern nicht sonderlich.

Ein völliges Umdenken des Staates ist jedenfalls hinsichtlich des Einsatzes der so genannten Staats- oder Landestrojaner erforder-lich, wenn es um Fragen der Vertrauenswürdigkeit geht. Solange jedes gut gemeinte E-Government-Angebot des Staates in den ein-schlägigen Internet-Blogs sofort mit derartigen Trojanern in Ver-bindung gebracht61 oder als Versuch staatlicher Schnüffelei abgetan wird62, wird es mit der Akzeptanz dieser Angebote bei Bürgerinnen und Bürger nicht weit her sein. Es bleibt abzuwarten, ob das Vertrau-en der Bürger etwa durch kompetenteren Umgang mit staatlicher Überwachungssoftware63 gewonnen werden kann. Die Bundesre-gierung ist jedenfalls nach wie vor aufgefordert, sich ihrer Schutz-pflicht und Infrastrukturverantwortung in vollem Umfang bewusst zu werden.

59 siehe Fn. 2360 http://www.heise.de/newsticker/meldung/Ein-Jahr-neuer-

Personalausweis-die-Bilanz-1369360.html61 bspw. http://www.heise.de/newsticker/meldung/De-Mail-kommt-als-

Druckertreiber-1447123.html62 http://www.heise.de/newsticker/meldung/Grosser-Bahnhof-fuer-

De-Mail-1437139.html63 http://www.heise.de/newsticker/meldung/30-Planstellen-fuer-den-

Staatstrojaner-1414154.html