08 September 2018

Gute Lücken, schlechte Lücken? Zur objektiv-rechtlichen Dimension des IT-Grundrechts

Staatliches Hacking von Computern und Smartphones hat Konjunktur. Durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens vom 17. August 2017 (BGBl. I S. 3202) wurden Online-Durchsuchung und Quellen-TKÜ mittels „Staatstrojanern“ zu Standardmaßnahmen im strafrechtlichen Ermittlungsverfahren. Die StPO erlaubt seither den Einsatz von Staatstrojanern in mehreren zehntausend Fällen im Jahr: Sie sind nun immer dann zulässig, wenn bisher eine klassische Telekommunikationsüberwachung gem. § 100a Abs. 1 StPO unter Einbindung der jeweiligen Provider (vgl. § 100b StPO a.F.) vorgenommen wurde.

Verfassungsbeschwerde gegen den „Staatstrojaner“

Gegen diese extreme Ausweitung des staatlichen Hackings wenden sich mehrere Beschwerdeführer und eine Beschwerdeführerin (im Folgenden: die Bf.) mit einer Verfassungsbeschwerde, die die Gesellschaft für Freiheitsrechte e.V. koordiniert hat. Die Verfassungsbeschwerde rügt zunächst einige Details der Rechtsgrundlagen in der StPO, die mit den Maßstäben von BVerfGE 120, 274 („Online-Durchsuchung“) für den Einsatz von Staatstrojanern nicht im Einklang stehen. Die Bf. setzen sich dafür ein, dass das BVerfG die Schranken des „Grundrechts auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme“ (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, im Folgenden: IT-Grundrecht), welche das Gericht für den präventiven Bereich entwickelt hat, auf die Strafverfolgung überträgt.

Daneben rügen die Bf. vor allem eine Leerstelle: Der Bund ist bisher seinen Verpflichtungen nicht nachgekommen, die sich aus der objektiv-rechtlichen Dimension des IT-Grundrechts ergeben. Insbesondere hat der Gesetzgeber es vollständig versäumt, einen Rechtsrahmen für den Einsatz von Staatstrojanern zu schaffen, der geeignet ist, fatale Fehlanreize für Behörden des Bundes und der Länder zu vermeiden. Der Gesetzgeber lässt den Behörden bisher vollständig freie Hand, wie sie mit IT-Sicherheitslücken umgehen. Zwar billigt das BVerfG dem Gesetzgeber bei der Wahrnehmung von Schutzpflichten traditionell sehr weite Einschätzungsspielräume zu, ein vollständiges Ignorieren der aus dem IT-Grundrecht resultierenden Schutzpflicht aber steht nicht mehr im Einklang mit den Anforderungen des Grundgesetzes.

Objektiv-rechtliche Dimension des IT-Grundrechts

Aber gibt das IT-Grundrecht tatsächlich eine Schutzpflicht her? Die Bf. und die GFF haben daran keinen Zweifel. Zum einen sei auf die gewählte Bezeichnung des Grundrechts („Gewährleistung der Integrität und Vertraulichkeit …“) verwiesen, die schon rein sprachlich ein aktives Tätigwerden verlangt, zum anderen auf die lange Tradition des BVerfG, in den Grundrechten nicht nur Abwehrrechte gegen staatliche Eingriffe, sondern objektiv-rechtliche Wertentscheidungen der Verfassung zu erkennen. Konsequenterweise hat das BVerfG bereits viele Grundrechte zu Schutzpflichten verdichtet – unter anderem das Grundrecht auf körperliche Unversehrtheit, das Post- und Fernmeldegeheimnis und das allgemeine Persönlichkeitsrecht.

Die Pflicht zum Schutz von IT-Systemen folgt aber auch aus der enormen Bedeutung, die IT-Systeme in der heutigen Gesellschaft haben: Computer und Smartphones werden nahezu flächendeckend in jedem Lebensbereich eingesetzt. Sie sind oft miteinander vernetzt, was ihre Verletzlichkeit potenziert. Und sie sind zentral geworden für die Wahrnehmung und Ausübung anderer Grundrechte wie der Wissenschafts-, Meinungs-, Presse-, Versammlungs-, Vereinigungs- und Berufsfreiheit. So wie der Staat physische Infrastrukturen zu sichern hat, so wie er selbstverständlich den Umgang mit Waffen durch Polizei und Militär oder mit Kernbrennstoffen durch die Betreiber von Atomkraftwerken strengen Regeln unterwirft, so muss er auch für die virtuelle Infrastruktur tatsächlich wirksame Schutzvorkehrungen treffen, indem er dafür sorgt, dass Sicherheitslücken in IT-Systemen so schnell wie möglich geschlossen werden. Zudem muss er für den eigenen Umgang mit virtuellen Waffen – denn nichts anderes sind Trojaner zur Ausnutzung von Sicherheitslücken in IT-Systemen –, Regelungen treffen, die tatsächlich geeignet sind, die Verletzlichkeit von IT-Systemen zu minimieren.

Die Erkenntnis, dass ehedem physisch beobachtbare Ereignisse nunmehr im Cyberspace stattfinden, ist ja richtig. Sie kann aber nicht lediglich dazu führen, dass staatliche Befugnisse in den virtuellen Raum erweitert werden, sondern geht Hand in Hand mit staatlichen Pflichten. Es zeichnet den Rechtsstaat aus, dass er neuen, ihm als ungezügelt, gar „rechtsfrei“ erscheinenden Räume nicht mit ebenso ungezügelten (trojanischen) Pferden, sondern umsichtig und verhältnismäßig begegnet. Dazu gehört auch ein verantwortungsvoller Umgang mit Schwachstellen in IT-Systemen, die den Herstellern noch nicht bekannt sind. Diese Umsicht lässt die gegenwärtige Rechtslage auf Bundesebene indes vermissen. Denn der Bund erlaubt es Ermittlungsbehörden mit §§ 100a Abs. 1 Satz 2, 100b StPO, in informationstechnische Systeme einzugreifen, um aus ihnen Daten zu erheben. Hierzu ist denklogisch ein „Fuß in der Tür“ erforderlich, also das Aufbringen einer hoheitlichen Software, die Daten ausliest und an die Strafverfolgungsbehörden übermittelt – eben ein „Staatstrojaner“.

Weder die StPO in der angegriffenen Fassung noch die Begründung des entsprechenden Gesetzesentwurfs definieren indes, wie ein Staatstrojaner auf das Zielsystem aufgebracht werden darf. Denkbar ist hier zweierlei: zum einen das Ausnutzen der Unaufmerksamkeit des berechtigten Nutzers, etwa indem man ihm einen E-Mail-Anhang mit einem (getarnten) Infektions-Programm zuspielt, zum anderen das  Ausnutzen von Sicherheitslücken derart, dass der berechtigte Nutzer zum Aufruf einer speziell präparierten Internetseite animiert wird, deren bloße Ansicht zur Infektion des Zielsystems führt (sogenannte drive by downloads). Beides ist vom Wortlaut der §§ 100a Abs. 1 Satz 2, 100b StPO gedeckt.

Letzteres führt aber zu gravierenden Fehlanreizen: Wenn Behörden bestehende Sicherheitslücken ausnutzen dürfen, haben sie ein Interesse daran, ein „Arsenal“ ebensolcher Sicherheitslücken aufzubauen, um im Falle des Falles eine Zielperson angreifen zu können. So entstehen Anreize für Behörden, ihnen bekannte Sicherheitslücken gerade nicht schließen zu lassen, sondern sie lieber zu „horten“. Schon heute kaufen staatliche Stellen Sicherheitslücken auf dem Schwarzmarkt auf bzw. haben entsprechende Mittel im Zuge der Haushaltsberatungen bewilligt bekommen. Dies führt nicht nur dazu, dass Sicherheitslücken nicht geschlossen werden. Vielmehr wird der bestehende Schwarzmarkt zusätzlich angeheizt. Steigende Preise für Sicherheitslücken wiederum schaffen Anreize für Sicherheitsforscher, ihre Erkenntnisse nicht den Herstellern zur Verfügung zu stellen, sondern sie zu verkaufen. Auf diese Weise bestehen Sicherheitslücken fort, die eigentlich schon geschlossen werden könnten. Diese kann jeder, der sie findet oder seinerseits auf dem Schwarzmarkt für Sicherheitslücken kauft, zur Infiltration informationstechnischer Systeme missbrauchen. Das gilt insbesondere für Cyber-Kriminelle, die es beispielsweise darauf anlegen, möglichst viele Systeme zum Teil eines sogenannten Botnetzes zu machen oder Zahlungsdaten für Online-Überweisungen von ihnen abzugreifen. Im Ergebnis setzen deutsche Behörden bereits heute Millionen Nutzerinnen und Nutzer von IT-Systeme weltweit, die von einer dem Staat bekannten Lücke betroffen sind, einem fortbestehenden Risiko von Cyber-Angriffen aus, um diese Sicherheitslücken im Einzelfall selbst für Maßnahmen nach §§ 100a Abs. 1 Satz 2 und 3, 100b StPO ausnutzen zu können. Das weltweite Missbrauchsrisiko, das hier durch ein Horten von Sicherheitslücken bewusst eingegangen wird, steht in keinem Verhältnis zu dem verfolgten Zweck, nämlich der (möglicherweise) erleichterten Strafverfolgung im Einzelfall.

Dass die Ausnutzung von staatlicherseits geheim gehaltenen Sicherheitslücken keine düstere Phantasie ist, hat der Vorfall um „WannaCry“ gezeigt: In den Abendstunden des 12. Mai 2017 machte sich dieses Schadprogramm, ein sog. Kryptotrojaner, auf den Weg. Innerhalb weniger Stunden waren weltweit etwa 220.000 Systeme betroffen. Der Trojaner verschlüsselte die Daten auf den betroffenen Computern und bot den Nutzern zeitgleich einen Code für die Entschlüsselung an, ansonsten werde die Löschung der Daten veranlasst. In Deutschland war vor allem die Deutsche Bahn betroffen. In Großbritannien traf es das Gesundheitssystem besonders schwer. Zahlreiche Rechner des National Health Service waren befallen, manches Krankenhaus musste daraufhin Patienten abweisen. Der WannaCry-Trojaner nutzte eine Lücke im Betriebssystem Microsoft Windows. Diese Lücke war schon Jahre zuvor von der National Security Agency, des auf Hacking spezialisierten US-Geheimdienstes, entdeckt, aber nicht an den Hersteller Microsoft gemeldet worden. Brad Smith, Präsident von Microsoft, erhob den Vorwurf, die Geheimdienste würden diese Lücken absichtsvoll horten, statt sie sofort an die Hersteller zu melden.

Angesichts dieser Erfahrungen bekommen die eindringlichen Worte des Bundesverfassungsgerichts in seinem Urteil vom 27. Februar 2008 („Online-Durchsuchung“) erschreckende Aktualität:

„Je nach der eingesetzten Infiltrationstechnik kann die Infiltration auch weitere Schäden verursachen, die im Zuge der Prüfung der Angemessenheit einer staatlichen Maßnahme mit zu berücksichtigen sind. Wird dem Betroffenen etwa eine Infiltrationssoftware in Form eines vermeintlich nützlichen Programms zugespielt, lässt sich nicht ausschließen, dass er dieses Programm an Dritte weiterleitet, deren Systeme in der Folge ebenfalls geschädigt werden. Werden zur Infiltration bislang unbekannte Sicherheitslücken des Betriebssystems genutzt, kann dies einen Zielkonflikt zwischen den öffentlichen Interessen an einem erfolgreichen Zugriff und an einer möglichst großen Sicherheit informationstechnischer Systeme auslösen. In der Folge besteht die Gefahr, dass die Ermittlungsbehörde es etwa unterlässt, gegenüber anderen Stellen Maßnahmen zur Schließung solcher Sicherheitslücken anzuregen, oder sie sogar aktiv darauf hinwirkt, dass die Lücken unerkannt bleiben. Der Zielkonflikt könnte daher das Vertrauen der Bevölkerung beeinträchtigen, dass der Staat um eine möglichst hohe Sicherheit der Informationstechnologie bemüht ist.“ (BVerfGE 120, 274 <325 f.>)

Dieser Zielkonflikt mag für eine Ermittlungsbehörde bestehen. Für den Gesetzgeber aber, der dem Allgemeinwohl verpflichtet ist, muss die Sicherheit informationstechnischer Systeme Vorrang haben. Die in §§ 100a Abs. 1 Satz 2, 100b StPO geschaffenen Regelungen sind deshalb mit dem IT-Grundrecht nur dann vereinbar, wenn sie um ein Verbot ergänzt werden, bisher unbekannte Sicherheitslücken (sog. 0days) auszunutzen, solange der Hersteller des Systems nicht über die Lücke informiert ist. Eine Sicherheitslücke hingegen, die dem Hersteller bekannt ist, die aber beispielsweise wegen Nachlässigkeit des Systembetreibers noch nicht geschlossen wurde, kann auch aus der Perspektive der IT-Sicherheit ausgenutzt werden. Gleiches gilt für Sicherheitslücken, die nicht auf Fehlern der Hersteller beruhen, sondern auf einer individuellen fehlerhaften Einrichtung des informationstechnischen Systems. Aus diesem Grunde beeinträchtigt das Verbot des Ausnutzens von 0days auch die Interessen der Sicherheitsbehörden nur unwesentlich, stehen ihnen doch gleichwohl mannigfaltige Wege zur Infektion von IT-Systemen zur Verfügung.

Die Bf. der von der GFF koordinierten Verfassungsbeschwerde erhoffen sich vom BVerfG im Sinne der vorstehenden Überlegungen eine Weiterentwicklung des IT-Grundrechts. Das Gericht sollte die objektiv-rechtlichen Dimension des IT-Grundrechts anerkennen und dem Gesetzgeber aufgeben, ein Regime zur angemessenen Behandlung von IT-Sicherheitslücken einzuführen. Kernbestandteil einer solchen Regelung muss das Verbot sein, 0days für hoheitliche Zwecke zu horten, statt sie schließen zu lassen.


25 Comments

  1. Peter Camenzind Sat 8 Sep 2018 at 20:11 - Reply

    Eine staatliche Schutzpflicht aufgrund nur verfassungsrechtlicher Wertentscheidung und nicht unmittelbar von subjektiven Rechten scheint sonst weniger verbreitet.
    Eine eventuelle Schutzpflicht aufgrund subjektiver Grundrechtsverletzung kann ebenso noch problematisch bleiben.
    Eine Grundrechtseeinträchtigung soll eher nur mittelbar durch Ausdehnung von Gefahr einer Angreifbarkeit folgen. Ein mittelbarer Grundrechtseingriff, welcher hier eine Schutzpflicht begründen können soll, soll grundsätzlich quasi Vorsätzlichkeit oder besondere Schwere erfordern. Dies kann eher zweifelhaft bleiben, wenn ohne staatliches Vorgehen eine Grundrechtsbeeinträchtigung bereits nicht genügend sicher auszuschließen schiene. Staatliches Vorgehen kann dabei weder quasi vorsätzlich noch besonders schwere wirken.
    Es kann also noch problematsich bleiben, hier eine Grundrechtsverletzung auf Schutzpflichtverletzung stützen zu wollen.
    Überhaupt scheint etwas verwunderlich, wie man in Zeiten nach “Snowden” usw. immer wieder aufs Neue so tun kann, als wär dies nie gewesen. Es kann nun damit überhaupt in Frage stehen, wie Regelungen, welche nur nationale Behörden beschränken, das international freie Internet genügend schützen können sollen? Egal, wer und warum und wie versucht, etwa berufliche Vorteile daraus zu ziehen, können Kritiker solche Diskusssionen zum Datenschutzgrundrecht in der Gegenwart nur noch als Diskussionen der Vergangenheit vor “Snowden” usw und daher eher nur quasi als verfehlten, irreführenden, monströs künstlichen Popanz ansehen.

  2. Dr. Monika Ende Frankfurt am Main Sat 8 Sep 2018 at 22:20 - Reply

    @ Peter Camenzind

    Ich fürchte hier wird die grundrechtsdogmatik gründlich durcheinander gebracht.
    Es geht nicht um eine Verletzung der Schutzpflichten. Diese ist kein subjektives Recht, sondern ein Handlungsauftrag an den Gesetzgeber hier zur Gewährleistung der IT Sicherheit.

    • Peter Camenzind Sun 9 Sep 2018 at 06:31 - Reply

      Also quasi eine Art Verpflichtungsklage oder Leistungsklage o.ä? Das kann eventuell neue, gesetzlich nicht ausdrücklich geregelte Klageform beim BVerfG sein.

  3. Dr. Monika Ende Frankfurt am Main Sat 8 Sep 2018 at 22:57 - Reply

    Wenn man ein subjektives Recht will, muss man über Art. 8 Abs. 1 der Europäischen Grundrechtscharta gehen.
    Der Generalanwalt Yves Bot hat das bereis für Art. 31.Abs. 2 der Europäischen Grundrechtscharta vorgeschlagen.
    Sicherlich wäre eine Weiterentwicklung der deutschen Grundrechte durch das Bundesverfassungsgericht möglich. Die klassische bisherige Schutzpflicht Rechtsprechung ist das nicht.
    Dem BVerfG bleiben, möchte es soweit gehen zwei Wege:
    1. Vorlage an den EuGH
    2. Gemeinschaftskonforme Auslegung anhand der Europäischen Grundrechtscharta.

    Die Europäische Dimension zu berücksichtigen, um die deutsche Grundrechtsdogmatik weiter zu entwickel, ist nicht so revolutionär wie es aussieht. Dies ist im Hinblick auf die Europäische Grundrechtscharta wünschenswert.
    Auch 1. galt einmal als sehr unwahrscheinlich, inzwischen ist diese Vorlage erfolgt.
    2. Ist sehr interessant. Es liegt beim BVerfG, ob es diesen Weg gehen will.

    • Peter Camenzind Sun 9 Sep 2018 at 06:38 - Reply

      Vielleicht bitte noch mal weiter verdeutlichen, wieso eine europäische Dimension hier weitergehenden Schutz gegenüber einer nur nationalen Dimension gewähren können soll?

  4. Dr. Monika Ende Frankfurt am Main Sun 9 Sep 2018 at 09:13 - Reply

    Art. 8 Abs. 1 der Europäischen Grundrechtscharta ist ein Individualrecht.
    Die Auslegung des Grundrechtes auf informationelle Selbstbestimmung anhand dieser europarechtlichen Vorgabe bleibt dem Bundesverfassungsgericht vorbehalten.

  5. Dr. Monika Ende Frankfurt am Main Sun 9 Sep 2018 at 11:43 - Reply

    Etwas hat sich verändert. Wir haben seit Mai eine EU Datenschutzgrundverordnung
    Eine EU Verordnung ist unmittelbar anwendbar.
    Art. 8 Abs. 1 Europäische Grundrechtscharta: “jedr Person hat das Recht auf Schutz der Sie betreffenden personenbezogenen Daten.”

    Im Übrigen verweise ich auf die informativen Beiträge der Professoren Wendel,Mayer und Thym in diesem Verfassungsblog.

    Sollten danach noch Fragen bestehen: Warum EU Recht?
    werde ich gerne versuchen, diese zu beantworten.

    • fisch Mon 10 Sep 2018 at 17:01 - Reply

      Der Datenschutz gilt doch nicht auf dem eigenen Computer. Da geht es nicht um eine undurchsichtige Datenbank, sondern sozusagen um Spionage. Und da gehoert meiner Meinung auch Spionagesoftware hin. Bleibt das Problem, ob der Staat eine Luecke melden muss oder sich zunutze machen kann. Das kann ein Gericht meiner Meinung nach nicht loesen.

  6. Dr. Monika Ende Frankfurt am Main Mon 10 Sep 2018 at 10:03 - Reply

    Der neuralgische Punkt der Schutzpflichtrechtschrechung liegt darin, dass diese nicht individualrechtlich ausgestaltet ist.
    Monika Ende Soziale Schutzgebote im Europäischen Arbeitsrecht 2. aktualisierte Auflage 1998, S. 91

  7. VS-NfD Mon 10 Sep 2018 at 13:46 - Reply

    Liebe Autoren,

    ich fürchte, Sie reiten ein totes Pferd. Hoffmann-Riem wollte sich mit diesem neuen Grundrecht ein Denkmal setzen. Das sei ihm gegönnt. Aber schon damals wurde kritisiert, dass dieses neue Grundrecht (außer einem tollen Namen) nichts bietet, was man nicht durch eine Verhältnismäßigkeitsprüfung des Grundrechts auf informationelle Selbstbestimmung erreichen könnte.
    Und das BVerfG hat dieses Grundrecht danach auch nie wieder bemüht. Nach den unvermeidlichen Doktorarbeiten zur “Analyse” usw. des neuen Grundrechts ist es zurecht in der Versenkung verschwunden.

    Viel Glück mit Eurer Verfassungsbeschwerde, aber ich gehe davon aus, dass auch die dieses Einmal-Grundrecht nicht vor der Bedeutungslosigkeit retten wird. Ich würde es jedenfalls nicht vermissen.

    • fisch Mon 10 Sep 2018 at 17:06 - Reply

      Der Name des Kindes ist doch egal.

  8. Dr. Monika Ende Frankfurt am Main Mon 10 Sep 2018 at 18:46 - Reply

    @ vs-NfD

    Ich wiederum bezweifle, dass Sie überhaupt verstanden haben, worum es den Autoren dieses Verfassungsblog geht.

    Der Ansatz der Autoren ist neu und innovativ.
    Daher kann dieser nicht bereis dagewesen sein.

  9. Dr. Monika Ende Frankfurt am Main Mon 10 Sep 2018 at 19:36 - Reply

    @ Fisch.

    Wie wäre es, wenn wir das Kind Schutzgebot personenbezogener Daten nennen?

    • Peter Camenzind Tue 11 Sep 2018 at 08:41 - Reply

      Warum sollen gerade personenbezogene Daten zwingend besonders staatlich schutzwürdig sein und anderes nicht?
      Wenn der Staat alles schützen sollte, was er schützen könnte, kann dies, wofür diese Verfassungsbeschwerde scheinbar streiten will, nämlich wohl einen Freiheitsschutz, dahin oder jedenfalls stark gefährdet sein.
      Ein Stück weit kann Selbstschutz vielleicht tatsächlich mitunter noch eigener Verantwortung unterfallen.
      Man kann es eventuell besser “Schutzpflicht-Sicherheits-Überwachungsstaat” (alias “big brother”) nennen?

  10. Dr. Monika Ende Frankfurt am Main Tue 11 Sep 2018 at 10:44 - Reply

    @ Camenzind

    Sie übersehen, dass die meisten Rechte in der deutschen Verfassung bereits durch Freiheitsgrundrechte geschützt sind.

    Es bleiben Lücken im Grundrechtsschutz, wie von den Verfassern dieses Verfassungsblog dargelegt.

    Warum gerade im IT-Bereich rechtsstaatlich eingreifen?

    Ich denke, es ist in der Aktualität der Problematik begründet.
    Gerade hier gibt es rechtsstaatliche Defizite.

    Art. 8 Abs. 1 der Euroäischen Grundrechtscharta ist als main european consent ein Grundrecht.

    Im deutschen Verfassungsrecht ist es das, falls überhaupt, darüber wird diskutiert, ein ungeschriebenes Grundrecht.

    Es ist daher überzeugend dieses deutsche Grundrecht europarechtsverfassungskomform auszulegen.
    Darüber entscheidet das Bundesverfassungsgericht.

    • Peter Camenzind Tue 11 Sep 2018 at 11:24 - Reply

      In eder verfassungsrechtlichen Lehre kann, der Erinnerung nach, mitunter gelehrt sein, dass staatliche Schutzpflichten aus der Verfassung und aus Grundrechten grundsätzlich eher eine Ausnahme sein sollen? Die Erinnerung kann manchmal trüben. Wo in der Verfassung befinden sich denn sonst noch Schutzpflichten.
      Grundrechte können staatliches Vorgehen beschränken und dadurch schützen.
      Das kann etwas anderes sein als eine Schutzpflicht, in dem Sinne, dass der Staat schützend aktiv vorgehen muss, wie es anscheinend für personenbezogene Daten als nötig vorgetragen sein soll?

  11. Dr. Monika Ende Frankfurt am Main Tue 11 Sep 2018 at 10:52 - Reply

    The big old elephant argument in law

    The big old elephant is dead the big old elephant is alive.

    Ich würde doch sagen im Bezug auf eine solche Kapazität wie Wolfgang Hoffmann -Riem:

    alive lebend.

  12. Dr. Monika Ende Frankfurt am Main Tue 11 Sep 2018 at 13:11 - Reply

    @ Peter Camenzind

    Fabian Steinhauer hat Ihnen ja bereits geantwortet, dass die Schutzpflichtrechtsprechung ein weites Feld ist.

  13. Peter Camenzind Tue 11 Sep 2018 at 18:30 - Reply

    Für Datenkommunikation kann bereits staatlicher Schutz etwa durch gesetzliche Schutzvorschriften bestehen.
    In welchem Umfang der Staat vorgehen muss, um zusätzlich persönliche Datensicherheit zu schützen kann unklar bleiben. Weder kann hier ein untermaß, noch ein Höchstmaß für staatliches Vorgehen klar erkennbar sein, um genügend Sicherheit in welchem Umfang zu erreichen. Andererseits kann klar sein, dass der Staat durch Zurückstellen von eigenem Vorgehen san anderer Stelle staatlichen Schutz preisgeben kann, wenn er keine Schutzlücken sammeln kann, ohne dafür zu sorgen, dass solche zu schliessen sind.
    Ein Erfolg von weiteren Schutzmaßnahmen, wie gefordert, kann unklar bleiben, Nachteile dagegen sicher sein.
    Das kann dafür sprechen, dass hier jedenfalls noch ein staatlicher Beurteilungsspielraum bleiben kann. Daher kann hier weniger eine klare, konkrete (verfassungsrechtlich) einklagbare Schutzpflicht als verletzt erkennbar sein.
    Zudem kann staatliches Vorgehen hier grundsätzlich weniger direkt auf persönliche Daten zugreifen. Ein Grundrechtseingriff kann hier eventuell eher nur mittelbar durch Gefahrerhöhung von Zugriffen anderer möglich sein.
    Erst über solche mittelbaren Zugriffe kann hier erst unmittelbar eine Schwelle zu Rechtswidrigkeit und eventuell Strafbarkeit überschritten sein.
    Überschreiten einer Schelle zu Rechtswidrigkeit und vielleicht Strafbarkeit kann staatlich grundsätzlich weniger vermeidbar kontrollierbar sein. Daher kann dies weniger staatlich zu verantworten und etwa im Sinne einer mittelbaren Grundrechtbeeinträchtigung zuzurechnen sein.
    Es können eine direkte oder eine nur mittelbare Grundrechtsbeeinträchtigung zeifelhaft bleiben.
    Eine selbst nur zweifelhaft mögliche Schutzpflichtverletzung muss hier noch noch nicht zwingend eine Grundrechtsverletzung bewirken.
    Soweit eine Grundrechtsbeeinträchtigung unkalr bleien muss, kann damit eine materielle Begründetheit einer Klage, wie angeführt, zweifelhaft bleiben.
    So jedenfalls hinsichtlich der vorgetragenen Begründungen.
    gez. P.Camenzind (alias P. Oberschlau)

  14. Dr. Monika Ende Goethe Universität Frankfurt am Main Tue 11 Sep 2018 at 22:44 - Reply

    @ Peter Camenzind

    Bitte ich verstehe nicht.
    Woran zweifeln Sie jetzt genau?

    • Peter Camenzind Tue 11 Sep 2018 at 23:25 - Reply

      Es kann zweifelhaft bleiben, inwieweit Zweifel daran, woran genau gezweifelt ist, klarer zu beseitigen sein können. Letztlich kann teils Zweifel bleiben.

  15. Dr. Monika Ende Ffm Wed 12 Sep 2018 at 00:03 - Reply

    @ Peter Camenzind

    Wenn alles als widerlegt anzusehen wäre, woran Zweifel möglich ist, und es ebenso möglich ist am Zweifel zu zweifeln, so ist der Zweifel als solcher widerlegt.

  16. Dr. Monika Ende Ffm Thu 13 Sep 2018 at 20:14 - Reply

    Vgl. Urteil des Europäischen Gerichtshofes für Menschenrechte zu Art. 8 EMRK vom heutigen Tag

  17. Dr. Monika Ende Ffm Sat 15 Sep 2018 at 18:04 - Reply

    @ VS-NfD.
    Ich denke, Sie irren sich gewaltig und zwar in zweierlei Hinsicht.
    1. ist das Grundrecht auf informatieonelle Selbstbestimmung keine Eintagsfliege.
    2. erörtern die Verfasser des Blogs einen anderen neuen Grundrechtsansatz, der sowohl im Europarecht als auch in der Rechtsprechung des Europäischen Geeichtshofes für Menschenrechte zu finden ist. Es ist möglich diesen auch im deutschen Verfassungsrecht vom ungeschriebenen Grundrecht und dem Rechtsstaatsprinzip herzuleiten.

    Aber Floskeln sind ja so viel leichter zu verwenden.

  18. Dr. Monika Ende Ffm Sun 4 Nov 2018 at 17:16 - Reply

    Hessen hat seit den letzten Wahlen am 28.10.2018 ein Grundrecht auf Datenschutz und informationelle Selbstbestimmung in der Landesverfassung.

Leave A Comment

WRITE A COMMENT

1. We welcome your comments but you do so as our guest. Please note that we will exercise our property rights to make sure that Verfassungsblog remains a safe and attractive place for everyone. Your comment will not appear immediately but will be moderated by us. Just as with posts, we make a choice. That means not all submitted comments will be published.

2. We expect comments to be matter-of-fact, on-topic and free of sarcasm, innuendo and ad personam arguments.

3. Racist, sexist and otherwise discriminatory comments will not be published.

4. Comments under pseudonym are allowed but a valid email address is obligatory. The use of more than one pseudonym is not allowed.




Explore posts related to this:
IT-Grundrecht, Staatstrojaner


Other posts about this region:
Deutschland