Karlsruhe hat dem deutschen Volk ein neues Grundrecht verpasst: Das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, kurz „Computer-Grundrecht“. Damit sind dem Überwachungseifer des Staates zwar erkennbare Grenzen gesetzt worden, weshalb Kommentatoren bereits von einem „historischen“ Urteil sprechen. Doch leider wirft das Urteil auch Fragen auf, für deren Beantwortung vermutlich Jahre benötigt werden.
1. Was ist ein Computer?
Auch wenn Beobachter die Richter für ihre „technisch kundigen Entscheidung“ (Süddeutsche Zeitung) loben, wird aus der Urteilsbegründung nicht wirklich klar, wo sie die Grenzen zwischen dem lokalem PC und dem Internet zieht. Bereits 1984 hat Sun-Mitbegründer John Gage den legendären Satz geprägt: „The network is the computer“. Gilt der Schutz also auch für das gesamte Internet, dass ja bekanntlich aus Millionen von Computern besteht? Zunehmend erfolgt der Zugriff aufs Internet über mobile Endgeräte, die kaum Ähnlichkeit mit dem „Personalcomputer“, auf den die Richter ausdrücklich Bezug nehmen. Ist ein Smartphone ein Computer im Sinne des Urteils? Wie ist es mit der Settop-Box? Der Playstation? Dem Internet-Kühlschrank? Das Karlsruher Urteil öffnet hier eine ganze Pandora-Kiste von unbequemen Zusatzfragen.
2. Darf ein Internet-Provider meine Informationen überhaupt noch speichern?
Laut dem 2007 beschlossenen Gesetz zur Vorratsdatenspeicherung soll ja nachvollziehbar sein, wer mit wem in den letzten sechs Monaten per Telefon, Handy oder E-Mail in Verbindung gestanden oder das Internet genutzt hat. Verstößt der Provider, der dieses Gesetz befolgt, nicht bereits gegen das neue Computer-Grundrecht? Höchstwahrscheinlich ja – aber bis diese Frage endgültig geklärt ist, werden Jahre vergehen.
3. Gilt das Computer-Grundrecht auch für Firmen-PCs?
Wörtlich schreiben die Richter: „Dies gilt zunächst für Personalcomputer, über die mittlerweile eine deutliche Mehrheit der Haushalte verfügt. Das scheint ein Hinweis darauf zu sein, dass der Schutz ausdrücklich nur für den heimischen Rechner gilt. Der Firmenrechner gehört ja dem Arbeitgeber – aber gehören ihm auch die darauf gespeicherten Daten, insbesondere die ebenfalls im Urteil angesprochenen persönlichen Daten, die dem „Kernbereich“ zuzuordnen sind und deshalb, so die Richter, „einen absoluten Schutz genießen“? Zwar bezieht sich das Karlsruher Urteil auf den Schutz des Bürgers vor dem Staat, aber durch die Definition als Grundrecht wird die Vertraulichkeit und Integrität von Computerdaten in den Verfassungsrang erhoben und ist damit Teil der von Paragraph 1 geschützten Rechts auf Menschenwürde – und die ist laut Grundgesetz unantastbar, vom wem auch immer.
4. Müssen die Richter den kompletten Inhalt der Festplatte anschauen?
Um zu verhindern, dass der Polizei im Rahmen einer richterlich genehmigten Computer-Überwachungsmaßnahme versehentlich private, dem Kernbereich zugeordnete Informationen zufallen, sieht das Karlsruher Urteil vor, dass geeignete Verfahrensvorschriften sicherstellen, dass diese „verbotenen“ Daten „unverzüglich“ gelöscht werden. Da jede heimliche Infiltration eines informationstechnischen Systems laut Bundesverfassungsgericht von einem Richter angeordnet werden muss, lässt sich daraus ableiten, dass der selbe Richter in jedem Einzelfall entscheiden müsste, ob eine gefundene Information dem Kernbereich zuzuordnen ist oder nicht – bei einer vollen Festplatte mit 100 Gigabyte oder mehr eine unerfüllbare Forderung.
5. Ist der Bundestrojaner jetzt vom Tisch?
Leider zeugen Äußerungen von Politikern und Ordnungshütern auch nach dem Karlsruher Urteil immer noch von zum Teil grenzenloser Ignoranz über das technisch Machbare im Computerzeitalter. Dass ein Trojaner, vom wem auch immer es stammt, als Mailware von handelsüblichen Virusscannern erkannt und unschädlich gemacht würden, bevor sie überhaupt die Arbeit aufgenommen haben, ist diesen Leuten offenbar nach wie vor nicht klar. Und das ein ebenfalls frei erhältliches Verschlüsselungsprogramm wie PGP („Pretty Good Privacy“) jeden Online-Lauschangriff von vorne herein vereiteln wird, hat sich ebenfalls noch nicht bis zu ihnen herumgesprochen. Und auch die Karlsruher Richter lassen an ihrer ansonsten von Kommentatoren hoch gelobten technischen Kompetenz zweifeln, wenn sie schreiben, dass „der einzelne solche Zugriffe zum Teil gar nicht wahrnehme, jedenfalls aber nur begrenzt abwehren“ könne. Mag sein, dass Maßnahmen zum Selbstschutz „zumindest den durchschnittlichen Nutzer“ überfordern kann – den Computer-affinen Terroristen bestimmt nicht!
6. Was ändert sich für das Identity Management?
Wenigstens hier scheint die Antwort klar: nichts, zumindest zunächst. Allerdings wird es spannend wenn Polizisten im Rahmen ihrer – richterlich genehmigten – Ermittlungen auf Daten zugreifen wollen, die durch wirksames IdM gesichert sind. Von amerikanischen Behörden weiß man, dass sie die Hersteller von Softwaresystemen immer wieder dazu überreden (oder zwingen), so genannte „backdoors“ in ihre Systeme einzubauen, durch die Beamte unbemerkten Zutritt zum System erhalten können. Ob allerdings ähnliche Forderungen deutscher Behörden bei US-Anbietern (und das sind die meisten im IdM-Markt) fruchten werden, darf bezweifelt werden. Da dürfte schon eher der Druck auf einheimische Service Provider und Systemhäuser erfolgversprechender sein. Bleibt abzuwarten, wie standhaft sich diese dem Ansinnen des Staats widersetzen werden, die Daten ihrer Kunden vor Zugriff zu schützen. Das Urteil von Karlsruhe sollte ihnen den Rücken stärken.