4.1.1 Der rechtliche Rahmen

Rechtliche Vorschriften dienen als zentraler Baustein für die Absicherung analoger und digitaler Kommunikation und damit zur Herstellung und Stärkung von Systemvertrauen. Schützt das Recht nicht davor, die Integrität, Authentizität und Vertraulichkeit von Individualkommunikation zu verletzen, kann sich Vertrauen in das System der Kommunikation nur schwer entwickeln oder leicht nachhaltig beschädigt werden. Als ein Beispiel, in diesem Fall aus der „analogen Zeit“, sei die Praxis der Abteilung M des Ministeriums für Staatssicherheit in der Deutschen Demokratischen Republik genannt, Briefe mittels spezieller technischer Vorrichtungen zu öffnen und wieder zu schließen und dabei kaum sichtbare Spuren am Briefumschlag zu hinterlassen.1 Solche Maßnahmen schädigen die Privatheit der Kommunikation. Werden sie bekannt (was letztlich bei derlei gravierenden Verletzungen fast immer geschieht), untergraben sie das Vertrauen in das Kommunikationssystem als solches. Es wird in der Folge nicht mehr für vertrauliche Kommunikation genutzt werden.

„Der Staat muss den Rahmen für eine sichere digitale Kommunikation setzen. Das beginnt im rechtlichen Bereich, geht über die technische Richtliniensetzung bis hin zur Einführung von Gütesiegeln, wo der Staat unterstützen kann.“
Matthias Gärtner, Pressesprecher beim Bundesamt für Sicherheit und Informationstechnik, Konsultation

Insofern erklärt es sich, dass die Nachrichtenübermittlung per Brief schon mit Beginn der Neuzeit rechtlich abgesichert wurde, um das Vertrauen der Bürgerinnen und Bürger in das System zu stützen. Die Allgemeine Preußische Postordnung von 1712 sanktionierte Postbeamte mit Entlassung und Bestrafung wegen Meineids. In Frankreich drohte hierfür ab 1742 gar die Todesstrafe.2

Grundrechtliche Garantien

In Deutschland wird das Brief- und Postgeheimnis seit 1949 durch Artikel 10 des Grundgesetzes als Grundrecht geschützt. In erster Linie adressiert es wie alle Grundrechte den Staat: Es verbietet, dass staatliche Bedienstete selbst Briefe öffnen. Darüber hinaus entfaltet es aber auch eine Drittwirkung insofern, dass es den Staat zudem verpflichtet, mittels gesetzlicher Regeln dafür Sorge zu tragen, dass auch im Postwesen tätige private Dienstleistungsunternehmen und sonstige Dritte die Vertraulichkeit des Inhalts von Briefen nicht verletzen.3 Zu diesen gesetzlichen Regeln gehört unter anderem das Strafrecht. Hierdurch wird jede Person strafrechtlich sanktioniert, die das Briefgeheimnis (§ 202 Strafgesetzbuch) oder das Post- oder Fernmeldegeheimnis (§ 206) verletzt.

Auch digitale Kommunikationsvorgänge werden neben den genannten technischen Schutzmaßnahmen durch rechtliche Garantien flankiert, die den Zweck verfolgen, das Vertrauen in das System abzusichern. In erster Linie handelt es sich hierbei wiederum um grundrechtliche Garantien.

So umfasst der Artikel 10 des Grundgesetzes zunächst einmal nicht nur das Brief- und Postgeheimnis, sondern schützt als Fernmeldegeheimnis genauso Inhalte und Umstände individueller Kommunikationsvorgänge, die drahtlos oder drahtgebunden mittels elektromagnetischer Signale erfolgen. Da es auf die konkrete Übermittlungsart hierbei nicht ankommt, erstreckt sich der Schutz auf die Kommunikation via Internet.4 Auch hier richtet sich das Grundrecht nicht nur an den Staat selbst, um dessen eigene Handlungsmöglichkeiten zu beschränken; er hat im Sinne einer Drittwirkung des Grundrechts auch dafür zu sorgen, dass private Kommunikationsdienstleister das Recht nicht verletzen. Entscheidend ist allerdings, dass die Nachrichten nur dann und so lange von Artikel 10 geschützt sind, wie sie zwischen Absender und Empfänger unterwegs sind – was ein Speichern auf den Servern des E-Mail-Dienstleisters mit einschließt, wie das Bundesverfassungsgericht im Jahr 2009 mit Hinweis auf den Schutzzweck des Grundrechts entschied.5 Befinden sich die Informationen noch auf dem Computer des Ersteren oder sind bereits angekommen und beim Empfänger gespeichert, greift der Schutzbereich des Grundrechts nicht mehr.6

Daten, die sich auf dem Computer einer Person selbst befinden und Auskunft über diese erteilen können, werden nicht durch das Fernmeldegeheimnis, sondern allgemein durch datenschutzrechtliche Regelungen geschützt. Grundrechtlich unterfüttert werden diese durch das Recht auf informationelle Selbstbestimmung, welches durch das Bundesverfassungsgericht im sogenannten Volkszählungsurteil als Ausprägung des allgemeinen Persönlichkeitsrechts herausgebildet worden war.7 Es definiert die Befugnis jeder Person, im Grundsatz stets selbst darüber bestimmen zu können, ob ihre persönlichen Daten preisgegeben und wie und wofür sie verwendet werden.8 Weil aber das Recht auf informationelle Selbstbestimmung nach der Konzeption des Bundesverfassungsgerichts notwendig darauf beschränkt ist, vor gezielten und punktuellen Datenerhebungen durch den Staat zu schützen, greift es dann nicht, wenn staatliche Stellen beispielsweise den gesamten Computer eines Bürgers ausspähen oder überwachen. Um diese Schutzlücke zu schließen, entwickelte das Gericht in einer weitreichenden Entscheidung von 2008 das sogenannte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das verfassungsrechtlichen Schutz vor Online-Durchsuchungen gewährt.9 Sobald digitale Kommunikationsvorgänge also abgeschlossen und die sensiblen Informationen auf dem Rechner des Empfängers gespeichert sind, wird deren Vertraulichkeit nicht mehr durch das Fernmeldegeheimnis, sondern je nach Kontext durch eines der beiden vorgenannten Rechte geschützt. Auch diese beiden Grundrechte richten sich wiederum in zweierlei Hinsicht an den Staat. So ist er einerseits angehalten, sie nicht durch eigene, nicht gerechtfertigte Maßnahmen zu verletzen.10 Zum an deren hat er durch einfachgesetzliche Vorgaben dafür zu sorgen, dass auch private Akteure den Datenschutz achten.

Einfachgesetzliche Absicherungen und Vorgaben

Der weitere rechtliche Rahmen für die Sicherheit digitaler Kommunikation, aus dem Vorgaben sowohl für die Ausgestaltung der technischen als auch der organisatorischen Absicherung folgen, findet sich in einer Reihe einzelner Gesetze und Bestimmungen. Zu nennen ist hier zunächst vor allem das Bundesdatenschutzgesetz (BDSG), das sich mit der inhaltlichen Ebene von Kommunikation befasst und dann anzuwenden ist, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Es richtet sich sowohl an öffentliche Stellen auf Bundesebene als auch an privatwirtschaftliche Unternehmen, die mit solchen Daten befasst sind. Das Gesetz basiert auf dem oben erläuterten Grundrecht auf informationelle Selbstbestimmung und geht von der grundlegenden Annahme aus, dass stets in das Grundrecht eingegriffen wird, wenn persönliche Daten einer betroffenen Person verwendet werden.11 Dies ist gegeben, wenn digitale Kommunikationsmittel eingesetzt werden, um Informationen zu übermitteln – denn sie werden ja nicht einfach vom Computer des Senders zum Computer des Empfängers durchgeleitet, sondern auf dem Weg auf Servern der beteiligten Dienstleister zumindest vorübergehend gespeichert.

Die oben genannten Grundrechte sowie die Datenschutzgesetze werden durch strafrechtliche Vorschriften ergänzt. So stellt der § 202a des Strafgesetzbuchs das Ausspähen von Daten unter Strafe, die gespeichert und gegen unberechtigten Zugriff gesichert sind, während § 202b Strafgesetzbuch es sanktioniert, wenn jemand Daten, die nicht für ihn bestimmt sind, während einer nicht öffentlichen Datenübermittlung abfängt. Da der § 206 Strafgesetzbuch zudem ausdrücklich auch Verletzungen des Fernmeldegeheimnisses umfasst, sind damit sämtliche Phasen digitaler Kommunikationsvorgänge gegenüber unberechtigten Dritten strafrechtlich abgesichert. Darüber hinaus ist mit dem § 203 StGB allgemein die Verletzung von Privatgeheimnissen durch sogenannte Berufsgeheimnisträger wie Anwälte, Ärzte, Psychologen und weitere Berufsgruppen strafbewehrt. Auch das Bundesdatenschutzgesetz selbst umfasst Vorschriften, die Verstöße entweder mit Bußgeld oder sogar mit Strafe sanktionieren.12

Ab dem 25. Mai 2018 ist in Deutschland zudem die Datenschutzgrundverordnung (DSGVO) anzuwenden, die am 24. Mai 2016 in Kraft getreten ist und als Verordnung der Europäischen Union unmittelbare Geltung entfaltet. Das Bundesdatenschutzgesetz verliert seine Geltung nicht, muss aber den Vorgaben der DSGVO entsprechend angepasst werden.13 Auch die Verordnung enthält Bestimmungen, die für den Kontext der Sicherheit digitaler Kommunikation von Bedeutung sind.

Für digitale Kommunikation, die mittels elektronischer Signaturen abgesichert werden soll, um die beteiligten Kommunikationspartner sicher identifizieren zu können, sind Signaturgesetz (SigG) sowie Signaturverordnung (SigV) relevant. Sie regeln im Detail, welche technischen Anforderungen elektronische Signaturen allgemein erfüllen müssen, wenn sie für den elektronischen Rechtsverkehr von einer natürlichen Person, einem Unternehmen oder einer staatlichen Stelle verwendet werden. Darüber hinaus bestimmen sie, welche Qualitäts- und Sicherheitsstandards diejenigen Unternehmen zu erfüllen haben, die solche elektronischen Signaturen ausstellen.14 In diesem Bereich gilt seit dem 1. Juli 2016 zudem die europäische eIDAS-Verordnung, die unter anderem die Regeln in Bezug auf die elektronische Identifizierung europaweit einheitlich und verbindlich regelt. Signaturgesetz und -verordnung behalten allerdings ihre Gültigkeit, soweit sie der eIDAS-Verordnung nicht widersprechen.15

Das Problem der Durchsetzung

Rechtliche Absicherungen sind nur dann in der Lage, Systemvertrauen herzustellen bzw. abzusichern, wenn das Recht auch durchgesetzt wird. Dies ist in der digitalen Welt insbesondere im Hinblick auf die Drittwirkung der genannten Grundrechte und damit auf das Handeln privater Akteure wie beispielsweise von E-Mail-Dienstleistern nicht immer unproblematisch. So bemängeln Datenschutzbeauftragte, dass Verstöße gegen datenschutzrechtliche Bestimmungen kaum sanktioniert werden.16 Dies kann mitunter auch eine Folge des Umstands sein, dass (noch) nicht immer klar ist, wie sich bestimmte rechtliche Konstruktionen auf digitale Kommunikationsvorgänge übertragen lassen. So beharrt Google beispielsweise auf dem Standpunkt, das Fernmeldegeheimnis sei auf die Praxis des Scannens von E-Mails, die auf den Servern des Unternehmens (zwischen)gespeichert sind, nicht anwendbar, da es sich um automatisierte, also nicht unmittelbar durch Menschen gesteuerte Prozesse handelt.17

„Es gibt ja auch in anderen Bereichen klare rechtliche Bestimmungen, an die sich Unternehmen halten müssen. Dies kann durchaus auch ein Wettbewerbsvorteil sein und das Vertrauen stärken. Daher wäre es eine gute Idee, höhere Sicherheitsstandards für digitale Kommunikation auch gesetzlich durchzusetzen.“
Prof. Dr. Bernd Blöbaum, Institut für Kommunikationswissenschaft der Universität Münster; Sprecher des DFG-Graduiertenkollegs „Vertrauen und Kommunikation in einer digitalisierten Welt“, Konsultation

  1. Hanna Labrenz-Weiß, Abteilung M, MfS-Handbuch, Berlin 2005, S. 28, http://www.bstu.bund.de/DE/Wissen/Publikationen/Publikationen/handbuch_abt-m_labrenz-weiss.pdf?__blob=publicationFile. []
  2. Vgl. Wikipedia, Briefgeheimnis, https://de.wikipedia.org/wiki/Briefgeheimnis. []
  3. Bodo Pieroth und Bernhard Schlink, Grundrechte – Staatsrecht II, 23. Auflage, Heidelberg 2007, S. 191. []
  4. Ebd., S. 193. []
  5. Bundesverfassungsgericht, Sicherstellung und Beschlagnahme von E-Mails auf dem Mailserver des Providers nicht verfassungswidrig, Pressemitteilung Nr. 79/2009, 15. Juli 2009, http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg09-079.html. []
  6. Entscheidung des Bundesverfassungsgerichts im Fall „Kommunikationsdaten“, 2. März 2006, http://www.servat.unibe.ch/dfr/bv115166.html. []
  7. Entscheidung des Bundesverfassungsgerichts im Fall „Volkszählung“, 15. Dezember 1983, http://www.servat.unibe.ch/dfr/bv065001.html. []
  8. Claudio Franzius, Das Recht auf informationelle Selbstbestimmung, Zeitschrift für das juristische Studium 3/2015, S. 259. []
  9. 54 Ebd., S. 262f. []
  10. Nicht gerechtfertigt sind solche Maßnahmen insbesondere dann, wenn sie ohne gesetzliche Grundlage vorgenommen werden und/oder nicht verhältnismäßig sind. []
  11. Ebd., S. 41. []
  12. Siehe §§ 43, 44 Bundesdatenschutzgesetz; die Gesetze der Länder enthalten entsprechende Bestimmungen. []
  13. Winfried Veil, Datenschutz in der Mehrebenenfalle, CR-Online, 18. Mai 2017, http://www.cr-online.de/blog/2017/05/18/datenschutz-in-der-mehrebenenfalle/. []
  14. Heckmann, S. 42. []
  15. Bundesamt für Sicherheit in der Informationstechnik, Elektronische Signaturen, Siegel und Zeitstempel, https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/Elektronische_Signaturen_Siegel_und_Zeitstempel/Elektronische_Signaturen_Siegel_und_Zeitstempel_node.html. []
  16. Christiane Schulzki-Haddouti, Datenschutz-Verstöße werden sehr selten sanktioniert, Der Datenschutz-Blog, 4. April 2016, https://www.datenschutzbeauftragter-online.de/datenschutz-verstoesse-werden-sehr-selten-sanktioniert/9536/. []
  17. Bei Einführung von Googles E-Mail-Dienst Gmail im Jahr 2004 hatten Beauftragte für den Datenschutz verschiedener Länder die Ansicht vertreten, die Praxis, E-Mails zu Werbezwecken routinemäßig automatisiert zu scannen, verstoße gegen das Briefgeheimnis und das Recht auf Privatsphäre, vgl. RP Online, Staatsanwalt soll Google-Mail überprüfen, 18. Mai 2004, https://www.datenschutzbeauftragter-online.de/datenschutz-verstoesse-werden-sehr-seltensanktioniert/9536/; in einem Gerichtsprozess im kalifornischen San José im Jahr 2013 führte Google hingegen explizit aus, automatisierte Verarbeitung der E-Mails könne keine Verletzung der Rechte darstellen. Mehr noch: “Just as a sender of a letter to a business colleague cannot be surprised that the recipient’s assistant opens the letter, people who use web-based email today cannot be surprised if their communications are processed by the recipient’s ECS [electronic communications service] provider in the course of delivery.” Dominic Rushe, Google: Don’t Expect Privacy When Sending to Gmail, The Guardian, 15. August 2013, https://www.theguardian.com/technology/2013/aug/14/google-gmail-users-privacy-email-lawsuit. []