Eine Stunde mit Deinem Computer – oder: Grundlagen des IT-Grundrechts in der Praxis (c’t 20/2014, S. 85 ff.)

Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Dies ist der erste Leitsatz des Urteils des Bundesverfassungsgerichts vom 27.2.2008 (BVerfG, Urt. v. 27.2.2008 – BvR 370/07, NJW 2008, 822). Mit dem Urteil hat das Bundesverfassungsgericht ein „neues Grundrecht“ aus der Taufe gehoben, das – als Ausprägung des allgemeinen Persönlichkeitsrechts – zwischen den quasi darum herum angeordneten Grundrechten Fernmeldegeheimnis (Art. 10 GG), informationeller Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) und Unverletzlichkeit der Wohnung (Art. 13 GG) angesiedelt ist.

Das Urteil des Bundesverfassungsgerichts hat etwas Neues geschaffen und große Diskussion ausgelöst. Die Folgen in der (wahrnehmbaren) Praxis sind bisher eher gering geblieben (so auch Baum/Kurz/Schantz, FAZ v. 26.2.2013: „Das vergessene Grundrecht“).

Dennoch handelt es sich um ein wichtiges Urteil. Dies zeigt der aktuelle Titel der Zeitschrift c’t (20/2014), der ein eindrucksvolles Beispiel für die Sensibilität der durch tägliche Computernutzung entstehenden Datenmengen liefert (insb. Rittelmeier, „Wer ist Miriam?“, c’t 20/2014, S. 95). Im folgenden sollen die Ausführungen des Bundesverfassungsgerichts kurz dargestellt und am Beispiel von „Miriam“ aufgezeigt werden. Danach stelle ich die Frage nach den (persönlichen) Schlussfolgerungen.

1. Grund für den Schutz durch das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (IT-Grundrecht)

Das Bundesverfassungsgericht hat sich im Jahr 2008 – fachlich beraten durch Sachverständige (durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Andreas Bogk, Dirk Fox, Professor Dr. Felix Freiling, Professor Dr. Andreas Pfitzmann und Professor Dr. Ulrich Sieber, Rn. 129 des Urteils) – mit den Auswirkungen der sog. Online-Durchsuchung von Computern befasst (Rn. 171 ff.):

Die jüngere Entwicklung der Informationstechnik hat dazu geführt, dass informationstechnische Systeme allgegenwärtig sind und ihre Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung ist. … Heutige Personalcomputer können für eine Vielzahl unterschiedlicher Zwecke genutzt werden, etwa zur umfassenden Verwaltung und Archivierung der eigenen persönlichen und geschäftlichen Angelegenheiten, als digitale Bibliothek oder in vielfältiger Form als Unterhaltungsgerät.

Dabei handelt es sich nicht nur um Daten, die der Nutzer des Rechners bewusst anlegt oder speichert. Im Rahmen des Datenverarbeitungsprozesses erzeugen informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten, die ebenso wie die vom Nutzer gespeicherten Daten im Hinblick auf sein Verhalten und seine Eigenschaften ausgewertet werden können. In der Folge können sich im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten mit Bezug zu den persönlichen Verhältnissen, den sozialen Kontakten und den ausgeübten Tätigkeiten des Nutzers finden. Werden diese Daten von Dritten erhoben und ausgewertet, so kann dies weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen …

Bei einem vernetzten, insbesondere einem an das Internet angeschlossenen System werden diese Gefährdungen in verschiedener Hinsicht vertieft. Zum einen führt die mit der Vernetzung verbundene Erweiterung der Nutzungsmöglichkeiten dazu, dass gegenüber einem alleinstehenden System eine noch größere Vielzahl und Vielfalt von Daten erzeugt, verarbeitet und gespeichert werden. Dabei handelt es sich um Kommunikationsinhalte sowie um Daten mit Bezug zu der Netzkommunikation. Durch die Speicherung und Auswertung solcher Daten über das Verhalten der Nutzer im Netz können weitgehende Kenntnisse über die Persönlichkeit des Nutzers gewonnen werden. …

Ein Dritter, der auf ein solches System zugreift, kann sich einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein. Ein solcher Zugriff geht in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus.

…, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf Personalcomputer, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen.

2. Eine Stunde mit Deinem Computer

In der aktuellen c’t hat ein Computerforensiker den PC von „Miriam“ für eine Stunde in die Hand bekommen. Es handelte sich um ein Experiment, um herauszufinden, was der Forensiker in dieser kurzen Zeit über „Miriam“ herausfinden kann. Dabei lohnt sich zuvor ein Blick ins Editorial der c’t 20/2014 von Ingo T. Storm: Darin berichtet er von der Idee, doch einen Computer eines der Kollegen auf der Arbeit für eine Stunde untersuchen zu wollen, um darüber einen Artikel zu schreiben. Doch – oh Wunder – keiner der Kollegen ist begeistert davon:

… jeder seiner Kollegen hatte einen anderen Grund, warum SEIN PC für das Experiment doch lieber nicht zur Verfügung steht …

Die c’t-Redaktion hat doch jemanden gefunden, außerhalb der c’t, nämlich „Miriam“. Und was der Forensiker bei nur oberflächlicher Suche findet, ist tatsächlich beachtlich:

… auf den ersten Blick sticht mir eine Datei „adressen_firma.xls“ ins Auge, die anscheinend gelöscht wurde. Die Wiederherstellung kostet einen Klick. Es handelt sich um eine Excel-Tabelle mit Kontaktdaten von Kollegen, teilweise inklusive privater Nummern und Adressen.

Die Dame ist wohl verheiratet.

Ihre Aufgabe in der Firma kenne ich jetzt auch.

… dass ihr Mann „Mark“ heißt und mit Gebäudeplanung zu tun hat. …

Darin finde ich … Unterlagen zu allen bisherigen und dem aktuellen Arbeitgeber. Dabei Bewerbungen, Arbeitsverträge, Tabellen mit den gezahlten Gehältern.

Der Scan einer Bescheinigung zum Mutterschutz …

Fahrzeugschein …

Eine Datei „Kontakte Verlobung.csv“ liefert mir … einen Einblick in Miriams Bekanntenkreis.

[Das Verzeichnis] enthält die Steuererklärung eines Jahres (gemeinsame Veranlagung, ein Kind).

Ich beschließe, mich dem Verzeichnis „Bilder“ nur sehr oberflächlich zu widmen: … lasse ich nach gelöschen Bilddateien suchen … Bilder beim Stillen. Ein Bild oben ohne am Strand.

Der Artikel zeigt nicht nur, wie viel sich wie leicht mit Zugang zum Computer herausfinden lässt, darüber hinaus ist das Unbehagen des Untersuchenden praktisch zu spüren. Der Forensiker geht bewusst oberflächlich vor, liest keine E-Mails und hört vor Ablauf einer Stunde mit der Untersuchung auf. Er hat – auch über die oben genannten Daten hinaus – viel über „Miriam“, ihre Familie, ihren Beruf, ihre Kontakte etc. herausgefunden. Alles Daten, die ein genaues Bild über „Miriam“ ermöglichen und Ansatzpunkte für eventuelle weitere Maßnahmen (Phishing, Kontakt knüpfen durch V-Mann/Detektiv etc.) bereit halte.

3. Schlussfolgerung (?)

Der Artikel und der gesamte Titel der aktuellen c’t gibt (reichlich) Anlass, darüber nachzudenken, was auf dem eigenen Computer so alles schlummert. Bewerbungen und Lebenslauf hat vermutlich fast jeder auf dem Computer, zusätzlich Scans aller dafür benötigten Unterlagen. Über E-Mails, Adressbücher etc. lässt sich der Bekanntenkreis schnell herausfinden. Und Fotos, die nicht jeder sehen sollte (und wenn es nur das peinliche Party-Bild oder die schlechte Laune im letzten verregneten Urlaub ist), schlummern vermutlich auch auf der Festplatte – oder vielleicht der (vermutlich unverschlüsselten) Backup-Festplatte?

Das Problematische daran ist, dass der Trend zu mehr (auch lokalen) Daten geht. Wer geht denn ersthaft alle Jubeljahre die eigene Festplatte durch und löscht alte Bewerbungen, alte Lebensläufe, alte E-Mails, entfernt Bekannte aus dem Adressbuch, mit denen kein Kontakt mehr besteht etc.? Im Ergebnis sammeln wir selbst eine immer genauer werdende Geschichte unseren Lebens auf dem eigenen Computer.

Das Bundesverfassungsgericht hat 2008 diese Gefahren erkannt und den Einzelnen unter Schutz vor dem Zugriff durch die Staatsgewalt gestellt. Das Problem ist seither eher größer geworden. Denn unsere mobilen IT-Geräte (Smartphone, Tablet, Laptop, Wearables) begleiten uns immer mehr und sammeln (auch lokal) immer mehr Daten über uns. Die mobilen Geräte ersetzen nach und nach den heimischen PC und sind trotzdem weitaus angreifbarer als der in der Regel ausgeschaltete PC im Arbeitszimmer zu Hause. Wer unsere Geräte einsehen kann, kann leicht nachvollziehen, was wir getan haben, was uns bewegt – und was wir als nächstes tun werden?

Es lohnt sich, den Artikel und die übrigen Artikel des aktuellen Titels der c’t zu lesen. Es lohnt sich aber auch, darüber nachzudenken, was das für einen selbst bedeutet oder bedeuten sollte, also ob und welche Aktionen folgen sollten.

Für mich steht zumindest eines (allerdings schon länger) eindeutig fest: Einen Computer mit Festplatte werde ich nicht mehr verkaufen. Und vielleicht sollte ich doch mal meinen Computer (inklusive alter Backups) aufräumen …

Und zuletzt ist auch dieses Beispiel ein Anlass, sich weiter an der Debatte über digitale Bürgerrechte zu beteiligen. Oder mit Baum/Kurz/Schantz (FAZ v. 26.2.2013):

Wenn wir aber alles wissen können, geht es am Ende um die Frage, auf welche Informationen und welche Methoden wir bewusst verzichten wollen, auch wenn sie zur Abwehr terroristischer Gefahren oder der Bekämpfung von Kriminalität zumindest potentiell dienen könnten. Welche Schranken wir uns auferlegen, entscheidet darüber, ob auch die digital erfassten Gedanken in Zukunft noch frei sein werden.

S. auch:

 

Post teilen / share post: (wird möglicherweise durch Tracking-Blocker geblockt / may be blocked by tracking blocker such as Ghostery)

2 Gedanken zu „Eine Stunde mit Deinem Computer – oder: Grundlagen des IT-Grundrechts in der Praxis (c’t 20/2014, S. 85 ff.)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.