Fall: Die Online-Durchsuchung
Die Hamburger Bürgerschaft hat aufgrund der jüngsten Terrordrohungen eine Änderung des Hamburger Verfassungsschutzgesetzes (HmbVSG) beschlossen, die insbesondere die Befugnisse der Verfassungsschutzbehörde zu Datenerhebungen aus informationstechnischen Systemen und den Umgang mit den erhobenen Daten regelt. Die maßgebliche Vorschrift, § 5 Abs. 3a Nr. 11 HmbVSG, lautet:
§ 5 Befugnisse
(3a) Die Verfassungsschutzbehörde darf als nachrichtendienstliche Mittel die folgenden Maßnahmen anwenden: (..)
Nr. 11. Heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig.
Diese Vorschrift ermächtigt die Hamburger Verfassungsschutzbehörde damit zu zwei Arten von Ermittlungsmaßnahmen: Zum einen zum heimlichen Beobachten und sonstigen Aufklären des Internet (Alt. 1), zum anderen zum heimlichen Zugriff auf informationstechnische Systeme (Alt. 2). In der Gesetzesbegründung werden diese Begriffe und die Beweggründe zum Erlass der Vorschrift näher erläutert. Dort heißt es u.a.:
Internet-Überwachung
§ 5 Abs. 3a Nr. 11 Alt. 1 HmbVSG regelt, soweit die Vorschrift zum heimlichen Aufklären des Internet ermächtigt, zum einen die Kenntnisnahme allgemein zugänglicher Kommunikationsinhalte durch die Verfassungsschutzbehörde. Ein Beispiel dafür ist der Aufruf einer nicht zugangsgesicherten Webseite im Internet vermittels eines Webbrowsers. Darüber hinaus soll die Hamburger Verfassungsschutzbehörde durch die Ermächtigungsgrundlage in die Lage versetzt werden, unter einer Legende bspw. an Chats oder ähnlichen Seiten teilzunehmen und/oder verborgene Webseiten aufzufinden. Dazu soll auch zählen, dass die Verfassungsschutzbehörde ein anderweitig ermitteltes Passwort, das sie bspw. von einem Informanten oder durch sogenanntes Keylogging erhalten hat, einsetzt, um auf Email-Postfächer oder auf zugangsgeschützte Webseiten zuzugreifen. In derartigen Fällen würde die Verfassungsschutzbehörde damit Inhalte der Internetkommunikation auf dem äußerlich dafür vorgesehenen Weg zur Kenntnis nehmen.
Online-Durchsuchung
Demgegenüber ist unter einem “heimlichen Zugriff auf ein informationstechnisches System” eine technische Infiltration des Zielsystems zu verstehen. Die Infiltration nutzt dabei etwa bestehende Sicherheitslücken des Zielsystems aus. Auch denkbar ist, dass sie über die Installation eines Spähprogramms erfolgt.
Die Ermächtigung zur Infiltration des Zielsystems soll es der Hamburger Verfassungsschutzbehörde ermöglichen, dessen Nutzung zu überwachen, die Speichermedien durchzusehen oder ggf. auch das Zielsystem fernzusteuern. Diese Form der Infiltration (“Online-Durchsuchungen") soll insbesondere den bei der Terrorismusbekämpfung bestehenden Ermittlungsschwierigkeiten Rechnung tragen. Dabei ist zu beachten, dass insbesondere dann, wenn Personen, die extremistischen oder terroristischen Kreisen zuzurechnen sind, gespeicherte Dateien und Kommunikationsinhalte verschlüsseln oder verstecken, Ermittlungen mit konventionellen Methoden (bspw. die Beschlagnahme von informationstechnischen Systemen und Speichermedien oder die netzbasierte Telekommunikationsüberwachung) ganz erheblich erschwert und zum Teil gänzlich unmöglich ist.
Schläfer T (der einen deutschen Pass hat) befürchtet durch die § 5 III a Nr. 11 HmbVSG für sich und sein Fortkommen Nachteile, insbesondere da er eine Vielzahl von Kontakten zu Gleichgesinnten im Nahen und Mittleren Osten unterhält, die mit ihm sowohl über seine Privaträume, als auch über seine Geschäftsräume Kontakt halten.
Er beauftragt daher Sie als Rechtsanwalt, ihm ein umfassendes Gutachten zu der Frage zu erstellen, ob die in § 5 III a Nr. 11 HmbVSG vorgesehenen Ermächtigungen zur Internet-Überwachung und zur Online-Durchsuchung gegen seine Grundrechte verstoßen, da er ggf. eine Verfassungsbeschwerde erwägt. Da die Sache für den T eilt, sichern Sie gegen ein angemessenes, im Voraus entrichtetes Stundenhonorar verbindlich zu, die Angelegenheit in nicht mehr als fünf Zeitstunden umfassend zu begutachten. Der T lässt Sie beim Gehen, wohl bezogen auf die Einhaltung der Zeitvorgaben, noch wissen, dass er einflussreiche Freunde hat.
Bearbeitervermerk:
Es ist ein der Vereinbarung in inhaltlicher und zeitlicher Hinsicht entsprechendes Gutachten zu fertigen.
Weitere für die Fallbearbeitung relevante Vorschriften des HmbVSG:
§ 2 Aufgaben
(1) Aufgabe der Verfassungsschutzbehörde ist die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen über
1. Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind oder eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane des Bundes oder eines Landes oder ihrer Mitglieder zum Ziel haben,
2. sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht,
3. Bestrebungen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen auswärtige Belange der Bundesrepublik Deutschland gefährden,
4. Bestrebungen und Tätigkeiten, die gegen den Gedanken der Völkerverständigung (Artikel 9 Abs. 2 des Grundgesetzes) oder das friedliche Zusammenleben der Völker (Artikel 26 des Grundgesetzes) gerichtet sind, im Geltungsbereich des Grundgesetzes, soweit tatsächliche Anhaltspunkte für den Verdacht solcher Bestrebungen und Tätigkeiten vorliegen.
§ 6 Besondere Formen der Datenerhebung
(1) Die Verfassungsschutzbehörde darf zur Erfüllung ihrer Aufgaben Informationen, insbesondere personenbezogene Daten, durch Befragung von nichtöffentlichen Stellen und mit den Mitteln gemäß § 5 Abs. 3a erheben, wenn Tatsachen die Annahme rechtfertigen, dass
1. auf diese Weise Erkenntnisse über Bestrebungen oder Tätigkeiten nach § 2 Abs. 1 oder die zur Erlangung solcher Erkenntnisse erforderlichen Quellen gewonnen werden können oder
2. dies zum Schutz der Mitarbeiter, Einrichtungen, Gegenstände und Quellen der Verfassungsschutzbehörde gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten erforderlich ist.
§ 5 Befugnisse
(3a) Die Verfassungsschutzbehörde darf als nachrichtendienstliche Mittel die folgenden Maßnahmen anwenden: (..)
Nr. 11. Heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig.
Diese Vorschrift ermächtigt die Hamburger Verfassungsschutzbehörde damit zu zwei Arten von Ermittlungsmaßnahmen: Zum einen zum heimlichen Beobachten und sonstigen Aufklären des Internet (Alt. 1), zum anderen zum heimlichen Zugriff auf informationstechnische Systeme (Alt. 2). In der Gesetzesbegründung werden diese Begriffe und die Beweggründe zum Erlass der Vorschrift näher erläutert. Dort heißt es u.a.:
Internet-Überwachung
§ 5 Abs. 3a Nr. 11 Alt. 1 HmbVSG regelt, soweit die Vorschrift zum heimlichen Aufklären des Internet ermächtigt, zum einen die Kenntnisnahme allgemein zugänglicher Kommunikationsinhalte durch die Verfassungsschutzbehörde. Ein Beispiel dafür ist der Aufruf einer nicht zugangsgesicherten Webseite im Internet vermittels eines Webbrowsers. Darüber hinaus soll die Hamburger Verfassungsschutzbehörde durch die Ermächtigungsgrundlage in die Lage versetzt werden, unter einer Legende bspw. an Chats oder ähnlichen Seiten teilzunehmen und/oder verborgene Webseiten aufzufinden. Dazu soll auch zählen, dass die Verfassungsschutzbehörde ein anderweitig ermitteltes Passwort, das sie bspw. von einem Informanten oder durch sogenanntes Keylogging erhalten hat, einsetzt, um auf Email-Postfächer oder auf zugangsgeschützte Webseiten zuzugreifen. In derartigen Fällen würde die Verfassungsschutzbehörde damit Inhalte der Internetkommunikation auf dem äußerlich dafür vorgesehenen Weg zur Kenntnis nehmen.
Online-Durchsuchung
Demgegenüber ist unter einem “heimlichen Zugriff auf ein informationstechnisches System” eine technische Infiltration des Zielsystems zu verstehen. Die Infiltration nutzt dabei etwa bestehende Sicherheitslücken des Zielsystems aus. Auch denkbar ist, dass sie über die Installation eines Spähprogramms erfolgt.
Die Ermächtigung zur Infiltration des Zielsystems soll es der Hamburger Verfassungsschutzbehörde ermöglichen, dessen Nutzung zu überwachen, die Speichermedien durchzusehen oder ggf. auch das Zielsystem fernzusteuern. Diese Form der Infiltration (“Online-Durchsuchungen") soll insbesondere den bei der Terrorismusbekämpfung bestehenden Ermittlungsschwierigkeiten Rechnung tragen. Dabei ist zu beachten, dass insbesondere dann, wenn Personen, die extremistischen oder terroristischen Kreisen zuzurechnen sind, gespeicherte Dateien und Kommunikationsinhalte verschlüsseln oder verstecken, Ermittlungen mit konventionellen Methoden (bspw. die Beschlagnahme von informationstechnischen Systemen und Speichermedien oder die netzbasierte Telekommunikationsüberwachung) ganz erheblich erschwert und zum Teil gänzlich unmöglich ist.
Schläfer T (der einen deutschen Pass hat) befürchtet durch die § 5 III a Nr. 11 HmbVSG für sich und sein Fortkommen Nachteile, insbesondere da er eine Vielzahl von Kontakten zu Gleichgesinnten im Nahen und Mittleren Osten unterhält, die mit ihm sowohl über seine Privaträume, als auch über seine Geschäftsräume Kontakt halten.
Er beauftragt daher Sie als Rechtsanwalt, ihm ein umfassendes Gutachten zu der Frage zu erstellen, ob die in § 5 III a Nr. 11 HmbVSG vorgesehenen Ermächtigungen zur Internet-Überwachung und zur Online-Durchsuchung gegen seine Grundrechte verstoßen, da er ggf. eine Verfassungsbeschwerde erwägt. Da die Sache für den T eilt, sichern Sie gegen ein angemessenes, im Voraus entrichtetes Stundenhonorar verbindlich zu, die Angelegenheit in nicht mehr als fünf Zeitstunden umfassend zu begutachten. Der T lässt Sie beim Gehen, wohl bezogen auf die Einhaltung der Zeitvorgaben, noch wissen, dass er einflussreiche Freunde hat.
Bearbeitervermerk:
Es ist ein der Vereinbarung in inhaltlicher und zeitlicher Hinsicht entsprechendes Gutachten zu fertigen.
Weitere für die Fallbearbeitung relevante Vorschriften des HmbVSG:
§ 2 Aufgaben
(1) Aufgabe der Verfassungsschutzbehörde ist die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen über
1. Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind oder eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane des Bundes oder eines Landes oder ihrer Mitglieder zum Ziel haben,
2. sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht,
3. Bestrebungen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen auswärtige Belange der Bundesrepublik Deutschland gefährden,
4. Bestrebungen und Tätigkeiten, die gegen den Gedanken der Völkerverständigung (Artikel 9 Abs. 2 des Grundgesetzes) oder das friedliche Zusammenleben der Völker (Artikel 26 des Grundgesetzes) gerichtet sind, im Geltungsbereich des Grundgesetzes, soweit tatsächliche Anhaltspunkte für den Verdacht solcher Bestrebungen und Tätigkeiten vorliegen.
§ 6 Besondere Formen der Datenerhebung
(1) Die Verfassungsschutzbehörde darf zur Erfüllung ihrer Aufgaben Informationen, insbesondere personenbezogene Daten, durch Befragung von nichtöffentlichen Stellen und mit den Mitteln gemäß § 5 Abs. 3a erheben, wenn Tatsachen die Annahme rechtfertigen, dass
1. auf diese Weise Erkenntnisse über Bestrebungen oder Tätigkeiten nach § 2 Abs. 1 oder die zur Erlangung solcher Erkenntnisse erforderlichen Quellen gewonnen werden können oder
2. dies zum Schutz der Mitarbeiter, Einrichtungen, Gegenstände und Quellen der Verfassungsschutzbehörde gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten erforderlich ist.
Die Ermächtigungen zur Internet-Überwachung (Alt. 1) und zur Online-Durchsuchung (Alt. 2) nach § 5 III a Nr. 11 HmbVSG verstoßen dann gegen ein Grundrecht des T, wenn ein nicht gerechtfertigter Eingriff in den Schutzbereich eines solchen vorliegt. Insoweit ist zwischen den beiden Alternativen zu unterscheiden.
1. Teil: Der heimliche Zugriff auf informationstechnische Systeme (Alt. 2)
Der heimliche Zugriff auf informationstechnische Systeme (“Online-Durchsuchung”) könnte gegen Art. 13 I GG, Art. 10 I GG und Art. 2 I i.V.m. 1 I GG verstoßen.
A. Verstoß gegen Art. 13 I GG
In Betracht kommt insoweit zunächst ein Verstoß gegen Art. 13 I GG.
I. Schutzbereich betroffen
Dafür müsste zunächst der Schutzbereich des Art. 13 I GG betroffen sein. In persönlicher Hinsicht schützt Art. 13 I GG jedermann, so dass sich auch der T, auf dieses Grundrecht berufen kann.
In sachlicher Hinsicht schützt Art. 13 I GG die Wohnung. Wohnung in diesem Sinne ist jeder nicht allgemein zugängliche, feststehende Raum, der zur Stätte des Aufenthalts von Menschen gemacht wird. Dazu zählen hier auch die Privaträume des T, so dass diese dem Schutzbereich des Art. 13 I GG unterfallen. Neben Privatwohnungen fallen auch Betriebs- und Geschäftsräume in den Schutzbereich des Art. 13 I GG, so dass sich der T auch insoweit auf den Schutz des Art. 13 GG berufen kann.
Der Umstand, dass es bei der Online-Durchsuchung regelmäßig an einem physischen Eindringen in die Wohnung fehlt, steht einer Betroffenheit des Schutzbereichs nicht entgegen, denn ein solches ist für den Schutz aus Art. 13 I GG nicht zwingend erforderlich, wie ein Vergleich mit Art. 13 III GG zeigt.
Bedenken gegen die Betroffenheit des Schutzbereichs bestehen hier aber insoweit, als Art. 13 I GG nur einen “raumbezogenen” Schutz (der Privatshäre) vermittelt. Es muss also ein räumlicher Bezug des von Art. 13 I GG (noch) geschützten Bereichs zur Wohnung bestehen. Daran fehlt es bei der Online-Durchsuchung, denn der Eingriff in das informationstechnische System kann unabhängig vom Standort erfolgen (bspw. ein Zugriff auf die einem Server oder Laptop gespeicherten Emails oder sonstigen Daten), so dass ein raumbezogener Schutz nicht in der Lage ist, die spezifische Gefährdung des informationstechnischen Systems abzuwehren. Art. 13 I GG vermittelt damit dem Einzelnen keinen generellen, von den Zugriffsmodalitäten unabhängigen Schutz gegen die Infiltration seines informationstechnischen Systems, auch wenn sich dieses System in einer Wohnung befindet.
Damit ist vorliegend der Schutzbereich des Art. 13 I GG in Bezug auf den heimlichen Zugriff auf informationstechnische Systeme (“Online-Durchsuchung”) nicht betroffen, so dass ein Verstoß gegen Art. 13 I GG (schon) von daher nicht in Betracht kommt.
II. Zwischenergebnis
Ein Verstoß gegen Art. 13 1 GG ist nicht gegeben.
B. Verstoß gegen Art. 10 I GG
Es könnte jedoch ein nicht gerechtfertigter Eingriff in den Schutzbereich des Art. 10 I GG vorliegen.
I. Schutzbereich betroffen
Zunächst müsse der Schutzbereich des Art. 10 I GG betroffen sein. In persönlicher Hinsicht handelt es sich um ein Jedermann-Grundrecht, so dass insoweit der Schutzbereich hier betroffen ist.
Fraglich ist aber, ob auch der sachliche Schutzbereich des Art. 10 I GG betroffen ist. Insoweit ist zunächst einmal festzustellen, dass “Telekommunikationsgeheimnis” des Art. 10 I GG die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs schützt. Dazu gehören auch die Kommunikationsdienste des Internet. Zudem sind nicht nur die Inhalte der Telekommunikation vor einer Kenntnisnahme geschützt, sondern auch ihre Umstände. Zu ihnen gehört insbesondere auch, wann und wie oft zwischen welchen Personen oder Telekommunikationseinrichtungen Telekommunikationsverkehr stattgefunden hat.
Damit sind Maßnahmen, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, an Art. 10 I GG zu messen. Dabei ist dessen Schutzbereich unabhängig davon betroffen, ob die Maßnahme technisch auf der Übertragungsstrecke oder am Endgerät der Telekommunikation ansetzt.
Der Grundrechtsschutz des Art. 10 I GG erstreckt sich aber nicht auf die nach Abschluss eines Kommunikationsvorgangs im Herrschaftsbereich eines Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Telekommunikation soweit dieser eigene Schutzvorkehrungen gegen den heimlichen Datenzugriff treffen kann. Der durch das Telekommunikationsgeheimnis bewirkte Schutz besteht ebenfalls nicht, wenn eine staatliche Stelle die Nutzung eines informationstechnischen Systems als solche überwacht oder die Speichermedien des Systems durchsucht. Hinsichtlich der Erfassung der Inhalte oder Umstände außerhalb der laufenden Telekommunikation ist Art. 10 I GG selbst dann nicht betroffen, wenn zur Übermittlung der erhobenen Daten an die auswertende Behörde eine Telekommunikationsverbindung genutzt wird, wie dies etwa bei einem Online-Zugriff auf gespeicherte Daten der Fall ist
Gerade mit Blick auf die technische Infiltration eines informationstechnischen Systems lässt sich feststellen: Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert, so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist. Insbesondere können auch die auf dem Personalcomputer abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des Systems aufweisen. Erfasst werden können insbesondere auch der Inhalt angelegter Dateien. In der Folge besteht für den Beroffenen - anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung - stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit, die insbesondere darin liegen, dass die Online-Durchsuchung ausschließlich oder zumindest im Schwerpunkt nicht den Kommunikationsvorgang, sondern die infolge der Kommunikation gespeicherten Daten betrifft, kann durch Art. 10 I GG nicht oder nicht hinreichend begegnet werden. Damit unterfällt die Vertraulichkeit und Integrität von informationstechnischen Systemen bzgl. der hier in Rede stehenden Form der Online-Durchsuchung nicht dem Schutzbereich des Art. 10 I GG.
C. Verstoß gegen Art. 2 1 i. V.m. 1 I GG
Es könnte aber ein Verstoß gegen das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG vorliegen.
1. Schutzbereich betroffen
Das allgemeine Persönlichkeitsrecht schützt die freie Entfaltung der Persönlichkeit. Hierzu haben sich in der Rechtsprechung des Bundesverfassungsgerichts (nicht abschließende) Fallgruppen herausgebildet, in denen der Schutzbereich betroffen ist (bspw. das Recht am eigenen Bild, das Recht am eigenen Wort, das Recht am Namen, der Schutz der persönlichen Ehre, das Recht auf Gegendarstellung, Schutz der Privatsphäre, das Recht auf informationelle Selbstbestimmung).
1. Bekannte Fallgruppen
Fraglich ist, ob hier eine dieser “bekannten” Fallgruppen betroffen ist.
a) Schutz der Privatsphäre
In Betracht kommt hier zunächst die Fallgruppe des Schutzes der Privatsphäre. Der Schutz der Privatsphäre erfasst Angelegenheiten, die typischerweise als privat eingestuft werden. Es wird somit über den Schutz der Privatsphäre ein räumlich und thematisch bestimmter Bereich gewährleistet, welcher grundsätzlich frei von unerwünschter Einsichtnahme bleiben soll. Dabei ist zu beachten, dass sich das Schutzbedürfnis des Nutzers eines informationstechnischen Systems jedoch nicht allein auf Daten beschränkt, die seiner Privatsphäre zuzuordnen sind, denn mit der Infiltration des Systems werden zwangsläufig nicht nur private Daten erfasst, sondern es wird der Zugriff auf alle Daten ermöglicht. Gerade in diesem Zugriff auf alle Daten liegt aber die spezifische Gefahr, dass sich ein umfassendes Bild vom Nutzer des Systems ergibt bzw. erstellt werden kann. Diese Gefahr ist über den Schutz, den die Fallgruppe “Schutz der Privatsphäre” im Hinblick auf die allein der Privatsphäre zuzuordnenden Daten bietet, nicht abgedeckt, so dass diese Fallgruppe im Hinblick auf die Online-Durchsuchung nicht einschlägig ist.
b) Recht auf informationelle Selbstbestimmung
In Betracht kommt weiter eine Betroffenheit des Rechts auf informationelle Selbstbestimmung. Dieses gibt dem Einzelnen die Befugnis, selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen. Der Schutzumfang des Rechts auf informationelle Selbstbestimmung ist dabei nicht auf Informationen beschränkt, die bereits ihrer Art nach sensibel sind und schon deshalb grundrechtlich geschützt werden. Auch der Umgang mit personenbezogenen Daten, die für sich genommen nur geringen Informationsgehalt haben, kann, je nach dem Ziel des Zugriffs und den bestehenden Verarbeitungs- und Verknüpfungsmöglichkeiten, grundrechtserhebliche Auswirkungen auf die Privatheit und Verhaltensfreiheit des Betroffenen haben. Dabei trägt jedoch das Recht auf informationelle Selbstbestimmung, das einzelne Datenerhebungen schützt, den Persönlichkeitsgefährdungen nicht vollständig Rechnung, die sich daraus ergeben, dass der Einzelne zu seiner Persönlichkeitsentfaltung auf die Nutzung informationstechnischer Systeme angewiesen ist und dabei dem System persönliche Daten anvertraut oder schon allein durch dessen Nutzung zwangsläufig liefert. Ein Dritter, der auf ein solches System zugreift, kann sich einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein. Ein solcher Zugriff geht in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus (vgl. BVerfGE 120, 274). Das Recht auf informationelle Selbstbestimmung schützt damit (nur) vor einzelnen Datenerhebungen und insoweit insbesondere vor dem Zugriff auf personenbezogene Informationen. Die Online-Durchsuchung hingegen greift nicht auf einzelne Datensätze, sondern auf Datenmassen zu und ist unabhängig vom Personenbezug der so ermittelten Daten. Die Fallgruppe des Rechts auf informationelle Selbstbestimmung erfasst damit die Online-Durchsuchung nicht.
2. Neue Fallgruppe: Vertraulichkeit und Integrität informationstechnischer Systeme
Die vorgenannten, bisher von der Rechtsprechung zu Art. 2 I i.V.m. I 1 GG entwickelten Fallgruppen sind indes nicht abschließend (s.o.), so dass auch ein nicht in diese Fallgruppen fallendes staatliches Verhalten den Schutzbereich des Art. 2 I i.V.m. I 1 GG betreffen kann. Fraglich ist, ob das für die Maßnahme der Online-Durchsuchung der Fall ist.
Es müsste insoweit ein hinsichtlich der Gefährdung des Einzelnen in Bezug auf Art. 2 I i.V.m. I 1 GG mit den bisherigen Fallgruppen (mindestens) vergleichbarer Fall vorliegen.
In Bezug auf den dargelegten Umstand, dass der Einzelne heutzutage auf die Benutzung von informationstechnischen Systemen gewissermaßen angewiesen ist und er dabei zwangsläufig auch persönliche Daten in diese Systeme eingibt, die dann in Verbindung mit den weiteren eingegebenen Daten einen potentiell äußerst großen und aussagekräftigen Datenbestand ergeben (s.o.), geht ein Zugriff in diesen Bestand in seinem Gewicht für die Persönlichkeit des Betroffenen noch über dasjenige Gewicht eines Zugriffs auf einzelne Datenerhebungen und damit über den Schutz, den das Recht auf informationelle Selbstbestimmung bietet, hinaus. Insofern ist auch eine mindestens vergleichbare, wenn nicht gar wesentlich höhergradige Gefährdungslage gegeben.
Liegt damit ein vergleichbarer Fall vor, so ist dieser ebenfalls an Art. 2 I i.V.m. 1 I GG zu messen. Für diese neue Fallgruppe entwickelte das Bundesverfassungsgericht das sog. “Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme". Dieses Recht bewahrt den persönlichen und privaten Lebensbereich der Grundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik auch insoweit, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten. Wegen seiner Abgrenzung zum Recht auf informationelle Selbstbestimmung (dort: Zugriff auf einzelne Datensätze, hier: Zugriff auf Datenmengen, s.o.) erstreckt sich das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme aber nur auf Systeme, die der massenweisen Speicherung von Daten dienen (PC, Speicherchips in Handys, elektronische Terminkalender usw.).
Dabei ist wiederum zu beachten, dass nicht bei jedem informationstechnischen System die beschriebene Gefährdungslage besteht. Soweit ein derartiges System lediglich Daten mit punktuellem Bezug zu einem bestimmten Lebensbereich des Betroffenen enthält (zum Beispiel nicht vernetzte elektronische Steuerungsanlagen der Haustechnik), unterscheidet sich ein staatlicher Zugriff auf den vorhandenen Datenbestand qualitativ nicht von anderen Datenerhebungen. In einem solchen Fall reicht der Schutz durch das Recht auf informationelle Selbstbestimmung aus, um die berechtigten Geheimhaltungsinteressen des Betroffenen zu wahren.
Demgegenüber ist das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme betroffen, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten (Bsp. Personalcomputer, Mobiltelefone und elektronische Terminkalender die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können).
Geschützt vom Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist das Interesse des Nutzers, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben. Eine Betroffenheit dieser Fallgruppe ist insbesondere dann anzunehmen, wenn die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können, denn dann ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen. Diese Fallgruppe schützt insoweit insbesondere vor einem heimlichen Zugriff.
Darüber hinaus schützt erfasst die Fallgruppe auch Datenerhebungen mit Mitteln, die zwar technisch von den Datenverarbeitungsvorgängen des betroffenen informationstechnischen Systems unabhängig sind, aber diese Datenverarbeitungsvorgänge zum Gegenstand haben. So liegt es etwa bei einem Einsatz von sog. "Hardware-Keyloggern" oder bei einer Messung der elektromagnetischen Abstrahlung von Bildschirm oder Tastatur (vgl. BVerfGE 120, 274).
II. Eingriff
§ 5 IIIa Nr. 11 2. Alt. HmbVSG ermöglicht auch und gerade einen Zugriff auf derartige Massenspeicher. In einem derartigen Zugriff liegt eine Verkürzung des beschriebenen Schutzbereichs des Rechts auf Integrität und Vertraulichkeit informationstechnischer Systeme, so dass ein Eingriff gegeben ist.
III. Verfassungsrechtliche Rechtfertigung
Der Eingriff ist verfassungsrechtlich gerechtfertigt, wenn er von den Schranken des Grundrechts gedeckt ist.
1. Festlegung der Schranke
Zu den Schranken des allgemeinen Persönlichkeitsrechts gehört insbesondere die in Art. 2 I GG genannte "verfassungsmäßige Ordnung". Darunter ist jedes Gesetz zu verstehen. Es liegt mithin ein einfacher Gesetzesvorbehalt vor.
§ 5 IIIa Nr. 11 HmbVSG ist ein Parlamentsgesetz und damit grundsätzlich taugliche Schranke des Grundrechts aus Art. 2 I i.V.m. Art. 1 I GG.
2. Verfassungsmäßigkeit der Rechtsgrundlage
Das eingreifende Gesetz muss verfassungskonform, d.h. formell und materiell verfassungsgemäß, sein.
a) Formelle Verfassungsmäßigkeit
Für das Gegebensein der formellen Verfassungsmäßigkeit müssten bzgl. des Gesetzes Zuständigkeit, Verfahren und Form gewahrt worden sein. Insoweit bestehen hier keine Bedenken. Insbesondere folgt die Gesetzgebungskompetenz des Landes Hamburg aus Art. 70 GG, da es sich um eine Vorschrift handelt, die der Gefahrenabwehr dient. Dafür ist eine Bundeskompetenz nach den Art. 71 ff. GG nicht ersichtlich.
b) Materielle Verfassungsmäßigkeit
§ 5 IIIa Nr. 11 2. Alt. HmbVSG müsste auch materiell verfassungsgemäß sein. Dazu müsste die Norm verhältnismäßig sein und den sonstigen verfassungsrechtlichen Anforderungen, insbesondere der Art. 19, 20 GG, genügen.
aa) Verhältnismäßigkeit
§ 5 IIIa Nr. 11 2. Alt. HmbVSG könnte gegen den aus Art. 20 III GG ableitbaren Verhältnismäßigkeitsgrundsatz verstößt. Verhältnismäßig ist eine Norm, die zur Erreichung eines legitimen Zwecks geeignet, erforderlich und angemessen ist.
(1) Legitimer Zweck
§ 5 IIIa Nr. 11 2. Alt. HmbVSG dient, ausweislich der Begründung, der Verfassungsschutzbehörde zur Erfüllung ihrer Aufgabe, gegenwärtig vor allem im Zusammenhang mit der Bekämpfung des Terrorismusses, und damit insbesondere der Sicherung der freiheitlichen demokratischen Grundordnung und des Bestandes von Bund und Ländern. Die Vorschrift verfolgt damit einen legitimen Zweck.
(2) Geeignetheit
§ 5 IIIa Nr. 11 2. Alt. HmbVSG müsste geeignet, das heißt diesem Zweck förderlich sein. Der heimliche Zugriff auf informationstechnische Systeme unterstützt und ermöglicht die zeitgemäße Wahrnehmung des Verfassungsschutzes und ermöglicht so auch eine effektivere Terrorismusbekämpfung und Aufklärung von Bedrohungslagen. Damit ist die Vorschrift zur Erreichung ihres Zwecks auch förderlich, mithin geeignet.
(3) Erforderlichkeit
Ferner müsste § 5 IIIa Nr. 11 2. Alt. HmbVSG auch erforderlich sein, das heißt, es dürfte kein milderes Mittel gleicher Eignung geben. Insoweit ist zu beachten, dass dem Gesetzgeber bei der Beurteilung der Eignung eine Einschätzungsprärogative zusteht. Da es nicht offensichtlich ein anderes, milderes Mittel gleicher Eignung gibt, ist hier nicht ersichtlich, dass der Rahmen dieser Einschätzungsprärogative vorliegend überschritten wäre. Im Rahmen seiner Einschätzungsprärogative durfte der Gesetzgeber mithin vertretbar annehmen, dass kein ebenso wirksamer, aber den Betroffenen weniger belastender Weg gegeben ist, die auf solchen Systemen vorhandenen Daten zu erheben. Damit ist auch die Erforderlichkeit gegeben.
(4) Angemessenheit
§ 5 IIIa Nr. 11 2. Alt. HmbVSG müsste auch angemessen, also verhältnismäßig im engeren Sinne sein. Dazu darf die Schwere des Eingriffs in die jeweiligen Individualinteressen bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Interessen der Allgemeinheit stehen.
(a) Gewicht der beeinträchtigten Güter
Für die insoweit notwendige Güterabwägung ist insbesondere das Gewicht der beeinträchtigten Güter (m.a.W. die Schwere des Eingriffs) zu bestimmen.
Zu prüfen ist daher, welches Gewicht der mit der Online-Durchsuchung verbundene Eingriff in das allgemeine Persönlichkeitsrecht hat.
Insoweit ist zunächst zu berücksichtigen, dass der Staat über diese Möglichkeit einen Zugriff auf sehr umfangreiches Datenmaterial bekommt. Wie bereits dargelegt, weist eine solche staatliche Datenerhebung aus komplexen informationstechnischen Systemen ein erhebliches Potential für die Ausforschung der Persönlichkeit des Betroffenen auf, da die entsprechenden Geräte in aller Regel bewusst zum Speichern auch persönlicher Daten von gesteigerter Sensibilität, etwa in Form privater Text-, Bild- oder Tondateien, genutzt werden. Ein staatlicher Zugriff auf einen derart umfassenden Datenbestand ist mit dem naheliegenden Risiko verbunden, dass die erhobenen Daten in einer Gesamtschau weitreichende Rückschlüsse auf die Persönlichkeit des Betroffenen bis hin zu einer Bildung von Verhaltens- und Kommunikationsprofilen ermöglichen (vgl. BVerfGE 120, 274). Schon von daher ist davon auszugehen, dass der mit der Online-Durchsuchung verbundene Eingriff in das allgemeine Persönlichkeitsrecht von ganz erheblichem Gewicht ist.
Soweit Daten erhoben werden, die Aufschluss über die Kommunikation des Betroffenen mit Dritten geben, wird die Intensität des Grundrechtseingriffs dadurch weiter erhöht, dass die - auch im Allgemeinwohl liegende - Möglichkeit der Bürger beschränkt wird, an einer unbeobachteten Fernkommunikation teilzunehmen. Eine Erhebung solcher Daten beeinträchtigt mittelbar die Freiheit der Bürger, weil die Furcht vor Überwachung, auch wenn diese erst nachträglich einsetzt, eine unbefangene Individualkommunikation verhindern kann. Zudem weisen solche Datenerhebungen insoweit eine beträchtliche, das Gewicht des Eingriffs erhöhende Streubreite auf, als mit den Kommunikationspartnern der Zielperson notwendigerweise Dritte erfasst werden, ohne dass es darauf ankäme, ob in deren Person die Voraussetzungen für einen derartigen Zugriff vorliegen. Die Eingriffsintensität des geregelten Zugriffs wird weiter durch dessen Heimlichkeit bestimmt (vgl. BVerfGE 120, 274).
Das Gewicht des Eingriffs wird schließlich dadurch geprägt, dass infolge des Zugriffs Gefahren für die Integrität des Zugriffsrechners sowie für Rechtsgüter des Betroffenen oder auch Dritter begründet werden. Es kann nicht ausgeschlossen werden, dass der Zugriff selbst bereits Schäden auf dem Rechner verursacht. Sowohl die zugreifende Stelle als auch Dritte, die eventuell das Zugriffsprogramm missbrauchen, können aufgrund der Infiltration des Zugriffsrechners Datenbestände versehentlich oder sogar durch gezielte Manipulationen löschen, verändern oder neu anlegen. Dies kann den Betroffenen in vielfältiger Weise mit oder ohne Zusammenhang zu den Ermittlungen schädigen (vgl. BVerfGE 120, 274).
Nach allem ist davon auszugehen, dass der mit der Online-Durchsuchung verbundene Eingriff in das allgemeine Persönlichkeitsrecht insgesamt von sehr erheblichem Gewicht ist.
(b) Güterabwägung / Herstellung praktischer Konkordanz
Den soeben dargelegten Individualinteressen steht die Schutzpflicht des Staates vor terroristischen Gruppierungen/Anschlägen und einer Gefährdung des Staates insgesamt gegenüber. In diesem Spannungsverhältnis (zwischen der Pflicht des Staates zum Rechtsgüterschutz und dem Interesse des Einzelnen an der Wahrung seiner von der Verfassung verbürgten Rechte) gehört es zur Aufgabe des Gesetzgebers, in abstrakter Weise einen Ausgleich der widerstreitenden Interessen zu erreichen. Dies kann dazu fuhren, dass bestimmte intensive Grundrechtseingriffe nur zum Schutz bestimmter Rechtsgüter und erst von bestimmten Verdachts- oder Gefahrenstufen an vorgesehen werden dürfen.
Im Hinblick auf die Online-Durchsuchung ist insoweit zu beachten, dass der Eingriff in das allgemeine Persönlichkeitsrecht ein sehr erhebliches Gewicht hat (s.o.). Dies führt hier dazu, dass an die Zulässigkeit eines Eingriffs besondere Anforderungen zu stellen sind. Insoweit fordert das Bundesverfassungsgericht im Hinblick auf Online-Durchsuchungen insbesondere die Beachtung folgender "Eingriffsschwellen", die das eingreifende Gesetz beachten muss, um den Eingriff zu rechtfertigen.
(aa) Schutz überragend wichtiger Rechtsgüter
Die Online Durchsuchung darf nur gesetzlich nur vorgesehen werden, wenn die Eingriffsermächtigung sie davon abhängig macht, dass tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut vorliegen. Überragend wichtig sind zunächst Leib, Leben und Freiheit der Person. Ferner sind überragend wichtig solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Hierzu zählt etwa auch die Funktionsfähigkeit wesentlicher Teile existenzsichernder öffentlicher Versorgungseinrichtungen.
Zum Schutz sonstiger Rechtsgüter Einzelner oder der Allgemeinheit in Situationen, in denen eine existentielle Bedrohungslage nicht besteht, ist eine staatliche Maßnahme grundsätzlich nicht angemessen, durch die - wie hier - die Persönlichkeit des Betroffenen einer weitgehenden Ausspähung durch die Ermittlungsbehörde preisgegeben wird (vgl. BVerfGE 120, 274).
(bb) Hinreichend konkrete Gefahr
Ferner muss die gesetzliche Ermächtigungsgrundlage weiter als Voraussetzung des heimlichen Zugriffs vorsehen, dass zumindest tatsächliche Anhaltspunkte einer konkreten Gefahr für die hinreichend gewichtigen Schutzgüter der Norm bestehen. Vermutungen oder allgemeine Erfahrungssätze reichen allein nicht aus, um den Zugriff zu rechtfertigen.
(cc) Richtervorbehalt
Weiter ist dem Gewicht des Grundrechtseingriffs der Online-Durchsuchung durch geeignete Verfahrensvorkehrungen Rechnung zu tragen. Insbesondere ist der Zugriff grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen (Ausnahme: Eilfälle).
(dd) Kernbereich privater Lebensgestaltung unantastbar
Überdies ist zu beachten, dass heimliche Überwachungsmaßnahmen staatlicher Stellen einen unantastbaren Kernbereich privater Lebensgestaltung zu wahren haben. Dessen Schutz ergibt sich aus Art. 1 I GG. Ein Eingriff in ihn können selbst überwiegende Interessen der Allgemeinheit nicht rechtfertigen.
Bezogen auf die Online-Durchsuchung besteht die Gefahr, dass die handelnde staatliche Stelle persönliche Daten erhebt, die dem Kernbereich zuzuordnen sind. So kann der Betroffene das System dazu nutzen, Dateien höchstpersönlichen Inhalts, etwa tagebuchartige Aufzeichnungen oder private Film- oder Tondokumente, anzulegen und zu speichern. Derartige Dateien können ebenso wie etwa schriftliche Verkörperungen des höchstpersönlichen Erlebens einen absoluten Schutz genießen. Zum anderen kann das System, soweit es telekommunikativen Zwecken dient, zur Übermittlung von Inhalten genutzt werden, die gleichfalls dem Kernbereich unterfallen können (vgl. zum Ganzen: BVerfGE 120, 274).
Ein zur Online-Durchsuchung ermächtigendes Gesetz muss sicherstellen, dass der Kernbereich privater Lebensgestaltung unantastbar bleibt.
(c) Nichteinhaltung dieser Erfordernisse
Zu prüfen ist, ob § 5 Abs. 3a Nr. 11 HmbVSG diesen Anforderungen genügt. Nach § 5 Abs. 3a Nr. 11 in Verbindung mit § 6 Abs. 1 Nr. 1 und § 2 Abs. 1 HmbVSG sind Voraussetzung für den Einsatz nachrichtendienstlicher Mittel durch die Ver-fassungsschutzbehörde lediglich “tatsächliche Anhaltspunkte” für die Annahme, dass auf diese Weise Erkenntnisse über verfassungsfeindliche Bestrebungen gewonnen werden können.
Diese gesetzliche Bestimmung genügt sowohl hinsichtlich der tatsächlichen Voraussetzungen für den Eingriff als auch des Gewichts der zu schützenden Rechtsgüter nicht den dargelegten Anforderungen, da weder eine konkrete Gefahr verlangt wird, noch sichergestellt ist, dass die Online-Durchsuchung nur zum Schutze überragend wichtiger Rechtsgüter eingesetzt wird und nicht schon zum Schutz unterrangiger Interessen. Zudem ist auch keine vorherige Prüfung durch eine unabhängige Stelle (zum Bsp. durch einen Richtervorbehalt) vorgesehen, so dass es auch an der verfassungsrechtlich geforderten verfahrensrechtlichen Sicherung fehlt.
Überdies fehlt es an hinreichenden gesetzlichen Vorkehrungen, um Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung durch Maßnahmen nach § 5 IIIa Nr. 11 Satz 1 Alt. 2 HmbVSG zu vermeiden, denn das HmbVSG enthält keine den Kernbereich privater Lebensgestaltung schützenden Vorschriften. Daran ändert auch die Verweisung des 5 Abs. IIIa Nr. 11 Satz 2 HmbVSG auf das Gesetz zu Artikel 10 Grundgesetz nichts, denn dieses Gesetz enthält ebenfalls keine entsprechenden Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung.
Damit beachtet § 5 IIIa Nr. 11 Satz 1 Alt. 2 HmbVSG insgesamt nicht die aufgrund des Gewichts des Eingriffs gebotenen Eingriffsanforderungen und ist damit nicht angemessen. Die Vorschrift des § 5 IIIa Nr. 11 Satz 1 Alt. 2 HmbVSG verstößt damit gegen den Grundsatz der Verhältnismäßigkeit.
bb) Bestimmtheitsgrundsatz
Fraglich ist weiter, ob § 5 IIIa Nr. 11 Satz 2 HmbVSG mit dem aus Art. 20 III GG ableitbaren Bestimmtheitsgrundsatz vereinbar ist, da diese Vorschrift generalklauselartig an das Vorliegen eines “Eingriffs” in Art. 10 GG anknüpft.
Insoweit ist zunächst festzustellen, dass die Verwendung generalklauselartiger unbestimmter Rechtsbegriffe grundsätzlich zulässig ist. Dabei muss die jeweilige Norm aber umso konkreter sein, je intensiver sie in Grundrechte eingreift und es muss sichergestellt sein, dass die bei der Verwendung unbestimmter Rechtsbegriffe verbleibenden Ungewissheiten nicht so weit gehen, dass die Vorhersehbarkeit und Justitiabilität des Handelns der durch die Normen ermächtigten staatlichen Stellen gefährdet sind (vgl. BVerfGE 120, 274).
Legt man diese Maßstäbe an § 5 IIIa Nr. 11 Satz 1 Alt. 2 HmbVSG an, so wird ersichtlich, dass insoweit nicht eingehalten sind. Mit dem Gebot der Normenklarheit und Normenbestimmtheit ist insbesondere nicht vereinbar, dass § 5 IIIa Nr. 11 Satz 2 HmbVSG für die Verweisung auf das Gesetz zu Artikel 10 Grundgesetz darauf abstellt, ob eine Maßnahme in Art. 10 GG eingreift, denn die Beantwortung der Frage, ob und in welche Grundrechte Ermittlungsmaßnahmen der Verfassungsschutzbehörde eingreifen, kann komplexe Abschätzungen und Bewertungen erfordern. Zu ihnen ist, aufgrund der grundrechtsrelevanz solcher Beurteilungen, zunächst und vorrangig der Gesetzgeber berufen (Wesentlichkeitstheorie). Seiner Aufgabe, die einschlägigen Grundrechte durch entsprechende gesetzliche Vorkehrungen zu konkretisieren, kann er sich nicht entziehen, indem er durch eine bloße tatbestandliche Bezugnahme auf ein möglicherweise einschlägige Grundrechte die Entscheidung darüber, wie dieses Grundrecht auszufüllen und umzusetzen ist, an die normvollziehende Verwaltung weiterreicht. Eine derartige "salvatorische" Regelungstechnik genügt dem Bestimmtheitsgebot nicht (vgl. BVerfGE 120, 274). Damit verstößt § 5 IIIa Nr. 11 2. Alt. HmbVSG auch gegen den Bestimmtheitsgrundsatz.
D. Ergebnis
§ 5 IIIa Nr. 11 2. Alt GG verstößt gegen das allgemeine Persönlichkeitsrecht des Art. 2 I i.V.m. 1 I GG in Gestalt des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme.
2. Teil: Internet-Überwachung
Fraglich ist, ob die in in § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG enthaltene Ermächtigung zum (heimlichen) Aufklären des Internetverkehrs (Internet-Überwachung) verfassungsgemäß ist.
A. Verstoß gegen Art. 2 I i. V.m. Art. 1 I GG
Diese könnte ebenfalls gegen das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG verstoßen.
I. Schutzbereich
Dazu müsste der Schutzbereich des Art. 2 I i.V.m. Art. 1 I GG durch die Internet-Überwachung betroffen sein. In Betracht kommen insoweit wiederum die Fallgruppen des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme und des Rechts auf informationelle Selbstbestimmung.
1. Vertraulichkeit und Integrität informationstechnischer Systeme
Fraglich ist zunächst, ob die Internet-Überwachung der Fallgruppe der Vertraulichkeit und Integrität informationstechnischer System unterfällt. Insoweit ist zu beachten, dass die Maßnahmen, zu denen § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG ermächtigt, sich darauf beschränken, Daten, die der Inhaber des Systems für die Internetkommunikation vorgesehen hat, auf dem technisch dafür vorgesehenen Weg zu erheben. Für solche Datenerhebungen hat der Betroffene selbst sein System technisch geöffnet. Daher kann er nicht darauf vertrauen, dass es nicht zu ihnen kommt. Entsprechend wird auch die Vertraulichkeit und Integrität informationstechnischer Systeme durch Maßnahmen der lnternet-Überwachung nicht berührt.
2. Recht der informationellen Selbstbestimmung
Fraglich ist sodann, ob die Internet-Überwachung dem Recht auf informationelle Selbstbestimmung unterfällt. Insoweit ist zu beachten, dass es sich bei den durch Alt. 1 vorgesehenen Maßnahmen um solche handelt, die sich auf die Kenntnisnahme öffentlich zugänglicher Informationen beziehen (s.o.). Eine Kenntnisnahme öffentlich zugänglicher Informationen ist dem Staat grundsätzlich nicht verwehrt. Dies gilt auch dann, wenn auf diese Weise im Einzelfall personenbezogene Informationen erhoben werden können. Daher ist das allgemeine Persönlichkeitsrecht nicht betroffen, wenn eine staatliche Stelle im Internet verfügbare Kommunikationsinhalte erhebt, die sich an jedermann oder zumindest an einen nicht weiter abgegrenzten Personenkreis richten. Dabei liegt ein Eingriff in das Recht auf informationelle Selbstbestimmung nicht schon dann vor, wenn eine staatliche Stelle sich unter einer Legende in eine Kommunikationsbeziehung zu einem Grundrechtsträger begibt, wohl aber, wenn sie dabei ein schutzwürdiges Vertrauen des Betroffenen in die Identität und die Motivation seines Kommunikationspartners ausnutzt, um persönliche Daten zu erheben, die sie ansonsten nicht erhalten würde (vgl. BVerfGE 120, 274). Damit unterfällt die reine Internet-Überwachung, so wie sie von § 5 IIIa Nr. 11 1. Alt. GG vorgesehen ist, nicht dem Recht auf informationelle Selbstbestimmung.
II. Zwischenergebnis
Der Schutzbereich des allgemeinen Persönlichkeitsrechts aus Art. 2 I i.V.m. Art. 1 I GG ist durch § 5 IIIa Nr. 11 Alt. 1. GG nicht betroffen. Ein Verstoß gegen Art. 2 I i.V.m. Art. 1 I GG kommt daher durch die reine Internet-Überwachung nicht in Betracht.
B. Verstoß gegen Art. 10 I GG
Das heimliche Aufklären des Internetverkehrs nach § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 HmbVSG könnte aber einen Verstoß gegen das durch Art. 10 I GG gewährleistete Telekommunikationsgeheimnis darstellen. Dazu müsste ein nicht gerechtfertigter Eingriff in dessen Schutzbereich vorliegen.
I. Schutzbereich
Zunächst müsste ein Engriff in den Schutzbereich des Art. 10 I GG vorliegen. Der Schutzbereich von Art. 10 I GG umfasst die mit einem an das Internet angeschlossenen informationstechnischen System geführte laufende Fernkommunikation. Dabei schützt dieses Grundrecht aber lediglich das Vertrauen des Einzelnen darin, dass eine Fernkommunikation, an der er beteiligt ist, nicht von Dritten zur Kenntnis genommen wird. Dagegen ist das Vertrauen der Kommunikationspartner zueinander nicht Gegenstand des Grundrechtsschutzes. Steht im Vordergrund einer staatlichen Ermittlungsmaßnahme nicht der unautorisierte Zugriff auf die Telekommunikation, sondern die Enttäuschung des personengebundenen Vertrauens in den Kommunikationspartner, so liegt darin kein Eingriff in Art. 10 I GG. Die staatliche Wahrnehmung von Inhalten der Telekommunikation ist daher nur dann am Telekommunikationsgeheimnis zu messen, wenn eine staatliche Stelle eine Telekommunikationsbeziehung von außen überwacht, ohne selbst Kommunikationsadressat zu sein. Das Grundrecht schützt dagegen nicht davor, dass eine staatliche Stelle selbst eine Telekommunikationsbeziehung zu einem Grundrechtsträger aufnimmt.
Erlangt eine staatliche Stelle Kenntnis von den Inhalten einer über die Kommunikationsdienste des Internet geführten Fernkommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 I GG, wenn die staatliche Stelle hierzu nicht durch Kommunikationsbeteiligte autorisiert ist. Da das Telekommunikationsgeheimnis das personengebundene Vertrauen der Kommunikationsbeteiligten zueinander nicht schützt, erfasst die staatliche Stelle die Kommunikationsinhalte bereits dann autorisiert, wenn nur einer von mehreren Beteiligten ihr diesen Zugriff freiwillig ermöglicht hat. Das heimliche Aufklären des Internet greift danach dann in Art. 10 I GG ein, wenn die Verfassungsschutzbehörde zugangsgesicherte Kommunikationsinhalte überwacht, indem sie Zugangsschlüssel nutzt, die sie ohne oder gegen den Willen der Kommunikationsbeteiligten erhoben hat. So liegt es etwa, wenn ein mittels Keylogging erhobenes Passwort eingesetzt wird, um Zugang zu einem E-Mail-Postfach oder zu einem geschlossenen Chat zu erlangen. Dagegen ist ein Eingriff in Art. 10 I GG zu verneinen, wenn etwa ein Teilnehmer eines geschlossenen Chats der für die Verfassungsschutzbehörde handelnden Person seinen Zugang freiwillig zur Verfügung gestellt hat und die Behörde in der Folge diesen Zugang nutzt. Erst recht scheidet ein Eingriff in das Telekommunikationsgeheimnis aus, wenn die Behörde allgemein zugängliche Inhalte erhebt, etwa indem sie offene Diskussionsforen oder nicht zugangsgesicherte Webseiten einsieht (BVerfGE 120, 274). § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG ermöglicht eine verdeckte Kenntnisnahme von zugangsgesicherten Kommunikationsvorgängen, bspw. durch die Nutzung von Zugangsschlüsseln, die sie ohne oder gegen den Willen der Kommunikationsbeteiligten erlangt hat. Damit ist eine Betroffenheit des Schutzbereichs des Art. 10 I GG durch § 5 IIIa 2 Nr. 11 Satz 1 Alt. 1 HmbVSG jedenfalls insoweit gegeben.
II. Eingriff
Aufgrund dessen, dass § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG auch eine verdeckte Kenntnisnahme von zugangsgesicherten Kommunikationsvorgängen im Internet ermöglicht, liegt insoweit eine Verkürzung des Schutzbereichs und damit ein Eingriff in denselben vor.
III. Verfassungsrechtliche Rechtfertigung
Dieser Eingriff müsste auch verfassungsrechtlich gerechtfertigt sein. Dies ist dann der Fall, wenn er Ausdruck der Schranken ist.
1. Festlegung der Schranke
Art. 10 II 1 GG enthält einen einfachen Gesetzesvorbehalt. § 5 IIIa Nr. 11 Satz 1 Alt. 1 VSG ist ein Parlamentsgesetz in diesem Sinne und kommt daher als Schranke des Art. 10 I GG in Betracht.
2. Verfassungsmäßigkeit der Rechtsgrundlage
Das eingreifende Gesetz muss seinerseits verfassungskonform, d.h. formell und materiell verfassungsgemäß, sein.
a) Formelle Verfassungsmäßigkeit
Bedenken gegen die formelle Verfassungsmäßigkeit der Rechtsgrundlage bestehen nicht (s.o.).
b) Materielle Verfassungsmäßigkeit
§ 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG müsste auch materiell verfassungsgemäß sein. In Betracht kommen hier Verstöße gegen den Grundsatz der Verhältnismäßigkeit und das Zitiergebot des Art. 19 I 2 GG.
aa) Verhältnismäßigkeit
Die Regelung des § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG müsste verhältnismäßig sein. Dies ist der Fall, wenn sie einen legitimen Zweck verfolgt und dazu geeignet und erforderlich sowie angemessen ist. Fraglich ist hier allein die Angemessenheit (Verhältnismäßigkeit im engeren Sinne). Der Eingriff in das Telekommunikationsgeheimnis wiegt für den Betroffenen schwer, denn auf der Grundlage der angegriffenen Norm kann die Verfassungsschutzbehörde auf Kommunikationsinhalte zugreifen, die sensibler Art sein und Einblicke in die persönlichen Angelegenheiten und Gewohnheiten des Betroffenen zulassen können. Betroffen ist nicht nur derjenige, der den Anlass für die Überwachungsmaßnahme gegeben hat. Der Eingriff kann vielmehr eine gewisse Streubreite aufweisen, wenn Erkenntnisse nicht nur über das Kommunikationsverhalten desjenigen, gegen den sich die Maßnahme richtet, sondern auch über seine Kommunikationspartner gewonnen werden. Die Heimlichkeit des Zugriffs erhöht die Eingriffsintensität. Zudem können wegen der weiten Fassung der Eingriffsvoraussetzungen auch Personen überwacht werden, die für den Eingriffsanlass nicht verantwortlich sind (vgl. BVerfGE 120, 274).
Ein derart schwerwiegender Grundrechtseingriff setzt auch unter Berücksichtigung des Gewichts der Ziele des Verfassungsschutzes grundsätzlich zumindest die Normierung einer qualifizierten materiellen Eingriffsschwelle voraus. Daran fehlt es im vorliegenden Fall. Vielmehr lässt die Vorschrift nachrichtendienstliche Maßnahmen in weitem Umfang im Vorfeld konkreter Gefährdungen zu, ohne Rücksicht auf das Gewicht der möglichen Rechtsgutsverletzung und auch gegenüber Dritten. Das HmbVSG enthält im Zusammenhang mit Eingriffen nach § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG keine Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung. Solche Regelungen sind jedoch nach der Rechtsprechung des Bundesverfassungsgerichts erforderlich, soweit eine staatliche Stelle zur Erhebung von Inhalten der Telekommunikation unter Eingriff in Art. 10 I GG ermächtigt wird (vgl. BVerfGE 120, 274). Eine derart weitreichende Eingriffsermächtigung ist mit dem Verhältnismäßigkeitsgrundsatz nicht vereinbar. Schon von daher ist § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG in materieller Hinsicht nicht verfassungsgemäß.
bb) Zitiergebot, Art. 19 I 2 GG
Darüber hinaus könnte § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG auch gegen das sog. Zitiergebot des Art. 19 I 2 GG verstoßen. Danach muss ein Gesetz dasjenige Grundrecht unter Angabe seines Artikels benennen, das durch dieses Gesetz oder aufgrund dieses Gesetzes eingeschränkt wird. Dem Zitiergebot ist nur Rechnung getragen, wenn das Grundrecht im Gesetzestext ausdrücklich als eingeschränkt benannt wird. Eine solche ausdrückliche Nennung ist hier bzgl. § 5 IIIa Nr. 11 Satz 1 Alt. 1 HmbVSG nicht erfolgt. Daran ändert auch nichts, dass § 5 IIIa Nr. 11 Satz 2 VSG durch die Verweisung auf das Gesetz zu Artikel 10 GG darauf hindeuten mag, dass der Gesetzgeber einen Eingriff in das Telekommunikationsgeheimnis für möglich gehalten hat. Dies genügt dem Erfordernis der Klarheit durch ausdrücklichen Nennung nicht und gilt umso mehr, als § 5 IIIa Nr. 11 VSG zwei unterschiedliche Eingriffsermächtigungen enthält und sich aus dem Gesetz insoweit nicht mit hinreichender Deutlichkeit ergibt, für welche von beiden der Gesetzgeber zumindest mit der Möglichkeit eines Eingriffs in Art. 10 GG gerechnet hat (vgl. BVerfGE 120, 274). Daher verstößt die Vorschrift auch gegen das Zitiergebot des Art. 19 I 2 GG.
C. Ergebnis
Die Ermächtigung zur Überwachung des Internet-Verkehrs verstößt gegen Art. 10 I GG.