Wenn ich heute über das IT-Grundrecht schreibe, dann tue ich das nicht aus abstrakter verfassungsrechtlicher Neugier, sondern aus sehr konkretem Unbehagen. Ich erlebe, wie technische Möglichkeiten der Überwachung exponentiell zunehmen, wie politische Akteure diese Möglichkeiten Schritt für Schritt zu „Sicherheitsinstrumenten“ verklären und wie dabei ausgerechnet jenes Grundrecht, das für das digitale Zeitalter geschaffen wurde, fast systematisch ausgeblendet wird: das vom Bundesverfassungsgericht entwickelte Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Dieses IT-Grundrecht ist kein akademischer Luxus. Es ist der Versuch, die Idee der Freiheit in einer Welt zu retten, in der sich das Leben eines Menschen in seinen Geräten verdichtet. Wer heute ein Smartphone, einen Laptop und ein paar Cloud-Dienste verwendet, trägt einen grossen Teil seines inneren und äusseren Lebens in diesen Systemen mit sich herum: Kommunikationshistorien, Bilder, Bewegungsprofile, Suchverläufe, Notizen, berufliche Pläne, intime Gespräche. Wer ein solches System komplett öffnen kann, hat Zugriff auf den Menschen in einer Tiefe, wie es früher nicht einmal totalitäre Geheimpolizeien ansatzweise hatten.
Genau an diesem Punkt setzt das IT-Grundrecht an. Es markiert die Grenze und sagt: Bis hierhin und nicht weiter. Die Diskussion um die Chatkontrolle, also um eine anlasslose, flächendeckende Durchleuchtung nahezu aller digitalen Kommunikationen in der EU, ist für mich der Lackmustest, ob dieses Grundrecht in der Praxis trägt oder ob es zu einer Fussnote in Entscheidungen des Bundesverfassungsgerichts verkommt.
Um das einordnen zu können, lohnt es sich, zunächst den dogmatischen Gehalt dieses Grundrechts zu rekonstruieren, und danach zu prüfen, was eine Chatkontrolle im Lichte dieser Leitplanken tatsächlich bedeutet.
Entstehung: Warum das Bundesverfassungsgericht ein neues Grundrecht brauchte
Das IT-Grundrecht ist nicht einfach aus heiterem Himmel entstanden. Es ist das Ergebnis einer Entwicklung, in der klassische Schutzmechanismen des Grundgesetzes sichtbar an ihre Grenzen kamen.
Mit dem Volkszählungsurteil von 1983 hatte das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung etabliert: Das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Dieses Grundrecht zielte auf einzelne Datenerhebungen, auf staatliche Datenbanken, auf den Abfluss diskreter Informationspakete.
Mit der Digitalisierung verschob sich die Lage. Ein moderner Rechner, ein Smartphone, ein vernetztes System sammelt nicht einfach einzelne Datenpunkte, sondern bildet ein hochdichtes, meist jahrelanges Abbild des Lebens seiner Nutzer. Zwischen Browser-Historie, Chat-Verläufen, Terminkalendern, Fotos, Dokumenten und Logfiles entsteht ein Gesamtbild, das weit über jede klassische Aktenlage hinausgeht. Wer ein solches System kompromittiert, erhält nicht nur punktuelle Einblicke, sondern eine Art vollständige „Innenansicht“.
Genau diese Situation lag den Verfahren zugrunde, in denen das Bundesverfassungsgericht 2008 über heimliche Online-Durchsuchungen zu entscheiden hatte. Es ging um Befugnisse, mit denen Sicherheitsbehörden verdeckt Schadsoftware auf Rechner einschleusen konnten, um Daten aus laufenden Systemen auszuleiten. Das Gericht stellte fest: Die herkömmlichen Begriffe genügen nicht mehr. Der Zugriff auf ein informationstechnisches System unterscheidet sich qualitativ von der Erhebung einzelner Daten, und er unterscheidet sich auch vom klassischen Abhören der Telekommunikation.
Das Ergebnis war die Formulierung eines neuen, spezifischen Grundrechts: des Rechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Das Gericht hat damit eine Schutzlücke geschlossen, die sich aus der technischen Entwicklung ergab. Es hat anerkannt, dass der digitale Mensch einen eigenen, besonderen Grundrechtsschutz braucht, weil sein Leben zunehmend in seinen Geräten liegt.
Was das IT-Grundrecht tatsächlich schützt
Das IT-Grundrecht schützt zwei Dimensionen:
Erstens schützt es die Vertraulichkeit informationstechnischer Systeme. Das bedeutet: Der Staat darf nicht ohne qualifizierten Anlass und ohne strenge gesetzliche Grundlage Kenntnis von den Daten erlangen, die jemand in seinen Geräten speichert, verarbeitet oder über diese Systeme austauscht. Es geht nicht nur um Inhalte, sondern auch um Strukturen und Metadaten, die Rückschlüsse auf Persönlichkeit, Verhalten und Lebensführung zulassen.
Zweitens schützt es die Integrität dieser Systeme. Das heisst: Der Staat darf diese Systeme nicht heimlich nach eigenem Gutdünken manipulieren, infiltrieren, durch Trojaner verändern oder in ihrem Funktionsablauf so beeinflussen, dass sie zu Werkzeugen der Überwachung werden. Das Betriebssystem meines Rechners, die Messenger-App auf meinem Smartphone, die Firmware meines Geräts – sie sollen nicht zu verlängerten Armen des Staates werden, ohne dass dafür höchste Hürden gelten.
Beide Dimensionen greifen ineinander. Vertraulichkeit ohne Integrität ist Illusion: Wenn ich zwar ein Verschlüsselungsrecht habe, aber der Staat rechtlich abgesichert die Client-Software umprogrammieren darf, um vor der Verschlüsselung mitzulesen, ist die Vertraulichkeit faktisch ausgehebelt. Genau diese Konstellation ist bei der Chatkontrolle relevant.
Hinzu kommt, dass das Bundesverfassungsgericht ausdrücklich betont hat, dass informationstechnische Systeme heute eine digitale Intimsphäre schaffen. Geräte sind nicht mehr nur „Werkzeuge“, sondern Speicher- und Reflexionsräume, in denen Menschen ihre innersten Gedanken, Zweifel, Pläne, Beziehungen ablegen. In dieser Verdichtung liegt das eigentliche Eingriffsgewicht: Wer ein solches System öffnet, berührt den Kernbereich privater Lebensgestaltung, nicht nur seine Peripherie.
Unter welchen Bedingungen Eingriffe überhaupt zulässig sein sollen
Das Bundesverfassungsgericht hat das IT-Grundrecht nicht als absolutes Verbot formuliert. Der Staat darf, in eng begrenzten Konstellationen, in informationstechnische Systeme eingreifen. Entscheidend sind aber die Bedingungen.
Erstens verlangt das Gericht, dass nur überragend wichtige Rechtsgüter einen Eingriff rechtfertigen können: Leib, Leben, Freiheit, der Bestand des Staates oder ähnliche existenzielle Schutzgüter. Der Einsatz von Online-Durchsuchungen oder Staatstrojanern für Bagatellkriminalität ist ausgeschlossen. Die Schwelle liegt bewusst hoch.
Zweitens verlangt es eine konkrete Gefahr oder einen hochqualifizierten Tatverdacht. Es geht nicht um abstrakte Risiken, nicht um diffuse „Gefährdungslagen“, nicht um vorsorgliche Massnahmen gegen einen grossen Personenkreis, sondern um tatsächliche Anhaltspunkte, dass von bestimmten Personen bestimmte Gefahren ausgehen. Der Kern des Gedankens ist: IT-Grundrechtseingriffe dürfen nicht zum Instrument anlassloser Massenüberwachung werden, sondern müssen an konkrete Sachverhalte gebunden bleiben.
Drittens fordert das Gericht präzise gesetzliche Grundlagen. Generalklauseln, unbestimmte Begriffe und weite Ermessensspielräume lehnt es in diesem Bereich ab. Wer in die Integrität eines informationstechnischen Systems eingreift, muss sich auf ein Gesetz stützen können, das Art, Umfang, Zweck, Dauer und die betroffenen Personenkreise klar definiert.
Viertens verlangt das Gericht eine richterliche Anordnung als Regel, ergänzt durch eng begrenzte Eilkompetenzen. Eine heimliche Durchsuchung ohne vorgelagerte Kontrolle durch eine unabhängige, neutrale Instanz widerspricht der Systematik des Grundgesetzes.
Fünftens, und das ist zentral, besteht das Gericht auf einem Kernbereichsschutz. Es betont, dass es Inhalte gibt, die zur innersten Sphäre der Persönlichkeit gehören und die der Staat selbst im Rahmen schwerster Gefahrenabwehr nicht zum Gegenstand von Auswertung machen darf. Dazu gehören etwa Tagebuchaufzeichnungen, intime Gespräche, innerste Reflexionen. Technisch und organisatorisch muss sichergestellt werden, dass solche Inhalte entweder gar nicht erst erfasst oder nachträglich konsequent ausgesondert und gelöscht werden.
In späteren Entscheidungen zu Staatstrojanern, Online-Durchsuchung und Quellen-Telekommunikationsüberwachung hat das Bundesverfassungsgericht diese Leitplanken noch geschärft: Der Einsatz solcher Mittel ist auf besonders schwere Straftaten zu beschränken, die Regelungen müssen eng sein, die Praxis strenger Kontrolle unterliegen. Die Botschaft ist klar: Das IT-Grundrecht ist nicht eine weitere „Abwägungsmasse“, sondern ein ernst gemeinter Schutzwall.
Chatkontrolle: Was passiert, wenn man all dies ignoriert
Mit dieser Architektur im Hinterkopf wird deutlich, warum die Diskussion um die Chatkontrolle für mich wie eine Negativfolie zur Rechtsprechung des Bundesverfassungsgerichts wirkt.
Die Chatkontrolle zielt auf eine flächendeckende, automatisierte Durchsuchung praktisch aller digitalen Kommunikationsinhalte, die über relevante Dienste in der EU laufen. Dazu gehören SMS, E-Mails, Messenger-Dienste wie WhatsApp, Signal, Threema, aber auch die Kommunikationskanäle grosser Plattformen. Für Dienste mit Ende-zu-Ende-Verschlüsselung soll das Scanning auf dem Endgerät selbst erfolgen, also bevor der Inhalt verschlüsselt wird.
Technisch bedeutet das: Der Staat zwingt die Anbieter, ihre Software so umzubauen, dass sie jede Nachricht, jedes Bild, jedes Video, jede Sprachnachricht automatisiert analysiert, klassifiziert und im Verdachtsfall meldet. Das Endgerät des Nutzers wird zum Sensor in einem umfassenden Kontrollnetz. Genau das ist ein direkter Eingriff in Integrität und Vertraulichkeit des informationstechnischen Systems.
Im Lichte der Leitplanken des IT-Grundrechts kollidiert die Chatkontrolle mit nahezu jeder Forderung des Bundesverfassungsgerichts:
Sie ist nicht gezielt, sondern flächendeckend. Sie ist nicht anlassbezogen, sondern anlasslos. Sie ist nicht temporär, sondern als Dauerzustand angelegt. Sie betrifft nicht eng definierte Gefährder, sondern die gesamte Bevölkerung. Und sie ist aus ihrer strukturbedingten Funktionsweise heraus unfähig, den Kernbereich privater Lebensgestaltung zu verschonen, weil sie zuerst alles liest, um dann algorithmisch zu beurteilen, was verdächtig ist und was nicht.
Die Tatsache, dass die erste Sichtung nicht durch einen menschlichen Beamten, sondern durch einen Algorithmus erfolgt, ändert an der Eingriffsqualität nichts. Im Gegenteil: Sie verstärkt die Problematik, weil damit ein permanenter, entgrenzter Screening-Prozess implementiert wird, dessen Fehler und Fehlklassifikationen kaum kontrollierbar sind.
Fernmeldegeheimnis und IT-Grundrecht
Die Chatkontrolle berührt nicht nur das IT-Grundrecht, sondern gleichzeitig das Fernmeldegeheimnis. Art. 10 GG schützt die Vertraulichkeit der Kommunikation in Übertragungsnetzen. Klassisch ging es dabei um Telefon- und Briefverkehr. Heute umfasst das Fernmeldegeheimnis auch E-Mail, Messenger, VoIP.
Wenn der Staat Kommunikationsdienste verpflichtet, laufende Inhalte zu scannen, bevor sie versendet oder auf Servern gespeichert werden, greift er in dieses Fernmeldegeheimnis ein. Bei Ende-zu-Ende verschlüsselten Diensten ist der Mechanismus perfide: Die Verschlüsselung selbst bleibt formal unangetastet, aber auf der Client-Seite wird ein vorgelagerter Abgriff eingeführt. Funktional ist es nichts anderes als ein Abhören der Kommunikation, bevor sie in den geschützten Kanal tritt.
Das Bundesverfassungsgericht hat in seinen Entscheidungen zu Staatstrojanern unmissverständlich klargemacht, dass bei solchen Konstellationen Fernmeldegeheimnis und IT-Grundrecht gemeinsam zur Anwendung kommen. Die Chatkontrolle muss sich folglich an einem doppelten Massstab messen lassen. Sie scheitert aus meiner Sicht an beiden.
Beim Fernmeldegeheimnis, weil sie aus einem anlassbezogenen Eingriff ein anlassloses Standardverfahren macht. Beim IT-Grundrecht, weil sie aus einer gezielten Massnahme gegen einzelne Systeme ein strukturelles Masseninstrument macht.
Das IT-Grundrecht als Ausdruck der offenen Gesellschaft
Für mich ist das IT-Grundrecht nicht einfach ein technisches Spezialrecht. Es ist die verfassungsrechtliche Manifestation einer Grundüberzeugung, die sich durch die Idee der offenen Gesellschaft zieht: Freiheit braucht Räume, in denen der Einzelne unüberwacht denken, sprechen, planen und zweifeln kann.
In einer analogen Welt waren diese Räume relativ klar: die Wohnungstür, das verschlossene Tagebuch, das vertrauliche Gespräch am Küchentisch. In der digitalen Welt sind die Grenzen unscharf geworden. Das Smartphone ist Wohnung, Tagebuch und Gesprächspartner in einem. Wer das nicht begreift, unterschätzt die Tragweite jeder staatlichen Intervention auf dieser Ebene.
Das IT-Grundrecht versucht, diese räumliche Logik in eine technisch geprägte Welt zu übertragen. Es sagt: Auch wenn dein Leben in deinen Geräten stattfindet, behältst du einen Bereich, den der Staat nicht einfach betreten darf. Er darf nicht ohne hochqualifizierten Anlass in deine Systeme eindringen, er darf sie nicht nach Gutdünken in Überwachungswerkzeuge verwandeln, er darf nicht strukturell alles mitlesen, nur weil es technisch möglich ist.
Damit verknüpft sich eine zweite Funktion: Nutzungsfreiheit. Ich soll moderne informationstechnische Systeme nutzen können, ohne permanent Angst haben zu müssen, dass ich mir damit staatliche Überwachung ins Haus hole. Das Grundrecht schützt nicht nur Daten, es schützt die Bereitschaft, digitale Technik zu verwenden, ohne in einen dauerhaften Selbstzensurmodus zu verfallen.
Die Chatkontrolle stellt diese Idee auf den Kopf. Sie etabliert genau jene Konstellation, vor der das IT-Grundrecht warnte: Wer ein übliches Kommunikationsmittel verwendet, weiss, dass er an einem permanenten Screening teilnimmt. Es ist völlig illusorisch zu glauben, ein solcher Zustand würde keine Verhaltensänderungen produzieren. Die Folge wäre ein schleichender Rückzug aus offener, ehrlicher Kommunikation.
Privatisierte Überwachung: Wenn der Staat den „Trojaner“ delegiert
Ein bemerkenswerter Aspekt der Chatkontrolle ist der Versuch, Verantwortung zu verlagern. Formal installiert nicht der Staat die Überwachungssoftware, sondern der Anbieter des Dienstes. Gesetzlich wird lediglich vorgeschrieben, dass die Software bestimmte Funktionen haben muss: Scannen, klassifizieren, melden.
Verfassungsrechtlich ist das durchsichtig. Die Anbieter handeln nicht frei, sondern in Umsetzung staatlicher Vorgaben. Sie werden zum verlängerten Arm des Staates, zur vorgeschalteten Vollzugsinstanz. Dass die Überwachung in Codezeilen eingebettet und als „Feature“ gerahmt wird, ändert nichts daran, dass sie Grundrechtseingriffe im Auftrag der öffentlichen Gewalt realisiert.
Auch hier greift die Logik des IT-Grundrechts: Es schützt nicht nur vor dem direkten Zugriff der Behörden, sondern auch vor staatlich orchestrierten Eingriffen in Informationssysteme über Dritte. Wenn ein Gesetz mich faktisch zwingt, nur noch Software zu nutzen, die staatlich definierte Überwachungsfunktionen enthält, ist die Integrität meiner Systeme kompromittiert, unabhängig davon, wer die konkreten Funktionen programmiert hat.
Grundrechtecharta, EMRK und die deutsche Verfassungsidentität
Das IT-Grundrecht ist eine deutsche Konstruktion, aber es steht nicht isoliert. Auf europäischer Ebene gibt es die Grundrechtecharta mit ihrem Schutz der privaten Lebensführung und der personenbezogenen Daten. Die EMRK schützt ebenfalls die Privat- und Kommunikationssphäre. Der Europäische Gerichtshof und der Europäische Gerichtshof für Menschenrechte haben in den vergangenen Jahren mehrfach deutlich gemacht, dass anlasslose Massenüberwachung mit diesen Garantien schwer vereinbar ist.
Interessant ist für mich die Frage, was passiert, wenn eine EU-Verordnung wie die CSA-Verordnung auf deutsches Verfassungsrecht trifft. Das Bundesverfassungsgericht hat in seinen „Identitätskontroll“-Entscheidungen angedeutet, dass es bestimmte Kernbestände der deutschen Verfassungsordnung, Menschenwürde, Grundrechtsessenz, Demokratieprinzip, auch gegenüber europäischem Recht verteidigen würde.
Man kann sehr gut argumentieren, dass das IT-Grundrecht, als spezifische Ausprägung des allgemeinen Persönlichkeitsrechts und des Schutzes der Menschenwürde, zu diesen Kernbeständen gehört. Eine europäische Norm, die faktisch eine flächendeckende Durchleuchtung privater IT-Systeme etabliert, würde dann nicht nur einfach „normkollidieren“, sondern an die Grenze der verfassungsrechtlich akzeptablen Integration stossen.
In diesem Sinne ist die Chatkontrolle mehr als eine Fachfrage der Innenpolitik. Sie ist ein Testfall dafür, ob nationale Verfassungsidentität und europäische Gesetzgebung noch in ein Gleichgewicht zu bringen sind, wenn es um die digitale Totalüberwachung geht.
Das IT-Grundrecht ernst nehmen oder es begraben
Meiner Meinung nach ist das IT-Grundrecht eine der wenigen wirklich zeitgemässen Antworten der verfassungsrechtlichen Ordnung auf die Digitalisierung. Es ist ein Versuch, das Versprechen des Grundgesetzes in eine Welt zu retten, in der der Staat nicht mehr an der Haustür Halt machen muss, um in das Innerste eines Menschen vorzudringen, sondern nur noch ein paar Bits bewegen muss.
Wenn ich mir die Debatte um die Chatkontrolle ansehe, habe ich den Eindruck, dass dieses Grundrecht politisch oft als Störfaktor wahrgenommen wird: als hinderlicher Restbestand einer „analog gedachten“ Verfassung. Man hört Sätze, die implizit darauf hinauslaufen, man müsse „Rechtsklarheit für neue Technologien schaffen“, was meistens heisst: die Eingriffsbefugnisse der Exekutive an den Stand der Technik anpassen.
Für mich ist das die falsche Blickrichtung. Das IT-Grundrecht ist nicht aus Versehen entstanden. Es ist die bewusst eingezogene rote Linie gegen einen Staat, der die totale technische Transparenz des Bürgers in ein Instrument seiner Politik verwandeln könnte. Wer diese Linie aufweicht, indem er anlasslose, flächendeckende Scans der gesamten Kommunikationsinfrastruktur etablieren will, erklärt im Ergebnis, dass er dieses Grundrecht nicht ernst nimmt.
Man kann das offen tun und sagen: Wir sind bereit, Freiheit für Sicherheit zu opfern. Oder man kann versuchen, es technisch und kommunikativ zu verschleiern und so zu tun, als seien die geplanten Eingriffe „minimal“. Substanziell macht das keinen Unterschied.
Für mich ist klar: Wer das IT-Grundrecht in seiner ursprünglichen Intention akzeptiert, muss die Chatkontrolle ablehnen. Es gibt keine konsistente Lesart, die beides harmonisch verbindet. Entweder bleibt der digitale Kernbereich privater Lebensgestaltung vor anlassloser Überwachung verschont oder er wird zur Ressource in einem Sicherheitsregime, das aus technischen Möglichkeiten politische Selbstverständlichkeiten macht.
Im Kern ist es die gleiche Entscheidung wie immer, nur mit anderen Begriffen und anderen Geräten. Wie viel Freiheit bin ich bereit zu verteidigen, wenn sie unbequem wird? Wie ernst meine ich es mit der Achtung der Deutschengrundrechte und der Menschenrechte im digitalen Raum?