Kolumne : Heureka! Wir haben ein Grundrecht auf Verschlüsselung!

Immer wieder unternimmt der Staat Vorstöße, zu Zwecken der öffentlichen Sicherheit auf private und geschützte Kommunikation zurückzugreifen. Immer wieder halten Verfassungsrechtler und Bürgerrechtsaktivisten dagegen – denn schließlich handele es sich um einen Eingriff in das „digitale Briefgeheimnis“. Und die Ausprägungen eines solchen digitalen Briefgeheimnisses sind wahrhaftig vielfältig und zeigen, dass es eben nicht nur um eine abstrakte Debatte der Interessenabwägung zwischen (informationeller) Freiheit und (öffentlicher) Sicherheit geht: So geht es beispielsweise um die vielzitierte „Chatkontrolle“ als einem europäischen Vorstoß, um die Frage, ob westliche Regierungen private Ende-zu-Ende-Verschlüsselung untersagen dürfen und debattiert wird aktuell sogar darüber, ob Urheberrechtsdelikte mittels zwangsgespeicherter IP-Adressen verfolgt werden können.

Die Tendenz, in vertrauliche Kommunikation einzugreifen, entwickelt sich dabei politisch immer mehr in Richtung einer Regel als eines Ausnahmefalls, wie die Kompromittierung und massenhafte Auswertung der Daten des französischen Messenger-Dienstes „Enchrochat“ belegen. Und bei all diesen Fällen ist letztlich nicht nur der Datenschutz, sondern auch die Cybersicherheit betroffen, da es um die Vertraulichkeit als einem der primären Schutzziele der IT-Sicherheit geht. Nicht zu Unrecht werden deshalb Forderungen laut, gar ein neues Grundrecht zu schaffen, das das digitale Briefgeheimnis angemessen schützt.

Bestehende verfassungsrechtliche Gewährleistungen als Herleitung

Unzweifelhaft aber haben wir bereits ein solches verfassungsrechtlich verankertes „Grundrecht auf Verschlüsselung“ als essenzielle Voraussetzung unserer allgegenwärtigen digitalen Kommunikation – und das sowohl auf europäischer wie auf nationaler Ebene. In der EU lässt sich dieses Grundrecht aus dem Recht auf Achtung des Privat- und Familienlebens gem. Art. 7 GRCh und dem Recht auf den Schutz personenbezogener Daten nach Art. 8 GRCh ableiten. In Deutschland sind das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis sowie das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG einschlägig. (Die juristische Herleitung im Detail ist im Gutachten im Auftrag der Friedrich-Naumann-Stiftung für die Freiheit nachzulesen.)

All diese Grundrechtsdimensionen ergeben zusammengenommen einen im chronologischen Kommunikationsablauf nahezu lückenlosen Grundrechtsschutz: Dieser umfasst nicht lediglich den Kommunikationsvorgang an sich inklusive der Inhaltsdaten, der genauen Umstände der Kommunikation sowie den Schutz der Meta- und Verkehrsdaten, sondern vorgelagert bereits die Generierung der verschlüsselt zu übermittelnden Inhalte und nachgelagert den Schutz vor dem Eingriff in gespeicherte Inhalte. Ein solches Grundrecht auf Verschlüsselung hat zwei Dimensionen mit jeweils unterschiedlicher Schutzrichtung: Die passive Dimension ist ein Abwehrrecht gegenüber unberechtigten staatlichen Eingriffen, die aktive Dimension enthält sogar – zugegebenermaßen weit gefasste – staatliche Handlungspflichten zur Förderung von Verschlüsselung.

Diskussion um „Verschlüsselungsverbote“ gehört der Vergangenheit an

Damit dürften staatliche Maßnahmen, die versuchen, eine anlasslose präventive Generalüberwachung der verschlüsselten Kommunikation zu legitimieren, verfassungswidrig sein. Auch politische Äußerungen dahingehend, eine gezielte technische Schwächung von Verschlüsselung flächendeckend einzuführen oder Verschlüsselung sogar gesetzlich zu untersagen, sind grundrechtlich nicht tragbar. Zweifelsohne gilt auch ein Grundrecht auf Verschlüsselung nicht schrankenlos – jedenfalls aber wiegen Eingriffe in verschlüsselte Daten deutlich schwerer als Eingriffe des Staates in unverschlüsselte Daten.

Damit ist rechtlich auch jedem zu empfehlen, zumindest besonders sensible Daten verschlüsselt zu speichern, um die staatlichen Eingriffsvoraussetzungen zu erhöhen. Außerdem sind Eingriffe in den Kernbereich der privaten Lebensgestaltung ausgeschlossen, womit eine anlasslose und präventive „Generalüberwachung“ aller Bürgerinnen und Bürger ebenfalls unzulässig ist.

„Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ gibt es nicht

Was kann man aus der Existenz eines Grundrechts auf verschlüsselte Kommunikation nun politisch ableiten?

• Zuvorderst muss es mehr gezielte staatliche Informationsmaßnahmen für die Bürgerinnen und Bürger geben, wie sie sich technisch effektiv selbst vor Ausspähung schützen können – sei es durch den Staat oder durch Private.
• Der Staat selbst ist auch im Angesichte immer wieder erfolgreicher Cyberattacken gegen öffentliche Einrichtungen dazu verpflichtet, Bürgerdaten als Maßnahme der Datensicherheit verschlüsselt zu speichern und zu übermitteln – nur so kann eine nachhaltig erfolgreiche Verwaltungsdigitalisierung gelingen.
• Es muss kehrseitig eine stärkere Regulierung und Überprüfung Privater geben, Verschlüsselung als eine IT-Sicherheitsmaßnahme nach Stand der Technik umzusetzen.
• Wie bereits vorangehend festgestellt wurde, ist ein generell und politisch teilweise gefordertes „Verschlüsselungsverbot“ rechtlich unzulässig.
• Ebenso sind anlasslose, präventive und den Kernbereichsschutz missachtende digitale Überwachungsmaßnahmen nicht weiter zu verfolgen.
• Last but not least dürfte es erforderlich sein, technische Vorgaben zur Datenverschlüsselung deutlicher als bislang im Wortlaut gesetzlicher Vorschriften zu verankern.

Mit all diesen neuen Erkenntnissen wird eines deutlich: Das häufig im Überwachungskontext zitierte Mantra „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ greift inhaltlich zu kurz, da es die vorgenannten qualifizierten Rechtfertigungsvoraussetzungen für den Eingriff in ein Recht auf Verschlüsselung nicht angemessen wiedergibt, sondern suggeriert, dass die Verschlüsselung von Daten und deren (technische) Einschränkbarkeit generell gleichrangig nebeneinanderstünden, was tatsächlich aber nicht der Fall ist.

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Cybersecurity-Recht im Umbruch.