Content

Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten in:

Thomas Warnecke

Identitätsmanagement und Datenschutz, page 239 - 314

Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail-Dienste und des neuen Personalausweises

1. Edition 2019, ISBN print: 978-3-8288-4055-3, ISBN online: 978-3-8288-6925-7, https://doi.org/10.5771/9783828869257-239

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 118

Tectum, Baden-Baden
Bibliographic information
Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten Ausgehend von dem in Teil 2 gefundenen Ergebnis zur tatsächlichen Ausgangslage und dem in Teil 3 im gegenwärtigen Entwicklungsschritt dargestellten Rechtsrahmen, soll hier die Schutzpflichtdimension der einschlägigen informationsbezogenen Grundrechte im Hinblick auf transaktionsbezogene E-Government-Anwendungen und ihr Verhältnis zur Aufteilung der Verantwortlichkeiten1695 von Nutzer, Diensteanbieter und der Verwaltung in Bezug auf Datenschutz und Datensicherheit näher untersucht werden. Die Schutzpflichtdimension der Grundrechte ist ein zentraler Anknüpfungspunkt staatlicher Verantwortung. Dabei soll hier im Fokus stehen, was die Schutzpflicht für den Gesetzgeber als deren Adressat bedeutet, und die Frage gestellt werden, wie ihre Reichweite ist und wie der Rechtsrahmen die Verantwortlichkeit jedes einzelnen Nutzers im Zusammenhang mit der Nutzung von transaktionsbezogenem E-Government bewertet. Ebenfalls soll die E-Government anbietende Verwaltung als Adressat einer Schutzpflicht in den Blick genommen werden. Dabei ist in tatsächlicher Hinsicht zu berücksichtigen, dass es sich vielfach und unter Berücksichtigung des De-Mail-Gesetzes um Dreiparteienkonstellationen aus dem Staat bzw. der Verwaltung, dem Diensteanbieter und dem Nutzer handelt, die verschiedene Verantwortungssphären begründen. Nicht zuletzt soll auch die Rolle der Eigenverantwortung des Nutzers genauer betrachtet werden. Dabei soll untersucht werden, ob die rechtliche Ausgestaltung der Verantwortungssphären nach Maßgabe der Kommunikationsgrundrechte ein bestimmtes Verantwortungskonzept zwingend vorsieht1696. Mit Blick auf die in Teil 2 gefundenen Ergebnisse einer unterschiedlich ausgeprägten digitalen Verantwortungsbereitschaft soll insbesondere ein Vorschlag bzw. ein Ausblick auf die Weiterentwicklung der rechtlichen Verantwortlichkeit des Nutzers für Datenschutz und Datensicherheit gegeben werden. Denkbar sind aber nach wie vor auch Konstellationen, in denen der Nutzer direkt auf Angebote der Verwaltung zurückgreift, ohne dass ein Diensteanbieter zwischen- Teil 4: 1695 Dabei soll es um rechtlich begründete Verantwortung gehen; daneben kann Verantwortung auch anders als durch Recht begründet werden und geht dabei weit über den Begriff der Haftung hinaus: Vgl. Kreutzer, Verantwortung im Internet, S. 2, abrufbar unter: https://www.divsi.de/wp-content/uploads/2013/08/Themenpapier_Verantwortung-im-Internet_final_2013_06_18.pdf (letzter Abruf: 08.11.2015); zu den netzpolitischen Diskussionen auch über das Thema der Verantwortung im Netz geben einen Überblick: Völz/Janda, Thesen zur Netzpolitik. 1696 Nicht eingangen werden soll hier darauf, ob für den privaten Nutzer mögliche Leistungsansprüche auf die Bereitstellung von Infrastruktur zur Fernkommunikation aus der Gewährleistungspflicht des Art. 87 f. GG bestehen. 239 geschaltet ist. Dies hat dementsprechend auch Auswirkungen auf die Verteilung von Verantwortlichkeiten. Zunächst soll hier untersucht werden, wie sich die Verantwortung des Nutzers für sein Handeln in der digitalen Welt verfassungsrechtlich verorten lässt. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung Ausgangspunkt der Überlegungen soll hier, wie es das oben dargestellte Leitbild des EGovG vorsieht, sein, dass die Nutzung von transaktionsbezogenen E-Government- Anwendungen grundsätzlich der freiwilligen Entscheidung eines Nutzers obliegt1697. Deshalb soll hier zunächst der grundrechtliche Freiheitsbereich des Nutzers im E-Government für das „Ob“ der Nutzung näher erläutert werden, um unter Einbeziehung der Schutzpflichtdimension der kommunikationsbezogenen Grundrechte zu einer Bewertung der Verantwortlichkeiten für Datenschutz und Datensicherheit zu kommen, die in multipolaren Konstellationen stattfinden1698. Die speziellen Grundrechte des GG haben jeweils eine eigene Bedeutung im Zusammenhang mit dem Internet1699. Diese Konstellationen werden neben der Rahmensetzung durch die bereits in Teil 3 skizzierten kommunikationsbezogenen Grundrechte auch durch weitere Grundrechtsgewährleistungen gekennzeichnet. Menschenwürdegarantie Art. 1 GG Der private Nutzer einer transaktionsbezogenen E-Government-Anwendung tritt der Verwaltung als natürliche Person gegenüber. Als solcher ist er Träger des Grundrechts der Menschenwürde aus Art. 1 GG. In dieser Arbeit soll hier daher angesichts der fundamentalen Bedeutung der Menschenwürdegarantie untersucht werden, ob hieraus etwas für die Reichweite einer Verantwortlichkeit des Nutzers im virtuellen Raum abzuleiten ist. Absolutheit der Menschenwürde Nach Art. 1 Abs. 1 GG ist die Würde des Menschen unantastbar. Die Vorschrift ist die Fundamentalnorm der Verfassung und gilt absolut1700. Sie stellt entsprechend den Beweggründen der Schaffung des Art. 1 Abs. 1 GG den „obersten Verfassungswert“ des A. I. 1. 1697 Die Frage, ob ein sog. „Zwangs-E-Government“ eingeführt werden könnte, kann hier nicht thematisiert werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. 1698 Groß, JZ 1999, 326 (334). 1699 Hierzu grundlegend: Luch/Schulz, MMR 2013, 88 (88 ff.). 1700 Kritisch zur Absolutheit der Menschenwürdegarantie mit Verweis auf die Rechtsprechung des BVerfG: Baldus, AöR 136 (2011), 529 (529 ff.). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 240 GG dar1701. Die Rolle als „tragendes Konstitutionsprinzip“1702, als Grund- und Leitnorm sowie als wichtigste Wertentscheidung des GG wird durch die „Ewigkeitsgarantie“ in Art. 79 Abs. 3 GG unterstrichen, wonach die Einschränkung des Grundsatzes des Art. 1 Abs. 1 GG auch bei Verfassungsänderung verboten ist1703. Damit wird deutlich gemacht, dass es sich nicht nur um eine reine Proklamation ohne rechtliche Folge handelt1704. Das GG verpflichtet die Bundesrepublik Deutschland auf die Menschenwürde als Quelle und Endzweck deutscher Staatsgewalt, sodass dieser Staat insgesamt einen anthropozentrischen Charakter aufweist1705. Über Art. 1 Abs. 1 S. 2 GG ist die öffentliche Verwaltung damit verpflichtet, die Menschenwürdegarantie auch dann einzuhalten, wenn sie transaktionsbezogenes E-Government anbietet. Konkretisierungsproblem beim Schutzbereich der Menschenwürde Die Menschenwürdegarantie hat fundamentale Bedeutung, die Konkretisierung ihres Schutzbereiches und insbesondere eine Definition des Menschenwürdebegriffes bereitet jedoch Schwierigkeiten1706. Grundsätzlich gibt es zum einen den Ansatz, die Menschenwürde positiv zu bestimmen, sowie zum anderen den Ansatz, diese von der Verletzungsseite her zu bestimmen. In die erste Kategorie der positiven Bestimmungsversuche fallen die Wert- oder Mitgifttheorien, welche unter Würde eine bestimmte menschliche Eigenschaft verstehen, die den Menschen auszeichnet1707. Ebenfalls in diese Kategorie fallen die Leistungstheorien, wonach Menschenwürde etwas ist, was man als Mensch nicht schon hat, sondern erst erlangen muss1708. Würde muss nach diesen Theorien in einem gelingenden Prozess der Identitätsbildung und Selbstdarstellung erst gewonnen werden, wobei hier gerade das Moment eigener Hervorbringung der personalen Identität und tatsächlicher Selbstbestimmung stark betont wird1709. Diese Theorien sind aber letztlich bei leistungsunfähigen Menschen unzureichend, denen jedenfalls auch Würde zukommt1710. Schließlich gibt es eine neuere Kommunikationstheorie, die Menschenwürde als Relations- und Kommunikationsbegriff sieht, wonach sich Würde in sozialer Anerkennung durch positive Bewer- 2. 1701 BVerfGE 109, 279 (311); 96, 375 (398); 102, 370 (389); 117, 71 (89); Jarass, in: Ders./Pieroth, Art. 1 Rn. 1; Herdegen, in: Maunz/Dürig, Art. 1 Rn. 4; Kunig, in: MüKo, Art. 1 Rn. 4. 1702 BVerfGE 87, 209 (228); 109, 133 (149); BVerwGE 115, 189 (199). 1703 Jarass, in: Ders./Pieroth, Art. 1 Rn. 1. 1704 Dreier, in: Ders., Art 1 I Rn. 42; Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, 1999, § 4 Rn. 116; Pieroth/Schlink, Rn. 349; Laue, Vorgangsbearbeitungssysteme in der öffentlichen Verwaltung, S. 131; die Frage, ob es sich bei Art. 1 Abs. 1 GG überhaupt um ein Grundrecht handelt, soll hier nicht weiter thematisiert werden, da ansonsten der Rahmen dieser Arbeit gesprengt werden würde. 1705 Schaefer, AöR 135 (2010), 404 (421). 1706 Hufen, JuS 2010, 1 (2). 1707 Dreier, in: Ders., Art. 1 I Rn. 41. 1708 Luhmann, Grundrechte als Institution, 1965, S. 60; Krawietz, Gewährt Art. 1 Abs. 1 GG dem Menschen ein Grundrecht auf Achtung und Schutz seiner Würde?; in: Gedächtnisschrift für Friedrich Klein, 1977, S. 245 ff. 1709 Dreier, in: Ders., Art. 1 I Rn. 42. 1710 Zu diesen Unzulänglichkeiten bei leistungsunfähigen Menschen: Pieroth/Schlink, Rn. 385; Epping, Grundrechte, Rn. 593; Rekittke, DVP 2008, 51 (51). A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 241 tung von sozialen Achtungsansprüchen und somit in mitmenschlicher Solidarität konstituiere1711. In die Kategorie, welche die Menschenwürde von der Verletzungsseite aus bestimmen will, fällt die sog. Objektformel1712. Diese sieht die Würde des Menschen dann als verletzt an, wenn dieser zum Objekt, zu einem bloßen Mittel, zu einer vertretbaren Größe herabgewürdigt wird1713 und seine Subjektsqualität grundsätzlich infrage gestellt wird1714. Zur Feststellung von Menschenwürdeverletzungen greift das BVerfG diese Formel auf1715. Sie ist für den Nachweis evidenter Verstöße gegen die Menschenwürde geeignet, weist ansonsten aber Identifikationsschwächen auf1716. Gerade im Kontakt mit der öffentlichen Verwaltung gibt es Konstellationen, in denen ein Mensch augenscheinlich „Objekt“ staatlichen Handelns in einem Massenverfahren ist, aber seine Subjektsqualität keinesfalls grundsätzlich infrage gestellt wird1717. Grundsätzlich enthalten alle Theorien zur Bestimmung der Menschenwürde wichtige Aspekte. Es ist auch nicht davon auszugehen, dass diese Bestimmungsversuche zueinander oder untereinander im Verhältnis strenger Alternativität stehen1718. Bei allen Unterschieden im Detail finden sich in allen Theorien Begriffe wie „freier Wille“, „Selbstbestimmung“, „Subjektivität“ und „individuelle Eigenart“1719. Die dargestellten Schwierigkeiten bei der Bestimmung der Menschenwürde und den zu vagen Bestimmungsversuchen haben jedoch dazu geführt, dass es eine Überfrachtung derselben gibt und damit einhergehend eine Banalisierung stattgefunden hat, sodass ihr inflationärer Gebrauch in der Diskussion kritisiert wird1720. Um dem Begriff der Menschenwürde als oberstem Verfassungsprinzip den Stellenwert zu geben, der angemessen ist, wird eine hinreichende Begriffsbestimmung angemahnt1721. Die genaue Begriffsbestimmung kann hier nicht weiter verfolgt werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Interessant erscheint unabhängig von diesen Schwierigkeiten der Begriffsbestimmung für die Frage der Verantwortlichkeit eines Nutzers im transaktionsbezogenen E-Government jedenfalls das aus der Menschenwürde abgeleitete und in allen Bestimmungsversuchen enthaltene Prinzip der Selbstbestimmung des Menschen. Diese von der Menschenwürde umfasste Selbstbestimmung des Einzelnen bezieht sich auf die Eigenverantwortlichkeit in Lebensentscheidungen und den Kern individueller 1711 Hofmann, AöR 118 (1993), 353 (368). 1712 Vitzthum, JZ 1985, 201 (202). 1713 Dürig, AöR 81 (1956), 117 (127); ders., in: Maunz/Dürig (1958), Art. 1 Rn. 28; Herdegen, in: Maunz/Dürig (2012), Art. 1 Abs. 1 Rn. 36. 1714 BVerfGE 96, 375 (399)(Kind als Schaden); 115, 118 (152)(Luftsicherheitsgesetz); Epping, Grundrechte, Rn. 594. 1715 BVerfGE 9, 89 (95); 27, 1 (6); 28, 386 (391); 45, 187 (228); 50, 166 (175); 50, 205 (215); 57, 250 (275); 72, 105 (116); 87, 209 (228). 1716 Dreier, in: ders., Art. 1 I Rn. 39. 1717 Laue, Vorgangsbearbeitungssysteme in der öffentlichen Verwaltung, S. 133. 1718 Dreier, in: ders., Art. 1 I Rn. 44. 1719 Bautze, JURA 2011, 647 (648). 1720 Tiedemann, DÖV 2009, 606 (607 ff.). 1721 Tiedemann, DÖV 2009, 606 (612). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 242 Selbstdarstellung des Einzelnen nach außen1722. Hiermit sind also die autonomen und eigenverantwortlichen Entscheidungen des Nutzers von Informationstechnologie in der digitalen Welt angesprochen1723. Allgemeines Prinzip der Selbstbestimmung und Selbstverantwortung Das Prinzip der Selbstbestimmung stellt einen wichtigen Aspekt der Menschenwürdegarantie dar, der in verschiedenen weiteren Bereichen Bedeutung erlangt. Grundlage für dieses Prinzip ist die auf Kant1724 zurückgehende Vorstellung vom Menschen als einem zu freier1725, zugleich aber auch verantwortungsbewusster1726 Selbstbestimmung befähigten Wesen, das aufgrund der damit bestehenden Identität einen Zweck an sich selbst darstellt1727 und dem deswegen auch ein besonderer Achtungsanspruch zukommt1728. Der Mensch wird als ein vernunftbegabtes Wesen gesehen, welches in der Lage ist, durch Selbstbestimmung Verantwortung für sein eigenes Handeln zu übernehmen1729. Dieses Leitbild prägt die Rechtsordnung und erlangt in allen Bereichen derselben Bedeutung. Dies ist gewissermaßen die logische Konsequenz der Menschenwürde und ihrer Absolutheit. In der Lebenswirklichkeit gibt es selbstverständlich Fälle, in denen ein Mensch nicht zur Selbstbestimmung und damit auch nicht zur Selbstverantwortung fähig ist, die aber einen Ausnahmefall von diesem Leitbild darstellen1730. Ebenfalls gibt es in der Lebenswirklichkeit auch Fälle, in denen ein Mensch zur Selbstbestimmung und Selbstverantwortung fähig ist, diese Selbstbestimmung aber nach allgemeinen Maßstäben „unvernünftig“ ausübt. Schutz des Grundrechtsträgers „vor sich selbst“? In derartigen Konstellationen findet vielfach eine Verletzungshandlung der Menschenwürde seitens privater Dritter statt, nachdem der Grundrechtsträger in diese eingewilligt hat. Die Frage, die sich in solchen Konstellationen immer wieder gestellt hat, war, ob es hier staatlicherseits einen Schutz des Menschen „vor sich selbst“ geben muss, und letztlich damit auch, wie weit die Selbstbestimmung und Selbstverantwortung des Einzelnen reicht und wo ggf. staatlicherseits durch Verbote interveniert werden muss. Bekanntheit hat in dieser Frage die Rechtsprechung des BVerwG erlangt, 3. 4. 1722 Herdegen, in: Maunz/Dürig, Art. 1 Abs. 1 GG Rn. 84. 1723 Orantek, Datenschutz im Informationszeitalter, S. 3. 1724 Enders, Die Menschenwürde in der Verfassungsordnung, 189 ff.; Geddert-Steinacher, Menschenwürde als Verfassungsbegriff, S. 31 ff. 1725 BVerfGE 45, 187 (227); Dürig, in: MD, GG, 53. Aufl. 2009, Art. 1 Abs. 1 Rn. 18 (Erstbearbeitung); Hufen, JZ 2004, 313 (316); Enders, Die Menschenwürde in der Verfassungsordnung, 1997, S. 11, 88 ff.; Nettesheim, AöR 130 (2005), 71 (103 ff.) 1726 BVerfGE 57, 250 (275); Geddert-Steinacher, Menschenwürde als Verfassungsbegriff, S. 32 m. w. N. 1727 BVerfGE 88, 203 (252); Böckenförde, JZ 2003, 809 (811); Isensee, AöR 131 (2006), 174 (215); Nettesheim, AöR 130 (2005), 71 (100 ff.). 1728 BVerfGE 30, 1 (26; 109, 279 (313); Ipsen, Staatsrecht, Bd. II: Grundrechte, 11. Aufl. 2008, Rn. 232; Classen, DÖV 2009, 689 (692) m. w. N. 1729 Isensee, AöR 131 (2006), 174 (215 ff.). 1730 Zu denken ist hier z. B. an die Fälle der Betreuung: § 1896 BGB. A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 243 wonach in der sog. „Peepshow-Entscheidung“ die entpersonifizierende Vermarktung der Frau als Würdeverstoß angesehen wurde, und ausgeführt, dass die Menschenwürde ein objektiver unverfügbarer Wert sei, auf dessen Beachtung der Einzelne nicht wirksam verzichten könne1731. Diese Entscheidung hat der Selbstbestimmung Grenzen gezogen. In der Literatur wurde diese Entscheidung als Ausdruck eines Wertabsolutismus heftig kritisiert und darauf hingewiesen, dass es keinen Grundrechtsschutz „vor sich selbst“ geben könne1732. In dieselbe Richtung ging die Entscheidung zum sog. „Zwergenweitwurf “, bei dem Kleinwüchsige durch andere Personen nach vorheriger Einwilligung durch die Luft geworfen wurden und ihnen danach eine objektartige Rolle zukomme1733. Ähnlich hat das BVerwG auch in der sog. „Laserdrome-Entscheidung“ entschieden, wonach die Tötungsspiele wegen ihrer tendenziellen Gewaltverharmlosung und der damit verbundenen Vorstellung der Verfügbarkeit des Menschen als Objekt, in dessen Leben und körperliche Integrität nach Belieben eingegriffen werden könne, für unvereinbar mit der Menschenwürde gehalten1734. In allen genannten Konstellationen handelt es sich um solche, in denen der Grundrechtsträger in die Verletzung seiner Würde eingewilligt hat. Insgesamt gibt es eine gesellschaftliche Entwicklung, dass Menschen ihre Grundrechte und insbesondere ihre Menschenwürde nicht ernst nehmen und zugunsten eines vermeintlichen Vergnügens zur Disposition stellen1735. Maßgeblich ist hier die Einwilligung des Betroffenen, die weder unter materiellem noch physischem oder psychischem Druck zustande gekommen sein darf, sondern strikt freiwillig sein muss1736. Häufig wird die Einwilligung mit monetären Anreizen oder kurzem Ruhm erkauft. Für die Frage der Menschenwürdegarantie ist aufgrund ihrer Absolutheit jedenfalls auch unerheblich, ob sich ihr Träger dieser bewusst ist und sie selbst zu wahren weiß1737. Eine Menschenwürdeverletzung bleibt trotz Einwilligung durch den Grundrechtsträger eine solche. Eine Rechtsordnung muss jedenfalls aber auch damit rechnen, dass ein Grundrechtsträger unvernünftig mit seiner grundrechtlichen Freiheit umgeht ‒ und sogar in die Verletzung einwilligt. Insoweit ist der Selbstbestimmung und Selbstverantwortung mehr Raum zu gewähren als einer paternalistischen Interpretation der Menschenwürde1738. Zwischenergebnis Aus der Menschenwürdegarantie und den genannten Bestimmungsversuchen lässt sich das Prinzip der Selbstbestimmung ableiten. Dieses hat auch für den Bereich der Nutzung von transaktionsbezogenen E-Government-Angeboten Bedeutung. Für den 5. 1731 BVerwGE 64, 274 (279) (Peepshow-Entscheidung). 1732 V. Olshausen, NJW 1982, 2221 (2223/2224); Scheidler, JURA 2009, 575 (578). 1733 VG Neustadt, NVwZ 1993, 98 ff. (Zwergenweitwurf); Epping, Grundrechte, Rn. 606. 1734 BVerwGE 115, 189 (200 ff.); Bautze, JURA 2011, 647 (648); näher zu den verschiedenen Arten von Tötungsspielen und kritisch zum Verbot: Scheidler, JURA 2009, 575 (577 ff.). 1735 Vgl. etwa die Nachweise zu verschiedenen Fernsehformaten: Bautze, JURA 2011, 647 (648 ff.); Rihaczek, DuD 2009, 717 (717). 1736 Dreier, in: Ders., Art. 1 Abs. 1 GG Rn. 153; Bautze, JURA 2011, 647 (649). 1737 Jarass, in: Jarass/Pieroth, Art. 1 GG Rn. 8; BVerfGE 39, 1 (41). 1738 Hufen, JuS 2010, 1 (4). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 244 Nutzer ist damit grundsätzlich nach seiner freiwilligen Entscheidung über das „Ob“ der Nutzung Eigenverantwortung für sein Handeln verbunden. Dieser ist bei der Frage der Nutzung von transaktionsbezogenem E-Government Subjekt. Da es hier auf die Selbstbestimmung und Selbstverantwortung ankommt, ist es wichtig, dass diese durch einen mündigen und informierten Nutzer stattfindet. Die Selbstbestimmung des Nutzers charakterisiert das Verhältnis zu den Diensteanbietern und zur Verwaltung gleichermaßen. Insgesamt kann der Menschenwürdegarantie und dem aus ihr folgenden allgemeinen Prinzip der Selbstbestimmung aber nichts im Hinblick auf die konkrete Reichweite und möglichen Grenzen der Selbstbestimmung in unterschiedlichen Kontexten und Konstellationen gegenüber den anderen Akteuren entnommen werden. Für den weiteren Verlauf der Untersuchung ist das Prinzip der Selbstbestimmung und Selbstverantwortung jedenfalls aber von entscheidender Bedeutung. Angesichts der „Ausstrahlung“ der Menschenwürde auf die gesamte Grundrechtsordnung und die Gesamtrechtsordnung sind daher weitere einschlägige Gewährleistungen und ihre Ausprägungen zu untersuchen. Allgemeine Handlungsfreiheit aus Art. 2 I GG Deswegen soll hier als weitere relevante grundrechtliche Gewährleistung die allgemeine Handlungsfreiheit aus Art. 2 Abs. 1 GG näher in den Blick genommen werden. Aus diesem Grundrecht lassen sich verschiedene Gewährleistungsgehalte ableiten. Privatautonomie und Selbstbestimmung als Grundvoraussetzung Aus Art. 2 Abs. 1 GG wird der Gewährleistungsgehalt der Privatautonomie abgleitet1739. Sie ist Teil des allgemeinen Prinzips der Selbstbestimmung1740 aus Art. 1 GG und charakterisiert die Selbstbestimmung des Einzelnen im Rechtsleben1741. Diese Grundrechtsgewährleistung korrespondiert also mit dem Menschenbild des GG1742, welches im Grundsatz von der Fähigkeit des Menschen zur Selbstverantwortung ausgeht. Der Grundsatz der Privatautonomie prägt die Privatrechtsordnung, welche es dem Einzelnen überlässt, seine Lebensverhältnisse durch Rechtsgeschäfte eigenverantwortlich zu gestalten1743. Hierbei gilt es für den Gesetzgeber, den grundrechtlichen Schutz der Privatautonomie bei der näheren Ausgestaltung der Privatrechtsordnung zu berücksichtigen1744. Grundsätzlich ist im Prinzip der Selbstbestimmung also auch Selbstverantwortung enthalten und Erstere ohne Letztere nicht denkbar1745. Dabei hat II. 1. 1739 Jarass, in: Jarass/Pieroth, Art. 2 Rn. 4. 1740 BVerfGE 70, 123; 72, 170. 1741 BVerfGE 114, 1 (34); 89, 214 (231); 115, 51 (52 f.); Stern, Staatsrecht, Band IV/1, 903 f.); Jarass, in: Jarass/Pieroth, Art. 2, Rn. 4. 1742 Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 105. 1743 Palandt/Heinrichs/Ellenberger, Überbl. § 104 Rn. 1. 1744 Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 105. 1745 Hillgruber, Der Schutz des Menschen vor sich selbst, S. 153 f. mit Verweis auf BVerfGE 6, 32 (40); Singer, JZ 1995, 1133 (1139). A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 245 der Gesetzgeber sicherzustellen, dass die Bedingungen der Selbstbestimmung des Einzelnen auch tatsächlich gegeben sind1746. Beim Handeln von Privaten ist die Privatautonomie des einen die Grenze für die Privatautonomie des anderen1747. In der Privatautonomie ist daher auch die Einhaltung von Pflichten gegenüber einem anderen Rechtssubjekt angelegt. Die Grundrechte des GG im Allgemeinen und die Privatautonomie im Besonderen gelten für Anbieter und Nutzer von Information und Kommunikation im Internet gleichermaßen1748. Das Grundrecht des Art. 2 Abs. 1 GG schützt vor Eingriffen in die Privatautonomie von staatlicher Seite. Das bedeutet, dass der Staat die rechtlich wirksame Selbstbindung von Privatrechtssubjekten anerkennen muss1749. Die Privatautonomie bedarf aber auch einer ihre Durchsetzung gewährleistenden, sie „umhegenden“ Rechtsordnung, welche ihren Schutz bezweckt1750. Da es sich bei der Nutzung von transaktionsbezogenem E-Government um eine freiwillige Entscheidung eines jeden Nutzers handelt, ist hier dessen Privatautonomie tangiert1751. Nach der Konzeption des De-Mail-Gesetzes und des EGovG sind im Rahmen des Angebotes von Diensten private Diensteanbieter eingebunden, sodass auch deren Privatautonomie hier eine Rolle spielt. Vertragsfreiheit als „Hauptfall“ der Privatautonomie Den praktisch bedeutsamsten Hauptfall der Privatautonomie stellt neben den anderen Haupterscheinungsformen1752 die Vertragsfreiheit dar1753, welche im Verhältnis des Diensteanbieters zum Nutzer von transaktionsgbezogenen E-Government-Anwendungen eine große Rolle spielt. Die Vertragsfreiheit gewährt Privatrechtssubjekten untereinander das Vehikel eines Vertrages zur privatautonomen Rechtsetzung. Sie ist grundsätzlich in Art. 2 Abs. 1 GG als Ausprägung der Privatautonomie zu verorten, wobei sie auch in anderen grundrechtlichen Gewährleistungen enthalten ist1754. Eine nähere Erörterung dieser weiteren grundrechtlichen Verortungen soll hier unterbleiben, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Festzuhalten bleibt aber, dass die Vertragsfreiheit ein durch Grundrechte gewährleistetes Rechtsina) 1746 BVerfGE 103, 89 (100) – Unterhaltsverzicht; BVerfG NJW 2005, 2363 (2365); 2376 (2377 ff.) – Lebensversicherung; BVerfG (K) NJW 2006, 596 (598) – Künstlervertrag; Murswiek, in: Sachs, Art. 2 R. 55a. 1747 Paulus/Zenker, JuS 2001, 1 (2). 1748 Bizer, in: Schulzki-Haddouti (Hrsg.), Bürgerrechte im Netz, 21 (21). 1749 Höfling, Vertragsfreiheit, S. 20 ff. 1750 Hillgruber, in: Umbach/Clemens (Hrsg.), Art. 2 I, Rn. 98 (Hervorhebung im Originaltext). 1751 Schweighofer, in: Benedek/Pekari (Hrsg.), Menschenrechte in der Informationsgesellschaft, 257 (271), spricht von „e-Privatautonomie“. 1752 Weitere Erscheinungsformen sind die Vereinigungsfreiheit, die Testierfreiheit und die Freiheit des Eigentums: Vgl. Palandt/Heinrichs/Ellenberger, Überbl. § 104 Rn. 1; zur systematischen Einordnung in die Rechtsordnung und der Rolle der Rechtssubjekte: Achterberg, Die Rechtsordnung als Rechtsverhältnisordnung, S. 40 ff. 1753 BVerfGE 8, 274 (328); 12, 341 (347); 65, 196 (210); 70, 115 (123); 74, 129 (151 f.); 88, 384 (403); 89, 48 (61); 89, 214 (231); 103, 197 (215); 114, 1 (34); 115, 51 (52 f.); Di Fabio, in: Maunz/Dürig, Art. 2 Abs. 1 Rn. 101 ff.; Hillgruber, in: Umbach/Clemens, Art. 2 I Rn. 94 ff.; Murswiek, in: Sachs, Art. 2 R. 55a ff.; Stern, Staatsrecht IV/1, S. 901 ff; Berg, Die Verwaltung 21 (1988), 319 (323). 1754 Hierzu näher: Höfling, Vertragsfreiheit, S. 9 ff. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 246 stitut zur privatautonomen Gestaltung von Rechtsbeziehungen im Gleichordnungsverhältnis ist1755. Damit schützt die Vertragsfreiheit nicht bloß ein tatsächliches Handeln, sondern eine rechtliche Verpflichtungsfähigkeit1756. Durch diese grundrechtliche Garantie wird ein Bestand an privatrechtlichen Kompetenznormen, die zur Wahrnehmung der Vertragsfreiheit unerlässlich sind, gesichert1757, was der Gesetzgeber bei der Ausgestaltung der Privatrechtsordnung berücksichtigen muss. Jedenfalls ist hier die Vertragsfreiheit als eine wesentliche grundrechtliche Gewährleistung für die Rechtsbeziehungen der Akteure im transaktionsbezogenen E-Government einschlägig. Im transaktionsbezogenen E-Government schließt der Nutzer nach der gegenwärtigen Konzeption in einer Vielzahl von Fällen einen Vertrag mit seinem De- Mail-Diensteanbieter. Die Verwaltung wird sich, soweit sie sich nicht für eine interne sog. Gateway-Lösung über einen internen Dienstleister entscheidet, auch einen De- Mail-Diensteanbieter suchen, mit dem sie einen Vertrag schließt1758. Privatautonome Entscheidung über das „Ob“ der Nutzung von transaktionsbezogenem E-Government Die Entscheidung über das „Ob“ der Nutzung von transaktionsbezogenem E-Government ist immer eine freiwillige Entscheidung des Nutzers, die damit in den grundrechtlichen Gewährleistungsbereich der Privatautonomie fällt, egal ob die Nutzung über einen Diensteanbieter oder mit der Verwaltung direkt abgewickelt wird. Die einfachgesetzlichen Regelungen des De-Mail-Gesetzes1759 und des EGovG sind so ausgestaltet, dass sie vom Leitbild der freiwilligen, auf einer privatautonomen Entscheidung beruhenden Nutzung ausgehen. Konsequenz dieses Leitbildes ist, dass den Nutzer bei der Frage des „Ob“ bereits auch die mit der Selbstbestimmung korrespondierende Eigenverantwortlichkeit trifft. Der Nutzer muss die Konsequenzen, die sich für ihn aus der Entscheidung für den digitalen Kommunikationskanal ergeben, selber tragen. Selbstverantwortung des Nutzers als Konsequenz der Privatautonomie beim „Wie“ der Nutzung Die Gewährleistung der Privatautonomie und die den Nutzer treffende Verantwortlichkeit spielen in gleichem Maße beim „Wie“ der Nutzung von transaktionsbezogenem E-Government eine Rolle. Der Nutzer schließt einen Vertrag mit einem Diensteanbieter und wird in diesem Kontext dann beispielsweise mit gesetzlich zwingenden Regelungen und ggf. den AGB des Diensteanbieters konfrontiert. Den Nutzer treffen b) c) 1755 Höfling, Vertragsfreiheit, 1991, S. 28. 1756 Leisner, Grundrechte und Privatrecht, S. 327 f. 1757 Alexy, Theorie der Grundrechte, S. 442 ff.; Steinbeiß-Winkelmann, Grundrechtliche Freiheit und staatliche Freiheitsordnung, 1986, S. 116 f., 119 f.; Schmidt-Salzer, NJW 1970, 8 (14); Höfling, Vertragsfreiheit, S. 28. 1758 Hierbei kann es sich auch um sog. Multi-Channel-Service-Verträge handeln, die auch das ersetzende Scannen und eine Zustellung über den papierschriftlichen Kanal ermöglichen: Vgl. www.mentana-claimsoft.de. 1759 Spindler, CR 2011, 309 (317). A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 247 also u. a. auch rechtliche Pflichten und Haftungsrisiken1760. Bei der Frage des „Wie“ der Nutzung ist also ebenfalls die Selbstverantwortung des Nutzers beispielsweise im Hinblick auf die Frage der Datensicherheit und den Umgang mit Identitätsdaten von großer Bedeutung. Abwägung des Nutzers Wie bei anderen Entscheidungen über die Nutzung von elektronischen Diensten auch ist daher bei der Frage der Nutzung von transaktionsbezogenen E-Government-Anwendungen konkret eine Abwägungsentscheidung des Nutzers notwendig. Er muss überlegen, welchen individuellen Nutzen ihm das jeweilige Angebot bringt, wie einfach die Handhabung für ihn ist und welche Gefahren ggf. für ihn damit im Hinblick auf die Datenhoheit und Datensicherheit verbunden sein können. Diese Abwägungsentscheidung ist Teil seiner Selbstbestimmung und damit Ausübung von Freiheit1761. Sie setzt somit aber auch Selbstverantwortungsfähigkeit und Selbstverantwortungsbereitschaft voraus. Beim „Wie“ der Nutzung muss sich der Nutzer die Frage stellen, welche Schutzmöglichkeiten er selbst einbezieht und welchen Aufwand diese für ihn konkret bedeuten. So überlässt beispielsweise das De-Mail-Gesetz die Entscheidung der Nutzung einer Ende-zu-Ende-Verschlüsselung dem Vertragsverhältnis zwischen Nutzer und De-Mail-Diensteanbieter und ordnet diese nicht gesetzlich zwingend an1762. Er muss sich einem Regime aus allgemeinen Geschäftsbedingungen des Diensteanbieters unterwerfen, die seine eigene Selbstbestimmung einschränken und Pflichten statuieren können1763. Dies verdeutlicht, dass beim „Ob“ und beim „Wie“ der Nutzung von transaktionsbezogenem E-Government der Nutzer, der Idee der Selbstbestimmung folgend, komplexe und weitreichende Abwägungsentscheidungen treffen muss, die diesem grundsätzlich zugetraut werden1764. Dies impliziert eine grundsätzliche „Waffengleichheit“ von Diensteanbieter und Nutzer sowie Gestaltungsfreiheit innerhalb der Vertragsfreiheit. Diese Prämisse erscheint für sich genommen idealtypisch und angesichts der oben dargestellten Nutzergruppen und deren unterschiedlicher digitaler Verantwortungsbereitschaft1765 nicht in jeder Hinsicht lebensnah. Beschränkung der Vertragsfreiheit oder bloße Ausgestaltung? Insoweit stellt sich die Frage, ob diese durch die Vertragsfreiheit gewährte Gestaltungsfreiheit auch Grenzen finden kann oder ob es ohnehin Sache des Gesetzgebers ist, einen normgeprägten Schutzbereich auszugestalten. Damit verbunden ist der Aspekt, ob die aus der Selbstbestimmung folgende Selbstverantwortung, die im Rahmen d) e) 1760 Spindler, CR 2011, 309 (318). 1761 Worms/Gusy, DuD 2012, 92 (97). 1762 Dazu später unten unter Teil 4, C., 9 c). 1763 Vgl. hierzu bereits die Nachweise bei Höfling, Vertragsfreiheit, S. 2. 1764 Worms/Gusy, DuD 2012, 92 (97). 1765 Teilweise wird auch von digitaler Souveränität gesprochen: Studie Zukunftspfade digitales Deutschland 2020, S. 34. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 248 der Vertragsfreiheit gilt, dadurch auch Grenzen findet. Da es sich bei der Vertragsfreiheit um eine grundrechtliche Gewährleistung handelt, die für beide Vertragspartner gilt, stellt sich bei einer möglichen Einschränkbarkeit die Frage nach einer verfassungsrechtlichen Rechtfertigung. Bei der grundrechtlichen Gewährleistung der Vertragsfreiheit handelt es sich um einen normgeprägten Schutzbereich1766. Geschützt ist nicht wie bei anderen Grundrechten ein tatsächliches Verhalten, sondern eine rechtliche Verpflichtungsfähigkeit1767. Es scheint zunächst paradox zu sein, dass diese grundrechtlich gewährleistete Freiheit aus Gründen der Grundrechtsverwirklichung wieder eingeschränkt werden soll1768. Die Konturen erhält diese erst durch einfachgesetzliche Ausgestaltung. In der Literatur gibt es daher Auffassungen, dass die Beschränkung der Vertragsfreiheit nicht durch nachträgliche Grenzziehung entstehe, sondern von einer von vornherein begrenzten Zulassung auszugehen sei1769. Bei der Organisation der Verwirklichung dieser grundrechtlichen Gewährleistung bestehe ein atypischer Sachverhalt, sodass auch die Vertragsfreiheit atypische Bedeutung erlange1770. Bei den sog. Institutsgarantien ist ein Einsatz des traditionellen Eingriffs- und Schrankendenkens zumindest schwierig1771. Weitere Stimmen in der Literatur konstatieren, dass die Ausgestaltung und die Beschränkung der Vertragsfreiheit eng beieinander liegen1772. Relevanz kann die Unterscheidung zwischen bloßer Ausgestaltung und Einschränkung bei der Geltung des verfassungsrechtlichen Übermaßverbotes erlangen. Rechtsprechung des BVerfG Das BVerfG geht in einer frühen Entscheidung grundsätzlich davon aus, dass die Vertragsfreiheit dort gesetzlich eingeschränkt werden kann, wo es aus gesamtwirtschaftlichen und sozialen Gründen zum Nutzen des allgemeinen Wohls geboten ist1773. Diese Formel ist sehr allgemein und weitreichend und setzt nicht bei den unterschiedlichen Machtverhältnissen der Vertragspartner an1774. In einer weiteren wegweisenden Entscheidung hat das BVerfG aus Art. 12 GG einen Schutzauftrag der Verfassung zur Begrenzung der Vertragsfreiheit abgeleitet, wenn einer der Vertragspartner ein so starkes Übergewicht hat, dass dieser vertragliche Regelungen faktisch einseitig bestimmen kann1775. Mit diesem Ansatz werden die faktisch bestehenden aa) 1766 Volle, Datenschutz als Drittwirkungsproblem, S. 185. 1767 Höfling, Vertragsfreiheit, S. 3. 1768 Ramm, JZ 1988, 489 (489). 1769 Schmidt-Salzer, NJW 1970, 8 (14). 1770 Schmidt-Salzer, NJW 1970, 8 (15). 1771 Vgl. die Kritik bei Häberle, Die Wesensgehaltsgarantie des Art. 19 Abs. 2 Grundgesetz, S. 180 ff., insbesondere S. 185. 1772 Canaris, JZ 1988, 494 (496). 1773 BVerfGE 8, 274 (329); 1774 Kritisch insoweit: Höfling, Vertragsfreiheit, S. 41. 1775 Sog. Handelsvertreter-Urteil vom 7. Februar 1990: BVerfGE 81, 242 (256) = JZ 1990, 691; Tettinger, DVBl. 1999, 679 (683); Singer, JZ 1995, 1133 (1136 f.); auch in Art. 12 GG entfaltet die Vertragsfreiheit Wirkungen. A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 249 Machtkonstellationen der Vertragspartner und damit die Seite der tatsächlichen Voraussetzungen der Selbstbestimmung in den Blick genommen. Diese Herangehensweise ist in weiteren Entscheidungen des BVerfG zum Ausdruck gekommen. Danach sieht das BVerfG auch die Zivilgerichte in der verfassungsrechtlichen Pflicht, darauf zu achten, dass Verträge nicht als Mittel der Fremdbestimmung eingesetzt werden1776. Durch diese Rechtsprechung wird deutlich, dass es auf die Ausgangslage der Verwirklichungsbedingungen für Selbstbestimmung ankommt und das Vehikel des Vertrages durchaus störungsanfällig sein kann, wenn die Voraussetzungen freier Selbstbestimmung faktisch nicht gegeben sind. Konstellationen von Machtungleichgewichten als Anknüpfungspunkt Anknüpfungspunkt für eine Beschränkung der Vertragsfreiheit sind Machtungleichgewichte der Vertragspartner, bei denen die Fähigkeit eines Vertragspartners zu selbstbestimmtem und eigenverantwortlichem Handeln nicht gegeben ist. Das reale Vertragsgeschehen entspricht nicht dem Idealbild, dass sich zwei gleich starke Partner gegenüberstehen, sondern es gibt hier wirtschaftliche oder soziale Zwänge vielfältiger Art und die Freiheit zur Selbstbestimmung wird erheblich eingeschränkt1777. In der Regel ist es ein Unternehmen, welches einer Privatperson gegenübersteht. In diesen Konstellationen „gestörter Vertragsparität“1778 muss die faktische Macht des übermächtigen Vertragspartners eingeschränkt werden. Andererseits bestünde die Gefahr, dass sich für einen Vertragsteil die Selbstbestimmung in Fremdbestimmung umkehrt1779. Die üblicherweise als Einbruchstelle für die Grundrechte im Privatrecht genutzten Generalklauseln der §§ 138, 242 und 315 BGB reichen nach einer Auffassung als Korrektiv nicht aus1780. Typisierbare Ungleichgewichtslagen Ungleichgewichtslagen sind also etwas Faktisches, was es rechtlich einzufangen gilt. Dementsprechend lässt sich nicht unmittelbar aus der Verfassung entnehmen, wann diese so schwer wiegen, dass die Vertragsfreiheit durch zwingendes Gesetzesrecht begrenzt oder ergänzt werden muss1781. Die typische Gefahrenlage, die von Privaten bb) (1) 1776 BVerfGE 89, 214 (229 ff.); BVerfG NJW 1994, 411 (412). 1777 Singer, JZ 1995, 1133 (1137); zur Frage von Ungleichgewichtslagen unter dem Gesichtspunkt der Privatautonomie und der datenschutzrechtlichen Einwilligung: Kamp/Rost, DuD 2013, 80 (82). 1778 Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 107; vgl. auch Weichert, DuD 2013, 246 (246) m. w. N., wonach in solchen Machtkonstellationen das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt logische Konsequenz sei. 1779 BVerfGE 89, 214 (232); BVerfG, Urt. v. 6.2.2001, NJW 2001, 957 (958); Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 107. 1780 Wiedemann, JZ 1990, 691 (697); kritisch zur Terminologie in diesem Zusammenhang: Schwabe, DVBl. 1990, 474 (479). 1781 BVerfG JZ 1990, 474 (475). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 250 ausgeht, ergibt sich aus einer Asymmetrie der Kräfteverhältnisse1782. Die Merkmale, an denen erforderliche Schutzvorschriften ansetzen können, lassen sich nur typisierend erfassen, wobei dem Gesetzgeber hier ein besonders weiter Gestaltungs- und Beurteilungsspielraum zur Verfügung steht1783. Dieser Anknüpfungspunkt soll Schwächen des formalen Freiheitsbegriffes der Privatautonomie korrigieren1784. Eine solche typische Ungleichgewichtslage liegt auch im Verhältnis zwischen E-Government-Nutzer und De-Mail-Diensteanbieter vor, da der Anbieter wesentliche Teile der notwendigen technischen Basisinfrastruktur beherrscht und wirtschaftlich ganz anders aufgestellt ist als ein Privatnutzer. Nicht typisierbare Ungleichgewichtslagen In Konstellationen außerhalb typisierbarer Ungleichgewichtslagen soll ein strengerer Maßstab für die Beschränkung der Privatautonomie im Wege des Eingreifens staatlicher Schutzpflichten gelten1785. In diesen Fällen sollen aber die schwächeren Vertragspartner nicht völlig schutzlos gestellt werden. In diesem Bereich soll nach zivilgerichtlicher Rechtsprechung lediglich die Einhaltung von Minimalstandards geboten sein1786. Kritik am Anknüpfungspunkt der gestörten Vertragsparität Der Ansatzpunkt der gestörten Vertragsparität wird in der Literatur teilweise heftig kritisiert1787. Diese sei schwer festzustellen und nicht justiziabel1788. In der tatbestandsmäßigen Erfassung von typischer Schutzbedürftigkeit liege immer auch eine Abgrenzung, die für ähnliche Bereiche durch Analogie überwunden werden könnte, ansonsten aber den Gegenschluss nahelege1789. Ins Uferlose führe das Merkmal der Paritätstheorie, dass der Vertrag „das Ergebnis strukturell ungleicher Verhandlungsstärke“1790 sein müsse, wodurch Vertragsverhandlungen an Größen gemessen würden, die kaum feststellbar seien und daher keinen brauchbaren Maßstab hergeben würden1791. Wertungen in einzelnen Spezialgebieten des Vertragsrechts lassen sich auch nicht verallgemeinern1792. (2) (3) 1782 Grimm, JZ 2013, 585 (587). 1783 BVerfG JZ 1990, 474 (475). 1784 Singer, JZ 1995, 1133 (1139). 1785 Singer, JZ 1995, 1133 (1139). 1786 Singer, JZ 1995, 1133 (1139) m. w. N. 1787 Hierzu Adomeit, NJW 1994, 2467 (2467 ff.): Dieser ist der Ansicht, dass es sich bei der Figur der gestörten Vertragsparität um ein „Trugbild“ handelt. 1788 Wiedemann, JZ 1990, 691 (697). 1789 Adomeit, NJW 1994, 2467 (2468). 1790 Dieses Merkmal findet sich in BVerfG NJW 1994, 36. 1791 Adomeit, NJW 1994, 2467 (2468). 1792 Wiedemann, JZ 1990, 691 (697). A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 251 Stellungnahme Legt man zugrunde, dass die freie Selbstbestimmung und Selbstverantwortung Wirksamkeitsvoraussetzung für echte Vertragsfreiheit ist, so muss der Fokus auf diesen faktischen Voraussetzungen liegen. Eine gesetzgeberische typisierende Bewertung der wirtschaftlichen Stärke und der Verhandlungsstärke scheint hier als Anknüpfungspunkt daher entgegen der vorstehend genannten Kritik als adäquat. Das Argument, dass in der tatbestandsmäßigen Erfassung der Schutzbedürftigkeit eine Abgrenzung liege, die außerhalb von Ungleichgewichtslagen zu keinem Schutzbedarf führe1793, kann mit Analogie überwunden werden. Die Paritätstheorie ist ein geeignetes Mittel, den verfassungsrechtlichen Anforderungen zu genügen. Die Fragen können hier in grundrechtssystematischer Hinsicht nicht weiter vertieft werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Maßgeblich ist jedenfalls, dass es verfassungsrechtlich zulässig ist, dass der Gesetzgeber auch zwingendes Vertragsrecht schaffen kann. Terminologisch soll in dieser Arbeit daher, wie es das BVerfG auch tut, von einer Beschränkung ausgegangen werden. Privatautonomie und Vertragsfreiheit als Gegenstand einer staatlichen Schutzpflicht Die Privatautonomie erlangt neben Konstellationen der klassischen abwehrrechtlichen Dimension daher auch als Gegenstand einer staatlichen Schutzpflicht bei gestörter Vertragsparität Bedeutung1794. Durch die grundrechtliche Gewährleistung von freier Selbstbestimmung des Einzelnen zur Regelung seiner Rechtsbeziehungen kann den Staat – sowohl als Gesetzgeber als auch als Rechtsanwender des einfachen Gesetzesrechts – die Pflicht treffen, zu verhindern, dass es zwischen Vertragspartnern zu einer Fremdbestimmung des „Stärkeren“ über den „Schwächeren“ kommt1795. Bei Fremdbestimmung sind Selbstbestimmung und Selbstverantwortung, welche Kern der grundrechtlichen Gewährleistung sind, nicht möglich. In diesen Konstellationen kommt es daher maßgeblich darauf an, dass eine Basis für Selbstbestimmung und Selbstverantwortung des Einzelnen geschaffen wird. Eingriffe in die Privatautonomie und Vertragsfreiheit Grundrechtsdogmatisch ist eine Differenzierung zwischen einschränkender und nicht einschränkender Rechtsetzung durch den Gesetzgeber erforderlich, da nur so den verfassungsrechtlichen Anforderungen genügt werden kann1796. Die Ausgestaltung der Privatrechtsordnung durch den Gesetzgeber stellt, grundrechtsdogmatisch betrachtet, jedenfalls bei Konstellationen gestörter Vertragsparität Eingriffe in die grundrechtlich garantierte Privatautonomie des Stärkeren zugunsten des Schwäche- (4) cc) (1) 1793 Adomeit, NJW 1994, 2467 (2468). 1794 Di Fabio, in: Maunz/Dürig, Art. 2 I, Rn. 107. 1795 Di Fabio, in: Maunz/Dürig, Art. 2 I, Rn. 107(Hervorhebung im Original). 1796 Höfling, Vertragsfreiheit, S. 36. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 252 ren dar, die der Erreichung eines verfassungsrechtlich zulässigen Gemeinwohlzwecks dienen und den Grundsatz der Verhältnismäßigkeit wahren müssen, um verfassungsrechtlich gerechtfertigt zu sein1797. Der Gesetzgeber muss also im Rahmen seines Tätigwerdens bei Eingriffen die Wirkungskraft der verfassungsrechtlich geschützten Privatautonomie angemessen berücksichtigen.1798 Die rechtsgeschäftliche Privatautonomie soll kein Selbstzweck sein, sondern nur Mittel zum Zweck und ihre Einschränkung durch die Freiheitsrechte die Freiheit bewahren1799. Dies bedeutet, bezogen auf die Tätigkeit des Gesetzgebers im Bereich des transaktionsbezogenen E-Governments, dass der Gesetzgeber auch die Grundrechtspositionen der Diensteanbieter aus Art. 12 GG berücksichtigen muss. Kollision von Grundrechtspositionen In dieser Konstellation besteht eine Kollision von Grundrechtspositionen Privater, welche durch die herrschende weite Auslegung des Art. 2 Abs. 1 GG verstärkt wird1800. Wenn der Gesetzgeber seiner Schutzpflicht zugunsten des schwachen Vertragspartners nachkommt, schränkt er Grundrechte des stärkeren Vertragspartners ein. Es besteht also ein deutlicher Drittbezug bei der Umsetzung von Schutzpflichten1801. Der Staat ist hier mehr Schiedsrichter in der Position des neutralen Dritten als selbst ein potenziell freiheitsbedrohender Akteur1802. Jedenfalls können hier nicht beide Grundrechtspositionen in maximalem Ausmaß verwirklicht werden. Es ist in jedem Fall ein angemessenes Verhältnis zwischen Freiheitsschutz und Freiheitsbeschränkung zu finden1803. Praktische Konkordanz Der Gesetzgeber muss bei derartigen Kollisionslagen den schonendsten Ausgleich im Wege der praktischen Konkordanz finden, wenn er seiner Schutzpflicht nachkommt1804. Im Zweifel muss dann durch verfassungsgerichtliche Überprüfung festgestellt werden, wie der schonendste Ausgleich zu finden ist. (2) (3) 1797 Hillgruber, in: Umbach/Clemens (Hrsg.), Art. 2 I Rn. 99. 1798 BVerfGE 65, 196 (215); 73, 261 (271 ff.); 81, 242 (255). 1799 Ramm, JZ 1988, 489 (490). 1800 Di Fabio, in: Maunz/Dürig, Art. 2 I Rn. 109. 1801 Siekmann/Duttge, Staatsrecht I, Rn. 988. 1802 Di Fabio, in: Maunz/Dürig, Art. 2 I Rn. 109. 1803 Wiedemann, JZ 1990, 691 (697). 1804 Singer, JZ 1995, 1133 (1135 f.); kritisch hierzu Starck, in: v. Mangoldt/Klein/Ders., Art. 1 Abs. 3 Rn. 280.. A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 253 Schutz des Nutzers vor sich selbst? Im Kontext der Beschränkung der Privatautonomie stellt sich die Frage, ob der staatliche Schutz so weit reichen darf, dass er auch gegen den Willen des Grundrechtsträgers gerichtet sein kann. Grundrechtlicher Schutz „gegen sich selbst“ bedarf der Rechtfertigung und er trägt grundsätzlich das Risiko staatlicher Bevormundung in sich1805. Es gibt Auffassungen, die einer liberalen Grundrechtstheorie folgen und Grundrechtsschutz gegen sich selbst gänzlich ablehnen1806. Die Privatautonomie begründe Eigenverantwortung für die Selbstbeschränkung der Freiheit, welche die vertragliche Bindung bewirke1807. Als zentrale Schwäche dieser liberalen Grundrechtstheorie wird kritisiert, dass diese gegenüber den sozialen Voraussetzungen freiheitlichen Handelns „blind“ sei1808. Gerade diese Voraussetzungen sind aber nicht bei allen Privatrechtssubjekten in gleicher Weise vorhanden. In diesem Sinne wird daher auch argumentiert, dass der liberale Glaube an die Vernunftfähigkeit des Menschen und die daraus resultierende Entscheidungsfreiheit Erschütterungen erfahren habe und dass man diese nicht verabsolutieren dürfe1809. Wenn Selbstverantwortung als Bestandteil der Freiheit über alles andere hinweg, abgekoppelt von der Frage nach der Selbstverantwortungsfähigkeit, überhöht wird, ist dies Ausdruck eines einseitigen Grundrechtsverständnisses. Ein Fokus auf die Möglichkeit des Grundrechtsträgers, Selbstverantwortung zu tragen, soll einer staatlichen Bevormundung nicht das Wort reden. Es soll lediglich den Blick auf die vielfach relevanten Realbedingungen richten, die Selbstbestimmung und Selbstverantwortung erst ermöglichen. Was bedeutet das nun für den Gebrauch von Informationstechnologie durch einen Nutzer? Eine Form absoluter Selbstverantwortung des E-Government-Nutzers, wie es eine liberale Grundrechtstheorie nahelegen würde, erscheint wenig zielführend. Die Lebenswirklichkeit ist komplexer, als es eine solche Theorie annimmt, und es bestehen Zweifel an einer absolut zu setzenden Selbstverantwortungsfähigkeit des Nutzers. In der Diskussion um den Schutz eines Menschen „gegen sich selbst“ haben Entscheidungen zur Gurt- und Helmpflicht Bedeutung erlangt1810. Die Rechtsprechung des BVerfG hält hier eine Bußgeldbewehrung eines eigenverantwortlichen potenziell selbstschädigenden Verhaltens für zulässig, da allein Appelle an das Verantwortungsbewusstsein und bloße zivilrechtliche Folgen nicht ausgereicht haben, um die Einhaltung dieser Pflichten zu erreichen1811. Weiter wird darauf abgestellt, dass der eigenverantwortlich Handelnde keinesfalls nur sich selbst schadet und dass der Straßenverkehr ein Bereich sei, der für die Allgemeinheit wichtig sei, für die der Staat eine besondere Verantwortung hadd) 1805 Singer, JZ 1995, 1133 (1135). 1806 Hillgruber, Der Schutz des Menschen vor sich selbst, S. 153 ff. 1807 Hillgruber, Der Schutz des Menschen vor sich selbst, S. 153. 1808 Singer, JZ 1995, 1133 (1140) mit Verweis auf Böckenförde, NJW 1974, 1529 (1531); Schlink, EuGRZ 1984, 457 (465); Jeand’Heur, JZ 1995, 161 (161 f.) m. w. N. (Hervorhebung im Original). 1809 Singer, JZ 1995, 1133 (1140). 1810 Vgl. BVerfGE 59, 275 ff.; Murswiek, in: Sachs, Art. 2 Rn. 109. 1811 BVerfGE 59, 275 (278). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 254 be1812. Parallelen ergeben sich beim Umgang eines Nutzers mit Informationstechnologie im Hinblick auf den Aspekt der Datensicherheit. So können z. B. Botnetze1813, Viren oder Trojaner nicht nur die individuelle Infrastruktur des Nutzers, sondern auch Dritte schädigen. Insoweit handelt es sich bei der Informationstechnologie und dem Internet um einen für die Allgemeinheit wichtigen „Raum“, bei dem das eigenverantwortliche Handeln Einzelner Dritte schädigen kann. Zweifel bestehen hierbei auch an einer uneingeschränkten Selbstverantwortungsfähigkeit des Nutzers, da für diesen Gefahrenlagen in ihrer Wirkung nicht abschätzbar sind. Ob der Vergleich zwischen Straßenverkehr und Informationstechnologie gänzlich trägt, darauf wird später zurückzukommen sein. Festzuhalten bleibt hier, dass es grundsätzlich Konstellationen gibt, in denen an der tatsächlichen Entscheidungsfreiheit und damit auch an der Selbstverantwortungsfähigkeit Zweifel bestehen. In diesen Konstellationen ermöglicht die objektiv-rechtliche Dimension der Grundrechte, hier im Speziellen die aus Art. 2 Abs. 1 GG abgeleitete Privatautonomie in Form der Vertragsfreiheit, einen Schutz des Nutzers „vor sich selbst“1814. Grenzen der Selbstverantwortung des Nutzers? Da aus der Privatautonomie auch die Selbstverantwortung eines Menschen abgeleitet wird und es, wie vorstehend erörtert, partiell einen Schutz „vor sich selbst“ geben kann, stellt sich die Frage, ob in Konstellationen gestörter Vertragsparität im Rahmen des gesetzgeberischen Tätigwerdens das Maß an zumutbarer Selbstverantwortung für den schwächeren Vertragspartner nur zurückgefahren wird oder ob ihm diese gewissermaßen „wiedergegeben“ wird. In diesem Kontext besteht nämlich die Gefahr, dass eine Reduzierung von Selbstverantwortung in staatliche Bevormundung ausarten kann. Grundsätzlich ist die Selbstverantwortung schon als Aspekt im Leitbild der Menschenwürdegarantie angelegt1815. Damit hat diese einen hohen verfassungsrechtlichen Stellenwert. Ein Eingreifen wird daher auf Konstellationen beschränkt, in denen Zweifel an der tatsächlichen Entscheidungsfreiheit und Selbstverantwortungsfähigkeit bestehen1816. Privatautonomer Selbstschutz und Selbstverantwortungsfähigkeit sind grundsätzlich zumutbar, wenn die Funktionsvoraussetzungen der Privatautonomie zu funktionieren scheinen1817. Das freiheitliche Selbstbestimmungskonzept ist aber durchaus störanfällig und es besteht eine „latente Fragilität der Begriffe Freiheit und Selbstverantwortung“, die Schutzbedürfnisse hervorruft1818. Es sind Konstellationen denkbar, wo die emanzipatorische Kraft der Vertragsfreiheit sich nicht mehr zu entfalten vermag1819. In diesen Konstellationen wird dem zu Schützenden im Rahee) 1812 BVerfGE 59, 275 (278). 1813 Zu den Auswirkungen von Botnetzen: Roos/Schumacher, MMR 2014, 377 (377 ff.). 1814 So auch Singer, JZ 1995, 1133 (1141). 1815 Vgl. hierzu oben unter: Teil 4, A. I., 3. 1816 Singer, JZ 1995, 1133 (1139). 1817 Singer, JZ 1995, 1133 (1137). 1818 Singer, JZ 1995, 1133 (1139/1140). 1819 Höfling, Vertragsfreiheit, S. 2, am Beispiel des Siegeszuges von AGB, denen sich ein Vertragspartner „unterwirft“ (Hervorhebung im Original). A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 255 men der Umsetzung staatlicher Schutzpflichten geholfen. In der Regel geschieht dies durch die Schaffung zwingenden Vertragsrechts und einer gesetzgeberischen Entscheidung, welche Verantwortungsbeiträge welchen Vertragsteil treffen. Insoweit muss der Gesetzgeber auch ein Verantwortungskonzept entwerfen. Dabei wird dem schwächeren Teil der eigene Verantwortungsbeitrag nicht gänzlich genommen, sondern im Wege zwingenden Vertragsrechts wird ihm die grundsätzliche Selbstverantwortungsfähigkeit „wiedergegeben“ und gleichzeitig deren Reichweite bestimmt. Damit gibt es grundsätzlich Grenzen der Selbstverantwortung eines Vertragspartners, jedoch keine völlige Aufhebung der Selbstverantwortung. Subjektstellung des Nutzers und korrespondierende Eigenverantwortung Die Subjektstellung einer natürlichen Person und die damit korrespondierende Eigenverantwortung sind also im verfassungsrechtlichen Leitbild angelegt. Der Grundsatz der Selbstbestimmung ist ein zentrales Paradigma der Rechtsordnung, welchem in unterschiedlichen Zusammenhängen Rechnung getragen wird1820. „Das Restriktionskriterium des möglichen und zumutbaren Selbstschutzes ist Ausdruck des allgemeinen Rechtsgedankens, dass es keine Freiheit ohne korrespondierende Verantwortlichkeit gibt“1821. In Konstellationen gestörter Vertragsparität ist davon auszugehen, dass durch gesetzgeberisches Tätigwerden die Gefahr der Fremdbestimmung minimiert wird und daher dem Nutzer Selbst- bzw. Eigenverantwortung zuzumuten ist. Dies gilt bei der Frage des „Ob“ der Nutzung von transaktionsbezogenem E-Government genauso wie bei der Frage des „Wie“, also im Verhältnis zum Diensteanbieter, mit dem er eine vertragliche Vereinbarung getroffen hat. Der Nutzer als Vertragspartner und im Verwaltungsverfahren bzw. Verwaltungsrechtsverhältnis Der Nutzer von transaktionsbezogenem E-Government wird sich in der Regel bei einem De-Mail-Diensteanbieter anmelden, um mit der Verwaltung zu kommunizieren. Damit bedient er sich des Vehikels einer vertraglichen Vereinbarung für die De-Mail-Dienste. Gleichzeitig ist er Beteiligter in einem Verwaltungsverfahren oder zumindest in einem Verwaltungsrechtsverhältnis 1822. Insoweit bestehen hier unterschiedliche Ebenen von Rechtsverhältnissen, die sich gewissermaßen überlagern und für alle beteiligten Akteure Anknüpfungspunkte für Verantwortlichkeiten bieten können. Fraglich ist, wie die Verantwortlichkeit des Nutzers im Verhältnis zur Verwaltung zu qualifizieren ist. Es können sich Konstellationen ergeben, in denen der Nutzer im transaktionsbezogenen E-Government direkt mit der Verwaltung in Kontakt tritt, beispielsweise über ein Portal. Darüber hinaus gibt es Konstellationen, in denen der Nutzer rund um eine Dienstleis- 2. 3. 1820 Kutscha, in: Kutscha/Thomé, Grundrechtsschutz im Internet, S. 44. 1821 Hoffmann-Riem, AöR 123 (1998), 514 (532). 1822 Vgl. § 13 VwVfG zum Verwaltungsverfahren; als Anknüpfungspunkt für rechtliche Verantwortlichkeit dürfte das Verwaltungsrechtsverhältnis ungeeignet sein: So auch Schliesky, NVwZ 2003, 1322 (1325). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 256 tung der Verwaltung unterschiedliche Diensteanbieter in Anspruch nimmt, mit denen er vertragliche Verbindungen eingeht. Zwischenergebnis Aus der Menschenwürdegarantie lässt sich das Prinzip der Selbstbestimmung und Selbstverantwortung als übergeordnetes Prinzip grundrechtlicher Freiheit ableiten. Dieser Grundsatz hat für die gesamte Rechtsordnung Bedeutung und schlägt in unterschiedlicher Weise durch. Das bedeutet für einen Nutzer im digitalen Kontext, dass ihm grundsätzlich ein Maß an rechtlicher Verantwortung bei Kommunikationsvorgängen zukommt1823. Im Rahmen der Nutzung von transaktionsbezogenen E-Government-Anwendungen wird sich der Nutzer in der Mehrzahl der Fälle vertraglich an einen Diensteanbieter binden. Daher ist auch die Vertragsfreiheit als Grundrechtsgewährleistung relevant, in der das Prinzip der Selbstbestimmung und Selbstverantwortung enthalten ist. Der Nutzer hat eine eigene Rechtsetzungsmacht, die er gegen- über dem Diensteanbieter, mit dem er einen Vertrag schließt, einsetzt. Es konnte jedoch gezeigt werden, dass bereits das Prinzip der Selbstbestimmung in Form der Vertragsfreiheit in der Rechtsordnung immer wieder Störungen und Gefährdungen ausgesetzt ist. Dies fordert den Gesetzgeber und auch die Rechtsprechung zum Handeln auf. Für die Frage des Maßes der Eigenverantwortung des Nutzers bedeutet dies, dass jedenfalls auch eine Abhängigkeit dazu besteht, wie wirksam der Nutzer seine Vertragsfreiheit gestalten kann. Durch diese privatautonome Rechtsgestaltung ist also im Grundsatz die Selbstverantwortung des Nutzers aktiviert. Verantwortlichkeit trifft den Nutzer damit sowohl auf der instrumentellen Ebene des Vertragsabschlusses als auch bei dessen Durchführung. Die Selbstverantwortung des Nutzers ist also stets sowohl auf der Ebene des „Ob“ der Nutzung1824 als auch auf der des „Wie“, also im Rahmen der positiven und negativen Vertragsfreiheit, ein wichtiger Aspekt. Grundsätzlich trifft den Nutzer eine Selbstverantwortung im digitalen Raum im Verhältnis zu den Akteuren Verwaltung und privater Diensteanbieter1825. Hiervon sind auch Aspekte des Datenschutzes und der Datensicherheit umfasst. Auch Initiativen zur Förderung von E-Government gehen vom Leitbild eines mündigen, zu Selbstverantwortung fähigen Nutzers aus, der mit Medienkompetenz ausgestattet ist1826. Bei Vorliegen von typisierbaren Ungleichgewichtslagen von Vertragspartnern spricht ein überwiegendes Interesse dafür, zwingendes Vertragsrecht zu schaffen, um damit die Privatautonomie einzuschränken und die strukturelle Unterlegenheit eines 4. 1823 Hoeren/Jakopp, ZRP 2014, 72 (73), sprechen im Kontext der WLAN-Haftung von einer Ausstrahlungswirkung des Grundgesetzes, welche zur Einbeziehung der Grundsätze des Vertrauens und der Eigenverantwortlichkeit verpflichte. 1824 So auch Schliesky, in: Knack/Henneke (Hrsg.), § 3a VwVfG, Rn. 19; Schulz S. E./Brackmann, Nds- VBl. 2014, 303 (307) mit Verweis auf die Gesetzesbegründung des EGovG. 1825 Singer, JZ 1985, 209 (209), mit dem Hinweis, dass an einer Verantwortung des handelnden Bürgers kein Zweifel besteht, er also nicht verantwortungslos gestellt werden kann. 1826 Vgl. Nationale E-Government-Strategie, S. 8.: Im Zielbereich A wird als Ziel 1 die Verbesserung der Medienkompetenz der Nutzer genannt. A. Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung 257 Vertragspartners aufzulösen. Grundsätzlich kann daher im Rahmen elektronischer Kommunikation nicht allein auf das Prinzip der Selbstbestimmung und Selbstverantwortung vertraut werden. Im Folgenden soll herausgearbeitet werden, welches Maß an Selbstverantwortung dem Nutzer im transaktionsbezogenen E-Government zukommen kann und wo staatliche Schutzpflichten für die informationelle Selbstbestimmung eingreifen, die diese Verantwortung ggf. modifizieren. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government Das soeben gefundene Ergebnis und die tatsächliche Ausgangslage vor Augen, soll hier nun die Möglichkeit des Eingreifens staatlicher Schutzpflichten zum Schutz der informationellen Selbstbestimmung des Nutzers näher beleuchtet werden. Da im Allgemeinen das Bestehen staatlicher Schutzpflichten1827 durchaus umstritten ist, ist es geboten, dies vorab zu diskutieren, um danach zu einer Bewertung der Schutzpflichten des Staates für die informationelle Selbstbestimmung zu kommen. Einleitung Nach dem Ergebnis in Teil 1 gibt es für die digitale Kommunikation privater Nutzer vielfältige Gefährdungen und Bedrohungslagen. Die klassische E-Mail als Kommunikationsmittel ist nicht sicher, sondern höchst anfällig. Es finden massenhaft Identitätstäuschungen im Internet statt, die massiven Schaden anrichten können1828. Unter dem Gesichtspunkt rechtlicher Verantwortung stellen sich hier verschiedene Fragen. Muss der Staat dafür sorgen, dass es geeignete Kommunikationsinfrastrukturen gibt? Muss er diese Infrastrukturen lediglich gesetzlich regeln? Muss er ggf. auch faktisch etwas tun, indem er Impulse für die Errichtung dieser Infrastrukturen setzt? Welche Verantwortung trifft den Staat? Wenn das Bestehen dieser Schutzpflichten bejaht wird, stellt sich die Frage, wie weit diese reichen. Was muss der Staat dem Nutzer konkret zur Verfügung stellen. An welcher Stelle fängt die aus der Menschenwürde folgende Selbstverantwortung des privaten Nutzers an? An welcher Stelle muss der Selbstschutz des Nutzers ansetzen? Muss der Staat den Nutzer zu effektivem Selbstschutz befähigen? Besteht die Gefahr, dass eine gestiegene staatliche Verantwortung den Bürger durch Befreiung von etwaigen Sorgfaltspflichten verantwortungsloser macht1829? B. I. 1827 Verwendet werden in der Diskussion sowohl der Begriff staatliche Schutzpflicht, der auf den Adressaten Abstellt, als auch der Begriff grundrechtliche Schutzpflicht, der das Objekt und den Rechtsgrund des Schutzes meint, vgl. Isensee, in: ders./Kirchhof, Handbuch des Staatsrechts, Band IX, 3. Aufl. 2011, § 191, Rn. 3; Schliesky u.a., Schutzpflichten und Drittwirkung im Internet, S. 47 f. 1828 Vgl. dazu oben unter: Teil 2, C, III, 1 b), cc). 1829 Vgl. auch Pietzcker, JZ 1985, 209 (210). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 258 Nicht zuletzt ist bei der Umsetzung staatlicher Schutzpflichten im Bereich elektronischer Kommunikation zu fragen, ob hier Regelungs- und Vollstreckungslücken bestehen, die Defizite bei der Umsetzung der Schutzpflicht durch den Staat gegenüber seinen Bürgern bedeuten1830 Die Rechtsprechung des BVerfG zu Schutzpflichten Anwendungsfälle staatlicher Schutzpflichten Bereits in Teil 1 konnte dargestellt werden, dass dem Grundrecht auf informationelle Selbstbestimmung, dem IT-Grundrecht und dem Fernmeldegeheimnis neben einer subjektiv-abwehrrechtlichen auch eine objektiv-rechtliche Wirkung zukommt. Damit ist die Schutzpflichtdimension der Grundrechte angesprochen. Die Herleitung grundrechtlicher Schutzpflichten, ihr Gegenstand und ihre Reichweite sind im Einzelnen noch nicht abschließend von Literatur und Rechtsprechung geklärt1831, sodass es hier zwingend geboten ist, die wesentlichen Linien darzustellen. Grundrechtliche Schutzpflichten sind Pflichten des Staates, grundrechtsbewehrte Rechtsgüter seiner Bürger zu schützen1832. In dieser Wirkungsdimension der Grundrechte stellt sich die Frage, ob diese einschlägig sind und den Gesetzgeber zum Handeln zwingen und sich gleichzeitig auch an die Exekutive richten, welche die Schutzgesetze zu vollziehen hat1833, und der Judikative als Kontrollnormen dienen1834. Das BVerfG hat in seiner Rechtsprechung grundrechtliche Schutzpflichten anerkannt, die es gebieten, rechtliche Regelungen so auszugestalten, dass auch die Gefahr von Grundrechtsverletzungen eingedämmt bleibt1835 und dieses wird daher auch als Motor für die Genese und Entwicklung dieser Grundrechtsfunktion gesehen1836. Das Eingreifen dieses verfassungsrechtlichen Gebotes hängt von der Art, der Nähe und dem Ausmaß möglicher Gefahren, der Art und dem Rang des verfassungsrechtlich geschützten Rechtsgutes sowie von den schon vorhandenen Regelungen ab1837. Die Rechtsprechung des BVerfG sieht das Eingreifen staatlicher Schutzpflichten in mehreren Zusammenhängen als notwendig an1838. Neben den Konstellationen, wo menschliches Leben und menschliche Gesundheit bedroht sind, wo staatliche Einrichtungen nach außen wichtige gesellschaftliche Funktionen erfüllen, gesellschaftliche Einrichtungen aus eigener II. 1. 1830 Schweighofer, in: Benedek/Pekari (Hrsg.), Menschenrechte in der Informationsgesellschaft, 257 (269); ein Plädoyer für eine Anpassung der Grundrechte in einer digitalen Zivilisation: Saeltzer, DuD 2015, 103 (103 ff.). 1831 Pagenkopf, in: Sachs, Art. 10 GG, Rn. 21 mit Verweis auf Dietlein, Die Lehre von den grundrechtlichen Schutzpflichten, S. 77 ff.; vgl. auch Brüning/Helios, JURA 2001, 155 (156) m. w. N. 1832 Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 20. 1833 Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 20. 1834 Dietlein, Die Lehre von den grundrechtlichen Schutzpflichten, S. 72. 1835 BVerfGE 49, 89 (142) – Kalkar: Hier wurde eine Schutzpflicht aufgrund der technischen Entwicklung der Atomenergie angenommen. 1836 Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 18. 1837 BVerfGE 49, 89 (142). 1838 Pieroth/Schlink, Grundrechte, Rn. 94. B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 259 Kraft nicht mehr bestehen können, wo privatrechtliche Konflikte ungleich sind und eine Seite Schutz bedarf, sieht das BVerfG auch die Fallgestaltungen, in denen die technische Entwicklung mit neuen Produkten und Prozessen neue Gefahren schafft, die ebenso außer Kontrolle geraten können wie die Entwicklung selbst, als Anwendungsfall staatlicher Schutzpflichten1839. Wenn in diesen Konstellationen technischer Entwicklungen die Gefährlichkeit derselben eine Rolle spielt, die Technologie aber unverzichtbar ist, führt dies dazu, dass bei der Nutzung dieser Technik gewisse Restrisiken in Kauf genommen werden müssen, die unterhalb einer sachverständig festzustellenden Gefahrenschwelle liegen1840. Die dogmatische Herleitung der staatlichen Schutzpflichten durch das BVerfG erfolgt nicht einheitlich, sondern stützt sich auf die objektiv-rechtliche Funktion der Grundrechte und die Menschenwürde als zwei vermeintlich divergierende Begründungsmuster1841. Untermaßverbot Das BVerfG hat bei der Begründung staatlicher Schutzpflichten das sog. Untermaßverbot als Rechtsfigur bemüht, wonach Schutzvorkehrungen, die der Gesetzgeber in Erfüllung seiner grundrechtlichen Leistungspflicht treffe, für einen angemessenen und wirksamen Schutz ausreichend sein müssten und zudem auf sorgfältigen Tatsachenermittlungen und vertretbaren Einschätzungen beruhen müssten, damit dieses nicht verletzt sei1842. Diese Figur löste die in der Rechtsprechung des BVerfG lange praktizierte Evidenzkontrolle ab, wonach Defizite in der Umsetzung verfassungsrechtlicher Gesetzgebungsaufträge dann als justiziabel und gerichtlicher Sanktion zugänglich galten, wenn diese Aufträge „evident“ verletzt wurden1843. Das Untermaßverbot wurde, bevor das BVerfG dieses verwendete, bereits in der Literatur entwickelt. Nach Canaris etwa hingen die Postulate des Untermaßverbotes wesentlich von der Art des betroffenen Rechtsgutes und den Möglichkeiten privatautonomen Selbstschutzes ab, sodass es keine generelle Aussage geben könne, wann das Untermaßverbot eingreife1844. Auf diese Verknüpfung mit der Frage des privatautonomen Rechtsschutzes wird zurückzukommen sein. Ein Gebot, zu handeln, ergibt sich aus dem Untermaßverbot erst dann, wenn dieses verletzt ist1845. Das BVerfG führt hierzu aus, dass eine Schutzpflicht dann verletzt ist, wenn „die öffentliche Gewalt Schutzvorkehrungen überhaupt nicht getroffen hat oder die getroffenen Maßnahmen gänzlich ungeeignet oder völlig unzulänglich sind, das gebotene Schutzziel zu erreichen, oder erheblich dahinter zurückbleiben1846. Verglichen mit dem in der abwehrrechtlichen Wirkungsdimension der Grundrechte wichtigen Prinzip des Übermaßverbotes und 2. 1839 Pieroth/Schlink, Grundrechte, Rn. 94. 1840 BVerfGE 56, 54 (80 ff.); Pieroth/Schlink, Grundrechte, Rn. 94. 1841 Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 31. 1842 BVerfGE 88, 203 (254 ff.), Dietlein, ZG 1995, 131 (132). 1843 Dietlein, ZG 1995, 131 (132) (Hervorhebung im Original). 1844 Canaris, AcP Bd. 184 (1984), 201 (228); ders., Grundrechte und Privatrecht. 1845 Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 51. 1846 BVerfGE 88, 203 (263). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 260 der Verhältnismäßigkeitsprüfung, ist das Untermaßverbot damit weniger stark umrissen1847 und damit auch schwerer handhabbar. Mit anderen Worten bedeutet dies, dass es klarer ist, was der Staat in der abwehrrechtlichen Dimension der Grundrechte nicht darf, als das, was er im Rahmen der objektiv-rechtlichen Wirkungsdimension tun soll. Wertordnungsrechtsprechung In der Rechtsprechung des BVerfG ist auch ein weiterer Anknüpfungspunkt für die Anerkennung einer Schutzpflichtfunktion der Grundrechte erkennbar. Die Grundrechte sind Teil einer Wertordnung, die grundlegende Werte verkörpert, die einer Rechtsordnung vorausliegen1848. Relativ früh hat das BVerfG dies im sog. Lüth-Urteil1849 zum Ausdruck gebracht. Das BVerfG hat damit in seiner weiteren Rechtsprechung die Grundrechte objektiv-rechtlich nicht nur auf die Auslegung und Anwendung des einfachen Rechts, sondern auch auf dessen Gestaltung bezogen1850. In dieser Rechtsprechung kommt eine objektive Funktion der Grundrechte zum Tragen, die als Grundlage für die Schutzpflichtdimension der Grundrechte gesehen werden kann. Die ständige Rechtsprechung des BVerfG betont stets, dass diese Wertordnungsfunktion dem Grundgesetz immanent sei und sie unmittelbar in der mittelbaren Drittwirkung der Grundrechte zum Ausdruck komme1851. Der Staat ist somit aus dieser grundlegenden Wertordnung auch Träger von zusätzlicher Verantwortung gegenüber dem Bürger, die über die abwehrrechtliche Funktion der Grundrechte hinausgeht1852. Die Wertordnung bildet einen übergeordneten verfassungsrechtlichen Maßstab und einen Gewährleistungsanspruch für alle Teile der Rechtsordnung und der staatlichen Handlungsträger1853. Dogmatische Herleitung in der Literatur In der Literatur finden sich unterschiedliche Begründungsansätze für staatliche Schutzpflichten. Im Kontext von Problemen des Umweltschutzes und den Gefahren der modernen Technik hat sich ein Begründungsansatz entwickelt, der als „abwehrrechtliche“ Lösung bezeichnet wird1854. Nach dieser Ansicht sei die Annahme von staatlichen Schutzpflichten und damit auch von korrespondierenden Schutzrechten des Einzelnen weitgehend überflüssig und irreführend1855. Zur Begründung wird her- 3. III. 1847 Voßkuhle/Kaiser, JuS 2011, 411 (412). 1848 BVerfGE 1, 14 (32); 6, 32 (41); 49, 24 (56). 1849 BVerfGE 7, 198. 1850 Pieroth/Schlink, Staatsrecht II, Rn. 99. 1851 Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 38. 1852 Pieroth/Schlink, Staatsrecht II, Rn. 99. 1853 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 35. 1854 Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 44 m. w. N. (Hervorhebung im Original). 1855 Schwabe, Probleme der Grundrechtsdogmatik, S. 213 ff. mit verdeutlichenden Beispielen. B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 261 vorgebracht, dass der Staat Eingriffe in Rechte erlaube und damit Duldungspflichten fordere, wenn er Privaten den Eingriff in die Rechte anderer Privater nicht verbiete1856. Durch Untätigbleiben beteilige sich der Staat an dem Verletzungsvorgang und der Eingriff werde dadurch zu einem solchen der Abwehr zwar privat bewirkter, aber letztlich doch staatlicher Eingriffe, wodurch die abwehrrechtliche Wirkungsdimension der Grundrechte einschlägig sei und für das Eingreifen von Schutzpflichten kaum Raum bleibe1857. Die in dieser Ansicht zum Ausdruck kommende Zurechnung privater Eingriffe zum Staat ist kritisch zu sehen. Diese gedanklich vorgenommene „Verantwortungsverschiebung“ wirkt künstlich und lebensfremd. Staatliche Mitverantwortung für Grundrechtsbeeinträchtigungen Privater würde den ohnehin großen staatlichen Verantwortungsbereich unübersichtlich ausweiten. Die bloße Tatsache, dass Handlungen nicht verboten und damit erlaubt sind, kann logisch keine Beteiligung des Staates am Vollzug dieser Handlung oder eine Verantwortung des Staates für den Vollzug rechtfertigen1858. Plausibel kann eine Verantwortung des Staates in Konstellationen von Handlungen Privater untereinander nur darin bestehen, dass er bestimmte Eingriffe Dritter in grundrechtliche Schutzgüter unterbindet1859. Diese abwehrrechtliche Lösung ist auch deswegen abzulehnen, weil sie mit dem allgemeinen Nichtschädigungsgebot, wonach Duldungspflichten gegenüber von Privaten verursachten Rechtsgutsverletzungen nicht existieren oder allenfalls Ausnahmefälle sein können, nicht vereinbar ist1860. Grundrechtliche Schutzpflichten bestehen im Interesse des Einzelnen und es ist ihr Zweck, die freie Entfaltung des Individuums sicherzustellen1861. Im Rahmen einer grundrechtsfunktionalen Begründung einer Schutzpflicht ist anerkannt, dass nicht nur Schutzpflichten bestehen, die sich aus dem Gesetzeswortlaut entnehmen lassen, sondern dass diese auch aus dem Wirkungszusammenhang der Grundrechte interpretiert werden können1862. Allerdings ist eine alleinige Herleitung der Schutzpflichtdimension der Grundrechte aus dem Begriff „unantastbar“ in Art. 1 Abs. 1 Satz 1 sowie „unverletzbar“ wie z. B. in Art. 10 GG in weiteren Grundrechten1863 zu weit. Aus dem bloßen Wortlaut der Grundrechte ist ohne die Hinzunahme von weiteren Auslegungsinstrumenten eine Schutzpflichtdimension nicht ohne Weiteres herzuleiten1864. Eine weitere Ansicht zur Herleitung grundrechtlicher Schutzpflichten nennt als Anknüpfungspunkt den Art. 1 Abs. 2 Satz 2 GG, wo das GG ausdrücklich von „schützen“ spreche und der Schutzauftrag der einzelnen Grundrechte auf den „Würdeschutz 1856 Schwabe, Probleme der Grundrechtsdogmatik, S. 216. 1857 Schwabe, Probleme der Grundrechtsdogmatik, S. 217. 1858 Alexy, Theorie der Grundrechte, S. 417. 1859 Alexy, Theorie der Grundrechte, S. 417. 1860 Dietlein, Die Lehre von den grundrechtlichen Schutzpflichten, S. 46 f. 1861 Alexy, Theorie der Grundrechte, S. 414 f.; Klein, NJW 1989, 1633 (1637). 1862 Dolderer, Objektive Grundrechtsgehalte, S. 182 f. 1863 Bleckmann, DVBl 1988, 938 (941 f.) (Hervorhebungen vom Verfasser). 1864 Unruh, Die Lehre von den grundrechtlichen Schutzpflichten, S. 42 m. w. N. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 262 i. e. S.“ beschränkt sei und insofern der Würdekern der Grundrechte betrachtet werden müsse1865. Grundrechte entfalten insbesondere auch bei internetspezifischen Sachverhalten durch ihre objektiv-rechtliche Funktion in Form einer Schutzpflicht des Staates oder der mittelbaren Drittwirkung eine Schutzwirkung, die allerdings nicht das Schutzniveau der abwehrrechtlichen Wirkungsdimension erreicht1866. Stellungnahme Die dargestellten Literaturansichten zur Herleitung grundrechtlicher Schutzpflichten können die Herangehensweise des BVerfG nicht infrage stellen. Die Dogmatik staatlicher Schutzpflichten kann grundsätzlich als flexibel genug angesehen werden, technische Entwicklungen grundrechtsverträglich zu gestalten. Grundrechtliche Schutzpflichten sind der Ausgangspunkt staatlicher Verantwortung. So gilt dies auch für die Entwicklung der digitalen Kommunikation allgemein und die des transaktionsgebundenen E-Governments im Besonderen. Im Rahmen der digitalen Kommunikation ist der Staat sowohl dritter Akteur als auch selbst direkt handelnder Akteur, sodass die staatlichen Gewährleistungs- und Schutzaufgaben ein differenziertes System von Verantwortungsteilung notwendig machen. Was dies konkret bedeutet, ist weiter zu untersuchen. Inhalt staatlicher Schutzpflichten Es ist allgemein festzustellen, dass die Justiziabilität von Rechten aus der abwehrrechtlichen Wirkungsdimension der Grundrechte unproblematischer ist als diejenige der Schutzpflichtdimension1867. Die Umsetzung von Schutzpflichten soll Grundrechtsgefährdungen verhindern, steht ihrerseits aber wiederum in der Gefahr, andere Grundrechte einzuschränken1868. Daher ist das Maß an staatlicher Intervention in jedem Bereich, in dem sich das Spannungsverhältnis zwischen dem Sicherheitsbedürfnis des einen und dem Freiheitsbedürfnis des anderen auftut, sorgfältig abzuwägen1869. Nach der Rechtsprechung des BVerfG muss der Gesetzgeber eine Abschätzung der Gefährlichkeit eines technischen Verfahrens vornehmen und ist dabei im Wesentlichen auf Schlüsse aus der Beobachtung vergangener tatsächlicher Geschehnisse, auf die relative Häufigkeit des Eintritts und den Verlauf gleichartiger Geschehnisse in der Zukunft IV. V. 1865 Starck, Grundrechtliche Schutzpflichten (1993), in: ders., Praxis der Verfassungsauslegungen, S. 71; (Hervorhebungen im Original). 1866 Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 119. 1867 Alexy, Theorie der Grundrechte, 2. Aufl. 1994, S. 420. 1868 Die Diensteanbieter mit Datenmacht können sich ihrerseits wieder auf Grundrechte berufen: Greve, K&R 2013, 87 (88). 1869 Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 114. B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 263 angewiesen1870. Sollten solche Erfahrungswerte fehlen, so ist er auf simulierte Verläufe beschränkt1871. Der Schutz des Staates kann durch Strafrechtsnormen, durch Normen des Deliktsrechts, durch Normen des Verfahrensrechts, durch Verwaltungsakte und durch faktisches Handeln umgesetzt werden1872. Eine Umsetzung der staatlichen Schutzpflicht ohne eine sorgfältige Analyse der Realbedingungen ist damit nicht möglich. Jedenfalls können staatliche Reaktionsmöglichkeiten rechtlicher und tatsächlicher Natur sein1873. Schutzpflichten haben Prinzipiencharakter und fordern einen möglichst weitgehenden Schutz, bezogen auf die tatsächlichen und rechtlichen Möglichkeiten, sodass sie auch eventuell mit anderen Prinzipien kollidieren können1874. Schutzpflichten bestehen nach der Rechtsprechung des BVerfG grundsätzlich nicht nur gegenüber dem Einzelnen, sondern auch gegenüber der Gesamtheit aller Bürger1875. Dieser in der Schleyer- Entscheidung1876 des BVerfG verdeutlichte Doppelcharakter zwingt den Gesetzgeber bzw. den Staat zu teilweise schwierigen Abwägungsprozessen1877. Beispielsweise erlegt der Grundsatz der Privatautonomie dem Gesetzgeber für das Verhältnis der Privatrechtssubjekte zueinander eine sehr weitgehende Neutralitätspflicht auf1878. Diese hat Verfassungsrang und darf nur in Konstellationen gestörter Vertragsparität eingeschränkt werden1879. Im Rahmen der digitalen Entwicklung muss der Staat sich im Wege seiner Schutzpflicht dem durch gesellschaftliche Entwicklungen vorangetriebenen Innovationsdruck stellen und diese Entwicklungen stetig auf ihre Verfassungsverträglichkeit überprüfen und gegebenenfalls anpassen1880. Die Erfüllung staatlicher Schutzpflichten hat in jedem Fall auch eine fiskalische Komponente. Die Erfüllung von Schutzpflichten durch den Staat ist mit finanziellem Aufwand verbunden, der ins Verhältnis zur Effektivität einer Maßnahme gesetzt werden muss1881. Handelt es sich um tatsächliche Maßnahmen des Staates im Rahmen von Förderpflichten, so ist der finanzielle Aufwand direkt messbar. Bei Erfüllung des Schutzauftrages durch Gesetzgebung entsteht für die Regelungen ein Vollzugsaufwand. Auch insoweit lässt sich sagen, dass sich die Schutzpflichtfunktion der Grundrechte beweisen muss1882. Bei der Um- 1870 BVerfGE 49, 89 (142 f.). 1871 BVerfGE 49, 89 (142 f.). 1872 Alexy, Theorie der Grundrechte, 2. Aufl. 1994, S. 410. 1873 Hoffmann/Schulz S. E./Borchers, MMR 2014, 89 (91). 1874 Alexy, Theorie der Grundrechte, 2. Aufl. 1994, S. 422. 1875 BVerfGE 46, 160 (165); Schleyer-Urteil; Klein, NJW 1989, 1633 (1634). 1876 BVerfGE 46, 160 (165). 1877 Zur Rolle von verschiedenen Verfassungsprinzipien bei Abwägungsprozessen: Sieckmann, in: Ders., Die Prinzipientheorie der Grundrechte, 17 (31); vgl. auch Mayer, Untermaß, Übermaß und Wesensgehaltsgarantie, S. 29 f. 1878 Volle, Datenschutz als Drittwirkungsproblem, S. 52 m. w. N. 1879 Vgl. hierzu bereits oben. 1880 Kleine-Voßbeck, Electronic Mail und Verfassungsrecht, S. 3 f.; Roßnagel u. a., Digitalisierung der Grundrechte, S. 5 ff.; Bösing, Authentifizierung und Autorisierung im elektronischen Rechtsverkehr, S. 52. 1881 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 131. 1882 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 122 ff., 155 ff. mit Verweis auf Isensee, HBdStR V, § 111, Rn. 18. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 264 setzung der Schutzpflicht in gesetzgeberischer Hinsicht ist darauf hinzuweisen, dass dies auch zu einem Anwachsen des Normenbestandes führen kann, der beispielsweise im Datenschutzrecht bewirken kann, dass die einschlägigen Vorschriften unübersichtlich werden1883. Differenzierung von Schutzpflichten und Förderpflichten Im Kontext der objektiv-rechtlichen Dimension der Grundrechte kann bei einem notwendigen Tätigwerden des Staates terminologisch zwischen Schutzpflichten und Förderpflichten differenziert werden. Wenn und soweit der Bürger auf Leistungen öffentlicher Träger angewiesen ist, um von seinen Grundrechten Gebrauch zu machen, sind Förderungspflichten aus diesen Grundrechten einschlägig1884. Während Förderpflichten also auf die Gewährung staatlicher Leistungen im Schutz- und Anwendungsbereich des jeweiligen Grundrechts ausgerichtet sind, folgen Schutzpflichten einem abstrakten Pflichtenprogramm1885. Bei Förderpflichten kann es sich um Leistungen in tatsächlicher, rechtlicher und unter Umständen auch finanzieller Hinsicht handeln1886. Jedenfalls berühren und ergänzen sich Schutzpflichten und Förderpflichten zum Teil gegenseitig1887. Im Kontext von Sachverhalten digitaler Kommunikation sind sowohl Schutzhandlungen des Staates, die einem abstrakten Pflichtenprogramm folgen, als auch solche, die Leistungen in tatsächlicher Hinsicht erfordern, notwendig, sodass hier beide Begriffe eine Rolle spielen. Tatbestand und Rechtsfolge einer Schutzpflicht Tatbestand einer Schutzpflicht Grundrechtliche Schutzpflichten lassen sich in Tatbestand und Rechtsfolge gliedern. Der Tatbestand, welcher die Schutzpflicht auslöst, ist der rechtswidrige Eingriff eines Privatrechtssubjekts in das grundrechtliche Schutzgut eines anderen Privatrechtssubjekts1888. Ausgangspunkt und damit tatbestandliches Element bei der Betrachtung muss daher das jeweils einschlägige Grundrecht sein, wobei dies ausnahmslos für alle Grundrechte gilt und sich eine Beschränkung auf bestimmte Grundrechte oder gar nur den Menschenwürdekern1889 eines Grundrechts verbietet1890. Maßgeblich ist, VI. VII. 1. 1883 Kritisch hierzu: Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 153 ff.; Duttge, Der Staat 1997, 281 (283) m. w. N. 1884 Kopp, NJW 1994, 1753 (1753 ff.). 1885 Heckmann, in: Käfer-FS, 129 (143). 1886 Kopp, NJW 1994, 1753 (1756). 1887 Kopp, NJW 1994, 1753 (1755). 1888 Volle, Datenschutz als Drittwirkungsproblem, S. 50. 1889 Starck, Grundrechtliche Schutzpflichten (1993), in: ders., Praxis der Verfassungsauslegung, S. 71. 1890 So auch Cremer, Freiheitsgrundrechte, S. 266; Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 75 . B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 265 dass die entsprechende grundrechtliche Freiheitsgewährleistung einer Schutzdimension wesensmäßig zugänglich ist1891. Ein weiteres tatbestandliches Element ist die Gefahrenquelle, wobei hier nur nicht staatliches Handeln in Betracht kommen kann1892. Es muss sich also um die Handlung eines Privaten handeln. Probleme können da entstehen, wo es sich um Gefahren handelt, die von ausländischen öffentlichen oder privaten Gewalten, von Umsetzungen staatlicher Genehmigungen oder Steuerungsmaßnahmen durch inländische Private oder von natürlichen Gefahren ausgehen, die keinen personalen Eingriffsbezug haben1893. Die Grenzziehung kann insbesondere auch durch die unterschiedlichen Erscheinungsformen staatlicher Beteiligung an privatem Handeln erschwert werden1894. Gerade im Kontext des transaktionsbezogenen E-Governments im Besonderen und im digitalen Raum im Allgemeinen gewinnen solche Konstellationen mit unterschiedlich gearteter staatlicher Beteiligung oder der Beteiligung mehrerer Privater an Bedeutung. Es würde den Rahmen dieser Arbeit sprengen, diese genannten Konstellationen hier im Einzelnen weiter zu untersuchen. Im Ergebnis sind diese aber in die Schutzpflichtenlehre einzubeziehen1895. Ein entscheidendes tatbestandliches Element liegt in der Frage, wann ein Gefahrenniveau bzw. eine Gefahrenschwelle für das Schutzgut erreicht ist, das den Staat zum Handeln zwingt. In der Literatur gab es Ansätze, dieses mit dem polizeirechtlichen Gefahrbegriff zu konkretisieren1896 oder diesen anzupassen1897. Dies begegnet aber methodologischen Bedenken, da die Situation einer staatlichen Schutzpflicht nicht mit einer polizeirechtlichen Gefahrenlage vergleichbar ist1898. Die Frage, ob der Gesetzgeber zum Handeln gezwungen ist, ist von der Frage, ob dieser die potenziellen Gefahren aufgrund der ihm obliegenden Schutzpflicht zu überwachen hat bzw. ob er diesen im Rahmen seiner Einschätzungsprärogative begegnen muss, zu differenzieren1899. Grundrechtliche Schutzpflichten sind Prinzipien1900, die als Optimierungsgebote aufzufassen sind, woraus die Forderung nach dem größtmöglichen Schutz der entsprechenden grundrechtlichen Schutzgüter folgt1901, welcher nur durch die Kriterien des tatsächlich und rechtlich Möglichen begrenzt werden kann und nicht durch eine Anleihe zur Tatbestandsverengung im Polizeirecht bestimmt werden kann1902. 1891 BVerfGE 49, 89 (141); Steinberg, NJW 1996, 1985 (1987); Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 35. 1892 Isensee, in: Isensee/Kirchhof (Hrsg.), HdBStR Bd. V, 194 ff. 1893 Dietlein, Die Lehre von den grundrechtlichen Schutzpflichten, S. 87 ff.; Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 76. 1894 Dietlein, Die Lehre von den grundrechtlichen Schutzpflichten, S. 88. 1895 So auch Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 76. 1896 Murswiek, Die staatliche Verantwortung, Fn. 95, S. 80; Hermes, Das Grundrecht auf Schutz von Leben und Gesundheit. Schutzpflicht und Schutzanspruch aus Art. 2 Absatz 2 Satz 1 GG, S. 236; Kloepfer, DVBl. 1988, 305 (311). 1897 Stern, Das Staatsrecht der Bundesrepublik Deutschland, Bd. III/1, S. 949. 1898 Dietlein, Die Lehre von den grundrechtlichen Schutzpflichten, S. 107 f. 1899 Dietlein, Die Lehre von den grundrechtlichen Schutzpflichten, S. 108. 1900 Zum Begriff der Prinzipien näher: Sieckmann, in: Ders., Die Prinzipientheorie der Grundrechte, 17 (17 ff.). 1901 Alexy, Theorie der Grundrechte, S. 414; Seewald, Zum Verfassungsrecht auf Gesundheit, S. 216. 1902 Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 78. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 266 Die Schutzpflichtenlehre ist insgesamt auf präventiven Schutz des grundrechtlichen Schutzgutes ausgelegt1903. Dies zeigt sich insbesondere auch am IT-Grundrecht, welches einer faktischen Grundrechtsverletzung vorbeugen soll, sodass es bereits genügen soll, dass die Gefahr einer Rechtsverletzung droht1904. Der Gesetzgeber als Adressat der Schutzpflicht muss also auch diese drohende Rechtsverletzung erkennen können. Eine Beschränkung der grundrechtlichen Schutzpflicht quasi auf das Spiegelbild der abwehrrechtlichen Grundrechtsdimension ist daher nicht zielführend und es bedarf eines umfassenden Blickes auf zukünftige Gefahren1905. Für den Bereich des transaktionsbezogenen E-Governments bedeutet dies, dass der Staat die Entwicklung der Kommunikationsinfrastrukturen mit Blick auf die potenziellen Gefährdungslagen grundsätzlich beobachten muss. Rechtsfolge einer Schutzpflicht Liegen die oben skizzierten tatbestandlichen Elemente einer Schutzpflicht vor, so stellt sich die Frage, welche Rechtsfolge sich hieraus ergibt. Grundsätzlich ist festzustellen, dass grundrechtliche Schutzpflichten im konkreten Fall durch eine Vielzahl verschiedener Maßnahmen erfüllt werden können1906. Grundrechtliche Schutzpflichten können für sich genommen niemals staatliche Eingriffsbefugnisse legitimieren, sondern sie bedürfen der Umsetzung in einem Gesetz1907. Eine Schwierigkeit ergibt sich bei der Schutzpflichtdimension der Grundrechte dadurch, dass im Gegensatz zur abwehrrechtlichen Dimension mehrere Möglichkeiten mit einem unterschiedlichen Grad an Pflichterfüllung zur Verfügung stehen1908. Zwar greift auf der Rechtsfolgenseite das dem grundrechtlichen Schutzgut entsprechende Optimierungsgebot1909. Dieses ist aber in der Umsetzung schwer operationalisierbar. Aus der Schutzpflichtdimension können u. U. auch subjektive Ansprüche hergeleitet werden1910. In vielen Bereichen, in denen eine grundrechtliche Schutzpflicht besteht, ist deren Umsetzung allein durch gesetzliche Vorgaben nicht ausreichend. Für den Bereich des transaktionsbezogenen E-Governments lässt sich sagen, dass der Staat hier auch tatsächliche Maßnahmen zur Umsetzung der Schutzpflicht vornehmen muss. Als Impulsgeber für transaktionsbezogenes E-Government muss dieser E-Government-Projekte aktiv initiieren und dieses dann in notwendigem Maße gesetzlich flankieren. Es kommt in diesem Zusammenhang auf ein staatliches Gesamtkonzept an, welches im Rahmen 2. 1903 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 173. 1904 BVerfGE 53, 30 (51). 1905 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 173. 1906 Wahl/Masing, JZ 1990, 553 (558); Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 125; Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 158; Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 79. 1907 Heckmann, in: Käfer-FS, 129 (152 ff.). 1908 Alexy, Theorie der Grundrechte, S. 420. 1909 Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 75. 1910 Heckmann, in: Käfer-FS, 129 (149). B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 267 des bestehenden Ermessensspielraumes entstehen muss. Zu Recht ist aber im Zusammenhang mit der Entwicklung der digitalen Welt eine inhaltliche Weiterentwicklung der grundrechtlichen Schutzpflichten aufgrund der schwierigen Operationalisierbarkeit und Justiziabilität angemahnt worden1911. Adressat der Schutzpflicht Der Adressat einer grundrechtlichen Schutzpflicht ist mit Blick auf Art. 1 Abs. 3 GG die grundrechtsgebundene Staatsgewalt in allen Erscheinungsformen1912. Das bedeutet, dass nicht nur der Gesetzgeber in Form des Parlaments, sondern auch die Exekutive bei all ihren Handlungen Adressatin der Schutzpflicht ist. Für das transaktionsbezogene E-Government bedeutet dies, dass der öffentlichen Verwaltung damit im Alltagsgeschäft eine permanente Schutzaufgabe und Verantwortung gegenüber dem Bürger, mit dem sie kommuniziert, übertragen ist, die sie in unterschiedlicher Form wie z. B. der datenschutzrechtlichen Vorabkontrolle bzw. nunmehr der Datenschutz- Folgenabschätzung bei E-Government-Anwendungen nachkommen kann. Im Zusammenhang mit der Sicherung staatlicher IT-Systeme vor Beeinträchtigungen durch Dritte zum Schutz der Bürger kann der Staat hier niemals selbst Grundrechtsträger sein, sondern es kann immer nur um die Rolle des Staates als Verpflichteten für die informationelle Selbstbestimmung des Bürgers gehen1913. Bei der Frage des Adressaten der Schutzpflicht besteht ein Konflikt im Hinblick auf das Demokratieprinzip. Wenn grundsätzlich alle drei Staatsgewalten Adressat einer Schutzpflicht sind, dann stellt sich die Frage, ob die von ihnen zu ergreifenden Maßnahmen mit dem Demokratieprinzip vereinbar sind. Im Zuge der Rechtsfolge einer Schutzpflicht wird kritisiert, dass im Rahmen des Optimierungsgebotes zu stark auf die Bedeutung der Effektivität von Schutzmaßnahmen abgestellt werde und weniger auf den Konflikt zwischen dem Demokratieprinzip und den Grundrechten im Rahmen der Schutzpflicht1914. Dieser Frage kann hier nicht näher nachgegangen werden, da ansonsten der Rahmen dieser Arbeit gesprengt werden würde. Maßgeblich ist, hier festzustellen, dass jedenfalls nicht nur der Gesetzgeber als Teil der staatlichen Gewalt eine Schutzaufgabe zu erfüllen hat, sondern gerade auch die Verwaltung selbst, die E-Government anbietet. Hier ist z. B. an Vorabkontrollen bzw. nunmehr Datenschutz-Folgenabschätzungen der E-Government-Anwendungen, Eintragungen ins Verzeichnis der Verarbeitungstätigkeiten, Schulung der betrauten Mitarbeiter, Integration der Schutzanforderungen in Verträge mit Drittanbietern und Regelungen zur Auftragsdatenverarbeitung zu denken. VIII. 1911 Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 155 f. 1912 Lindner, Theorie der Grundrechtsdogmatik, 368 ff.; Hermes, NJW 1990, 1764 (1764 ff.). 1913 Heckmann, in: Käfer-FS, 129 (140). 1914 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 131 mit Verweis auf Alexy, Theorie der Grundrechte, S. 407 f. und 410 ff. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 268 Kein allgemeiner Vorrang staatlicher Schutzpflichten Die staatliche Schutzpflichtenlehre muss sich auch in die übrige Grundrechtsdogmatik einfügen. Es gibt keinen allgemeinen Vorrang staatlicher Schutzpflichten, der andere verfassungsrechtliche Prinzipien verdrängt1915. Wenn eine grundrechtliche Schutzpflicht als ein Optimierungsgebot begriffen wird, so bedeutet dies, dass sie relativ auf die rechtlichen und tatsächlichen Möglichkeiten in möglichst hohem Maße realisiert werden müssen1916. Das bedeutet, dass der Grundrechtsadressat, dem ‒ wie oben gezeigt werden konnte ‒ als Grundrechtsträger eine Selbstverantwortung zukommt, bei der Frage der Umsetzung einer Schutzpflicht mitzuberücksichtigen ist. Für den Bereich der digitalen Kommunikation ist daher zunächst festzuhalten, dass die grundrechtlichen Schutzpflichten als dynamische und final programmierte Optimierungsgebote greifen, gleichzeitig aber auch ein informationeller Selbstschutz des Nutzers in die Betrachtung einbezogen werden muss1917. Vorbehalt des Möglichen Die Umsetzung staatlicher Schutzpflichten steht unter dem Vorbehalt des rechtlich und tatsächlich Möglichen1918. Insoweit gilt auch hier der Satz „impossibilium nulla est obligatio“1919. Dieser Grundsatz ist dem Gebot der effektiven Grundrechtsverwirklichung gegenüberzustellen1920. Zwischen diesen beiden Polen dürfte sich der richtige Punkt für die staatliche Intervention nach Maßgabe des Untermaßverbotes bewegen. Es gibt jedenfalls keinen absoluten Schutz gegen Gefährdungen Privater in der digitalen Welt1921. Insbesondere im Bereich der digitalen globalisierten Kommunikation, verbunden mit der Ubiquität der Datenverarbeitung, sind der Steuerungsfähigkeit des Nationalstaats Grenzen gesetzt1922. Der Vorbehalt des Möglichen greift insbesondere auch insoweit, als der Staat im Rahmen der Umsetzung seiner Schutzpflicht die individuelle Infrastruktur des Einzelnen nur so weit, wie es ihm möglich ist, schützt. Der Staat hat im Regelfall keine tatsächliche Einwirkungsmöglichkeit auf die individuelle Infrastruktur des Einzelnen, sondern diese liegt in der Sphäre des Nutzers, sodass dessen Selbstverantwortung adressiert ist. Zusammengefasst bedeutet dies, dass im Rahmen der Schutzpflichtdimension der kommunikationsbezogenen IX. X. 1915 Heckmann, in: Käfer-FS, 129 (141). 1916 Alexy, Theorie der Grundrechte, S. 75 ff.; Unruh, Zur Dogmatik der grundrechtlichen Schutzpflichten, S. 88. 1917 Heckmann, in: Käfer-FS, 129 (142 u. 143). 1918 Alexy, Theorie der Grundrechte, S. 420 ff.; Roßnagel, ZRP 1997, 26 (30); BVerfGE 33, 303 (333). 1919 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 63 f.; Heckmann, in: Käfer-FS, 129 (141); Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 180 mit weiteren Beispielen zur Unmöglichkeit. 1920 Heckmann, in: Käfer-FS, 129 (161). 1921 BVerfGE 49, 89 (143); 56, 54 (79 f.); Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 158. 1922 Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 181. B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 269 Grundrechte kein vollumfänglicher Schutz erreicht werden kann. Auch unter diesem Aspekt ist die Rolle des Selbstschutzes des Nutzers und dessen Verantwortungsbeitrag zu sehen. Dies ist im Weiteren zu untersuchen. Grundrechtliche Schutzpflicht aus dem Grundrecht auf informationelle Selbstbestimmung Nachdem das generelle Bestehen staatlicher Schutzpflichten bejaht wurde und der Spielraum für den Adressaten der Schutzpflicht sowie der Vorbehalt des Möglichen skizziert wurde, ist zu diskutieren, was die Schutzpflicht aus dem Grundrecht auf informationelle Selbstbestimmung konkret bedeutet. Da dieses Grundrecht richterrechtlich geprägt ist, ist zuvörderst das BVerfG berufen, auch bezüglich der Schutzpflichtdimension dieses Grundrechts Maßstäbe festzulegen. Jedenfalls ist aber eine Schutzpflichtdimension dieses Grundrechts als Ausprägung des allgemeinen Persönlichkeitsrechts anerkannt1923. Für den Fall, dass staatliche Institutionen zur Datenerhebung, -verarbeitung, -weitergabe und -nutzung ermächtigt werden, erwächst dem Einzelnen im Wege der grundrechtlichen Schutzpflicht aus dem Grundrecht auf informationelle Selbstbestimmung ein Anspruch gegen den Staat auf Sicherung seiner Daten vor einer unbefugten Nutzung oder Veränderung seitens Dritter1924. Diesen Anspruch des Bürgers auf Datensicherheit hat das BVerfG in seinem Urteil zur Vorratsdatenspeicherung1925 2010 anerkannt, aber auch festgehalten, dass sich aus dem Grundrecht auf informationelle Selbstbestimmung keine detailgenauen Sicherheitsvorgaben zum Schutz von Daten herleiten lassen1926. Jedenfalls müsse zumindest ein Datensicherheitsstandard gewährleistet werden, der die spezifischen Besonderheiten des Datenbestandes einbeziehe und sich am jeweiligen Stand der Technik orientiere, was erfordere, dass neue Einsichten und Erkenntnisse einbezogen werden1927. Darüber hinaus sei es auch geboten, eine für die Öffentlichkeit transparente Kontrolle der datenverarbeitenden Stellen unter Einbeziehung des Datenschutzbeauftragten zu schaffen1928. Im IT-Kontext bedeutet dies jedenfalls auch, dass der Staat der normativen Kraft des Faktischen überall dort begegnen muss, wo schutzwürdige Interessen XI. 1923 Thomé, in: Kutscha/Thomé, Grundrechtsschutz im Internet, S. 108; Bäcker, Der Staat 51 (2012), 91 (99); Gurlit, NJW 2010, 1035 (1040 f.); Hoffmann-Riem, AöR 134 (2009), 513 (533); Masing, NJW 2012, 2305 (2307); anders: Ladeur, Der Staat 2011, 493 (510), bei dem dagegen die Selbstregulierung der Gesellschaft im Mittelpunkt steht. Di Fabio, in: Maunz/Dürig (Hrsg.), GG, 60. Lfrg. 2010, Art. 2 Abs. 1 Rn. 189. 1924 Drechsler, DuD 2013, 696 (698); Müller-Terpitz, in: Borges/Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 169 (171); Müller-Terpitz/ Rauchhaus, JurPC WebDok. 96/2012 Abs. 45 mit Verweis auf BVerfGE 65, 1 (43); 84, 192 (194) st. Rspr. 1925 BVerfG, 2.3.2010, MMR 2010, S. 356 Rn. 224. 1926 Müller-Terpitz, in: Borges/Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 169 (171). 1927 BVerfG, 2.3.2010, MMR 2010, S. 356 Rn. 224. 1928 BVerfG, 2.3.2010, MMR 2010, S. 356 Rn. 224; BVerfGE 65, 1 (46); zur Rolle des Datenschutzbeauftragten näher unten unter: Teil 5, E., III. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 270 Einzelner verletzt werden können1929. Dabei muss es verfassungsgerichtliche Mindestbedingungen der Kommunikationsfähigkeit geben1930. Die grundrechtliche Schutzpflicht hat neben der Frage der Datensicherheit während des Transports von Daten auch eine infrastrukturelle Komponente, um Kommunikation überhaupt erst zu ermöglichen. Der Staat hat im Rahmen seiner Schutzpflicht eine Pflicht zur Weiterentwicklung der elektronischen Zugangsinfrastruktur im Sinne einer E-Daseinsvorsorge1931. Der Staat muss also nicht nur in den Prozessen Datensicherheit gewährleisten, sondern er muss auch rechtliche Rahmenbedingungen für digitale Handlungsräume schaffen, was sich auch als Schutzauftrag aus der grundrechtlichen Schutzpflicht für die informationelle Selbstbestimmung des Nutzers herleiten lässt1932. Hier sind grundsätzlich Vorschriften denkbar, die die Privatautonomie der Nutzer einschränken, sowie auch solche, die sanktionsbewehrte Pflichten enthalten. Insbesondere sind hier auch Vorgaben für den Umgang mit Identitätsdaten denkbar, da diese eine Schlüsselrolle in Kommunikationsprozessen einnehmen. Das Schutzrecht muss heute also insgesamt mehr sein als nur der Schutz des Persönlichkeitsrechts des Nutzers, sondern es muss die Nutzungsermöglichung für den Nutzer erfassen, den Ausbau von Selbstschutzmöglichkeiten in rechtlicher und tatsächlicher Hinsicht, die Abwehr von ungerechtfertigten Beeinträchtigungen auch von privater Seite sowie die Sicherung der Kommunikationsinfrastruktur auch in globaler Hinsicht1933. Besonders für den Bereich des E-Governments bedeutet dies, dass der Staat, wenn er auf diesen Kommunikationskanal zum Bürger setzt, Datenschutz-Schutzziele verwirklicht, leistungsfähige Infrastrukturen einrichtet und diese auch vertrauenswürdig sind1934. Schutzpflicht aus „Ingerenz“ bzw. E-Government-Förderungsabsicht? Der Staat ist Impulsgeber und Initiator von E-Government und hat bei der Schaffung von Basisinfrastrukturen für die Kommunikation eine tragende Rolle. Neben der grundrechtlichen Herleitung staatlicher Schutzpflichten spricht daher auch die tatsächliche Entwicklung für eine Schutzpflicht aus „vorangegangenem Tun“ durch den Staat1935. Die staatliche Schutzaufgabe erstreckt sich also auch auf den Bereich, in welchem der Staat selbst auf informationstechnische Systeme zugreifen muss wie bei der Aufgabenerfüllung durch E-Government1936. Die Entwicklung des E-Governments findet in der Einflusssphäre des Staates statt, sodass er hierbei besondere Maß- XII. 1929 Heckmann, K&R 2010, 770 (775). 1930 Simitis, in: Ders.(Hrsg.), § 1 BDSG, Rn. 53. 1931 Luch/Schulz S. E., in: Schliesky, Technikgestütztes Identitätsmanagement, 1 (10 ff.). 1932 Bösing, Authentifizierung und Autorisierung im elektronischen Rechtsverkehr, S. 53. 1933 Hoffmann-Riem, AöR 134, 2009, 513 (537). 1934 Hoffmann-Riem, AöR 134, 2009, 513 (537); insbesondere verlangen dies auch Datenschutz-Schutzziele. 1935 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 171, der diese Frage auch aufwirft. 1936 Hoffmann-Riem, AöR 134, 2009, 513 (534); Berlit, JurPC Web-Dok. 39/2011, Abs. 5. B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 271 stäbe erfüllen muss, um seiner Vorbildwirkung gerecht zu werden. Dieser hat eine Verpflichtung zur Weiterentwicklung der Zugangsinfrastruktur zu transaktionsbezogenem E-Government im Sinne der E-Daseins-vorsorge1937. Die datenschutzgerechte Ausgestaltung dieser Zugangsinfrastrukturen ist ein Annex zur Förderungsabsicht bezüglich des E-Governments1938. Insbesondere auch dann, wenn bestimmte Kommunikationswege im Bereich des E-Governments gesetzlich vorgeschrieben sind, müssen diese hinreichend sicher sein1939. Dies betrifft insbesondere auch die E-Government anbietende Verwaltung. Das bedeutet, dass es gesteigerte Schutzpflichten bei einer E-Government-Förderungsabsicht gibt1940. Sowohl der Gesetzgeber als auch die E-Government umsetzende Verwaltung haben gesteigerte Schutzpflichten, wenn sie E-Government fördern bzw. anbieten wollen. Schutzpflichten und Selbstverantwortung Oben wurde gezeigt, dass den Nutzer von transaktionsbezogenem E-Government grundsätzlich auch eine Selbstverantwortung trifft. Vor diesem Hintergrund stellt sich die Frage, wo die Grenzlinie zwischen der staatlichen Verantwortung im Wege von grundrechtlichen Schutzpflichten und der Selbstverantwortung eines Nutzers verläuft. Beide Institute sind darauf angelegt, Verantwortung an einen Verantwortungsträger zuzuweisen. Die Rechtsprechung des BVerfG betont, dass das Ausmaß des Eingreifens staatlicher Schutzpflichten von der Möglichkeit legitimer und zumutbarer Abhilfe durch den betroffenen Grundrechtsträger selbst abhängen wird1941, was insbesondere auch für den informationellen Selbstschutz eines IT-Nutzers gilt1942. Keinesfalls darf die Schutzpflicht als verfassungsrechtliche Einladung zur Bevormundung des Einzelnen durch den Staat missverstanden werden1943. Das bedeutet, dass verfassungssystematisch die grundlegende Prämisse einer Verantwortungsteilung zwischen Grundrechtsträger und dem Staat in Bezug auf das grundrechtlich geschützte Rechtsgut besteht. So weit wie möglich soll sich der Grundrechtsträger, also der private Nutzer, selber schützen. Erst dann, wenn Selbstschutz nicht mehr möglich ist, greift die staatliche Schutzpflicht ein. Die Umsetzung von Schutzpflichten ist auch vor dem Hintergrund der gesamtstaatlichen Aufgabenverantwortung zu sehen1944. XIII. 1937 Luch/Schulz S. E., in: Schliesky, Technikgestütztes Identitätsmanagement, 1 (10 ff.); zur programmatischen Aufforderung an den sozialen Rechtsstaat, Verantwortung für Kommunikationsinfrastrukturen zu übernehmen: Hoffmann-Riem, AöR 134, 2009, 513 (534) m. w. N. 1938 In diese Richtung wohl: Eifert, Electronic Government, S. 59; das Vertrauen in die Datenauthentizität betont: Bösing, Authentifizierung und Autorisierung im elektronischen Rechtsverkehr, S. 59. 1939 Berlit, JurPC Web-Dok. 39/2011, Abs. 5. 1940 So auch Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Datenund Dokumentensafes, S. 171. 1941 BVerfGE 77, 170 (224); 79, 174 (201 f.), 85, 191 (212). 1942 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 175. 1943 Kutscha, in: Kutscha/Thomé, Grundrechtsschutz im Internet, S. 47. 1944 Heckmann, in Käfer-FS, 129 (155). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 272 Der bereits genannte Maßstab des Untermaßverbotes greift und eine Grenzlinie für die Umsetzung der Schutzpflicht sind bestehende Restrisiken1945. Die sich aus dieser Grundprämisse ergebenden Fragen müssen daher im Folgenden weiter beleuchtet werden. Berücksichtigung der digital Schwachen Die grundsätzliche Selbstverantwortung des Nutzers von transaktionsbezogenem E-Government kann hier somit als Prämisse festgehalten werden. Bereits oben wurde gezeigt, dass es eine differenzierte Nutzertypologie gibt und die jeweiligen Nutzergruppen eine sehr stark unterschiedlich ausgeprägte digitale Verantwortungsbereitschaft haben. Darüber hinaus ist der sog. digital divide im Sinne einer totalen Abgeschiedenheit bezüglich digitaler Kommunikation von Teilen der Gesellschaft ein Problem, also der nicht vorhandene technische Zugang. Die besonders internetaffinen Nutzergruppen stellen quantitativ betrachtet nicht die Mehrheit der Internetnutzer dar. Es gibt nach wie vor eine Gruppe von Nutzern, denen der „kognitive Zugang“ zum Medium Internet und seinen Möglichkeiten fehlt1946. Auch im Bereich des transaktionsbezogenen E-Governments wie z. B. beim De-Mail-Konzept richten sich die Anforderungen an die digitalen Kompetenzen zumindest teilweise auch an einen Personenkreis, der nicht durchweg in der Lage ist, Risiken im digitalen Raum zu erkennen und erforderliche Selbstschutzvorkehrungen zu treffen1947. Der Staat hat diese unterschiedlich verteilte Medienkompetenz zu berücksichtigen. Grundsätzlich ist es sowohl in der analogen als auch in der digitalen Welt die Aufgabe des Rechts, die Schwächeren in der Gesellschaft zu schützen1948. Will der Staat nun seine staatliche Schutzpflicht erfüllen und dabei der grundsätzlichen Selbstverantwortung des Nutzers Rechnung tragen, so darf er sich nicht an der „digitalen Avantgarde“ orientieren, die, was die Sicherheitsvorkehrungen betrifft, besonders affin ist. Gleichzeitig dürfen staatliche Schutzmaßnahmen auch nicht die Wirkung haben, dass sie den Bürger durch eine Befreiung von etwaigen Sorgfaltspflichten verantwortungsloser macht1949. Eine verfassungsgemäße Umsetzung des rechtlichen Schutzes auch der Schwächeren im Internet sollte auch ein Stück edukatorisch im Sinne eines mündigen Bürgers sein, weil der Internetnutzer auf lange Sicht befähigt werden muss, seine Interessen im digitalen Raum auch ohne staatliche Hilfe durchzusetzen1950. Das bedeutet aber auch, dass die digital Schwachen in der Gesellschaft mit einer nicht stark ausgeprägten digitalen Verantwortungsbereitschaft in einem staatlichen Gesamtkonzept eine Rolle spielen müssen. Bereits hier wird deutlich, dass es zwischen den Polen der Umsetzung einer staatlichen Schutzpflicht und der Eigenverantwortung des Einzelnen ein Spannungsverhältnis gibt. Komplizierter wird die Frage dadurch, dass häufig noch weitere 1. 1945 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 71. 1946 Heckmann, K&R 2010, 770 (774), spricht von digital Schwachen (Hervorhebung im Original). 1947 Berlit, JurPC Web-Dok. 39/2011, Abs. 40. 1948 Heckmann, K&R 2010, 770 (774). 1949 Vgl. Pietzcker, JZ 1985, 209 (210). 1950 Heckmann, K&R 2010, 770 (776). B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 273 Akteure an Kommunikationsvorgängen beteiligt sind. Die Frage der Eigenverantwortung des privaten Nutzers stellt sich damit zum einen auf der Ebene gegenüber dem Diensteanbieter, mit dem der Nutzer in der Regel vertraglich verbunden ist, und zum anderen auf der Ebene gegenüber der E-Government anbietenden Verwaltung. Verkehrspflichten des Nutzers Vor dem Hintergrund des Verhältnisses von Schutzpflichten des Staates und Selbstverantwortung des Nutzers sind auch Verkehrspflichten relevant, deren Verletzung eine Haftung auslösen kann. Den Nutzer treffen auf zivilrechtlicher Grundlage verschiedene echte Rechtspflichten. Diskutiert wird dies für verschiedene Zusammenhänge und Aspekte der Internetnutzung. Ein wichtiger Bereich sind die Verkehrspflichten privater Internetnutzer in Bezug auf die Verbreitung von Schadprogrammen1951. Verkehrspflichten spielen in der Rechtsordnung insbesondere dann eine Rolle, wenn eine Gefahrenquelle besteht, und derjenige, der diese geschaffen hat, wird für die Beherrschung derselben herangezogen. Grundsätzlich kommt es aber bei Nutzerverantwortlichkeiten und Fragen der Haftung auf eine Vielzahl von Umständen des Einzelfalls an1952, sodass einer abstrakten Betrachtung auch Grenzen gesetzt sein können. Die Frage der Selbstverantwortung ist immer auch eine Frage des Maßes und der Maßstäblichkeit. Im Rahmen eines staatlichen Schutzpflichtenkonzeptes muss der Staat zumindest immer mitberücksichtigen, was der private Nutzer selbst leisten kann. An dieser Stelle besteht dann die Frage, ob er sich an dem „digital Schwächsten“ oder an einer irgendwie gearteten mittleren Bezugsgröße orientiert. Schutzpflichten für Kommunikationsinfrastrukturen Die Kommunikationsinfrastrukturen für transaktionsbezogenes E-Government liegen im Wesentlichen in der Sphäre der Diensteanbieter. Es findet eine präventive Überprüfung von Datenschutz und Datensicherheit statt. Auf diese Kommunikationsinfrastrukturen hat der Nutzer relativ geringe faktische Einwirkungsmöglichkeiten. Die Risikobeherrschungssphäre liegt im Wesentlichen beim Diensteanbieter. Das Vertragsverhältnis zwischen privatem Nutzer und Diensteanbieter muss durch zwingendes, nicht abdingbares Privatrecht geregelt sein, welches im Wege der Einschränkung der Privatautonomie eine einseitige Risikozuweisung an den privaten Nutzer verhindert1953. Die Ableitung der Schutzaufgabe und des Schutzauftrages zwischen der Verwirklichung grundrechtlichen Persönlichkeitsschutzes, der Sicherung unternehmerischer Entfaltungsmöglichkeiten, der staatlichen Aufgabenerfüllung unter Nutzung elektronischer Kommunikation ist rechtsdogmatisch komplex1954. Grundsätzlich lässt sich aber sagen, dass im Zusammenhang mit den Kommunikationsin- 2. 3. 1951 Vgl. hierzu grundlegend: Werner, Verkehrspflichten privater IT-Nutzer in Bezug auf die Verbreitung von Schadsoftware, 2010. 1952 Vgl. den Hinweis am Beispiel des PAuswG bei Möller, in: Hornung/Ders. (Hrsg.), § 18 PAuswG, Rn. 38. 1953 Hierzu näher Groß, JZ 1999, 326 (331). 1954 Hoffmann-Riem, AöR 134, 2009, 513 (535). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 274 frastrukturen für transaktionsbezogenes E-Government die Diensteanbieter einen Verantwortungsbeitrag zu erfüllen haben. Umsetzung der Schutzpflichten durch das De-Mail-Gesetz Wenn der Staat die Schutzbedarfe im Zusammenhang mit digitaler Kommunikation nicht erkennt oder diese rechtlich nicht befriedigend gelöst werden können, besteht das Risiko von Funktionsdefiziten und des Verlustes von Vertrauen in die informationstechnischen Systeme, sodass sich eventuelle Chancen nicht verwirklichen lassen1955. Funktionierende Kommunikationinfrastrukturen, denen der Nutzer vertraut, sind aber essenzielle Voraussetzungen für transaktionsbezogenes E-Government. Die Umsetzung der Schutzpflicht aus dem Grundrecht auf informationelle Selbstbestimmung bedeutet nach der Rechtsprechung des BVerfG, dass in der Rechtsordnung ggf. die Bedingungen geschaffen und erhalten werden, unter denen der Einzelne selbstbestimmt an Kommunikationsprozessen teilnehmen und so seine Persönlichkeit entfalten kann, und die Schutzpflicht gebietet den zuständigen staatlichen Stellen, die rechtlichen Voraussetzungen eines wirkungsvollen informationellen Selbstschutzes bereitzustellen1956. Die Schaffung der De-Mail-Dienste und die Entstehung des De- Mail-Gesetzes lassen sich vor dem Hintergrund staatlicher Schutzpflichten sehen. Tangiert sind die Schutzbereiche sowohl des Grundrechts auf informationelle Selbstbestimmung, des IT-Grundrechts sowie des Art. 10 Abs. 1 GG. Die Schaffung des De- Mail-Gesetzes ist durch die Schutzpflichtdimension dieser drei Grundrechte begründet1957. Das De-Mail-Gesetz statuiert bewusst keine Pflichten für den Nutzer, sondern nimmt ausschließlich den Diensteanbieter in die Pflicht. Das De-Mail-Gesetz schränkt die Privatautonomie auch gerade deswegen auf der Ebene des „Wie“ ein, weil Datenschutz und Datensicherheit sowie die Vertraulichkeit der Kommunikation sichergestellt werden sollen. Ein Kontrahierungszwang ist bei den De-Mail-Diensten nicht vorgesehen, sondern es ist die freiwillige Entscheidung des Nutzers1958. Umsetzung der Schutzpflichten durch das TKG Die aus dem Fernmeldegeheimnis erwachsenden Schutzpflichten werden insbesondere auch durch das TKG umgesetzt. Die Vorschriften der §§ 88 ff. TKG sind als Privatisierungsfolgenrecht zu verstehen1959. Diese nehmen den Telekommunikationsdiensteanbieter in die Pflicht, das Fernmeldegeheimnis der Nutzer von Telekommunikationsdiensten zu schützen. Letztlich sind diese zwingenden Vorschriften ein Eingriff in a) b) 1955 Hoffmann-Riem, AöR 134, 2009, 513 (535). 1956 BVerfG-K, DVBl. 2007, 111 (112); Spindler, Persönlichkeitsschutz im Internet – Anforderungen und Grenzen einer Regulierung, S. 100; Kutscha, in: Kutscha/Thomé, Grundrechtsschutz im Internet, S. 47 f. 1957 Insbesondere auch für das IT-Grundrecht nennen dieses: Schulz G., DuD 2012, 395 (397 f. ); Luch, MMR 2011, 75 (78). 1958 Vgl. hierzu BT-Drs. 17/3639. 1959 Sander, CR 2014, 176 (176 ff.), weist darauf hin, dass das TKG über die bloße Umsetzung der Schutzpflicht aus Art. 10 GG hinausgeht. B. Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government 275 die für das Vertragsverhältnis zwischen dem Telekommunikationsdiensteanbieter und dem privaten Nutzer geltende Vertragsfreiheit, indem sie zwingende Pflichten des Anbieters schaffen. Nutzerpflichten sind im TKG direkt nicht zu finden. Umsetzung der Schutzpflichten durch die Bereitstellung einer Kommunikationsinfrastruktur Der Staat und die Verwaltung sind auch gehalten, die aus den kommunikationsbezogenen Grundrechten folgenden Schutzpflichten umzusetzen. Dies ist bei jedem konkreten transaktionsbezogenen E-Government-Angebot der Fall. Eine Kommunalverwaltung kann in diesem Zusammenhang auch, sofern keine generelle gesetzliche Pflicht z. B. durch Landesrecht besteht, die Zugangseröffnung mit De-Mail unterlassen und dies mit der nicht durchgängigen Ende-zu-Ende-Verschlüsselung begründen. Auch auf der Ebene der tatsächlichen Bereitstellung kann also die Schutzpflichtdimension der kommunikationsbezogenen Grundrechte durchschlagen. Zwischenergebnis Die Umsetzung staatlicher Schutzpflichten und die Eigenverantwortung des Einzelnen stehen in einem Spannungsverhältnis. Die Grenzlinie zwischen der Umsetzung staatlicher Schutzpflichten und der Eigenverantwortung des Einzelnen kann grundsätzlich nicht abstrakt gezogen werden. Insoweit ist dies auch bei der Frage der Verantwortung für Kommunikationsinfrastrukturen im transaktionsbezogenen E-Government nicht möglich. Notwendig ist eine spezifische Betrachtung unter Würdigung aller Umstände des Einzelfalles. Selbstschutz des Nutzers Wie vorstehend dargelegt werden konnte, steht die Umsetzung staatlicher Schutzpflichten unter dem Vorbehalt des Möglichen. Das Bestehen staatlicher Schutzpflichten in typisierbaren Ungleichgewichtslagen entlässt den Nutzer von transaktionsbezogenem E-Government nicht gänzlich aus seiner Selbstverantwortung. Staatliche Schutzpflichten und Selbstverantwortung stehen unauflösbar in einem Verhältnis zueinander und sind in einem staatlichen Schutzkonzept z. B. durch Schaffung von Anonymisierungsmöglichkeiten zu berücksichtigen1960. Daher kommt auch im Kontext des Schutzes personenbezogener Daten und der Datensicherheit der Selbstschutz des Nutzers notwendigerweise in Betracht1961. Im Rahmen der multipolaren Konstellationen ist eine Verantwortungsteilung zwischen den handelnden Akteuren unvermeidbar. Die Möglichkeit des informationellen Selbstschutzes war ein Argumentationstopos des BVerfG bei der Entscheidung zum IT-Grundrecht1962. Die staatliche Schutzc) 4. C. 1960 Trute, JZ 1998, 822 (829). 1961 Yildirim, Datenschutz im Electronic Government, S. 203. 1962 BVerfGE 120, 274 (323 ff.). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 276 gewährleistung muss veränderte Gefährdungslagen einbeziehen und sollte durch Ermöglichung von Selbstverantwortung entsprechend grundrechtsfreundlich umgesetzt werden1963. Diese Möglichkeit des informationellen Selbstschutzes als notwendige Folgefrage soll hier im Folgenden näher erörtert werden. Selbstschutzmöglichkeiten Die Rechtsprechung des BVerfG geht davon aus, dass eine staatliche Verantwortung zur Gewährleistung einer selbstbestimmten Kommunikationsteilhabe dann eingreift, wenn dem Nutzer wirksamer Selbstschutz nicht mehr möglich ist1964, was darauf hinweist, dass ein grundsätzlicher Vorrang des informationellen Selbstschutzes des Bürgers greift1965. Vor dem Hintergrund multipolarer Kommunikationskontexte gewinnt der Selbstschutz des Nutzers besondere Bedeutung1966. Inhalt der staatlichen Schutzpflicht wäre dann die Institutionalisierung von Selbstschutzmöglichkeiten, wo der Staat anders die informationelle Selbstbestimmung nicht garantieren kann1967. Auch für den Nutzer transaktionsbezogener E-Government-Anwendungen stellt sich damit die Frage, inwieweit er informationellen Selbstschutz leisten muss. Sicherlich handelt es sich bei den Selbstschutzmöglichkeiten in erster Linie um ein tatsächliches Handeln, sodass die rechtliche Einhegung von diesen allein hier nicht maßgeblich ist. Sie sind gerade in der Diskussion um das IT-Grundrecht und den Schutz der eigengenutzten individuellen Infrastruktur des Nutzers ein tragender Aspekt. Der Selbstschutz fordert, dass seine Funktionsvoraussetzungen erfüllt sind. Im Gegensatz zu staatlichen regulierenden Eingriffen ist der Selbstschutz des Nutzers grundsätzlich als milderes Mittel anzusehen1968, um das Ziel eines hinreichenden Schutzniveaus elektronischer Kommunikation zu erreichen. Verantwortlichkeit des Nutzers im Rahmen des Selbstschutzes Im Rahmen der vorstehend gefundenen Ergebnisse gilt weiterhin das allgemeine Prinzip der Selbstbestimmung für einen Nutzer beim Zugang zu transaktionsbezogenen E-Government-Anwendungen und damit korrespondierend die Selbstverantwortung des Nutzers. Ihm steht als Kommunikationspartner grundsätzlich die verfassungsrechtlich garantierte Wahlfreiheit über das Kommunikationsmittel und damit auch über das entsprechende Sicherheitsniveau der Kommunikation zu1969. Durch das oben dargestellte einschlägige Fachrecht sind dieser Wahlfreiheit im transaktions- I. II. 1963 Trute, in: Roßnagel (Hrsg.), HBDSR, Kap. 2.5, Rn. 51. 1964 BVerfG, Urt. v. 23.10.2006 – 1 BvR 2027/02, juris Rn. 29 und Orientierungssatz 2 c. 1965 Heckmann, in: Käfer-FS, 129 (143). 1966 Groß, JZ 1999, 326 (334). 1967 Trute, JZ 1998, 822 (829). 1968 Heckmann, in: Käfer-FS, 129 (143). 1969 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 49. C. Selbstschutz des Nutzers 277 bezogenen E-Government wiederum Grenzen gesetzt. So ist nach geltender Rechtslage eine Kommunikation mit der öffentlichen Verwaltung mittels einfacher E-Mail im Falle eines Schriftformerfordernisses nicht mehr möglich, sondern Surrogate der Schriftform sind erforderlich. Die Verantwortlichkeit des Nutzers kann rechtlich in unterschiedlicher Intensität ausgestaltet sein. Weder das GG noch einfachgesetzliche Normen haben im Rahmen elektronischer Kommunikation das Erfordernis, dass absolute Sicherheit erreicht werden muss, da diese eine relative Größe ist und den bestehenden Restrisiken mit einer Vorsorge begegnet werde sollte1970. Im Bereich des Restrisikos ist ein Bewusstsein des Nutzers gefragt. Das Restriktionskriterium eines zumutbaren Selbstschutzes lässt sich auf den allgemeinen Rechtsgedanken zurückführen, dass es keine Freiheit ohne eine damit korrespondierende Verantwortung gibt1971. Selbstschutz befähigt den mündigen Bürger auch, sich aus einem etwaigen Abhängigkeitsverhältnis zum Staat zu befreien, wobei dies dann auch voraussetzt, dass alle an der Kommunikation beteiligten Akteure informationelle Chancengleichheit haben1972. Der Selbstschutz ist nicht nur aus technischen Gründen für den Nutzer empfehlenswert, er wird auch normativ begünstigt und stärkt die Grundrechtsverwirklichung1973. Hier soll daher näher betrachtet werden, wie diese Verantwortlichkeit des Nutzers für den Selbstschutz im Verhältnis zu den weiteren Akteuren rechtlich abgebildet wird. Systematisierung von Rechtspflichten und Obliegenheiten in der Rechtsordnung Verantwortung wird in der Rechtsordnung in vielerlei Hinsicht zugewiesen. Sie stellt gewissermaßen einen Metabegriff dar. Diese wird einfachgesetzlich geregelt und einem Adressaten in unterschiedlicher Art und Intensität zugewiesen. Wesentlich ist die Unterscheidung zwischen Rechtspflichten und Obliegenheiten. Diese sollen hier im Folgenden kurz definiert werden. Rechtspflichten Rechtspflichten im weitesten Sinne liegen dann vor, wenn eine Vorschrift (des Gesetzes-, Gewohnheits- oder Vertragsrechts) für den Fall eines bestimmten Verhaltens einen rechtlichen Nachteil androht und damit das Verhalten derjenigen Person beeinflusst, der bei einem entsprechenden Verhalten eine Anwendung dieser Vorschrift droht1974. Rechtspflichten enthalten als Element einen Befehl zum Handeln. Es besteht also eine starke Zwangsintensität und eine hohe Durchschlagskraft bei der Er- 1. a) 1970 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 63. 1971 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 156 mit Verweis auf Hoffmann- Riem, in: Bäumler (Hrsg.), Der neue Datenschutz, 11 (21). 1972 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 156 f. 1973 Bäcker, in: Rensen/Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (114) m. w. N. 1974 Schmidt, Die Obliegenheiten, S. 313. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 278 reichung von Zielen. Sie unterscheiden sich insoweit auch von anderen Rechtsinstituten mit geringerer Zwangsintensität. Rechtspflichten begründen für den jeweiligen Adressaten eine rechtliche Verantwortlichkeit1975 gegenüber einer anderen juristischen oder natürlichen Person, die an der Pflichterfüllung ein Interesse hat. Sie können aber auch zum Schutz Dritter wirken. Rechtspflichten erfordern einen wirksamen Durchsetzungsmechanismus. In einem Verantwortungskonzept, in dem unterschiedlichen Akteuren Verantwortungsbeiträge zugemessen werden müssen, stellen sie ein effektives Mittel dar. Sie gestalten Rechtsverhältnisse durch das höchste Maß an Verbindlichkeit. Der Terminus „Verbindlichkeit“ wird auch für Rechtspflichten quasi als Synonym verwendet. Dieser weist auf die Justiziabilität derselben hin. Rechtspflichten stellen den Nutzer elektronischer Kommunikation vor ein anspruchsvolles Pflichtenprogramm, welches er in vielen Fällen nicht ohne Hilfestellung versteht und bei dem er auf Hilfe angewiesen ist1976. Obliegenheiten Von den vollkommenen und unvollkommenen Verbindlichkeiten sind Obliegenheiten zu unterscheiden1977. Für Obliegenheiten ist kennzeichnend, dass diese in einem rechtlichen Verhältnis auf eine abgeschwächte Form der Pflichtigkeit gerichtet sind1978. Für Obliegenheitstatbestände ist eine mindere Zwangsintensität typisch und sie bilden eine uneinheitliche Sammelgruppe1979. Der „Zwang“ bzw. der Impuls zum Handeln entsteht hier psychologisch dadurch, dass der Adressat einer Obliegenheit Rechtsnachteilen entgehen will. Das konkrete Handeln des Adressaten liegt insbesondere auch in seinem eigenen Interesse. Sie sind daher Verhaltensanforderungen mit geringerer Intensität als Rechtspflichten1980. Für den Berechtigten als Gegenüber des Adressaten einer Obliegenheit begründen diese weder einen Erfüllungsanspruch noch bei Verletzung eine Schadensersatzforderung1981. Obliegenheiten stellen aber trotzdem für denjenigen, den sie treffen, eine Form von rechtlicher Verantwortlichkeit dar. Er muss im Rahmen seiner Selbstverantwortung die Entscheidung treffen, ob er sie erfüllt oder nicht. Obliegenheiten haben objektive und subjektive Seiten und können im Interesse eines Dritten oder der Allgemeinheit und zugleich im Interesse des Belasteten bestehen1982. Der Gedanke einer Obliegenheit kommt auch in § 254 BGB beim Mitverschulden zum Ausdruck. Unter dem Gesichtspunkt der Selbstverantwortung sind Obliegenheiten in einem Verantwortungskonzept mit verschiedenen b) 1975 Kreutzer, Themenpapier „Verantwortung im Internet“, S. 2, abrufbar unter: https://www.divsi.d e/wp-content/uploads/2013/08/Themenpapier_Verantwortung-im-Internet_final_2013_06_18.pdf (letzter Abruf: 08.11.2015); So gibt es für Unternehmen Rechtspflichten zur Gewährleistung von IT-Sicherheit: Heckmann, MMR 2006, 280 (280 ff.). 1976 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 288. 1977 Palandt/Heinrichs, Vor § 241 BGB, Rn. 13. 1978 Schmidt, Die Obliegenheiten, S. 104. 1979 Schmidt, Die Obliegenheiten, S. 317. 1980 Brox, Allg. Teil des BGB, Rn. 567. 1981 BGHZ 24, 382 = NJW 1995, 402; Palandt/Heinrichs, vor § 241 BGB, Rn. 13. 1982 Schmidt, Die Obliegenheiten, S. 109. C. Selbstschutz des Nutzers 279 Akteuren als Verantwortungsträgern gegenüber Rechtspflichten das mildere Mittel. Sie greifen nicht mit starker Zwangsintensität in den Rechtskreis des Adressaten ein und belassen diesem einen eigenen Entscheidungsspielraum. Er kann sich auch dafür entscheiden, diesen nicht nachzukommen, und muss dann eventuelle Rechtsnachteile in Kauf nehmen. Ein wichtiger Anwendungsfall sind Schadensfernhaltungsobliegenheiten. Diese Form von Selbstschutzobliegenheiten kann auch zugunsten der Allgemeinheit bestehen. Obliegenheiten können sich auch aufgrund von speziellen Gefahrenlagen entwickeln. Während Rechtspflichten in der Regel gesetzlich oder vertraglich geregelt sein müssen, können sich Obliegenheiten auch im Zuge der Auslegung von Normen entwickeln. Selbstschutzobliegenheiten im Rahmen der elektronischen Kommunikation können grundsätzlich auch zugunsten der Allgemeinheit auferlegt werden, um Datensicherheit zu erlangen. Den Rechtspflichten und den Obliegenheiten ist gemein, dass sie die Verantwortlichkeit eines Subjekts adressieren1983. Datenbezogene Rechtspflichten des Nutzers im Vertragsverhältnis Hier sollen nun die Rechtspflichten, die den Nutzer von transaktionsbezogenen E-Government-Anwendungen im Hinblick auf seine personenbezogenen Daten treffen, näher betrachtet werden. Grundsätzlich besteht bei den Rechtspflichten im Zusammenhang mit den Infrastrukturen elektronischer Kommunikation das Problem, dass sie schwierige Vollzugsprobleme aufwerfen und die Akzeptanz der Kommunikationsinfrastruktur beim Nutzer gefährden können1984. Nichtsdestotrotz bestehen im Rahmen von elektronischer Kommunikation auch Verkehrspflichten der Nutzer1985. Diese konkretisieren sich zu bestimmten Verhaltenspflichten beim Umgang mit elektronischer Kommunikation. Beispiel: Aktualisierung der Identitätsdaten Identitätsdaten haben eine Schlüsselfunktion bei Kommunikationsvorgängen. Ihre Aktualität ist im Interesse aller an einem Kommunikationsvorgang beteiligten Akteure. Der Nutzer ist mittelbar aus § 3 Abs. 5 De-Mail-Gesetz dazu verpflichtet, die Identitätsdaten aktuell zu halten. Er ist der Einzige, der die Aktualität gewährleisten kann. Der De-Mail-Diensteanbieter wird dem Nutzer im Innenverhältnis mittels AGB regelmäßig die Pflicht zur Aktualisierung aufgeben1986. Angesichts der Schlüsselfunktion von Identitätsdaten ist es gerechtfertigt, hier im Innenverhältnis eine Rechtspflicht anzunehmen. 2. a) 1983 Zu Verantwortungssubjekten im Internet: Kreutzer, Verantwortung im Internet, S. 6, abrufbar unter: https://www.divsi.de/wp-content/uploads/2013/08/Themenpapier_Verantwortung-im-Intern et_final_2013_06_18.pdf (letzter Abruf: 08.11.2015). 1984 Roßnagel, in: Ders. (Hrsg.), Recht der Telemediendienste, § 6 SigG, Rn. 56 für den Fall einer qualifizierten elektronischen Signatur. 1985 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 272. 1986 Spindler, CR 2011, 309 (312); Rose, K&R 2011, 439 (441). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 280 Beispiel: Überwachung der Legitimationsmedien Auch bezüglich der Überwachung der Legitimationsmedien des Nutzers ist eine Rechtspflicht anzunehmen1987. Die Legitimationsmedien wie Benutzername und Passwort oder der nPA befinden sich in der Verantwortungssphäre des Nutzers und sind Teil der individuellen Infrastruktur des Nutzers. Die Überwachung der in dieser Sphäre liegenden Komponenten ist dem Nutzer aufgegeben. Die eindeutige Identifizierung einer natürlichen Person liegt im Interesse der Allgemeinheit, sodass die Pflicht auch im Interesse der Allgemeinheit besteht. Rechtspflichten des Nutzers im Verwaltungsrechtsverhältnis? Neben dem Innenverhältnis zwischen dem privaten Nutzer und dem Diensteanbieter stellt sich im Verhältnis zwischen dem Nutzer und der Verwaltung, mithin im Verwaltungsrechtsverhältnis die Frage, ob der Nutzer hier spezifische datenbezogene Rechtspflichten hat. Beispielsweise können sich je nach Fallgestaltung Abgrenzungsfragen zum Datenverlustrisiko stellen1988. Maßgeblich dürften die jeweilige Risikosphäre und die Beherrschbarkeit der jeweiligen Infrastruktur sein. Die Einzelheiten zur Lehre vom Verwaltungsrechtsverhältnis können hier nicht nachgezeichnet werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Maßgeblich ist jedenfalls die Beherrschbarkeit der genutzten Infrastruktur. Differenzierung nach individuellen und „öffentlichen“ Infrastrukturen Zur Systematisierung der Verantwortlichkeiten der einzelnen Akteure ist eine Differenzierung zwischen den individuellen Infrastrukturen des Nutzers und öffentlich zugänglichen Infrastrukturen der Diensteanbieter sowie der Verwaltung notwendig. Aus der Beherrschbarkeit über diese Infrastrukturen ergibt sich die Zuweisung von Verantwortungssphären und Verantwortungsbeiträgen. So kann der Staat auf die individuelle Infrastruktur des Nutzers nur begrenzt einwirken. Im Wesentlichen kann er diesbezüglich den Nutzer zum Selbstschutz befähigen. Hinsichtlich der öffentlich zugänglichen Infrastrukturen sind jedenfalls geringere Anforderungen an den Selbstschutz des Nutzers zu stellen als bei seiner individuellen Infrastruktur. Selbstschutzpflichten und Selbstschutzobliegenheiten des Nutzers Vor dem Hintergrund der Differenzierung von Rechtspflichten und Obliegenheiten ist nun zu fragen, ob sich der informationelle Selbstschutz des Nutzers von transaktionsbezogenen E-Government-Anwendungen im Rahmen seiner Verantwortlichkeit in eine der beiden Kategorien fassen lässt. Aus dem Bereich des E-Commerce sind bereits b) 3. 4. III. 1987 Spindler, CR 2011, 309 (318). 1988 Ernst, in: Hoeren/Sieber, Kap. 28.1, Rn. 12. C. Selbstschutz des Nutzers 281 Selbstschutzpflichten der Nutzer bekannt1989. Für den Bereich des E-Governments ist als gesetzgeberisches Leitbild zu erkennen, dass keine Rechtspflichten statuiert werden. Die Leitbilder des De-Mail- und des E-Government-Gesetzes regeln keine direkten Nutzerpflichten. Wenn der Gesetzgeber massiv Sorgfaltspflichten auf den privaten Nutzer verlagern würde, so würde dies nicht nur unter Akzeptanzgesichtspunkten problematisch, sondern auch grundrechtlich problematisch, da er damit die bestehende Selbstverantwortung des Nutzers weiter einschränkt. Ein nicht zu vernachlässigender Faktor ist die drohende Überforderung des Nutzers bei nicht erfüllbaren Pflichten. Selbstschutz hat in jedem Fall etwas mit dem Bewusstsein des Nutzers zu tun. Selbstschutzobliegenheiten adressieren den Nutzer kognitiv. Sie führen dazu, dass der Nutzer sich mit den Konsequenzen ihrer Verletzung auseinandersetzen muss. Selbstschutzpflichten erfordern einen wirksamen Sanktionsmechanismus, der auch tatsächlich und nicht nur rechtlich wirken muss. Grundsätzliche Selbstschutzobliegenheit des Nutzers? Angesichts eines subsidiären Eingreifens staatlicher Schutzpflichten stellt sich die Frage, wie der Selbstschutz des privaten IT-Nutzers ausgestaltet sein muss. Von Heckmann wird die Auffassung vertreten, dass auf einer ersten Ebene den privaten IT- Nutzer mindestens eine Obliegenheit zum informationellen Selbstschutz treffe, auf einer weiteren Stufe der Staat dem Nutzer Hilfe zur Selbsthilfe gewähren müsse und erst als Ultima Ratio auf einer dritten Stufe Maßnahmen denkbar seien, wenn auf der ersten und zweiten Stufe kein Schutz bewirkt werden könne1990. Diese Ansicht nimmt die von der Rechtsprechung des BVerfG hervorgehobene Rolle des Selbstschutzes im Verhältnis zum Eingreifen staatlicher Schutzpflichten auf. Konsequent ist an dieser Ansicht, dass der grundsätzlichen Selbstverantwortung eines Nutzers Raum gegeben wird. Bedeuten würde dies, dass jeder Nutzer das Risiko, das er beherrschen kann, auch beherrschen muss. Kritisch gesehen wird in diesem Kontext, dass Selbstschutzobliegenheiten generelle Probleme der digitalen Kommunikation an einen falschen Ort verlagern würden, da viele Nutzer ersichtlich nicht in der Lage seien, die Obliegenheiten zu erfüllen1991. Auch eine generelle Abhängigkeit grundrechtlichen Schutzes vom jeweiligen Selbstschutz wird durchaus kritisch gesehen1992. Der Idee einer grundsätzlichen Selbstschutzobliegenheit, die sich auf die individuelle Infrastruktur des Nutzers und damit seine Beherrschungssphäre bezieht, ist grundsätzlich zuzustimmen. Sie kommt dem verfassungsrechtlichen Leitbild eines Nutzers mit Selbstverantwortung am nächsten und beugt der Entwicklung vor, dass eine Überbetonung der Schutzpflicht den Nutzer letztlich verantwortungslos stellt. Rechtssystematisch sind grundsätzlich bestehende Obliegenheiten in gefahrgeneigten Bereichen 1. 1989 Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 139 f. 1990 Heckmann, Käfer-FS, 129 (144); zu den Möglichkeiten bei Telemedienangeboten: Schnabel/Freund, CR 2010, 718 (718 ff.). 1991 Berlit, JurPC Web-Dok. 39/2011, Abs. 39 f. 1992 Hoffmann-Riem, AöR 134 (2009), 513 (528). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 282 der Rechtsordnung nicht unbekannt. Zu nennen sind insbesondere Schadensfernhaltungsobliegenheiten, die v. a. aus dem Versicherungsrecht bekannt sind1993. Daher ist dieser Grundgedanke auch aus rechtssystematischer Sicht begrüßenswert. Er korrespondiert insgesamt auch mit dem Leitbild vom medienkompetenten, mündigen und zur digitalen Selbstverantwortung fähigen Nutzers, wie ihn die Nationale E-Government-Strategie vorsieht. Eine grundsätzliche Selbstschutzobliegenheit kann darüber hinaus eine wichtige Reservefunktion in Fällen erfüllen, in denen den Nutzer keine ggf. gesetzlich geregelte Verantwortlichkeit mit stärkerer Zwangsintensität trifft. Selbstschutzpflichten des Nutzers Über diese grundsätzlich bestehende Selbstschutzobliegenheit hinaus ist zu fragen, ob den Nutzer auch Selbstschutzpflichten treffen, also für den Nutzer Lasten von stärkerer Zwangsintensität bestehen. Im Allgemeinen treffen den privaten IT-Nutzer grundsätzlich Verkehrspflichten im Rahmen deliktischer Haftung1994. Es ist bei Verkehrspflichten in jedem Fall eine gesonderte Begründung erforderlich, da es keine allgemeine Rechtspflicht gibt, andere vor Schäden zu bewahren1995. Anknüpfungspunkt für eine Zurechnung ist bei Verkehrspflichten die Beherrschung einer besonderen Gefahrenquelle oder vorangegangenes Tun1996. Einigkeit besteht darüber, dass der private IT-Nutzer mit der Nutzung seines Computers eine derartige Gefahrenquelle schafft und ihn damit Verkehrspflichten treffen1997. Diese Form der Verantwortlichkeit des privaten IT-Nutzers kann durch Vorschriften insbesondere auch des öffentlichen Rechts, die Verhaltensanforderungen statuieren, konkretisiert werden. Für den Nutzer im transaktionsbezogenen E-Government sind hier beispielsweise als Konkretisierung im Sinne eines einzuhaltenden Mindeststandards § 27 Abs. 1 Nr. 3 PAuswG für die Sicherung des Ausweises und § 27 Abs. 2 PAuswG für die Sicherung der PIN zu nennen1998. Der Gesetzgeber hat also grundsätzlich auch Selbstschutzpflichten des privaten IT-Nutzers im Auge. Grundsätzlich können hier nicht alle haftungsrechtlich relevanten Konstellationen Erwähnung finden, in denen einen privaten IT-Nutzer Verkehrspflichten treffen, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Es konnte aber gezeigt werden, dass den privaten IT-Nutzer bereits echte Rechtspflichten zum Handeln treffen und ansonsten daneben Obliegenheiten einschlägig sind. Dies deutet grundsätzlich auf ein abgestuftes System von Verantwort- 2. 1993 Schmidt, Die Obliegenheiten, S. 105 ff. 1994 Spindler u. a., Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 118, Rn. 277; 1995 BGH NJW 1987, 2510; Palandt/Sprau, § 823 BGB, Rn. 46; Bamberger/Roth-Spindler, § 823, Rn. 227; Koch, NJW 2004, 801 (803); Libertus, MMR 2005, 507 (508). 1996 Koch, NJW 2004, 801 (803); Libertus, MMR 2005, 507 (508). 1997 Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 144; Werner, Verkehrspflichten privater IT-Nutzer in Bezug auf die Verbreitung von Schadsoftware, S. 140 ff., Koch, NJW 2004, 801 (803); Libertus, MMR 2005, 507 (509); Mantz, K&R 2007, 566 (567). 1998 Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 144. C. Selbstschutz des Nutzers 283 lichkeiten des privaten IT-Nutzers hin. Fasst man dies zusammen, so trifft den privaten IT-Nutzer de lege lata bereits ein nicht unerhebliches Programm von Verantwortlichkeiten, welches eine erhebliche kognitive Anforderungsdimension enthält. Eine abstrakte Betrachtung von Nutzerverantwortlichkeiten und der Haftung des Nutzers kann aber nicht ausblenden, dass es bei der Frage der Verantwortlichkeit im konkreten Einzelfall auf eine Vielzahl von Faktoren ankommt1999. Überforderung des Nutzers Vor dem Hintergrund dieser anspruchsvollen Verantwortlichkeiten stellt sich die Frage, ob der idealtypisch gedachte Durchschnitts-IT-Nutzer alle die Anforderungen, die an ihn gestellt werden, erfüllen kann. Angesichts der oben unter Teil 2 skizzierten Ausgangslage und der empirischen Ergebnisse zu Nutzertypologien kann hieran durchaus Zweifel bestehen. So sieht beispielsweise auch der Gesetzgeber im Entwurf des De-Mail-Gesetzes den privaten IT-Nutzer als „schwächstes Glied in der Sicherheitskette“ im Bereich der elektronischen Kommunikation2000. Auch das BVerfG geht im Urteil zum IT-Grundrecht im Hinblick auf einen wirkungsvollen sozialen und technischen Selbstschutz von einer Überforderungssituation des privaten Nutzers aus2001. Der Gesetzgeber hat in diesem Zusammenhang das Problem der Überforderung des privaten Nutzers erkannt und daher ein größeres Pflichtenprogramm für den Diensteanbieter statuiert2002. Die Überforderung des Nutzers entsteht nicht nur aus einer kognitiven Überforderung. Vor vielen Angriffsmöglichkeiten auf Kommunikationsvorgänge in der digitalen Welt wie beispielsweise man-in-the-middle-Angriffe kann sich ein Nutzer nicht wirksam schützen2003, da er diese im Zweifel gar nicht bemerkt. So kann er drohenden Schadensszenarien nicht begegnen. Auch das BVerfG führt im Urteil zur Online-Durchsuchung aus, dass informationstechnische Systeme mittlerweile einen derart hohen Komplexitätsgrad erreicht haben, dass ein wirkungsvoller sozialer und technischer Selbstschutz Schwierigkeiten bereitet und jedenfalls den Durchschnittsnutzer überfordern kann2004. Sicherlich gibt es technikaffine Nutzergruppen, für die der hohe Komplexitätsgrad der Systeme und die Gewährleistung von Selbstschutz kein Problem darstellt. Für eine Gesamtbeurteilung ist jedenfalls aber auf einen Durchschnitts-Nutzer abzustellen. Der Staat muss daher seinen Blick auch auf die Schwächeren im Internet richten und darf die Kluft zwischen der Technikaffinität unterschiedlicher Nutzergruppen nicht ignorieren2005. 3. 1999 Möller, in: Hornung/ders. (Hrsg.), § 18 PAuswG, Rn. 38 am Beispiel der Nutzerverantwortlichkeiten beim nPA. 2000 BT-Drs. 17/3630, S. 26. 2001 BVerfGE 120, 274 (306); Luch, MMR 2011, 75 (79). 2002 BT-Drs. 17/3630, S. 21. 2003 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 50. 2004 Schröder/Schröder, Die Online-Durchsuchung, S. 103 mit Verweis auf BVerfG 1 BvR 370/07, 1 BvR 595/07, Rn. 180. 2005 Heckmann, K&R 2010, 770 (774). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 284 Zumutbarkeit des Selbstschutzes „Digitale Verantwortungsfähigkeit“ Unter Berücksichtigung der Entwicklung des Internets und des Wandels zur Informationsgesellschaft, welcher weite Kreise der Bevölkerung erfasst hat, wird man daher zurückhaltend sein müssen, an einen vermeintlich „typischen Internetnutzer“ überspannte Sorgfaltsanforderungen zu stellen, weil das Wissen um Einstellungen, Softwareverwendung und Risiken bei privaten Nutzern zwischen den unterschiedlichen Nutzergruppen zum Teil erheblich variiert2006. Verantwortung kann ein Nutzer nur für etwas übernehmen, was er auch durchschaut. Darüber hinaus muss sich das zu beherrschende Risiko im Einwirkungsbereich des Nutzers befinden. Unter digitaler Verantwortungsfähigkeit ist zu verstehen, dass ein Nutzer in der Lage ist, Risiken im Rahmen der digitalen Kommunikation zu erkennen2007 und Maßnahmen zur Abwehr zu ergreifen. Insoweit ist das Maß der digitalen Verantwortungsfähigkeit auch unterschiedlich ausgeprägt. Gleichwohl ist der Nutzer digitaler Kommunikation als Träger von Grundrechten auch zum Tragen eines gewissen Mindestmaßes an Verantwortung berufen, da ihm ebendieses von der Rechtsordnung abgefordert wird. Der Staat kann bei der Umsetzung seiner Schutzpflicht auch faktisch nicht jeden Nutzer individuell betreuen. Das dem Nutzer abzuverlangende Maß an Verantwortung ist aber auch nicht statisch zu bestimmen, sondern kann sich wandeln. Verkehrserwartungen können sich nämlich mit zunehmender Verbreitung eines Risikobewusstseins und der Kenntnis möglicher Gegenmaßnahmen im IT-Bereich auch wandeln2008. Momentan geht der Gesetzgeber für den Bereich des transaktionsbezogenen E-Governments im Kontext von De-Mail davon aus, dass die digitale Verantwortungsfähigkeit z. B. bei der Frage der Zugangseröffnung noch nicht stark ausgeprägt ist und ein Schwerpunkt bei den Aufklärungspflichten liegt2009. In der Diskussion um die Verantwortung des Nutzers digitaler Kommunikation wird auch der Begriff der digitalen Souveränität häufig verwendet. Nach der Studie „Zukunftspfade digitales Deutschland 2020“ bedeutet digitale Souveränität, Informations- und Kommunikationstechnologien bzw. digitale Medien sinnvoll bei der Suche, Beurteilung und Verwendung von Daten und Informationen im Internet einsetzen zu können, kompetent mit den eigenen Daten umgehen zu können, Chancen und Vorteile der Digitalisierung zu erkennen und zu nutzen, aber auch, sich möglicher Gefahren bei der Internetnutzung bewusst zu sein – sowohl im Hinblick auf den technischen als auch auf den organisatorischen Umgang2010. Auch hier wird ähnlich wie in der Nationalen E-Government-Strategie vom Leitbild eines mündigen, digital souveränen Bürgers ausgegangen2011. Diese digitale Souveränität setzt aber auch eine Verantwortungsfähigkeit des Nutzers voraus, die 4. a) 2006 Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 121, Rn. 284; ders., JZ 2004, 1128 (1129). 2007 Insoweit kritisch zum De-Mail-Konzept: Berlit, JurPC Web-Dok. 39/2011, Abs. 40. 2008 Spindler, JZ 2004, 1128 (1129). 2009 BR-Drs. 557/12 (Beschluss), S. 12. 2010 Studie Zukunftspfade digitales Deutschland 2020, S. 34. 2011 Studie Zukunftspfade digitales Deutschland 2020, S. 34. C. Selbstschutz des Nutzers 285 von verschiedenen Faktoren wie Wissen über Risiken abhängt. Diese Form von Verantwortungsfähigkeit muss der Nutzer erst erlangen, bevor er digital souverän sein kann. Sorgfaltsmaßstab für den Nutzer So wie die technische Entwicklung auch ist der den Nutzer treffende Sorgfaltsmaßstab einer steten Veränderung unterworfen2012. Angesichts der vielen Gefahren im Bereich der elektronischen Kommunikation und der für den Nutzer begrenzten Möglichkeiten zu reagieren, stellt sich die Frage, welcher Sorgfaltsmaßstab von einem Nutzer verlangt werden kann. Auch diese Frage kann nicht abstrakt und losgelöst vom Einzelfall beantwortet werden. Maßgeblich sind Faktoren wie die Erkennbarkeit des Schadens, die Beherrschbarkeit der Risikosphäre, der Aufwand für Gegenmaßnahmen und der kognitive Zugang. „Digitale Verantwortungsbereitschaft“ Neben der digitalen Verantwortungsfähigkeit eines privaten Nutzers ist auch dessen digitale Verantwortungsbereitschaft entscheidend. Diese Frage ist eng mit derjenigen verknüpft, welches Restrisiko zu tragen ist. Einem privaten Nutzer ist es nicht zumutbar, dass er sich den ganzen Tag mit dem Schutz seiner personenbezogenen Daten beschäftigt2013. Der von einem privaten Nutzer zu erwartende Beitrag muss stattdessen auch im Verhältnis zu den Möglichkeiten stehen, die er hat. Besteht eine Sicherheitslücke im Bereich des Servers eines Diensteanbieters2014, ist dies eine Risikosphäre, die ein privater Nutzer gar nicht beherrschen kann. Es steht damit die Frage im Raum, wie viel Risiko der Gesetzgeber dem einzelnen Bürger im Rahmen seiner Lebensführung zumuten darf2015 und wo die staatliche Schutzpflicht es gebietet, dieses Risiko zu minimieren. Jedenfalls darf der private Nutzer nur für eine Risikosphäre verantwortlich gemacht werden, auf die dieser auch Einfluss hat. Insbesondere dürften hier die individuelle Infrastruktur wie das private WLAN, der PC, ein mögliches Lesegerät für den nPA sowie der Umgang mit den eigenen Identitätsdaten und z. B. Legitimationsmedien im Vordergrund stehen. In diesem Zusammenhang können sich aber staatlicherseits Aufklärungspflichten ergeben. Ein bloßer Hinweis auf die Notwendigkeit zu vorbeugendem Selbstschutz kann aber ggf. auch unzureichend sein2016. Das entscheidende Kriterium im Rahmen der digitalen Verantwortungsbereitschaft eines privaten Nutzers ist also die Zumutbarkeit im Hinblick auf die Verantwortung. Darüber hinaus ist es praktisch bedeutsam, dass der Nutzer informationellen Selbstschutz wie b) c) 2012 Spindler u. a., Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 123, Rn. 284; ders., JZ 2004, 1128 (1129); Kind/Werner, CR 2006, 353 (355). 2013 Lüke, in: Schmidt/Weichert (Hrsg.), Datenschutz, 154 (163). 2014 Vgl. hierzu die Mitteilung des BSI unter: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/ Presse2014/Neuer_Fall_von_Identitaetsdiebstahl_07042014.html (letzter Abruf: 08.11.2015) 2015 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 132. 2016 Hoffmann-Riem, in: Klumpp u. a. (Hrsg.), Netzwelt – Wege, Werte, Wandel, 165 (174). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 286 beispielsweise technische und organisatorische Maßnahmen gegen Schadensereignisse als Angelegenheiten im eigenen Interesse wahrnimmt2017. Je größer der kognitive Zugang eines Nutzers zu den Risiken und Nebenwirkungen digitaler Kommunikation und je klarer das individuelle Restrisiko abschätzbar ist, desto größer dürfte auch seine digitale Verantwortungsbereitschaft und damit auch die erzielte Schutzwirkung sein2018. Das bedeutet: Je größer die digitale Verantwortungsfähigkeit ist, desto größer ist auch die digitale Verantwortungsbereitschaft. Auch in diesem Zusammenhang gilt für den Nutzer der Wahlspruch der Aufklärung: „Wage, zu wissen“ („sapere aude“)2019, da er gehalten ist, informationelle Kontexte auf Gefahren und seine Verantwortung hin zu hinterfragen. Für den Gesetzgeber, der die grundrechtliche Schutzpflicht umsetzen muss, ist dieser Zusammenhang von Bedeutung. Selbstschutzmaßnahmen Nachdem geklärt wurde, dass ein Mindestmaß an Verantwortungsbereitschaft den Nutzer von transaktionsbezogenen E-Government-Anwendungen trifft, sollen nun einzelne konkrete Selbstschutzmaßnahmen kurz diskutiert werden, die im Einwirkungsbereich des Nutzers liegen. Einsatz von Virenscannern Sehr häufig wird der Einsatz von Virenscannern durch den Nutzer als Maßnahme in der Diskussion genannt. Sehr häufig verbreiten sich Viren durch befallene Datenträger und den Versand von E-Mails. Mit Virenschutzsystemen ist es möglich, das Wirksamwerden eingedrungener Schadenssoftware durch frühzeitige Erkennung und Unschädlichmachung zu verhindern2020. Ist ein Computer befallen, so ist dieser als besondere Gefahrenquelle einzustufen, die die Zurechnung einer Verkehrspflicht rechtfertigt2021. Die zentrale Frage in diesem Kontext ist, ob der Nutzer rechtlich zum Einsatz von Virenscannern verpflichtet ist oder nicht. Die inzwischen herrschende Meinung geht davon aus, dass der Nutzer eines Rechners mit Internetanschluss verpflichtet ist, ein Virenschutzprogramm zu installieren2022. Damit ist grundsätzlich auch jeder Nutzer von transaktionsbezogenen E-Government-Anwendungen erfasst. Unterschiedliche Auffassungen werden zur Aktualität des Virenschutzes vertreten. Hier finden sich sowohl Ansichten, die von einer wöchentlichen2023, als auch solche, die von 5. a) 2017 Heibey, in: Roßnagel (Hrsg.), HBDSR, Kap 4.5, Rn. 144. 2018 Pohlmann, DuD 2014, 714 (714). 2019 Ullrich, DuD 2014, 696 (700). 2020 Heibey, in: Roßnagel (Hrsg.), HBDSR, Kap 4.5, Rn. 131; hierzu grundlegend: Hossenfelder, Pflichten von Internetnutzern zur Abwehr von Malware und Phishing in Sonderverbindungen. 2021 Koch, NJW 2004, 801 (803); Libertus, MMR 2005, 507 (509). 2022 Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 144 f. 2023 Libertus, MMR 2005, 507 (510). C. Selbstschutz des Nutzers 287 einer monatlichen Aktualisierungspflicht2024 sowie von einer Anforderung des „aktuellen“ oder „neusten“ Virenschutzprogrammes2025 ausgehen. Da viele Virenschutzprogramme ohnehin automatisch eine tagesgenaue Aktualisierung umfassen und es kostenlose Virenschutzprogramme gibt, die mit überschaubarem Aufwand auf einem privaten Rechner zu installieren sind, wird man entgegen den vorher genannten Ansichten eine Pflicht zur Verwendung eines aktuellen Virenschutzes in Form des zuletzt verfügbaren Updates als für den privaten Nutzer zumutbar bejahen können2026. Einsatz von Firewalls Eine maßgebliche praktische Bedeutung haben Firewalls. Sie ermöglichen eine vollständige Kontrolle des Datenverkehrs und können Angriffe aus dem Internet oder Netzwerken mit anderem Schutzbedarf abwehren2027. Eine Firewall lässt gezielt und kontrolliert Übergänge zwischen einzelnen Netzen zu2028. Die Pflicht für den privaten Nutzer, eine Firewall einzusetzen, wird zum Teil ohne Begründung bejaht2029. Eine weitere Ansicht stellt darauf ab, dass eine vorinstallierte Firewall zumindest nicht abgeschaltet werden darf2030. Eine weitere Ansicht lehnt die grundsätzliche Pflicht für den Einsatz von Firewalls zumindest für den Privatnutzer ab, da es an der Bekanntheit fehle, die Benutzung kompliziert sei und daher dem Durchschnittsnutzer nicht zuzumuten sei2031. Es lässt sich aber festhalten, dass es integrierte Systeme gibt, die sowohl einen Virenscanner als auch eine Firewall als Bestandteil der Grundeinstellungen enthalten. Damit ist die Bedienung im Einzelfall aber trotzdem noch nicht unbedingt dem Durschnittsnutzer zuzumuten. Firewalls arbeiten aufgrund eines bestimmten Regelsatzes und stellen Anfragen an den Nutzer2032. Dieser muss die Anfragen dann mit seinem Kenntnisstand beantworten. So kann es sein, dass der Nutzer beispielsweise auch einem gefährlichen Programm entsprechenden Zugriff gewährt. Aufgrund der Kompliziertheit der Bedienung von Firewalls ist hier davon auszugehen, dass für den privaten Nutzer keine Pflicht zum Einsatz derselben besteht. b) 2024 Spindler u. a., Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 124, hält aber auf S. 126 eine wöchentliche Aktualisierung für erforderlich. 2025 Leible/Sosnitza, K&R 2002, 51 (51); Schneider/Günther, CR 1997, 389 (349). 2026 So auch Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 145. 2027 Lubnow, in: Bieler/Schwarting (Hrsg.), e-Government, 637 (655) = Rn. 492. 2028 Eckert, IT-Sicherheit, S. 728. 2029 Vgl. etwa: LG Köln, 05.12.2007, 9 S 195/07, MMR 2008, 259 (261); Libertus, MMR 2005, 507 (510); Meder/Blissenbach, EWiR 2008, 243 (244), Mühlenbrock/Dienstbach,MMR 2008, 630 (631). 2030 Werner, Verkehrspflichten privater IT-Nutzer in Bezug auf die Verbreitung von Schadsoftware S. 163; AG Wiesloch, 20.6.2008, 4 C 57/08, MMR 2008, 626 (627). 2031 Spindler u. a., Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 128, Rn. 301. 2032 Lubnow, in: Bieler/Schwarting (Hrsg.), e-Government, 637 (655) = Rn. 492. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 288 Verhalten im E-Mail-Verkehr Neben dem Einsatz der technischen Systeme zum Schutz vor Schäden der individuellen Infrastruktur des privaten Nutzers ist auch das Verhalten des Nutzers maßgeblich. Dieses betrifft insbesondere auch das Verhalten des Nutzers im E-Mail-Verkehr. Ein besonderes Gefahrenpotenzial bergen E-Mail-Anhänge in sich. Der private Nutzer ist verpflichtet, unbekannte und verdächtige Anhänge von E-Mails im Zweifelsfall unge- öffnet zu löschen bzw. nur nach Verifizierung des Absenders zu öffnen2033. Es darf heute zum allgemeinen Kenntnisstand eines durchschnittlichen Internetnutzers gehören, dass E-Mail-Anhänge potenziell gefährlich sind2034. Daher ist eine bestimmte Verhaltensobliegenheit des Nutzers anzunehmen, verdächtige Anhänge einer E-Mail nicht zu öffnen. Eine haftungsbewährte Pflicht ist in diesem Zusammenhang auf abstrakter Ebene jedenfalls schwierig anzunehmen. Ende-zu-Ende-Verschlüsselung der E-Mail-Kommunikation? Im Rahmen der elektronischen Kommunikation wird häufig die Ende-zu-Ende-Sicherheit mittels Verschlüsselung diskutiert2035. Insbesondere das Schutzziel der Integrität der Kommunikation kann im Kontext der digitalen Kommunikation mittels einer Ende-zu-Ende-Verschlüsselung erreicht werden. Bei einer Ende-zu-Ende-Verschlüsselung werden die Nutzdaten eines Datenpakets vom Absender verschlüsselt und erst vom Empfänger wieder entschlüsselt2036. Im Zuge der Beratungen des De- Mail-Gesetzes wurde dies vielfach diskutiert, eine gesetzliche Pflicht wurde aber nicht in das De-Mail-Gesetz aufgenommen2037. Die Ende-zu-Ende-Verschlüsselung gilt unter dem Gesichtspunkt der Datensicherheit und im Hinblick auf die Integrität der Kommunikationsinhalte als sicherste Variante, die aber zugleich einen höheren technischen und organisatorischen Aufwand für den Nutzer bedeutet. Fraglich ist, ob diec) d) 2033 Spindler u. a., Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 132, Rn. 312. 2034 Spindler u. a., Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 132, Rn. 312. 2035 Vgl. hierzu den Koalitionsvertrag zwischen CDU, CSU und SPD: „Deutschlands Zukunft gestalten“, S. 104, zu finden unter: http://www.bundesregierung.de/Content/DE/_Anlagen/2013/2013 -12-17-koalitionsvertrag.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015), sowie auch das Interview mit den Staatssekretären Gerd Billen und Ulrich Kelber aus dem Bundesministerium für Justiz und Verbraucherschutz mit iRights.info, zu finden unter: http://irights.info/artikel/wir-muessen-bei-jeder-regelung-mit-bedenken-ob-sie-auch-im-digitalen-raum-passt/23367 (letzter Abruf: 08.11.2015); zu einem möglichen Anspruch des Bürgers auf Verschlüsselung: Petersen, Die Rechtsprobleme des Electronic Government, S. 94 ff . 2036 Eckert, IT-Sicherheit, S. 773; zur datenschutzrechtlichen Wirkung von Verschlüsselung: Hartung/ Stiemerling, CR 2012, 60 (62 ff.). 2037 Vgl. zu den freiwilligen Angeboten der Diensteanbieter: Kommune 21, 6/2015, S. 6, wonach die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet (1&1, Web.de und GMX) ein vereinfachtes Ende-zu-Ende-Verschlüsselungsverfahren für De-Mails anbieten, welches für Nutzer ohne besondere Vorkenntnisse handhabbar sei; eine weitere freiwillige Möglichkeit für den Privatnutzer findet sich unter: https://volksverschluesselung.sit.fraunhofer.de/ (letzter Abruf: 25.11.2015). C. Selbstschutz des Nutzers 289 se sich unter die Kategorien von Nutzerpflichten und Nutzerobliegenheiten fassen lässt. Nutzerpflichten scheiden aus, da es keine entsprechende gesetzliche Regelung gibt. Auch der gesetzliche Rahmen für elektronische Kommunikation überlässt den Einsatz einer Ende-zu-Ende-Verschlüsselung der Entscheidung von Diensteanbieter und Nutzer. Das EGovG des Bundes regelt hierfür keine Vorgaben. Nach dem EGovG des Freistaates Sachsen sind nach § 2 Abs. 1 S. 3 für die elektronische Kommunikation durch die Verwaltung Verschlüsselungsverfahren anzubieten und diese auch im Regelfall anzuwenden, ohne dass das Gesetz diese Verfahren spezifiziert. Für den Bürger und für Unternehmen besteht dagegen die Wahl, ob sie Verschlüsselungsverfahren nutzen wollen oder nicht2038. Das bedeutet, dass sie auch die unsichere Variante der einfachen E-Mail wählen können. Das „Ob“ einer Ende-zu-Ende-Verschlüsselung ist momentan also der freiwilligen Entscheidung des Nutzers überlassen. Da diese aber bisher beim privaten Nutzer nicht weit verbreitet ist, kommt den Anstrengungen zur Stärkung einer „gewohnheitsmäßigen Verschlüsselung“ z. B. durch Öffentlichkeitskampagnen besondere Bedeutung zu2039. Grundsätzlich wird man sagen müssen, dass die staatliche Schutzpflicht für die informationelle Selbstbestimmung nicht so konkret bestimmbar ist, dass hieraus eine Ende-zu-Ende-Verschlüsselung ableitbar ist. Es ist somit verfassungsrechtlich zulässig, die Frage über das „Ob“ einer Ende-zu-Ende- Verschlüsselung in die Sphäre des privaten Nutzers zu verlagern und diesen eigenverantwortlich entscheiden zu lassen. Damit ist aber noch nicht gesagt, dass es nicht sinnvoll wäre, eine Ende-zu-Ende-Verschlüsselung gesetzlich vorzuschreiben. Insbesondere weil an anderer Stelle in Konkretisierung gesetzlicher Vorschriften eine Endezu-Ende-Verschlüsselung stattfindet, ist es schwer, zu erklären, warum dies im Bereich des transaktionsbezogenen E-Governments nicht gelten sollte. Pflicht zur Sicherung der technischen Umgebung des nPA? Auch für den Einsatz des nPA gibt es gesetzliche Maßgaben, die den Nutzer adressieren. Nach § 27 Abs. 3 PAuswG soll der Personalausweisinhaber durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 PAuswG nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Orientieren soll er sich insbesondere an Systemen und Bestandteilen, die vom BSI als für diesen Einsatz sicher bewertet wurden. Fraglich ist, ob es sich bei dieser Verhaltensanforderung um eine Nutzerobliegenheit oder eine Nutzerpflicht handelt. Der nPA muss für die Nutzung des elektronischen Identitätsnachweises zusätzlich mit einem Lesegerät und zugehöriger Software betrieben werden, sodass dieses Gesamtsystem als „Informationstechnisches System“ im Sinne des IT-Grundrechts aufgefasst werden kann2040. In der Formulierung verwendet das Gesetz das Wort „soll“, was in der Tendenz im Duktus verwale) 2038 Vgl. hierzu LT-Drs. 5/13651, S. 33. 2039 So zu Recht Kiometzis, DuD 2014 709 (712), der dieses als wirksamer ansieht, als das, was die Initiative „E-Mail made in Germany“ suggeriert. 2040 Neidert, in: Schliesky (Hrsg.), Gesetz über Personalausweise und den elektronischen Identitätsnachweis, § 27 Rn. 12. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 290 tungsrechtlicher Vorschriften für eine Nutzerpflicht spricht2041. Es fehlt aber ein Sanktionsmechanismus für den Fall der Nichtbefolgung dieser Verhaltensmaßregel2042, was gegen das Vorliegen einer Rechtspflicht spricht. Nach der Gesetzgebungsgeschichte handelt es sich um eine sanktionslose Norm2043. Im Rahmen des Gesetzgebungsverfahrens ging der Bundesrat davon aus, dass es sich bei den Regelungen in § 27 Abs. 2 und 3 PAuswG um Obliegenheiten und keine Rechtspflichten handele, da Verstöße kaum nachweisbar seien und nicht sanktioniert würden2044. Es hätte einer gesetzlichen Regelung nicht unbedingt bedurft, da diese Obliegenheiten für den mündigen Bürger, der auf die elektronische Identifikation mittels nPA zurückgreife, ohnehin gelten2045. Würde man hier das Vorliegen einer echten Rechtspflicht des Nutzers annehmen, so würde der Nutzer vor ein anspruchsvolles Pflichtenprogramm gestellt, das ein nicht unerheblicher Teil der Nutzer kaum erfüllen könnte. Der Nutzer hat bereits nach § 27 Abs. 1 Nr. 3 PAuswG den Verlust seines nPA anzuzeigen und das Unterlassen stellt eine Ordnungswidrigkeit nach § 32 Abs. 1 Nr. 9 PAuswG dar2046. Für diesen Fall besteht also ein Sanktionsmechanismus, was für das Vorliegen einer echten Rechtspflicht zur Verlustanzeige spricht. Um den Nutzer mit Pflichten in der Summe nicht zu überfordern, ist es angezeigt, für die Sicherung der technischen Umgebung nicht von einer Rechtspflicht auszugehen. Es spricht hier insgesamt mehr dafür, dass es sich um eine Obliegenheit des Nutzers handelt2047. Restrisiko für den Nutzer Trotz aller Selbstschutzmaßnahmen bei der elektronischen Kommunikation bleibt ein gewisses Restrisiko, welches aus der Vielgestaltigkeit der skizzierten Gefahrenlagen resultiert. Restrisiken treten in vielen Lebensbereichen wie z. B. auch im Straßenverkehr auf. Im digitalen Umfeld treten auch bei installierten Virenprogrammen durchaus noch Restrisiken auf2048. Fraglich ist, wie die Rechtsordnung damit umgeht. In vielen Lebensbereichen trägt der Bürger Restrisiken. Es ist auch anerkannt, dass staatliche Schutzpflichten nicht vor jeglichem Restrisiko schützen können2049. Ob das Tragen von Restrisiken bei der Nutzung von transaktionsbezogenen E-Government-Anf) 2041 Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 141. 2042 Neidert, in: Schliesky (Hrsg.), Gesetz über Personalausweise und den elektronischen Identitätsnachweis, § 27 Rn. 12. 2043 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 289. 2044 Beschluss des Bundesrates vom 19.08.2008 aufgrund der Beschlussempfehlung der Ausschüsse für Innere Angelegenheiten, des Finanzausschusses und des Rechtsausschusses zu § 27 PAuswG, BT- Drs. 550/1/08, S. 18 sowie BT-Drs. 16/10489, S. 59. 2045 BT-Drs. 550/1/08, S. 18, sowie BT-Drs. 16/10489, S. 59. 2046 Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 140. 2047 Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 141, spricht von einem rechtlichen Hinweis. 2048 Spindler u. a., Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI-Gutachten 2007, S. 129. 2049 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 71. C. Selbstschutz des Nutzers 291 wendungen sachgerecht ist, wie die Verantwortung aufzuteilen ist sowie die Frage, was die E-Government anbietende Verwaltung in Umsetzung der auch ihr zukommenden staatlichen Schutzpflicht in diesem Kontext erfüllen muss, soll im Folgenden weiter erörtert werden. Befähigung zum Selbstschutz im Rahmen der Schutzpflicht Zunächst bleibt festzuhalten, dass der Selbstschutz des Nutzers ein wichtiges Element ist. Die Befähigung des Nutzers zum Selbstschutz stellt ein wichtiges Element im Rahmen der Umsetzung der staatlichen Schutzpflicht durch alle drei staatlichen Gewalten dar. Selbstschutz kann in Form von Selbstschutzpflichten oder in Form von Selbstschutzobliegenheiten auftauchen. Der Schutzpflichten umsetzende Staat muss die Art des Selbstschutzes genau vorher analysieren und dann konzeptionell vorsehen, wie er den Nutzer zum Selbstschutz befähigt. Es gibt Konstellationen, in denen Selbstschutz praktisch wirkungslos ist, und solche, in denen Selbstschutz mit überschaubarem Aufwand zu bewältigen ist. Alles das muss im Rahmen der Schutzpflicht gegeneinander abgewogen werden. Zulässige Selbstgefährdung als autonome Entscheidung? Der Selbstschutz des Nutzers setzt voraus, dass dieser Verantwortung für sein Handeln im Rahmen der elektronischen Kommunikation übernimmt. Daher ist hier insgesamt auch die Frage zu stellen, ob die elektronische Kommunikation ein Anwendungsraum für Gedanken der Autonomie und der zulässigen Selbstgefährdung sein kann oder ob Maßstäbe, die dem Verbraucherschutzrecht ähneln, anzuwenden sind2050. Zwar kommt dem einzelnen Nutzer grundsätzlich Verantwortung zu und es ist bei der Schutzgewährung sicherzustellen, dass diesem die Verantwortung nicht ganz abgenommen wird. Es ist aber festzustellen, dass die Handlung des einzelnen Nutzers Ausstrahlungswirkung auf andere Nutzer hat, was im Sinne eines effektiven Schutzes dafür spricht, dass der sich selbst gefährdende Nutzer Restriktionen unterliegen muss2051. Gerade im IT-Kontext kann das verantwortungslose Verhalten Einzelner sehr viele andere Nutzer treffen und zu großen Schäden führen. Ein Beispiel hierfür sind sog. Botnetze2052. Insoweit spricht hier viel dafür, dass der Selbstgefährdung der Nutzer aufgrund autonomer Entscheidung auch Grenzen gesetzt sein müssen. Die oben genannte Studie zur Nutzertypologie weist aus, dass es durchaus Nutzer mit der Tendenz zur autonomen Selbstgefährdung gibt. Diese müssen sich im Zweifel Obliegenheitsverletzungen zurechnen lassen. In jedem Fall gebietet es die staatliche Schutzpflicht, der autonomen Selbstgefährdung einzelner Nutzer im Rahmen der digitalen Kommunikation zumindest Grenzen zu setzen. 6. IV. 2050 Diese Frage wird zu Recht aufgeworfen von: Heckmann, K&R 2010, 770 (772); zur möglichen Vorbildfunktion der Maßstäbe des Verbraucherschutzrechts siehe unten unter: Teil IV, D., 2. 2051 So zu Recht Schulz S. E., in: Schliesky (Hrsg.), Die Vermessung des virtuellen Raumes, 265 (302). 2052 Vgl. hierzu Roos/Schumacher, MMR 2014, 377 (377 ff.). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 292 Zwischenergebnis Informationeller Selbstschutz des Nutzers ist im Rahmen der aus der verfassungsrechtlich garantierten Freiheit resultierenden Verantwortung ein wichtiges Element, welches bei der Umsetzung staatlicher Schutzpflichten Berücksichtigung finden muss. Dieser tritt vereinzelt in Form von gesetzlich geregelten Selbstschutzpflichten, verstärkt aber in Form von Selbstschutzobliegenheiten auf. Neben dem spezifischen E-Government-Rechtsrahmen sind hier insbesondere auch allgemeine haftungsrechtliche Vorschriften einschlägig. Auch wenn es kaum direkte Rechtspflichten gibt, kann hier festgehalten werden, dass das Anforderungsprogramm an den Nutzer von transaktionsbezogenen E-Government-Anwendungen steigt. Die Selbstschutzobliegenheiten des Nutzers sind zwar Lasten mit minderer Zwangsintensität, adressieren jedoch auch die digitale Verantwortungsfähigkeit und -bereitschaft des Nutzers. Eine grundsätzliche Obliegenheit zum informationellen Selbstschutz besteht für jeden Nutzer als Korrelat seiner grundrechtlichen Freiheit. Obliegenheiten haben den Vorteil, dass sie flexibler einsetzbar sind, weil sie keinen Sanktionsmechanismus erfordern und sich auch ohne gesetzliche Regelung in Vertragsverhältnissen ergeben können. Es gibt jedoch Gefahrenkonstellationen, in denen informationeller Selbstschutz wirkungslos ist. Insbesondere in diesen Konstellationen ist der Staat im Rahmen seiner staatlichen Schutzpflicht gefragt, Abhilfe zu schaffen. Selbstdatenschutz ist insgesamt ein notwendiges und unverzichtbares Konzept zum Schutz der informationellen Selbstbestimmung. Reichweite staatlicher Schutzpflichten an ausgewählten Beispielen In den vorstehenden Abschnitten konnte deutlich gemacht werden, dass es ein Zusammenspiel zwischen der Umsetzung staatlicher Schutzpflichten für die digitale Kommunikation und der Verantwortung des einzelnen Nutzers für den digitalen Selbstschutz gibt. Zu untersuchen ist, wie beide Elemente zueinander im Verhältnis stehen. Zu starker Schutz kann zu staatlicher Bevormundung führen und zu wenig Schutz zu einer Hilflosigkeit des privaten Nutzers. Daher soll im Folgenden analysiert werden, ob aus dem Verhältnis von staatlicher Schutzpflicht und Eigenverantwortung des Einzelnen in anderen Lebensbereichen Erkenntnisse für den Bereich der elektronischen Kommunikation gezogen werden können. Vergleich mit dem Straßenverkehr? Der Vergleich der Internetnutzung mit dem Straßenverkehr hat eine gewisse Tradition, sodass insbesondere in den Neunzigerjahren von der „Datenautobahn“ die Rede V. D. I. D. Reichweite staatlicher Schutzpflichten an ausgewählten Beispielen 293 war2053. Zu fragen ist daher, ob es hier Parallelitäten mit der IT-Nutzung geben kann. Zunächst gibt es im Straßenverkehr einen Kanon von gesetzlich geregelten Verhaltenspflichten, die jedermann beachten muss. Diese sind im Wege eines Bußgeldes und ggf. anderer Maßnahmen sanktioniert. Das Schutzgut hinter diesen Verhaltensregeln ist die körperliche Unversehrtheit jedes einzelnen Verkehrsteilnehmers. Innerhalb dieser Regeln sind auch klare gesetzliche Handlungspflichten wie die Gurtpflicht statuiert2054. Hier hat der Gesetzgeber die Frage der Umsetzung der Schutzpflicht nach intensiver öffentlicher Diskussion2055 ziemlich konsequent behandelt und der Eigenverantwortung des einzelnen Fahrzeugführers wenig Raum gelassen. Im Hinblick auf die Fahrzeugsicherheit hat der Gesetzgeber mit den TÜV-Hauptuntersuchungen eine intensive Form der Vorabkontrolle geschaffen, die wiederum wenig Raum für Eigenverantwortung lässt. Darüber hinaus gibt es eine Haftpflichtversicherung, um eventuelle Schäden abzudecken. Wenn man den Straßenverkehr nun mit dem IT-Bereich vergleichen möchte, dann fällt auf, dass der Horizont beim Straßenverkehr eher im nationalstaatlichen Kontext liegt und nicht im globalen. Risiken im Straßenverkehr können sehr schnell die körperliche Unversehrtheit eines Menschen und die Dritter betreffen, wohingegen die IT-Gefährdungen tendenziell eher auf Vermögens- oder immaterielle Schäden des Nutzers oder Dritter gerichtet sind. Risiken im Straßenverkehr sind ebenfalls für den Einzelnen meistens direkt erkennbar. Im IT- Bereich lauern oft versteckte Gefährdungen, die der Betroffene im Zweifel gar nicht bemerkt wie z. B. Botnetze, die ganze Staaten lahmlegen können2056. Betrachtet man die Selbstschutzmöglichkeiten des Einzelnen, so sind diese im Straßenverkehr leichter umsetzbar als bei IT-Risiken. Es mangelt bei IT-Risiken oft schon an der Erkennbarkeit. Aus diesem Befund lässt sich folgern, dass der oft vorgenommene Vergleich zwischen IT-Bereich und Straßenverkehr nicht besonders tragfähig ist. Daher ist auch auf der Ebene der Umsetzung staatlicher Schutzpflichten nicht primär auf parallele Maßnahmen bzw. Instrumente zurückzugreifen. Für den privaten IT-Nutzer wäre z. B. ein Computer-TÜV, der die individuelle IT-Infrastruktur des Nutzers prüft, nicht umsetzbar. Auch über bußgeldbewehrte Selbstschutzpflichten kann man den Risiken der IT nicht Herr werden. Insgesamt wird hier deutlich, dass das Verhältnis von Umsetzung der staatlichen Schutzpflicht und der Eigenverantwortung des Einzelnen immer kontextspezifisch bestimmt werden muss. Maßgeblich sind auch die in Rede stehenden Schutzgüter und die Gefährdungsszenarien. Darüber hinaus ist die Straßeninfrastruktur eine i. d. R. staatlich betriebene Infrastruktur, die öffentlich zugänglich ist. Das Internet hingegen ist privat organisiert, aber es ist öffentlich zugänglich. Auch insoweit besteht nur eine eingeschränkte Vergleichbarkeit. 2053 Gapski, in: Sokol (Hrsg.), Persönlichkeit im Netz, 74 (74). 2054 Zur jüngsten Abschaffung der Ausnahme für Taxifahrer vgl. http://www.bundesrat.de/DE/plenum/ plenum-kompakt/14/925/057a.html?cms_selectedTab=section-2 (letzter Abruf: 08.11.2015). 2055 Die Gurtpflicht war bei ihrer Einführung in der Öffentlichkeit umstritten. 2056 So gab es im Jahr 2007 einen Botnetzangriff auf Estland: Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2009, S. 25, zu finden unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE /BSI/Publikationen/Lageberichte/Lagebericht2009_pdf.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 294 Vergleich mit dem Verbraucherschutzrecht Ein weiteres paralleles Feld, in dem das Spannungsverhältnis zwischen Eigenverantwortung auf der einen Seite und staatlicher Schutzpflicht auf der anderen Seite zutage tritt, ist das Verbraucherschutzrecht. Dem Verbraucherschutzrecht liegt grundsätzlich ein durch Eigenverantwortung und Privatautonomie gekennzeichnetes Verbraucherverständnis zugrunde2057. Diese Grundgedanken des Verbraucherschutzes stellen durchaus ein gegenläufiges Prinzip zur Vertragsfreiheit dar2058. Wichtige Elemente im Verbraucherschutzrecht in Form von zwingendem Vertragsrecht sind Formerfordernisse, Informationspflichten und Widerrufsrechte2059. Das Gebiet des Verbraucherschutzrechts ist ein Referenzgebiet für eine Begrenzung von Privatautonomie und Vertragsfreiheit. Auch in diesem Rechtsbereich stellt sich die Frage, wie weit staatliche Schutzpflichten reichen und wo die Eigenverantwortung des Einzelnen anfängt. In diesem Bereich ist die Umsetzung der Schutzpflicht in Form von gesetzlichen Instrumenten weit fortgeschritten. Trotzdem werden immer wieder Defizite im Verbraucherschutz gesehen, und der Grund hierfür wird in der mangelnden Kenntnis der Verbraucherrechte durch die Verbraucher selbst gesehen2060. Die Lösung sei in Information und Aufklärung als Hilfe zur Selbsthilfe zu finden, die wiederum in die Verantwortung des Staates als Adressaten einer Schutzpflicht fällt2061. Diese Maßstäbe im Verbraucherschutzrecht können grundsätzlich auch auf andere Bereiche übertragen werden. So kann grundsätzlich gefragt werden, ob im IT-Bereich die verbraucherschutzrechtlichen Maßstäbe herangezogen werden sollen oder ob der Gedanke der Autonomie und der zulässigen Selbstgefährdung eine Rolle spielen soll2062. Es spricht vieles dafür, die Maßstäbe des Verbraucherschutzrechts auch sinngemäß im Bereich des transaktionsbezogenen E-Governments anzuwenden. Diese Maßstäbe gelten auch für den Bereich des E-Commerce. Da die Gefährdungs- und Bedrohungslagen im E-Government und E-Commerce sehr ähnlich sind, spricht vieles dafür, auch ähnliche rechtliche Wertungen zur Anwendung kommen zu lassen. Sichtbar wird dies auch innerhalb des De-Mail-Konzeptes, da diese Infrastruktur nicht nur für E-Government, sondern auch für E-Commerce und E-Business genutzt werden können soll und viele explizite Regelungen zu zwingendem Vertragsrecht enthält. Da der Nutzer beim „Ob“ der Nutzung von De-Mail schon einen Vertrag mit dem Anbieter schließt und damit eigenverantwortlich wie ein Verbraucher handeln muss, ist die Anwendung von Maßstäben des Verbraucherschutzrechts von einer gewissen Zwangsläufigkeit geprägt2063. Das De-Mail-Gesetz schafft auch Raum für die eigen- II. 2057 Reuß/Vollath, ZRP 2013, 228 (230); eine ähnliche Aufgabe wie dem Verbraucherschutzrecht wird auch dem Datenschutzrecht zugeschrieben: Schneider/Härting, CR 2014, 306 (308); insoweit ist hier die Selbstbestimmung des Verbrauchers zentral: Vgl. hierzu grundlegend: Sedlmeier, Rechtsgeschäftliche Selbstbestimmung im Verbrauchervertrag, 2012. 2058 Höfling, Vertragsfreiheit, S. 41. 2059 Paulus/Zenker, JuS 2001, 1 (5). 2060 Reuß/Vollath, ZRP 2013, 228 (229) . 2061 Reuß/Vollath, ZRP 2013, 228 (232) . 2062 Heckmann, K&R 2010, 770 (772). 2063 Vgl. auch hierzu die Gesetzesbegründung BT-Drs. 17/3630, S. 16. D. Reichweite staatlicher Schutzpflichten an ausgewählten Beispielen 295 verantwortliche Führung des De-Mail-Accounts durch den Nutzer, indem freiwillige Vereinbarungen mit dem Diensteanbieter möglich sind, sofern das De-Mail-Gesetz keine speziellen Anforderungen stellt2064. Auch im De-Mail-Gesetz selbst gibt es Instrumentarien, die an das Verbraucherschutzrecht erinnern. So regelt § 9 De-Mail- Gesetz eine Informationspflicht des Diensteanbieters gegenüber dem Nutzer. Die Maßstäbe des Verbraucherschutzrechts werden aber nicht in die Phase der Akkreditierung des Diensteanbieters einbezogen2065. Generell lässt sich aber aus der Parallelität der Fragen im transaktionsbezogenen E-Government zu denen des Verbraucherschutzrechts folgern, dass es auch in anderen Gebieten ein Wechselverhältnis von Umsetzung staatlicher Schutzpflichten und der Eigenverantwortung jedes Einzelnen gibt. Dieses Verhältnis kann nie statisch bestimmt werden und ist auch Wandlungen unterworfen. Spezifika der Informationstechnologie Im IT-Bereich sind bei der Umsetzung staatlicher Schutzpflichten die weltweite Dimension und die Ubiquität der Datenverarbeitung zu berücksichtigen, die im Vergleich zu den vorher genannten Lebensbereichen erschwerend hinzukommen. Die Auswirkungen von verwirklichten Gefahrenpotenzialen können weltweit auftreten. Die Umsetzung der staatlichen Schutzpflicht kann vor dem Hintergrund dieser globalen Dimensionen daher niemals bedeuten, dass der Staat den privaten Nutzer individuell betreut2066. Auch die Virtualität des Raumes der elektronischen Kommunikation macht die Erfassung von Gefahren und die Umsetzung von Schutzmaßnahmen bisweilen schwierig. Das bedeutet auch, dass verfassungsrechtlich nichts Unmögliches vom Schutzpflichten umsetzenden Staat gefordert werden kann. Beispiel der WLAN-Haftung In kaum einem anderen Bereich wird die Frage der Eigenverantwortung des privaten IT-Nutzers so deutlich gestellt wie bei der Frage der WLAN-Haftung. Das WLAN ist Teil der individuellen Infrastruktur des Nutzers und vielfach aufgrund der weiten Verbreitung notwendige Voraussetzung für die Nutzung von transaktionsbezogenen E-Government-Anwendungen. Eine höchstrichterliche Klärung der individuellen Verantwortlichkeitsmaßstäbe, die dem privaten Nutzer genau aufzeigen, was er zu tun hat, gibt es bisher nicht2067. Bisher gibt es in diesem Bereich nur Ansätze, sodass nur begrenzt generelle Ableitungen erfolgen können. Bei privaten WLANs wird regel- III. IV. 2064 BT-Drs. 17/3630, S. 16. 2065 Spindler, CR 2011, 309 (311). 2066 Heckmann, in: Käfer-FS, 129 (149). 2067 Vgl. die Hinweise bei: Hoeren/Jakopp, ZRP 2014, 72 (73); vgl. zur letzten BGH-Entscheidung: Borges, NJW 2010, 2624 (2624 ff.) („Sommer unseres Lebens“); zur Situation davor: Witte, ITRB 2007, 87 (89). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 296 mäßig als zumutbare Sicherungsmaßnahme ein Passwortschutz gefordert2068. Eine Entscheidung des BGH zur Störerhaftung des WLAN-Inhabers besagt, dass der Inhaber eines WLAN-Anschlusses, der es unterlässt, die im Kaufzeitpunkt des WLAN- Routers marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden, als Störer auf Unterlassung haftet, wenn Dritte diesen Anschluss missbräuchlich nutzen2069. Die Entscheidung stellt bei der Unterlassung von notwendigen Sicherungsmaßnahmen darauf ab, dass diese auch auf dem Willen des Anschlussinhabers beruhen2070, mithin also ein kognitives Element beim Nutzer angesprochen wird. Die Zumutbarkeit von angemessenen Sicherungsmaßnahmen folgert der BGH daraus, dass es regelmäßig im Eigeninteresse des Anschlussinhabers liege, seine Daten vor unberechtigtem Zugriff von außen zu schützen2071. Der Anschlussinhaber haftet nach dieser Entscheidung aber nicht auf Schadenersatz, sondern kann nur als Störer in Anspruch genommen werden2072. An dieser Entscheidung wird kritisiert, dass der BGH eine Pflicht eines WLAN-Betreibers schafft, Rechtsverstöße bzw. Straftaten eines Dritten zu verhindern2073. Die Ausstrahlungswirkung des GG auf zivilrechtliche Sachverhalte führt, wie bereits oben beschrieben, zu den Grundsätzen des Vertrauens und der Eigenverantwortlichkeit2074. Die Eigenverantwortlichkeit des Einzelnen bezieht sich hier somit nach dem BGH auch auf das potenzielle Verhalten Dritter. Haftungsrechtlich betrachtet ist damit die Verschlüsselung eines privaten WLANs eine Nutzerpflicht. Als den Sicherheitsanforderungen genügend gilt das WPA2-Verfahren2075. Der Zugang Dritter zum WLAN des Anschlussinhabers ist von diesem zu kontrollieren2076. Dieses Erfordernis dürfte als Selbstschutzobliegenheit des Anschlussinhabers zu betrachten sein. Bei den Schutzpflichten des Internetnutzers ist für den BGH der Maßstab offenbar gewesen, Schutzpflichten zu statuieren, die der durchschnittliche Internetnutzer auch erfüllen kann2077. Insoweit wird hier auch durch die einschlägige BGH-Rechtsprechung deutlich, dass der Nutzer weder überfordert werden soll noch verantwortungslos gestellt werden soll, sondern ein Mittelweg im Hinblick auf dessen Verantwortungsbeitrag gesucht wird. Im Koalitionsvertrag des Jahres 2013 wurde das Potenzial insbesondere von öffentlichem WLAN in deutschen Städten herausgehoben sowie die Frage der WLAN- Haftung aufgenommen und konstatiert, dass Rechtssicherheit für den WLAN-Betreiber dringend geboten sei2078. Insbesondere die von der Rechtsprechung herangezogene Figur der Störerhaftung und die daraus folgenden haftungsrechtlichen Konsequen- 2068 Borges, NJW 2014, 2305 (2308). 2069 BGH NJW 2010, 2061 (2061), 2. Leitsatz („Sommer unseres Lebens“). 2070 BGH NJW 2010, 2061 (2061), Rn. 21 („Sommer unseres Lebens“). 2071 BGH NJW 2010, 2061 (2061), Rn. 22 („Sommer unseres Lebens“). 2072 Nenninger, NJW 2010, 2061 (2064). 2073 Hoeren/Jakopp, ZRP 2014, 72 (73). 2074 So auch Hoeren/Jakopp, ZRP 2014, 72 (73). 2075 Borges, NJW 2010, 2624 (2624). 2076 Borges, NJW 2010, 2624 (2625). 2077 Borges, NJW 2010, 2624 (2625). 2078 Vgl. Deutschlands Zukunft gestalten, Koalitionsvertrag zwischen CDU, CSU und SPD für die 18. Legislaturperiode, S. 48, abrufbar unter: http://www.bundesregierung.de/Content/DE/_Anlagen/ D. Reichweite staatlicher Schutzpflichten an ausgewählten Beispielen 297 zen werden als Problem für die weitere Verbreitung von WLAN gesehen. Ein Gesetzentwurf nimmt das Problem der Störerhaftung auf und schlägt Änderungen in § 8 TMG in Form einer Ausweitung des Providerprivilegs vor2079. Hier ist eine Tendenz erkennbar, die Verantwortlichkeitsmaßstäbe für den privaten WLAN-Betreiber zu lockern. Da hier insbesondere auch der private Nutzer erfasst ist, der sein WLAN als individuelle Infrastruktur für die Teilnahme an der elektronischen Kommunikation betreibt, korrespondiert dieser Gesetzentwurf mit weiteren gesetzgeberischen Aktivitäten wie dem De-Mail-Gesetz, dem IT-Sicherheitsgesetz und z. B. dem PAuswG, die einen milden Verantwortlichkeitsmaßstab für den privaten Nutzer vorsehen. Vor dem Hintergrund des Bereichs der WLAN-Haftung wird auch deutlich, dass übersteigerte Verantwortlichkeitsmaßstäbe des Nutzers in der digitalen Welt eher die Entwicklung digitaler Kommunikation verhindern als fördern können. In diesem Bereich gab es am 11.03.2015 einen Referentenentwurf2080 des Bundesministeriums für Wirtschaft und Technologie (BMWi), der die Neuregelung der Störerhaftung für öffentliche WLANs im TMG zum Gegenstand hat. Die Verschlüsselung der WLANs wird durch den Entwurf in § 8 Abs. 4 und 5 TMG Ref-E zur Pflicht für alle Betreiber von WLANs. Dieser Gesetzentwurf hebt die Verantwortlichkeitsmaßstäbe sowohl für die WLANs im Privathaushalt als auch für öffentliche auf die gleiche Stufe. Aufgrund der starken Orientierung des Entwurfs an der BGH-Rechtsprechung wird bei privaten WLANs teilweise keine Rechtsunsicherheit bei den Prüfpflichten des privaten WLAN-Betreibers gesehen2081. Der Entwurf knüpft relativ stark an der letzten größeren BGH-Entscheidung an2082. Kritisiert wurde an diesem Gesetzentwurf insbesondere, dass er die Verantwortlichkeit im digitalen Umfeld mit Fragen der IT-Sicherheit vermischt2083. Grundsätzlich hat beides erst einmal noch nichts miteinander zu tun2084. Auf Unverständnis trifft in der Fachwelt auch die Regelung, dass nach § 8 Abs. 4 Nr. 1 TMG-Ref-E für den WLAN-Anschluss im Privathaushalt genau dasselbe gelten soll wie für Hotels, Gaststätten, Flughäfen, Behörden und Anwaltskanzleien, indem „angemessene Sicherheitsmaßnahmen“ zur Pflicht werden2085. Hierbei wird stark auf Verschlüsselung abgestellt. Der Referentenentwurf legt in der Begründung dieser Sicherheitsmaßnahmen den Fokus auch auf das Eigeninteresse des Betreibers eines WLAN, da mit 2013/2013-12-17-koalitionsvertrag.pdf?__blob=publicationFile sowie abrufbar unter: www.cdu. de , dort S. 35 (letzter Abruf: 08.11.2015); zu den vertraglichen Möglichkeiten einer Einschränkung des Angbotes aus Haftungsgründen durch den Betreiber öffentlicher WLANs gegenüber dem Nutzer: Mantz/Sassenberg, CR 2015, 29 (29 ff.). 2079 Vgl. den Gesetzentwurf der Fraktion Bündnis 90/Die Grünen sowie die Fraktion DIE LINKE: BT- Drs. 18/3047, S. 1. 2080 Fundstelle für den Entwurf mit dem Bearbeitungsstand 15.06.2015, zu finden unter: http://www.cronline.de/blog/2015/06/17/neuer-wlan-gesetzentwurf-haftung-der-verbraucher-soll-verschaerftwerden/ (letzter Abruf: 08.11.2015). 2081 Sesing, MMR 2015, 423 (424). 2082 BGH NJW 2010, 2061 (2061), („Sommer unseres Lebens“). 2083 Mantz/Sassenberg, CR 2015, 298 (301). 2084 Mantz/Sassenberg, CR 2015, 298 (301). 2085 Vgl. Niko Härting im CR-Online-Blog, S. 1, zu finden unter: http://www.cr-online.de/blog/ 2015/06/17/neuer-wlan-gesetzentwurf-haftung-der-verbraucher-soll-verschaerft-werden/ (letzter Abruf: 25.11.2015). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 298 der Verschlüsselung auch gewährleistet werde, dass die Daten des WLAN-Betreibers und auch die der weiteren Nutzer so weit wie möglich gegen den Zugriff durch Unbefugte geschützt würden2086. Das primäre Ziel der Verschlüsselung eines WLANs sei aber nicht der Schutz der Daten des Betreibers des WLANs, sondern es diene der Begrenzung des Personenkreises, der Zugang zu dem WLAN bekommen soll2087. Es bleibt hier festzuhalten, dass aus dem Bereich der WLAN-Haftung derzeit punktuelle Nutzerpflichten abzuleiten sind, jedoch kein generalisierbarer Maßstab für die Nutzerverantwortlichkeit bei transaktionsbezogenen E-Government-Anwendungen. Durch die gesetzgeberische Aktivität in diesem Bereich ist die Entwicklung hier nicht absehbar. Generelles Problem der Statuierung von materiellen Verhaltenspflichten im Recht Es wird sichtbar, dass die Statuierung von materiellen Verhaltenspflichten im Recht Schwierigkeiten bereitet und auch stark vom jeweils zu regelnden Bereich abhängt. Diese Verhaltenspflichten müssen i. d. R. mit einem Sanktionsmechanismus versehen werden2088. Aus grundrechtlicher Perspektive nimmt die Entscheidung des Gesetzgebers, eine materielle Verhaltenspflicht einzuführen, dem privaten Internetnutzer ein Stück Eigenverantwortung ab und greift in seine Sphäre ein. Die Verankerung von Verhaltenspflichten für Nutzer von elektronischer Kommunikation im Datenschutzrecht erscheint nicht sinnvoll, da die Nutzer keine personenbezogenen Daten Dritter verwenden und daher nicht Regelungsadressaten der Datenschutzgesetze sind2089. Nutzerpflichten müssten, wenn man diese statuieren wollte, in einem allgemeinen Gesetz definiert werden, wobei diese aufgrund der häufigen Änderung des Pflichtenstandards kaum in einem Parlamentsgesetz geregelt werden könnten2090. Von der Systematik her könnte sich grundsätzlich das TMG anbieten2091. Im Verhältnis des Bürgers zum Staat ist die Regelung von Verhaltenspflichten immer ein Grundrechtseingriff, der rechtfertigungsbedürftig ist. Eine Umsetzung der staatlichen Schutzpflicht durch eine einfachgesetzlich geregelte materielle Verhaltenspflicht ist nicht die grundrechtsschonendste Variante. Vor dem Hintergrund der Zumutbarkeit und Erfüllbarkeit von Rechtspflichten stellt sich dann die Frage der praktischen Umsetzbarkeit. An dieser Stelle besteht auch keine Vergleichbarkeit mit dem Straßenverkehr. Dieser findet im öffentlichen Verkehrsraum statt. In der praktischen Umsetzung der Kontrolle und Sanktionierung von materiellen Verhaltenspflichten des Verkehrsteilnehmers haben Polizei und Ordnungsbehörden einen direkten Zugang zu den Verkehrsteilneh- V. 2086 Referentenentwurf mit Stand vom 15.6.2015, S. 15. 2087 Mantz/Sassenberg, CR 2015, 298 (301). 2088 Roßnagel, in: Ders. (Hrsg.), Recht der Telemediendienste, § 6 SigG, Rn. 56 für den Fall einer qualifizierten elektronischen Signatur; zur generellen Steuerungsschwäche des materiellen Datenschutzrechts: Eifert, Electronic Government, S. 286. 2089 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 380. 2090 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 381. 2091 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 381. D. Reichweite staatlicher Schutzpflichten an ausgewählten Beispielen 299 mern. Bei der Internetnutzung befindet sich der private Nutzer i. d. R. zu Hause und in einem abgegrenzten virtuellen Raum, in dem die Sanktionierung von Pflichtverstößen von außen kaum möglich ist. Materielle Verhaltenspflichten zwischen privatem Nutzer und Diensteanbieter dürften allerdings leichter zu kontrollieren und in diesem Innenverhältnis zu sanktionieren sein. Aber auch hier stellt sich die Frage der Zumutbarkeit dieser Pflichten für den privaten Nutzer im Vertragsverhältnis und diese müssen sich mindestens an den §§ 307 ff. BGB messen lassen. Zwischenergebnis Der Vergleich mit anderen Gebieten, in denen sich die Umsetzung einer staatlichen Schutzpflicht zugunsten des Bürgers sowie die Eigenverantwortung des Einzelnen gegenüberstehen, zeigt, dass die Frage nach der Reichweite staatlicher Schutzpflichten und der Beginn der Eigenverantwortung des Einzelnen nicht ein für alle Mal pauschal beantwortet werden kann. Vielmehr muss dies einzelfallabhängig beantwortet werden. Der Inhalt staatlicher Schutzpflichten ist durchaus einem Wandel unterworfen. Auch das Maß an Eigenverantwortung, welches dem Einzelnen zukommt, kann sich wandeln. So entwickelt sich auch weiter, was von einem Durchschnitts-IT-Nutzer billigerweise erwartet werden kann. Wichtig erscheint in den anderen genannten Referenzfeldern auch, dass der Staat den Einzelnen tatsächlich befähigt, seine Eigenverantwortung wahrzunehmen. So sind Aufklärungs-, Informations- und Bildungsmaßnahmen sowohl im Straßenverkehr als auch im Verbraucherschutzrecht sowie auch im IT-Bereich neben gesetzlichen Maßnahmen unerlässlich. Es gibt Unterschiede zwischen dem Bereich der elektronischen Kommunikation und dem Straßenverkehr sowie dem Verbraucherschutz. Die weltweite Dimension der Informationstechnologie und ihrer Gefahrenpotenziale stellt sich anders dar als in den vorgenannten Bereichen. Dies muss auch dann im Verhältnis zwischen der Umsetzung staatlicher Schutzpflichten und der Eigenverantwortung des Einzelnen Berücksichtigung finden. Die Statuierung materieller Pflichten weist aufgrund der Grundrechtsrelevanz nicht nur generelle Probleme auf, sondern ist auch aufgrund der Spezifika der Informationstechnologie und aufgrund der Probleme bei der Sanktionierung ein kaum geeignetes Mittel. Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten Im Folgenden soll näher darauf eingegangen werden, wie die gesetzgeberische Umsetzung staatlicher Schutzpflichten aus den kommunikationsbezogenen Grundrechten im Bereich von transaktionsbezogenem datenschutzgerechtem E-Government erfolgt. Hier handelt es sich um eine staatliche ex ante Verantwortung, die eine Handlungsver- VI. E. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 300 antwortung mit ordnungsgestaltendem Inhalt darstellt2092. Im Rahmen der Umsetzung der staatlichen Schutzpflichten für die informationelle Selbstbestimmung muss der Gesetzgeber ein Verantwortungskonzept für alle Beteiligten Akteure entwickeln und dabei auch die grundsätzliche Selbstverantwortung des Nutzers einbeziehen. Nicht zuletzt besteht hier immer auch ein Spannungsverhältnis zwischen dem, was vielleicht politisch wünschenswert ist, jedoch verfassungsrechtlich nicht zwingend geboten ist. „Schutzpflichtenkonzept“ des Staates aus den kommunikationsbezogenen Grundrechten Im Bereich der Schutzpflichten verbleibt dem Gesetzgeber grundsätzlich ein weiter Gestaltungs- und Ermessensspielraum, der eine genaue Festlegung von konkreten Anspruchsinhalten erschwert2093. Die staatlichen Organe haben in diesem Zusammenhang die Aufgabe, eine Abwägung zwischen sich gegenüberstehenden Grundrechten vorzunehmen und die negativen Folgen zu berücksichtigen, die eine bestimmte Form der Erfüllung der Schutzpflicht für andere Grundrechtsträger und auch andere Güter von Verfassungsrang wie die öffentliche Sicherheit bedeutet2094. Es sind in jedem Fall verschiedene Grundrechtssphären zu berücksichtigen und voneinander abzugrenzen2095. In den obigen Ausführungen konnte gezeigt werden, dass für den tatsächlichen Lebensbereich der elektronischen Kommunikation je nach Kommunikationsphase verschiedene kommunikationsbezogene Grundrechte in Betracht kommen, aus denen sich staatliche Schutzpflichten ergeben. Bezüglich der in Rede stehenden kommunikationsbezogenen Grundrechte hat der Staat ein ganzheitliches, angemessenes „Schutzpflichtenkonzept“, insbesondere gegen unbeherrschbare, irreparable und nicht autonom regulierbare Gefahrenpotenziale zu entwerfen2096. Dabei können sich auch Schutzpflichten aus mehreren Grundrechten in Vorschriften des einfachen Rechts niederschlagen 2097. So geht es beispielsweise nicht nur um die Schaffung eines einfachen Datenschutzrechts, sondern über die Orientierung am Persönlichkeitsschutz hinaus muss es auch um ein Kommunikations- und Diensteschutzrecht gehen2098. Ein Schutzpflichtenkonzept gewinnt insbesondere Konturen, I. 2092 Kreutzer, Verantwortung im Internet, S. 3, abrufbar unter: https://www.divsi.de/wp-content/uploads/ 2013/08/Themenpapier_Verantwortung-im-Internet_final_2013_06_18.pdf (letzter Abruf: 08.11.2015). 2093 BVerfGE 77, 170 (214 f.); 79, 174 (202); 88, 203 (262); Schliesky u. a., Schutzpflichten und Drittwirkung im Internet, S. 49. 2094 BVerfGE 96, 56 (64); Schliesky u.a., Schutzpflichten und Drittwirkung im Internet, S. 50. 2095 Roßnagel, in: Hill (Hrsg.), E-Transformation, 79 (87). 2096 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 36; Katz, Staatsrecht, S. 295 mit Verweis auf BVerfGE 31, 314 (326); 33, 303 (331); 39, 1 (412). 2097 Sander, CR 2014, 176 (177 ff.), weist dies anhand der Eigenständigkeit des § 88 TKG gegenüber Art. 10 GG nach; ein Hinweis auf die einfachgesetztliche Ausgestaltung der Privatrechtsordnung im Rahmen der Schutzpflichtdimension findet sich bei: Petersen C., Die Rechtsprobleme des Electronic Government, S. 109. 2098 Hoffmann-Riem, AöR 134 (2009), 513 (538). E. Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten 301 wenn es auf die klassische Kernfunktion der Grundrechte, Verletzungen abzuwehren, zurückbezogen wird2099. Jedenfalls handelt es sich aber bei der Umsetzung eines Schutzpflichtenkonzeptes um eine sehr komplexe Konkretisierungsaufgabe2100. Nicht zuletzt auch deswegen, weil häufig ein einheitlicher Lebensvorgang aus rechtlicher Perspektive mehrere rechtliche Dimensionen anspricht. Im Hinblick auf die Kommunikationsbeziehungen im transaktionsbezogenen E-Government sind mit dem Grundrecht auf informationelle Selbstbestimmung, dem IT-Grundrecht und dem Fernmeldegeheimnis drei unterschiedliche Grundrechte gleichzeitig betroffen. Die jeweiligen Schutzgüter sind daher am Workflow orientiert zu betrachten. Das Pflichtenprogramm ist daher gesamtheitlich zu entwickeln. Ermessen des Gesetzgebers Das Ermessen des Gesetzgebers bezieht sich bei der Umsetzung staatlicher Schutzpflichten grundsätzlich auf das „Ob“ und auf das „Wie“. Die Umsetzung der Schutzpflichten ist immer auch im Verhältnis zu den staatlichen Aufgaben zu sehen. Wenn der Gesetzgeber E-Government fördern möchte, so muss er zunächst die Frage beantworten, ob bestehende Infrastrukturen für den Bürger ausreichend vorhanden sind. Das erfordert, dass die Erfordernisse aus den kommunikationsbezogenen Grundrechten analysiert werden. Wenn diese Infrastrukturen nicht in adäquater Weise zur Verfügung stehen, muss im Rahmen des Ermessens geprüft werden, in welcher Weise Abhilfe zu schaffen ist. Am Anfang steht die Einschätzung einer Bedarfslage unter Berücksichtigung der Schutzbedürftigkeit des Bürgers. Die staatliche Schutzpflicht verdichtet sich schrittweise im Zuge der Ermessenserwägungen. Das De-Mail-Konzept mit dem De-Mail-Gesetz kann als Umsetzung der staatlichen Schutzpflichten für die informationelle Selbstbestimmung im E-Government gesehen werden2101. Jedoch kann am Beispiel des De-Mail-Gesetzes auch gezeigt werden, dass die Umsetzung der staatlichen Schutzpflicht nicht so konkret bestimmbar ist, dass nur ein Gesetz wie das De-Mail-Gesetz verfassungsrechtlich geboten ist und damit allein zur informationstechnischen Grundversorgung infrage kommt2102. Der Gesetzgeber muss bei seinen Ermessenserwägungen auch berücksichtigen, dass es digital stärkere und schwächere Nutzer gibt2103. Darüber hinaus hat der Staat neben dem gesetzgeberischen Tätigwerden auch im Rahmen der Umsetzung seiner Schutzpflicht das Umfeld der Informationsgesellschaft in tatsächlicher Hinsicht förderlich zu gestalten2104. Der Gesetzgeber hat einen weiten Ermessensspielraum, sodass keine konkret zu bezeichnenden Maßnahmen von ihm 1. 2099 Pieroth/Schlink, Grundrechte, Rn. 97; speziell zu einem staatlichen Schutzkonzept für Verschlüsselung: Gerhards, (Grund-)Recht auf Verschlüsselung?, S. 332 ff. 2100 Höfling, Vertragsfreiheit, S. 54 mit Verweis auf Stern, Staatsrecht III/1, S. 1576. 2101 Schulz G., DuD 2012, 395 (397 f.). 2102 Berlit, JurPC Web-Dok. 39/2011, Abs. 7. 2103 Heckmann, K&R 2010, 770 (774). 2104 Schweighofer, in: Benedek/Pekari (Hrsg.), Menschenrechte in der Informationsgesellschaft, 257 (277). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 302 verlangt werden können2105. Der Gesetzgeber muss dabei auch berücksichtigen, dass der Nutzer sich teilweise auch bewusst im Rahmen seiner persönlichen, möglicherweise eigennützigen Abwägungen für oder gegen ein digitales Angebot entscheiden wird2106. Umfang und Reichweite staatlicher Schutzpflichten stehen immer in einem Spannungsverhältnis zum übrigen Verfassungsrecht2107. Der Gesetzgeber muss insgesamt zwischen den einzubeziehenden Belangen einen Kompromiss finden. Dies setzt eine Gesamtschau aller erheblichen Belange voraus. Konfliktlösungs- und Schutzfunktion des Rechts Die Umsetzung staatlicher Schutzpflichten ist auch in Bezug zu setzen zu den Kernfunktionen des Rechts. Hierzu werden die Konfliktlösungs- und Schutzfunktion gezählt. Es ist in jedem Fall eine generelle Aufgabe des Rechts, die Schwachen zu schützen2108. Dies gilt umso mehr im digitalen Umfeld, wo der Schwache schnell völlig hilflos ist und sich schnell die Frage stellt, wer sich seiner annimmt2109. Darüber hinaus hat insbesondere das Datenschutzrecht auch die Aufgabe, Diskriminierungsschutz zu gewährleisten und die Autonomie persönlicher Entscheidungen durch Verhindern von manipulativer Datenverarbeitung zu sichern2110. Das Recht hat daneben auch die Aufgabe, Verantwortlichkeiten zu definieren. Das bedeutet, dass auf Grundlage der verfassungsrechtlichen Grundsätze eine Ausdifferenzierung von Verantwortlichkeiten auf einfachgesetzlicher Ebene erfolgen muss. Im Kontext des Untersuchungsgegenstandes dieser Arbeit bedeutet dies, dass das einfache Recht die Aufgabe hat, die Grenzlinie zwischen der Selbstverantwortung des privaten Nutzers und der Umsetzung staatlicher Schutzpflichten zu ziehen. Typisierende Fallgruppen Im Rahmen seines Tätigwerdens kann der Gesetzgeber typisierende Fallgruppen bilden. Dabei ist insbesondere auch die oben bereits erwähnte Ermittlung und Erfassung von typisierbaren Ungleichgewichtslagen zwischen zwei Akteuren wie z. B. Diensteanbieter und privatem Nutzer relevant. Diese Methodik kommt üblicherweise sehr häufig aufseiten des Gesetzgebers zum Einsatz. Prinzip der Selbstbestimmung und Selbstverantwortung Es wurde in dieser Arbeit bereits oben analysiert, dass das grundsätzliche Prinzip der Selbstbestimmung und Selbstverantwortung für den Nutzer im digitalen Kontext gilt. Der Gesetzgeber muss grundsätzlich die Voraussetzungen für Selbstbestimmung und 2. 3. 4. 2105 Hornung, CR 2008, 299 (305). 2106 Roßnagel, in: Hill (Hrsg.), E-Transformation, 79 (82). 2107 Heckmann, in Käfer-FS, 129 (141). 2108 Hermes, NJW 1990, 1764 (1765). 2109 Heckmann, K&R 2010, 771 (774). 2110 Schneider/Härting, CR 2014, 306 (308). E. Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten 303 Selbstverantwortung schaffen. Dieses bedarf in jedem Fall auch einer Einschätzung, in welchen Konstellationen dem privaten Nutzer ein selbstbestimmtes und selbstverantwortetes Handeln zugemutet werden kann und in welcher Konstellation der private Nutzer stark schutzbedürftig ist. Mithin ist zu entscheiden, in welchem Maß die Verantwortung geteilt werden kann und muss. Verantwortungsteilung zwischen Staat, Diensteanbieter und Nutzer Grundsätzlich sind Konstellationen der Verantwortungsteilung in der Rechtsordnung nichts Ungewöhnliches, juristisch aber von erheblicher Brisanz2111, geht es doch um die Frage, welcher Verantwortungsbeitrag welchem Akteur zukommt und was das für diesen zur Konsequenz hat. So hat das BVerfG bereits im sog. Mühlheim-Kärlich-Beschluss am Beispiel der Atomenergie eine Mitverantwortung des Staates für gesellschaftliche Risiken anerkannt2112. Die Frage der Verantwortungsteilung betrifft das Staat-Bürger-Verhältnis auf der Gesetzgebungsebene und insbesondere auch auf der staatlichen Ebene der Verwaltung als Träger von Verantwortung2113. Eine stärkere Verantwortung des Staates im digitalen Raum wünscht sich ein nicht unerheblicher Teil der Nutzer2114. Bei der E-Government umsetzenden Verwaltung stellt sich teilweise die Frage bereits auf der Ebene der Auswahl der Basisinfrastruktur. Sie muss sich vergegenwärtigen, welche Arten von personenbezogenen Daten über diese Basisinfrastrukturen übertragen werden und welchen IT-Sicherheitsrisiken die Kommunikationsprozesse ausgesetzt sind. Dadurch, dass im Rahmen der elektronischen Kommunikation weder bei De-Mail noch anderswo eine Ende-zu-Ende-Verschlüsselung aus Gründen der niedrigschwelligen Benutzbarkeit von Basisinfrastrukturen vorgeschrieben ist, wird die Grundentscheidung darüber in die Sphäre der Akteure und insbesondere die des Nutzers verlagert. Ein Verantwortungszuwachs auf der einen Seite geht aber nicht notwendig mit einer Verantwortungsabnahme auf der anderen Seite einher2115. Das Beispiel der nicht vorhandenen Ende-zu-Ende-Verschlüsselung als eines sehr wirksamen Schutzmechanismus zeigt, dass es Konstellationen gibt, in denen eine wirksame Schutzmaßnahme besteht, aber es mangels gesetzlicher Regelung grundsätzlich an allen Akteuren liegt, diese wirksame Schutzmaßnahme zum Einsatz zu bringen. Die Frage der Verantwortung der handelnden Akteure stellt sich auf der Ebene der spezifischen Risiken der elektronischen Kommunikation, aber gerade auch auf der Ebene der trotz Sicherheitsmaßnahmen noch bestehenden Restrisiken. Da dem Nutzer ein gewisses Maß an Eigenverantwortung als Korrelat zur grundrechtlichen Freiheit zukommt, der Staat die ihn treffenden Schutzpflichten umsetzen muss und der Diensteanbieter aufgrund seiner Sachnähe und technischen Einwirkungsmöglichkeit eine Art „Garantenstellung“ hat, kann nur von einer Verantwortungsteilung ausgegangen werden und allen Akteuren eine Mitverantwortung zukom- 5. 2111 Pietzcker, JZ 1985, 209 (209). 2112 BVerfGE 53, 30 (58) = JZ 1980, 307 (Mühlheim-Kärlich-Beschluss). 2113 Pietzcker, JZ 1985, 209 (210). 2114 Vgl. oben zu Nutzertypologien unter: Teil 2, C., 3, a). 2115 Pietzcker, JZ 1985, 209 (210). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 304 men. Kein Akteur kann sich hier von der Verantwortung generell freizeichnen. Nicht ganz zu Unrecht wird eingewendet, dass geteilte Verantwortung unklare Verantwortung ist, da insoweit streitig sein kann, welches Maß jeweils einem einzelnen Akteur zukommt, und beispielsweise im Verwaltungsrecht keine brauchbaren Zuweisungen von Verantwortung erfolgten, sondern nur generalklauselartige Schleusenbegriffe2116. Zwischenergebnis Ein Schutzpflichtenkonzept des Staates aus den kommunikationsbezogenen Grundrechten liegt im Ermessen der jeweiligen staatlichen Institution. Die Berücksichtigung des Prinzips der Selbstbestimmung und Selbstverantwortung des Einzelnen führt dazu, dass es sich im Ergebnis um ein Konzept der Verantwortungsteilung zwischen Staat, Diensteanbieter und privatem Nutzer handeln muss. Untermaßverbot als untere Grenze des gesetzgeberischen Handelns Bei der Frage, welche Pflicht für den Gesetzgeber zum Handeln besteht, ist das sog. Untermaßverbot2117 von entscheidender Bedeutung. Die grundrechtliche Minimalpflicht des Staates zur Gewährleistung von IT-Sicherheit richtet sich auf eine „Hilfe zur Selbsthilfe“, eine vorherbestimmte Auswahl bestimmter Maßnahmen verbietet sich jedoch, da den grundrechtlichen Schutzpflichten ein einzelfallbezogenes Abwägungsmodell zugrunde liegt2118. Eine abstrakte Grenzziehung zwischen staatlicher Schutzpflicht und der Eigenverantwortung des Einzelnen lässt sich nicht vornehmen. Es ist immer vom Einzelfall abhängig, ob der Gesetzgeber ein Tätigwerden für notwendig hält oder der Ansicht ist, dass der private Nutzer sich selbst helfen kann. Eine genaue Festlegung von Anspruchsinhalten an den Gesetzgeber ist durch dessen weiten Ermessensspielraum nur schwer möglich2119. Keine verfassungsunmittelbare Gewährleistung von Leistungsansprüchen Im Zuge der staatlichen Schutzpflichten kann der Einzelne keinen direkten Anspruch gegen den Staat geltend machen. So verhält es sich auch bei Datenschutz und Datensicherheit. Es gibt keinen konkreten Anspruch, aber denkbare Maßnahmen2120. Dies dürfte grundsätzlich auch für den vom BVerfG im Urteil zur Vorratsdatenspeiche- 6. II. III. 2116 Singer, JZ 1985, 209 (209 ff.). 2117 Zum Begriff des Untermaßverbots: Mayer, Untermaß, Übermaß und Wesensgehaltsgarantie, S. 63 ff.; Gurlit, NJW 2010, 1035 (1040). 2118 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 35 ff.; Heckmann, Käfer-FS, 129 (149). 2119 Luch, in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, 137 (153). 2120 Hornung, CR 2008, 299 (305). E. Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten 305 rung anerkannten Anspruch auf Datensicherheit gelten2121. Notwendig sind explizite Vorgaben zur Datensicherheit2122, die nur auf einfachgesetzlicher Ebene erfolgen können. Der Staat hat grundsätzlich Förderpflichten für die Datensicherheit des Nutzers im transaktionsbezogenen E-Government2123. Aufgrund der Grenzen der Leistungsfähigkeit des Staates kann diesen keine Pflicht zur „individuellen Betreuung“ eines jeden Bürgers treffen2124. Anpassungs- und Erfahrungsspielräume für den Gesetzgeber Auch im Rahmen der Umsetzung staatlicher Schutzpflichten ist es so wie generell beim gesetzgeberischen Tätigwerden, dass der Gesetzgeber gehalten ist, sich Anpassungs- und Erfahrungsspielräume vorzubehalten. Gerade im Bereich elektronischer Kommunikation ist dies aufgrund der rasanten Innovations- und Entwicklungszyklen von besonderer Bedeutung. Grundsätzlich sollten Gesetze daher technikoffen formuliert sein2125. Darüber hinaus besteht die Möglichkeit, Experimentierklauseln zu schaffen und Regelungen zeitlich zu befristen und dann ggf. zu evaluieren2126. Gerade die schnelle Entwicklung im IT-Bereich und die langwierigen Verfahren eines Gesetzgebungsprozesses zwingen dazu, sich auf diese Weise ein Stück Flexibilität zu verschaffen. Grundsätzlich ist ein Schutzpflichtenkonzept des Gesetzgebers nicht statisch, sondern es bedarf der Weiterentwicklung2127. Insbesondere im Bereich der elektronischen Kommunikation fehlt es bisher an einem eigenen Regime an Fehlerfolgenregelungen2128, sodass es keine „Regulierungsreserve“ gibt. Unter das Stichwort Anpassungs- und Erfahrungsspielräume ist auch eine gewisse Fehlertoleranz zu fassen, die der Gesetzgeber abbilden müsste. Stattdessen werden bei Fehlerfolgenregelungen meistens die allgemeinen, schon bestehenden Regelungen herangezogen. Bloße gerichtliche Evidenzkontrolle Da die Spielräume des Gesetzgebers im Rahmen seines Ermessens notwendigerweise entsprechend groß sind, beschränkt sich die Justiziabilität von staatlichen Schutzpflichten auf eine bloße Evidenzkontrolle, sodass sich zwangsläufig eine Zukunftsgerichtetheit und eine Offenheit der Erfüllung staatlicher Schutzpflichten ergeben2129. IV. V. 2121 Müller-Terpitz/Rauchhaus, MMR 2013, 10 (14 f.). 2122 Müller-Terpitz/Rauchhaus, MMR 2013, 10 (15) mit Verweis auf Szuba, Vorratsdatenspeicherung, S. 250. 2123 Heckmann, in: Käfer-FS, 129 (160). 2124 Heckmann, in: Käfer-FS, 129 (149) (Hervorhebung im Original). 2125 Für das EGovG des Bundes nach Einwirkung des Bundesrates erfolgt zu Recht der Hinweis von: Müller-Terpitz/Rauchhaus, MMR 2013, 10 (14). 2126 Vgl. hierzu auch Brüning/Helios, JURA 2001, 155 (162). 2127 Heckmann, in: Käfer-FS, 129 (163). 2128 Heckmann, DuD 2009, 656 (660) zu Recht für das Beispiel des nPA. 2129 Brüning/Helios, JURA 2001, 155 (162). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 306 Letztlich ist diese gerichtliche Evidenzkontrolle dem Untermaßverbot insoweit ähnlich2130, als dieses auch bei evidenter Untätigkeit des Gesetzgebers eingreift. Gerade deswegen hat der Gesetzgeber im Bereich der elektronischen Kommunikation die tatsächliche Entwicklung unter Einbeziehung der jeweiligen Gefährdungslagen zu beobachten. De-Mail-Konzept als datenschutzgerechter Zugang zu transaktionsbezogenem E-Government? Maßgebliche Bedeutung auf der Ebene der Umsetzung der gesetzgeberischen Schutzpflicht und der Ausgestaltung zumutbaren Selbstschutzes kommt dem De-Mail-Gesetz zu. Deshalb soll hier darauf eingegangen werden, welche Rolle dem De-Mail- Konzept im Kontext eines staatlichen Schutzpflichtenkonzeptes zukommt. Generelle Erforderlichkeit des De-Mail-Gesetzes Wie gezeigt werden konnte, besteht im Rahmen der Umsetzung staatlicher Schutzpflichten ein Ermessensspielraum des Gesetzgebers. In vielen Fällen wird durch die Umsetzung staatlicher Schutzpflichten insbesondere auch die Privatautonomie beschränkt2131. Dies ist auch bei den Regelungen des De-Mail-Gesetzes der Fall. Im Rahmen dieses Ermessens hätte der Gesetzgeber auch zu dem Ergebnis kommen können, dass die Regelungen in § 3a VwVfG im Zusammenhang mit den Vorschriften des SigG ausreichend sind. Verfassungsrechtlich direkt geboten ist das De-Mail-Gesetz jedenfalls nicht2132. Der Gesetzgeber wäre damit nicht unmittelbar zum Erlass dieses Gesetzes verpflichtet gewesen. Der Diensteanbieter als Verantwortungssubjekt Die De-Mail-Diensteanbieter sind Teil eines komplexen Beziehungsgeflechts aus sich überschneidenden Verantwortungsbereichen2133. Das De-Mail-Gesetz nimmt das Gefüge von informationellem Selbstschutz und staatlichen Schutzpflichten für die drei kommunikationsbezogenen Grundrechte auf und ordnet diese in der multipolaren Konstellation zwischen Nutzer, Verwaltung und Diensteanbieter. Die staatliche Schutzpflicht für die informationelle Selbstbestimmung des Einzelnen wird durch die Präventivkontrolle der Anbieter sowie die dauerhafte Einbeziehung z. B. des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) umgesetzt. Dies ist vor dem Hintergrund einer effektiven Grundrechtsverwirklichung des Nut- VI. 1. 2. 2130 Dietlein, ZG 1995, 131 (132). 2131 Pagenkopf, in: Sachs, Art. 10 GG, Rn. 22. 2132 Berlit, JurPC Web-Dok. 39/2011, Abs. 7. 2133 Zur Komplexität von Beziehungsgeflechten von Verantwortungsbereichen: Kreutzer, Verantwortung im Internet, S. 6, abrufbar unter: https://www.divsi.de/wp-content/uploads/2013/08/Themenpapier_Verantwortung-im-Internet_final_2013_06_18.pdf (letzter Abruf: 08.11.2015). E. Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten 307 zers und unter dem Vorbehalt des Möglichen eine gangbare Lösung. Maßgebliches Verantwortungssubjekt für die De-Mail-Dienste als Infrastruktur ist der Diensteanbieter. Der Gesetzgeber trägt hier der stärkeren Machtposition des Diensteanbieters Rechnung. Dem Nutzer hingegen sind durch das De-Mail-Gesetz keine Selbstschutzpflichten auferlegt worden, sondern allenfalls Obliegenheiten. Gesetzgeberische Nachsteuerungspflicht Das De-Mail-Gesetz ist insbesondere auch als Basisinfrastruktur für transaktionsbezogenes E-Government gedacht. Das Umfeld der Informationstechnologie ist hochdynamisch und verlangt vielfach nach Anpassung auch des einschlägigen Rechtsrahmens2134. Bezogen auf das De-Mail-Konzept, bedeutet dies, dass der Gesetzgeber die zukünftige Entwicklung beobachten muss, um entsprechend reagieren zu können. Zur Dokumentation der Entwicklung gibt es im De-Mail-Gesetz z. B. eine Berichtspflicht2135. Unter dem Gesichtspunkt der gesetzgeberischen Nachsteuerung drängt sich auch die Bewertung der Frage einer verpflichtenden Ende-zu-Ende-Verschlüsselung im De-Mail-Gesetz auf. Diese ist zunächst bewusst vom Gesetzgeber nicht in das De-Mail-Gesetz aufgenommen worden. Hier bedarf es einer weiteren Beobachtung, ob die Begründungen, die diese Grundentscheidung getragen haben, weiterhin bestehen. Potenzielle Entwicklung zu IT-Sicherheitspflichten des Nutzers? Wie oben bereits nachgewiesen werden konnte, besteht im Rahmen der elektronischen Kommunikation eine Verantwortungsteilung zwischen Staat und Verwaltung, privaten Diensteanbietern sowie dem Bürger als Nutzer. In der einfachgesetzlichen Umsetzung sind viele Rechtspflichten für die Diensteanbieter statuiert worden. Dies zeigt sich am Beispiel des De-Mail-Gesetzes sehr deutlich. Für den Nutzer sind nur rudimentäre Pflichten im Vertragsverhältnis zu seinem Diensteanbieter ersichtlich, ansonsten nur Obliegenheiten. Vor diesem Hintergrund stellt sich die Frage, ob es sachgerecht wäre, weiter gehende IT-Sicherheitspflichten des Nutzers zu regeln. Im Rahmen des gesetzgeberischen Ermessens wäre eine Weiterentwicklung von Regelungen mit IT-Sicherheitspflichten des Nutzers möglich. Der Gesetzgeber muss aber im Rahmen des ihm zustehenden Ermessens eine sachlich ausgewogene Entscheidung treffen, bei der er verschiedene Gegebenheiten berücksichtigen muss. Maßgeblich sind hier auch die tatsächlichen Gefährdungslagen, die Zumutbarkeit für den Nutzer und die Frage, ob es mildere, gleich wirksame Mittel gibt. Vorschläge wie eine Haftpflichtversicherung für Internetnutzung oder ein verpflichtender PC-Führerschein wären grundsätzlich denkbar2136. Die Überforderung des Nutzers ist aber in jedem 3. VII. 2134 Heckmann, in Käfer-FS, 129 (145). 2135 BT-Drs. 17/3630, S. 47. 2136 Vgl. hierzu: Schulz S. E., in: Hill/Schliesky (Hrsg.), Die Vermessung des virtuellen Raumes, 265 (297 und 304). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 308 Fall zu berücksichtigen. Angesichts der oben skizzierten unterschiedlichen Nutzertypologie kann der Gesetzgeber sich nicht an der digitalen Avantgarde orientieren. Da die Nutzertypologie eine große Bandbreite aufweist, bieten sich echte Rechtspflichten nicht an. Ein milderer Maßstab, der mit der Sorgfalt in eigenen Angelegenheiten vergleichbar ist (diligentia quam in suis), wäre hier angemessener. Eigener Vorschlag: Sukzessive Weiterentwicklung des einfachen Rechts durch Obliegenheiten des Nutzers und Pflichten des Diensteanbieters Die vorangegangene Analyse der Verantwortlichkeiten soll nun im Folgenden für die Weiterentwicklung des Rechtsrahmens bewertet werden. Im Kontext der Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen stehen sich die staatliche Schutzpflicht und die Eigenverantwortung des privaten Nutzers gegenüber. Der bisherige Rechtsrahmen folgt einer Verantwortungsteilung, die dem privaten Nutzer nur eine rudimentäre Verantwortung zuweist. Die Frage der konkreten Verantwortung ist immer von einer Vielzahl von einzelnen Faktoren abhängig und lässt sich nicht abstrakt beschreiben. Kein Akteur wird sich völlig von Verantwortung bei der elektronischen Kommunikation freizeichnen können. Vor dem Hintergrund stellt sich die Frage, welche Form der Verantwortung für den Nutzer am adäquatesten wäre. Für echte Rechtspflichten fehlt ein belastbarer Sanktionsmechanismus im digitalen Raum, der auch perspektivisch nur schwer herzustellen wäre. Echte Rechtspflichten sind auch aus grundrechtlicher Perspektive als Eingriff in die Sphäre des privaten Nutzers zu qualifizieren. Obliegenheiten des Nutzers zugunsten des Datenschutzes und der Datensicherheit könnten hier zielführender sein. Dabei stellt sich grundsätzlich die Frage, in welcher Sphäre dem Nutzer Obliegenheiten zumutbar wären. Maßgeblich muss hierfür sein, dass der Nutzer die jeweilige Sphäre auch beherrschen kann. In Betracht kommt hier deswegen die individuelle Infrastruktur des Nutzers. Hiervon sind z. B. der eigene Laptop sowie die Lesegeräte für den nPA etc. erfasst. Obliegenheiten sind grundsätzlich als Instrument der Mitverantwortung sinnvoll. Dem Nutzer soll im Kontext der elektronischen Kommunikation eine Mitverantwortung neben den Verantwortungsbeiträgen der anderen Akteure zukommen. Obliegenheiten sind aus grundrechtlicher Perspektive schonender, da diese Lasten minderer Zwangsintensität sind, die der Einzelne aufgrund eines Willensentschlusses im Rahmen seiner Eigenverantwortung erfüllen sollte. Damit wird der Eigenverantwortung des Einzelnen anders als bei den Pflichten mehr Raum gegeben. Die Diensteanbieter spielen im Bereich des transaktionsbezogenen E-Governments im Rahmen der Umsetzung der staatlichen Schutzpflicht für die informationelle Selbstbestimmung des Einzelnen eine Rolle. Der Staat macht diese zu Verantwortungssubjekten, indem er ihnen entsprechende Pflichten für die Gewährleistung von Datenschutz und Datensicherheit der Infrastrukturen aufgibt. Dies ist sachgerecht, da die Diensteanbieter die Infrastrukturen faktisch beherrschen und bei ihnen auch die Einwirkungsmöglichkeiten liegen. Sie haben eine stärkere wirtschaftliche Machtposition als der private Nutzer, sodass sie auch grund- VIII. E. Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten 309 sätzlich mehr Verantwortung als der private Nutzer tragen können. Der private Nutzer hat auf ihre Sphäre keinen Einfluss, sodass ihm diesbezüglich auch keine Verantwortung zukommen kann. Die TK-Netze, die Server eines Diensteanbieters, die dafür erforderliche Software müssen in der Verantwortung des Diensteanbieters liegen. Für den Nutzer sind Obliegenheiten für die Sphäre seiner individuellen Infrastruktur denkbar, da er hier eine Beherrschungsmöglichkeit hat und der Staat sowie der Diensteanbieter hierauf kaum Einfluss haben. Für die Entwicklung eines zukünftigen Rechtsrahmens im transaktionsbezogenen E-Government sollte daher Folgendes gelten: – Den privaten Nutzer trifft für seine individuelle Infrastruktur in seiner Einflussphäre die Verantwortung: Das ist der eigene PC inklusive Virenschutz, aber auch der eigene Internetanschluss. – Der Gesetzgeber sollte den Selbstschutz durch entsprechende Obliegenheiten des privaten Nutzers fördern. – Die Nutzerverantwortung ist durch Obliegenheiten auszugestalten. – Echte Rechtspflichten sind gleichzeitig auch ein Grundrechtseingriff und erfordern einen Sanktionsmechanismus und schreiben dem privaten Nutzer die Selbstverantwortung sanktionsbewehrt vor. – Obliegenheiten als Lasten minderer Zwangswirkung bewahren mehr Selbstverantwortung des Nutzers und stellen damit das mildere Mittel dar. – Auch vor dem Hintergrund, dass die Schutzpflicht des Staates unter dem Vorbehalt des Möglichen steht und daher der Beitrag des Nutzers ein Stück weit für grundrechtskonforme Zustände erforderlich ist, stellen Obliegenheiten eine sinnvolle Variante dar. Auch die Nutzer der Basisinfrastrukturen im Bereich des transaktionsbezogenen E-Governments sind gefordert, nach wie vor sehr sorgsam mit ihren personenbezogenen, schutzbedürftigen Daten umzugehen und für die IT-Sicherheit ihrer individuellen Infrastruktur wie PC, Laptop oder Smartphone zu sorgen2137. Insbesondere kommt die Selbstverantwortung des Nutzers bei den Identitätsdaten als Schlüsseldaten heute und in Zukunft zum Tragen, da diese auch essenzieller Bestandteil von transaktionsbezogenem E-Government sind. In multipolaren Konstellationen zwischen den Akteuren Staat, Diensteanbieter und Nutzer muss es eine Verantwortungsteilung geben, die sich nach den Einflusssphären bestimmt, um unter dem Aspekt des Grundrechtsschutzes das Optimum zu erreichen, sodass in jedem Fall die Selbstverantwortung des Einzelnen miteinbezogen werden muss. Ein entsprechendes Verantwortungsbewusstsein der Nutzer muss im Wege der Vermittlung von Medienkompetenz im oben verstandenen Sinne entstehen. Durch die Kombination von staatlich regulierter Infrastruktur, Vertrauen des Nutzers in den Kommunikationspartner Verwaltung, permanente Aufklärung über Risiken und medienkompetente, mündige Bürger als Nutzer wird sich ein hohes Schutzniveau für die informationelle Selbstbestimmung der Nutzer etablieren können. Diese Kombination gelingt nur, wenn die 2137 So auch Schulz G., DuD 2012, 395 (400). Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 310 Anforderungen an den Nutzer nicht mit zu intensiven Nutzerpflichten überzogen sind. Neben diesem System von Verantwortungsteilung muss der Staat sich auch vergegenwärtigen, dass es einen Teil der Bürger gibt, den er mit seinem Schutzpflichtenkonzept nicht erreicht. Insbesondere die Digital Outsiders und die funktionalen Analphabeten werden die kognitiven Anforderungen der Eigenverantwortung eines durchschnittlichen IT-Nutzers nicht erfüllen können. Für diese Gruppen sind die konventionellen Wege zur Verwaltung stets offen zu halten. Das wesentlich größere Maß an Pflichten ist an die Diensteanbieter zu adressieren. Durch Regelungen zu Pflichten der Diensteanbieter werden zwar auch die Grundrechte der Diensteanbieter eingeschränkt. Dies ist aber verfassungsrechtlich aufgrund ihrer insgesamt stärkeren Machtposition zu rechtfertigen. Festzuhalten bleibt, dass für den privaten Nutzer im transaktionsbezogenen E-Government als Mittelweg zwischen dem Pol der Eigenverantwortung des Nutzers und dem Pol der staatlichen Schutzpflicht die Statuierung von Selbstschutzobliegenheiten der gangbarste Weg ist. IT-Sicherheit als Teil der Organisationsverantwortung der Verwaltung Die für transaktionsbezogenes E-Government notwendige IT-Sicherheit ist wesentlicher Bestandteil der Organisationsverantwortung der Verwaltung. Auch die Verwaltung ist auf dieser Ebene zur Umsetzung staatlicher Schutzpflichten verpflichtet. Auswahl der Kommunikationsinfrastrukturen Für transaktionsbezogenes E-Government ist maßgeblich, welche Basisinfrastruktur für die Kommunikation gewählt wird. Ist dieses gesetzlich detailliert vorgeschrieben, kann die Verwaltung nicht wählen. Besteht keine explizite Regelung, kann die Verwaltung eigene Erwägungen anstellen. So kann eine Kommune, sofern es keine landesrechtliche Regelung gibt, außerhalb des Geltungsbereiches des EGovG des Bundes die Nutzung von De-Mail als Basisinfrastruktur mit der Begründung ablehnen, dass die De-Mail aufgrund der nicht verpflichtend gesetzlich vorgeschriebenen Ende-zu- Ende-Verschlüsselung kein hinreichendes Sicherheitsniveau aufweist. Das bedeutet auch, dass die Verwaltung eine direkte Antwort auf eine Anfrage per einfacher E-Mail durch den Bürger ablehnen und dem Bürger ggf. postalisch antworten kann. In diese Entscheidung ist von der innerhalb der Verwaltung zuständigen Organisationseinheit der behördliche Datenschutzbeauftragte einzubinden. Verwaltungsinterne IT-Sicherheit Neben der Sicherheit der Basisinfrastrukturen der elektronischen Kommunikation auf der Teilstrecke zum Bürger sind insbesondere auch die IT-Sicherheit und die Sicherheit der Kommunikationswege innerhalb der Verwaltung in den Blick zu nehmen. Auch dies hat Relevanz Dritten gegenüber. Wenn die personenbezogenen Daten des IX. 1. 2. E. Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten 311 Bürgers verwaltungsintern nicht hinreichend sicher übertragen und aufbewahrt werden, verletzt die Verwaltung die ihr obliegende Schutzpflicht. Die verwaltungsinterne IT-Sicherheit muss also durch die Verwaltung personell hinreichend aufgestellt werden und darüber hinaus wirksam gesteuert werden. Steuerung über Dienstanweisungen Die Steuerung der Sicherheit der elektronischen Kommunikation und des Schutzes personenbezogener Daten muss innerhalb der öffentlichen Verwaltung über Dienstanweisungen und Dienstvereinbarungen erfolgen2138. Nur über Dienstanweisungen wird verbindliches Innenrecht in der Verwaltung geschaffen, welches eine hinreichende Steuerungswirkung hat und alle Mitarbeiter erreicht. Da transaktionsbezogenes E-Government in jedem Fall mit der Verarbeitung von verschiedenen personenbezogenen Daten verbunden ist, muss es durch Dienstanweisungen erfasst werden. Die Realisierung von Datenschutz hängt nicht zuletzt auch sehr stark vom Wissen und Verhalten der Beschäftigten ab2139. Die Verwaltung muss in diesem Zusammenhang die Schutzpflicht gegenüber dem E-Government nutzenden Bürger umsetzen. Das betrifft zunächst die Verwaltungsbeschäftigten, die explizit mit den Themen Datenschutz und Datensicherheit betraut sind. Darüber hinaus sind aber auch alle anderen Verwaltungsbeschäftigten adressiert, die in Fachverfahren mit personenbezogenen Daten des Bürgers umgehen. Letztlich sind mit einer Dienstanweisung2140 alle Verwaltungsbediensteten zu adressieren. Eine Dienstanweisung muss alle potenziell genutzten Kommunikationsinfrastrukturen erfassen. Das bedeutet, dass i. d. R. der einfache, formlose E-Mail-Verkehr von der formgebundenen Kommunikation über bestimmte Basisinfrastrukturen wie EGVP, De-Mail etc. abzugrenzen ist, damit grundsätzlich Missverständnisse bei den Beschäftigten im Hinblick auf die Nutzung der Kommunikationsinfrastrukturen ausgeschlossen werden können. Darüber hinaus sollte im Fokus der Dienstanweisungen auch der Schutz der Beschäftigtendaten liegen. Wenn Verwaltungsbedienstete an Kommunikationsvorgängen im transaktionsbezogenen E-Government teilnehmen, dann werden i. d. R. auch personenbezogene Daten von diesen verarbeitet. Deshalb unterliegen derartige Dienstanweisungen auch der Mitbestimmung der zuständigen Personalvertretung. Deswegen ist die Steuerung der IT-Sicherheit bei der elektronischen Kommunikation als Teil der Organisationsverantwortung der Verwaltung so wichtig. Nur mit verbindlichen Dienstanweisungen können alle Beschäftigten im notwendigen Umfang rechtsverbindlich einbezogen werden. 3. 2138 Hierbei sind Dienstanweisungen zur elektronischen Kommunikation, zum ersetzenden Scannen und allgemein zum Datenschutz etc. denkbar; insbesondere zu einer Dienstvereinbarung für E-Government: Biewer, PersR 2014, 10 (10 ff.). 2139 Heckmann, K&R 2003, 425 (425 ff.). 2140 Die Frage, ob eine Dienstanweisung in diesem Kontext drittschützend ist, kann hier nicht näher diskutiert werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 312 Zusammenfassung Teil 4 Die Ergebnisse aus Teil 4 lassen sich wie folgt zusammenfassen: Dem privaten Nutzer transaktionsbezogener E-Government-Anwendungen kommt von dem aus der Menschenwürdegarantie abgeleiteten Prinzip der Selbstbestimmung und Selbstverantwortung eine Eigenverantwortung beim „Ob“ und beim „Wie“ der Nutzung zu. Dies gilt zum einen als allgemeines Prinzip für die gesamte Rechtsordnung. Zum anderen gibt es spezielle grundrechtliche Gewährleistungen, die dieses Prinzip weiter konkretisieren. So ist die aus der allgemeinen Handlungsfreiheit aus Art. 2 I GG abgeleitete Privatautonomie mit der Vertragsfreiheit als wichtiger Ausprägung zu nennen. Diese gewinnt vor dem Hintergrund multipolarer Konstellationen im Rahmen elektronischer Kommunikation besondere Bedeutung. Der private Nutzer ist häufig darauf angewiesen, dass er Verträge mit dem privaten Diensteanbieter schließt. In diesen Konstellationen ist es notwendig, aufgrund der gestörten Vertragsparität seitens des Gesetzgebers zwingendes Vertragsrecht zu schaffen, um die Ungleichgewichte zwischen beiden Vertragspartnern zu verringern. Die Eigenverantwortung des Einzelnen steht grundsätzlich in einem Spannungsverhältnis zur Umsetzung staatlicher Schutzpflichten. Die Grenzlinie zwischen diesen beiden Polen kann grundsätzlich nicht abstrakt gezogen werden. Daher ist dies auch bei Kommunikationsinfrastrukturen für transaktionsbezogenes E-Government nicht möglich. Dies kann jeweils nur für den Einzelfall bestimmt werden. Informationeller Selbstschutz ist ein wichtiges Element im Rahmen der dem Nutzer grundsätzlich zukommenden Eigenverantwortung. Es gibt jedoch Gefährdungssituationen, in denen informationeller Selbstschutz quasi wirkungslos ist und daher auch nicht in Betracht gezogen werden kann. Insbesondere in diesen Konstellationen muss der Staat im Rahmen seiner Schutzpflicht Abhilfe schaffen. Selbstschutzobliegenheiten des Nutzers sind grundsätzlich auch geeignet, Vollzugsdefizite im Datenschutz zumindest teilweise zu kompensieren. Die Selbstverantwortung des Nutzers muss die Umsetzung staatlicher Schutzpflichten grundsätzlich konstruktiv begleiten. Selbstschutzobliegenheiten kommen dort in Betracht, wo der private Nutzer Einwirkungsmöglichkeiten hat. Dies ist insbesondere die individuelle Infrastruktur. Es kann somit nicht darum gehen, nur Risiken auf den privaten Nutzer abzuwälzen. Informationeller Selbstschutz ist der Teil eines Ganzen. Auch der Vergleich mit anderen Lebensbereichen, in denen sich staatliche Schutzpflichten und die Eigenverantwortung des Einzelnen gegenüberstehen, zeigt, dass es keine pauschale Grenzlinie zwischen beiden Polen geben kann. Insbesondere staatliche Schutzpflichten können im Laufe der Entwicklung einem Wandel unterworfen sein. Im Bereich der Informationstechnologie gibt es Spezifika wie die Virtualität und die weltweiten Auswirkungen, die es in den anderen genannten Bereichen so nicht gibt. Daher können hier nur sehr begrenzt Schlussfolgerungen aus diesen Bereichen entnommen werden. Der Gesetzgeber muss die drei einschlägigen kommunikationsbezogenen Grundrechte wie das Grundrecht auf informationelle Selbstbestimmung, das IT-Grundrecht und Art. 10 GG in sein „Schutzpflichtenkonzept“ einbeziehen und überlegen, wie er F. F. Zusammenfassung Teil 4 313 den gebotenen Schutz möglichst effektiv umsetzt. Der Gesetzgeber hat hierbei ein sehr weites Ermessen. Er muss die Umsetzung der Schutzpflicht in Abhängigkeit von der staatlichen Aufgabenerfüllung betrachten. Dabei ist dies mit der generellen Konfliktlösungs- und Schutzfunktion des Rechts in Einklang zu bringen. Durch das Prinzip der Selbstbestimmung und Selbstverantwortung darf er den privaten Nutzer nicht gänzlich verantwortungslos stellen. Er muss für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen eine Verantwortungsteilung zwischen Staat, Diensteanbieter und privatem Nutzer finden. Der Gesetzgeber ist gehalten, sich Anpassungs- und Erfahrungsspielräume vorzubehalten. Der zukünftige Rechtsrahmen für transaktionsbezogenes E-Government sollte für den Nutzer keine Pflichten, sondern allenfalls Obliegenheiten statuieren. Für die Diensteanbieter sind echte Rechtspflichten das richtige Instrument. Auch die Verwaltung, die E-Government anbietet, hat die Schutzpflicht für die informationelle Selbstbestimmung umzusetzen. Dies betrifft neben der Auswahl geeigneter Basisinfrastrukturen die verwaltungsinterne IT-Sicherheit sowie die Steuerung derselben über rechtsverbindliche Dienstanweisungen. Teil 4: Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten 314

Chapter Preview

References

Zusammenfassung

Der Autor geht der Frage nach, welchen Verantwortungsbeitrag im Hinblick auf den Datenschutz jeder einzelne Nutzer bei transaktionsbezogenen E-Government-Anwendungen zu tragen hat. Dabei wird den mehrpoligen Akteurskonstellationen aus öffentlicher Hand, privatem Diensteanbieter und privatem Nutzer Rechnung getragen. Die De-Mail und der neue Personalausweis stehen hier als durch die E-Government-Gesetzgebung besonders geregelte Infrastrukturen im Fokus. Nicht zuletzt wird durch die flankierenden gesetzlichen Vorgaben durch das Onlinezugangsgesetz, welches Bund, Länder und Kommunen dazu zwingt, einem Portalverbund beizutreten, das mehrpolige Verhältnis von öffentlicher Hand, Diensteanbieter und privatem Nutzer an Bedeutung gewinnen.