Das Wichtigste in Kürze
- Die Digitale Unversehrtheit schützt die Persönlichkeit umfassend in vernetzten Systemen, von Daten bis zu Accounts.
- In Deutschland wird der Schutz über das allgemeine Persönlichkeitsrecht und Fachrecht gewährleistet, auch wenn kein explizites Grundrecht existiert.
- Auf EU-Ebene bilden GRCh, DSGVO, DSA und AI Act einen robusten Schutzrahmen für die digitale Persönlichkeit.
- Unternehmen sind bereits heute zu umfassenden Compliance-Maßnahmen verpflichtet, um die digitale Unversehrtheit zu gewährleisten.
- Die lückenlose Umsetzung konkreter Schutz- und Sorgfaltspflichten ist entscheidender als die Benennung eines expliziten Grundrechts.
Digitale Unversehrtheit: Rechtliche Grundlagen und Compliance-Pflichten in Deutschland und der EU
Die „Digitale Unversehrtheit“ bezeichnet den Schutz der Persönlichkeit in vernetzten Systemen. Dies umfasst Daten, Geräte, Accounts und digitale Lebenssachverhalte – und geht damit über den Schutz von Körper und Psyche hinaus. Obwohl in Deutschland kein ausdrückliches Grundrecht mit diesem Namen existiert, sichern verfassungsrechtliche und unionsrechtliche Garantien bereits heute wesentliche Elemente ab. Für Unternehmen und Plattformbetreiber ergeben sich daraus konkrete Compliance-Pflichten.
Verfassungsrechtliche Grundlagen der digitalen Unversehrtheit in Deutschland
Der rechtliche Anker ist das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Das BVerfG hat dieses 2008 zur Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme fortentwickelt. Dieses sogenannte „IT-Grundrecht“ meint einen Schutzbereich, der nicht nur einzelne Daten, sondern das gesamte informationstechnische System erfasst.
Insbesondere wird eine digitale Sphäre der Persönlichkeit anerkannt, wenn aus der Nutzung des Systems ein umfassendes Persönlichkeitsbild rekonstruierbar wäre. Eingriffsmaßnahmen sind somit an strenge Voraussetzungen gebunden. Ergänzend wirken die informationelle Selbstbestimmung (Volkszählungsrechtsprechung) sowie die Schutzpflichtdimension des Staates. Auch private Sicherheitsdefizite, die zu massiven Persönlichkeitsbeeinträchtigungen führen, können staatliche Reaktions- und Gewährleistungspflichten auslösen. Ein explizites „Grundrecht auf digitale Unversehrtheit“ im Wortlaut des Grundgesetzes existiert allerdings (noch) nicht. Die Materie wird derzeit über Auslegung und Fachrecht abgebildet.
Europäische Regelwerke zur digitalen Unversehrtheit: GRCh, DSGVO, DSA & AI-Act
Auf Unionsebene sichern Art. 7 GRCh (Achtung des Privat- und Familienlebens) und Art. 8 GRCh (Schutz personenbezogener Daten) die digitale Persönlichkeit ab. Die DSGVO konkretisiert dies unter anderem über Art. 5 (Datenminimierung, Integrität und Vertraulichkeit) sowie Art. 25 (Privacy by Design/Default). Darüber hinaus kodifiziert die EU seit 2022 „Digitale Rechte und Grundsätze“ als politische Leitlinien. Sie zielen auf eine menschenzentrierte, sichere und nachhaltige digitale Ordnung.
Operativ relevant sind insbesondere zwei Regime:
- Digital Services Act (DSA): Dieser adressiert Sorgfaltspflichten von Vermittlungsdiensten und Plattformen. Dazu gehören Risikomanagement, Melde- und Abhilfewegen, Schutz Minderjähriger und Transparenz von Empfehlungssystemen. Damit wird die digitale Handlungs- und Kommunikationssphäre rechtlich abgesichert – auch gegenüber privaten Gatekeepern. Weitere Details zu den Anforderungen des Digital Services Act (DSA) sind hier relevant.
- AI Act (anwendbar seit 2025 mit gestuften Übergangsfristen): Der AI Act enthält risikobasierte Vorgaben für KI-Systeme. Diese reichen von Transparenzpflichten bis zu Verboten bestimmter Praktiken (z. B. biometrische Echtzeit-Fernidentifikation außerhalb enger Ausnahmen). Für Unternehmen entsteht somit ein Governance-Gerüst, das die digitale Integrität natürlicher Personen praktisch schützt. Die Implementierung des AI Act hilft auch, Risiken durch manipulierte Inhalte wie KI-Deepfakes zu mindern.
Zusammenfassend lässt sich sagen: Ein eigenständiges EU-„Grundrecht digitale Unversehrtheit“ existiert zwar nicht. Die Kombination aus GRCh, DSGVO, DSA und AI-Act setzt jedoch materielle Schutzstandards, die einem funktionalen Grundrechtsschutz nahekommen.
Reformdebatten und ausländische Impulse für die digitale Unversehrtheit
Die Idee einer expliziten „Digitalgrundrechte-Charta“ wird seit Jahren diskutiert. Zivilgesellschaftliche Entwürfe und akademische Vorschläge skizzieren Formulierungsoptionen. Sie passen traditionelle Schutzgüter an die Netz- und Plattformrealität an. In Deutschland konzentriert sich die praktische Entwicklung derzeit auf Fachrecht (z. B. Plattform- und Sicherheitsrecht) und die richterrechtliche Fortbildung des Persönlichkeitsrechts.
Ein spannender Blick in die Schweiz zeigt: Kantonale Verfassungen haben jüngst das Recht auf digitale Integrität aufgenommen. Der dort verwendete Begriff zielt normativ auf einen eigenständigen Schutzstatus digitaler Sphären. Für den deutschen Diskurs liefert dies Argumentationsmaterial. Es ersetzt jedoch nicht die hier geltende Grundrechtsdogmatik. Eine GG-Novelle wäre politisch möglich, wird aber – angesichts funktionierender Grundrechtsdogmatik und unionsrechtlicher Flankierung – rechtspolitisch abgewogen werden müssen.
Praktische Umsetzung: Compliance für digitale Unversehrtheit
Unabhängig von einer ausdrücklichen Grundrechtsformel gilt: Digitale Unversehrtheit ist bereits heute Compliance-Gegenstand. Empfehlenswert ist ein integrierter Fahrplan:
- Schutzgüter definieren: Dazu gehören personenbezogene Daten, Kommunikationsinhalte, Account-Integrität, Geräte- und Sessionsicherheit sowie Identitäts- und Reputationsschutz. Dies ist auf Art. 5 und Art. 25 DSGVO abzustimmen.
- Technik & Prozesse: Implementieren Sie Verschlüsselung in Ruhe/Transit, Härtung von Endpunkten, Secrets-Management, Zero-Trust-Architektur, rollenbasierte Zugriffe, sichere Voreinstellungen („Privacy by Default“) und Logging mit strikter Zweckbindung.
- DSA-Pflichten prüfen (bei Vermittlungsdiensten): Beachten Sie Meldewege, Notice-and-Action-Prozesse, Beschwerde- und interne Re-Review-Mechanismen, Minderjährigenschutz, Transparenzberichte und Recommender-Kontrollen. Ggf. können erweiterte Pflichten für sehr große Plattformen relevant sein.
- AI-Act-Readiness: Führen Sie eine Systeminventur durch, klassifizieren Sie Risiken (verboten/hoch/limitiert/minimal) und etablieren Sie Konformitäts- und Dokumentationsprozesse. Beachten Sie Daten- und Modell-Governance sowie Human Oversight. Sichern Sie vertragliche Durchgriffe gegenüber Anbietern und Integratoren.
- Datenschutz-Folgenabschätzungen (DPIA): Führen Sie diese für riskante Verarbeitungsvorgänge durch. Erstellen Sie klare Abhilfekonzepte, operationalisieren Sie Betroffenenrechte und implementieren Sie Incident-Response-Prozesse mit Meldeketten. Dabei sollte auch der Umgang mit einem Datenleck in der Startup-Praxis berücksichtigt werden.
- Lieferkette & Verträge: Berücksichtigen Sie TOM-Anlagen, Audit-/Subprozessor-Ketten, KI-Nutzungs- und Trainingsklauseln, Exportkontrollen für Modelle/Parameter, Sicherheits-SLAs, Exit- und Datenportabilität.
- Produkt- und Marktrisikoprüfung: Verbinden Sie missbrauchsanfällige Features (z. B. Deepfake-Funktionen) mit Missbrauchsprävention (Watermarks/Provenance, Rate-Limits, Abuse-Detection).
- Dokumentation & Rechenschaft: Sorgen Sie für den Nachweis der getroffenen Maßnahmen (Accountability). Führen Sie regelmäßige Management-Reviews, Schulungen und Pen-Tests durch.
Fazit zur digitalen Unversehrtheit
Auch ohne einen ausdrücklich normierten Verfassungstitel ist die digitale Unversehrtheit bereits rechtsverbindlich adressiert. Dies geschieht verfassungsrechtlich über das Persönlichkeitsrecht und unionsrechtlich über DSGVO, DSA und AI-Act. Für die Praxis zählt weniger der Etikettenschwindel als die lückenlose Umsetzung konkreter Schutz- und Sorgfaltspflichten.