Digitale Unversehrtheit als (neues) Grundrecht: Stand in Deutschland und EU 2025

Kurzüberblick: „Digitale Unversehrtheit“ bezeichnet den Schutz der Persönlichkeit in vernetzten Systemen — jenseits von Körper und Psyche, bezogen auf Daten, Geräte, Accounts und digitale Lebenssachverhalte. In Deutschland existiert kein ausdrückliches Grundrecht mit diesem Namen. Gleichwohl sichern verfassungsrechtliche und unionsrechtliche Garantien bereits heute wesentliche Elemente ab. Für Unternehmen und Plattformbetreiber ergeben sich daraus konkrete Compliance-Pflichten.

Verfassungsrechtlicher Ausgangspunkt in Deutschland

Der Anker ist das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Das BVerfG hat dieses 2008 zur Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme fortentwickelt (sog. „IT-Grundrecht“). Gemeint ist ein Schutzbereich, der nicht nur einzelne Daten, sondern das gesamte informationstechnische System erfasst, wenn aus dessen Nutzung ein umfassendes Persönlichkeitsbild rekonstruierbar wäre. In der Sache wird damit eine digitale Sphäre der Persönlichkeit anerkannt, die Eingriffsmaßnahmen an strenge Voraussetzungen bindet.

Ergänzend wirken die informationelle Selbstbestimmung (Volkszählungsrechtsprechung) sowie die Schutzpflichtdimension des Staates: Auch private Sicherheitsdefizite, die zu massiven Persönlichkeitsbeeinträchtigungen führen, können staatliche Reaktions- und Gewährleistungspflichten auslösen. Ein explizites „Grundrecht auf digitale Unversehrtheit“ im Wortlaut des Grundgesetzes existiert allerdings (noch) nicht; die Materie wird derzeit über Auslegung und Fachrecht abgebildet.

Europäische Ebene: Charta-Grundrechte, DSA & AI-Act

Auf Unionsebene sichern Art. 7 GRCh (Achtung des Privat- und Familienlebens) und Art. 8 GRCh (Schutz personenbezogener Daten) die digitale Persönlichkeit. Die DSGVO konkretisiert dies u. a. über Art. 5 (Datenminimierung, Integrität und Vertraulichkeit) sowie Art. 25 (Privacy by Design/Default). Darüber hinaus kodifiziert die EU seit 2022 „Digitale Rechte und Grundsätze“ als politische Leitlinien; sie zielen auf eine menschenzentrierte, sichere und nachhaltige digitale Ordnung.

Operativ relevant sind insbesondere zwei Regime:

• Digital Services Act (DSA): adressiert Sorgfaltspflichten von Vermittlungsdiensten/Plattformen, u. a. Risikomanagement, Melde- und Abhilfewege, Schutz Minderjähriger, Transparenz von Empfehlungssystemen. Damit wird die digitale Handlungs- und Kommunikationssphäre rechtlich abgesichert – auch gegenüber privaten Gatekeepern.
• AI Act (anwendbar seit 2025 mit gestuften Übergangsfristen): risikobasierte Vorgaben für KI-Systeme, von Transparenzpflichten bis zu Verboten bestimmter Praxis (z. B. biometrische Echtzeit-Fernidentifikation außerhalb enger Ausnahmen). Für Unternehmen entsteht ein Governance-Gerüst, das die digitale Integrität natürlicher Personen praktisch schützt.

Das Ergebnis: Ein eigenständiges EU-„Grundrecht digitale Unversehrtheit“ existiert nicht, die Kombination aus GRCh, DSGVO, DSA und AI-Act setzt aber materielle Schutzstandards, die einem funktionalen Grundrechtsschutz nahekommen.

 Reformdebatten und Impulse aus dem Ausland

Die Idee einer expliziten „Digitalgrundrechte-Charta“ wird seit Jahren diskutiert. Zivilgesellschaftliche Entwürfe und akademische Vorschläge skizzieren Formulierungsoptionen und passten traditionelle Schutzgüter an die Netz- und Plattformrealität an. In Deutschland konzentriert sich die praktische Entwicklung derzeit auf Fachrecht (z. B. Plattform- und Sicherheitsrecht) und die richterrechtliche Fortbildung des Persönlichkeitsrechts.

Spannend ist der Blick in die Schweiz: Kantonale Verfassungen haben jüngst das Recht auf digitale Integrität aufgenommen. Der dort verwendete Begriff zielt normativ auf einen eigenständigen Schutzstatus digitaler Sphären. Für den deutschen Diskurs liefert dies Argumentationsmaterial, ersetzt aber nicht die hier geltende Grundrechtsdogmatik. Eine GG-Novelle wäre politisch möglich, wird aber – angesichts funktionierender Grundrechtsdogmatik und unionsrechtlicher Flankierung – rechtspolitisch abgewogen werden müssen.

Praxis: Compliance-Fahrplan für Unternehmen und Plattformen

Unabhängig von einer ausdrücklichen Grundrechtsformel gilt: Digitale Unversehrtheit ist bereits heute Compliance-Gegenstand. Empfehlenswert ist ein integrierter Fahrplan:

1. Schutzgüter definieren: Personenbezogene Daten, Kommunikationsinhalte, Account-Integrität, Geräte- und Sessionsicherheit, Identitäts- und Reputationsschutz. Mapping auf Art. 5, 25 DSGVO.
2. Technik & Prozesse: Verschlüsselung in Ruhe/Transit, Härtung von Endpunkten, Secrets-Management, Zero-Trust-Architektur, rollenbasierte Zugriffe, sichere Voreinstellungen („Privacy by Default“), Logging mit strikter Zweckbindung.
3. DSA-Pflichten prüfen (bei Vermittlungsdiensten): Meldewege, Notice-and-Action-Prozesse, Beschwerde- und interner Re-Review-Mechanismus, Minderjährigenschutz, Transparenzberichte, Recommender-Kontrollen; ggf. erweiterte Pflichten für sehr große Plattformen.
4. AI-Act-Readiness: Systeminventur, Risikoklassifizierung (verboten/hoch/limitiert/minimal), Konformitäts- und Dokumentationsprozesse, Daten- und Modell-Governance, human oversight. Vertragliche Durchgriffe gegenüber Anbietern und Integratoren.
5. Datenschutz-Folgenabschätzungen (DPIA): für riskante Verarbeitungsvorgänge; klare Abhilfekonzepte, Betroffenenrechte operationalisieren, Incident-Response mit Meldeketten.
6. Lieferkette & Verträge: TOM-Anlagen, Audit-/Subprozessorketten, KI-Nutzungs- und Trainingsklauseln, Exportkontrollen für Modelle/Parameter, Sicherheits-SLAs, Exit- und Datenportabilität.
7. Produkt- und Marktrisikoprüfung: missbrauchsanfällige Features (z. B. Deepfake-Funktionen) mit Missbrauchsprävention (Watermarks/Provenance, Rate-Limits, Abuse-Detection) verbinden.
8. Dokumentation & Rechenschaft: Nachweis der getroffenen Maßnahmen (Accountability), regelmäßige Management-Reviews, Schulungen und Pen-Tests.

Fazit: Auch ohne ausdrücklich normierten Verfassungstitel ist die digitale Unversehrtheit bereits rechtsverbindlich adressiert — verfassungsrechtlich über das Persönlichkeitsrecht und unionsrechtlich über DSGVO, DSA und AI-Act. Für die Praxis zählt weniger der Etikettenschwindel als die lückenlose Umsetzung konkreter Schutz- und Sorgfaltspflichten.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.