Bundesverfassungsgericht weist Klage gegen Staatstrojaner zurück
Eine Beschwerde von Bürgerrechtlern, Hackern und Journalisten gegen die Klausel zur Quellen-TKÜ im Polizeigesetz Baden-Württemberg hatte wenig Erfolg.
(Bild: nitpicker/Shutterstock.com)
Das Bundesverfassungsgericht hat eine Verfassungsbeschwerde abgewiesen, die sich gegen den Paragrafen 54 zur "präventiv-polizeilichen" Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) im baden-württembergischen Polizeigesetz richtete. Die Klage sei unzulässig, entschied der Erste Senat. Er begründete dies vor allem damit, dass die Beschwerdeführenden nicht hinreichend dargelegt hätten, dass sie von der Klausel und der damit verknüpften Option zum Einsatz von Staatstrojanern betroffen seien.
Die Beschwerde gegen die Gesetzesnovelle von 2017 hatte die Gesellschaft für Freiheitsrechte (GFF) zusammen mit Unterstützern vom Chaos Computer Club Stuttgart, zwei Anwälten und Journalisten, einem Onlinehändler und einer Einkaufsgesellschaft für Internetprovider Ende 2018 eingelegt. Die Kläger monierten, dass für die erlaubte Quellen-TKÜ zum Abhören verschlüsselter Kommunikation etwa über WhatsApp, Signal und Threema IT-Sicherheitslücken womöglich durch Zero-Day-Exploits ausgenutzt werden müssten.
"Grundrechtliche Schutzpflicht"
Die Ermittler hätten dabei kein Interesse daran, dass die Schwachstellen von den Herstellern geschlossen würden, hieß es in der Beschwerde. So könnten etwa auch Cyberkriminelle darauf zugreifen. Das sei unvereinbar mit dem Schutzauftrag des Staates gegenüber den Bürgern und dem vom Bundesverfassungsgericht selbst aufgestellten Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen.
Laut dem am Mittwoch veröffentlichten Beschluss des Bundesverfassungsgerichts vom 08. Juni 2021 (Az.: 1 BvR 2771/18) besteht eine "grundrechtliche Schutzpflicht". Betroffen seien das Fernmeldegeheimnis und das sogenannte Computer-Grundrecht. So sei prinzipiell die informationelle Selbstbestimmung von Nutzern bedroht, weil sich mit dem Zugang zu deren Daten "weitgehende Kenntnisse über persönlichkeitsrelevante Informationen gewinnen lassen". Zudem hätten Sicherheitslücken "ein über die Offenbarung persönlichkeitsrelevanter Informationen weit hinaus gehendes Schädigungspotenzial": Dritte könnten darüber in Systeme eindringen, diese manipulieren und Abläufe zum Schaden der Betroffenen stören.
Unzureichende Begründung
"Mit dem Risiko der Infiltration durch Dritte ist so auch eine besondere Erpressungsgefahr verbunden", betonen die Karlsruher Richter. Die staatliche Schutzpflicht schließe daher eine Auflage für den Gesetzgeber ein, "den Umgang der Polizeibehörden mit solchen IT-Sicherheitslücken zu regeln" etwa über ein Schwachstellen-Management, auch wenn das Instrument der Quellen-TKÜ "für sich genommen nicht von vornherein verfassungsrechtlich unzulässig" sei. Auch jede Lücke müsse nicht "sofort und unbedingt dem Hersteller" gemeldet, der "Zielkonflikt" aber grundrechtskonform aufgelöst werden.
Die Beschwerdeführenden haben laut dem Senat jedoch nicht in der erforderlichen Weise begründet, dass der festgestellte Schutzauftrag bei ihnen tatsächlich verletzt sein könnte. Sie hätten die einschlägigen gesetzlichen Regeln zum Schutz von IT-Systemen "weder in ihren Grundzügen dargestellt noch ausgeführt", aus welchen konkreten Gründen die Bestimmungen "auch in ihrer Zusammenschau erheblich hinter dem Schutzziel zurückbleiben". Zudem wären die Kläger gehalten gewesen, sich zunächst an die Verwaltungsgerichte zu wenden, um von diesen verschiedene Bestimmungen "des Polizei-, des Datenschutz-, des Cybersicherheits- und des IT-Sicherheitsrechts" auslegen zu lassen.
"Großer Erfolg für IT-Sicherheit" – trotz Schlappe
Trotz der juristischen Schlappe sieht der GFF-Vorsitzende Ulf Buermeyer in der Entscheidung einen "großen Erfolg für die IT-Sicherheit". In der Begründung hätten die Richter den Klägern und dem Prozessbevollmächtigter Tobias Singelnstein "in weiten Teilen Recht" gegeben. So müsse die Polizei künftig "bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke" die damit verknüpften Gefahren ermitteln, den "Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ" bestimmen und beides zueinander ins Verhältnis setzen. Die Schwachstelle sei an den Hersteller zu melden, wenn nicht das Interesse an deren Offenhalten überwiege.
Zahlreiche weitere Verfassungsbeschwerden gegen Staatstrojaner sind noch anhängig. Allein die GFF ist in Karlsruhe gegen sieben andere entsprechende Gesetze vorgegangen. Sie plant weitere Klagen, etwa gegen die neue Befugnis für alle Geheimdienste, wo die FDP bereits vorgeprescht ist.
(bme)
