Landespolizeigesetz in Baden-Württemberg Verfassungsgericht weist Beschwerde gegen Staatstrojaner-Regeln ab

Die erste von mehreren Verfassungsbeschwerden gegen staatliches Hacking hat keinen Erfolg: Polizisten in Baden-Württemberg dürfen IT-Sicherheitslücken nutzen, um Verdächtige abzuhören.
Erster Senat des Bundesverfassungsgerichts (Archivbild): »Kein grundrechtlicher Anspruch, jede unerkannte IT-Sicherheitslücke unbedingt dem Hersteller zu melden«

Erster Senat des Bundesverfassungsgerichts (Archivbild): »Kein grundrechtlicher Anspruch, jede unerkannte IT-Sicherheitslücke unbedingt dem Hersteller zu melden«

Foto:

Uli Deck/ dpa

Die Polizei in Baden-Württemberg darf auch weiterhin Verdächtige hacken, um ihnen eine Überwachungssoftware unterzuschieben. Das Bundesverfassungsgericht hat eine entsprechende Verfassungsbeschwerde für unzulässig erklärt.

Die Beschwerde  eingelegt hatten unter anderem die Gesellschaft für Freiheitsrechte (GFF) und der Stuttgarter Chaos Computer Club (CCCS). Sie richtete sich gegen die Novelle des baden-württembergischen Landespolizeigesetzes vom 28. November 2017, mit der die Strafverfolger die Möglichkeit zur sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) bekamen. Die erlaubt das Abhören laufender Kommunikation auch in verschlüsselten Chat-Apps, indem eine Überwachungssoftware auf dem Gerät einer verdächtigen Person platziert wird.

Das Argument der Beschwerdeführenden, zu denen neben GFF und CCCS auch Journalisten und ein Internetprovider gehören: Das Land habe es versäumt, »einen Rechtsrahmen für den Einsatz von Staatstrojanern zu schaffen, der geeignet ist, fatale Fehlanreize für seine Behörden zu vermeiden«. Sprich: Die Polizei habe durch das Gesetz ein gesteigertes Interesse daran, IT-Sicherheitslücken zu »horten«, um die Zielgeräte hacken zu können. Das wiederum sei nicht vereinbar mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Das wird auch IT-Grundrecht genannt und wurde 2008 vom Bundesverfassungsgericht als spezielle Ausprägung des allgemeinen Persönlichkeitsrechts formuliert – im damaligen Urteil zu Staatstrojanern.

Was sind Staatstrojaner?

Überwachungsprogramme, die Strafverfolger heimlich auf Geräten von Verdächtigen installieren, werden umgangssprachlich Staatstrojaner genannt. Unterschieden wird dabei zwischen dem Ziel, nur eine laufende Kommunikation zu überwachen, und dem, das ganze Zielgerät zu durchsuchen.

Das Gericht folgte der Argumentation aber nicht. In seiner Pressemitteilung  heißt es zwar: »Der Staat trägt zum Schutz der Grundrechte eine Verantwortung für die Sicherheit informationstechnischer Systeme«. Diese »grundrechtliche Schutzpflicht« verlange eine Regelung darüber, wie die Behörden »den Zielkonflikt« zwischen der allgemeinen IT-Sicherheit einerseits und der Offenhaltung von IT-Schwachstellen zum Hacken der Zielgeräte andererseits aufzulösen hat. Doch die Beschwerdeführenden hätten eine Verletzung dieser Schutzpflicht »nicht hinreichend dargelegt«. Es bestehe zudem »kein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden«.

Damit ist nicht gesagt, dass der Ansatz von GFF und CCCS grundsätzlich untauglich ist, um Staatstrojaner-Regelungen anzugreifen. Das Gericht bemängelte in erster Linie, dass sie nicht genau genug ausgeführt hätten, warum die Landesregelungen »erheblich hinter dem Schutzziel zurückbleiben«. Sie hätten unter anderem auch das Landesgesetz »zur Verbesserung der Cybersicherheit« berücksichtigen und zunächst vor den zuständigen Fachgerichten klagen müssen.

Der GFF-Vorsitzende Ulf Buermeyer bewertete die Entscheidung  denn auch als »großen Erfolg«, weil das Gericht klargestellt habe, dass der Staat die Pflicht hat, »zum Schutz der Systeme vor Angriffen durch Dritte beizutragen«, wie es in seinem Beschluss  heißt.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die GFF hat in mehreren weiteren Verfassungsbeschwerden  ähnlich argumentiert wie im Falle des baden-württembergischen Gesetzes, die Entscheidungen dazu stehen noch aus. Buermeyer hofft, dass das Bundesverfassungsgericht den Staat irgendwann zum IT-Schwachstellen-Management verpflichtet. Bei der Vorstellung der GFF-Beschwerde gegen das entsprechende Bundesgesetz 2018 hatte er gesagt: »Wenn der Gesetzgeber schon eine Rechtsgrundlage für den Trojanereinsatz schafft, dann soll er auch festlegen müssen, unter welchen Umständen Strafverfolger die dafür nötigen IT-Sicherheitslücken horten dürfen oder melden müssen«.

pbe
Die Wiedergabe wurde unterbrochen.