Staatstrojaner: Verfassungsgericht auf Holzweg oder in dubio pro IT-Sicherheit?

"Mit großem Augenmaß und nach sorgfältiger Abwägung"

Inhaltsverzeichnis

Das Innenministerium Baden-Württemberg hat die Entscheidung trotzdem "mit Zufriedenheit zur Kenntnis genommen", teilte ein Sprecher heise online mit. Mit der Quellen-TKÜ stehe der Polizei so weiterhin "eine wichtige Maßnahme" zur Verfügung. Ohne diese liefe die Befugnis zur inhaltlichen Telekommunikationsüberwachung im digitalen Zeitalter ins Leere. Die Eingriffsschwelle dieser Maßnahme habe der Gesetzgeber bereits "auf den Schutz besonders gewichtiger Rechtsgüter begrenzt". Zudem seien die BVerfG-Vorgaben an die Verhältnismäßigkeit verdeckter Überwachungsmaßnahmen aus der Entscheidung zum BKA-Gesetz von 2016 berücksichtigt worden.

Die Quellen-TKÜ werde "mit großem Augenmaß und nach einer am Einzelfall orientierten, sorgfältigen Abwägung eingesetzt", unterstrich der Sprecher. Paragraf 80 des Polizeigesetzes regele bereits die Voraussetzungen für eine Datenschutz-Folgeabschätzung. Ferner hätten die Karlsruher Richter auf das Gesetz zur Cybersicherheit des Landes verwiesen, wonach öffentliche Stellen beim Erlangen von Kenntnis von Informationen über Sicherheitslücken von 2022 an "eine unverzügliche Meldung an die Cybersicherheitsagentur veranlassen müssen, soweit andere Vorschriften dem nicht entgegenstehen".

Der baden-württembergische Datenschutzbeauftragte Stefan Brink sieht die Privatsphäre gestärkt. Das BVerfG bestätige erneut, dass staatliche Institutionen bei der Erfüllung ihrer gesetzlichen Aufgaben Grundsätze wie den der Integrität und Vertraulichkeit zu beachten hätten. Zudem sei eine Rechtsgrundlage erforderlich, "die die Einschränkung der diesbezüglichen Schutzpflicht rechtfertigen kann". Dass im Ländle eine solche Basis bereits vorliege, "bezweifeln wir". Inwieweit die Polizei ein ausreichendes Schwachstellen-Management betreibe, "werden wir uns erläutern lassen und dann – im Sinne des BVerfG – sorgfältig überprüfen".

Das Bundeskriminalamt (BKA) hatte als erste hiesige Sicherheitsbehörde die Lizenz erhalten, den Bundestrojaner im Anti-Terror-Kampf zu verwenden. Ob die Behörde ein Schwachstellen-Management eingeführt hat und wie sie die staatliche Schutzpflicht ausfüllt, soll die Öffentlichkeit aber nicht wissen. Die entsprechenden, von heise online erbetenen Auskünfte seien "geheimhaltungsbedürftig", beschied eine Sprecherin nach mehrtägiger Sendepause.

Der Mainzer Staatsrechtler Matthias Bäcker, der selbst in eine Verfassungsbeschwerde gegen das BKA-Gesetz involviert ist, bezeichnete das Urteil als "ziemlich enttäuschend" und "schwer nachvollziehbar". Das BVerfG versuche "auf Teufel komm raus, nicht zu viel zu sagen". Da es den Einsatz von Zero Days offenbar in einem "groben Missverständnis" der damit verknüpften Risiken gebilligt habe, sei für die IT-Sicherheit wenig erreicht. Auch für andere in Karlsruhe anhängige einschlägige Klagen sei nun kaum ein anderer Bescheid zu erwarten. Allenfalls beim neuen Gesetz für Staatstrojaner für alle Geheimdiensten könnte sich noch etwas tun.

Als Pluspunkt wertet auch Bäcker, dass die Richter ein Problem mit Schwachstellen deutlich gemacht hätten. Es brauche einen behördlichen Prozess, um hier Abläufe zu evaluieren. Die Folge dürfte sein, dass eine Art Management eingerichtet werde. Details dazu würden aber wohl für geheim erklärt, obwohl diese in Grundzügen gesetzlich klargemacht werden sollten. Insgesamt hat sich das BVerfG dem Professor zufolge "auf den Holzweg begeben" mit den Verweisen auf eine Folgenabschätzung und einen künftigen Cybersicherheitsrat. So bestehe das große Risiko, "dass die Behörden sich was zusammenstricken".

Dass die praktischen Auswirkungen der Entscheidung erst einmal gering sein dürften, davon geht der Göttinger Staatsrechtler Benjamin Rusteberg ebenfalls aus. Bei der Annahme, wie der ausgemachte Zielkonflikt zwischen innerer Sicherheit und IT-Security gelöst werden könnte, sei das Gericht "sehr großzügig verfahren": Es erkenne hier etwa selbst den lediglich untergesetzlichen Meldestandard des IT-Planungsrats an. Von einer "positiven Vorwirkung" für anhängige Fälle sei so eher nicht auszugehen: "Freilich ist auch nicht ganz auszuschließen, dass das Gericht die andere prozessuale Situation in den Verfahren nutzt, um noch einmal etwas genauer hinzuschauen."

Das Bundesjustizministerium prüft die Entscheidung noch. Dabei sei zu berücksichtigen, dass das BVerfG keinen Verstoß gegen die staatliche Schutzpflicht zugunsten von IT-Nutzern festgestellt habe, erklärte ein Sprecher des Ressorts. Die Paragrafen für die Quellen-TKÜ und Online-Durchsuchung in der Strafprozessordnung (StPO) enthielten "schon jetzt einzelne flankierende Vorgaben". Der Rechtsausschuss des Bundestags habe in seinem Bericht zu dem einschlägigen Gesetzesbeschluss etwa ausgeführt, dass "die Strafverfolgungsbehörden bestimmte technische Schutzvorkehrungen zu treffen [haben], um den Eingriff in das vom Betroffenen zu Kommunikationszwecken genutzte" System auf "das unbedingt erforderliche Mindestmaß zu begrenzen und die Datensicherheit zu gewährleisten".

(bme)