Staatstrojaner: Verfassungsgericht auf Holzweg oder in dubio pro IT-Sicherheit?

Verbände, Bürgerrechtler, Datenschützer, Juristen und Behörden schätzen das jüngste Urteil des Bundesverfassungsgerichts zur Quellen-TKÜ unterschiedlich ein.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 40 Beiträge

(Bild: Zolnierek/Shutterstock.com)

Von
  • Stefan Krempl
Inhaltsverzeichnis

Das Bundesverfassungsgericht (BVerfG) wies jüngst eine Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte (GFF) ab, die sich gegen den Paragrafen 54 zur "präventiv-polizeilichen" Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) im baden-württembergischen Polizeigesetz richtete. Trotz der juristischen Niederlage wertet die GFF das Urteil als "großen Erfolg für die IT-Sicherheit". Die Politik müsse nun Vorkehrungen treffen, damit Cyberkriminelle und ausländische Geheimdienste nicht von hierzulande von den Behörden offengelassenen Schwachstellen profitierten.

Die Bürgerrechtsorganisation baut dabei vor allem auf eine Passage der Entscheidung: Demnach muss eine öffentliche Stelle "bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke" die Gefahr einer "weiteren Verbreitung der Kenntnis" dieser Schwachstelle ermitteln. Zudem halten es die Karlsruher Richter für nötig, "den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ" zu bestimmen, beides zueinander ins Verhältnis zu setzen und die Schwachstelle an den Hersteller zu melden, "wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt".

"Angesichts der Kollateralschäden für die IT-Sicherheit darf der Staat nicht selbst Hacker spielen, sondern muss konsequent für möglichst sichere IT-Systeme eintreten", leitet der GFF-Vorsitzende Ulf Buermeyer daraus ab. Zumindest der Gesetzgeber in Baden-Württemberg müsse daher nun ein Verfahren einrichten, mit dem die Hersteller über gefährliche Schwachstellen informiert würden.

Ab sofort müssten Staat und Sicherheitsbehörden vor jedem Einsatz von Staatstrojaner für die Quellen-TKÜ oder heimliche Online-Durchsuchungen Regeln schaffen und auch bewerten, wie hoch das Risiko der Geheimhaltung von Sicherheitslücken für Bürger, Wirtschaft und den Staat selbst sei, meint auch Klaus Landefeld aus dem Vorstand des eco-Verbands der Internetwirtschaft. Damit setze das BVerfG staatlicher Spähsoftware Grenzen und betone die Schutzpflicht des Staates. Eben diese müsse "jetzt konsequent eingefordert werden".

Im Zuge des Pegasus-Skandals weist Landefeld zudem auf die Gefahren gekaufter Spähsoftware hin. Da die Behörden bislang keine eigene Software einsetzten, würden eben nicht nur selbst gefundene Lücken offengelassen, sondern auch solche, die von der von Dritten bezogenen Spyware genutzt werde. Sämtliche Staatstrojaner-Gesetze, wie etwa die jüngste Verfassungsschutz-Novelle, müssten nun angepasst werden. Sonst dürften sie von Fachgerichten beanstandet werden.

"Wenn Schwachstellen zur Entwicklung eigener Staatstrojaner gekauft werden, dann beflügeln deutsche Sicherheitsbehörden diesen Markt", gibt der Datenschutzverein Digitalcourage zu bedenken. Der Gesetzgeber müsse vor allem eine behördliche und kommerzielle Nutzung bislang der Allgemeinheit unbekannter Zero-Day-Exploits für den Staatstrojaner zugunsten der Sicherheit von Bürgern und Unternehmen verbieten und stattdessen eine Meldepflicht einführen.

Für den Fraktionsvize der Grünen, Konstantin von Notz, hat das Urteil noch einmal unterstrichen: "Auch angesichts der Bedeutung der IT-Sicherheit in der digitalen Gesellschaft und der Notwendigkeit, digitale Infrastrukturen, informationstechnische Systeme und private Kommunikation bestmöglich zu schützen, kommt dem Staat eine direkte Schutzverantwortung zu." Dieser werde die Politik – trotz ständiger Mahnungen der Oppositionsfraktion – noch immer nicht gerecht.

Statt endlich ein Schwachstellen-Management einzuführen, das vor allem die SPD immer wieder vollmundig angekündigt habe, betätigt sich der Staat laut von Notz "weiter als Hehler von Sicherheitslücken" und schließe diese eben bewusst nicht. "Das ist Gift für die IT-Sicherheit", betont der Grüne. CDU/CSU und SPD hätten es trotzdem vorgezogen, den Einsatz von Staatstrojanern auf den Geheimdienstbereich auszuweiten. Dadurch steige die Rechtsunsicherheit. Die ohnehin schwierige parlamentarische Kontrolle in einem verfassungsrechtlich hochsensiblen Feld werde noch einmal massiv erschwert.

Das Innenministerium Baden-Württemberg hat die Entscheidung trotzdem "mit Zufriedenheit zur Kenntnis genommen", teilte ein Sprecher heise online mit. Mit der Quellen-TKÜ stehe der Polizei so weiterhin "eine wichtige Maßnahme" zur Verfügung. Ohne diese liefe die Befugnis zur inhaltlichen Telekommunikationsüberwachung im digitalen Zeitalter ins Leere. Die Eingriffsschwelle dieser Maßnahme habe der Gesetzgeber bereits "auf den Schutz besonders gewichtiger Rechtsgüter begrenzt". Zudem seien die BVerfG-Vorgaben an die Verhältnismäßigkeit verdeckter Überwachungsmaßnahmen aus der Entscheidung zum BKA-Gesetz von 2016 berücksichtigt worden.

Die Quellen-TKÜ werde "mit großem Augenmaß und nach einer am Einzelfall orientierten, sorgfältigen Abwägung eingesetzt", unterstrich der Sprecher. Paragraf 80 des Polizeigesetzes regele bereits die Voraussetzungen für eine Datenschutz-Folgeabschätzung. Ferner hätten die Karlsruher Richter auf das Gesetz zur Cybersicherheit des Landes verwiesen, wonach öffentliche Stellen beim Erlangen von Kenntnis von Informationen über Sicherheitslücken von 2022 an "eine unverzügliche Meldung an die Cybersicherheitsagentur veranlassen müssen, soweit andere Vorschriften dem nicht entgegenstehen".

Der baden-württembergische Datenschutzbeauftragte Stefan Brink sieht die Privatsphäre gestärkt. Das BVerfG bestätige erneut, dass staatliche Institutionen bei der Erfüllung ihrer gesetzlichen Aufgaben Grundsätze wie den der Integrität und Vertraulichkeit zu beachten hätten. Zudem sei eine Rechtsgrundlage erforderlich, "die die Einschränkung der diesbezüglichen Schutzpflicht rechtfertigen kann". Dass im Ländle eine solche Basis bereits vorliege, "bezweifeln wir". Inwieweit die Polizei ein ausreichendes Schwachstellen-Management betreibe, "werden wir uns erläutern lassen und dann – im Sinne des BVerfG – sorgfältig überprüfen".

Das Bundeskriminalamt (BKA) hatte als erste hiesige Sicherheitsbehörde die Lizenz erhalten, den Bundestrojaner im Anti-Terror-Kampf zu verwenden. Ob die Behörde ein Schwachstellen-Management eingeführt hat und wie sie die staatliche Schutzpflicht ausfüllt, soll die Öffentlichkeit aber nicht wissen. Die entsprechenden, von heise online erbetenen Auskünfte seien "geheimhaltungsbedürftig", beschied eine Sprecherin nach mehrtägiger Sendepause.

Der Mainzer Staatsrechtler Matthias Bäcker, der selbst in eine Verfassungsbeschwerde gegen das BKA-Gesetz involviert ist, bezeichnete das Urteil als "ziemlich enttäuschend" und "schwer nachvollziehbar". Das BVerfG versuche "auf Teufel komm raus, nicht zu viel zu sagen". Da es den Einsatz von Zero Days offenbar in einem "groben Missverständnis" der damit verknüpften Risiken gebilligt habe, sei für die IT-Sicherheit wenig erreicht. Auch für andere in Karlsruhe anhängige einschlägige Klagen sei nun kaum ein anderer Bescheid zu erwarten. Allenfalls beim neuen Gesetz für Staatstrojaner für alle Geheimdiensten könnte sich noch etwas tun.

Als Pluspunkt wertet auch Bäcker, dass die Richter ein Problem mit Schwachstellen deutlich gemacht hätten. Es brauche einen behördlichen Prozess, um hier Abläufe zu evaluieren. Die Folge dürfte sein, dass eine Art Management eingerichtet werde. Details dazu würden aber wohl für geheim erklärt, obwohl diese in Grundzügen gesetzlich klargemacht werden sollten. Insgesamt hat sich das BVerfG dem Professor zufolge "auf den Holzweg begeben" mit den Verweisen auf eine Folgenabschätzung und einen künftigen Cybersicherheitsrat. So bestehe das große Risiko, "dass die Behörden sich was zusammenstricken".

Dass die praktischen Auswirkungen der Entscheidung erst einmal gering sein dürften, davon geht der Göttinger Staatsrechtler Benjamin Rusteberg ebenfalls aus. Bei der Annahme, wie der ausgemachte Zielkonflikt zwischen innerer Sicherheit und IT-Security gelöst werden könnte, sei das Gericht "sehr großzügig verfahren": Es erkenne hier etwa selbst den lediglich untergesetzlichen Meldestandard des IT-Planungsrats an. Von einer "positiven Vorwirkung" für anhängige Fälle sei so eher nicht auszugehen: "Freilich ist auch nicht ganz auszuschließen, dass das Gericht die andere prozessuale Situation in den Verfahren nutzt, um noch einmal etwas genauer hinzuschauen."

Das Bundesjustizministerium prüft die Entscheidung noch. Dabei sei zu berücksichtigen, dass das BVerfG keinen Verstoß gegen die staatliche Schutzpflicht zugunsten von IT-Nutzern festgestellt habe, erklärte ein Sprecher des Ressorts. Die Paragrafen für die Quellen-TKÜ und Online-Durchsuchung in der Strafprozessordnung (StPO) enthielten "schon jetzt einzelne flankierende Vorgaben". Der Rechtsausschuss des Bundestags habe in seinem Bericht zu dem einschlägigen Gesetzesbeschluss etwa ausgeführt, dass "die Strafverfolgungsbehörden bestimmte technische Schutzvorkehrungen zu treffen [haben], um den Eingriff in das vom Betroffenen zu Kommunikationszwecken genutzte" System auf "das unbedingt erforderliche Mindestmaß zu begrenzen und die Datensicherheit zu gewährleisten".

(bme)