IT-SicherheitslückenBundesverfassungsgericht weist Beschwerde gegen Staatstrojaner ab

Das Bundesverfassungsgericht hat eine Beschwerde gegen das baden-württembergische Polizeigesetz abgelehnt. Die Gesellschaft für Freiheitsrechte bewertet das Urteil trotzdem überwiegend als Erfolg.

Eine Person sitzt in einem dunklen Raum vor einem Bildschirm und betrachtet einen HTML-Code.
Staatliche Behörden können Sicherheitslücken ausnutzen. (Symbolbild) CC-BY 2.0 Mika Baumeister

Polizei und Geheimdienste dürfen ihnen bekannte IT-Sicherheitslücken geheim halten und ausnutzen, um Personen zu überwachen. Damit ist der Einsatz von Staatstrojanern möglich. Das hat das Bundesverfassungsgericht entschieden.

Das Gericht wies eine Verfassungsbeschwerde gegen das baden-württembergische Polizeigesetz ab. Die Gesellschaft für Freiheitsrechte klagte gemeinsam mit dem Chaos Computer Club Stuttgart und anderen.

Die Richterinnen und Richter urteilten, dass der Staat private Kommunikation zwar grundsätzlich schützen muss. Die Nutzung von Sicherheitslücken, die Öffentlichkeit und Hersteller unbekannt sind, verletze diese Pflicht aber nicht automatisch, vielmehr kommt es auf eine Abwägung an.

Weil sich die Beschwerde außerdem gegen ein einzelnes Landesgesetz richte, hätte die GFF zunächst bei „primär zuständigen Fachgerichten“ Klage einreichen müssen.

Nutzen und Gefahr von Sicherheitslücken abwägen

Das Urteil wurde schon am 8. Juni getroffen, die Entscheidung wurde aber erst jetzt öffentlich gemacht. In seiner Begründung verlangt der Erste Senat des Bundesverfassungsgerichts aber, dass die Behörden in jedem Einzelfall prüfen müssen, ob der Nutzen, eine Sicherheitslücke bewusst offenzuhalten und den betroffenen Unternehmen nicht zu melden, die Gefahr von Angriffen durch diese Lücke überwiegt.

Die grundrechtliche Schutzpflicht des Staates verlangt auch eine Regelung zur grundrechtskonformen Auflösung des Zielkonflikts zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-Telekommunikationsüberwachung andererseits.

Die GFF bewertet das als großen Erfolg. Der Vorsitzende Ulf Buermeyer betont:

Die heutige Entscheidung ist ein Meilenstein für die IT-Sicherheit. Sie macht nochmals deutlich, warum wir Staatstrojaner grundsätzlich ablehnen. Angesichts der Kollateralschäden für die IT-Sicherheit darf der Staat nicht selbst Hacker spielen, sondern muss konsequent für möglichst sichere IT-Systeme eintreten. Wir werden weiter gegen staatliche Spähsoftware klagen, solange durch ihren Einsatz Grundrechte verletzt werden.

Die heutige Verkündung kollidiert mit den aktuellen Enthüllungen um den Staatstrojaner Pegasus. In den letzten Tagen wurde bekannt, dass weltweit Dutzende Staaten mit Pegasus Regimegegner, aber auch Aktivisten, Politiker und Journalisten überwachen. Das zeigt, dass das Gericht die Gefahr durch Sicherheitslücken offenbar massiv unterschätzt hat.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Wenn die Prüfung so sorgfältig wie i. d. R. bei Durchsuchungsbeschlüssen geschieht, dann wird es keine Abwägung geben. Ich habe da wenig Hoffnung.

  2. „Angesichts der Kollateralschäden für die IT-Sicherheit darf der Staat nicht selbst Hacker spielen,

    Das zeigt, dass das Gericht die Gefahr durch Sicherheitslücken offenbar massiv unterschätzt hat. “

    Dazu zweierlei Gedanken.
    Gerade im Zuge der Pegasus-Veröffentlichungen wird es nicht lange dauern und irgendeiner kommt auf die Idee und meint die staatlichen Organe ‚hacken‘ nicht aktiv. Sie nutzen nur Software, die angeboten wurde. Warum das geht, kann nicht erklärt werden und war auch nicht Auftrag vor oder während des Einsatzes.

    Was Gerichte angeht, so sollen diese unabhängig sein.
    Es bestehen sogar Ausforschungsverbote. Somit darf das Gericht zwar fragen, aber selbst nicht ermitteln.
    Ein Gericht, was aus eigener ‚Erfahrung‘ einen anderen oder für eine Partei ‚besseren‘ Blick auf die Dinge hat, wird ganz schnell der Befangenheit bezichtigt.

    Wer einen Prozess gewinnen will, muss gut begründen. Von daher sehe ich es eher so, das die Begründung nicht ausreichend war um zu überzeugen.

    Mit dem Wissen geht es beim nächsten vortragen vor dem BVerfG evtl. in die andere Richtung.
    Den Kläger:innen sei nur geraten vorsichtig zu sein, keine verfestigte Rechtsprechung einzuleiten.

  3. Ohne Worte:

    Mit den Anforderungen an die Feststellung einer gesetzgeberischen Schutzpflicht-
    verletzung sind spezifische Darlegungslasten der Beschwerdeführenden verbunden.
    Eine mögliche Grundrechtsverletzung der Beschwerdeführenden geht aus dem Vor-
    trag regelmäßig nur dann hervor, wenn sich dieser nicht in pauschalen Behauptun-
    gen und punktuell herausgegriffenen, angeblichen Unzulänglichkeiten der Rechtsla-
    ge erschöpft. Erforderlich ist vielmehr, den gesetzlichen Regelungszusammenhang
    insgesamt zu erfassen, wozu – je nach Fallgestaltung – zumindest gehört, dass die
    einschlägigen Regelungen des als unzureichend beanstandeten Normkomplexes je-
    denfalls in Grundzügen dargestellt werden und begründet wird, warum vom Versa-
    gen der gesetzgeberischen Konzeption auszugehen ist.

    Wer einen Prozess gewinnen will, muss gut begründen!!!!!

    1. Als Aushöhlung der Bürgerrechte mit Beweislastumkehr verstehe ich es. Man muss den Nachweis erbringen, warum man zu Unrecht überwacht wurde. Das wird den meisten nicht möglich sein, weil es bedeutet, Akteneinsicht bei der Ermittlungsbehörde zu erhalten. Das können nur Juristen. Wer also keinen Haus und Hof Jurist sein eigen nennt, der muss also die anlasslose Überwachung seiner Person und jeden Missbrauch, den man nicht umfänglich belegen kann, erdulden. Mir ist nicht klar, wie das auf dem Boden der Verfassung steht.

    2. Ich halte das für eine Ausrede. Das BVerfG hat sehr wohl erkannt, daß die Regelungen eigentlich nicht tragbar sind. Aus politischer Überzeugung haben sie sich aber mit der fadenscheinigen begründung der magelhaften Begründung herhausgemogelt , um den politschen Freunden nicht ans Pinkeln zu müssen. Die politische Besetzung der Richstellen schlägt immer mehr auf die Urteile durch. Und da regen wir uns noch über Polen auf? Gut, soweit sind wir noch nicht, aber die tendenz geht in die gleiche Richtung.

  4. „Die GFF bewertet das als großen Erfolg.“

    Augenwischerei. De facto hat das Bundesverfassungsgericht den Behörden einen Freibrief erteilt. Die Abwägung zwischen Risiken und Nutzen wird immer zugunsten der Überwachungsmaßnahme ausfallen.

    Leider wieder ein ganz schwaches Urteil und ein deutlicher Hinweis, dass wir auch auf Karlsruhe nicht mehr zählen können. Das Bundesverfassungsgericht hat damit das Grundrecht auf die Integrität informationstechnischer Systeme ausgehebelt, das es selbst einst geschaffen hat.

    Wahrscheinlich hatte das Gericht nicht mehr den Mumm, ein starkes grundrechtschützendes Urteil zu fällen, weil es ja inzwischen weiß, dass seine Urteile nicht mehr sehr ernst genommen werden. Also lieber ein Gummiurteil, das dem Gericht das Gefühl gibt, noch Herrin des Geschehens zu sein.

    Die Sicherheitsbehörden haben Legislative und Judikative voll im Griff. Dem Wahlbürger gehen Bürgerrechtsthemen am Allerwertesten vorbei. Beängstigend.

  5. Damit dürften die Staatstrojaner endgültig durch sein :/

    Die Abwägungsbedingung scheint das neue „ja, macht mal“ der Gerichte gegenüber der Exekutive zu sein. Schon bei den Europaentscheidungen zur Vorratsdatenspeicherung war sie eigentlich der Grabstein der Grundrechte. Baut eine Bedingung ein („nur bei ganz, ganz schlimmen Terroristen“, „nur echt total selten“, „na ja, und bei Drogenhandel“, …) und alles ist erlaubt.

    Diese neue Tradition wird hier unselig fortgeführt.

    Auffällig und traurig aus meiner Sicht, dass sich der Grundgedanke dabei komplett verschoben hat. Ging es beim Volkszählungsurteil noch um die Wahrung einer privaten Zone, „Selbstverwirklichung“, die Festplatte als „Teil meines Gehirns“ etc., scheint es hier tatsächlich nur noch um höchstrichterlich angeordnete IT-Sicherheit zu gehen. Um die schweren volkswirtschaftlichen Schäden von Erpressungstrojanern z.B., aber nicht mehr um Menschen, deren Grundrechte geschützt werden.

    Da dieser Impetus (Schutz von individuellen Grundrechten, von Abwehrrechten gegen den Staat) quasi gekippt wurde (der Schutzbedarf aus Art. 10 und Art. 2 GG wurde vom Gericht nur soweit anerkannt, als er unabweisbar war – *natürlich* geht es bei Staatstrojanern um das Fernmeldegeheimnis und *natürlich* auch um das „Computer-Grundrecht“; jede weitere Folgerung als das auf der Hand Liegende hat das Gericht aber abgelehnt, keine Weiterentwicklung der Grundrechte) , werden auch die anderen Verfassungsbeschwerden gegen Staatstrojaner wohl kaum mehr Erfolg haben, auch wenn sie nicht schon im Vorfeld gestoppt werden, wie es hier der Fall war.

    Ist es Euch aufgefallen? Selbst die GFF (der für Ihren Versuch, dieses schlimme Gesetz zu stoppen viel Dank und Respekt gebührt) spricht von einem „großen Erfolg für die IT-Sicherheit“ — nicht von einem Erfolg für die Grundrechte.

    Eine Art „Supergrundrecht“ auf Sicherheit, scheint sich allmählich tatsächlich in der höchsten Rechtsprechung europäischer und deutscher Gerichte zu entwickeln. Hans-Peter Friedrichs üble Schnapsidee von 2013 oder so scheint Wirklichkeit zu werden.

    Die Gerichte werden uns hier wohl nicht helfen. Wir müssen das politisch lösen. Staatstrojaner müssen letzlich von den Parlamenten verboten werden. Anders geht’s halt nicht. Oder?

    1. Ein „Supergrundrecht“ auf Sicherheit gibt es natürlich nicht. Wohl aber das Recht auf Sicherheit, das zwar nicht im Grundgesetz, aber in der Europäischen Menschrechtskonvention und in der EU Grundrechte Charta festgelegt ist. Dadurch ist es durchaus legitim, das Recht auf Sicherheit gegen andere Grundrechte abzuwägen.
      Womit ich nicht sagen möchte, dass hier die richtige Balance gefunden wurde.

  6. Diese Urteilsbegründung läßt mich vermuten, daß die Damen und Herren Richter erst selber Opfer von gehackten Telefonen werden müssen, bevor sie die Tragweite erfassen.
    Der Satz „Wer einen Prozess gewinnen will, muss gut begründen!!!!!“ zeigt vor allem eine gewaltige Unbedarftheit wenn es um das Thema staatliche Überwachung geht. Es ist ausgesprochen schwierig für Menschen, die sowas nie erlebt haben zu qualifizieren, was das für den Betroffenen bedeutet.
    Ich bin in der DDR geboren und aufgewachsen und war seit meinen frühen Kindertagen Ziel der Überwachung weil meine Eltern berufliche Stellungen hatten die es aus Sicht der Diktatoren notwendig machten, uns zu überwachen. Nicht zuletzt, weil ein Teil der Familie noch vor den Mauerbau in den amerikanischen Sektor ausgewandert war und ein regelmäßiger Kontakt weiter bestand.
    Ich habe quasi von der Pike auf gelernt, damit zu leben. Aber es bleibt Fritz alle dem permanent belastend und verkleinert den feinen Grad zwischen Aufmerksamkeit und Paranoia signifikant.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.