Bundesverfassungsgericht: Beschwerde gegen Staatstrojaner abgewiesen

Staatliche Behörden können Sicherheitslücken in Computersystemen zur Überwachen nutzen. Kritiker befürchten, dass sie die Lücken deshalb nicht melden. Karlsruhe bestätigt das Problem, verweist aber auf bereits bestehende Regeln.

Das Bundesverfassungsgericht hat eine Beschwerde gegen den sogenannten Staatstrojaner abgewiesen, der Sicherheitslücken in Computersystemen zur Überwachung ausnutzt. Das Gericht hat den Klägern aber zugleich in einem wichtigen Punkt recht gegeben. Staatliche Behörden hätten eine "Schutzpflicht" gegenüber Computernutzern, wenn sie solche Lücken entdeckten. Sie müssten daher zum Schutz "informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen", heißt es in dem Beschluss.

Mehrere Anwälte, Journalisten und Computerfachleute hatten sich - unterstützt von der Gesellschaft für Freiheitsrechte - gegen die Regelung im baden-württembergischen Polizeigesetz zur sogenannten Quellen-Telekommunikationsüberwachung (TKÜ) gewandt, mit deren Hilfe die Kommunikation über Computer und Handys überwacht werden muss. Dazu müssen die Geräte mit einer Software infiltriert werden - dem sogenannten Staatstrojaner.

Weil die Behörden dazu unter anderem existierende Sicherheitslücken ausnutzen, liefert das Gesetz aus Sicht der Beschwerdeführer einen Fehlanreiz: Die Behörden hätten kein Interesse, Herstellern diese Lücken zu melden und zu deren raschen Schließung beizutragen, weil sie für ihre eigenen Zwecke nutzbar seien. Damit gefährdeten sie die - im Grundgesetz geschützte - Sicherheit von Computersystemen.

Damit haben sie aus Sicht des Gerichts im Prinzip recht. Wenn Behörden "von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht". Denn solche Lücken hätten ein erhebliches Schädigungspotenzial. Zwar bestehe kein grundrechtlicher Anspruch darauf, jede Sicherheitslücke sofort und unbedingt dem Hersteller zu melden. Aber zumindest müsse geregelt werden, wie Behörden diesen Zielkonflikt zwischen dem Schutz informationstechnischer Systeme und der Offenhaltung solcher Lücken zum Einsatz der Quellen-TKÜ aufzulösen haben.

Trotzdem wies das Gericht die Beschwerden ab, denn es gebe bereits an mehreren Stellen entsprechende Vorschriften. Die Beschwerdeführer hätten nicht ausreichend dargelegt, warum diese Regeln unzureichend seien. Prinzipiell habe der Gesetzgeber hier großen Einschätzungsspielraum.