Für alle, die an Deutschland vor allem das Grundgesetz schätzen, war der 27. Februar 2008 ein sehr besonderer Tag. Damals wurde das Computergrundrecht geboren, aber das war nur die Koseform eines Namens, der so kompliziert war wie die Materie, die es regeln sollte: "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme". Heute, gut zehn Jahre nach dem wegweisenden Urteil des Bundesverfassungsgerichts, weiß man: Das war nur der Anfang eines langen Weges voller Anfechtungen und Bedrohungen. So ist das nun mal mit Geburten.
In diesen Tagen wird die Geschichte fortgeschrieben. Drei Verfassungsbeschwerden werden im Namen des Computergrundrechts eingereicht, und zwar gegen die 2017 halb verschämt eingeführte Befugnis der Strafverfolger zur Onlinedurchsuchung sowie zur Quellen-TKÜ, also dem Abhören verschlüsselter Nachrichten. Den Anfang machte an diesem Dienstag die Bürgerrechtsvereinigung Digital Courage. Bis Ende August folgt die FDP mit einer von Rechtsanwalt Nikolaos Gazeas formulierten Klage; wie immer mit dabei ist das große liberale Trio Burkhard Hirsch, Gerhart Baum und Sabine Leutheusser-Schnarrenberger. Angekündigt ist zudem eine Beschwerde von Journalisten wie Can Dündar und Hajo Seppelt. Vorbereitet wird sie von der "Gesellschaft für Freiheitsrechte" (GFF), das ist die Bürgerrechtsgeneration nach Hirsch und Baum, wenn man so will: junge, vorzüglich ausgebildete Juristen mit liberalem Kompass.
Die Massenüberwachung bleibt weiter ausgesetzt. Zwei Internetanbieter haben gegen die anlasslose Speicherung von Kommunikationsdaten geklagt - und gewonnen.
Bisher liegt nur der Schriftsatz von Digital Courage vor. Aber alle drei Klagen werden eindringlich darauf hinweisen, dass das heimliche Auslesen von Festplatte oder Handy mit einem "Staatstrojaner" der gravierendste Einbruch in die Privatsphäre ist, den man sich überhaupt vorstellen kann. Intime Mails, Kontakte und Tagebücher, aber auch Kommunikationsprotokolle, Dating-Apps und GPS-Funktionen, deren Speicherspuren dem Nutzer womöglich gar nicht bewusst sind - ein paar Gigabyte Daten reichen für ein präzises Persönlichkeitsprofil, vielleicht sogar für einen Blick in die Seele.
Dazu kommt die Möglichkeit des Live-Zugriffs: Man kann dem Menschen am Computer gleichsam über die Schulter schauen. "Wie keine andere Ermittlungsmethode erlaubt es die Online-Durchsuchung, Menschen zum Objekt der Ausspähung zu machen", hatte GFF-Vorstand Ulf Buermeyer 2017 in der Anhörung im Rechtsausschuss zu Protokoll gegeben.
Das freilich war, wenigstens im Prinzip, den Karlsruher Richtern schon 2008 bewusst. Solche Daten ermöglichten "weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung", notierten sie damals. Trotzdem erlaubten sie die Online-Durchsuchung, wenngleich mit der strengen Vorgabe, sie sei nur bei konkreter Gefahr für ein "überragend wichtiges Rechtsgut" zulässig.
Ausgerechnet ein Tech-Unternehmen warnt vor dem technischen Fortschritt. Der Staat müsse eingreifen, um Privatsphäre und Meinungsfreiheit zu schützen.
Hinter dieses grundsätzliche Ja (mit einem großen Aber) wird Karlsruhe nicht mehr zurückgehen. Allerdings ging es damals um Polizeirecht, also um die Abwehr von Gefahren. Nun soll die Online-Durchsuchung auch für die Verfolgung bestimmter Straftaten gelten, aufgeführt in einer sehr langen Liste in der Strafprozessordnung. Dort stehen nicht nur Mord und Terror, sondern auch Wertzeichenfälschung, besondere Fälle von Hehlerei oder das Verleiten zu missbräuchlichen Asylanträgen. Überragend wichtige Rechtsgüter, wirklich? Ob beim Lauschangriff (2004) oder bei der Vorratsdatenspeicherung (2010), Karlsruhe hat ausufernde Überwachungslizenzen noch jedes Mal eingekürzt.
Ungleich schwieriger wird es sein, die technischen Risiken und Nebenwirkungen des Trojaners rechtlich in den Griff zu bekommen. Online-Durchsuchung und Quellen-TKÜ sind sozusagen Geschwister, beide benötigen eine Trojanersoftware. Aber rechtlich darf die Quellen-TKÜ nur das, was früher die Lauscher am Telefon durften: laufende Kommunikation aufzeichnen. Die Frage ist nur, ob der Trojaner das auch weiß. Oder ob er nicht - durch Pannen oder Missbrauch - mehr Informationen aus dem Inneren des Computers liefert, als die Gesetze erlauben.
Ein Streitpunkt: Wie geht der Staat mit Sicherheitslücken um?
Für die Ermittler könnte das, sagen wir, ganz praktisch sein, weil eine Quellen-TKÜ an weniger strenge Voraussetzungen geknüpft ist. Im Urteil von 2016 zum BKA-Gesetz sagten die Verfassungsrichter noch ziemlich lapidar: "Ob oder wie sich durch technische Maßnahmen sicherstellen lässt, dass ausschließlich die laufende Telekommunikation überwacht und aufgezeichnet wird, betrifft die Anwendung der Norm, nicht aber ihre Gültigkeit". Soll heißen: Wir geben den Rahmen vor, die Praxis kümmert sich um die Umsetzung. Könnte sein, dass das Gericht hier konkreter werden muss: Wie lässt sich sicherstellen, dass der Trojaner nur liefert, was er darf? Und wie kann ein Richter das überprüfen? Braucht es dafür Trojaner mit staatlichem Zertifikat?
In eine ähnliche Richtung geht die Frage nach den berüchtigten Sicherheitslücken, die für das Einschleusen der Trojaner nötig sind. GFF-Vorstand Buermeyer kritisiert, dass hier ein falscher Anreiz gesetzt wird: Die Ermittler können eigentlich kein Interesse daran haben, dem Hersteller sofort jede Lücke zu melden, die sie entdecken. Damit aber nähme der Staat sehenden Auges Kriminalitätsrisiken für die Internetnutzer in Kauf, nur um sich selbst die Hintertür in verdächtige Computer offenzuhalten. Buermeyer hofft, dass Karlsruhe hier klare Regeln zum Umgang mit solchen Lücken schafft. Juristisch ist das ziemlich anspruchsvoll. Aber das Gericht, siehe oben, kann ja sehr kreativ sein.
