Karlsruhe | Das Bundesverfassungsgerichts hat eine Verfassungsbeschwerde gegen die Nutzung sogenannter Staatstrojaner zurückgewiesen. Die Klage, welche die staatliche Nutzung von IT-Sicherheitslücken betrifft, die den Herstellern von Soft- und Hardware noch unbekannt sind, sei unzulässig, teilten die Karlsruher Richter am Mittwoch mit. Demnach sei die Möglichkeit einer Verletzung der grundrechtlichen Verpflichtung zum Schutz vor dem unbefugten Zugang Dritter zu informationstechnischen Systemen nicht hinreichend dargelegt worden.

Zudem habe die Verfassungsbeschwerde den Anforderungen der Subsidiarität im weiteren Sinne nicht genügt. Konkret ging es in der Beschwerde um das Polizeigesetz in Baden-Württemberg in der Fassung vom 6. Oktober 2020. Dieses ermöglicht die heimliche Inhaltsüberwachung von Telekommunikation zu präventiv-polizeilichen Zwecken zum Schutz bestimmter gewichtiger Rechtsgüter. Die Durchführung einer sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) setzt voraus, dass das Zielsystem mit einer Überwachungssoftware infiltriert wird, was auf unterschiedliche Weise geschehen kann.

Die Verfassungsbeschwerde bezog sich allein auf die Infiltration durch Ausnutzung von Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems. Das Bundesverfassungsgericht stellte in seinem Beschluss trotz Zurückweisung der Beschwerde klar, dass eine staatliche Schutzpflicht bestehe. Der Staat müsse zum Schutz der Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen.

Die Schutzpflicht schließe eine Verpflichtung des Gesetzgebers ein, den Umgang der Polizeibehörden mit IT-Sicherheitslücken zu regeln. Ein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden, bestehe nicht, so das Gericht. Auch die Quellen-TKÜ durch Nutzung unerkannter Sicherheitslücken sei für sich genommen nicht von vornherein verfassungsrechtlich unzulässig.

Nötig sei aber eine Regelung darüber, wie die zuständige Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen hat (Beschluss vom 08. Juni 2021 1 BvR 2771/18).

Autor: dts