BVerfG-Entscheidung über den Einsatz von Staatstrojanern

Das Bundesverfassungsgericht hat am 8. Juni 2021 über den Einsatz von Staatstrojanern entschieden die nach einem Landespolizeigesetz zur Anwendung kommen sollen. Die Gründe wurden jedoch erst heute veröffentlicht. Worum es geht und warum das heutige Urteil wichtig für die Bürgerrechte ist, beleuchtet dieser Artikel.

Das trojanische Pferd

Bei der Überwachung von Online-Kommunikation kann man grob zwischen zwei Formen unterscheiden: Die herkömmliche Telekommunikationsüberwachung (kurz: „TKÜ“) und die sog. „Quellen-Telekommunikationsüberwachung“ (Q-TKÜ).

Bei der herkömmlichen Telekommunikationsüberwachung wird auf Kommunikationsdaten, daher zu übermittelnde Inhalte, zugegriffen. Wenn die ausgetauschten Inhalte jedoch als verschlüsselte Pakete versendet werden, ist eine Auswertung nicht mehr möglich. Ohne den richtigen Schlüssel handelt es sich um Buchstabensalat und Strafverfolgungsermittler schauen in die Röhre. Hier hilft im Kern nur die Q-TKÜ. Bei der Q-TKÜ wird der Inhalt schon auf dem Endgerät erfasst, bevor er verschlüsselt übermittelt wird.

Anders gesagt: Die Strafermittlungsbehörden lesen mit, während die Nachricht geschrieben wird, anstatt die verschlüsselte Nachricht bei der Übermittlung abzufangen, etwa indem sich die Behörden beim Internet-Provider des Verdächtigen einklinken. Ohne weiteres kann der Staat jedoch nicht erfassen, was auf einem Computer geschieht. Der einzige Weg ist über Sicherheitslücken in den betroffenen Systemen. Und hier muss man sich schon wundern: Statt, dass der Staat hilft, bekannte Lücken zu schließen oder zumindest auf sie aufmerksam zu machen, die letztlich alle Nutzer von Computern gefährden und von Kriminellen ausgenutzt werden können, nutzt er sie selbst aus, um das Gerät zu hacken und „mitlesen“ zu können. Dies wurde auch von der Verfassungsbeschwerde gegen das baden-württembergische Polizeigesetz kritisiert. Hieraus erklärt sich jedenfalls der Begriffsursprung des sog. „Staatstrojaners“.

Vom Endgerät aus werden die Daten des infizierten Geräts dann „ausgeleitet“, wie es im Behördendeutsch heißt, sprich zur Strafverfolgungsbehörde übermittelt, welche die Daten speichert und auswertet.

Eng verwandt mit der Q-TKÜ ist die sog. Online-Durchsuchung (ODS). Diese dient dazu, das gesamte infiltrierte Computersystem auszuspähen. Die Q-TKÜ hingegen soll nur die Kommunikation überwachen.

Ausforschung unbequemer Journalisten

Warum solche Techniken in staatlichen Händen hochproblematisch sein können, zeigt sich beim aktuellen Pegasus-Trojaner, der etwa von der ungarischen Regierung missbraucht wurde, um missliebige Journalisten auszuspähen.

Bei einer Auswertung wurde festgestellt, dass neben den Anschlüssen ungarischer Krimineller, mindestens fünf Telefonnummern ungarischer Journalisten durch die Software überwacht wurden. Selbstredend behauptet die ungarische Regierung, alles sei „mit Recht und Gesetz“ abgelaufen.

Dass staatliche Stellen die Technik missbrauchen können, um sich lästige Probleme vom Hals zu schaffen, ist nicht nur eine theoretische Möglichkeit, sondern der Pegasus-Trojaner zeigt, dass dies anscheinend schon längst passiert.

Um einen Missbrauch zu verhindern, heißt es etwas in der standarisierten Leistungsbeschreibung für Q-TKÜ-Software des BKA blumig:

„Die Durchführung von Maßnahmen der Q-TKÜ bzw. ODS richtet sich grundsätzlich nach geltenden rechtlichen und organisatorischen Rahmenbedingungen, sowie nach gemeinsam zwischen den Sicherheitsbehörden des Bundes und der Länder erarbeiteten Konzepten zu ablauforganisatorischen Prozessen und zur Qualitätssicherung.“

Betonung auf „grundsätzlich“. Wann soll es also Ausnahmen von diesem Grundsatz geben?

Verfassungsbeschwerde gegen Polizeigesetz Baden-Württemberg

Auf Länderebene gibt es seit 2018 unterschiedliche Bemühungen für Befugnisnormen für Q-TKÜ und ODS.
Gegenstand der heutigen Entscheidung des Bundesverfassungsgerichts ist eine Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte e.V. aus Berlin, die mit Unterstützung des Chaos Computer Club Stuttgart e.V. (CCCS) Ende Dezember 2018 gegen die baden-württembergische Polizeigesetznovelle von November 2017 eingereicht wurde, welche der dortigen Landespolizei die Befugnis gibt, durch sogenannte Staatstrojaner die elektronische Kommunikation von Personen zu überwachen.

Nicht nur Bürgerrechtler sehen die Entwicklung äußerst kritisch. Auch Rechtswissenschaftler äußern wiederholt, dass durch diese Gesetze rechtsstaatliche Tabus gebrochen werden.

Die Beschwerdeführenden wenden sich mit ihrer Verfassungsbeschwerde insbesondere dagegen, dass die Behörden ihnen bekannte Sicherheitslücken nicht melden, weil sie deren Schließung durch den Hersteller vermeiden wollen, um die Lücken für die Durchführung einer polizeilichen Überwachungsmaßnahme verwenden zu können. Hierdurch werden Bürger auch der Gefahr ausgesetzt, dass die Zero-Day-Lücken offenbleiben und von Kriminellen ausgenutzt werden. Letztlich wird niemand wissen, wem solche Sicherheitslücken im System bekannt sind. Diese „Nachlässigkeit“ des Staates für eigene Zwecke sei eine Verletzung seiner Schutzpflichten, wodurch Bürger in ihren Grundrechten verletzt würden. Dies betrifft insbesondere das mit dem wegweisenden BVerfG-Urteil aus dem Jahr 2008 geschaffene Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Während die Bundesregierung und Landesregierung Baden-Württemberg das streitgegenständliche Gesetz für rechtmäßig hielten, teilten der Bundesbeauftragte für den Datenschutz, der Bayerische Landesbeauftragte für den Datenschutz die Informationsfreiheit und die Landesdatenschutzbeauftragte Rheinland-Pfalz die Vorbehalte gegen das Gesetz und wiesen unter anderem darauf hin, dass dem Hersteller unbekannte Sicherheitslücken ein enormes Gefährdungspotential für die Vertraulichkeit der Kommunikation und für die Privatsphäre hätten, aufgrund der Gefahr einer Ausspähung durch Dritte.

Nunmehr hat das BVerfG heute die Verfassungsbeschwerde gegen das Polizeigesetz zurückgewiesen.

Die Entscheidungsgründe im Einzelnen

Die Verfassungsbeschwerde wurde als unzulässig erklärt, weil eine Verletzung der bestehenden Schutzpflicht nicht hinreichend dargelegt wurde und die Anforderungen der „Subsidiarität im weiteren Sinne“ nicht gewahrt wurde. Der letztere Punkt betrifft die hohen Zulässigkeitsvoraussetzungen einer Verfassungsbeschwerde und ist datenschutzrechtlich nicht weiter interessant. Das BVerfG hat sich jedoch inhaltlich mit den aufgeworfenen Fragestellungen beschäftigt, weshalb ein Blick in das Urteil lohnt.

Das BVerfG hat folgende Feststellungen getroffen:

• Den Staat trifft die Pflicht dazu beizutragen, dass die Integrität und Vertraulichkeit informationstechnischer Systeme gegen Angriffe durch Dritte geschützt werden
• Weiß der Staat von Sicherheitslücken, ist er grundsätzlich verpflichtet Bürger davor zu schützen, dass Dritte über unbekannte Sicherheitslücken die genutzten Systeme infiltrieren.
• Dies schließt nicht aus, eine Q-TKÜ unter Ausnutzung einer unbekannter Schutzlücke durchzuführen. Sie verlangt aber eine Regelung zur Auflösung des im vorliegenden Verfahren in Rede stehenden Zielkonflikts zwischen dem Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung einer Quellen-Telekommunikationsüberwachung mittels unbekannter Sicherheitslücken zum Zwecke der Gefahrenabwehr andererseits.
• Die Schutzpflicht schließt daher eine Verpflichtung des Gesetzgebers ein, den Umgang der Polizeibehörden mit Sicherheitslücken, die den Herstellern nicht bekannt sind, zu regeln.
• Es besteht kein Anspruch, die Quellen-Telekommunikationsüberwachung durch Nutzung unerkannter Sicherheitslücken vollständig zu untersagen. Auch muss die Behörde nicht jede unerkannte Sicherheitslücke sofort und unbedingt dem Hersteller melden.
• Der Behörde ist jedoch in der Pflicht eine Abwägung gegenläufiger Belange durchzuführen, konkret: Sie muss bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser Sicherheitslücke und andererseits den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ ermitteln, beides zueinander ins Verhältnis setzen und die Sicherheitslücke an den Hersteller meldet, wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt.

Im konkreten Fall hätte der Beschwerdeführer jedoch nicht hinreichend dargelegt, inwieweit ein „Versagen der gesetzgeberischen Konzeption“ vorgelegen habe. Es fehle damit an einer hinreichenden Darlegung einer Verletzung der Schutzpflichten.

Europäische Scheinheiligkeit

Der Beschwerdeführer wertet trotz der Zurückweisung der Verfassungsbeschwerde diese als Erfolg.

Jedoch ist hier Skepsis geboten. Ob hier eine Strafverfolgungsbehörde ihre liebgewordenen Sicherheitslücken wirklich nach einer Abwägung aufgeben und dem Hersteller melden um Bürger zu schützen und sich damit eine teure Möglichkeit der Q-TKÜ verbauen klingt beinahe nach Wunschdenken.

Auch aus einer ganz anderen Perspektive heraus sind die beschriebenen Vorgänge befremdlich. Seit dem Schrems II Urteil gilt für den Datentransfer im Wesentlichen: Datenverarbeitung in Europa ist sicher, Datenverarbeitung in den USA ist unsicher, weil die amerikanischen Strafverfolgungsbehörden ohne Rechtsschutzmöglichkeiten Daten „abgreifen“ könnten. Doch sind wir hier in Europa wirklich so viel besser als die Amerikaner? Welche Rechtsschutzmöglichkeiten hat ein Betroffener, der einen Staatstrojaner auf dem Rechner hat, den ihm die Landespolizei heimlich auf das Gerät installiert hat?