Berlin - Das Bundesverfassungsgericht hat eine Verfassungsbeschwerde gegen den Einsatz von sogenannten Staatstrojanern unter Ausnutzung von IT-Sicherheitslücken durch die baden-württembergischen Sicherheitsbehörden als unzulässig verworfen. Die Kläger hätten nicht ausreichend konkret dargelegt, wie die Behörden dadurch ihre Schutzpflichten gegenüber Bürgern in einer grundrechtsrelevanten Weise verletzen könnten, hieß es in der am Mittwoch in Karlsruhe veröffentlichten Entscheidung. Darüber hinaus hätten sie zunächst eine Abklärung vor Verwaltungsgerichten anstreben müssen. (Az. 1 BvR 2771/18)

Die Beschwerde war von Datenschützern und Bürgerrechtsaktivisten eingereicht worden und richtete sich gegen die in einem neuen Landespolizeigesetz von 2021 fixierte Befugnis der Behörden, durch bestehende Sicherheitslücken heimlich Überwachungssoftware auf Computern oder Handys von Verdächtigen zu installieren. So kann deren Kommunikation etwa via Messengerdiensten in Echtzeit mitverfolgt werden – etwa im Fall von drohenden Terroranschlägen.

Dabei zielten die Kläger des Stuttgarter Chaos Computer Clubs und der Gesellschaft für Freiheitsrechte mit ihrer Klage allerdings nicht grundsätzlich auf den Einsatz solcher Instrumente an sich. Sie argumentierten vielmehr mit einer Verletzung staatlicher Schutzpflichten im Fall von Sicherheitslücken, die Herstellern unbekannt sind. Statt diese Schwachstellen auszunutzen, müssten die Behörden die Unternehmen unverzüglich informieren. Ansonsten könnten Bürger und Firmen durch Hackerangriffe gefährdet werden.

Das Bundesverfassungsgericht bestätigte prinzipiell eine solche allgemeine Schutzverpflichtung, bezeichnete die Argumentation der Beschwerdeführer allerdings zugleich im konkreten Einzelfall als zu ungenau. So gebe es keine grundrechtliche Verpflichtung der Staates, „jede unerkannte Sicherheitslücke sofort und unbedingt dem Hersteller zu melden“, erklärten die Richter. Der Gesetzgeber habe einen Gestaltungsspielraum, um Zielkonflikte mit anderen Schutzaufgaben wie der Abwehr von Sicherheitsgefahren im Rahmen der Telekommunikationsüberwachung grundrechtskonform aufzulösen.

Die Kläger hätten nicht hinreichend dargelegt, ob und inwieweit das baden-württembergische Polizeirecht diesen Zielkonflikt zu einseitig zulasten des Schutzes der Bürger vor Cyberkriminalität gelöst habe. Zum einen enthalte dieses „diverse Schutzvorkehrungen“, um unautorisierte Zugriffe von Dritten auf Systeme von Betroffenen zu verhindern. Zum anderen müssten auch jene gesetzlichen Vorgaben und Pflichten einbezogen werden, die den baden-württembergischen Behörden parallel etwa durch Datenschutz- und Cybersicherheitsgesetze auferlegt würden.

Zugleich verwiesen die Richter darauf, dass die Kläger zunächst vor den zuständigen Fachgerichten die Sach- und Rechtslage „unter Berücksichtigung verfassungsrechtlicher Vorgaben“ hätten klären lassen müssen. Diese hätten entscheiden müssen, ob die Behörden in Baden-Württemberg nach dem geltenden Recht eine ausreichende Abwägung von Schutzpflichten vornähmen, bevor sie entscheiden, eine ihnen bekannte Schwachstelle nicht dem Hersteller zu melden.