BVerfG zur Quellen-TKÜ: Ab durch die IT-Sicher­heits­lücke?

von Dr. Markus Sehl

21.07.2021

Das BVerfG hat eine Verfassungsbeschwerde gegen die Regeln zur Überwachung von Telefonen und Computern im Polizeigesetz zurückgewiesen – aber auch grundsätzliche und vage Aussagen zur staatlichen Schutzpflicht bei IT-Sicherheitslücken getroffen.

Das Gute an strategischen Klagen ist, dass man nicht mal vor Gericht gewinnen muss, um erfolgreich sein zu können. Und so wertet die Gesellschaft für Freiheitsrechte eine Niederlage in Karlsruhe am Mittwoch als "großen Erfolg für die IT-Sicherheit." Der 1. Senat des Bundesverfassungsgerichts (BVerfG) hat die Verfassungsbeschwerde gegen eine Regelung im baden-württembergischen Polizeigesetz (PolG BaWü) zur sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) zwar als unzulässig abgelehnt, es sich aber nicht nehmen lassen, in 74 Randnummern noch ein paar grundsätzliche Aussagen rund um den staatlichen Umgang mit IT-Sicherheitslücken abzusetzen (Beschl. v. 8.06.2021, Az. 1 BvR 2771/18). 

In dem Maß, in dem über Messenger-Dienste immer häufiger verschlüsselt kommuniziert wird, steigen die Begehrlichkeiten der Sicherheitsbehörden, auch diese Nachrichten im Einzelfall lesen zu können. So sollen Absprachen zwischen Kriminellen oder Terrorgefahren entdeckt werden. Der Weg ins Smartphone oder den Laptop soll über die Quellen-TKÜ führen. In einem ersten Schritt wird dabei eine oft als "Staatstrojaner" bezeichnete Software auf einem Laptop oder auf ein Smartphone aufgespielt, die sozusagen den Zugang legt. So können dann Nachrichten auf dem Gerät mitgelesen werden, und zwar noch bevor sie verschlüsselt werden, sozusagen an der Quelle. Wird die Lücke nicht nur zum Auslesen laufender Kommunikation genutzt, sondern das System regelrecht durchsucht, wird aus der Quellen-TKÜ eine Onlinedurchsuchung. Damit der Zugriff auf dem Smartphone oder dem PC im ersten Schritt aber überhaupt aussichtsreich ist, braucht es eine offene und relativ unbekannte IT-Sicherheitslücke.  

Risiko und Chance von IT-Sicherheitslücken? 

Der staatliche Umgang mit diesen Sicherheitslücken hat nun das BVerfG beschäftigt. Denn der Staat findet sich in einer Spannungslage wieder. Eigentlich müsste er dafür sorgen, dass, falls ihm Sicherheitslücken bei Geräten seiner Bürgerinnen und Bürger bekannt werden, diese möglichst bald von den Herstellern geschlossen und abgesichert werden. Denn auch Cyberkriminelle interessieren sich für den Zugang zu den Systemen der Nutzerinnen und Nutzer, um sie auszuspähen oder zu erpressen. Für den Handel mit solchen Sicherheitslücken ist ein dynamischer Markt entstanden.  

Andererseits wollen staatliche Sicherheitsbehörden von Geheimdiensten über Gefahrenabwehr bis hin zur Strafverfolgung solche Lücken ausnutzen, um ihre Überwachungsmaßnahmen in Gang zu bekommen. Auch daran darf der Staat ein Interesse haben, das hat das BVerfG in seiner Entscheidung noch einmal betont. 

BVerfG: Offenhalten von Sicherheitslücken nicht verboten 

Der Senat hat eine abwägende Entscheidung getroffen und die rechtlichen Hauptaufgaben zurück an die Fachgerichte gereicht. 

Zunächst bestätigt der Erste Senat, dass sich aus Art. 10 Abs. 1 Grundgesetz (GG) neben einem Abwehrrecht auch eine Schutzpflicht ableiten lasse, wenn es, wie bei der Quellen-TKÜ, um den Schutz laufender Kommunikation vor Überwachung geht. 

Daneben trifft den Staat ebenfalls eine aus Art. 2 Abs 1 i.V.m. Art. 1 Abs. 1 GG abgeleitete Schutzpflicht, um die Vertraulichkeit und Integrität informationstechnischer Systeme zu gewährleisten – was häufiger als "Computer-Grundrecht" bezeichnet wird. Es schützt nicht die Kommunikation, sondern die Integrität des Gerätes vor Eingriffen. 

Das Offen-Halten von IT-Sicherheitslücken, indem staatliche Behörden die Hersteller wider besseres Wissen nicht informieren, ist "nicht von vornherein unzulässig". Das hatte das BVerfG bereits zum Einsatz der Quellen-TKÜ in der abwehrrechtlichen Konstellation entschieden – und nun für die Schutzpflichten-Dimension festgeschrieben. Aus der abgeleiteten Schutzpflicht ergebe sich für die Beschwerdeführer kein Anspruch darauf, "die Quellen-Telekommunikationsüberwachung durch Nutzung unerkannter Sicherheitslücken vollständig zu untersagen. Sie begründe auch keinen Anspruch auf Verpflichtung der Behörde, jede unerkannte Sicherheitslücke sofort und unbedingt dem Hersteller zu melden." Mit diesem Versuch sind die Kläger, u.a. Rechtsanwälte und Journalisten, unterstützt von der GFF, gescheitert. 

Muss der Gesetzgeber ran? 

Der Erste Senat gibt aber mit auf den Weg, dass der Gesetzgeber für eine entsprechende Regelung sorgen muss, damit die Behörde, der eine Sicherheitslücke bekannt wird, Risiko und Nutzen angemessen abwägt. Überwiegt das Risiko, muss die Lücke dem Hersteller gemeldet werden. Wie die Abwägung aber genau aussehen soll, und ob es dafür eine Regelung im Gesetz braucht oder ob dafür auch eine behördeninterne Handlungsanweisung – Stichwort Wesentlichkeit – ausreicht, ist der Entscheidung nicht zu entnehmen. Ebenso wenig, ob die vorhandenen Regelungen im Umfeld des angegriffenen § 54 PolG BaWü ausreichen, um den Anforderungen zu genügen. Aus Sicht der GFF entspricht die Rechtslage in Baden-Württemberg nicht den Vorgaben. Das Ministerium sieht das anders, will die Entscheidungsgründe aber erstmal intensiv prüfen.  

Weitere Ausführungen fehlen, weil sich der Senat mit den materiellen Fragen nicht allzu ausführlich beschäftigen musste, nahm die Verfassungsbeschwerde doch schon nicht die Hürde der Zulässigkeit. Dem Senat fehlte es an Nachweisen zur Grundrechtsverletzung und einer Auseinandersetzung auf dem Rechtsweg der Instanzgerichte. 

Hier kommt wieder ins Spiel, dass das BVerfG eine Auseinandersetzung mit bereits bestehenden Regelungen im PolG BaWü auch in dem jüngst verabschiedeten Cybersicherheitsgesetz Baden-Württemberg vermisst, ebenso werden Datenschutz- und IT-Regeln ins Spiel gebracht. Denn, so deutet der Senat an, möglicherweise habe der Gesetzgeber seiner Schutzpflicht damit schon genügt. So enthält etwa § 54 PolG BaWü in seinem Absatz 3 die Passage: "Das eingesetzte Mittel ist gegen unbefugte Nutzung zu schützen." Reicht das schon als Abwägungs-Vergewisserung aus? Das könnten vor allem die Verwaltungsgerichte durch Auslegung klären. Ein Rechtsweg, der den Kläger zuzumuten sei, so das BVerfG.  

Dramaturgisch hätte sich der Erste Senat keinen besseren Zeitpunkt für die Veröffentlichung seiner Entscheidung aussuchen können, ist durch zahlreiche Beiträge in den Medien zum Missbrauch von IT-Sicherheitslücken durch Überwachungssoftwares unter dem Schlagwort "Pegasus" seit Anfang der Woche eine Diskussion im Gang. Wie Zeit Online berichtete, haben deutsche Sicherheitsbehörden auch wegen verfassungsrechtlicher Zweifel den Ankauf der umstrittenen Überwachungssoftware abgelehnt. 

Ein guter Tag für alle Seiten? 

Der rund 30-seitige Beschluss lässt am Mittwoch alle Beteiligten offenbar glücklich zurück. "Das Bundesverfassungsgericht hat erstmals festgestellt, dass der Staat die IT-Sicherheit der Bürger*innen aktiv schützen muss“, kommentierte Prozessbevollmächtigter Prof. Dr. Tobias Singelnstein. "Bei der Abwägung müssen die Behörden die enormen gesellschaftlichen Schäden im Blick haben, die Cyberangriffe anrichten können."  

Auch die "Gegenseite", das Land Baden-Württemberg, zeigte sich zufrieden. Ein Sprecher des baden-württembergischen Innenministeriums betonte am Mittwoch: "Die Polizei Baden-Württemberg setzt die rechtlichen Möglichkeiten des Polizeigesetzes ein, um Gefahren abzuwehren und Straftaten zu verhindern. Die Quellen-TKÜ sei ein wichtiger Baustein im Kampf gegen terroristische Bedrohung und schwerste Straftaten. Sie werde "mit großem Augenmaß und nach einer am Einzelfall orientierten, sorgfältigen Abwägung eingesetzt". Eingesetzt wird die Quellen-TKÜ von der Polizei aber nach Recherchen des WDR ohnehin äußerst selten – zu groß sollen die technischen Hürden sein. 

FDP-Landeschef Michael Theurer begrüßte den Beschluss: "Überwachung mittels Schadsoftware ist ein Spiel mit dem Feuer." Für die SPD-Landtagsfraktion meinte deren Digital-Experte Jonas Hoffmann: "Wir erwarten vom Innenminister eine gründliche und rasche Prüfung des Polizeigesetzes im Hinblick auf die vom Gericht geforderten Anforderungen." Er schlug eine Pflicht zur Meldung von unbekannten Sicherheitslücken an die Hersteller vor, um die Sicherheit für alle sowie für die digitale und analoge Infrastruktur zu erhöhen.  

Erst im Juni hatte der Bundestag mit den Stimmen von SPD sowie CDU/CSU beschlossen, dass die Quellen-TKÜ künftig auch dem Inlandsgeheimdienst, dem Bundesamt für Verfassungsschutz, zur Verfügung stehen solle. Dagegen hat die FDP-Fraktion auf Bundesebene bereits Verfassungsbeschwerde eingelegt, weil sie die Schutzpflicht durch die Überwachungssoftware verletzt sieht. Das BVerfG hat sich anlässlich einer unzulässigen Verfassungsbeschwerde schon einmal an das Thema herangearbeitet. 

Zitiervorschlag

BVerfG zur Quellen-TKÜ: Ab durch die IT-Sicherheitslücke? . In: Legal Tribune Online, 21.07.2021 , https://www.lto.de/persistent/a_id/45536/ (abgerufen am: 03.08.2021 )

Infos zum Zitiervorschlag