Die Polizei darf Staatstrojaner künftig nur noch zur Aufklärung von schweren Straftaten einsetzen. Der Einsatz wegen Straftaten, auf die weniger als drei Jahre Höchststrafe stehen, ist nicht verhältnismäßig und deshalb unzulässig. Das teilte heute das Bundesverfassungsgericht in Karlsruhe mit.

Der erste Senat des Gerichts entschied über zwei Klagen, die die Bürgerrechtsorganisation Digitalcourage zusammen mit Journalist:innen, Rechtsanwält:innen und Künstler:innen gegen gesetzliche Regeln zum Einsatz von Staatstrojanern durch die Polizei eingelegt hatte. Das Gericht erklärte dabei manche Teile der Verfassungsbeschwerden für unzulässig, folgte der Argumentation der Kläger:innen jedoch in anderen.

So erklärte das Gericht Teile der Strafprozessordnung aus inhaltlichen und formellen Gründen für verfassungswidrig. Zum einen muss es sich um schwere Straftaten handeln, um für Ermittlungen die laufende Kommunikation von digitalen Geräten überwachen zu dürfen. Zum anderen genügten die Regeln zur Online-Durchsuchung nicht dem Zitiergebot. Demnach muss der Gesetzgeber eingeschränkte Grundrechte ausdrücklich nennen, was in diesem Fall nicht passiert sei.

Regelungen zum präventiven Einsatz von Staatstrojanern durch die Polizei von Nordrhein-Westfalen im dortigen Polizeigesetz seien hingegen verfassungsrechtlich nicht zu beanstanden. Da die Eingriffsschwelle hier ins Vorfeld einer konkreten Gefahr verlagert wurde, dürften die Staatstrojaner nur in besonderem Fällen zum Einsatz kommen, etwa in Zusammenhang mit der Abwehr terroristischer Gefahren. Gemessen an ihrem Eingriffsgewicht würden die Regeln „den Anforderungen an die Verhältnismäßigkeit“ genügen, so das Gericht.

Staatliches Hacking nimmt zu

Konkret verhandelte das Gericht über Maßnahmen zur sogenannten Quellen-Telekommunikationsüberwachung und zur Onlinedurchsuchung. Erstere meint die Überwachung laufender Kommunikation von digitalen Endgeräten, beispielsweise Nachrichten oder Telefonaten über verschlüsselte Messenger. Die Onlinedurchsuchung ist deutlich eingriffsintensiver, da sie auch das Auslesen gespeicherter Daten umfasst, etwa alte Chats oder in der Cloud gespeicherte Fotos.

Beide Maßnahmen erfolgen durch das unbemerkte Eindringen der Polizei in die Geräte der Zielpersonen. Angesichts der weiten Verbreitung digitaler Kommunikationsmöglichkeiten haben Ermittler:innen dank des Staatstrojaners sehr umfassenden Einblick in das Leben der Überwachten sowie ihrer Kommunikationspartner:innen. Umstritten sind Staatstrojaner auch deshalb, weil staatliche Stellen hierbei Sicherheitslücken in IT-Systemen ausnutzen, um die Spionageprogramme auf die Geräte verdächtigter Personen zu bringen, anstatt die Schwachstellen zu schließen.

2017 hatte die damals regierende Große Koalition unter Bundeskanzlerin Angela Merkel die Strafprozessordnung geändert, um der Polizei den großflächigen Einsatz von Staatstrojanern zu ermöglichen. Der heutige Präsident des 1. Senats am Verfassungsgericht, Stephan Harbarth, war zu diesem Zeitpunkt CDU-Bundestagesabgeordneter. Der Verfassungsrichter musste also – nicht zum ersten Mal – über ein Gesetz urteilen, das er selbst mit verabschiedet hat.

In den vergangenen Jahren hat der polizeiliche Einsatz von Staatstrojanern deutlich zugenommen. Laut Justizstatistik wurden 2023 insgesamt 130 Quellen-Telekommunikationsüberwachungen und Online-Durchsuchungen angeordnet, 68 wurden tatsächlich durchgeführt. Seit 2019 haben sich die Zahlen mehr als verdoppelt, damals wurden 64 Staatstrojaner genehmigt und 15 tatsächlich eingesetzt.

Polizeigewerkschaft ist zufrieden

Die heutige Entscheidung des Bundesverfassungsgerichts wird in ersten Reaktionen sehr unterschiedlich aufgenommen. Das Gericht selbst betont in seiner Pressemitteilung, die Regeln hielten der „verfassungsrechtlichen Überprüfung weitgehend Stand“. Weite Teile der Beschwerden wurden von dem Gericht für nicht zulässig befunden, bei den zugelassenen Aspekten folgte das Gericht den Beschwerdeführer:innen nur in Teilen.

Entsprechend zufrieden gibt sich beispielsweise die Gewerkschaft der Polizei. „Das Urteil des Bundesverfassungsgerichts ist aus meiner Sicht grundsätzlich positiv zu bewerten“, sagte deren Bundesvorsitzender Jochen Kopelke dem Redaktionsnetzwerk Deutschland. Im Kern bestätige das Verfassungsgericht die Notwendigkeit und Verfassungsmäßigkeit des Einsatzes von Staatstrojanern.

Da die Einschränkungen bei der Quellen-TKÜ nur kleinere Kriminalität betreffe, seien die Einschränkungen zu verkraften. Sie „wurde in den vergangenen Jahren vor allem bei Ermittlungen zu Drogenkriminalität eingesetzt“ und das sei weiterhin möglich, so Kopelke. Die Online-Durchsuchung werde zudem nicht grundlegend infrage gestellt, sondern sei lediglich aus formellen Gründen verfassungswidrig. Das sei ein „formaler, aber durchaus lösbarer Mangel“.

Grundsätzliches Problem besteht weiter

Von einem „Erfolg“ spricht in einer Pressemitteilung allerdings auch der Verein Digitalcourage. Frank Braun, einer der Prozessbevollmächtigten, sieht in der Entscheidung „eine Klarstellung mit Signalwirkung“. Das Urteil gewährleiste, „dass IT-Systeme nur noch beim Verdacht wirklich schwerwiegender Delikte von staatlichen Ermittlern gekapert werden“. Außerdem verhinderte es, dass der Gesetzgeber weiterhin „Alltagskriminalität“ als „schwere Straftaten“ verkaufe, um den Einsatz von Staatstrojanern zu rechtfertigen.

Auch Jurist David Werdermann von der Gesellschaft für Freiheitsrechte kann dem Urteil Gutes abgewinnen. So bricht das Verfassungsgericht ihm zufolge mit früherer Rechtsprechung, weil es erstmal deutlich mache, „dass der Einsatz von Staatstrojanern immer einen besonders schwerwiegenden Eingriff in das IT-Grundrecht bedeutet – auch wenn die Polizei ‚nur‘ auf Kommunikationsdaten zugreifen will.“ Cloud- und Online-Dienste seien heute so weit verbreitet, dass Kommunikationsdaten einen tiefgreifenden Einblick in das Leben der Überwachten erlauben.

In einem Nebensatz weise das Bundesverfassungsgericht darauf hin, dass das Gefährdungspotential von Staatstrojanern besonders ausgeprägt sei, wenn sich Behörden privater Dritter bedienen, um die Infiltration zu vollziehen. „Das kann als Aufforderung an die staatlichen Stellen verstanden werden: Die Zusammenarbeit mit zwielichtigen Unternehmen wie der NSO Group, die ihren Pegasus-Trojaner auch an Diktaturen verkauft, muss ein Ende haben“, so Werdermann.

Ein grundsätzliches Problem von Staatstrojanern aber hat das Verfassungsgericht nicht thematisiert, wie die politische Geschäftsführerin von Digitalcourage, Rena Tangens, einräumt. „Um Staatstrojaner einzusetzen, müssen Sicherheitslücken ausgenutzt werden – und diese Schwachstellen gefährden die IT-Sicherheit von uns allen. Statt diese zu melden und zu schließen, hält der Staat sie offen, um sie selbst zu nutzen. (…) Ein Staat, der Sicherheit für seine Bürgerinnen und Bürger will, muss solche Sicherheitslücken den Herstellern melden, damit sie geschlossen werden.“