Bürgerrechtler haben überwiegend positiv auf das Urteil des Bundesverfassungsgerichts reagiert, mit dem dieses dem Einsatz von Staatstrojanern im Kampf gegen „Alltagskriminalität“ einen Riegel vorgeschoben hat. Die Karlsruher Richter gewährleisteten damit, „dass IT-Systeme nur noch beim Verdacht wirklich schwerwiegender Delikte von staatlichen Ermittlern gekapert werden“, begrüßt Frank Braun, einer der Prozessbevollmächtigten der vom Datenschutzverein Digitalcourage initiierten Beschwerde gegen den Staatstrojaner.

Die vom Verfassungsgericht vorgenommenen Einschränkungen seien „richtig und wichtig“, erkennt auch der zweite Prozessführer, Jan Dirk Roggenkamp, einen Teilerfolg. David Werdermann, Rechtsanwalt bei der Gesellschaft für Freiheitsrechte (GFF), lobt, das höchste deutsche Gericht breche mit früherer Rechtsprechung: „Es macht erstmals deutlich, dass der Einsatz von Staatstrojanern immer einen besonders schwerwiegenden Eingriff in das IT-Grundrecht bedeutet – auch wenn die Polizei ’nur‘ auf Kommunikationsdaten zugreifen will.“

In einem Nebensatz weist das Verfassungsgericht laut Werdermann darauf hin, dass das Gefährdungspotenzial der Maßnahme besonders ausgeprägt ist, wenn Behörden auf Dienste privater Dritter für die Infiltration von Endgeräten zurückgriffen. „Das kann als Aufforderung an die staatlichen Stellen verstanden werden: Die Zusammenarbeit mit zwielichtigen Unternehmen wie der NSO Group, die ihren Pegasus-Trojaner auch an Diktaturen verkauft, muss ein Ende haben.“

Was könnte sich ändern?

Laut der aktuellen Statistik setzten Strafverfolger 2023 erneut mehr Staatstrojaner ein, um etwa den Gesprächsaustausch bei WhatsApp & Co. vor einer Ver- oder nach einer Entschlüsselung abzuhören. Ob die gegenwärtige Praxis durch das Urteil eingeschränkt wird, ist laut Werdermann offen. Es sei nicht einmal öffentlich bekannt, welche Anlasstaten einer solchen Quellen-Telekommunikationsüberwachung (TKÜ) in der Praxis zugrunde liegen. Klar sei nur: Vor allem der Verdacht einer Straftat nach dem Betäubungsmittelgesetz (BtMG) habe die Maßnahmen begründet.

Der einschlägige Paragraf 100a Strafprozessordnung (StPO) verweise hier etwa auf bestimmte gewerbsmäßige Verstöße, erläutert der GFF-Jurist. Der Strafrahmen betrage dabei bis zu fünf Jahre. Das Bundesverfassungsgericht habe hier offen gelassen, ob es sich um eine besonders schwere Straftat handele, die eine Quellen-TKÜ rechtfertige. Andere besondere schwere Verstöße gegen das BtMG ließen klar eine solche Maßnahme zu. Beim Verweis auf die Bildung einer kriminellen Vereinigung sei zu differenzieren: Wer eine solche gründe oder sich darin aktiv betätige, dem drohe das Höchstmaß fünf Jahre. Bei der bloßen Unterstützung handele es sich um keine schwere Straftat.

Generell beuge das Urteil einer „sich potenziell ausweitenden Quellen-TKÜ“ vor, meint Werdermann. Das Gericht habe deutlich gemacht, dass ein solcher Eingriff anders zu bewerten sei als das klassische Abhören ohne Trojaner. Bisher seien die Voraussetzungen für beide Maßnahmen identisch, auch wenn eine Quellen-TKÜ technisch anspruchsvoller sei und deswegen weniger häufig durchgeführt werde.

Schwerer Zielkonflikt bleibt

Für Rena Tangens von Digitalcourage bleibt ein zentraler Kritikpunkt: „Das Gericht hat sich nicht mit der grundsätzlichen Problematik von Staatstrojanern befasst.“ Um diese Computerwanzen zu verwenden, müssten Sicherheitslücken ausgenutzt werden. Schwachstellen gefährdeten aber die IT-Sicherheit aller. Statt sie zu melden und zu schließen, halte der Staat sie offen oder kaufe sie ein, „um sie selbst zu nutzen“.

Dieser Aspekt stößt auch den Branchenverbänden Bitkom und eco übel auf. Letzterer sieht den Gesetzgeber nun gefordert, nicht nur formale Nachbesserungen vorzunehmen, sondern diesen Zielkonflikt grundlegend aufzulösen. Nötig seien verbindliche Vorgaben zum Schwachstellenmanagement und ein umfassendes IT-Sicherheitsverständnis. Der Bitkom fordert ebenfalls verlässliche rechtliche Rahmenbedingungen, damit Unternehmen ihren Beitrag zur inneren Sicherheit leisten könnten, ohne die Kundenrechte zu verletzen.

Grünen-Fraktionsvize Konstantin von Notz hätte sich noch weitergehende Vorgaben gewünscht. Er fordert: „Auch um eine mit unserem freiheitlichen Rechtsstaat inkompatible Massenüberwachung auszuschließen, müssen die Befugnisse der Sicherheitsbehörden für die zielgerichtete Abwehr rechtsstaatlich eng eingehegt und parlamentarisch effektiv kontrolliert werden.“ Die Verantwortlichen in den federführenden Häusern müssten endlich Eingriffsschwellen hochschrauben und den Umgang mit IT-Schwachstellen regeln. Donata Vogtschmidt von der Linksfraktion postuliert: „Der Staatstrojaner ist ein unverhältnismäßiges Mittel und gehört abgeschafft.“

Verbot von Verschlüsselung?

Das Bundesjustizministerium sieht die gesetzlichen Vorgaben für Staatstrojaner „im Wesentlichen bestätigt“. Erhöhte Anforderungen an die Anlasstaten seien aber nötig. Weiter hieß es aus dem Ressort: „Wir werden die Entscheidungsgründe nun sorgfältig auswerten und dem aufgezeigten Handlungsbedarf nachkommen.“ Das Bundesinnenministerium reagierte am Donnerstag nicht auf eine Bitte von heise online um Stellungnahme. Es will der Bundespolizei sogar präventiv die Trojanernutzung erlauben, was mit dem Urteil kaum vereinbar sein dürfte. Auch die Verantwortlichen SPD und CDU/CSU schweigen zu dem Thema.

Die Gewerkschaft der Polizei (GdP) freut sich, dass das Gericht die „Verfassungsmäßigkeit und Notwendigkeit“ der Quellen-TKÜ sowie der noch weitergehenden heimlichen Online-Durchsuchung „als unverzichtbare Instrumente zur effektiven Strafverfolgung und Gefahrenabwehr bestätigt“ habe. Zumindest stelle die Entscheidung sicher, dass Ermittler „auch künftig schwerste Straftaten effektiv bekämpfen können“. Rechtsfreie Räume der Kommunikation dürften nicht akzeptiert werden. Der nordrhein-westfälische Oberstaatsanwalt Markus Hartmann gab zu bedenken: Wüchsen die Hürden für einen Zugriff auf verschlüsselte Daten im Einzelfall, befeuere dies „zwangsläufig die gefährlichen Debatten um ein generelles Verbot von Verschlüsselung oder die Einrichtung staatlicher Hintertüren“.

(mma)

Verändern sich die neuronalen Strukturen unseres Gehirns und ihre Funktionen in Schwerelosigkeit? Kann man solchen Veränderungen entgegenwirken? Fragen wie diese wollen Wissenschaftler des GSI Helmholtz-Zentrums für Schwerionenforschung im Projekt Hippobox in Kooperation mit der Deutschen Raumfahrtagentur im DLR herausfinden.

Dazu bereiten sie zunächst kleine Hippocampus-Organoide vor. Diese Nachbildungen des Hippocampus im Kleinformat lassen sich mithilfe menschlicher Stammzellen züchten. Sie sollen dem Original in ihrer Struktur und Funktion ähneln, sodass ihre Reaktion auf Veränderungen der Umgebung Rückschlüsse auf unsere echten Gehirne ermöglichen. Die Organoide sollen in einer Zellkulturbox für mehrere Wochen im All ausharren. Das Projekt ist Teil der sogenannten Cellbox-4-Mission der Deutschen Raumfahrtagentur.

Von den Ergebnissen versprechen sich die Forscher Strategien zur Erhaltung der kognitiven Gesundheit von Weltraumreisenden, ebenso wie Erkenntnisse für die Erforschung von Depressionen und Demenz auf der Erde. Laut GSI gibt es Hinweise darauf, dass die neuronalen Zellen in Schwerelosigkeit weiter auseinanderdriften. Dadurch gäbe es weniger Kontaktstellen, was das neuronale Netzwerk schwächt. Ähnliches sei bei Menschen mit Demenz oder Depressionen festzustellen.

(dgi)

Der Bundesgerichtshof (BGH) hat klargestellt, dass Urheber zwar Anspruch auf eine Vergütung für Privatkopien in der Cloud haben. Sie können eine entsprechende Zahlung aber nicht direkt von den Cloud-Anbietern verlangen. Das Urheberrechtsgesetz (UrhG) sieht demnach vor, dass diese Abgabe an die Veräußerung von physischen Geräten und Speichermedien wie CDs oder DVDs geknüpft ist. Den Ausgleich legitimer Privatkopieren müssen demnach nur entsprechende Hersteller, Importeure oder Händler zahlen.

Eine analoge Anwendung der Vergütungsvorschriften für diese Betroffenen auf Anbieter von Diensten in den Rechnerwolken kommt laut dem jetzt veröffentlichten Beschluss vom 17. Juli „mangels planwidriger Regelungslücke nicht in Betracht“ (Az.: I ZB 82/24). Die Karlsruher Richter sehen also keine unbeabsichtigte Lücke im UrhG. Der Gesetzgeber habe offenbar bewusst entschieden, dass die Zahlungspflicht für Cloud-Dienste nicht gilt. Auch die Vorgaben aus der EU-Urheberrechtsrichtlinie von 2001 verlangten nicht, die deutsche Klausel auf Cloud-Speicher auszuweiten.

In dem Fall geht es um einen Antrag der Zentralstelle für private Überspielungsrechte (ZPÜ), die urheberrechtliche Auskunfts- und Vergütungsansprüche im Namen mehrerer Verwertungsgesellschaften geltend macht. Das tat sie auch gegenüber mehreren Cloud-Anbietern inklusive Dropbox, kam damit vor Gericht aber nicht weit. Die Betroffenen sollten unter anderem erklären, wie viele ihrer Online-Speicher sie jeweils nachweislich privaten und gewerblichen Endabnehmern zur Verfügung stellten. Einen konkreten Tarif für die Vergütungen wollten die Verwertungsgesellschaften im Anschluss veröffentlichen. Die Schiedsstelle beim Deutschen Patent- und Markenamt (DPMA) sollte dazu eine empirische Untersuchung durchführen, wies dieses Begehr aber im März 2024 zurück.

Rechte von Wirtschaftsakteuren zu beachten

Die ZPÜ wollte die Schlichtungsinstanz nun über das Bayerische Oberste Landesgericht dazu verpflichtet sehen, die geforderte Marktanalyse rund um PCs, Tablets, Mobiltelefonen, Smartwatches und Cloud-Server doch noch zu erstellen. Den Antrag der ZPÜ auf gerichtliche Entscheidung lehnten die Münchner Richter aber ab. Der BGH musste sich daher mit der Rechtsbeschwerde gegen diese Entscheidung befassen.

Das Hoch- und Herunterladen von urheberrechtlich geschützten Inhalten aus der Cloud lässt sich laut dem BGH als eine einzige Handlung sehen, um eine Privatkopie zu erstellen. EU-Länder dürften daher ein System einführen, bei dem eine Ausgleichszahlung an die Urheber nur für Geräte oder Speichermedien erhoben wird, die für diesen Vorgang notwendig sind. Das sind etwa Smartphones oder Festplatten. Dabei muss die Höhe der Abgabe dem Beschluss zufolge so bemessen sein, dass sie den Schaden für die Werkschöpfer angemessen ausgleicht.

Die Karlsruher Richter verweisen auch auf ein Urteil des Europäischen Gerichtshof von 2015: Danach dürften die Mitgliedstaaten keine Modalitäten für einen gerechten Ausgleich vorsehen, die dazu führen, dass verschiedene Kategorien von Wirtschaftsteilnehmern, die vergleichbare, von der Privatkopie-Klausel erfasste Güter vermarkten, oder verschiedene Gruppen von Nutzern geschützter Gegenstände ohne Rechtfertigung ungleich behandelt werden.

Zweifel an angemessenem Ausgleich

Dem BGH ist zugleich nicht entgangen: Wenn Nutzer ihren lokalen Speicherplatz wie auf Festplatten oder USB-Sticks durch Cloud-Dienste ersetzen, sinken die Einnahmen aus der Privatkopie-Abgabe. Um zu beurteilen, ob diese Entwicklung die gesetzlich vorgesehene Ausgleichspflicht gefährde, müsste das gesamte Nutzungsverhalten der Konsumenten umfassend analysiert werden. Eine solche vertiefte Untersuchung habe die Schiedsstelle vorgeschlagen, die ZPÜ sei damit aber nicht einverstanden gewesen.

Die Karlsruher Richter verweisen auch auf von Wissenschaftlern geäußerte Zweifel, ob das geltende System der Geräte- und Speichermedienvergütung geeignet ist, den angemessenen Ausgleich für Privatkopien mit Blick auf die zunehmende Cloud-Nutzung sicherzustellen. Überwiegend hielten diese Stimmen eine Anpassung der gesetzlichen Vorschriften für angezeigt. Aus den Darlegungen der niederen Instanz hätten sich dafür aber keine Anhaltspunkte ergeben. Die ZPÜ forderte die Politik schon voriges Jahr auf, „in Deutschland eine Cloud-Vergütung zu realisieren“.

(mma)