Karlsruhe billigt Ausforschung
Verfassungsgericht stützt Befugnis der Polizei zum Nutzen von Sicherheitslücken bei Digitalgeräten.
Darf der Staat It-sicherheitslücken stillschweigend ausnutzen, damit die Polizei Verdächtige im Bereich Terrorismus und Schwerkriminalität einfacher überwachen kann? Oder müssen Behörden jedes Schlupfloch in Schutzvorkehrungen von Smartphones oder anderen Computern, das ihnen bekannt wird, an Gerätehersteller melden, damit die es schließen und alle Nutzer besser schützen können? Mit diesen Fragen hat sich das Bundesverfassungsgericht in einem am Mittwoch veröffentlichten Beschluss befasst.
Es ging um eine Regelung im Landespolizeigesetz von Badenwürttemberg. Eine Verfassungsbeschwerde gegen das Gesetz wies Karlsruhe zurück – setzte Strafverfolgungsbehörden aber zugleich Grenzen und rief Gesetzgeber zum Handeln auf. Die Beschwerde sei unzulässig, entschied der Erste Senat, denn sie sei nicht ausreichend begründet. Außerdem hätten die Kläger zuerst Verwaltungsgerichte anrufen sollen, bevor sie vor das höchste deutsche Gericht zogen. Geklagt hatte ein Bündnis, angeführt von der „Gesellschaft für Freiheitsrechte“(GFF).
Die Beschwerde wandte sich gegen die Quellen-telekommunikationsüberwachung („Quellen-tkü“), die es der Polizei erlaubt, It-geräte von Verdächtigen unter bestimmten Voraussetzungen durch sogenannte Staatstrojaner zu infiltrieren. Dabei werden oft bislang unbekannte Sicherheitslücken genutzt. Die Kläger sehen das kritisch: Der Staat, der eigentlich die It-sicherheit der Bürger gewährleisten soll, habe nun selbst ein Interesse, dass es Schutzlücken gibt.
Dagegen argumentiert etwa Innenminister Thomas Strobl (CDU), der die 2017 von CDU, Grünen und SPD beschlossene Reform eingebracht hat, die Polizei müsse im Zeitalter verschlüsselter Handychats, etwa via Whatsapp, solche Kommunikation in bestimmten Fällen ausforschen können.
Staat hat Schutzpflicht
Die Richter entschieden nun, der Staat habe zwar durchaus eine „konkrete grundrechtliche Schutzpflicht“und müsse zum Schutz der Nutzer von It-geräten beitragen. Diese Pflicht schließe aber nicht aus, eine „Quellen-tkü“mittels einer unbekannten Schutzlücke durchzuführen. „Sie verlangt aber eine Regelung zur Auflösung des im vorliegenden Verfahren in Rede stehenden Zielkonflikts zwischen dem Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung einer Quellen-telekommunikationsüberwachung mittels unbekannter Sicherheitslücken zum Zwecke der Gefahrenabwehr andererseits“, heißt es im Beschluss.