Südwest-Polizeigesetz verfassungskonform
Karlsruher Richter fordern Schutz der Bürger vor IT-Sicherheitslücken
(dpa) - Das Bundesverfassungsgericht nimmt den Staat bei der IT-Sicherheit in die Pflicht: In einem am Mittwoch veröffentlichten Beschluss wiesen die Karlsruher Richter zwar eine Verfassungsbeschwerde gegen den Einsatz von sogenannten Staatstrojanern durch die baden-württembergische Polizei als unzulässig zurück. Zugleich betonten die Karlsruher Richter aber die Schutzpflicht des Staates bei IT-Sicherheitslücken. Behörden bräuchten Regeln, wenn sie zur Gefahrenabwehr noch unbekannte Sicherheitslücken für eine Überwachungssoftware nutzen und müssten den Einsatz gründlich abwägen (AZ: 1 BvR 2771/18).
Gegen das baden-württembergische Polizeigesetz hatten mit Unterstützung der Gesellschaft für Freiheitsrechte
(GFF) sieben Beschwerdeführer geklagt, darunter der Chaos Computer Club Stuttgart. Aus deren Sicht schafft das Gesetz Anreize für die Polizei, Sicherheitslücken geheim zu halten, statt sie den Herstellern zu melden. Die Beschwerde blieb erfolglos. Die Kläger hätten unzureichend dargelegt, ob das Gesetz die staatliche Schutzpflicht verletze.
GFF-Chef Ulf Buermeyer begrüßte den Richterspruch dennoch: „Die Entscheidung ist ein großer Erfolg für die IT-Sicherheit.“Die Politik müsse Vorkehrungen treffen, damit Cyberkriminelle und ausländische Geheimdienste nicht von Sicherheitslücken profitieren, die deutsche Behörden bewusst nicht schließen lassen.
Auch das baden-württembergische Innenministerium äußerte sich zufrieden. „Die Polizei setzt die rechtlichen Möglichkeiten des Polizeigesetzes ein, um Gefahren abzuwehren und Straftaten zu verhindern“, betonte ein Sprecher. Die sogenannte Quellen-Telekommunikationsüberwachung (TKÜ) sei ein wichtiger Baustein im Kampf gegen terroristische Bedrohung und schwerste Straftaten. Sie werde „mit großem Augenmaß“eingesetzt.
Im 19-seitigen Gerichtsbeschluss heißt es: Die TKÜ sei „nicht von vornherein verfassungsrechtlich unzulässig“, auch müsse eine Behörde nicht jede unerkannte IT-Sicherheitslücke sofort dem Hersteller melden. Aber: „Es ist sicherzustellen, dass die Behörde bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser Sicherheitslücke ermittelt und andererseits den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ bestimmt, beides zueinander ins Verhältnis setzt und die Sicherheitslücke an den Hersteller meldet, wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt.“
Aus Sicht der GFF entspricht die Rechtslage in Baden-Württemberg diesen Vorgaben nicht. Das Ministerium sieht das anders, will die Entscheidungsgründe aber intensiv prüfen.