„Staatstrojaner“ bleiben bis auf weiteres legal
Fünf Jahre ließ sich das Bundesverfassungsgericht Zeit, um sich mit der Verfassungsbeschwerde gegen den legalisierten Einsatz von "Staatstrojanern" des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) zu beschäftigen. Mitte April dieses Jahres wurde die Beschwerde per Beschluss zur Entscheidung abgelehnt. Der TeleTrusT hat nun eine ausführliche Kritik an diesem Beschluss vorgelegt.
Die Verfassungsbeschwerde wurde bereits im Jahr 2018 eingereicht, nachdem der Deutsche Bundestag das „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ verabschiedet hatte. Dieses Gesetz erweiterte die Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchung und erlaubte den Einsatz von „Staatstrojanern“, um auf digitale Geräte von Verdächtigen zuzugreifen.
TeleTrusT sieht in der Einführung dieser Maßnahmen einen grundlegenden Zielkonflikt zwischen dem Interesse des Staates an der Offenhaltung von Sicherheitslücken und dem Interesse der Allgemeinheit an größtmöglicher IT-Sicherheit. Die Organisation betont, dass sich Regierung und staatliche Stellen zur Gewährleistung der IT-Sicherheit verpflichtet haben und diese Verpflichtung nicht durch den Einsatz von „Staatstrojanern“ untergraben werden sollte.
Die Verfassungsbeschwerde von TeleTrusT basierte insbesondere auf dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme („IT-Grundrecht“), das vom Bundesverfassungsgericht bereits in einer früheren Entscheidung im Jahr 2008 anerkannt wurde. Dabei argumentierte TeleTrusT, dass dieses Grundrecht nicht nur den Schutz einzelner Bürger vor unverhältnismäßigen Eingriffen in ihre digitale Privatsphäre umfasst, sondern auch eine aktive Schutzpflicht des Staates beinhaltet, die IT-Sicherheit der gesamten Bevölkerung zu gewährleisten.
Die Organisation kritisierte vor allem die Tatsache, dass die Einführung von Überwachungsbefugnissen es den Behörden ermöglicht, Sicherheitslücken auszunutzen, offenzuhalten und möglicherweise sogar auf dem Schwarzmarkt zu erwerben, anstatt diese schnellstmöglich den Herstellern mitzuteilen, damit diese die Lücken schließen können. Dadurch werde die IT-Sicherheit geschwächt und den Bemühungen um eine sichere digitale Infrastruktur entgegengewirkt.
Der Beschluss des Bundesverfassungsgerichts, die Verfassungsbeschwerde nicht zur Entscheidung anzunehmen, stößt bei TeleTrusT auf Enttäuschung und Unverständnis. Er kritisiert, dass das Gericht sich nicht ausreichend mit der Betroffenheit der Beschwerdeführer auseinandergesetzt habe. Da die Überwachungsmaßnahmen heimlich stattfinden, sei es für die Betroffenen schwierig, ihre tatsächliche Betroffenheit nachzuweisen und gegen solche Befugnisse vorzugehen.
Zudem wird beanstandet, dass das Gericht die Frage der staatlichen Schutzpflicht in Bezug auf die IT-Sicherheit nicht ausreichend geklärt hat und sich auf Datenschutz-Folgenabschätzungen als ausreichenden Schutzmechanismus berufen hat. TeleTrusT betont, dass eine Datenschutz-Folgenabschätzung nicht den Schutz vor Ausnutzung von Sicherheitslücken und den damit verbundenen Risiken für die IT-Sicherheit gewährleisten kann.
Der TeleTrusT mahnt an, dass die Auseinandersetzung mit dem Thema staatliches Schwachstellen-Management und dem verantwortungsvollen Umgang mit „Staatstrojanern“ dringend erfolgen muss. Die Auswirkungen dieser Überwachungsbefugnisse auf die IT-Sicherheit der Allgemeinheit müssten ernsthaft in Betracht gezogen werden, und die Frage, wie der Staat die IT-Sicherheit konkret schützen und nicht untergraben kann, bedürfe einer angemessenen Prüfung und Diskussion.
Den ausführlichen Text der TeleTrusT-Stellungnahme gibt es hier.