Home » News » Cybersecurity » Staatstrojaner unter Kontrolle: Karlsruhe zieht Grenzen staatlicher Überwachung

Staatstrojaner unter Kontrolle: Karlsruhe zieht Grenzen staatlicher Überwachung

Mit zwei Grundsatzentscheidungen hat das Bundesverfassungsgericht am 7. August 2025 die Regeln für digitale Überwachungsmaßnahmen des Staates neu vermessen. Die Richter billigten große Teile der bestehenden Gesetze, erklärten jedoch Überwachungen bei leichten Delikten und handwerkliche Mängel bei der Online-Durchsuchung für verfassungswidrig.

3 Min. Lesezeit
Trojanisches Pferd kommt aus Laptop raus
Foto: ©AdobeStock/Vera

Das Bundesverfassungsgericht hat zwei wegweisende Beschlüsse zur staatlichen Überwachung in der digitalen Welt veröffentlicht. Im Zentrum standen Vorschriften zur präventiven und strafprozessualen Quellen-Telekommunikationsüberwachung sowie zur Online-Durchsuchung. Während das Gericht die Regelungen des nordrhein-westfälischen Polizeigesetzes vollständig billigte, erklärte es zentrale Teile der Strafprozessordnung für verfassungswidrig – insbesondere, wenn sie bei weniger schweren Straftaten zur Anwendung kommen oder formalen Anforderungen nicht genügen.

Worum ging es konkret?

Zwei Verfassungsbeschwerden standen zur Prüfung: Im Verfahren „Trojaner I“ ging es um das nordrhein-westfälische Polizeigesetz (§ 20c PolG NRW), das der Polizei präventive Überwachungsmaßnahmen erlaubt – etwa das heimliche Mitlesen verschlüsselter Kommunikation. Im Verfahren „Trojaner II“ richtete sich die Beschwerde gegen Vorschriften der Strafprozessordnung (§ 100a und § 100b StPO), die der Strafverfolgung den verdeckten Zugriff auf laufende und gespeicherte Kommunikation sowie auf komplette IT-Systeme ermöglichen.

Polizeirecht bleibt bestehen – dank klarer Eingrenzung

Das Gericht erklärte die polizeilichen Befugnisse zur Überwachung und Infiltration von IT-Systemen im Polizeigesetz NRW für verfassungsgemäß. Ausschlaggebend war, dass die Maßnahmen ausschließlich auf besonders schwere Fälle – konkret terroristische Straftaten – beschränkt sind. Diese Eingrenzung auf den Schutz hochrangiger Rechtsgüter wie Leben, körperliche Unversehrtheit und staatliche Sicherheit sei ausreichend, um auch intensive Grundrechtseingriffe zu rechtfertigen.

Strafprozessuale Quellen-TKÜ bei leichten Delikten unzulässig

Deutlich kritischer beurteilte das Gericht die entsprechenden Vorschriften der Strafprozessordnung. Die Quellen-Telekommunikationsüberwachung – also das Auslesen von Kommunikation direkt am Endgerät – sei ein besonders tiefgreifender Eingriff in das Fernmeldegeheimnis und das sogenannte IT-System-Grundrecht. Deshalb sei sie nur bei besonders schweren Straftaten zulässig. Wird sie auch zur Aufklärung einfacher Delikte mit einer Höchststrafe von drei Jahren oder weniger eingesetzt, verletze dies das Verhältnismäßigkeitsprinzip und sei verfassungswidrig. Das Gleiche gelte für die erweiterte Form der Überwachung, bei der auch gespeicherte Kommunikationsdaten ausgelesen werden dürfen.

Online-Durchsuchung: Formfehler zwingt zur Überarbeitung

Auch die Online-Durchsuchung – also der verdeckte Zugriff auf komplette IT-Systeme einschließlich aller gespeicherten Daten – bleibt nicht unangetastet. Zwar erklärte das Gericht die Befugnis an sich nicht für unzulässig, bemängelte aber, dass das Gesetz nicht ausreichend auf das betroffene Grundrecht – das Fernmeldegeheimnis – Bezug nimmt. Damit verstößt die Regelung gegen das Zitiergebot des Grundgesetzes. Die Vorschrift gilt zunächst weiter, muss aber gesetzlich überarbeitet werden.

Grundrechte im digitalen Raum klar verteidigt

Die Karlsruher Entscheidungen stärken zentrale Grundrechte im digitalen Zeitalter: Das Fernmeldegeheimnis schützt die Vertraulichkeit elektronischer Kommunikation. Das IT-System-Grundrecht sichert die Integrität und Vertraulichkeit von Computern, Smartphones und ähnlichen Geräten. Und das Recht auf informationelle Selbstbestimmung schützt davor, dass durch massenhafte Datenerhebung tiefgreifende Persönlichkeitsprofile entstehen. Alle drei Grundrechte greifen bei modernen Überwachungstechniken ineinander – und fordern deshalb besonders hohe rechtliche Hürden.

Die Richter betonten: Wer staatlich in private IT-Systeme eingreifen will, muss dies gut begründen, gezielt handeln und sich auf schwerwiegende Verdachtslagen beschränken. Gerade angesichts der Allgegenwärtigkeit digitaler Kommunikation seien besonders hohe Maßstäbe erforderlich, um Missbrauch zu verhindern und Vertrauen in die Rechtsstaatlichkeit staatlicher Maßnahmen zu wahren.

Was bedeutet das für Polizei und Gesetzgeber?

Für Polizei und Justiz bedeutet das Urteil eine differenzierte Lage:

  • Die präventiven Befugnisse im Polizeigesetz NRW bleiben uneingeschränkt in Kraft.
  • Die strafprozessuale Quellen-Telekommunikationsüberwachung bei einfachen Straftaten ist ab sofort nichtig.
  • Die Regelung zur Online-Durchsuchung bleibt formal gültig, muss aber bald rechtlich nachgebessert werden.

Der Gesetzgeber steht nun in der Pflicht, die verfassungswidrigen Regelungen zu überarbeiten und klare, rechtsstaatlich belastbare Standards für digitale Überwachungsmaßnahmen zu schaffen.

Bitkom fordert rechtssicheren Umgang mit IT-Sicherheitslücken

Der Digitalverband Bitkom begrüßte das Karlsruher Urteil. Hauptgeschäftsführer Dr. Bernhard Rohleder betonte: Die Entscheidung setze dem Einsatz von Staatstrojanern zu Recht enge Grenzen. Gleichzeitig warnt Bitkom vor einem grundsätzlichen Problem: Der Einsatz von Schadsoftware durch den Staat beruht oft auf der Ausnutzung von Sicherheitslücken, die dadurch gezielt offengehalten werden. Dies gefährde die IT-Sicherheit aller Nutzerinnen und Nutzer sowie der Unternehmen.

Bitkom fordert daher ein Umdenken: Schwachstellen in Software sollten dem Hersteller gemeldet und zügig geschlossen statt systematisch ausgenutzt werden. Nur so könne der Staat seiner Verantwortung für die digitale Sicherheit gerecht werden – auch unabhängig von Überwachungsinteressen.

Fazit: Digitale Eingriffe nur mit klaren Regeln

Das Bundesverfassungsgericht hat die digitale Überwachung durch Polizei und Strafverfolgung nicht grundsätzlich untersagt, aber rechtsstaatlich eingehegt. Eingriffe in private IT-Systeme und Kommunikation bleiben möglich – doch nur unter strengen Bedingungen, bei schwerwiegenden Straftaten und mit eindeutigen gesetzlichen Grundlagen. Das Urteil stärkt die digitale Grundrechtsarchitektur und verpflichtet den Gesetzgeber zu sorgfältiger Nachbesserung. In einer Zeit, in der fast jede Lebensäußerung digital stattfindet, ist das ein klares Signal für den Schutz der Privatsphäre.

Stefan Mutschler

Quellen: Bundesverfassungsgericht, Bitkom

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Malware über Fremdzugriff

Discount-Maas als perfekt getarnte Fernwartung mit Gütesigel

Eine neue Malware as a Service Plattform imitiert professionelle Fernwartungssoftware und verkauft Cyberkriminellen für 300 US Dollar pro Monat vollwertigen Fernzugriff. Selbst ein...

Cybercrime Afrika

Cybercrime-Operation in Afrika: 651 Festnahmen und Millionen sichergestellt

Strafverfolgungsbehörden aus 16 afrikanischen Ländern haben in einer koordinierten Aktion gegen Online-Betrug hunderte Verdächtige festgenommen. Die von INTERPOL unterstützte Opera...

KI im Mittelstand - Mann vor Smartphone mit KI-Symbol

Mit klaren Anwendungsfällen aus der Unsicherheit

Künstliche Intelligenz gilt als Schlüsseltechnologie der kommenden Jahre. Dennoch zögern viele mittelständische Unternehmen bei Investitionen. Unsicherheit über Nutzen, Aufwand und...