Panorama

Kein Verstoß gegen Schutzpflicht Gericht weist Klage gegen Staatstrojaner ab

imago0096497424h.jpg

Die Klage richtete sich gegen das neue Landespolizeigesetz in Baden-Württemberg.

(Foto: imago images/KS-Images.de)

Aktivisten klagen gegen ein neues Landespolizeigesetz in Baden-Württemberg, weil es ermöglicht, IT-Sicherheitslücken für das Einschleusen von Staatstrojanern zu nutzen. Stattdessen sollte der Staat die Unternehmen darüber informieren, so die Forderung. Dem Bundesverfassungsgericht reicht diese Begründung nicht.

Das Bundesverfassungsgericht hat eine Verfassungsbeschwerde gegen den Einsatz von sogenannten Staatstrojanern unter Ausnutzung von IT-Sicherheitslücken durch die baden-württembergischen Sicherheitsbehörden als unzulässig verworfen. Die Kläger hätten nicht ausreichend konkret dargelegt, wie die Behörden dadurch ihre Schutzpflichten gegenüber Bürgern in einer grundrechtsrelevanten Weise verletzen könnten, hieß es in der in Karlsruhe veröffentlichen Entscheidung. Darüber hinaus hätten sie zunächst eine Abklärung vor Verwaltungsgerichten anstreben müssen.

Die Beschwerde war von Datenschützern und Bürgerrechtsaktivisten eingereicht worden und richtete sich gegen die in einem neuen Landespolizeigesetz von 2021 fixierte Befugnis der Behörden, durch bestehende Sicherheitslücken heimlich Überwachungssoftware auf Computern oder Handys von Verdächtigen zu installieren. So kann deren Kommunikation etwa via Messengerdiensten in Echtzeit mitverfolgt werden - etwa im Fall von drohenden Terroranschlägen.

Dabei zielten die Kläger des Stuttgarter Chaos Computer Clubs und der Gesellschaft für Freiheitsrechte mit ihrer Klage allerdings nicht grundsätzlich auf den Einsatz solcher Instrumente an sich. Sie argumentierten vielmehr mit einer Verletzung staatlicher Schutzpflichten im Fall von Sicherheitslücken, die Herstellern unbekannt sind. Statt diese Schwachstellen auszunutzen, müssten die Behörden die Unternehmen unverzüglich informieren. Ansonsten könnten Bürger und Firmen durch Hackerangriffe gefährdet werden.

Gericht: Sicherheitslücken nicht unbedingt melden

Das Bundesverfassungsgericht bestätigte prinzipiell eine solche allgemeine Schutzverpflichtung, bezeichnete die Argumentation der Beschwerdeführer allerdings zugleich im konkreten Einzelfall als zu ungenau. So gebe es keine grundrechtliche Verpflichtung des Staates, "jede unerkannte Sicherheitslücke sofort und unbedingt dem Hersteller zu melden", erklärten die Richter. Der Gesetzgeber habe einen Gestaltungsspielraum, um Zielkonflikte mit anderen Schutzaufgaben wie der Abwehr von Sicherheitsgefahren im Rahmen der Telekommunikationsüberwachung grundrechtskonform aufzulösen.

Die Kläger hätten nicht hinreichend dargelegt, ob und inwieweit das baden-württembergische Polizeirecht diesen Zielkonflikt zu einseitig zu Lasten des Schutzes der Bürger vor Cyberkriminalität gelöst habe. Zum einen enthalte dieses "diverse Schutzvorkehrungen", um unautorisierte Zugriffe von Dritten auf Systeme von Betroffenen zu verhindern. Zum anderen müssten auch jene gesetzlichen Vorgaben und Pflichten einbezogen werden, die den baden-württembergischen Behörden parallel etwa durch Datenschutz- und Cybersicherheitsgesetze auferlegt würden.

Zugleich verwiesen die Richter darauf, dass die Kläger zunächst vor den zuständigen Fachgerichten die Sach- und Rechtslage "unter Berücksichtigung verfassungsrechtlicher Vorgaben" hätten klären lassen müssen. Diese hätten entscheiden müssen, ob die Behörden in Baden-Württemberg nach dem geltenden Recht eine ausreichende Abwägung von Schutzpflichten vornähmen, bevor sie entscheiden, eine ihnen bekannte Schwachstelle nicht dem Hersteller zu melden.

Quelle: ntv.de, als/AFP

ntv.de Dienste
Software
Newsletter
Ich möchte gerne Nachrichten und redaktionelle Artikel von der n-tv Nachrichtenfernsehen GmbH per E-Mail erhalten.