Am 21. Juli 2021 hat das Bundesverfassungsgericht eine Verfassungsbeschwerde der GFF gegen das Polizeigesetz Baden-Württemberg zurückgewiesen. Was auf den ersten Blick wie eine Niederlage aussieht, ist gleichwohl ein Gewinn für uns alle. Denn das Gericht hat in seiner Begründung ausgeführt, dass der Staat für den Einsatz von Spähsoftware („Staatstrojaner“) nicht stets jede Sicherheitslücke ausnutzen darf. Vielmehr muss er abwägen, ob eine Sicherheitslücke für die Allgemeinheit so gefährlich ist, dass der Staat auf ihre Schließung hinwirken muss.

Die GFF hatte ihre Verfassungsbeschwerde mit Unterstützung des Chaos Computer Club Stuttgart e.V. (CCCS) eingelegt. Die Beschwerde richtete sich gegen die Gesetzesnovelle vom 28. November 2017, die der Polizei in Baden-Württemberg erlaubt, durch Staatstrojaner die elektronische Kommunikation von Personen zu überwachen. Die Polizei darf mithilfe solcher Trojaner Fehler in der Hard- oder Software der Zielpersonen ausnutzen, die genauso auch Kriminellen für Cyberangriffe dienen können, statt auf die Schließung dieser Sicherheitslücken hinzuwirken. Das Gesetz setzt damit grundlegend falsche Anreize für die Arbeit der Polizeibehörden und gefährdet die IT-Sicherheit in Deutschland und weltweit.

Unter den Beschwerdeführer*innen waren neben dem CCCS selbst die Rechtsanwälte Dr. Udo Kauß und Michael Moos, die Journalisten Peter Welchering und Hinnerk Feldwisch-Drentrup, der Freiburger Online-Versandhandel für ökologisch nachhaltig und fair produzierte Mode zündstoff sowie die ISP Service eG, eine Einkaufsgesellschaft für Internet-Service-Provider. Sie alle sahen sich besonders gefährdet, Ziel von Cyberangriffen zu werden und befürchteten bei einem Zugriff Konsequenzen auch für Dritte. Denn sie sind verantwortlich für die Daten ihrer Mandant*innen, Informant*innen und Kund*innen. Verfahrensbevollmächtigter ist der Rechtswissenschaftler und Kriminologe Prof. Dr. Tobias Singelnstein von der Ruhr-Universität Bochum.

Staatliche Schutzpflicht

In seiner Entscheidung hat das Bundesverfassungsgericht nun aus dem Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme (sog. „IT-Grundrecht“) eine staatliche Schutzpflicht für die IT-Sicherheit von uns allen hergeleitet – wie von der GFF gefordert. Die grundrechtliche Schutzpflicht verlange eine Regelung darüber, wie die Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Überwachung andererseits grundrechtskonform aufzulösen habe. Der Presse lässt sich entnehmen, dass die Bundesregierung nun einen Vorschlag für ein sogenanntes Schwachstellenmanagement machen wird.

Externer Inhalt von YouTube

Es gelten die Datenschutzbestimmungen von YouTube, wenn Sie externen Inhalt aufrufen.

Inhalt laden