Das Bundesverfassungsgericht hat mit seinem heute verkündeten Beschluss über das Landespolizeigesetz in Baden-Württemberg dem Einsatz sogenannter Staatstrojaner neue Grenzen gesetzt und die staatliche Schutzpflicht für Bürger:innen und Unternehmen betont. Diese Begründung muss ab sofort bei allen zukünftigen Aktivitäten rund um den Einsatz von Staatstrojanern Berücksichtigung finden, fordert eco – Verband der Internetwirtschaft e.V.
Dazu sagt Klaus Landefeld, stellvertretender Vorstandsvorsitzender beim Verband der Internetwirtschaft:
„Auch wenn die Karlsruher Richter die Verfassungsbeschwerde als unzulässig erklärt haben, bleibt sie ein wichtiger Erfolg für die IT-Sicherheit und die Wahrung von Bürgerrechten. Ab sofort müssen Staat und Sicherheitsbehörden vor jedem Trojaner-Einsatz Regelungen schaffen und auch bewerten, wie hoch das Risiko für Bürger:innen, Wirtschaft und den Staat selbst ist, wenn Sicherheitslücken in IT-Systemen geheim gehalten werden. Damit setzt das Bundesverfassungsgericht staatlicher Spähsoftware Grenzen und betont zugleich die Schutzplicht des Staates – und eben die muss jetzt konsequent eingefordert werden.“
Im Zuge des Pegasus-Skandals weist Landefeld zudem auf die Risiken gekaufter Spähsoftware hin. Landefeld: „Da die Behörden bislang keine eigene Software einsetzen, werden eben nicht nur selbstgefundene Lücken offengelassen, sondern auch Lücken die von der gekauften Software genutzt werden und somit auch dritten Diensten bekannt sind. Ein Schutz ist nicht möglich, der Einsatz kann vom Deutschen Staat und seinen Diensten aktuell nicht ausreichend kontrolliert werden. Konkret akzeptiert man die Ausspähung der Bürger:innen durch Dritte in vollem Bewusstsein – obwohl man die Möglichkeit hätte, diese Lücke zu schließen beziehungsweise schließen zu lassen.“
Sogenannte Staatstrojaner-Gesetze, wie die Verfassungsschutz-Novelle müssten nun angepasst werden, um den aktuellen Anforderungen gerecht zu werden, so Landefeld weiter. Der Verband der Internetwirtschaft kritisiert die entsprechenden gesetzlichen Bestimmungen auf Bundes- und Landesebene und die darin vorgesehenen gesetzlichen Befugnisse zum Einsatz von Staatstrojanern scharf. Bereits im Vorfeld hat eco mehrfach davor gewarnt, dass die IT-Sicherheit, der Datenschutz und die Vertrauenswürdigkeit digitaler Kommunikation nachhaltig geschwächt werden.
Ohne diese verfassungsrechtlich notwendigen Anpassungen dürfte eine Reihe von Landes- und Bundesgesetzen von den Fachgerichten, insbesondere den Verwaltungsgerichten beanstandet werden, da sie der IT-Sicherheit bisher nicht genügend Rechnung tragen. Durch das Geheimhalten sogenannter zero-day-exploits und indem Meldungen an den Hersteller unterlassen werden, entstehen gravierende IT-Sicherheitslücken. Aus Sicht des Verbands besteht dadurch insbesondere die Gefahr, dass Dritte auf informationstechnische Systeme zugreifen.