Das Büro ist über Karneval vom 12.02 bis 17.02. geschlossen - Notruf erreichbar

BVerfG zieht Grenzen für Quellen-TKÜ und Online-Durchsuchung (Trojaner II)

44b9c898 2501 4354 8de9 c62e63c2a337

Digitalisierung und Strafverfolgung im Spannungsfeld der Grundrechte: Während Kommunikationsdienste wie Messenger, Cloud-Speicher und Voice-over-IP-Telefonie für Nutzer selbstverständlich geworden sind, sehen sich Ermittlungsbehörden mit einer wachsenden Herausforderung konfrontiert: Verschlüsselung. Wo früher Telefonate oder E-Mails noch im Klartext abgehört werden konnten, liefern Provider heute oft nur noch unlesbare Datenströme.

Die Antwort des Gesetzgebers darauf waren die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ, § 100a Abs. 1 Sätze 2 und 3 StPO) und die Online-Durchsuchung (§ 100b StPO), die beide einen direkten Zugriff auf informationstechnische Systeme (IT-Systeme) ermöglichen. Doch diese Maßnahmen werfen tiefgreifende verfassungsrechtliche Fragen auf: Dürfen Ermittler heimlich in private Geräte eindringen, um Verschlüsselung zu umgehen? Wo liegen die Grenzen zwischen effektiver Strafverfolgung und unzulässiger Grundrechtsbeeinträchtigung?

Mit seinem Beschluss vom 24. Juni 2025 (1 BvR 180/23, „Trojaner II“) hat das Bundesverfassungsgericht (BVerfG) klare Grenzen gezogen. Die Richter erklärten zentrale Teile der Quellen-TKÜ für verfassungswidrig und stellten hohe Anforderungen an den Einsatz von Staatstrojanern. Die Entscheidung knüpft an die Grundsatzurteile zur Online-Durchsuchung (BVerfGE 120, 274) und zur Vorratsdatenspeicherung (BVerfGE 125, 260) an, entwickelt sie aber weiter – insbesondere im Hinblick auf die spezifischen Gefahren moderner IT-Überwachung. Dieser Beitrag analysiert die juristischen Kernaussagen der Entscheidung, ordnet sie in den Kontext der bisherigen Rechtslage ein und zeigt auf, welche Konsequenzen sich für Praxis und Gesetzgebung ergeben.

Die angegriffenen Normen: Quellen-TKÜ und Online-Durchsuchung im Überblick

Die Quellen-TKÜ (§ 100a Abs. 1 Sätze 2 und 3 StPO) und die Online-Durchsuchung (§ 100b StPO) wurden 2017 eingeführt, um Ermittlern den Zugriff auf verschlüsselte Kommunikation zu ermöglichen. Während die klassische TKÜ (§ 100a Abs. 1 Satz 1 StPO) nur die Überwachung der Datenströme bei Telekommunikationsanbietern erlaubt, greifen beide neuen Maßnahmen direkt auf das Endgerät – etwa ein Smartphone oder einen Laptop – zu:

  • § 100a Abs. 1 Satz 2 StPO (Quellen-TKÜ) ermöglichte es, laufende Kommunikation (z. B. Messenger-Nachrichten, Telefonate) vor der Verschlüsselung abzuhören, indem ein Staatstrojaner auf dem Gerät installiert wird.
  • § 100a Abs. 1 Satz 3 StPO erweiterte dies auf gespeicherte Kommunikationsinhalte, die während des Überwachungszeitraums angefallen sind (z. B. Chatverläufe in einer Messenger-App).
  • § 100b StPO (Online-Durchsuchung) ging noch weiter: Hier durfte das gesamte IT-System durchsucht werden – inklusive aller Dateien, Nutzerdaten und sogar Echtzeit-Überwachung des Geräts.

Die Beschwerdeführer – darunter Rechtsanwälte, Journalisten und Aktivisten – sahen darin einen unverhältnismäßigen Eingriff in das IT-System-Grundrecht (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG), das Fernmeldegeheimnis (Art. 10 GG) und die Unverletzlichkeit der Wohnung (Art. 13 GG). Das BVerfG gab ihnen in zentralen Punkten recht.

BVerfG zum „Staatstrojaner“

Die verfassungsrechtlichen Maßstäbe: IT-System-Grundrecht, Fernmeldegeheimnis und Kernbereichsschutz

1. Das IT-System-Grundrecht als spezifischer Schutz vor digitaler Ausforschung

Das BVerfG hatte bereits in seinem „Online-Durchsuchungs-Urteil“ ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgeleitet. Dieses IT-System-Grundrecht schützt vor staatlichen Zugriffen auf private IT-Systeme, die heute „zu einem unverzichtbaren Medium der Persönlichkeitsentfaltung“ geworden sind (BVerfGE 120, 274, Rn. 206). Der Schutz geht dabei über das Recht auf informationelle Selbstbestimmung hinaus, weil er nicht nur einzelne Datenerhebungen, sondern die systematische Gefährdung durch IT-Überwachung erfasst:

„Mit dem Zugriff auf ein IT-System wird nicht nur ein vulnerabler Moment der Kommunikation ausgenutzt, sondern zugleich zu deren Schutz ergriffene Sicherheitsvorkehrungen überwunden.“ (BVerfG, 1 BvR 180/23, Rn. 195)

Das Gericht betont, dass moderne IT-Systeme – insbesondere Smartphones – heute „Schaltzentralen der Persönlichkeit“ sind, in denen Kommunikation, private Aufzeichnungen, Standortdaten, Gesundheitsinformationen und sogar biometrische Daten gespeichert werden. Ein Staatstrojaner ermöglicht daher nicht nur die Überwachung von Kommunikation, sondern eine umfassende Ausleuchtung der Persönlichkeit.

2. Das Fernmeldegeheimnis (Art. 10 GG) und seine Grenzen

Das Fernmeldegeheimnis schützt die unkörperliche Übermittlung von Informationen (BVerfGE 106, 28, 36). Es erfasst damit Telefonate, E-Mails, Messenger-Nachrichten und jede Form der Telekommunikation – jedoch nur während des Übertragungsvorgangs. Sobald Daten auf dem Endgerät gespeichert sind, endet der Schutz des Art. 10 GG; hier greift stattdessen das IT-System-Grundrecht oder das Recht auf informationelle Selbstbestimmung.

Das BVerfG stellt klar:

  • § 100a Abs. 1 Satz 2 StPO (laufende Kommunikation) betrifft sowohl Art. 10 GG als auch das IT-System-Grundrecht, weil hier direkt auf das Endgerät zugegriffen wird.
  • § 100a Abs. 1 Satz 3 StPO (gespeicherte Kommunikation) ist nur am IT-System-Grundrecht zu messen, da die Daten nicht mehr „unterwegs“, sondern lokal gespeichert sind.
  • § 100b StPO (Online-Durchsuchung) ermöglicht einen Vollzugriff auf das IT-System und ist daher primär am IT-System-Grundrecht zu prüfen – hilfsweise auch an Art. 10 GG, soweit laufende Kommunikation erfasst wird.

3. Der Kernbereich privater Lebensgestaltung: Absolute Schranke staatlicher Überwachung

Ein zentraler Aspekt der Entscheidung ist der Schutz des Kernbereichs privater Lebensgestaltung (Art. 1 Abs. 1 i. V. m. Art. 2 Abs. 1 GG). Dieser absolut geschützte Bereich umfasst höchstpersönliche Äußerungen, etwa Tagebücher, intime Gespräche oder medizinische Daten, die niemals staatlicher Kenntnisnahme unterliegen dürfen (BVerfGE 109, 279, Rn. 125).

Das BVerfG kritisiert, dass die Schutzmechanismen in § 100d StPO unzureichend sind:

  • § 100d Abs. 1 StPO verbietet zwar Maßnahmen, die ausschließlich Kernbereichsdaten erfassen – doch in der Praxis ist eine trennscharfe Filterung technisch kaum möglich.
  • § 100d Abs. 3 StPO verlangt zwar, dass bei Online-Durchsuchungen technisch sichergestellt wird, dass Kernbereichsdaten nicht erhoben werden – doch das Gericht hält dies für nicht umsetzbar, solange keine unabhängige Kontrolle der eingesetzten Software erfolgt.
  • Fehlende Abbruchpflicht: Während bei der akustischen Wohnraumüberwachung (§ 100c StPO) die Maßnahme sofort unterbrochen werden muss, wenn Kernbereichsdaten anfallen, fehlt eine solche Regelung für die Online-Durchsuchung.

Das Gericht fordert daher nachgebesserte Schutzmechanismen, insbesondere: Eine verpflichtende technische Filterung (soweit möglich); eine unabhängige Vorabkontrolle der Überwachungssoftware (inkl. Quellcode-Prüfung) und ein Abbruchgebot bei Erfassung von Kernbereichsdaten (analog zu § 100d Abs. 4 StPO).

Die zentralen Aspekte des BVerfG

1. Quellen-TKÜ (§ 100a Abs. 1 Satz 2 StPO) teilweise nichtig: Zu niedrige Eingriffsschwelle

Das BVerfG erklärt § 100a Abs. 1 Satz 2 StPO in Verbindung mit § 100a Abs. 2 StPO für teilweise nichtig, soweit die Norm Straftaten mit einer Höchststrafe von drei Jahren oder weniger als Anlass nimmt. Begründet wird dies mit der extremen Eingriffsintensität der Quellen-TKÜ:

„Eine Quellen-TKÜ ermöglicht den Zugriff auf den gesamten Datenstrom eines IT-Systems – inklusive Cloud-Synchronisationen, Standortdaten, Nutzerverhalten und höchstpersönlicher Aufzeichnungen. Dies geht weit über die klassische TKÜ hinaus und rechtfertigt nur die Verfolgung besonders schwerer Straftaten.“ (BVerfG, 1 BvR 180/23, Rn. 205)

a) Warum ist die Quellen-TKÜ so eingriffsintensiv?

Das Gericht führt mehrere Faktoren an:

  • Umfang der Datenerfassung: Während die klassische TKÜ nur Telefonate und SMS erfasst, ermöglicht die Quellen-TKÜ den Zugriff auf den gesamten Internetverkehr – inklusive Webseitenaufrufe, Cloud-Backups, Messenger-Nachrichten und Metadaten.
  • Umgehung von Sicherheitsvorkehrungen: Durch den Staatstrojaner werden Verschlüsselungen ausgehebelt, was die Vertraulichkeit der Kommunikation untergräbt.
  • Gefahr der Totalüberwachung: Da moderne IT-Systeme ständig mit Cloud-Diensten synchronisieren, können selbst lokal gespeicherte Daten (z. B. Fotos, Notizen) als „laufende Kommunikation“ erfasst werden.
  • Risiko für Dritte: Nicht nur der Beschuldigte, sondern auch unbeteiligte Kommunikationspartner (z. B. Familienmitglieder, Kollegen) werden erfasst.
  • Integritätsverletzung des IT-Systems: Die Installation eines Trojaners schwächt die Sicherheit des Geräts und kann Sicherheitslücken für Dritte öffnen.

b) Welche Straftaten rechtfertigen eine Quellen-TKÜ?

Das BVerfG stellt klar: Nur „besonders schwere Straftaten“ (im Sinne von Art. 13 Abs. 3 GG) dürfen Anlass für eine Quellen-TKÜ sein. Als Maßstab gilt:

  • Mindeststrafe von fünf Jahren Freiheitsentzug (BVerfGE 109, 279, Rn. 348).
  • Schutz überragend wichtiger Rechtsgüter (z. B. Leib, Leben, Freiheit, staatliche Sicherheit).
  • Keine Bagatelldelikte: Straftaten wie einfacher Diebstahl, Beleidigung oder leichte Körperverletzung scheiden aus.

Der bisherige Katalog in § 100a Abs. 2 StPO enthielt auch Delikte wie § 263 StGB (Betrug) oder § 267 StGB (Urkundenfälschung), die nur im qualifizierten Fall besonders schwer wiegen. Das Gericht fordert nun eine Neufassung, die sich auf echte Schwerstkriminalität (z. B. Terrorismus, Mord, schwere Sexualdelikte, organisierte Kriminalität) beschränkt.

2. Online-Durchsuchung (§ 100b StPO): Verstoß gegen das Zitiergebot und unzureichender Kernbereichsschutz

Während die Quellen-TKÜ nur teilweise für nichtig erklärt wurde, bleibt § 100b StPO (Online-Durchsuchung) grundsätzlich bestehen – allerdings mit erheblichen verfassungsrechtlichen Mängeln:

a) Verstoß gegen das Zitiergebot (Art. 19 Abs. 1 Satz 2 GG)

Das BVerfG rügt, dass der Gesetzgeber Art. 10 GG nicht als eingeschränktes Grundrecht genannt hat, obwohl die Online-Durchsuchung auch laufende Kommunikation erfassen kann. Nach Art. 19 Abs. 1 Satz 2 GG muss ein Gesetz, das ein Grundrecht einschränkt, dieses explizit benennen. Da § 100b StPO nicht nur das IT-System-Grundrecht, sondern auch Art. 10 GG betrifft, ist die Norm formell verfassungswidrig – bleibt aber vorläufig anwendbar, bis der Gesetzgeber nachbessert.

b) Unzureichender Kernbereichsschutz

Das Gericht kritisiert, dass § 100d Abs. 3 StPO zwar vorsieht, dass Kernbereichsdaten „soweit möglich“ technisch nicht erhoben werden dürfen – doch:

  • Keine unabhängige Kontrolle: Es fehlt eine verpflichtende Prüfung der Überwachungssoftware durch eine neutrale Stelle (z. B. den Bundesdatenschutzbeauftragten).
  • Kein Abbruchgebot: Während bei der Wohnraumüberwachung die Maßnahme sofort gestoppt werden muss, wenn Kernbereichsdaten anfallen (§ 100d Abs. 4 StPO), fehlt eine solche Regelung für die Online-Durchsuchung.
  • Unklare Löschungspflichten: Erfasste Kernbereichsdaten müssen zwar gelöscht werden (§ 100d Abs. 2 StPO) – doch wer kontrolliert, ob dies auch tatsächlich geschieht?

Das BVerfG verlangt hier Nachbesserungen, insbesondere: Eine unabhängige Vorabprüfung der eingesetzten Software (inkl. Quellcode-Analyse); ein automatisiertes Abbruchgebot bei Erfassung von Kernbereichsdaten sowie striktere Dokumentationspflichten, um Missbrauch zu verhindern.

3. § 100a Abs. 1 Satz 3 StPO: Keine isolierte Verfassungswidigkeit – aber hohe Hürden

Anders als bei Satz 2 erklärt das BVerfG § 100a Abs. 1 Satz 3 StPO (Zugriff auf gespeicherte Kommunikation) nicht für nichtig. Allerdings stellt es klar:

  • Die Norm ist nur am IT-System-Grundrecht zu messen (nicht an Art. 10 GG), weil die Daten nicht mehr „unterwegs“, sondern lokal gespeichert sind.
  • Der Zugriff ist nur zulässig, wenn die Daten auch bei einer klassischen TKÜ hätten erfasst werden können (also während des Überwachungszeitraums angefallen sind).
  • Kein „Fishing“: Es dürfen keine älteren Daten ausgelesen werden, die vor der Anordnung gespeichert wurden.

Das Gericht sieht hier keine grundsätzliche Verfassungswidrigkeit, warnt aber vor einer Ausweitung auf „ruhende“ Daten, die nicht mehr Teil der laufenden Kommunikation sind.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Ein Meilenstein … oder?

Das „Trojaner-II“-Urteil des BVerfG ist ein Meilenstein in der Debatte um Staatstrojaner und digitale Überwachung. Es stellt klar: Quellen-TKÜ und Online-Durchsuchung sind keine „Standardmaßnahmen“, sondern Ausnahmeinstrumente für die Bekämpfung schwerster Kriminalität. Der Kernbereich privater Lebensgestaltung ist dabei absolut geschützt – selbst bei Verdacht auf schwere Straftaten … womit das BVerfG über das hinausgeht, was der Gesetzgeber derzeit gewährleistet. Und: Der Gesetzgeber muss nachbessern, um Rechtssicherheit und Grundrechtsschutz zu gewährleisten.

Die Entscheidung zeigt: Auch im digitalen Zeitalter gelten die Grundrechte – und der Staat muss sie achten. Ob die Politik diese Vorgaben umsetzt, wird sich in den kommenden Monaten zeigen. Fest steht: Ohne wirksame Kontrollen und klare Grenzen droht der Weg in eine Überwachungsgesellschaft.

Die Konsequenzen: Ein neuer Rahmen für digitale Ermittlungen und Grundrechtsschutz

Die Entscheidung des Bundesverfassungsgerichts markiert einen Einschnitt in der Praxis staatlicher Überwachung, ohne jedoch die Möglichkeiten der Strafverfolgung gänzlich zu unterbinden. Vielmehr zieht das Gericht klare rote Linien, die künftig sowohl die Ermittlungsbehörden als auch den Gesetzgeber bindet. Für die Strafverfolgungspraxis bedeutet dies, dass die Quellen-Telekommunikationsüberwachung und die Online-Durchsuchung nicht mehr pauschal, sondern nur noch unter deutlich verschärften Voraussetzungen eingesetzt werden dürfen. Die Maßstäbe, die das Gericht aufstellt, verlangen von den Ermittlern eine genaue Abwägung im Einzelfall – eine Herausforderung, die angesichts der technischen Komplexität moderner IT-Systeme nicht zu unterschätzen ist.

Zentral ist die Eingrenzung auf Schwerstkriminalität. Bisher konnten Behörden die Quellen-TKÜ bereits bei Straftaten anwenden, die im Strafgesetzbuch mit vergleichsweise geringen Höchststrafen bedroht sind. Nun muss der Gesetzgeber den Katalog der Anlasstaten in § 100a Abs. 2 StPO radikal überarbeiten und auf Delikte beschränken, die tatsächlich ein überragend wichtiges Rechtsgut verletzen – also vor allem Terrorismus, Mord, schwere Sexualstraftaten oder organisierte Kriminalität. Einfache Betrugs- oder Urkundenfälschungsdelikte, selbst wenn sie in qualifizierten Fällen schwer wiegen, reichen künftig nicht mehr aus, um einen solchen tiefgreifenden Eingriff zu rechtfertigen. Dies wird die Ermittlungspraxis in vielen Bereichen erschweren, insbesondere bei Wirtschaftskriminalität oder Cyberstraftaten, die oft nicht mit den höchsten Strafdrohungen belegt sind, aber dennoch erhebliche gesellschaftliche Schäden verursachen.

Ein weiteres zentrales Problem bleibt die technische Umsetzbarkeit der vom Gericht geforderten Schutzmechanismen. Das BVerfG verlangt, dass Kernbereichsdaten „soweit möglich“ technisch ausgefiltert werden müssen und eine unabhängige Stelle die Überwachungssoftware vorab prüft. Doch wie lässt sich sicherstellen, dass ein Staatstrojaner tatsächlich nur das erfasst, was rechtlich zulässig ist? Die Erfahrung zeigt, dass Software selten fehlerfrei ist und dass Sicherheitslücken nicht nur von Ermittlern, sondern auch von Dritten ausgenutzt werden können. Hier wird der Gesetzgeber konkrete Lösungen finden müssen – etwa durch die Einrichtung einer technischen Prüfstelle, die Quellcodes analysiert und Zertifizierungsverfahren für Überwachungstools entwickelt. Ohne solche verlässlichen Kontrollmechanismen droht die Gefahr, dass die Maßnahmen praktisch nicht anwendbar sind, weil Gerichte ihre Rechtmäßigkeit im Einzelfall nicht überprüfen können.

Besonders brisant ist die Frage nach der Unabhängigkeit der Kontrolle. Bisher oblag die Prüfung der Verhältnismäßigkeit weitgehend den anordnenden Gerichten – doch das BVerfG macht deutlich, dass diese allein überfordert sind, die technischen Details einer Überwachungssoftware zu bewerten. Eine echte Vorabkontrolle erfordert daher externe Sachverständige, die unabhängig von Polizei und Staatsanwaltschaft agieren. Ob eine solche Institution bei den Datenschutzbeauftragten angesiedelt wird oder als eigene Behörde geschaffen wird, bleibt abzuwarten. Klar ist jedoch: Ohne transparente und nachprüfbare Verfahren wird der Einsatz von Staatstrojanern rechtlich angreifbar bleiben.

Für den Gesetzgeber ergibt sich daraus ein dringender Handlungsbedarf. Die formelle Verfassungswidrigkeit von § 100b StPO wegen Verstoßes gegen das Zitiergebot ist zwar kein grundsätzliches Hindernis – die Norm bleibt vorläufig anwendbar –, doch muss der Bundestag nachbessern und Art. 10 GG explizit nennen. Noch wichtiger ist jedoch die materielle Überarbeitung der Eingriffsvoraussetzungen. Die Online-Durchsuchung, die einen Vollzugriff auf IT-Systeme ermöglicht, darf nicht länger als „Allzweckwaffe“ der Strafverfolgung dienen. Vielmehr muss sie streng subsidiär sein – also nur dann eingesetzt werden, wenn mildere Mittel wie die klassische TKÜ oder eine offene Beschlagnahme ausscheiden.

Ein weiterer kritischer Punkt ist der Schutz von Berufsgeheimnisträgern. Das Gericht hat zwar nicht explizit über die Rechte von Anwälten, Journalisten oder Ärzten entschieden, doch die Gefahr einer Aushebelung des Vertrauensschutzes ist offenkundig. Wenn Ermittler verschlüsselte Kommunikation zwischen Mandanten und Verteidigern oder zwischen Informanten und Journalisten mitlesen können, untergräbt dies grundlegende Prinzipien des Rechtsstaats. Hier bedarf es klarer Ausnahmetatbestände, die sicherstellen, dass berufsbedingte Vertrauensverhältnisse nicht zur systematischen Ausforschung missbraucht werden.

Schließlich wirft die Entscheidung – wieder einmal – grundsätzliche Fragen nach dem Verhältnis von Sicherheit und Freiheit auf. Das BVerfG betont, dass auch im digitalen Zeitalter die Menschenwürde und das Recht auf informationelle Selbstbestimmung nicht zur Disposition stehen. Doch wie lässt sich dies praktisch umsetzen, wenn Kriminalität zunehmend in verschlüsselten Räumen stattfindet? Die Technik entwickelt sich rasant – und mit ihr die Möglichkeiten der Überwachung. Das Urteil ist daher nicht nur eine juristische Weichenstellung, sondern auch ein politischer Auftrag: Der Staat muss wirksame Ermittlungsinstrumente haben, doch diese dürfen nicht zum Freibrief für eine schrankenlose Ausforschung werden.

Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.