BVerfG zum „Staatstrojaner“ (Trojaner I)

7658600c 1cb2 4224 b20a f94232471074

Staatliche Überwachung im digitalen Zeitalter: Am 24. Juni 2025 hat das Bundesverfassungsgericht in seinem „Trojaner-I“-Beschluss (1 BvR 2466/19) grundlegende Weichen für die verfassungsrechtlichen Grenzen staatlicher Überwachung im digitalen Raum gestellt. Im Mittelpunkt stand die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), bei der Behörden mithilfe von Überwachungssoftware – umgangssprachlich „Staatstrojaner“ – direkt auf IT-Systeme zugreifen, um verschlüsselte Kommunikation auszulesen.

Das Gericht bestätigte zwar die Verfassungsmäßigkeit der nordrhein-westfälischen Regelung in § 20c PolG NRW, entwickelte dabei aber präzise Maßstäbe für den Schutz der digitalen Privatsphäre und klärte das Verhältnis zwischen Fernmeldegeheimnis (Art. 10 GG) und dem IT-System-Grundrecht (Art. 2 I i. V. m. Art. 1 I GG). Die Entscheidung ist nicht nur für die Polizeiarbeit, sondern auch für den grundrechtlichen Schutz in einer zunehmend digitalisierten Welt von zentraler Bedeutung.

Der Sachverhalt: Präventive Überwachung und der „Staatstrojaner“

Die Verfassungsbeschwerde richtete sich gegen § 20c des nordrhein-westfälischen Polizeigesetzes (PolG NRW), der der Polizei zwei Instrumente an die Hand gibt:

  1. Klassische Telekommunikationsüberwachung (TKÜ) nach § 20c Abs. 1 PolG NRW, bei der die Kommunikation über Provider abgegriffen wird.
  2. Quellen-TKÜ nach § 20c Abs. 2 PolG NRW, bei der mithilfe eines „Trojaners“ direkt auf das Endgerät (Smartphone, PC) zugegriffen wird, um auch verschlüsselte Inhalte (z. B. WhatsApp-Nachrichten) auszulesen.

Die Beschwerdeführenden – darunter Aktivist:innen, Journalist:innen und IT-Expert:innen – sahen sich durch diese Befugnisse in ihren Grundrechten verletzt. Sie argumentierten, die Quellen-TKÜ greife unverhältnismäßig in das IT-System-Grundrecht (Vertraulichkeit und Integrität informationstechnischer Systeme) und das Fernmeldegeheimnis (Art. 10 GG) ein. Zudem befürchteten sie, dass durch den Einsatz von Überwachungssoftware Sicherheitslücken in IT-Systemen bewusst ausgenutzt und damit die IT-Sicherheit der Allgemeinheit gefährdet werde.

Das BVerfG wies die Beschwerde zwar zurück, nutzte die Gelegenheit aber, um klare verfassungsrechtliche Leitplanken für den Einsatz solcher Überwachungsmaßnahmen zu ziehen.

BVerfG zieht Grenzen für Quellen-TKÜ und Online-Durchsuchung (Trojaner II)

Die zentrale Rechtsfrage: IT-System-Grundrecht vs. Fernmeldegeheimnis

1. Das IT-System-Grundrecht: Schutz der digitalen Privatsphäre

Das BVerfG hatte bereits in seinem Grundsatzurteil zur Online-Durchsuchung im Jahr 2008 das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (IT-System-Grundrecht) als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 I i. V. m. Art. 1 I GG) anerkannt. Dieses Grundrecht schützt nicht nur die Vertraulichkeit der Daten, sondern bereits den Zugriff auf das IT-System als solchen, da dieser eine abstrakte Gefährdung der Persönlichkeit begründet.

Das Gericht betont nun erneut:

„Schutzgegenstand sind IT-Systeme, die aufgrund ihrer technischen Funktionalität allein oder durch ihre Vernetzung Daten einer Person in einem Umfang und einer Vielfalt vorhalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten.“ (Rn. 97)

Warum ist das IT-System-Grundrecht so bedeutend? Moderne IT-Systeme – insbesondere Smartphones – sind „individualisierte Begleiter“, die hochsensible Daten speichern: Kommunikationsverläufe, Standortdaten, Gesundheitsinformationen, Finanzdaten, soziale Kontakte und sogar intime Gedankenentwürfe (z. B. nie versendete Nachrichten). Ein Zugriff auf solche Systeme ermöglicht daher tiefe Einblicke in die Persönlichkeit, die über die bloße Kommunikation hinausgehen. Das IT-System-Grundrecht schützt daher nicht nur vor Datenerhebung, sondern bereits vor dem Risiko eines Zugriffs.

2. Das Fernmeldegeheimnis (Art. 10 GG): Schutz der Kommunikation auf Distanz

Das Fernmeldegeheimnis schützt die Vertraulichkeit der Telekommunikation, also den Inhalt und die Umstände von Nachrichten, die über technische Medien (Telefon, Internet, Messenger) übermittelt werden. Es ist entwicklungsoffen und erfasst daher auch moderne Kommunikationsformen wie E-Mails, Messenger-Dienste oder Cloud-Speicher. Das BVerfG stellt klar:

Art. 10 Abs. 1 GG schützt vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen, und gewährleistet insoweit eine Privatheit auf Distanz.“ (Rn. 86)

Wo liegt der Unterschied zum IT-System-Grundrecht?

  • Fernmeldegeheimnis: Schutz der Kommunikation selbst (Inhalt und Metadaten).
  • IT-System-Grundrecht: Schutz des Systems als Ganzes, also der technischen Infrastruktur, die die Kommunikation ermöglicht.

3. Das Konkurrenzverhältnis: Keine Subsidiarität, sondern kumulativer Schutz

In früheren Entscheidungen (z. B. BVerfGE 141, 220) hatte das Gericht noch angedeutet, dass das IT-System-Grundrecht subsidiär sein könnte, wenn der Schutz durch spezielle Grundrechte wie Art. 10 GG bereits gewährleistet ist. Diese Linie verlässt der Senat nun ausdrücklich:

„Soweit durch eine Maßnahme sowohl das IT-System-Grundrecht als auch Art. 10 Abs. 1 GG betroffen sind, müssen sie einer Überprüfung anhand beider Gewährleistungen standhalten.“ (Rn. 118)

Begründung:

  • Unterschiedliche Gefährdungslagen:
    • Art. 10 GG schützt die Kommunikation auf Distanz.
    • IT-System-Grundrecht schützt das System als solches vor Integritätsverletzungen (z. B. durch Malware).
  • Keine vollständige Überlappung:
    • Selbst wenn eine Quellen-TKÜ nur laufende Kommunikation abgreift, besteht durch den Systemzugriff ein zusätzliches Risiko (z. B. unbeabsichtigte Datenerhebung, Manipulation des Systems).
    • Das IT-System-Grundrecht gewährt daher einen vorgelagerten Schutz, der unabhängig von der konkreten Datenerhebung greift.

Die praktische Konsequenz: Staatliche Überwachungsmaßnahmen, die sowohl auf das IT-System zugreifen als auch Kommunikation abgreifen, müssen beiden Grundrechten genügen. Das bedeutet:

  • Strengere Anforderungen an die Verhältnismäßigkeit.
  • Besondere Schutzvorkehrungen für den Kernbereich privater Lebensgestaltung.

Die verfassungsrechtliche Bewertung: Verhältnismäßigkeit und Schutzvorkehrungen

1. Legitimer Zweck: Terrorismusprävention als Staatsaufgabe

Das BVerfG bestätigt, dass die Verhütung terroristischer Straftaten ein legitimes Ziel von höchstem Rang ist. Der Staat habe eine Schutzpflicht für Leib, Leben und Freiheit der Bürger:innen sowie für den Bestand des Gemeinwesens.

Die Quellen-TKÜ sei ein notwendiges Instrument, um verschlüsselte Kommunikation (z. B. über WhatsApp, Signal) auszulesen, die sonst für Ermittlungen unzugänglich wäre. Gerade im Vorfeld konkreter Gefahren sei eine solche Befugnis erforderlich, um Anschlagspläne frühzeitig zu erkennen.

2. Eingriffsschwelle: Konkrete Wahrscheinlichkeit terroristischer Straftaten

Die Eingriffsschwelle für die Quellen-TKÜ ist in § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW geregelt:

„Die konkrete Wahrscheinlichkeit, dass eine Person innerhalb eines übersehbaren Zeitraums eine terroristische Straftat begehen wird.“

Das Gericht hält diese Formulierung für verfassungsgemäß, da sie:

  • Keine bloße Verdachtsgenerierung erlaubt, sondern eine individuelle Prognose verlangt.
  • Terroristische Straftaten nach § 8 Abs. 4 PolG NRW auf besonders schwere Rechtsgutsverletzungen beschränkt (z. B. Mord, schwere Brandstiftung, Angriffe auf kritische Infrastruktur).
  • Eine qualifizierte Zielsetzung voraussetzt: Die Tat muss darauf abzielen, die Bevölkerung einzuschüchtern, den Staat zu destabilisieren oder wesentliche Infrastrukturen zu zerstören.

Die Beschwerdeführenden hatten moniert, der Straftatenkatalog sei zu weit und erfasse auch Bagatelldelikte. Das BVerfG widerspricht:

  • Die Terrorismusdefinition in § 8 Abs. 4 PolG NRW sei hinreichend präzise.
  • Selbst wenn einzelne Tatbestände (z. B. § 303b StGB – Computersabotage) nicht per se schwerwiegend seien, werde durch die terroristische Dimension sichergestellt, dass nur hochrangige Rechtsgüter geschützt werden.

3. Schutz des Kernbereichs privater Lebensgestaltung

Ein zentraler Streitpunkt war, ob die Quellen-TKÜ unvermeidbar in den absolut geschützten Kernbereich der Privatsphäre (z. B. intime Tagebucheinträge, Arzt-Patienten-Kommunikation) eingreift. Das BVerfG stellt klar:

  • Erhebungsebene: Ein Eindringen in den Kernbereich ist nicht per se verboten, solange es nicht gezielt erfolgt.
  • Verwertungsebene: Kernbereichsdaten dürfen nicht verwendet werden und müssen unverzüglich gelöscht werden (§ 20c Abs. 8 PolG NRW).
  • Technische Schutzvorkehrungen: Die Software muss so gestaltet sein, dass Kernbereichsdaten möglichst nicht erfasst werden.

Praktische Umsetzung:

  • Automatische Filterung: Die Überwachungssoftware soll kernbereichsrelevante Inhalte erkennen und blockieren.
  • Dokumentationspflicht: Jeder Zugriff muss protokolliert werden, um Missbrauch zu verhindern.
  • Richterliche Kontrolle: Die Anordnung einer Quellen-TKÜ unterliegt einem strengen Richtervorbehalt.

4. Technische Beschränkung auf laufende Kommunikation

Ein weiterer Streitpunkt war, ob eine technische Beschränkung der Überwachungssoftware auf laufende Kommunikation überhaupt möglich ist. Die Beschwerdeführenden argumentierten, ein „Staatstrojaner“ könne nicht verhindern, dass auch andere Daten (z. B. gespeicherte Dateien, Standortdaten) abgegriffen werden.

Das BVerfG hält eine technische Begrenzung für möglich, verweist aber auf strenge Anforderungen:

  • Die Software muss so konfiguriert sein, dass sie nur laufende Kommunikation erfasst.
  • Unabhängige Prüfung: Es sei nicht ausgeschlossen, dass eine technische Stelle (z. B. das BSI) die Software vor ihrem Einsatz überprüft.
  • Kein pauschaler Zugriff: Ein vollständiges Auslesen des Systems wäre unverhältnismäßig.

Das Gericht lässt bewusst offen, ob eine solche Prüfung verfassungsrechtlich zwingend erforderlich ist. Es obliege dem Gesetzgeber, hier nachzubessern, falls sich in der Praxis zeigt, dass die Beschränkung nicht sichergestellt werden kann.

5. IT-Sicherheit: Darf der Staat Sicherheitslücken ausnutzen?

Ein besonders brisantes Thema war die Frage, ob der Staat bewusst Sicherheitslücken („Zero-Day-Exploits“) in Software ausnutzen darf, um Überwachungssoftware einzuschleusen. Die Beschwerdeführenden sahen darin eine Gefährdung der IT-Sicherheit aller Nutzer:innen, da solche Lücken auch von Kriminellen ausgenutzt werden könnten.

Ausnutzen von IT-Sicherheitslücken durch Behörden

Das BVerfG verneint – wie schon früher! – eine grundsätzliche Schutzpflichtverletzung, betont aber:

„Der Gesetzgeber muss sicherstellen, dass die Infiltration von IT-Systemen nicht zu einer generellen Schwächung der IT-Sicherheit führt.“ (Rn. 150)

Praktische Konsequenz:

  • Der Staat darf nicht blind Sicherheitslücken ausnutzen, ohne Risikominimierung zu betreiben.
  • Transparenz und Kooperation mit Herstellern könnte erforderlich sein, um Schwachstellen nach der Überwachung zu schließen.
  • Eine generelle Offenlegungspflicht für genutzte Exploits lehnt das Gericht jedoch ab, da dies die Effektivität der Überwachung gefährden würde.
Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Abschließende Bewertung: Das BVerfG hat mit dem „Trojaner-I“-Beschluss einen ausgewogenen Kompromiss gefunden: Es ermöglicht den notwendigen Einsatz moderner Überwachungstechniken, stellt aber klare Grenzen zum Schutz der digitalen Privatsphäre. Die Entscheidung ist ein wichtiger Schritt, um das Spannungsfeld zwischen Sicherheit und Freiheit im 21. Jahrhundert verfassungsrechtlich zu bewältigen. Ob die technischen und rechtlichen Vorgaben in der Praxis jedoch wirksam umgesetzt werden können, bleibt abzuwarten.

Fazit: Ein Meilenstein für den digitalen Grundrechtsschutz

Mit dem „Trojaner-I“-Beschluss hat das Bundesverfassungsgericht nicht nur eine konkrete polizeirechtliche Norm bestätigt, sondern vor allem eine grundlegende Weichenstellung für den Schutz digitaler Privatsphäre vorgenommen. Die Entscheidung unterstreicht, dass der Staat im digitalen Zeitalter zwar über wirksame Instrumente zur Gefahrenabwehr verfügen muss, diese aber nicht um den Preis einer Aushöhlung grundrechtlicher Schutzstandards eingesetzt werden dürfen. Besonders bedeutsam ist die klare Abkehr von der bisherigen Subsidiaritätsthese: Das IT-System-Grundrecht tritt nicht hinter das Fernmeldegeheimnis zurück, sondern beide Grundrechte wirken kumulativ – eine Erkenntnis, die künftige Gesetzgebungsvorhaben und gerichtliche Prüfungen prägen wird.

Die Quellen-Telekommunikationsüberwachung bleibt damit ein zulässiges, aber hochsensibles Instrument, das nur unter strengsten Auflagen eingesetzt werden darf. Das Gericht betont, dass der Schutz des Kernbereichs privater Lebensgestaltung nicht verhandelbar ist und dass technische Schutzvorkehrungen keine bloße Formalie, sondern eine verfassungsrechtliche Notwendigkeit sind. Gleichzeitig zeigt die Entscheidung, wie schwierig die praktische Umsetzung dieser Vorgaben sein wird: Die technische Beschränkbarkeit von Überwachungssoftware auf laufende Kommunikation ist keine Selbstverständlichkeit, und die richterliche Kontrolle solcher Maßnahmen erfordert Fachwissen, das in der Justiz oft fehlt. Hier liegt eine Herausforderung für den Gesetzgeber, der sicherstellen muss, dass die theoretischen Schutzmechanismen auch in der polizeilichen Praxis wirksam werden.

Vor allem aber sendet das Urteil ein klares Signal an die Politik: Der digitale Grundrechtsschutz darf nicht als nachrangig behandelt werden. In einer Zeit, in der Smartphones zu persönlichen Archivaren geworden sind und verschlüsselte Kommunikation zum Alltag gehört, muss der Staat seine Überwachungsbefugnisse so gestalten, dass sie weder die IT-Sicherheit aller Nutzer:innen gefährden noch die Vertraulichkeit höchstpersönlicher Daten preisgeben. Die Entscheidung ist damit nicht nur ein Sieg für den Rechtsstaat, sondern auch ein Appell an die technische und rechtliche Weiterentwicklung unserer Sicherheitsarchitektur.

Ob die Balance zwischen effektiver Gefahrenabwehr und grundrechtlichem Schutz gelingt, wird sich in den kommenden Jahren zeigen – etwa wenn andere Bundesländer ähnliche Regelungen einführen oder wenn neue Überwachungstechnologien (wie KI-gestützte Analysetools) auf den Plan treten. Eines ist jedoch sicher: Mit diesem Urteil hat das Bundesverfassungsgericht Maßstäbe gesetzt, an denen sich künftige Debatten über Staat, Sicherheit und digitale Freiheit messen lassen müssen. Es bleibt zu hoffen, dass diese grundrechtliche Klarheit nicht nur auf dem Papier steht, sondern auch in der täglichen Praxis gelebt wird.

Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.