In diesem Urteilsticker nehmen wir nun die nächste Entscheidung des BVerfG zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und Online-Durchsuchung in den Blick. In dem zweiten Verfahren überprüfte das BVerfG nun die §§ 100a I 2 und 3 sowie 100b I StPO auf ihre Rechtmäßigkeit. In der Trojaner I-Entscheidung stand die präventive Quellen-TKÜ und die Telekommunikationsüberwachung gemäß § 20c PolG NRW im Vordergrund.
A. Vereinfachter Sachverhalt
2017 wurden erstmals die gesetzlichen Grundlagen für die Quellen-TKÜ und die Online-Durchsuchung geschaffen. Ziel war es, die Strafverfolgung an die technischen Entwicklungen – insbesondere an verschlüsselte internetbasierte Kommunikation – anzupassen und dadurch die Funktionsfähigkeit der Strafrechtspflege sicherzustellen.
Die Quellen-Telekommunikationsüberwachung gemäß § 100a StPO erlaubt es Ermittlungsbehörden, laufende oder kürzlich abgeschlossene Kommunikation direkt am Endgerät – also vor oder nach einer Verschlüsselung – heimlich zu überwachen. Dies geschieht durch das verdeckte Aufspielen einer Überwachungssoftware („Trojaner“) auf das IT-System des Betroffenen. Die Maßnahme darf nur bei Verdacht auf eine in § 100a II StPO genannte schwere Straftat, unter Richtervorbehalt und bei Subsidiarität angeordnet werden. Veränderungen am IT-System sind auf das Notwendige zu beschränken und müssen protokolliert werden.
Die Online-Durchsuchung nach § 100b StPO geht darüber hinaus: Sie ermöglicht den verdeckten Zugriff auf das gesamte IT-System einer beschuldigten Person, einschließlich gespeicherter Daten und Nutzungsverhalten. Voraussetzung ist der Verdacht einer besonders schweren Straftat (§ 100b II StPO) sowie die Aussichtslosigkeit milderer Mittel. Auch hier besteht ein strenger Richtervorbehalt; die Maßnahme ist grundsätzlich nur gegen Beschuldigte zulässig.
Grundrechtliche Schutzmechanismen sind u.a. in § 100d StPO vorgesehen und schützen den Kernbereich privater Lebensgestaltung. Erlangte Daten aus diesem Kernbereich dürfen nicht verwertet und müssen gelöscht werden. Außerdem genießen Berufsgeheimnisträger und ihre Kommunikationspartner zudem besondere Schutzrechte nach §§ 52 ff., 148, 160a, 100d V StPO.
Die Beschwerdeführer halten diese Befugnisse für verfassungswidrig, weil die Vorschriften ihrer Ansicht nach unverhältnismäßig seien und ihre Grundrechte verletzen würden, insbesondere
das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (Art. 2 I i.V.m. Art. 1 I GG) sowie
das Fernmeldegeheimnis (Art. 10 I GG).
Sie beanstanden die Gefahr einer Totalüberwachung, unzureichenden Kernbereichs- und Geheimnisschutz sowie mangelnde technische und gerichtliche Kontrollmechanismen. Auch das Zitiergebot nach Art. 19 II 2 GG und die Rechtsweggarantie nach Art. 19 IV GG seien verletzt.
Das Bundesverfassungsgericht hatte also zu klären, ob und unter welchen Voraussetzungen §§ 100a I 2 und 3 sowie 100b I StPO mit dem Grundgesetz vereinbar sind.
B. Entscheidung des Gerichts
Eine ausführliche Darstellung der Zulässigkeit findest Du in der ersten Trojaner Entscheidung.
I. Zulässigkeit der Verfassungsbeschwerde
Die Verfassungsbeschwerde ist teilweise zulässig, soweit sie
ein nicht hinreichendes Straftatengewicht der § 100a I 2, 3 i.V.m. § 100a I 1 Nr. 1, II StPO und
einen Verstoß von § 100b I StPO gegen das Zitiergebot (Art. 19 I 2 GG) und einen unzureichenden Kernbereichsschutz wegen eines fehlenden Abbruchgebots rügt.
II. Begründetheit der Verfassungsbeschwerde
Die Beschwerde ist – soweit zulässig – in weiten Teilen begründet.
Klausurtipp
Anders als in der Trojaner I-Entscheidung prüfen wir die jeweiligen Grundrechte dieses Mal komplett einzeln durch (Schutzbereich - Eingriff - Rechtfertigung). Aus klausurtaktischen Gründen ist es hier sinnvoll die Eingriffe durch § 100a I 2, § 100a I 3 und § 100b I StPO zu trennen und separat zu prüfen. Zur Wiederholung: Die Verfassungsbeschwerde ist begründet, wenn die Beschwerdeführenden in ihren Grundrechten oder grundrechtsgleichen Rechten verletzt sind, vgl. Art. 94 I Nr. 4a GG.
Grundrechtseingriff durch § 100a I 2 StPO
§ 100a I 2 StPO:
Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen.
IT-System-Grundrecht gemäß Art. 2 I i.V.m Art. 1 I GG
1. Schutzbereich
Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-System-Grundrecht) schützt als besondere Ausprägung des allgemeinen Persönlichkeitsrechts den Einzelnen vor staatlichen Zugriffen auf seine eigengenutzten informationstechnischen Systeme.
Geschützt sind solche Systeme, die aufgrund ihrer technischen Funktionalität Daten in einem Umfang und in einer Vielfalt enthalten, dass ein Zugriff auf sie einen Einblick in wesentliche Lebensvorgänge oder gar ein Persönlichkeitsprofil ermöglicht.
Damit umfasst der Schutzbereich die Integrität und Vertraulichkeit der Nutzung und Datenhaltung solcher Systeme (vgl. BVerfGE 120, 274, 313 ff.; BVerfG, Beschl. v. 24.06.2025 – 1 BvR 2466/19).
Soweit aber – wie hier – ein Zugriff mit technischen Mitteln auf ein IT-System erfolgt, tritt das Recht auf informationelle Selbstbestimmung hinter das IT-System-Grundrecht zurück:
Ermächtigt aber eine Norm zur Datenerhebung aus einem IT-System, auf das mit technischen Mitteln zugegriffen wird, wird das Recht auf informationelle Selbstbestimmung vom IT-System-Grundrecht verdrängt. Von diesen beiden Ausprägungen des allgemeinen Persönlichkeitsrechts gewährleistet das IT-System-Grundrecht einen gegenüber dem Recht auf informationelle Selbstbestimmung spezifischen Schutz, der gerade die mit dem Zugriff auf eigengenutzte IT-Systeme verbundene Verletzung ihrer Integrität und Gefährdung der Vertraulichkeit in den Blick nimmt.
Der Schutzbereich des IT-System-Grundrechts ist eröffnet.
2. Eingriff
Die Quellen-TKÜ nach § 100a I 2 StPO erlaubt den Ermittlungsbehörden, laufende Telekommunikation unmittelbar an der Quelle, d.h. auf dem Endgerät, zu überwachen und aufzuzeichnen. Dies setzt regelmäßig den Einsatz technischer Mittel voraus, die in das genutzte IT-System eindringen und dort Kommunikationsvorgänge abgreifen.
Damit wird in die Integrität und Vertraulichkeit des Systems eingegriffen, da der Staat Schutzmechanismen des Systems (etwa Verschlüsselung) umgeht und die Kontrolle über die auf dem System stattfindenden Datenflüsse teilweise übernimmt.
Ein Eingriff in den Schutzbereich liegt somit vor.
3. Schranke
Das IT-System-Grundrecht steht unter dem Vorbehalt der verfassungsmäßigen Ordnung (Art. 2 I GG). Eingriffe sind daher auf gesetzlicher Grundlage und unter Wahrung des Verhältnismäßigkeitsgrundsatzes zulässig.
Gesetzliche Grundlage ist § 100a I 2 StPO i.V.m. § 100a I 1 Nr. 1, II StPO. Die Norm ist formell verfassungsgemäß erlassen worden.
Die materielle Verfassungsmäßigkeit richtet sich nach dem Grundsatz der Verhältnismäßigkeit.
Zweck der Maßnahme ist die effektive Aufklärung schwerer Straftaten, insbesondere bei verschlüsselter Kommunikation. Dies ist ein legitimer Zweck, der der Funktionsfähigkeit der Strafrechtspflege dient. Die Quellen-TKÜ ist geeignet und erforderlich, um verschlüsselte Kommunikation zugänglich zu machen. Mildere, ebenso wirksame Mittel sind nicht ersichtlich.
Weiterhin müsste die Maßnahme auch angemessen sein. Hier prüfst Du nun die Verhältnismäßigkeit im engeren Sinne. Zur besseren Nachvollziehbarkeit haben wir diese Prüfung für Dich aufgegliedert:
a) Eingriffsgewicht
Die Maßnahme greift besonders schwer in das IT-System-Grundrecht ein. Sie ermöglicht einen tiefgehenden Zugriff auf laufende Kommunikationsdaten und kann – abhängig von der Systemnutzung – einen umfassenden Einblick in höchstpersönliche Lebensbereiche eröffnen.
Das Eindringen in IT-Systeme über sog. Zero-Day-Exploits und die Umgehung von Verschlüsselung verletzen berechtigte Erwartungen an die Integrität und Sicherheit der Systeme. Zudem besteht das Risiko, dass Dritte betroffen werden und die erhobenen Daten zu Persönlichkeitsprofilen verarbeitet werden können.
b) Erforderliches Gewicht der Anlassstraftat
Wegen der Schwere des Eingriffs ist die Maßnahme nur bei der Verfolgung besonders schwerer Straftaten verfassungsrechtlich zulässig. Dies setzt voraus, dass die jeweilige Tat eine Höchstfreiheitsstrafe von mehr als fünf Jahren vorsieht oder ihrem Unrechtsgehalt nach einem solchen Gewicht entspricht (vgl. BVerfGE 109, 279, 347 f.).
c) Fehlende Angemessenheit der gegenwärtigen Regelung:
§ 100a I 2 i.V.m. II StPO erlaubt die Maßnahme auch bei Straftaten, die nur mit Freiheitsstrafe bis zu drei Jahren bedroht sind und damit dem einfachen Kriminalitätsbereich angehören (etwa §§ 85 II, 86 I und II, 97 II, 130 II StGB u.a.).
Diese Straftaten rechtfertigen angesichts des besonders hohen Eingriffsgewichts keine Quellen-Telekommunikationsüberwachung. Soweit die Vorschrift an solche geringfügigen Delikte anknüpft, ist sie daher unverhältnismäßig und verfassungswidrig.
4. Zwischenergebnis
§ 100a I 2 StPO ist, soweit er auf Straftaten mit Höchststrafe bis zu drei Jahren abstellt, mit Art. 2 I i.V.m. Art. 1 I GG unvereinbar.
Fernmeldegeheimnis gemäß Art. 10 I GG
1. Schutzbereich
Art. 10 I GG schützt die Vertraulichkeit der individuellen, nichtöffentlichen Kommunikation mittels Telekommunikation. Der Schutz umfasst die unkörperliche Übermittlung von Informationen sowie deren Inhalte und Umstände, unabhängig vom verwendeten technischen Medium.
2. Eingriff
Die Quellen-TKÜ erfasst und speichert laufende Kommunikationsvorgänge zwischen Beteiligten. Damit wird in den Schutzbereich des Art. 10 I GG eingegriffen.
3. Schranke
Nach Art. 10 II 1 GG kann das Fernmeldegeheimnis durch Gesetz eingeschränkt werden.
§ 100a StPO stellt eine solche gesetzliche Grundlage dar. § 100a I 2 StPO müsste also insbesondere verhältnismäßig sein.
Da der Eingriff – im Unterschied zum IT-System-Grundrecht – hier nur Kommunikationsvorgänge betrifft, ist sein Gewicht zwar erheblich, aber weniger intensiv.
Die Quellen-TKÜ ist daher in Bezug auf Art. 10 I GG verhältnismäßig, soweit sie auf die Überwachung laufender Telekommunikation beschränkt bleibt und keine Systeminfiltration mit umfassendem Datenzugriff erfolgt.
Soweit also kein Zugriff auf ein schutzwürdiges IT-System im Sinne des IT-System-Grundrechts stattfindet, bestehen keine verfassungsrechtlichen Bedenken.
Soweit also allein Art. 10 I GG betroffen ist, ist § 100a I 2 StPO verfassungsgemäß.
4. Zwischenergebnis
Als Zwischenergebnis verletzt die Quellen-TKÜ nach § 100a I 2 StPO das IT-System-Grundrecht und das Fernmeldegeheimnis, soweit sie auch bei Straftaten mit einem geringen Strafrahmen (bis drei Jahre) zulässig ist; die Quellen-TKÜ ist jedoch verfassungsgemäß, soweit sie ausschließlich in das Fernmeldegeheimnis eingreift und der Verfolgung besonders schwerer Straftaten dient.
Grundrechtseingriff durch § 100a I 3 StPO
§ 100a I 3 StPO:
Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.
1. Schutzbereich
Der Schutzbereich des IT-System-Grundrechts ist wie bereits dargestellt eröffnet.
2. Eingriff
Die Quellen-TKÜ nach § 100a I 3 StPO erlaubt es den Ermittlungsbehörden, mittels technischer Mittel auf ein IT-System zuzugreifen, um gespeicherte Kommunikationsinhalte zu überwachen und aufzuzeichnen. Damit wird das IT-System selbst infiltriert und die Möglichkeit geschaffen, auf dessen Leistungen, Funktionen und gespeicherte Daten zuzugreifen. Dieser technische Zugriff gefährdet die Vertraulichkeit des gesamten Systems, unabhängig davon, dass die Maßnahme nur auf gespeicherte Kommunikationsdaten und nicht auf laufende Telekommunikation gerichtet ist.
Ein Eingriff in die Integrität und Vertraulichkeit des IT-Systems liegt vor.
3. Schranke
Wie bereits schon dargestellt, steht das IT-System-Grundrecht unter dem Gesetzesvorbehalt der verfassungsmäßigen Ordnung (Art. 2 I GG).
Gesetzliche Grundlage ist § 100a I 3 StPO i.V.m. § 100a I 1 Nr. 1, II StPO. Die Norm ist formell verfassungsgemäß erlassen worden.
Die materielle Verfassungsmäßigkeit richtet sich nach dem Grundsatz der Verhältnismäßigkeit. Legitimer Zweck ist, wie bereits ausführlich dargestellt, eine effektive Strafverfolgung schwerer Straftaten. Außerdem ist sie geeignet und erforderlich, diesen Zweck zu erreichen. Daneben müsste die Quellen-TKÜ auch angemessen sein:
a) Eingriffsgewicht
Auch § 100a I 3 StPO begründet einen schwerwiegenden Eingriff, da der staatliche Zugriff auf das IT-System den Schutzmechanismus der Systemintegrität durchbricht.
Obwohl die Maßnahme auf gespeicherte Kommunikationsdaten beschränkt ist, kann sie einen tiefen Einblick in private Lebensvorgänge gewähren und birgt erhebliche Risiken des Missbrauchs. Das Eingriffsgewicht ist damit hoch, wenn auch etwas geringer als bei § 100a I 2 StPO.
b) Schwere der Anlassstraftat
Wegen dieses erheblichen Eingriffsgewichts darf eine Quellen-TKÜ nur der Verfolgung besonders schwerer Straftaten dienen. Eine Anwendung auf Straftaten mit einer Höchstfreiheitsstrafe von bis zu drei Jahren – also aus dem einfachen Kriminalitätsbereich – steht außer Verhältnis zur Schwere des Eingriffs.
c) Fehlende Angemessenheit der gesetzlichen Regelung:
Soweit § 100a I 3 i.V.m. II StPO die Maßnahme auch für Straftaten zulässt, deren Höchststrafe drei Jahre oder weniger beträgt (etwa § 85 II, § 86 StGB u.a.), genügt die Norm den Anforderungen der Verhältnismäßigkeit im engeren Sinne nicht. Die gesetzliche Begrenzung des Anlasstatbestandes bleibt hinter der durch das Eingriffsgewicht gebotenen Eingriffsschwelle zurück.
Die Norm ist insoweit verfassungswidrig.
4. Zwischenergebnis
Der durch § 100a I 3 StPO bewirkte Eingriff in das IT-System-Grundrecht ist nicht gerechtfertigt, soweit die Maßnahme auch zur Aufklärung von Straftaten zulässig ist, die lediglich eine Höchstfreiheitsstrafe von bis zu drei Jahren vorsehen und damit nur dem einfachen Kriminalitätsbereich angehören.
Soweit hingegen kein Zugriff auf ein eigengenutztes IT-System erfolgt und daher nur das Recht auf informationelle Selbstbestimmung betroffen ist, ist der Eingriff verhältnismäßig und verfassungsrechtlich nicht zu beanstanden.
Grundrechtseingriff durch § 100b StPO
§ 100b I StPO:
Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung), wenn
bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat,
die Tat auch im Einzelfall besonders schwer wiegt und
die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.
1. Verstoß gegen das Zitiergebot
Im Folgenden beschäftigt sich das BVerfG mit der – recht selten zu klärenden – Problematik des Zitiergebots.
Eine Befugnisnorm, die dazu ermächtigt, heimlich mit technischen Mitteln in ein von Betroffenen genutztes IT-System einzugreifen und daraus Daten zu erheben, die auch solche der laufenden Fernkommunikation umfassen (Online-Durchsuchung), ermöglicht Eingriffe sowohl in das IT-System-Grundrecht als auch in Art. 10 I GG. Sind beide Grundrechte betroffen, ist die Befugnis zur Online-Durchsuchung an beiden Grundrechten zu messen.
§ 100b I StPO, der die Online-Durchsuchung regelt, verstößt gegen Art. 10 I GG i.V.m. Art. 19 I 2 GG, weil der Gesetzgeber das Zitiergebot nicht beachtet hat. Das Zitiergebot verlangt nach Art. 19 I 2 GG, dass ein Gesetz das eingeschränkte Grundrecht ausdrücklich unter Angabe seines Artikels nennt, wenn es dieses Grundrecht beschränkt. Diese Pflicht dient der Warn- und Besinnungsfunktion des Gesetzgebers und soll Transparenz über Grundrechtseingriffe sichern.
§ 100b I StPO erlaubt Eingriffe auch in das Fernmeldegeheimnis nach Art. 10 I GG, da die Maßnahme laufende Kommunikation über IT-Systeme erfassen kann. Weder die Strafprozessordnung selbst noch das Gesetz, das § 100b StPO einführte, zitieren jedoch Art. 10 GG.
Eine verfassungskonforme Auslegung ist ausgeschlossen, da der Gesetzgeber bewusst auch die Überwachung der Internetkommunikation ermöglichen wollte.
2. Zwischenergebnis
§ 100b I StPO ist formell verfassungswidrig, soweit er in Art. 10 I GG eingreift, weil das Zitiergebot des Art. 19 I 2 GG verletzt wurde. Zusammenfassend wird sowohl in das IT-Grundrecht als auch in das Fernmeldegeheimnis eingegriffen.
III. Gesamtergebnis
Soweit die Verfassungsbeschwerde zulässig ist, ist sie in großen Teilen begründet.
Folgen der Verfassungswidrigkeit
Die Feststellung der Verfassungswidrigkeit einer Norm führt grundsätzlich zu deren Nichtigkeit. Das BVerfG kann jedoch gemäß §§ 31 II, 79 I, 93c I 3 BVerfGG eine Norm auch nur für mit dem Grundgesetz unvereinbar erklären, wenn eine sofortige Nichtigkeit den Schutz überragender Gemeinwohlgüter gefährden würde. In solchen Fällen kann es die vorübergehende Fortgeltung der verfassungswidrigen Regelung anordnen.
Im konkreten Fall heißt das:
§ 100a I 2 und 3 StPO (Quellen-TKÜ) ist teilweise nichtig, da die Verfassungswidrigkeit den Kern der Norm betrifft und eine verfassungsgemäße Neuregelung nicht möglich ist.
§ 100b I StPO (Online-Durchsuchung) wird hingegen nur mit der Verfassung unvereinbar erklärt, nicht nichtig, weil der Verstoß – das fehlende Zitieren des Art. 10 GG – formeller Natur ist und der Gesetzgeber diesen Mangel nachbessern kann.
Das BVerfG lässt die Norm befristet fortgelten, da die Online-Durchsuchung eine hohe Bedeutung für die Strafverfolgung hat und ein sofortiger Wegfall erhebliche Sicherheitsrisiken mit sich brächte.
§ 100b StPO bleibt vorübergehend anwendbar, ist aber formell verfassungswidrig wegen Verstoßes gegen das Zitiergebot (Art. 19 I 2 GG). Der Gesetzgeber muss die Regelung verfassungskonform nachbessern.
(BVerfG 1 BvR 180/23)
Du möchtest weiterlesen?
Dieser Beitrag steht exklusiv Kunden von Jura Online zur Verfügung.
Paket auswählen