Mehrere Verfassungsbeschwerden richteten sich gegen die im Jahr 2017 eingeführten strafprozessualen Regelungen zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und zur Online-Durchsuchung, die das BVerfG in seiner gestern veröffentlichten Entscheidung für in weiten Teilen verfassungskonform erklärte (Beschluss vom 24.06.2025 –1 BvR 180/23 (Trojaner II)). Mit diesen Maßnahmen wollte der Gesetzgeber die Strafverfolgung im digitalen Raum erleichtern. Denn dort fehlt den Ermittlungsbehörden oft das passende Werkzeug, um Kommunikation von Tatverdächtigen zu überwachen und auszulesen. 

Da klassische Telekommunikationsüberwachung nur aktuell laufende Kommunikation abzapfen kann, stößt sie wegen der modernen Verschlüsselungstechnologien im Internet zunehmend an ihre Grenzen. Um auch Kommunikation über VoIP-Dienste oder Messenger zu überwachen, setzt die Quellen-TKÜ deshalb direkt am jeweiligen Endgerät an: Heimlich installierte Spähsoftware (sog. "Trojaner") ermöglicht es, Inhalte vor der Verschlüsselung oder nach der Entschlüsselung aufzuzeichnen. Dabei kann u.a. auch der gesamte Austausch mit Cloud-Services erfasst werden, wodurch sich die Quellen-TKÜ der Online-Durchsuchung faktisch stark angenähert hat. Die sog. erweiterte Quellen-TKÜ erlaubt zusätzlich den Zugriff auf bestimmte bereits gespeicherte Kommunikationsinhalte. 

Noch weiter geht die Online-Durchsuchung: Sie ermöglicht den Ermittlungsbehörden einen Vollzugriff auf sämtliche auf dem Gerät (oder in einem mit diesem verbundenen Cloud-Speicher) gespeicherten Daten des IT-Systems. Schließlich kann das Nutzungsverhalten live überwacht und so bspw. auch Passworteingaben mitgeschnitten werden. All dies ermöglicht eine nahezu vollständige digitale Durchleuchtung der betroffenen Personen. 

Verfassungsgemäß, aber…

Auch wenn das BVerfG an vielen Stellen durchblicken lässt, dass es die Bedenken der Beschwerdeführenden – insbesondere bezogen auf die Eingriffsintensität der angegriffenen Normen – grundsätzlich teilt, hat es sie dennoch nur teilweise für nichtig bzw. für unvereinbar mit dem Grundgesetz erklärt. Da die Ausführungen der Beschwerdeführenden nach Ansicht des BVerfG in weiten Teilen den Darlegungsanforderungen nicht genügten, hat es sich v.a. mit der Online-Durchsuchung inhaltlich nicht vertieft auseinandergesetzt. Dennoch enthält der Beschluss eine wichtige Konkretisierung des sog. IT-System-Grundrechts und durchaus gewichtige Einschränkungen der Quellen-TKÜ.

Im Jahr 2008 hatte das BVerfG aus dem Allgemeinen Persönlichkeitsrecht (APR) aus Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. IT-System-Grundrecht) abgeleitet. Dem lag die Überlegung zugrunde, dass moderne IT-Systeme wie Laptops oder Smartphones eines besonderen grundrechtlichen Schutzes bedürfen. Auf diesen Geräten sind meist viele unterschiedliche und zum Teil höchst private Daten einer Person gespeichert, womit ein heimlicher Zugriff auf diese Geräte tiefe Einblicke in ihr Leben erlaubt und sich damit letztlich umfassende Persönlichkeitsbilder erstellen lassen. 

IT-System-Grundrecht spezieller als informationelle Selbstbestimmung

Unklar war bisher allerdings das Konkurrenzverhältnis zum sog. Recht auf informationelle Selbstbestimmung, das ebenfalls eine Ausprägung des APR darstellt. Ersteres gewährt jeder Person die Kontrolle darüber, ob, wann und in welchem Umfang sie persönliche Informationen preisgeben möchte. Es schützt damit vor einer unbegrenzten Erhebung, Speicherung, Nutzung und Weitergabe personenbezogener Daten. 

Das BVerfG hat nun festgelegt, dass sich bei einem Zugriff mit technischen Mitteln auf ein IT-System der Prüfungsmaßstab nach dem Schutzbereich des IT-System-Grundrechts bestimmt. Beide Grundrechte schützen zwar die Privatheit und Persönlichkeitsentfaltung der Betroffenen, doch ist das IT-System-Grundrecht spezieller: Es zielt gerade auf den Schutz selbst genutzter IT-Systeme, ihrer Integrität und der Vertraulichkeit der darin gespeicherten Daten ab. Anders als das Recht auf informationelle Selbstbestimmung, das allgemein vor dem Zugriff auf persönliche Daten – auch in der analogen Welt – schützt, setzt es am konkreten System an. Sein Schutz beginnt schon vor einer Datenerhebung: Bereits die Erwartung, dass ein eigenes IT-System vertraulich bleibt, ist geschützt. Raum für die Anwendung des Rechts auf informationelle Selbstbestimmung bleibt jedoch auch bei Zugriffen auf IT-Systeme, etwa wenn ein System nicht hinreichend qualifiziert ist oder nicht als eigenes genutzt wird und der Schutzbereich des IT-System-Grundrechts daher nicht greift.

Straftatenkatalog der Quellen-TKÜ zu umfangreich 

Anders als die klassische Telekommunikationsüberwachung, bei der nur aktuell stattfindende  Kommunikationsvorgänge überwacht werden können, stellt eine Quellen-TKÜ durch die Notwendigkeit, die betroffenen Geräte zunächst mit der Spähsoftware zu infiltrieren, nicht nur einen Eingriff in das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG, sondern eben auch in das IT-System-Grundrecht dar. Aufgrund der Schwere dieses Eingriffs hält das BVerfG den bisherigen Katalog zulässiger Anlasstaten für zu weitgehend. 

Zur Begründung stellt das Gericht darauf ab, dass die Quellen-TKÜ es den Ermittlerinnen und Ermittlern ermögliche, auf einen enorm umfangreichen und vielfältigen Datenbestand zuzugreifen, der herkömmliche Informationsquellen weit übertreffe. Die Fülle der Daten in Verbindung mit heutigen Analysemöglichkeiten erlaube einen nahezu vollständigen Einblick in das Privatleben der Betroffenen, bis hin zu detaillierten Verhaltens- und Kommunikationsprofilen. Durch die heimliche Umgehung von Sicherungsmechanismen wie Verschlüsselungen werde zudem gezielt der informationelle Selbstschutz umgangen, was die Grundrechtsbeeinträchtigung weiter verstärke. Zudem werde mit dem Eindringen in das IT-System die Integrität und Vertraulichkeit der gesamten persönlichen Datenumgebung aufgehoben, was nach Ansicht des BVerfG ein erhebliches Missbrauchs- und Manipulationsrisiko birgt: "Sowohl die Ermittlungsbehörde als auch von ihr mit der Durchführung betraute Dritte können Datenbestände versehentlich oder durch gezielte Manipulationen löschen, verändern oder neu anlegen."

In Anbetracht des hohen Eingriffsgewichts der Quellen-TKÜ verlangt das BVerfG daher, ihren Einsatz auf die Verfolgung "besonders schwerer Straftaten" zu begrenzen. Nach ständiger Rechtsprechung des BVerfG handelt es sich dabei jedenfalls um solche Straftaten, die mit einer Höchstfreiheitsstrafe von mehr als fünf Jahren bedroht sind. Danach sei der Straftatenkatalog des § 100a Abs. 2 StPO im Hinblick auf die einfache und die erweiterte Quellen-TKÜ insoweit verfassungswidrig, als er Straftatbestände umfasse, die lediglich Höchstfreiheitsstrafen von drei Jahren oder weniger vorsähen und damit der einfachen Kriminalität zuzuordnen seien, befand das Gericht. Soweit der Katalog aber auch Straftaten enthält, die "nur" Höchstfreiheitsstrafen von bis zu fünf Jahren vorsehen, deutet das BVerfG zwar an, dass diese in der Regel nur in den Bereich der mittleren Kriminalität einzustufen, jedoch mangels einer "auf einzelne Straftatbestände bezogenen Rüge" kein Prüfungsgegenstand gewesen seien. 

Wichtige Fragen bleiben unbeantwortet

Aus rechtsstaatlicher Sicht ist es zu begrüßen, dass das BVerfG in seiner Entscheidung die Bedeutung des IT-System-Grundrechts unterstrichen hat und Eingriffe zum Zwecke der Strafverfolgung grundsätzlich auf schwere Straftaten beschränkt. Umso bedauerlicher ist es, dass die Rüge der Beschwerdeführenden nicht auf einzelne Straftatbestände bezogen war, was dem BVerfG eine noch weitergehende Einschränkung der Kataloge ermöglicht hätte. 

Leider war das BVerfG bei seiner Überprüfung der Online-Durchsuchung auch auf Randaspekte beschränkt. So hat es zwar einen – mehr oder weniger unerheblichen – Verstoß gegen das Zitiergebot ausgemacht und klargestellt, dass die vorgesehenen Regelungen zum Kernbereichsschutz auch ohne eine Abbruchpflicht bei Echtzeit-Überwachungsmaßnahmen zulässig sind. Offen geblieben ist dagegen die grundsätzliche Frage, ob den Strafverfolgungsbehörden in Anbetracht des vom BVerfG immer wieder betonten hohen Stellenwertes des IT-System-Grundrechts tatsächlich eine Art Schweizer Taschenmesser zur digitalen Totalüberwachung zur Verfügung gestellt werden darf. Die inhaltlich nahezu unbegrenzten Einsatzmöglichkeiten der Online-Durchsuchung eröffnen ein immenses Missbrauchspotential, das wichtige verfassungsrechtliche Fragen aufwirft, die dieser Beschluss nicht abschließend klären konnte. 

Gravierende Grundrechtseingriffe unter ferner liefen

Aber unabhängig von der Verfassungsmäßigkeit der Online-Durchsuchung stellt sich die rechts- aber auch gesellschaftspolitisch wichtige Frage, unter welchen Voraussetzungen man eine solche digitale Komplettüberwachung zur Strafverfolgung ermöglichen sollte. Die Gefahren, die von umfassenden Datenerhebungen ausgehen, werden sich in den nächsten Jahren durch immer ausgereiftere KI-basierte Analysemöglichkeiten nochmal erheblich verschärfen. 

Während in den 1990er Jahren der sog. Lauschangriff eine große gesellschaftliche Debatte auslöste und zu umfangreichen Grundgesetzänderungen führte, findet die heutige Diskussion über ungleich intensivere Ermittlungsmaßnahmen weitgehend unter ferner liefen statt. Dies mag viele Gründe haben und dürfte nicht zuletzt auch an den sperrigen technischen Fachtermini liegen. Schaut man sich an, welchen enormen Stellenwert Computer und Smartphone für unseren Alltag haben, überrascht die eher geringe Aufmerksamkeit für dieses Thema dann doch. Aber wenn als Reaktion auf diese durchaus moderate Entscheidung des BVerfG umgehend wieder ein generelles Verbot verschlüsselter Kommunikation oder sogar ein zwingender Einbau staatlicher Hintertüren in Softwareprogrammen ins Spiel gebracht werden, mögen wir heute vielleicht auch einfach in einer anderen Zeit leben. Und ganz ehrlich: Wir haben ja auch nichts zu verbergen.

Dr. Sven Großmann ist Habilitand am Lehrstuhl für Deutsches, Europäisches und Internationales Straf- und Strafprozessrecht, Medizin- und Wirtschaftsstrafrecht der Universität Augsburg.