Das Bundesverfassungsgericht hat entschieden, dass die nordrhein-westfälischen Regelungen zur präventiven (Quellen‑)Telekommunikationsüberwachung verfassungsgemäß sind, während bestimmte strafprozessuale Vorschriften zur Quellen-TKÜ und zur Online-Durchsuchung wegen unverhältnismäßiger Eingriffsintensität bzw. formaler Mängel teilweise verfassungswidrig sind. Insbesondere dürfen heimliche Zugriffe auf IT-Systeme nicht zur Aufklärung von Bagatellkriminalität eingesetzt werden.
Mit heute veröffentlichten Beschlüssen hat der Erste Senat des Bundesverfassungsgerichts über zwei Verfassungsbeschwerden entschieden, die sich gegen polizeirechtliche und strafprozessuale Ermächtigungen richten. Im Verfahren 1 BvR 2466/19 (Trojaner I) wenden sich die Beschwerdeführenden mit ihrer Verfassungsbeschwerde gegen die polizeirechtlichen Ermächtigungen zur (Quellen-)Telekommunikationsüberwachung in § 20c des Polizeigesetzes des Landes Nordrhein-Westfalen (PolG NRW); im Verfahren 1 BvR 180/23 (Trojaner II) wenden sie sich gegen die strafprozessualen Ermächtigungen zur Quellen-Telekommunikationsüberwachung und zur Online-Durchsuchung in § 100a Abs. 1 Sätze 2 und 3, § 100b Abs. 1 Strafprozessordnung (StPO).
Die Verfassungsbeschwerden sind größtenteils bereits unzulässig. So legen die Beschwerdeführenden die Möglichkeit einer Grundrechtsverletzung überwiegend nicht hinreichend substantiiert dar. Soweit die Verfassungsbeschwerden zulässig sind, sind sie nur teilweise erfolgreich.
Der Senat stellt in seinen Beschlüssen fest: Die in zulässiger Weise angegriffenen Regelungen des PolG NRW sind vollständig mit dem Grundgesetz vereinbar; die angegriffenen Regelungen der Strafprozessordnung sind teilweise verfassungswidrig. So ist die Quellen-Telekommunikationsüberwachung zur Aufklärung solcher Straftaten, die lediglich eine Höchstfreiheitsstrafe von drei Jahren oder weniger vorsehen, nicht verhältnismäßig im engeren Sinne und wurde vom Senat insoweit für nichtig erklärt. Die Ermächtigung zur Online-Durchsuchung genügt, soweit sie (auch) zu Eingriffen in das durch Art. 10 Abs. 1 Grundgesetz (GG) geschützte Fernmeldegeheimnis ermächtigt, nicht dem Zitiergebot und ist daher mit dem Grundgesetz unvereinbar. Diese Vorschrift gilt bis zu einer Neuregelung jedoch fort.
Sachverhalt:
Die in den Verfahren angegriffenen Regelungen haben im Wesentlichen folgenden Inhalt:
I. § 20c PolG NRW regelt polizeirechtliche Befugnisse zur Telekommunikationsüberwachung und Quellen-Telekommunikationsüberwachung.
§ 20c Abs. 1 PolG NRW regelt die Befugnis zur klassischen Telekommunikationsüberwachung und erlaubt es, die laufende Telekommunikation ohne Wissen der betroffenen Person zu überwachen und aufzuzeichnen.
Nach Absatz 2 der Norm darf die Überwachung und Aufzeichnung der Telekommunikation darüber hinaus in der Weise erfolgen, dass mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme (IT-Systeme) eingegriffen wird (Quellen-Telekommunikationsüberwachung). Die Überwachung mittels eines Eingriffs in ein IT-System erfolgt mit dem Ziel, auch solche Inhalte einer Kommunikation zu erfassen, die bei einer bloßen Telekommunikationsüberwachung aufgrund ihrer Verschlüsselung nicht oder jedenfalls nicht mit praktisch vertretbarem Aufwand ausgewertet werden können. Der Zugriff darf in solchen Fällen an der „Quelle“ der Kommunikation erfolgen, an der die kommunizierten Inhalte noch nicht verschlüsselt oder wieder unverschlüsselt vorliegen.
II. § 100a Abs. 1 Sätze 2 und 3 StPO und § 100b Abs. 1 StPO erlauben eine heimliche Überwachung von IT-Systemen zum Zweck der Strafverfolgung.
1. Die angegriffenen strafprozessualen Ermächtigungen zur Quellen-Telekommunikationsüberwachung unterscheiden danach, ob über den Zugriff auf das IT-System laufende Telekommunikation (§ 100a Abs. 1 Satz 2 StPO) oder auf dem System gespeicherte, vormals laufende Telekommunikation (§ 100a Abs. 1 Satz 3 StPO) überwacht und aufgezeichnet werden soll.
a) Eine Quellen-Telekommunikationsüberwachung nach Satz 2 der Norm erfasst technisch und rechtlich die gleichen Daten wie eine „klassische“ Telekommunikationsüberwachung und damit den gesamten ein- und ausgehenden Datenstrom des überwachten Endgeräts.
b) Die erweiterte Quellen-Telekommunikationsüberwachung nach Satz 3 ermächtigt dagegen zur Überwachung und Aufzeichnung der auf dem IT-System Betroffener gespeicherten Inhalte und Umstände der Kommunikation. Nach der Vorstellung des Gesetzgebers ergänzt diese Regelung eine Quellen-Telekommunikationsüberwachung nach Satz 2 insoweit, als auch auf solche Inhalte und Umstände einer Kommunikation zugegriffen werden darf, bei denen der Übertragungsvorgang bereits abgeschlossen ist und die auf dem IT-System der Betroffenen noch gespeichert sind. Dabei ist aber sicherzustellen, dass ausschließlich Inhalte und Umstände einer Kommunikation überwacht werden können, die ab dem Zeitpunkt der richterlichen Anordnung auch während des laufenden Übertragungsvorgangs hätten überwacht werden können.
2. Die ebenfalls angegriffene Regelung zur Online-Durchsuchung nach § 100b Abs. 1 StPO erlaubt es, in ein von Betroffenen genutztes IT-System einzugreifen und daraus Daten zu erheben. Im Gegensatz zur Quellen-Telekommunikationsüberwachung ermöglicht die Online-Durchsuchung einen Zugriff auf das gesamte IT-System. Das Nutzungsverhalten einer Person einschließlich der Inhalte und Umstände laufender Kommunikation sowie alle dort gespeicherten Daten werden vollständig erfasst.
Wesentliche Erwägungen des Senats:
A. Die Verfassungsbeschwerden sind nur teilweise zulässig.
I. Im Verfahren Trojaner I haben die Beschwerdeführenden die Möglichkeit einer Verletzung des Grundrechts auf Gewährleitung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-System-Grundrecht) aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG sowie des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG durch die in § 20c PolG NRW geregelten Befugnisse nur zu einem Teil aufgezeigt. Die Beschwerdeführenden haben zwar die Möglichkeit einer Grundrechtsverletzung hinreichend dargelegt, soweit sie rügen, einzelne der über den Verweis auf § 8 Abs. 4 PolG NRW bestimmten terroristischen Straftatbestände schützten keine hinreichend gewichtigen Rechtsgüter.
Im Übrigen aber genügt ihr Vortrag nicht den Darlegungsanforderungen. So haben die Beschwerdeführenden unter anderem nicht hinreichend dargelegt, dass ein Verstoß gegen das Gebot der Bestimmtheit und der Normenklarheit vorliege oder die Befugnis zur Quellen-Telekommunikationsüberwachung in sich widersprüchlich sei. Die Beschwerdeführenden haben auch nicht dargelegt, dass die angegriffenen Befugnisse in den absolut geschützten Kernbereich privater Lebensgestaltung eingreifen könnten.
II. Die Verfassungsbeschwerde im Verfahren Trojaner II ist zulässig, soweit sie sich gegen beide Formen der Quellen-Telekommunikationsüberwachung wendet und ein nicht hinreichendes Straftatengewicht rügt. Sie ist ebenfalls zulässig, soweit sie sich gegen die Online-Durchsuchung richtet und einen Verstoß gegen das Zitiergebot sowie einen unzureichenden Kernbereichsschutz wegen eines fehlenden Abbruchgebots rügt.
Im Übrigen ist die Verfassungsbeschwerde unzulässig. Insbesondere haben die Beschwerdeführenden im Hinblick auf die erweiterte Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 3 StPO einen möglichen Eingriff in das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG nicht hinreichend dargelegt. So schützt Art. 10 Abs. 1 GG allein vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen. Der Grundrechtsschutz erstreckt sich dagegen nicht auf die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich der Betroffenen – also nach Abschluss des Übertragungsvorgangs – gespeicherten Inhalte und Umstände einer Kommunikation.
B. Soweit die Verfassungsbeschwerden zulässig sind, sind sie nicht (Trojaner I) oder nur teilweise (Trojaner II) begründet.
I. Die in zulässiger Weise gerügten Ermächtigungen greifen – in unterschiedlichem Umfang – in das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG und in das IT-System-Grundrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG ein.
1. Art. 10 Abs. 1 GG schützt vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen, und gewährleistet insoweit eine Privatheit auf Distanz. Diese Gefahren realisieren sich nicht nur bei einer Fernkommunikation zwischen zwei oder mehreren Menschen. Im Lichte seiner Entwicklungsoffenheit begegnet das Grundrecht auch neuen Gefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben, und erfasst insoweit grundsätzlich auch andere mithilfe von Telekommunikationstechniken über Distanz transportierte Daten. Denn auch insoweit sind Grundrechtsträger schutzbedürftig, da sie auf eine für sie nicht beherrschbare und dem möglichen Zugriff Dritter ausgesetzte Übermittlung von potentiell persönlichkeitsrelevanten Daten auf Distanz angewiesen sind, gleichzeitig aber eine berechtigte Vertraulichkeitserwartung hinsichtlich der kommunizierten Inhalte und Umstände des Datentransports haben.
2. Das IT-System-Grundrecht schützt insbesondere vor heimlichen Zugriffen durch eine Online-Durchsuchung, ist hierauf aber nicht beschränkt. Schutzgegenstand sind eigengenutzte IT-Systeme, die aufgrund ihrer technischen Funktionalität allein oder durch ihre technische Vernetzung Daten einer betroffenen Person in einem Umfang und einer Vielfalt vorhalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Grundrechtlich gewährleistet ist die Vertraulichkeit und Integrität des vom Schutzbereich erfassten IT-Systems. Das IT-System-Grundrecht schützt nicht nur die Vertraulichkeit der Daten, die durch Datenerhebungsvorgänge verletzt wird, sondern verlagert diesen Schutz nach vorne. Denn bereits mit dem Zugriff auf ein IT-System entsteht eine besondere Gefährdungslage für die dort erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten. Der Gewährleistungsgehalt des IT-System-Grundrechts geht dementsprechend über den Schutz personenbezogener Daten hinaus und vermittelt einen insoweit vorgelagerten Schutz der Persönlichkeit. Der Schutzbereich ist daher stets vom IT-System her zu definieren und auf ein auf dieses System insgesamt bezogenes Gefährdungspotenzial ausgelegt.
Soweit durch eine Maßnahme sowohl das IT-System-Grundrecht als Ausprägung des allgemeinen Persönlichkeitsrechts als auch Art. 10 Abs. 1 GG betroffen sind, tritt das IT-System-Grundrecht nicht hinter das grundsätzlich gegenüber dem allgemeinen Persönlichkeitsrecht speziellere Freiheitsrecht aus Art. 10 Abs. 1 GG zurück, da es einen eigenständigen Freiheitsbereich mit festen Konturen gewährleistet. Eine auf die laufende Telekommunikation beschränkte Quellen-Telekommunikationsüberwachung ist folglich an beiden Gewährleistungen zu messen.
3. Auch eine Befugnisnorm, die dazu ermächtigt, heimlich mit technischen Mitteln in ein von Betroffenen genutztes IT-System einzugreifen und daraus Daten zu erheben, die auch solche der laufenden Fernkommunikation umfassen (Online-Durchsuchung), ermöglicht Eingriffe sowohl in das IT-System-Grundrecht als auch in Art. 10 Abs. 1 GG. Die Befugnis zur Online-Durchsuchung ist ebenfalls an beiden Grundrechten zu messen.
4. Das Recht auf informationelle Selbstbestimmung schützt als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) nicht nur vor einzelnen Datenerhebungen, sondern auch vor dem Zugriff auf große und dadurch typischerweise besonders aussagekräftige Datenbestände. Ermächtigt aber eine Norm zur Datenerhebung aus einem IT-System, auf das mit technischen Mitteln zugegriffen wird, wird das Recht auf informationelle Selbstbestimmung vom IT-System-Grundrecht verdrängt. Von diesen beiden Ausprägungen des allgemeinen Persönlichkeitsrechts gewährleistet das IT-System-Grundrecht einen gegenüber dem Recht auf informationelle Selbstbestimmung spezifischen Schutz, der gerade die mit dem Zugriff auf eigengenutzte IT-Systeme verbundene Verletzung ihrer Integrität und Gefährdung der Vertraulichkeit in den Blick nimmt.
II. Die polizeirechtlichen Überwachungsbefugnisse in § 20c PolG NRW sind verfassungsrechtlich nicht zu beanstanden und genügen auch gemessen an ihrem Eingriffsgewicht den Anforderungen an die Verhältnismäßigkeit im engeren Sinne.
1. Eine wie vorliegend mindestens schwerwiegende heimliche Überwachung der Telekommunikation ist gerade dann, wenn die Eingriffsschwelle wie hier ins Vorfeld einer konkreten Gefahr verlagert wird, nur zum Schutz oder zur Bewehrung von besonders gewichtigen Rechtsgütern zulässig. Hierzu gehören etwa Leib, Leben und Freiheit der Person sowie der Bestand oder die Sicherheit des Bundes oder eines Landes.
Den im präventiven Bereich erforderlichen Rechtsgüterschutz kann der Gesetzgeber dabei in der Weise sicherstellen, dass er von vornherein an hinreichend gewichtige Straftatbestände anknüpft. Er kann den erforderlichen Rechtsgüterschutz aber auch unabhängig vom Gewicht der Straftat mit einer ergänzenden Rechtsgutbetrachtung oder jedenfalls dergestalt sicherstellen, dass er eine hinreichende Qualifizierung als terroristische Straftat im Einzelfall vorsieht. So genügt es zum einen, wenn die vom Gesetzgeber genannten Straftaten in hinreichend qualifizierter Weise unmittelbar gegen die oben genannten besonders gewichtigen Rechtsgüter gerichtet sind. Folgt die unmittelbare Ausrichtung am Schutz solch qualifizierter Rechtsgüter dagegen nicht schon aus der Strafnorm selbst, kann der erforderliche Rechtsgüterschutz zum anderen auch dadurch sichergestellt sein, dass der Gesetzgeber die in einer polizeilichen Befugnisnorm in Bezug genommenen Straftatbestände dahingehend näher qualifiziert, dass sie im Einzelfall dem Schutz entsprechender Rechtsgüter dienen müssen. Dies kann insbesondere dann der Fall sein, wenn Straftatbestände die in § 129a Absätze 1 und 2 des Strafgesetzbuches gesetzlich näher bestimmte, auf spezifisch charakteristische Straftaten von besonderem Gewicht begrenzte terroristische Dimension aufweisen.
2. Danach begrenzt die angegriffene Regelung die (Quellen-)Telekommunikationsüberwachung durch den Verweis auf terroristische Straftaten nach § 8 Abs. 4 PolG NRW auf den Schutz hinreichend gewichtiger Rechtsgüter.
Soweit die in § 8 Abs. 4 Halbsatz 1 PolG NRW genannten Straftatbestände eine Höchstfreiheitsstrafe von mindestens zehn Jahren androhen, handelt es sich um besonders schwere Straftaten, die von vornherein einen hinreichenden Rechtsgüterschutz gewährleisten. Zahlreiche der in dieser Norm genannten Straftatbestände betreffen zudem Delikte, die unmittelbar gegen Leib und Leben gerichtet sind oder die die engen Anforderungen an einen tragfähigen Schutz von Sachwerten erfüllen. Doch auch soweit dies nicht der Fall ist, ist der erforderliche Rechtsgüterschutz gesichert, denn die Überwachung zum Zwecke der Verhütung sämtlicher im Katalog des § 8 Abs. 4 PolG NRW genannten Straftaten ist nur zulässig, wenn diese im Einzelfall die dort gesetzlich näher bestimmte terroristische Dimension aufweisen.
III. 1. Die durch die strafprozessuale Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 2 StPO bewirkten Grundrechtseingriffe sowohl in das IT-System-Grundrecht als auch in Art. 10 Abs. 1 GG sind nicht gerechtfertigt, soweit eine solche Quellen-Telekommunikationsüberwachung auch die Aufklärung von Straftaten erlaubt, die eine Höchstfreiheitsstrafe von drei Jahren oder weniger vorsehen und damit nur dem einfachen Kriminalitätsbereich zuzuordnen sind.
In einer Gesamtschau begründet die Quellen-Telekommunikationsüberwachung einen sehr schwerwiegenden Eingriff sowohl in Art. 10 Abs. 1 GG als auch in das IT-System-Grundrecht. Art und Umfang der heimlich und durch gezielte Umgehung von Sicherungsmechanismen erhobenen Daten wirken schon für sich genommen eingriffsverstärkend, denn die Quellen-Telekommunikationsüberwachung ermöglicht den Zugang zu einem Datenbestand, der herkömmliche Informationsquellen an Umfang und Vielfältigkeit bei weitem übertreffen kann. Sie ermöglicht die Ausleitung und Auswertung des gesamten Rohdatenstroms und hat damit insbesondere unter den heutigen Bedingungen der Informationstechnik und ihrer Bedeutung für die Kommunikationsbeziehungen eine außerordentliche Reichweite. So wird mit den erfassten Datenströmen nicht nur eine unübersehbare Zahl von Formen elektronischer Kommunikation transportiert und der Auswertung zugeführt. Angesichts der allgegenwärtigen und vielfältigen Nutzung von IT-Systemen findet inzwischen auch zunehmend jede Art individuellen Handelns und zwischenmenschlicher Kommunikation in elektronischen Signalen ihren Niederschlag und wird so insbesondere der Quellen-Telekommunikationsüberwachung zugänglich. Hinzu kommt, dass die Integrität eines IT-Systems beeinträchtigt und deren Vertraulichkeit gefährdet wird.
Ausgehend von dem sehr hohen Eingriffsgewicht muss die Quellen-Telekommunikationsüberwachung aus Gründen der Verhältnismäßigkeit im engeren Sinne auf die Verfolgung besonders schwerer Straftaten beschränkt sein. Für Maßnahmen, die der Strafverfolgung dienen, kommt es auf das Gewicht der verfolgten Straftaten an, die der Gesetzgeber in erhebliche, schwere und besonders schwere Straftaten eingeteilt hat.
Mit Blick auf den Strafrahmen einer Strafnorm liegt die besondere Schwere einer Straftat jedenfalls dann vor, wenn sie mit einer Höchstfreiheitsstrafe von mehr als fünf Jahren bedroht ist. Auch eine Straftat mit einer angedrohten Höchstfreiheitsstrafe von mindestens fünf Jahren kann dann als besonders schwer eingestuft werden, wenn dies nicht nur unter Berücksichtigung des jeweils geschützten Rechtsguts und dessen Bedeutung für die Rechtsgemeinschaft, sondern auch unter Berücksichtigung der Tatbegehung und Tatfolgen vertretbar erscheint.
Sind Straftaten allerdings nur mit einer Höchstfreiheitsstrafe von bis zu drei Jahren oder mit Geldstrafe bewehrt und damit dem einfachen Kriminalitätsbereich zuzuordnen, schließt dies die Einordnung als besonders schwere Straftat von vornherein aus.
Danach sind die durch § 100a Abs. 1 Satz 2 StPO begründeten Grundrechtseingriffe nicht gerechtfertigt, soweit eine Quellen-Telekommunikationsüberwachung auch zur Aufklärung solcher Straftaten erlaubt ist, die eine Höchstfreiheitsstrafe von nur drei Jahren oder weniger vorsehen. Anders als im Gefahrenabwehrrecht sind die dem einfachen Kriminalitätsbereich zuzuordnenden Straftatbestände auch keiner ergänzenden Rechtsgutsbetrachtung zugänglich; auch eine zusätzliche Qualifizierung etwa als terroristische Straftat im Einzelfall wäre ohne Belang.
2. Der durch die Befugnis zur erweiterten Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 3 StPO bewirkte Eingriff in das IT-System-Grundrecht ist – gemessen an seinem Gewicht – ebenfalls nicht gerechtfertigt, soweit die Quellen-Telekommunikationsüberwachung auch zur Aufklärung von Straftaten erlaubt ist, die eine Höchstfreiheitsstrafe von drei Jahren oder weniger vorsehen und damit nur dem einfachen Kriminalitätsbereich zuzuordnen sind.
3. Die Befugnis zur Online-Durchsuchung ermöglicht Eingriffe sowohl in das IT-System-Grundrecht als auch in Art. 10 Abs. 1 GG, soweit das IT-System, auf das zugegriffen wird, als eigenes genutzt wird.
Die Online-Durchsuchung ist aus formellen Gründen nicht mit der Verfassung vereinbar. Die Vorschrift genügt, soweit sie (auch) zu Eingriffen in Art. 10 Abs. 1 GG ermächtigt, nicht dem Zitiergebot des Art. 19 Abs. 1 Satz 2 GG.
Das Fehlen einer gesetzlichen Abbruchpflicht bei einer in Echtzeit durchgeführten Online-Durchsuchung führt hingegen nicht zu einer Grundrechtsverletzung.
C. Danach sind § 100a Abs. 1 Sätze 2 und 3 StPO im Umfang ihrer Verfassungswidrigkeit für mit der Verfassung unvereinbar und nichtig zu erklären. Eine verfassungsmäßige Regelung mit vergleichbarem Regelungsgehalt kann der Gesetzgeber auch durch Nachbesserung nicht herbeiführen.
Demgegenüber ist § 100b Abs. 1 StPO lediglich für mit der Verfassung unvereinbar zu erklären. Der Gesetzgeber kann die verfassungsrechtliche Beanstandung beseitigen, indem er sich nach den Vorgaben des Art. 19 Abs. 1 Satz 2 GG bewusst macht, dass er eine Befugnis zur Online-Durchsuchung auch im Lichte des Art. 10 Abs. 1 GG regeln muss, und sich darüber Rechenschaft ablegt. Die Vorschrift gilt bis zu einer Neuregelung fort.
Bundesverfassungsgericht, 07.08.2025