Das BVerfG setzt enge Grenzen für Quellen-TKÜ und Online-Durchsuchung – mit strengen Hürden, Kernbereichsschutz und Nachbesserungspflicht.
Das BVerfG rüttelt am „Staatstrojaner“: Mit gleich zwei Entscheidungen vom 24. Juni 2025 („Trojaner I“ und „Trojaner II“) hat das Bundesverfassungsgericht das Verhältnis zwischen Sicherheit und Freiheit im digitalen Zeitalter neu vermessen. Während Polizei und Ermittler verschlüsselte Kommunikation mit Quellen-TKÜ und Online-Durchsuchung knacken wollen, zieht Karlsruhe klare Grenzen für die digitale Überwachung. Quellen-TKÜ und Online-Durchsuchung bleiben möglich, aber nur als ultima ratio mit kumulativem Schutz aus Art. 10 GG (Fernmeldegeheimnis) und dem IT-System-Grundrecht. Zudem greifen strenge Eingriffsschwellen und robuste Schutzvorkehrungen gegen diese Ausforschung des Kernbereichs. Für Gesetzgeber und Ermittler heißt das, sie müssen nachbessern, dokumentieren und technisch begrenzen. Das Bundesverfassungsgericht erklärt damit auch zentrale Befugnisse zum Einsatz von Staatstrojanern durch Ermittlungsbehörden für teilweise verfassungswidrig.
Trojaner I: Präventive Polizeibefugnisse unter Druck
Doppelter Grundrechtsschutz
Im ersten Beschluss stellte das Gericht klar, dass der Zugriff auf Smartphones oder Computer nicht nur das Fernmeldegeheimnis (Art. 10 GG), sondern auch das IT-System-Grundrecht betrifft. Das Bundesverfassungsgericht wendet dabei beide Grundrechte kumulativ an. Jede Überwachungsmaßnahme muss somit doppelt gerechtfertigt werden. Es reicht also nicht, die Quellen-TKÜ ausschließlich am Fernmeldegeheimnis zu messen. Vielmehr muss zusätzlich geprüft werden, ob auch der Schutz des gesamten IT-Systems gewahrt bleibt. Damit verschärft Karlsruhe die Hürden erheblich. Der Staat muss gleich zwei Prüfsteine der Verhältnismäßigkeit bestehen, was in der Praxis eine deutlich restriktivere Anwendung des Staatstrojaners erzwingt.
Strenge Voraussetzungen
- Nur Terrorismusprävention rechtfertigt präventive Quellen-TKÜ.
- Kernbereichsschutz: Intime Daten dürfen nicht ausgewertet werden.
- Technische Limitierung: Trojaner müssen auf laufende Kommunikation beschränkt sein.
- IT-Sicherheit: Sicherheitslücken dürfen nicht blind ausgenutzt werden.
Trojaner II: Strafprozessrecht im Fokus
Eingriff nur bei Schwerstkriminalität
Im zweiten Beschluss erklärte Karlsruhe Teile der Quellen-TKÜ nach § 100a StPO für verfassungswidrig. Straftaten mit geringen Strafandrohungen reichen für die Anwendung nicht mehr aus. Es geht nur noch um Terrorismus, Mord, schwere Sexualdelikte oder organisierte Kriminalität. Karlsruhe streicht damit Bagatelldelikte aus dem Katalog der Anlasstaten.
Konkret erklärte der erste Senat des Gerichts die sogenannte Quellen-Telekommunikationsüberwachung (kurz: Quellen-TKÜ) für Tatbestände mit einer Höchstfreiheitsstrafe von bis zu drei Jahren für nichtig. In diesen Fällen ist die Überwachung auch rückwirkend unwirksam.
Online-Durchsuchung unter Vorbehalt
Die Online-Durchsuchung (§ 100b StPO) bleibt zwar bestehen, ist aber formell verfassungswidrig (Verstoß gegen das Zitiergebot). Außerdem fehlt es an wirksamen Vorkehrungen zum Schutz des absolut geschützten Kernbereichs. Karlsruhe verlangt technische Filter, Abbruchpflichten und unabhängige Kontrolle der eingesetzten Trojaner-Software.
Kernbereich bleibt tabu
Die Richter bekräftigten, dass der Kernbereich privater Lebensgestaltung ist unantastbar bleibt. Gespräche zwischen Arzt und Patient, Mandant und Anwalt oder intime Tagebucheinträge dürfen niemals staatlich mitgeschnitten werden. Ohne technische Filterung und sofortiges Stoppen der Maßnahme, sobald Kernbereichsdaten betroffen sind, ist jede Quellen-TKÜ rechtswidrig.
IT-Sicherheit und Zero-Days
Der Staat darf Sicherheitslücken nicht willkürlich ausnutzen, sondern muss stets Maßnahmen zur Risikominimierung ergreifen. Das BVerfG betonte, dass die IT-Sicherheit der Bürger nicht geopfert werden darf. Wenn der Staat eine Sicherheitslücke nutzt, muss er spätestens nach dem Einsatz dafür sorgen, dass sie geschlossen wird, damit sie nicht dauerhaft für Kriminelle offensteht. Eine pauschale Pflicht zur Offenlegung der genutzten Exploits weist das Gericht jedoch zurück wegen der Gefahr, dass dadurch die Effektivität staatlicher Überwachung unterlaufen würde.
Konsequenzen für Politik und Praxis
Für den Gesetzgeber bedeutet das Nachbesserungen beim Straftatenkatalog, das Einhalten des Zitiergebotes sowie die Einrichtung unabhängiger Prüfstellen. Ermittlungsbehörden müssen sich darauf einstellen, dass der Staatstrojaner kein Allzweckwerkzeug mehr ist, sondern nur als Ausnahme unter strengen Auflagen gilt, mit Dokumentationspflicht, technischer Begrenzung und Richtervorbehalt. Bürger wiederum können sich bestätigt sehen. Smartphones und Laptops bleiben als intime Schaltzentralen der Persönlichkeit besonders geschützt, sowohl durch das IT-System-Grundrecht als auch durch das Fernmeldegeheimnis.
Fazit: BVerfG rüttelt am „Staatstrojaner“ – Freiheit vor Überwachung
In Karlsruhe lagen mehrere Verfassungsbeschwerden gegen die Befugnisse der Ermittler vor, unter anderem eine, die der Verein Digitalcourage angestoßen hatte, über die nun entschieden wurden.
BVerfG rüttelt am „Staatstrojaner“ und das gleich in doppelter Hinsicht. Karlsruhe bestätigt zwar den Einsatz von Quellen-TKÜ und Online-Durchsuchung, macht daraus aber Ausnahmeinstrumente für die Bekämpfung von Schwerstkriminalität. Der Kernbereich bleibt tabu, die Anforderungen steigen drastisch. Ob der Staat diese Maßstäbe technisch und praktisch erfüllen kann, bleibt fraglich. Wer die Grundrechte ernst nimmt, darf folglich den Trojaner nicht als Freibrief für digitale Überwachungsfantasien missbrauchen. Rechtsanwalt Jens Ferner, Fachanwalt für Strafrecht & IT-Recht, hat sich sowohl zum „Trojaner-I“-Beschluss geäußert, als auch zum „Trojaner-II“-Urteil. Er fasste zusammen:
„Das BVerfG hat mit dem „Trojaner-I“-Beschluss einen ausgewogenen Kompromiss gefunden: Es ermöglicht den notwendigen Einsatz moderner Überwachungstechniken, stellt aber klare Grenzen zum Schutz der digitalen Privatsphäre. […] Die Quellen-Telekommunikationsüberwachung bleibt damit ein zulässiges, aber hochsensibles Instrument, das nur unter strengsten Auflagen eingesetzt werden darf. […] Besonders bedeutsam ist die klare Abkehr von der bisherigen Subsidiaritätsthese: Das IT-System-Grundrecht tritt nicht hinter das Fernmeldegeheimnis zurück, sondern beide Grundrechte wirken kumulativ – eine Erkenntnis, die künftige Gesetzgebungsvorhaben und gerichtliche Prüfungen prägen wird.
Das „Trojaner-II“-Urteil des BVerfG ist ein Meilenstein in der Debatte um Staatstrojaner und digitale Überwachung. Es stellt klar: Quellen-TKÜ und Online-Durchsuchung sind keine „Standardmaßnahmen“, sondern Ausnahmeinstrumente für die Bekämpfung schwerster Kriminalität. Der Kernbereich privater Lebensgestaltung ist dabei absolut geschützt – selbst bei Verdacht auf schwere Straftaten … womit das BVerfG über das hinausgeht, was der Gesetzgeber derzeit gewährleistet. Und: Der Gesetzgeber muss nachbessern, um Rechtssicherheit und Grundrechtsschutz zu gewährleisten.“