Der Ärger über die Entscheidung der schwarz-grünen Landesregierung war immer noch groß. Dieser mischte sich mit Enttäuschung. Denn vielseitiger und vielfacher Protest verhallte. So zogen wir vor das Bundesverfassungsgericht, denn wir wollten eine Klärung. Kann das sein, ist es möglich, dass ein Staat die Sicherheit der IT-Infrastruktur eines Landes gefährden darf? Die Sicherheit der Menschen, für die er verantwortlich ist, lediglich um ein weiteres Instrument im Werkzeugkasten zu haben, von dem strittig ist, ob es die Aufklärungsquote deutlich verbessert?
Wenn du unseren Weg bis vor das Verfassungsgericht noch einmal nachlesen möchtest, dann findest du hier Teil 2 des Beitrags. Der Beginn unseres Wegs findet sich hier.
Wir waren eigentlich alle sehr zuversichtlich, dass wir gute Chancen haben. Bis ohne Vorankündigung dann am 20.1.2022 die Entscheidung kam. Das Bundesverfassungsgericht hat beschlossen, unsere Beschwerde nicht zur Entscheidung anzunehmen – https://wiki.piratenpartei.de/wiki/images/5/54/Ablehnung_der_Beschwerde_PM_20-22_1_BvR_1552_19.pdf, oder siehe auch Pressemitteilung des Bundesverfassungsgerichts.
Wir hatten in unserer Schrift argumentiert, dass ein Schwachstellenmanagement nicht möglich sei. In der Begründung der Ablehnung heißt es dennoch, dass wir dies genauer hätten belegen müssen. Wir hätten nachweisen müssen, dass alle bisherigen Regelungen unzureichend seien. Dafür hätten wir verschiedene schon existierende Regelungen analysieren müssen, ob diese geeignet für ein befriedigendes Schwachstellenmanagement seien. Da wir das nicht gemacht haben, müsse das Gericht diese Aufgabe nicht selbst für uns übernehmen. Möglicherweise seien im Datenschutzrecht schon einschlägige Regelungen enthalten: HDSIG §62 (Durchführung einer Datenschutz-Folgenabschätzung). So etwas ist flankiert von weiteren Bestimmungen und die hätten wir würdigen müssen. Es gibt auch den IT-Planungsrat, vielleicht folgen daraus Vorschriften, die für flankierende Maßnahmen ausreichen. Der IT-Planungsrat ist in der einschlägigen juristischen Literatur aber bisher nicht aufgetaucht.
Unser Anwalt Dr. Spengler kommentiert dazu, dass eine solche Begründung durchaus juristische Praxis sei. Leider sind wir nicht auf diese Idee gekommen, einer solchen Antwort vorzubeugen und entsprechende unzureichende Regelungen aufzuzeigen.
Ein schwacher Trost ist, dass es den anderen juristischen Kollegen, die auch klagten, genauso gegangen ist: Im Juni 2021 ist eine ähnliche Verfassungsbeschwerde aus Baden-Württemberg abgelehnt worden und hier hat das Verfassungsgericht diese Argumentation ausführlicher dargestellt. In unserer Ablehnung hat es an mehreren Stellen auf die Entscheidung aus Baden-Württemberg verwiesen.
Für die Ablehnung gibt es noch zwei weitere Begründungen:
Eine ist die Bewertung, dass in der Verfassungsbeschwerde nicht ausreichend dargelegt worden sei, warum unsere drei Beschwerdeführer selbst, unmittelbar und gegenwärtig betroffen seien. Das Gericht meint diesbezüglich, es wäre möglicherweise zuzumuten gewesen, hier einzelgerichtlich vorzugehen. Sich also erstmal an das Verwaltungsgericht zu wenden, anstatt gleich vor das Bundesverfassungsgericht zu ziehen. Mit dieser Argumentation hatten wir uns bei der Erstellung der Beschwerdeschrift befasst, weil diese Fragestellung ein Standardmuster in der Prüfung durch das Gericht ist. Das war der Grund, weshalb wir Gregory Engels als Kläger hinzugenommen hatten, weil er wegen seiner Aktivitäten in Russland ins Visier von Geheimdienstaktivitäten kommen kann. Der Landesverband Hessen der Piratenpartei steht in der Skala der Gefährdung dazwischen. Als Beispiel hatten wir einen früheren Zugriff auf einen Piratenserver angeführt: Die Manipulation eines Piratenpads durch Unbekannte hatte im Jahr 2011 bei den französischen Sicherheitsbehörden zu der Besorgnis über einen möglichen Cyberangriff auf den Energiekonzern EDF mit Unterstützung der IT der Piratenpartei Deutschland geführt und eine umfassende Durchsuchung ihrer damals in Offenbach gehosteten IT-Landschaft durch die Staatsanwaltschaft Darmstadt ausgelöst. Überhaupt könnten politische Organisationen in höherem Maße einer Sicherheitsgefährdung ausgesetzt sein. Leider sind diese Argumente nicht als ausreichend angesehen worden.
An dieser Stelle hatte unser Anwalt mit einer wenigen strengen Handhabung gerechnet. Mehr hätten wir nicht aufbieten können. Für uns liegt daher in der Beurteilung der Ablehnungsgründe ein Unterschied in der Bewertung zwischen diesem und dem ersten Punkt.
Die dritte Begründung betrifft unsere Argumentation, nach der die Regelungen zu Beschaffenheitsanforderungen an die Spionagesoftware und die Nachprüfbarkeit solcher Qualitätsstandards durch Gerichte ungenügend seien. Wir trugen vor, dass es dafür keine ausreichende Regelung gebe. Das Bundesverfassungsgericht scheint der Ansicht zu sein, dass es auch an dieser Stelle gerne mehr Erklärungen erhalten hätte, obwohl es dies nicht deutlich gemacht hat. Es verweist auf frühere Aussagen, dass die Handhabung technischer Machbarkeit auf einer anderen Ebene angesiedelt sei. Wenn für das Gericht, das den Trojanereinsatz genehmigen muss, die Einhaltung eines ausreichenden Schutzniveaus nicht feststellbar sei, werde die betreffende Spähsoftware auch nicht eingesetzt. Das Bundesverfassungsgericht habe tatsächlich schon früher ausgeführt, dass es zwar eine technische Unmöglichkeit sein kann, bei der Infiltration informationstechnischer Systeme den verfassungsrechtlichen Anforderungen an den Trojanereinsatz in bestimmten Belangen gerecht zu werden. Aber dies führe trotzdem nicht zur Verfassungswidrigkeit der gesetzlichen Ermächtigung zum Trojanereinsatz, aus dem einfachen Grund, dass von der Ermächtigung dann eben kein Gebrauch gemacht werden könne. Dies war unserem Anwalt auch bewusst. Er hat es aber nicht für opportun gehalten, daran zu erinnern, sondern durchaus damit gerechnet, dass das Gericht diesen Gedanken nicht mehr aufgreifen würde. Damit hätte die Gelegenheit bestanden, sich mehr damit auseinanderzusetzen, wie der Gesetzgeber das hätte konkretisieren müssen: Restriktionen in der Zusammenarbeit mit Herstellern? Standards für gerichtliche Kontrolle? Damit geprüft werden kann? Diese Beanstandung ist hier ausgeblendet worden, weil das Gericht feststellte, wenn das so sei, dann kommen die Maßnahmen nicht zur Anwendung und die Vorschrift laufe ins Leere. Folglich seien Sorgen wegen eines Eingriffs in ein Grundrecht unbegründet.
Das war natürlich für uns ein Schlag in die Magengrube. Das war nicht, worauf wir hingearbeitet, Zeit und Geld investiert haben. Natürlich müssen wir das Urteil so anerkennen. Gleichwohl sind wir enttäuscht, weil das Gefühl entstand, das Gericht sei einer inhaltlichen Auseinandersetzung aus dem Weg gegangen.
Doch wie empfanden andere das? Wie geht es nun weiter?
Darüber liest du hier in einer Woche in Teil 4.