Kontext der Entscheidung
Da die aktuelle Entscheidung des BVerfG sowohl grundrechtsdogmatisch als auch hinsichtlich der Auswirkungen auf die Auslegung und Ausgestaltung strafprozessualer Vorschriften äußerst vielseitig ist, sollen im Folgenden nur ausgewählte Aspekte schlaglichtartig betrachtet werden. Die folgenden Ausführungen konzentrieren sich dabei auf die Aussagen zur Quellen-TKÜ nach § 100a Abs. 1 Satz 2 StPO (dazu unter I.) und die Online-Durchsuchung nach § 100b StPO (dazu unter II.). Darüber hinaus soll angerissen werden, ob die Entscheidung auch für die Anwendung des § 100a Abs. 1 Satz 1 StPO (dazu unter III.) oder gar für offene Ermittlungsmaßnahmen iSd §§ 94 ff., 102 ff. StPO von Bedeutung ist (dazu unter IV.).
I. Zur Quellen-TKÜ iSd § 100a Abs. 1 Satz 2 StPO
Die Ausführung des Senats zur Quellen-TKÜ sind in vielerlei Hinsicht von Interesse.
1. Telekommunikationsbegriff des § 100a StPO
In der strafprozessualen Literatur ist seit längerem umstritten, wie der Begriff der Telekommunikation iSd § 100a StPO auszulegen ist. Dabei war lange umstritten, ob die Norm auf die Überwachung menschlichen Kommunikationsverhaltens (Telefonie, Emails, Chats, etc.) beschränkt werden sollte oder ob sämtlicher Datenaustausch über den Anschluss überwacht werden darf. Insbesondere wurde diskutiert, ob das "Surfverhalten im Internet" sowie der Datenaustausch zwischen Endgerät und Cloud unter Rückgriff auf § 100a StPO überwacht werden darf.
Im Grundsatz unstreitig ist, dass Art. 10 Abs. 1 GG der besonderen Situation Rechnung tragen soll, dass der Bürger bei der Nutzung von Mitteln der Fernkommunikation sowie auch bei der Internetnutzung auf die Mitwirkung der Diensteanbieter angewiesen ist und grundsätzlich auf einen vertraulichen Umgang vertrauen dürfen soll (vgl. ausführlich und mit weiteren Nachweisen zur Rechtsprechung BVerfG, Beschl. v. 24.06.2025 - 1 BvR 2466/19 Rn. 89 ff. "Trojaner I ).
Umstritten ist hingegen, ob § 100a StPO – der unstreitig Eingriffe in Art. 10 Abs. 1 GG zulassen soll – ebenfalls extensiv ausgelegt werden kann und sollte. Dies wird bei der Überwachung des Surfverhaltens (vgl. z.B. Radtke/Hohmann/Oehmichen, 2. Aufl. 2025, StPO § 100a Rn. 63; SSW/Eschelbach, 6. Aufl. 2025, § 100a, Rn. 14; SK-StPO/Greco/Wolter, 6. Aufl. 2023, § 100a, Rn. 40 f.; Meinicke, DSRITB 2013, 967 (970 f.); Eidam, NJW 2016, 3511, 3512; Albrecht, jurisPR-StrafR 1/2017 Anm. 4; Braun, jurisPR-ITR 1/2017 Anm. 2; a.A. Karlsruher Komm. StPO/Henrichs/Weingast, 9. Aufl. 2023, § 100a Rn. 4; BeckOK IT-Recht/Brodowski, 18. Ed. 1.10.2024, StPO § 100a Rn. 12 sowie MünchKomm StPO/Rückert, 2. Aufl. 2023, StPO § 100a Rn. 67 f., 126, der aber eine strenge Prüfung im Rahmen der Verhältnismäßigkeit fordert) und erst recht bei der Überwachung des Datenaustauschs mit der Cloud (vgl. z.B. Hiéramente/Fenina, StraFo 2015, 365; Schmitt/Köhler/Köhler, 68. Aufl. 2025, § 100a Rn. 14f; a.A. Karlsruher Komm. StPO/Henrichs/Weingast, 9. Aufl. 2023, § 100a Rn. 4; differenzierend MünchKomm StPO/Rückert, 2. Aufl. 2023, StPO § 100a Rn. 128 ff.; BeckOK IT-Recht/Brodowski, 18. Ed. 1.10.2024, StPO § 100a Rn. 14) kritisch gesehen.
Hinsichtlich der Überwachung des Surfverhaltens hatte eine Kammer des 2. Senats des BVerfG die Anwendung des § 100a StPO für verfassungsrechtlich vertretbar eingestuft (BVerfG, Beschl. v. 06.07.2016 - 2 BvR 1454/13), sich dabei allerdings nicht dezidiert mit Ausführungen des 1. Senats zur Reichweite der Telekommunikationsüberwachung auseinandergesetzt, die ein restriktives Verständnis suggerieren (vgl. dazu BVerfG, Urt. v. 20.04.2016 - 1 BvR 966/09, 1 BvR 1140/09 Rn. 237 ff.; Hiéramente, StV-S 2023, 45, 47 f.).
Sowohl rechtspraktisch als auch rechtspolitisch interessant ist, wie nunmehr der 1. Senat diese Thematik adressiert. Während der 1. Senat im Hinblick auf § 20c PolG NRW unter Verweis auf eine hierzu vertretene Literaturstimme eine extensive Lesart der dortigen Regelung zugrundelegte (vgl. BVerfG, Beschl. v. 24.06.2025 - 1 BvR 2466/19 Rn. 8, 92 "Trojaner I ), hat er die Auslegung des Telekommunikationsbegriffs des § 100a StPO offengelassen. So führt der Senat zunächst aus, dass die Regelung keine Konkretisierung der Art der Telekommunikation vorsehe, faktisch aber der gesamte Datenstrom ausgeleitet werde (Rn. 8, 12, 65, 68, 81). Als maßgeblichen Maßstab für die verfassungsrechtliche Bewertung wird insoweit jedoch nicht die einfachrechtliche Auslegung des § 100a StPO zugrunde gelegt. Vielmehr rekurriert der 1. Senat auf die "materielle[n] Betrachtung der von dieser Befugnis eröffneten rechtlichen und tatsächlichen Nutzungsmöglichkeiten" (Rn. 188). Was hierunter zu verstehen ist, ergibt sich aus der referenzierten Rechtsprechung in der es heißt: "Fur das Eingriffsgewicht einer Norm sind auch nicht die blose Vorstellung des Gesetzgebers von der begrenzten Reichweite einer Befugnis oder der Wille der Verwaltung, von den rechtlichen Moglichkeiten einer Befugnis nicht umfassend Gebrauch zu machen, masgeblich. Das Gewicht ist vielmehr nach den rechtlich geschaffenen Eingriffsmoglichkeiten zu beurteilen. Wollte der Gesetzgeber das Eingriffsgewicht nachhaltig begrenzen, musste er dies normenklar im Wortlaut der Regelung niederlegen […]. (BVerfG, Urt. v. 16.02.2023 - 1 BvR 1547/19, 1 BvR 2634/20 Rn. 149). In einer weiteren Entscheidung heißt es: "Die blose Vorstellung des Gesetzgebers von der Reichweite der Befugnis bestimmt jedoch nicht deren Eingriffsgewicht. Dieses ist vielmehr nach den tatsachlich geschaffenen aktuellen Eingriffsmoglichkeiten zu beurteilen […] Wollte der Gesetzgeber das Eingriffsgewicht – auch vor dem Hintergrund wachsender technischer Moglichkeiten – nachhaltig begrenzen, musste er dies normenklar im Wortlaut des Art. 12 BayVSG regeln. (BVerfG, Urt. v. 26.04.2022 - 1 BvR 1619/17 Rn. 326 "Bayerisches Verfassungsschutzgesetz").
Die Unklarheit der Regelung des § 100a StPO hat damit zur Folge, dass für die verfassungsrechtliche Bewertung – vorsorglich – die extensivere Lesart der Eingriffsbefugnis zu Grunde zu legen ist. Ob diese Lesart strafprozessual "richtig" ist, lässt der 1. Senat insoweit (implizit) offen.
Rechtspolitisch ist diese Differenzierung bedeutsam. So stünde es dem Gesetzgeber grundsätzlich frei, im Rahmen einer Gesetzesreform normenklar zwischen Formen der "klassischen Telekommunikationsüberwachung" (z.B. Telefonie, Emails, Chats) und der vollständigen Überwachung des Rohdatenstroms zu differenzieren und für erstere – ermittlungstaktisch besonders bedeutsame – Fallkonstellation (z.B. zur Überwachung von Kommunikation über Apps wie WhatsApp, Signal, Telegramm, etc.) niedrigere gesetzliche Hürden vorzusehen als für den Fall der Totalüberwachung des Datenstroms (inklusive Surfverhalten im Internet, Zugriff auf Kommunikation mit der Cloud, etc.). Unklar ist allerdings, ob eine solche Binnendifferenzierung im Ergebnis dazu führen würde, dass der Senat eine Anwendung bei der Verfolgung "schwerer Straftaten" in ersterer Falkonstellation für verfassungsrechtlich noch vertretbar erachtet. So betont der Senat zwar als gewichtiges Abwägungselement die besondere Sensibilität der Daten, die bei der Ausleitung des gesamten Datenstroms gewonnen werden können (vgl. z.B. Rn. 235 mit Verweis auf Rn. 187 ff.). Ob eine Beschränkung der Datenkategorie allerdings ausreicht, um den Eingriff in das IT-Grundrecht (vgl. Rn. 237: "deutlich eingriffsverstärkend") auch bei "schweren Straftaten" für zulässig zu erachten, ist unklar. Eine Binnendifferenzierung dürfte allerdings jedenfalls im Hinblick auf die Anforderungen an den Kernbereichsschutz zielführend sein (vgl. dazu unter 3.).
2. Straftatenkatalog des § 100a Abs. 2 StPO
Der 1. Senat hat klargestellt, dass die Quellen-TKÜ nach § 100a Abs. 1 Satz 2 StPO nur bei besonders schweren Straftaten verfassungsrechtlich zulässig ist. Damit fallen sämtliche Straftaten, die nur mit einer Höchststrafe von drei Jahren bedroht sind, aus dem Anwendungsbereich heraus (vgl. Rn. 211, 215). Der Senat hat aber ebenfalls klargestellt, dass auch Delikte mit einem Strafrahmen bis fünf Jahre regelmäßig keine besonders schweren Straftaten darstellen. Der Senat führt aus: "Dagegen qualifiziert eine Höchstfreiheitsstrafe von mindestens fünf Jahren eine Straftat weder als schwer (vgl. BVerfG, Beschl. v. 12.10.2011 - 2 BvR 236/08 u.a. - BVerfGE 129, 208, 243; BVerfG, Urt. v. 20.04.2016 - 1 BvR 966/09 u.a. Rn. 316 - BVerfGE 141, 220, 338) noch als besonders schwer (Rn. 210). Allerdings sei es verfassungsrechtlich nicht ausgeschlossen, dass eine solche Tat aufgrund des geschützten Rechtsguts sowie unter Berücksichtigung der Tatbegehung und -folgen (ausnahmsweise) als besonders schwer eingestuft werden kann (Rn. 210). Der Strafrahmen habe aber eine maßgebende Indizwirkung (BVerfG, Beschl. v. 17.07.2024 - 1 BvR 2133/22, "Hessisches Verfassungsschutzgesetz" Rn. 205). Wichtig sei zudem, dass die besondere Schwere in der Strafnorm selbst einen objektivierten Ausdruck finden müsse (BVerfG, Beschl. v. 17.07.2024 - 1 BvR 2133/22, "Hessisches Verfassungsschutzgesetz" Rn. 206). Selbst Staatsschutzdelikte seien – trotz der gewichtigen Rechtsgüter, die durch diese geschützt werden, nicht per se als "besonders schwer" einzustufen (BVerfG, Beschl. v. 17.07.2024 - 1 BvR 2133/22, "Hessisches Verfassungsschutzgesetz" Rn. 207). Eine Bewertung im Hinblick auf den umfangreichen Katalog des § 100a Abs. 2 StPO kann an dieser Stelle nicht erfolgen. Allerdings dürften zahlreiche Delikte nicht als "besonders schwer" einzustufen sein, wobei dies bei Regelungen wie § 253 StGB, § 259 StGB, § 261 StGB, § 263 StGB, § 265e StGB oder § 298 StGB auf der Hand liegen dürfte. Dies zeigt sich im Übrigen auch daran, dass diese Delikte vom Gesetzgeber zum großen Teil nicht einmal in den Straftatenkatalog des § 100b Abs. 2 StPO aufgenommen wurden.
3. Kernbereichsschutz
Mangels ausreichender Rüge (vgl. Rn. 126) durch die Beschwerdeführer hat sich der Senat mit der Ausgestaltung des Kernbereichsschutzes – derzeit in § 100d Abs. 1, 2 StPO normiert – nicht im Detail befasst. Angesichts der Tatsache, dass Umfang, Vielfalt und Sensibilität der mittels Quellen-TKÜ iSd § 100a Abs. 1 Satz 2 StPO erhebbaren Daten immens ist (vgl. Rn. 184 ff.), stellt sich jedoch die Frage, ob das Regelungskonzept anzupassen ist. Dabei stellt sich zunächst die Frage, ob das in § 100d Abs. 3 Satz 1 StPO normierte Gebot (vgl. dazu auch BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07, 1 BvR 595/07 Rn. 281; MünchKomm StPO/Rückert, 2. Aufl. 2023, § 100d Rn. 21), technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden, nicht auch im Rahmen der Quellen-TKÜ Anwendung finden sollte.
Verfassungsrechtlicher Prüfung bedarf auch, ob auf der Ebene der Sichtung von mittels Quellen-TKÜ i.S.d. § 100a Abs. 1 Satz 2 StPO erhobener Daten personelle und organisatorische Vorkehrungen zu treffen sind. So erlaubt die – unverschlüsselte – Ausleitung des Datenstroms nicht nur die Bildung von Persönlichkeitsprofilen, sondern ermöglicht zugleich den Zugriff auf äußerst intime Informationen (Gesundheitsdaten, sexuelle Vorlieben, tagebuchähnliche Aufzeichnungen, etc.).
Für die Online-Durchsuchung hat der 1. Senat des BVerfG wiederholt klargestellt, dass angesichts der bestehenden Gefahr, dass bei einer solchen Online-Durchsuchung kernbereichsrelevante Informationen zur Kenntnis gelangen, eine Sichtung der Daten durch eine unabhängige Stelle zu erfolgen hat, um kernbereichsrelevante Daten auszusondern (vgl. BVerfG, Urt. v. 26.04.2022 - 1 BvR 1619/17, "Bayerisches Verfassungsschutzgesetz" Rn. 286; BVerfG, Urt. v. 20.04.2016 - 1 BvR 966/09, 1 BvR 1140/09 Rn. 224; vgl. auch DAV-Stellungnahme 33/2022, S. 27). Dabei hat nicht nur eine Vorlage in Zweifelsfällen zu erfolgen (BVerfG, Urt. v. 26.04.2022 - 1 BvR 1619/17, "Bayerisches Verfassungsschutzgesetz" Rn. 306, 315).
Für die Telekommunikationsüberwachung hat der 1. Senat in der Vergangenheit eine Pflicht zur Sichtung durch eine unabhängige Stelle noch verneint (vgl. BVerfG, Urt. v 20.04.2016 - 1 BvR 966/09, 1 BvR 1140/09 Rn. 240; vgl. auch BVerfG, Beschl. v. 12.10.2011 - 2 BvR 236/08 u.a. Rn. 224). Dabei ging der 1. Senat allerdings noch von einer anderen Bewertungsgrundlage aus, wenn er ausführt: "Sie unterscheidet sich insoweit auch von Online-Durchsuchungen. Denn während diese oft gesamthaft über lange Zeit angesammelte Informationen einschließlich höchstprivater Aufzeichnungen erfassen und dabei unter Umständen durch deren Verknüpfung sowie das Nach- oder Mitverfolgen der Bewegungen im Internet auch geheim gehaltene Schwächen und Neigungen erschließen können, bezieht sich die Telekommunikationsüberwachung auf einzelne Akte unmittelbarer Kommunikation. Ihre Kernbereichsnähe beschränkt sich vor allem darauf, dass sie hierbei auch den höchstpersönlichen Austausch zwischen Vertrauenspersonen umfasst […]." (BVerfG, Urt. v 20.04.2016 - 1 BvR 966/09, 1 BvR 1140/09 Rn. 238). Dieser tatsächliche Befund ist angesichts der im hiesigen Verfahren dokumentierten Realitäten der Quellen-TKÜ nach § 100a Abs. 1 Satz 2 StPO nicht mehr zutreffend. Insofern ist es verfassungsrechtlich fraglich, ob eine solche Quellen-TKÜ heute überhaupt noch verfassungskonform durchgeführt werden kann. So fehlt es in der StPO an einer normierten Regelung zur Sichtung sämtlicher (!) erhobener Daten durch eine unabhängige Stelle.
4. Sonderfall: Quellen-TKÜ ohne Eingriff in das IT-Grundrecht
Der Senat führt aus, dass es in der Praxis zu Fallkonstellationen kommen kann, in denen das IT-Grundrecht nicht tangiert wird. Dieses schütze keine Dritten, die mit einer Person, dessen Anschluss überwacht werde, in Kontakt stehen. Auch bei der Quellen-TKÜ beim Nachrichtenmittler sei nur dessen IT-Grundrecht betroffen (Rn. 175). Darüber hinaus sei nicht jedes IT-System vom Schutz des IT-Grundrechts, sondern nur ein hinreichend qualifiziertes IT-System erfasst (Rn. 173). Etwas unklar ist allerdings die Schlussfolgerung des Senats (Rn. 218). So führt der Senat aus:
"Soweit die Befugnis zur Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 2 StPO allein in Art. 10 Abs. 1 GG eingreift, weil etwa das betroffene IT-System nicht als eigenes genutzt wird und das IT-System-Grundrecht daher nicht betroffen ist (vgl. Rn. 173, 175), ist der Eingriff hingegen gerechtfertigt. Das insofern einer Überwachung nach § 100a Abs. 1 Satz 2 StPO zukommende Eingriffsgewicht entspricht insbesondere im Hinblick auf Art und Umfang der Daten (vgl. Rn. 187 ff.) und Art und Weise der Datenerhebung (Rn. 193 f.) bei weitem nicht einer gegen das eigengenutzte IT-System gerichteten Maßnahme, sondern ist eher mit einer Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 1 StPO vergleichbar."
Einfach nachvollziehbar wären die Ausführungen, sofern diese sich auf die Art des IT-Systems – vgl. Verweis auf Rn. 173 – bezögen. Werden über ein "einfaches" IT-System nur ausgewählte Daten ausgetauscht, ist die Eingriffstiefe tatsächlich deutlich geringer. Allerdings stellt der Senat maßgeblich auf die "Eigennutzung" ab und verweist insoweit auf Rn. 175. In der in Bezug genommenen Darstellung werden allerdings Fallkonstellationen genannt, in denen tatsächlich Eingriffe in das IT-Grundrecht stattfinden, von denen allerdings nicht sämtliche Kommunikationsteilnehmer betroffen sind. Der Senat lässt allerdings offen, warum z.B. eine Infiltration eines hinreichend qualifizierten IT-Systems eines (nichtbeschuldigten) Nachrichtenmittlers i.S.d. § 100a Abs. 3 StPO weniger eingriffsintensiv sein soll. Dies wäre sicherlich nur dann der Fall, wenn sichergestellt wäre, dass im Rahmen eines solchen Zugriffs ausschließlich Daten gesichert und/oder ausgewertet würden, die von oder an den Beschuldigten weitergeleitete Mitteilungen betreffen. Eine solche verfahrensrechtliche Sicherung ist in § 100a Abs. 3 StPO allerdings bislang nicht enthalten.
II. Zur Online-Durchsuchung iSd § 100b StPO
Die Ausführungen des Senats zur Online-Durchsuchung sind relativ zurückhaltend. Dies betrifft sowohl die Frage der Verhältnismäßigkeit im engeren Sinne als auch die Ausgestaltung des Kernbereichsschutzes.
1. Verhältnismäßigkeit im engeren Sinne
Der Senat moniert unzureichende Rügen. Die Beschwerdeführer hätten nicht ausreichend dargetan, was der verfassungsrechtliche Maßstab sei (Rn. 134) und welche der in § 100b Abs. 2 StPO genannten Taten hinter diesem Maßstab zurückbleibe (Rn. 135). Auch hier wird eine genauere Analyse des Straftatenkatalogs erforderlich sein.
2. Kernbereichsschutz
Auch mit der Frage des Kernbereichsschutzes hat sich der Senat im Rahmen der Begründetheit nur am Rande befasst. Auch hier moniert der Senat unzureichende Rügen (Rn. 149).
a. Abbruchgebot
Dabei erläutert der Senat, warum für die Regelung des § 100b StPO - aufgrund struktureller Unterschiede zu anderen eingriffsintensiven Maßnahmen - auf Ebene der Erhebung kein verfassungsrechtlich zwingendes Abbruchgebot bestehe (Rn. 252 ff.). Der Senat führt aus:
"Ein gesetzliches Abbruchgebot ist unter Berücksichtigung des spezifischen Charakters der Online-Durchsuchung nach § 100b StPO nicht geboten. Wegen der Art der Informationser-hebung und der durch sie erfassten Informationen lässt sich – jenseits der vorgenannten Sicherungen – ein Eindringen in den Kernbereich bei Durchführung einer Online-Durchsuchung nicht mit praktisch zu bewältigendem Aufwand vermeiden. Insoweit ist zunächst zu berücksichtigen, dass die Datenerhebung im Rahmen eines technischen Zugriffs auf IT-Systeme schon aus technischen Gründen überwiegend automatisiert erfolgt. Die Automatisierung erschwert es jedoch – jenseits technischer Sicherungen – im Vergleich zu einer durch Personen durchgeführten Maßnahme, bereits bei der Erhebung Daten mit und ohne Bezug zum Kernbereich zu unterscheiden […]. Die größte Herausforderung für einen Kernbereichsschutz schon auf der Ebene der Datenerhebung ergibt sich aber daraus, dass bei der Überwachung eines IT-Systems, auf das mit technischen Mitteln heimlich zugegriffen werden darf, aufgrund dessen zunehmender Nutzungsmöglichkeiten nicht nur zahlreiche und verschiedenartige Daten erfasst werden können, sondern diese zudem in gleichzeitig stattfindenden Prozessen erzeugt, verarbeitet oder gespeichert werden." (Rn. 265 f.).
b. Zuständigkeit für die Sichtung
Die Frage der Zuständigkeit für die Sichtung durch eine Online-Durchsuchung gesicherter Daten ist in der hiesigen Entscheidung nicht diskutiert worden. Es dürfte aber auch hier auf der Hand liegen, dass die Regelungen des § 100d StPO unzureichend sind, da sie keine Einbindung einer unabhängigen Stelle vorsehen (vgl. unter C. I. 3. sowie MünchKomm StPO/Rückert, 2. Aufl. 2023, § 100d Rn. 3, 16).
III. Zur TKÜ iSd § 100a Abs. 1 Satz 1 StPO
Die hier besprochene Entscheidung befasst sich ausschließlich mit Verfassungsbeschwerde gegen die Quellen-TKÜ nach § 100a Abs. 1 Satz 2, 3 StPO sowie die Online-Durchsuchung nach § 100b StPO. Die "normale" TKÜ war nicht Gegenstand der verfassungsrechtlichen Bewertung. Dennoch wird zu prüfen sein, ob die Ausführungen des Senats zur Eingriffstiefe der Quellen-TKÜ auch Folgen für die verfassungsrechtliche Bewertung der TKÜ nach § 100a Abs. 1 Satz 1 StPO haben. Zwei Aspekte sollen hier kurz skizziert werden:
1. TKÜ unter Einbindung des Cloud-Anbieters
Der klassische Ansatz bei der TKÜ ist die – gesetzlich vorgesehene (vgl. § 100a Abs. 4 Satz 1, 2 StPO; § 3 Abs. 1 Satz 1 TKÜV) – Kooperation zwischen Ermittlungsbehörden und Telekommunikationsdiensteanbietern (vgl. auch Rn. 8 sowie ausführlich MünchKomm StPO/Rückert, 2. Aufl. 2023, § 100a Rn. 226 ff.; BVerfG, Beschl. v. 20.12.2018 - 2 BvR 2377/16). In der Praxis wird eine Anordnung allerdings nicht nur an Betreiber eines Festnetzanschlusses oder den Mobilfunkbetreiber übermittelt, sondern auch an andere Dienstleister (vgl. z.B. BGH, Beschl. v. 14.10.2020 - 5 StR 229/19). Im hiesigen Verfassungsbeschwerdeverfahren hat sich der Generalbundesanwalt zur Rechtspraxis wie folgt geäußert:
"Zu den Fragen des Senats berichtet der Generalbundesanwalt, dass aufgrund einer Anordnung nach § 100a Abs. 1 Satz 1 StPO alle ein- und ausgehenden Daten ausgeleitet würden und zwar aufgrund […] einer Verpflichtung etwa des Anbieters des Cloud-Services oder des Software-as-a-Service-Dienstes. […] Im Falle einer Verpflichtung von Cloud- oder Software-as-a-Service-Betreibern sei regelmäßig eine unverschlüsselte Ausleitung möglich."
Zwar ist die Kooperationspflicht derartiger Anbieter zweifelhaft, da diese nicht § 100a Abs. 4 Satz 1 StPO unterfallen dürften (vgl. für einen Zugriff auf Inhaltsdaten nach § 100b StPO; OLG Stuttgart, Beschl. v. 19.05.2021 - 2 Ws 75/21). Derartige Anordnungen sind aber augenscheinlich – zum Teil – praktische Realität (vgl. zur Diskussion auch MünchKomm StPO/Rückert, 2. Aufl. 2023, § 100a Rn. 130 m.w.N.; Bär, MMR 2013, 700, 703).
Dies wirft die Frage auf, wie die spezifische Fallkonstellation der konzertierten Überwachung des unverschlüsselten Rohdatenaustauschs mit der Cloud – im Lichte der aktuellen Rechtsprechung des 1. Senats – verfassungsrechtlich zu bewerten ist. Zwar wird insoweit weder die Integrität der Hardware des Cloud-Anbieters noch die physische Integrität des Endgeräts des überwachten Beschuldigten beeinträchtigt Allerdings besteht auch hinsichtlich des Cloud-Speichers ein erhöhtes Interesse an der Privatheit der Daten (vgl. MünchKomm StPO/Rückert, 2. Aufl. 2023, § 100a, Rn. 130). Hinzukommt, dass auch bei einer derart konzertierten Überwachung des Datenaustauschs eine enorme Fülle und Bandbreite an zum Teil hochpersönlichen Daten erhoben werden kann. Jedenfalls insoweit ist die Eingriffstiefe einer Maßnahme nach § 100a Abs. 1 Satz 1 StPO mit der Eingriffstiefe einer Quellen-TKÜ iSd § 100a Abs. 1 Satz 2 StPO vergleichbar (vgl. Rn. 187 ff.). Auch wenn der Senat die verfassungsrechtliche Notwendigkeit der Beschränkung auf die Verfolgung "besonders schwerer Straftaten" mit dem Zusammenspiel der Datenvielfalt moderner Maßnahmen auf der einen und der Integritätsverletzung auf der anderen Seite begründet, scheint ersterer Aspekt bei der Bewertung im Vordergrund zu stehen (vgl. z.B. Rn. 185, 206, 234 vgl. aber auch Rn. 218 sowie dazu die Ausführungen unter C. I. 4.). Dementsprechend streiten gute Gründe dafür, auch für den Fall eines Ausleitung des (unverschlüsselten) Rohdatenstroms ohne Zugriff auf das Endgerät des Beschuldigten eine verfassungsrechtliche Einschränkung dergestalt vorzunehmen, dass diese nur zur Verfolgung besonders schwerer Straftaten zulässig ist (im Ergebnis ebenso MünchKommStPO/Rückert, 2. Aufl. 2023, § 100a, Rn. 130).
2. Zukünftige Entschlüsselung als relevantes Abwägungskriterium?
Fraglich ist ferner, wie verfassungsrechtlich damit umzugehen ist, dass ausgeleitete Rohdatenströme perspektivisch durch – sich ankündigende – Entwicklungen in der Quantentechnologie entschlüsselt werden könnten (vgl. dazu Grolle, Der Tag, an dem die Sicherheit der Welt zusammenbricht, Der Spiegel 33/2025).
Unstreitig dürfte sein, dass für den Fall einer real existierenden Entschlüsselungsmöglichkeit auch eine Neubewertung der Verfassungskonformität des § 100a Abs. 1 Satz 1 StPO erforderlich wird. Wenn Ermittlungsbehörden mittels TKÜ die gesamte Internetnutzung überwachen können, stellt dies einen erheblichen Eingriff in Art. 10 Abs. 1 GG dar, der verfassungsrechtliche Beschränkungen erfordert.
Darüber hinaus muss aber auch die Frage aufgeworfen werden, ob bereits die Perspektive einer zukünftigen Entschlüsselung der heute ausgeleiteten und ggfs. gespeicherten Rohdatenströme bei der aktuellen Bewertung der Verfassungskonformität des § 100a Abs. 1 Satz 1 StPO Berücksichtigung finden muss. So soll sich nach der aktuelleren Rechtsprechung des 1. Senat die verfassungsrechtliche Bewertung an den Nutzungsmöglichkeiten orientieren (Rn. 188). Der Senat verweist insoweit auf das Urteil zur automatisierten Datenanalyse, in dem es u.a. heißt:
"Die hier angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfugung stunden. Ob dem so ist, muss hier nicht aufgeklart werden. Denn auch wenn eine Norm Funktionsweiterungen erst infolge weiterer technischer Entwicklungen zulasst, richten sich die verfassungsrechtlichen Anforderungen grundsatzlich nach diesen weiteren Funktionen. Fur das Eingriffsgewicht einer Norm sind auch nicht die blose Vorstellung des Gesetzgebers von der begrenzten Reichweite einer Befugnis oder der Wille der Verwaltung, von den rechtlichen Moglichkeiten einer Befugnis nicht umfassend Gebrauch zu machen, masgeblich. Das Gewicht ist vielmehr nach den rechtlich geschaffenen Eingriffsmoglichkeiten zu beurteilen." (BVerfG, Urt. 16.02.2023 - 1 BvR 1547/19, 1 BvR 2634/20, "Automatisierte Datenanalyse" Rn. 149).
Auch an anderer Stelle hat der Senat betont, dass gegenwärtige, praktisch beschränkte Verwendungsmöglichkeiten nicht maßgeblich seien, sondern wachsende technische Möglichkeiten bei der Ausgestaltung der Eingriffsbefugnisse zu berücksichtigen seien (BVerfG, Urt. v. 26.04.2022 - 1 BvR 1619/17, "Bayerisches Verfassungsschutzgesetz" Rn. 325 f.). Die Konturen dieser Rechtsprechung sind allerdings noch nicht gänzlich geklärt, so dass sich die Auswirkungen auf die verfassungsrechtliche Bewertung des § 100a Abs. 1 Satz 1 StPO noch nicht genau absehen lassen.
IV. Durchsuchung und Beschlagnahme von informationstechnischen Systemen
Die Entscheidungen "Trojaner I" und "Trojaner II" befassen sich mit heimlichen Ermittlungsmaßnahmen. Dennoch könnten sie auch für die Ausgestaltung der §§ 94, 102 ff. StPO Bedeutung erlangen. Derzeit wird nämlich eine rechtspolitische Debatte geführt, ob die Regelungen zur Durchsuchung und Beschlagnahme zur Sicherung von Daten auf ausgewählten Endgeräten (z.B. Smartphones und Laptops) noch zeitgemäß sind (vgl. dazu u.a. EuGH, Urt. v. 04.10.2024 - C-548/21; BGH, Beschl. v. 13.03.2025 - 2 StR 232/24 - NJW 2025, 2265, 2266 m. Anm. Cornelius; Krause, ZRP 2025, 17; El-Ghazi, Gutachten 74. DJT, Bd. I, C; Greco, StV 2024, 276; Hiéramente, StV 2024, 611; Cornelius, NJW 2024, 2725; Stam, JZ 2023, 1070). Die hiesige Entscheidung führt vor Augen, wie sensibel ein derartiger Zugriff sein kann (vgl. Rn. 187 ff.).
