Zero-Day-Exploits – und der Staatstrojaner

Das Bun­des­ver­fas­sungs­ge­richt hat eine Ver­fas­sungs­be­schwer­de als unzu­läs­sig zurück­ge­wie­sen, die die staat­li­che Nut­zung von IT-Sicher­heits­lü­cken betrifft, die den Her­stel­lern von Soft- und Hard­ware noch unbe­kannt sind (soge­nann­te Zero-Day-Schwachstellen).

Zero-Day-Exploits – und der Staatstrojaner

Die Ver­fas­sungs­be­schwer­de betraf den Umgang der Poli­zei­be­hör­den mit Sicher­heits­lü­cken in Pro­gram­men oder sons­ti­gen infor­ma­ti­ons­tech­ni­schen Sys­te­men, die den Sys­tem­her­stel­lern nicht bekannt sind (soge­nann­te Zero-Day-Schwach­stel­len). Die Beschwer­de­füh­ren­den wand­ten sich dage­gen, dass die Behör­den ihnen bekann­te Sicher­heits­lü­cken mög­li­cher­wei­se nicht mel­den, weil sie deren Schlie­ßung durch den Her­stel­ler ver­mei­den wol­len, um die Lücken für die Durch­füh­rung einer poli­zei­li­chen Über­wa­chungs­maß­nah­me ver­wen­den zu kön­nen. Hin­ter­grund die­ser Ver­fas­sungs­be­schwer­de ist die lan­des­recht­li­che Ermäch­ti­gung der baden-würt­tem­ber­gi­schen Poli­zei­be­hör­den zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung, die mit Hil­fe sol­cher Zero-Day-Schwach­stel­len durch­ge­führt wer­den kann. 

Die Ver­fas­sungs­be­schwer­de war nach Ansicht des Bun­des­ver­fas­sungs­ge­richts unzu­läs­sig, weil zum einen die Mög­lich­keit einer Ver­let­zung der grund­recht­li­chen Ver­pflich­tung zum Schutz vor dem unbe­fug­ten Zugang Drit­ter zu infor­ma­ti­ons­tech­ni­schen Sys­te­men nicht hin­rei­chend dar­ge­legt ist und sie zum ande­ren den Anfor­de­run­gen der Sub­si­dia­ri­tät im wei­te­ren Sin­ne nicht genügt.

  1. Art. 10 Abs. 1 GG begrün­det neben einem Abwehr­recht einen Auf­trag an den Staat, vor dem Zugriff pri­va­ter Drit­ter auf die dem Fern­mel­de­ge­heim­nis unter­fal­len­de Kom­mu­ni­ka­ti­on zu schüt­zen1.
    1. Die grund­recht­li­che Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me ver­pflich­tet den Staat, zum Schutz der Sys­te­me vor Angrif­fen durch Drit­te beizutragen.
    2. Die grund­recht­li­che Schutz­pflicht des Staa­tes ver­langt auch eine Rege­lung zur grund­rechts­kon­for­men Auf­lö­sung des Ziel­kon­flikts zwi­schen dem Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me vor Angrif­fen Drit­ter mit­tels unbe­kann­ter Sicher­heits­lü­cken einer­seits und der Offen­hal­tung sol­cher Lücken zur Ermög­li­chung einer der Gefah­ren­ab­wehr die­nen­den Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung andererseits.
  2. Für die Gel­tend­ma­chung einer gesetz­ge­be­ri­schen Schutz­pflicht­ver­let­zung bestehen spe­zi­fi­sche Dar­le­gungs­las­ten. Eine sol­che Ver­fas­sungs­be­schwer­de muss den gesetz­li­chen Rege­lungs­zu­sam­men­hang ins­ge­samt erfas­sen. Dazu gehört, dass die ein­schlä­gi­gen Rege­lun­gen des bean­stan­de­ten Norm­kom­ple­xes jeden­falls in Grund­zü­gen dar­ge­stellt wer­den und begrün­det wird, war­um die­se ver­fas­sungs­recht­lich unzu­rei­chend schützen.
  3. Rich­tet sich eine Ver­fas­sungs­be­schwer­de unmit­tel­bar gegen ein Gesetz, kann nach dem Grund­satz der Sub­si­dia­ri­tät auch die Erhe­bung einer ver­wal­tungs­ge­richt­li­chen Fest­stel­lungs- oder Unter­las­sungs­kla­ge zu den zuvor zu ergrei­fen­den Rechts­be­hel­fen gehö­ren. Das ist nicht erfor­der­lich, wenn die Beur­tei­lung einer Norm allein spe­zi­fisch ver­fas­sungs­recht­li­che Fra­gen auf­wirft und von einer vor­aus­ge­gan­ge­nen fach­ge­richt­li­chen Prü­fung kei­ne ver­bes­ser­te Ent­schei­dungs­grund­la­ge zu erwar­ten wäre (stRspr). Dies gilt auch im Fal­le der Rüge einer gesetz­ge­be­ri­schen Schutzpflichtverletzung.

Gesetz­li­che Rege­lung in Baden-Württemberg

Mit Wir­kung vom 08.12.2017 füg­te der Lan­des­ge­setz­ge­ber in das Poli­zei­ge­setz Baden-Würt­tem­berg einen neu­en § 23b ein2, der in sei­nem Absatz 2 die hier ange­grif­fe­ne Ermäch­ti­gung zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung ent­hielt. Mit dem nach Ein­gang der Ver­fas­sungs­be­schwer­de ver­ab­schie­de­ten Gesetz zur Umset­zung der Richt­li­nie (EU) 2016/​680 für die Poli­zei in Baden-Würt­tem­berg und zur Ände­rung wei­te­rer poli­zei­recht­li­cher Vor­schrif­ten vom 06.10.20203, das am 17.01.2021 in Kraft trat, wur­de die Befug­nis zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über-wachung in den hier rele­van­ten Tei­len unver­än­dert in den neu­en § 54 Abs. 2 PolG BW über­nom­men. Die Beschwer­de­füh­ren­den haben ihre Ver­fas­sungs­be­schwer­de mit Schrift­satz vom 10.03.2021 auf den neu­en § 54 Abs. 2 PolG BW umgestellt. 

§ 54 PolG BW hat in den hier rele­van­ten Absät­zen fol­gen­den Wortlaut: 

§ 54 PolG BW – Über­wa­chung der Telekommunikation

(1) Der Poli­zei­voll­zugs­dienst kann ohne Wis­sen der betrof­fe­nen Per­son die Tele­kom­mu­ni­ka­ti­on einer Per­son über­wa­chen und aufzeichnen,

  1. die nach den §§ 6 oder 7 ver­ant­wort­lich ist, und dies zur Abwehr einer drin­gen­den und erheb­li­chen Gefahr für Leib, Leben oder Frei­heit einer Per­son, für den Bestand oder die Sicher­heit des Bun­des oder eines Lan­des oder für wesent­li­che Infra­struk­tur­ein­rich­tun­gen oder sons­ti­ge Anla­gen mit unmit­tel­ba­rer Bedeu­tung für das Gemein­we­sen gebo­ten ist,
  2. bei der bestimm­te Tat­sa­chen die Annah­me recht­fer­ti­gen, dass sie inner­halb eines über­schau­ba­ren Zeit­raums auf eine zumin­dest ihrer Art nach kon­kre­ti­sier­te Wei­se eine Straf­tat bege­hen wird, die sich gegen die in Num­mer 1 genann­ten Rechts­gü­ter rich­tet und dazu bestimmt ist,
    a) die Bevöl­ke­rung auf erheb­li­che Wei­se ein­zu­schüch­tern,
    b) eine Behör­de oder eine inter­na­tio­na­le Orga­ni­sa­ti­on rechts­wid­rig mit Gewalt oder durch Dro­hung mit Gewalt zu nöti­gen oder
    c) die poli­ti­schen, ver­fas­sungs­recht­li­chen, wirt­schaft­li­chen oder sozia­len Grund­struk­tu­ren eines Staa­tes oder einer inter­na­tio­na­len Orga­ni­sa­ti­on zu besei­ti­gen oder erheb­lich zu beein­träch­ti­gen,
    und durch die Art ihrer Bege­hung oder ihre Aus­wir­kun­gen einen Staat oder eine inter­na­tio­na­le Orga­ni­sa­ti­on erheb­lich schä­di­gen können,
  3. deren indi­vi­du­el­les Ver­hal­ten die kon­kre­te Wahr­schein­lich­keit begrün­det, dass sie inner­halb eines über­schau­ba­ren Zeit­raums eine Straf­tat bege­hen wird, die sich gegen die in Num­mer 1 genann­ten Rechts­gü­ter rich­tet und dazu bestimmt ist,
    a) die Bevöl­ke­rung auf erheb­li­che Wei­se ein­zu­schüch­tern,
    b) eine Behör­de oder eine inter­na­tio­na­le Orga­ni­sa­ti­on rechts­wid­rig mit Gewalt oder durch Dro­hung mit Gewalt zu nöti­gen oder
    c) die poli­ti­schen, ver­fas­sungs­recht­li­chen, wirt­schaft­li­chen oder sozia­len Grund­struk­tu­ren eines Staa­tes oder einer inter­na­tio­na­len Orga­ni­sa­ti­on zu besei­ti­gen oder erheb­lich zu beein­träch­ti­gen,
    und durch die Art ihrer Bege­hung oder ihre Aus­wir­kun­gen einen Staat oder eine inter­na­tio­na­le Orga­ni­sa­ti­on erheb­lich schä­di­gen können,
  4. bei der bestimm­te Tat­sa­chen die Annah­me recht­fer­ti­gen, dass sie für eine Per­son nach Num­mer 1 bestimm­te oder von die­ser her­rüh­ren­de Mit­tei­lun­gen ent­ge­gen­nimmt oder wei­ter­gibt, oder
  5. bei der bestimm­te Tat­sa­chen die Annah­me recht­fer­ti­gen, dass eine Per­son nach Num­mer 1 deren Tele­kom­mu­ni­ka­ti­ons­an­schluss oder End­ge­rät benut­zen wird.

Daten­er­he­bun­gen dür­fen nur durch­ge­führt wer­den, wenn sonst die Erfül­lung der poli­zei­li­chen Auf­ga­be aus­sichts­los oder wesent­lich erschwert wür­de. Die Daten­er­he­bung darf auch durch­ge­führt wer­den, wenn Drit­te unver­meid­bar betrof­fen werden.

(2) Die Über­wa­chung und Auf­zeich­nung der Tele­kom­mu­ni­ka­ti­on darf ohne Wis­sen der betrof­fe­nen Per­son in der Wei­se erfol­gen, dass mit tech­ni­schen Mit­teln in von ihr genutz­te infor­ma­ti­ons­tech­ni­sche Sys­te­me ein­ge­grif­fen wird, wenn

  1. durch tech­ni­sche Maß­nah­men sicher­ge­stellt ist, dass aus­schließ­lich lau­fen­de Tele­kom­mu­ni­ka­ti­on über­wacht und auf­ge­zeich­net wird, und
  2. der Ein­griff not­wen­dig ist, um die Über­wa­chung und Auf­zeich­nung der Tele­kom­mu­ni­ka­ti­on ins­be­son­de­re auch in unver­schlüs­sel­ter Form zu ermöglichen.

(3) Bei Maß­nah­men nach Absatz 2 ist sicher­zu­stel­len, dass

  1. an dem infor­ma­ti­ons­tech­ni­schen Sys­tem nur Ver­än­de­run­gen vor­ge­nom­men wer­den, die für die Daten­er­he­bung uner­läss­lich sind, und
  2. die vor­ge­nom­me­nen Ver­än­de­run­gen bei Been­di­gung der Maß­nah­me, soweit tech­nisch mög­lich, auto­ma­ti­siert rück­gän­gig gemacht werden.

Das ein­ge­setz­te Mit­tel ist gegen unbe­fug­te Nut­zung zu schüt­zen. Kopier­te Daten sind gegen Ver­än­de­rung, unbe­fug­te Löschung und unbe­fug­te Kennt­nis­nah­me zu schützen.

[…]

Die Beschwer­de­füh­ren­den wen­den sich gegen die Befug­nis zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung, weil die­se zur Fol­ge habe, dass zur Durch­füh­rung der Über­wa­chung Sicher­heits­lü­cken des infor­ma­ti­ons­tech­ni­schen Sys­tems, die der Behör­de, nicht aber dem Her­stel­ler bekannt sei­en, offen gehal­ten wür­den, was Angrif­fe von drit­ter Sei­te ermögliche.

Die Aus­nut­zung von Sicher­heits­lü­cken im infor­ma­ti­ons­tech­ni­schen Sys­tem ist eine von meh­re­ren Mög­lich­kei­ten, wie eine Quel­len-Tele­kom­mu­ni­ka­ti­ons-über­wa­chung nach § 54 PolG BW durch­ge­führt wer­den kann. Zur Ermög­li­chung einer sol­chen Über­wa­chung muss das Ziel­sys­tem mit einer Über­wa­chungs­soft­ware infil­triert wer­den. Auf wel­che Wei­se dies geschieht, ist gesetz­lich nicht gere­gelt. Denk­bar ist eine Infil­tra­ti­on auf „phy­si­schem“ Weg. Dabei wird die Soft­ware durch einen Ermitt­ler vor Ort auf das Ziel­sys­tem auf­ge­spielt, etwa nach einem heim­li­chen Betre­ten der Woh­nung, einem Zugang zur Woh­nung durch ver­deck­te Ermitt­ler oder außer­halb der Woh­nung bei­spiels­wei­se bei einer Zoll- oder Ver­kehrs­kon­trol­le. Alter­na­tiv kann das Ziel­sys­tem über einen Fern­zu­griff infil­triert wer­den. Dies kann gesche­hen, indem der Ziel­per­son die Infil­tra­ti­ons­soft­ware als E‑Mail-Anhang zuge­spielt und dann von die­ser Per­son geöff­net wird oder indem Sicher­heits­lü­cken in der Hard- oder Soft­ware des Ziel­sys­tems aus­ge­nutzt wer­den. Letz­te­res kann ins­be­son­de­re im Ver­gleich zu den sich aus Art. 13 GG erge­ben­den Gren­zen für ein phy­si­sches Betre­ten der Woh­nung und zu Zugrif­fen, die ein Fehl­ver­hal­ten des Nut­zers vor­aus­set­zen, prak­ti­sche Vor­tei­le bie­ten. Die Ver­fas­sungs­be­schwer­de rich­tet sich allein gegen die­se Aus­nut­zung von Sicherheitslücken. 

Was unter einer Sicher­heits­lü­cke zu ver­ste­hen ist, ist in § 2 Abs. 6 des Geset­zes über das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI-Gesetz) gesetz­lich definiert: 

§ 2 BSIG – Begriffsbestimmungen

[…]
(6) Sicher­heits­lü­cken im Sin­ne die­ses Geset­zes sind Eigen­schaf­ten von Pro­gram­men oder sons­ti­gen infor­ma­ti­ons­tech­ni­schen Sys­te­men, durch deren Aus­nut­zung es mög­lich ist, dass sich Drit­te gegen den Wil­len des Berech­tig­ten Zugang zu frem­den infor­ma­ti­ons­tech­ni­schen Sys­te­men ver­schaf­fen oder die Funk­ti­on der infor­ma­ti­ons­tech­ni­schen Sys­te­me beein­flus­sen können.

Sicher­heits­lü­cken las­sen sich danach unter­schei­den, ob sie dem Her­stel­ler bereits bekannt sind (soge­nann­te N‑Days, weil der Her­stel­ler sie bereits eine bestimm­te Zahl von Tagen kennt) oder noch unbe­kannt sind (soge­nann­te Zero-Days, weil der Her­stel­ler sie noch null Tage kennt). Zwi­schen bei­den besteht aus der Per­spek­ti­ve der Sicher­heit in der Infor­ma­ti­ons­tech­nik (IT-Sicher­heit) ein grund­le­gen­der Unter­schied, da der Her­stel­ler ihm bekann­te Sicher­heits­lü­cken schlie­ßen kann, ihm unbe­kann­te Lücken hin­ge­gen allen­falls zufäl­lig im Zuge ande­rer Aktua­li­sie­run­gen geschlos­sen wer­den. Auch aus Sicht der Poli­zei­be­hör­den besteht ein Unter­schied. Eine N‑Day-Schwach­stel­le kann nur dann noch zur Infil­tra­ti­on des Ziel­sys­tems genutzt wer­den, wenn der Her­stel­ler trotz Kennt­nis noch kei­ne Aktua­li­sie­rung bereit­ge­stellt hat oder sol­che Updates gene­rell nicht mehr erfol­gen. Außer­dem kön­nen N‑Day-Schwach­stel­len dann noch genutzt wer­den, wenn zwar ein Update vom Her­stel­ler bereit­ge­stellt wur­de, der betrof­fe­ne Nut­zer die­ses aber noch nicht instal­liert hat. Eine Zero-Day-Schwach­stel­le kann hin­ge­gen ohne Wei­te­res zur Infil­tra­ti­on des Ziel­sys­tems genutzt wer­den, weil der Her­stel­ler man­gels Kennt­nis von der jewei­li­gen Schwach­stel­le kei­ne Aktua­li­sie­rung ent­wi­ckeln und zur Ver­fü­gung stel­len kann, wel­che die Lücke schlie­ßen würde. 

Argu­men­te…

…der Beschwer­de­füh­rer

Mit ihrer Ver­fas­sungs­be­schwer­de wen­den sich die Beschwer­de­füh­ren­den gegen § 54 Abs. 2 PolG BW. Sie machen im Kern gel­tend, die­se Befug­nis gefähr­de die Ver­trau­lich­keit und Inte­gri­tät ihrer infor­ma­ti­ons­tech­ni­schen Sys­te­me, weil die Behör­den kein Inter­es­se dar­an hät­ten, die ihnen bekann­ten Schwach­stel­len an die Her­stel­ler zu mel­den, da sie die­se Sicher­heits­lü­cken für eine Infil­tra­ti­on infor­ma­ti­ons­tech­ni­scher Sys­te­me zur durch § 54 Abs. 2 PolG BW gestat­te­ten Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung nut­zen könnten.

Mit ihrer Ver­fas­sungs­be­schwer­de rügen die Beschwer­de­füh­ren­den eine Ver­let­zung der grund­recht­lich gewähr­leis­te­ten Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me. Sie grei­fen § 54 Abs. 2 PolG BW aus­drück­lich nicht des­halb an, weil der Staat hier­durch zum Ein­griff in ihre Grund­rech­te ermäch­tigt wer­de. Viel­mehr bean­stan­den sie, dass das Land Baden-Würt­tem­berg durch die Ein­füh­rung der Befug­nis zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung sei­ne aus der objek­tiv-recht­li­chen Dimen­si­on des Grund­rechts erwach­sen­de Schutz­pflicht ver­letzt habe. Zwar bestehe die­se Schutz­pflicht unab­hän­gig von der Befug­nis zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung. Die Ein­füh­rung der Befug­nis aktua­li­sie­re die­se aber im Hin­blick auf die damit ein­her­ge­hen­de Risi­ko­er­hö­hung und mache kon­kre­te gesetz­li­che Vor­ga­ben zum Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me erfor­der­lich. Der Gesetz­ge­ber begrün­de durch § 54 Abs. 2 PolG BW einen Anreiz für Poli­zei­be­hör­den, Sicher­heits­lü­cken – die auch für Kri­mi­nel­le oder aus­län­di­sche Geheim­diens­te inter­es­sant sei­en – nicht zu mel­den. Auch für die Sicher­heits­for­schung ent­ste­he ein Anreiz, ent­deck­te Schwach­stel­len nicht dem Her­stel­ler zu mel­den, um sie viel­mehr an Behör­den ver­kau­fen zu kön­nen. § 54 Abs. 2 PolG BW schaf­fe damit eine Gefahr, zu deren Abwehr der Gesetz­ge­ber ver­fas­sungs­recht­lich ver­pflich­tet sei.

Das Land habe ver­säumt, die zwin­gend gebo­te­nen Begleit­re­ge­lun­gen für ein Schwach­stel­len-Manage­ment zu schaf­fen, das ins­be­son­de­re die Ver­wen­dung von Sicher­heits­lü­cken ver­bie­ten müs­se, die dem Her­stel­ler des betref­fen­den Sys­tems nicht bekannt sei­en. Selbst wenn man eine Aus­nut­zung von Zero-Day-Lücken nicht für schlecht­hin mit der staat­li­chen Schutz­pflicht unver­ein­bar hal­te, müs­se jeden­falls ein Ver­wal­tungs­ver­fah­ren vor­ge­se­hen – und ange­sichts der Grund­rechts­re­le­vanz durch for­mel­les Gesetz ein­ge­führt – wer­den, mit dem eine damit zu betrau­en­de Behör­de die ihr bekannt wer­den­den Sicher­heits­lü­cken auf ihre Bedeu­tung hin unter­su­chen und ein­stu­fen müs­se, um auf die­ser Grund­la­ge über den Umgang mit den Lücken zu ent­schei­den. Außer­dem müs­se der Staat Vor­keh­run­gen dage­gen tref­fen, dass sei­ne Kennt­nis von Sicher­heits­lü­cken von Drit­ten erbeu­tet wer­de. Bis­lang gebe es kei­nen Pro­zess zur Bewer­tung von Schwach­stel­len, die baden-würt­tem­ber­gi­sche Behör­den zur Quel­len-Tele­kom­mu­ni­ka­ti­ons-über­wa­chung nut­zen woll­ten, und auch kei­ne Ver­fah­ren und Kri­te­ri­en, nach denen über eine Mel­dung der betref­fen­den Schwach­stel­le an die Her­stel­ler ent­schie­den wer­den könne.

Die ange­grif­fe­ne Norm betref­fe die Beschwer­de­füh­ren­den unmit­tel­bar, weil es kei­ner wei­te­ren gegen sie gerich­te­ten Akte bedür­fe. Ihre Betrof­fen­heit fol­ge gera­de aus der durch staat­li­che Stel­len erhöh­ten Gefahr für ihre infor­ma­ti­ons­tech­ni­schen Sys­te­me, weil die Poli­zei wegen § 54 Abs. 2 PolG BW die von ihr in Erfah­rung gebrach­ten Sicher­heits­lü­cken nicht an die Her­stel­ler der betrof­fe­nen Pro­gram­me mel­de. Es kön­ne ihnen nicht abver­langt wer­den, zur Begrün­dung ihrer Ver­fas­sungs­be­schwer­de eine bestimm­te; vom Staat geheim gehal­te­ne Schwach­stel­le zu benen­nen, da sie von den kon­kre­ten den Behör­den bekann­ten Schwach­stel­len kei­ne Kennt­nis erlang­ten. Die Gefähr­dungs­la­ge bestehe auch unab­hän­gig davon, ob die Poli­zei in Baden-Würt­tem­berg der­zeit tat­säch­lich Zero-Day-Schwach­stel­len beschaf­fe oder sam­me­le. Ent­schei­dend sei allein, dass sie sol­che Schwach­stel­len – etwa durch von ande­ren Stel­len bereit­ge­stell­te Aus­for­schungs­soft­ware, deren Bestand­teil die Schwach­stel­len sei­en – nut­ze. Bereits dadurch ent­ste­he ein Anreiz dafür, dass Schwach­stel­len nicht an Her­stel­ler gemel­det würden.

…der Bun­des­re­gie­rung

Die Bun­des­re­gie­rung hält das bestehen­de Regu­lie­rungs­sys­tem zur Gewähr­leis­tung der IT-Sicher­heit und des Daten­schut­zes in Deutsch­land auch ange­sichts der mit Schwach­stel­len infor­ma­ti­ons­tech­ni­scher Sys­te­me ver­bun­de­nen Gefah­ren für aus­rei­chend. Das Span­nungs­ver­hält­nis zwi­schen den mit der Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung ver­folg­ten Zie­len, die dem Schutz über­ra­gend wich­ti­ger ande­rer Rechts­gü­ter dien­ten, und dem Ziel der Gewähr­leis­tung einer größt­mög­li­chen IT-Sicher­heit sei inner­halb der Spiel­räu­me des Gesetz­ge­bers unter größt­mög­li­chem Schutz für alle betrof­fe­nen Rechts­gü­ter auf­zu­lö­sen. Einer­seits gin­gen von Schwach­stel­len infor­ma­ti­ons­tech­ni­scher Sys­te­me Gefah­ren aus, wes­halb grund­sätz­lich eine mög­lichst gerin­ge Zahl an offe­nen Schwach­stel­len anzu­stre­ben sei. Ande­rer­seits lie­fen recht­li­che Befug­nis­se zur Quel­len-Tele-kom­mu­ni­ka­ti­ons­über­wa­chung ohne die Mög­lich­keit, Schwach­stel­len zu nut­zen, viel­fach ins Lee­re, wenn eine Infil­tra­ti­on auf ande­ren Wegen nicht gelän­ge. Die Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung sei aber als Mit­tel zur Gefah­ren­ab­wehr zuneh­mend erfor­der­lich, da immer häu­fi­ger eine Ende-zu-Ende-Ver­schlüs­se­lung genutzt wer­de, um Tat- und Kom­mu­ni­ka­ti­ons­mit­tel bewusst einem Zugriff durch Straf­ver­fol­gungs- und Sicher­heits­be­hör­den zu entziehen. 

…der Lan­des­re­gie­rung Baden-Württemberg

Für die Lan­des­re­gie­rung Baden-Würt­tem­berg hat das Minis­te­ri­um für Inne­res, Digi­ta­li­sie­rung und Migra­ti­on Stel­lung genom­men. Es hält die Ver­fas­sungs­be­schwer­de für unbe­grün­det. Es bestehe bereits des­we­gen kei­ne ver­fas­sungs­recht­li­che Pflicht zur Schaf­fung wei­ter­ge­hen­der Schutz­vor­schrif­ten, weil die baden-würt­tem­ber­gi­sche Poli­zei im Zusam­men­hang mit der prä­ven­tiv­po­li­zei­li­chen Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung nicht gezielt Zero-Day-Sicher­heits­lü­cken beschaf­fe oder samm­le. Jeden­falls sei das bestehen­de Sys­tem aus Rechts­vor­schrif­ten und wei­te­ren Schutz­maß­nah­men geeig­net und aus­rei­chend, um den behaup­te­ten nega­ti­ven Fol­gen der Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung ent­ge­gen­zu­wir­ken und vor kri­mi­nel­len Ein­grif­fen in infor­ma­ti­ons­tech­ni­sche Sys­te­me durch die Nut­zung sol­cher Schwach­stel­len effek­tiv zu schützen.

Aus der grund­recht­li­chen Schutz­pflicht las­se sich kei­ne Mel­de­pflicht der Poli­zei für Schwach­stel­len an die Soft­ware­her­stel­ler ablei­ten. Die Gewähr­leis­tung der IT-Sicher­heit und der Schutz vor unbe­rech­tig­tem Zugriff auf infor­ma­ti­ons­tech­ni­sche Sys­te­me oblie­ge in ers­ter Linie den Her­stel­lern und Anbie­tern von Soft­ware, die dem mit erheb­li­chem Auf­wand nach­kä­men. Eine teil­wei­se Ver­la­ge­rung der Ver­ant­wor­tung für die Sicher­heit der Sys­te­me auf die Poli­zei durch die Schaf­fung von gesetz­li­chen Mel­de­pflich­ten an die Her­stel­ler sei ver­fas­sungs­recht­lich nicht gebo­ten. Außer­dem sei zu berück­sich­ti­gen, dass die Befug­nis zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung der Erfül­lung der poli­zei­li­chen Auf­ga­be der Gefah­ren­ab­wehr in Fäl­len beson­ders drin­gen­der oder erheb­li­cher Gefah­ren für bedeu­ten­de Rechts­gü­ter die­ne. Da die Tele­kom­mu­ni­ka­ti­on zuneh­mend von-Ende-zu-Ende ver­schlüs­selt wer­de, lau­fe par­al­lel auch die all­ge­mei­ne Befug­nis zur prä­ven­ti­ven Tele­kom­mu­ni­ka­ti­ons­über­wa­chung ohne die Befug­nis zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung all­mäh­lich leer. Dabei sei die Poli­zei auf die Aus­nut­zung von Schwach­stel­len ange­wie­sen, wenn kein direk­ter Zugriff auf das genutz­te Gerät mög­lich sei. Auch der mög­li­che Ziel­kon­flikt zwi­schen der Gewähr­leis­tung der IT-Sicher­heit und der Erfül­lung des gesetz­li­chen Auf­trags der Poli­zei erzeu­ge kei­nen gesetz­ge­be­ri­schen Hand­lungs­be­darf. Da die blo­ße Nut­zung unbe­kann­ter Sicher­heits­lü­cken die IT-Sicher­heit nicht gefähr­de, bestehe kein Anlass für ein gesetz­li­ches Ver­bot oder für Rege­lun­gen, die die Nut­zung sol­cher Sicher­heits­lü­cken ein­schränk­ten oder zu deren Mel­dung an die Her­stel­ler verpflichteten.

Eine ver­fas­sungs­recht­li­che Not­wen­dig­keit für wei­ter­ge­hen­de gesetz­li­che Rege­lun­gen bestehe auch des­halb nicht, weil der Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me gegen den unbe­rech­tig­ten Zugriff Drit­ter durch zahl­rei­che Vor­schrif­ten gewähr­leis­tet wer­de. Die Rege­lun­gen des § 54 PolG BW – ins­be­son­de­re § 54 Abs. 3 Satz 2 PolG BW – stell­ten sicher, dass die Durch­füh­rung der Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung Drit­ten nicht die Mög­lich­keit bie­te, auf das betrof­fe­ne Sys­tem oder die der Poli­zei bekann­ten Sicher­heits­lü­cken zuzu­grei­fen. Außer­dem sei Auf­ga­be der Poli­zei auch die Ver­hin­de­rung von Straf­ta­ten, bei denen Drit­te unbe­kann­te Sicher­heits­lü­cken aus­nutz­ten und infor­ma­ti­ons­tech­ni­sche Sys­te­me mani­pu­lier­ten, wes­halb sie gemäß § 3 PolG BW nach pflicht­ge­mä­ßem Ermes­sen die erfor­der­li­chen Maß­nah­men zu ergrei­fen habe, wenn ihr ent­spre­chen­de Sicher­heits­lü­cken bekannt wür­den. Die Poli­zei habe bei ihrer Gefähr­dungs­ana­ly­se im Rah­men der §§ 1, 3 und 5 PolG BW ohne­hin die Gesichts­punk­te der Ver­brei­tung und des Gewichts der Sicher­heits­lü­cke zu berück­sich­ti­gen, eben­so wie die Wahr­schein­lich­keit von Gegen­maß­nah­men und einer tech­ni­schen Lösung für die Schlie­ßung der Lücke, die Wahr­schein­lich­keit, dass die Lücke von Drit­ten auf­ge­fun­den wer­de, und schließ­lich den mög­li­chen Scha­den durch eine kri­mi­nel­le Aus­nut­zung der Lücke. Eine wei­te­re gesetz­li­che Rege­lung habe kei­nen Mehr­wert. Zudem schüt­ze der Staat die­se Sys­te­me durch das Straf­recht vor Über­grif­fen Pri­va­ter. Aus dem Daten­schutz­recht sei ins­be­son­de­re die Umset­zung des Art. 29 der Richt­li­nie (EU) 2016/​680 (JI-Richt­li­nie) zur Gewähr­leis­tung der Sicher­heit der Daten­ver­ar­bei­tung in § 78 PolG BW zu berücksichtigen.

Wei­ter ver­weist die Lan­des­re­gie­rung auf die Auf­ga­ben des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik. Der Ver­bes­se­rung der Cyber­si­cher­heit die­ne außer­dem der Ent­wurf des – zwi­schen­zeit­lich ver­ab­schie­de­ten – baden-würt­tem­ber­gi­schen Geset­zes zur Ver­bes­se­rung der Cyber­si­cher­heit. Danach sol­le die Lan­des­ober­be­hör­de „Cyber­si­cher­heits­agen­tur Baden-Würt­tem­berg“ errich­tet wer­den. Eine ihrer wesent­li­chen Auf­ga­ben wer­de der Betrieb einer zen­tra­len Koor­di­nie­rungs- und Mel­de­stel­le für die Zusam­men­ar­beit der öffent­li­chen Stel­len in allen Ange­le­gen­hei­ten der Cyber­si­cher­heit in Baden-Würt­tem­berg sein.

…der Bun­des- und Landesdatenschutzbeauftragten

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit ist der Auf­fas­sung, die ange­grif­fe­ne Rechts­vor­schrift genü­ge nicht dem ver­fas­sungs­recht­li­chen Gebot, infor­ma­ti­ons­tech­ni­sche Sys­te­me gegen Drit­te zu schüt­zen. Sicher­heits­lü­cken infor­ma­ti­ons­tech­ni­scher Sys­te­me – ins­be­son­de­re sol­che, die dem Her­stel­ler nicht bekannt sei­en – begrün­de­ten ein enor­mes Gefähr­dungs­po­ten­ti­al für die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on und für die Pri­vat­sphä­re der Bür­ge­rin­nen und Bür­ger, da die Gefahr einer Aus­spä­hung durch Drit­te bestehe. Erlau­be ein Gesetz den Sicher­heits­be­hör­den die Aus­nut­zung von Sicher­heits­lü­cken, müs­se es auch die Ein­zel­hei­ten regeln. Dazu gehö­re etwa, in wel­chem Umfang Sicher­heits­be­hör­den Infor­ma­tio­nen über Sicher­heits­lü­cken „bevor­ra­ten“ dürf­ten, oder die Ver­pflich­tung zur Wei­ter­ga­be der Infor­ma­ti­on an die betrof­fe­nen Her­stel­ler oder das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik. Die­se Anfor­de­run­gen sei­en nicht erfüllt.

Der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz teilt die ver­fas­sungs­recht­li­chen Beden­ken der Beschwer­de­füh­ren­den. Die ver­fas­sungs­recht­li­che Not­wen­dig­keit von Schutz­maß­nah­men erge­be sich auch dar­aus, dass die öffent­li­che Hand selbst das Sicher­heits­ni­veau infor­ma­ti­ons­tech­ni­scher Sys­te­me nicht­öf­fent­li­cher Stel­len recht­lich steue­re. Es kön­ne ein Wider­spruch ent­ste­hen, wenn staat­li­che Stel­len ein hin­rei­chen­des Sicher­heits­ni­veau bei infor­ma­ti­ons­tech­ni­schen Sys­te­men beschei­nig­ten, die dann aber von der Poli­zei durch Aus­nut­zung unbe­kann­ter Sicher­heits­lü­cken infil­triert wür­den. Die­ses Span­nungs­ver­hält­nis sei durch hin­rei­chend kla­re und bestimm­te Rege­lun­gen auf­zu­lö­sen. Die­se müss­ten sowohl die Vor­aus­set­zun­gen der Infil­tra­ti­on des Ziel­sys­tems als auch die Gren­zen der Beschaf­fung und der Zurück­hal­tung von Erkennt­nis­sen über bis­lang all­ge­mein unbe­kannt geblie­be­ne Sicher­heits­lü­cken hin­rei­chend klar beschreiben.

Der Lan­des­da­ten­schutz­be­auf­trag­te Rhein­land-Pfalz ist eben­falls der Auf­fas­sung, dass die Rege­lun­gen des Poli­zei­ge­set­zes Baden-Würt­tem­berg kei­ne hin­rei­chend kon­kre­ten gesetz­li­chen Anfor­de­run­gen an den all­ge­mei­nen Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me ent­hiel­ten. Der Grund­rechts­schutz wer­de in Bezug auf die Gefah­ren, die von offen gehal­te­nen Zero-Day-Sicher­heits­lü­cken aus­gin­gen, nicht hin­rei­chend effek­tiv gewähr­leis­tet. Es feh­le an Vor­schrif­ten, die dazu ver­pflich­te­ten, die Sicher­heits­lü­cken, die zum Auf­spie­len der Soft­ware genutzt wür­den, zu schlie­ßen oder all­ge­mein eine Bewer­tung der Aus­wir­kun­gen der Maß­nah­men in Bezug auf die kol­lek­ti­ve IT-Sicher­heit vorzunehmen.

Unzu­läs­sig­keit der Verfassungsbeschwerde

Die Ver­fas­sungs­be­schwer­de ist unzu­läs­sig, weil die Mög­lich­keit einer Ver­let­zung der bestehen­den Schutz­pflicht nicht hin­rei­chend dar­ge­legt ist und weil sie die Anfor­de­run­gen der Sub­si­dia­ri­tät im wei­te­ren Sin­ne nicht wahrt. 

Grund­rechts­fä­hig­keit der beschwer­de­füh­ren­den juris­ti­schen Personen

Die Beschwer­de­füh­ren­den kön­nen grund­sätz­lich Trä­ger von Grund­rech­ten und damit beschwer­de­fä­hig sein. Das gilt auch für die Beschwer­de­füh­ren­den zu 5 bis 7, die als ein­ge­tra­ge­ner Ver­ein4, als ein­ge­tra­ge­ne Genos­sen­schaft5 und als Gesell­schaft des bür­ger­li­chen Rechts6 und damit als inlän­di­sche juris­ti­sche Per­so­nen im Sin­ne des Art.19 Abs. 3 GG grund­rechts­be­rech­tigt sind. Juris­ti­sche Per­so­nen kön­nen sich grund­sätz­lich auf die von den Beschwer­de­füh­ren­den gel­tend gemach­te grund­recht­li­che Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me beru­fen, soweit die­ses nicht auf Art. 1 Abs. 1 GG gestützt ist7. Ihr Schutz­be­dürf­nis ist hier dem natür­li­cher Per­so­nen ähn­lich. Aller­dings ergibt sich inso­weit ein Unter­schied, als der Tätig­keits­kreis juris­ti­scher Per­so­nen anders als der natür­li­cher Per­so­nen in der Regel durch eine bestimm­te Zweck­set­zung begrenzt wird. Die Unter­schie­de, die zwi­schen den Schutz­be­dürf­nis­sen natür­li­cher und juris­ti­scher Per­so­nen bestehen, sind bei der Bestim­mung der grund­recht­li­chen Gewähr­leis­tung zu beach­ten8

Zuläs­si­ger Beschwerdegegenstand

Die Ver­fas­sungs­be­schwer­de hat einen zuläs­si­gen Beschwer­de­ge­gen­stand. Die Beschwer­de­füh­ren­den wen­den sich unmit­tel­bar gegen § 54 Abs. 2 PolG BW. Die­ser ver­let­ze ihre Grund­rech­te, soweit er erlau­be, zur Durch­füh­rung von Ein­grif­fen in infor­ma­ti­ons­tech­ni­sche Sys­te­me mit tech­ni­schen Mit­teln auch Schwach­stel­len die­ser Sys­te­me aus­zu­nut­zen, die den jewei­li­gen Her­stel­lern noch nicht bekannt sind, ohne die­se zuvor dem Her­stel­ler mel­den zu müs­sen. Hilfs­wei­se machen sie gel­tend, der Gesetz­ge­ber ver­let­ze ihre Grund­rech­te, indem er es unter­las­sen habe, beglei­tend zu § 54 Abs. 2 PolG BW ein gesetz­li­ches Schwach­stel­len­ma­nage­ment-Ver­fah­ren zur Bewer­tung von Sicher­heits­lü­cken im Ein­zel­fall ein­zu­füh­ren. Bei­des stüt­zen die Beschwer­de­füh­ren­den auf die Schutz­di­men­si­on der grund­recht­li­chen Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me. Sie machen gel­tend, der Gesetz­ge­ber habe durch das Unter­las­sen ent­spre­chen­der Begleit­re­ge­lun­gen gegen sei­ne Schutz­pflicht ver­sto­ßen. Ihre Beschwer­de rich­tet sich also gegen eine aus ihrer Sicht grund­recht­lich unzu­rei­chen­de gesetz­li­che Vor­schrift. Dies ist zuläs­sig9

Kei­ne uni­ons­recht­li­che Determinierung

Dass im hier rele­van­ten Kon­text mit der JI-Richt­li­nie daten­schutz­recht­li­che Vor­schrif­ten der Euro­päi­schen Uni­on bestehen, steht der Zuläs­sig­keit der Ver­fas­sungs­be­schwer­de nicht ent­ge­gen. Weder die ange­grif­fe­ne Vor­schrift selbst noch die von den Beschwer­de­füh­ren­den als feh­lend gerüg­ten Rege­lungs­ele­men­te sind voll­stän­dig uni­ons­recht­lich deter­mi­niert10

Jahresfrist(en)

Die Jah­res­frist zur Erhe­bung der Ver­fas­sungs­be­schwer­de aus § 93 Abs. 3 BVerfGG ist gewahrt. Dies galt, soweit die am 7.12.2018 erho­be­ne Ver­fas­sungs­be­schwer­de ursprüng­lich gegen den am 8.12.2017 in Kraft getre­te­nen § 23b Abs. 2 PolG BW a.F. gerich­tet war. Die Beschwer­de­füh­ren­den haben ihre Ver­fas­sungs­be­schwer­de am 10.03.2021 aber auch frist­ge­mäß auf den am 17.01.2021 in Kraft getre­te­nen § 54 Abs. 2 PolG BW n.F. umge­stellt11

Beschwer­de­be­fug­nis

Die Beschwer­de­füh­ren­den haben jedoch nicht den Anfor­de­run­gen der § 23 Abs. 1 Satz 2, § 92 BVerfGG ent­spre­chend dar­ge­legt, beschwer­de­be­fugt zu sein. Die Zuläs­sig­keit einer Ver­fas­sungs­be­schwer­de setzt gemäß Art. 93 Abs. 1 Nr. 4a GG, § 90 Abs. 1 BVerfGG vor­aus, dass die Beschwer­de­füh­ren­den behaup­ten, durch die öffent­li­che Gewalt in einem ihrer Grund­rech­te oder grund­rechts­glei­chen Rech­te ver­letzt zu sein, und dass dies zumin­dest mög­lich erscheint12. Dem genügt die Ver­fas­sungs­be­schwer­de nicht. Zwar besteht eine grund­recht­li­che Schutz­pflicht und die Beschwer­de­füh­ren­den haben hin­rei­chend begrün­det, dass sie selbst, gegen­wär­tig und unmit­tel­bar in Grund­rech­ten betrof­fen sind. Jedoch ergibt sich aus der Ver­fas­sungs­be­schwer­de nicht hin­rei­chend, dass die Schutz­pflicht ver­letzt sein könnte. 

Der Staat trägt zum Schutz der Grund­rech­te eine Ver­ant­wor­tung für die Sicher­heit infor­ma­ti­ons­tech­ni­scher Sys­te­me. In der hier zu beur­tei­len­den Kon­stel­la­ti­on, in der die Behör­den von einer Sicher­heits­lü­cke wis­sen, die der Her­stel­ler nicht kennt, trifft den Staat eine kon­kre­te grund­recht­li­che Schutz­pflicht. Er ist ver­pflich­tet, die Nut­ze­rin­nen und Nut­zer infor­ma­ti­ons­tech­ni­scher Sys­te­me vor Angrif­fen Drit­ter auf die­se Sys­te­me zu schützen.

Betrof­fen sind hier das Fern­mel­de­ge­heim­nis und die grund­recht­li­che Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Systeme.

Sofern Zugrif­fe Drit­ter Inhal­te und Umstän­de der lau­fen­den Tele­kom­mu­ni­ka­ti­on erfas­sen, ist das durch Art. 10 Abs. 1 GG geschütz­te Fern­mel­de­ge­heim­nis betrof­fen13.

Im Übri­gen betrifft die Infil­tra­ti­on eines infor­ma­ti­ons­tech­ni­schen Sys­tems die aus Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG her­ge­lei­te­te grund­recht­li­che Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me14. Zwar ermäch­tigt die ange­grif­fe­ne Rege­lung die zustän­di­gen Behör­den nur bezüg­lich lau­fen­der Tele­kom­mu­ni­ka­ti­ons­vor­gän­ge zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung (vgl. § 54 Abs. 2 Nr. 1 PolG BW), so dass ein auf § 54 Abs. 2 PolG BW gestütz­ter staat­li­cher Ein­griff inso­weit an Art. 10 Abs. 1 GG zu mes­sen wäre. Drin­gen aber Drit­te über eine unbe­kann­te Schutz-lücke in das Sys­tem ein, könn­ten sie nicht nur auf lau­fen­de Kom­mu­ni­ka­ti­on, son­dern auf das gesam­te infor­ma­ti­ons­tech­ni­sche Sys­tem und sei­nen Daten­be­stand zugrei­fen. Sie kön­nen die­ses aus­spä­hen, mani­pu­lie­ren und erpres­se­risch mit der Mani­pu­la­ti­on, ins­be­son­de­re der Ver­nich­tung von Daten, drohen.

Die Grund­rech­te sind in ihrer Schutz­di­men­si­on betrof­fen, aus der sich hier eine kon­kre­te grund­recht­li­che Schutz­pflicht des Staa­tes ergibt.

Nach stän­di­ger Recht­spre­chung des Bun­des­ver­fas­sungs­ge­richts erschöpft sich der Gewähr­leis­tungs­ge­halt von Grund­rech­ten nicht in ihrer Abwehr­funk­ti­on, son­dern sie ent­hal­ten zugleich eine objek­ti­ve Wert­ent­schei­dung der Ver­fas­sung, die staat­li­che Schutz­pflich­ten begrün­den kann15.

10 Abs. 1 GG begrün­det neben einem Abwehr­recht einen Auf­trag an den Staat, vor dem Zugriff pri­va­ter Drit­ter auf die dem Fern­mel­de­ge­heim­nis unter­fal­len­de Kom­mu­ni­ka­ti­on zu schüt­zen16.

Auch die grund­recht­li­che Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me hat eine Schutz­di­men­si­on. Das beson­de­re, grund­recht­lich erheb­li­che Schutz­be­dürf­nis folgt aus der Ange­wie­sen­heit auf die Nut­zung infor­ma­ti­ons­tech­ni­scher Sys­te­me für die Frei­heits­ver­wirk­li­chung und die all­ge­mei­ne Ent­fal­tung der Per­sön­lich­keit sowie aus den Per­sön­lich­keits­ge­fähr­dun­gen, die mit die­ser Nut­zung ver­bun­den sind17. Wie sehr die grund­recht­lich geschütz­te Ent­fal­tungs­frei­heit inzwi­schen die Nut­zung der Infor­ma­ti­ons­tech­nik vor­aus­setzt, hat das Bun­des­ver­fas­sungs­ge­richt bereits im Jahr 2008 näher aus­ge­führt18. Der Zusam­men­hang von Ent­fal­tungs­frei­heit und Infor­ma­ti­ons­tech­nik hat sich seit­dem noch ver­stärkt. Die Umstel­lung ehe­mals ana­lo­ger Vor­gän­ge auf digi­ta­le Pro­zes­se und nicht zuletzt die immer brei­te­re mobi­le Nut­zung infor­ma­ti­ons­tech­ni­scher Sys­te­me erhö­hen die Abhän­gig­keit von Infor­ma­ti­ons­tech­no­lo­gie stän­dig wei­ter. Die Ein­zel­nen kön­nen von ihren grund­recht­li­chen Frei­hei­ten ohne die Nut­zung infor­ma­ti­ons­tech­ni­scher Sys­te­me immer weni­ger Gebrauch machen und kön­nen sich auch den Gefah­ren der Nut­zung infor­ma­ti­ons­tech­ni­scher Sys­te­me immer weni­ger dadurch ent­zie­hen, dass sie auf die­se Nut­zung ver­zich­ten. Vor die­sem Hin­ter­grund gebie­ten die Grund­rech­te nicht nur, dass der Staat selbst die berech­tig­ten Erwar­tun­gen an die Inte­gri­tät und Ver­trau­lich­keit der­ar­ti­ger Sys­te­me ach­tet19. Viel­mehr trifft den Staat auch eine Pflicht, dazu bei­zu­tra­gen, dass die Inte­gri­tät und Ver­trau­lich­keit infor­ma­ti­ons­tech­ni­scher Sys­te­me gegen Angrif­fe durch Drit­te geschützt wer­den20.

Weiß der Staat von Sicher­heits­lü­cken, die den Her­stel­lern und Nut­zern unbe­kannt sind, ver­dich­tet sich der all­ge­mei­ne Schutz­auf­trag zu einer kon­kre­ten grund­recht­li­chen Ver­pflich­tung, die Nut­ze­rin­nen und Nut­zer infor­ma­ti­ons­tech­ni­scher Sys­te­me davor zu schüt­zen, dass Drit­te über unbe­kann­te Sicher­heits­lü­cken die genutz­ten Sys­te­me infil­trie­ren. Die­se kon­kre­te grund­recht­li­che Schutz­pflicht des Staa­tes schließt nicht aus, eine Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung mit­tels einer unbe­kann­ten Schutz­lü­cke durch­zu­füh­ren. Sie ver­langt aber eine Rege­lung zur Auf­lö­sung des im vor­lie­gen­den Ver­fah­ren in Rede ste­hen­den Ziel­kon­flikts zwi­schen dem Schutz vor Infil­tra­ti­on durch Drit­te einer­seits und der Ermög­li­chung einer Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung mit­tels unbe­kann­ter Sicher­heits­lü­cken zum Zwe­cke der Gefah­ren­ab­wehr andererseits.

Wer­den den staat­li­chen Behör­den Sicher­heits­lü­cken bekannt, ver­dich­tet sich der all­ge­mei­ne Schutz­auf­trag des Staa­tes zu einer kon­kre­ten grund­recht­li­chen Schutz­pflicht21. Die­se kon­kre­te Schutz­pflicht beruht auf dem hohen Gefähr­dungs- und Schä­di­gungs­po­ten­zi­al von Sicher­heits­lü­cken, auf der feh­len­den Mög­lich­keit der Betrof­fe­nen, sich selbst zu schüt­zen, und dar­auf, dass die Behör­de hier Kennt­nis von der Sicher­heits­lü­cke hat.

Wenn Sicher­heits­lü­cken offen­blei­ben, sind damit beson­de­re Gefah­ren für die infor­ma­tio­nel­le Selbst­be­stim­mung ver­bun­den. Infor­ma­ti­ons­tech­ni­sche Sys­te­me eröff­nen ein brei­tes Spek­trum von Nut­zungs­mög­lich­kei­ten, die sämt­lich mit der Erzeu­gung, Ver­ar­bei­tung und Spei­che­rung von Daten ver­bun­den sind. Wer Zugang zu die­sen Daten erlangt, kann weit­ge­hen­de Kennt­nis­se über die Per­sön­lich­keit der Nut­ze­rin oder des Nut­zers gewin­nen22. Wird ein kom­ple­xes infor­ma­ti­ons­tech­ni­sches Sys­tem tech­nisch infil­triert, ist mit der Infil­tra­ti­on die ent­schei­den­de Hür­de genom­men, um das Sys­tem ins­ge­samt aus­zu­spä­hen und sol­che weit­rei­chen­den Infor­ma­tio­nen zu erlan­gen23.

Wegen der Brei­te der Nut­zun­gen infor­ma­ti­ons­tech­ni­scher Sys­te­me und der all­ge­mei­nen Ange­wie­sen­heit auf die­se Nut­zung haben Sicher­heits­lü­cken zudem ein über die Offen­ba­rung per­sön­lich­keits­re­le­van­ter Infor­ma­tio­nen weit hin­aus gehen­des Schä­di­gungs­po­ten­zi­al – etwa im betrieb­li­chen Bereich und im Han­del. Drin­gen Drit­te über Sicher­heits­lü­cken in das infor­ma­ti­ons­tech­ni­sche Sys­tem ein und mani­pu­lie­ren sie es, kön­nen Abläu­fe unter­schied­lichs­ter Art zum Scha­den der Betrof­fe­nen gestört wer­den. Mit dem Risi­ko der Infil­tra­ti­on durch Drit­te ist so auch eine beson­de­re Erpres­sungs­ge­fahr verbunden.

Die­se Gefah­ren sind groß, weil vie­le uner­kann­te Schwach­stel­len exis­tie­ren dürf­ten. So emp­fiehlt das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, immer davon aus­zu­ge­hen, dass die ein­ge­setz­te Soft­ware Schwach­stel­len ent­hält24.

Vor der Gefahr einer Aus­nut­zung von Zero-Day-Schwach­stel­len, die dem Her­stel­ler nicht bekannt sind und die des­halb noch nicht durch eine Aktua­li­sie­rung des Sys­tems geschlos­sen wer­den kön­nen, kön­nen sich die Ein­zel­nen in der Regel nicht selbst wirk­sam schüt­zen. Sie kön­nen sol­che Zugrif­fe zum Teil gar nicht wahr­neh­men, jeden­falls aber nur begrenzt abweh­ren25.

Zugleich sind es gera­de die zustän­di­gen Behör­den, die in der hier zu beur­tei­len­den Kon­stel­la­ti­on Kennt­nis von der Sicher­heits­lü­cke haben und damit Abhil­fe schaf­fen kön­nen. Die Beschwer­de­füh­ren­den machen nicht etwa gel­tend, dass die Behör­den aktiv nach Sicher­heits­lü­cken suchen müss­ten. Viel­mehr mah­nen sie einen grund­rechts­schüt­zen­den Umgang mit Lücken an, die den Behör­den, nicht aber dem Her­stel­ler bekannt gewor­den sind. In Rede ste­hen mit­hin nur sol­che Kon­stel­la­tio­nen, in denen die Behör­de bereits von einer Sicher­heits­lü­cke weiß; sei es, dass sie die­se selbst ent­deckt oder von Drit­ten beschafft hat. Gera­de aus die­ser Kennt­nis und der gleich­zei­ti­gen Unkennt­nis des Her­stel­lers und der feh­len­den Selbst­schutz­mög­lich­keit der Betrof­fe­nen erwächst die beson­de­re Schutz­ver­pflich­tung des Staa­tes26.

Die Schutz­pflicht schließt hier eine Ver­pflich­tung des Gesetz­ge­bers ein, den Umgang der Poli­zei­be­hör­den mit Sicher­heits­lü­cken, die den Her­stel­lern nicht bekannt sind, zu regeln.

Bestün­de kei­ne Ermäch­ti­gung zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung und hät­ten die Behör­den daher kein eige­nes Inter­es­se, Sicher­heits­lü­cken zu nut­zen, um dar­über infor­ma­ti­ons­tech­ni­sche Sys­te­me infil­trie­ren zu kön­nen, wür­den sie die ihnen bekannt wer­den­den Lücken zur Erfül­lung ihrer grund­recht­li­chen Schutz­pflicht dem Her­stel­ler regel­mä­ßig mel­den, damit die­ser die Lücke schlie­ßen kann. Ist eine Behör­de aber ermäch­tigt, zum Zweck der Gefah­ren­ab­wehr eine Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung durch­zu­füh­ren, löst dies für sie einen Ziel­kon­flikt zwi­schen den öffent­li­chen Inter­es­sen an einer mög­lichst gro­ßen Sicher­heit infor­ma­ti­ons­tech­ni­scher Sys­te­me einer­seits und der Ermög­li­chung einer dem Schutz von ande­ren hoch­ran­gi­gen Rechts­gü­tern die­nen­den Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung ande­rer­seits aus. In der Fol­ge besteht die Gefahr, dass die Behör­de es unter­lässt, die Schlie­ßung der Lücke anzu­re­gen oder sogar aktiv dar­auf hin­wirkt, dass die Lücke uner­kannt bleibt27. Zugleich könn­te allein die Exis­tenz der staat­li­chen Über­wa­chungs­be­fug­nis einen Anreiz für Drit­te schaf­fen, ihnen bekann­te Sicher­heits­lü­cken nicht den Her­stel­lern zu mel­den, um ihre Kennt­nis viel­mehr staat­li­chen Behör­den gegen eine Bezah­lung anbie­ten zu kön­nen. Dies ver­stärkt die Gefahr, dass Sicher­heits­lü­cken dem Her­stel­ler nicht gemel­det werden.

Wegen die­ser Gefah­ren für die Sicher­heit infor­ma­ti­ons­tech­ni­scher Sys­te­me unter­liegt die Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung durch Nut­zung uner­kann­ter Sicher­heits­lü­cken zwar erhöh­ten Recht­fer­ti­gungs­an­for­de­run­gen, ist aber ver­fas­sungs­recht­lich nicht von vorn­her­ein unzu­läs­sig28. Die grund­recht­li­che Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me ver­leiht daher kei­nen Anspruch dar­auf, die Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung durch Nut­zung uner­kann­ter Sicher­heits­lü­cken voll­stän­dig zu unter­sa­gen. Sie begrün­det auch kei­nen Anspruch auf Ver­pflich­tung der Behör­de, jede uner­kann­te Sicher­heits­lü­cke sofort und unbe­dingt dem Her­stel­ler zu melden.

Indes­sen ver­langt die grund­recht­li­che Schutz­pflicht eine Rege­lung dar­über, wie die Behör­de bei der Ent­schei­dung über ein Offen­hal­ten uner­kann­ter Sicher­heits­lü­cken den Ziel­kon­flikt zwi­schen dem not­wen­di­gen Schutz vor Infil­tra­ti­on durch Drit­te einer­seits und der Ermög­li­chung von Quel­len-Tele­kom­mu­ni­ka­ti­ons-über­wa­chun­gen ande­rer­seits auf­zu­lö­sen hat. Der Behör­de muss eine Abwä­gung der gegen­läu­fi­gen Belan­ge für den Fall auf­ge­ge­ben wer­den, dass ihr eine Zero-Day-Schutz­lü­cke bekannt wird. Es ist sicher­zu­stel­len, dass die Behör­de bei jeder Ent­schei­dung über ein Offen­hal­ten einer uner­kann­ten Sicher­heits­lü­cke einer­seits die Gefahr einer wei­te­ren Ver­brei­tung der Kennt­nis von die­ser Sicher­heits­lü­cke ermit­telt und ande­rer­seits den Nut­zen mög­li­cher behörd­li­cher Infil­tra­tio­nen mit­tels die­ser Lücke quan­ti­ta­tiv und qua­li­ta­tiv bestimmt, bei­des zuein­an­der ins Ver­hält­nis setzt und die Sicher­heits­lü­cke an den Her­stel­ler mel­det, wenn nicht das Inter­es­se an der Offen­hal­tung der Lücke überwiegt.

Die Beschwer­de­füh­ren­den haben auf­ge­zeigt, dass sie durch eine Ver­let­zung die­ser Schutz­pflicht selbst, unmit­tel­bar und gegen­wär­tig betrof­fen wären.

Sie haben dar­ge­legt, dass sie selbst betrof­fen sind, da sie infor­ma­ti­ons­tech­ni­sche Sys­te­me nut­zen, die poten­ti­ell unbe­kann­te Schwach­stel­len auf­wei­sen und damit durch Drit­te auf die­sem Weg infil­triert wer­den könn­ten. Zwar dürf­ten die­ser Gefahr vie­le Bür­ge­rin­nen und Bür­ger aus­ge­setzt sein. Einer wei­te­ren Indi­vi­dua­li­sie­rung bedarf es gleich­wohl nicht. Im Ver­fas­sungs­be­schwer­de­ver­fah­ren wird eine über die eige­ne Betrof­fen­heit hin­aus­ge­hen­de beson­de­re Betrof­fen­heit, die die Beschwer­de­füh­ren­den von der All­ge­mein­heit abhe­ben wür­de, regel­mä­ßig nicht ver­langt29.

Die Beschwer­de­füh­ren­den sind auch unmit­tel­bar und gegen­wär­tig betrof­fen. Die ange­grif­fe­ne Vor­schrift ent­fal­tet unmit­tel­bar das Risi­ko einer (kri­mi­nel­len) Aus­nut­zung nicht gemel­de­ter Sicher­heits­lü­cken, ohne dass dafür von der Ermäch­ti­gung zur Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung Gebrauch gemacht wer­den müss­te. Die Beschwer­de­füh­ren­den wen­den sich dage­gen, dass § 54 Abs. 2 PolG BW unmit­tel­bar die Gefahr erhö­he, dass Schwach­stel­len, die ohne das Bestehen die­ser Über­wa­chungs­be­fug­nis von Behör­den an Her­stel­ler gemel­det und durch die­se geschlos­sen wür­den, nun nicht gemel­det wer­den und des­we­gen wei­ter­hin auch von Drit­ten aus­ge­nutzt wer­den kön­nen. Dem steht nicht ent­ge­gen, dass die Lan­des­re­gie­rung gel­tend macht, der­zeit wür­den Schwach­stel­len im Zusam­men­hang mit der prä­ven­tiv-poli­zei­li­chen Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung nicht beschafft oder gesam­melt. Denn dar­aus ergibt sich nicht, dass nicht jetzt schon etwa zufäl­lig oder über ande­re (öffent­li­che) Stel­len erwor­be­ne Kennt­nis­se über Schwach­stel­len vor­han­den sind, die dem Her­stel­ler aber mit Blick auf § 54 Abs. 2 PolG BW nicht gemel­det werden.

Die Beschwer­de­füh­ren­den haben jedoch nicht hin­rei­chend dar­ge­legt, dass die grund­recht­li­che Schutz­pflicht ver­letzt sein könnte.

Die aus den Grund­rech­ten fol­gen­den sub­jek­ti­ven Abwehr­rech­te gegen staat­li­che Ein­grif­fe einer­seits und die sich aus der objek­ti­ven Bedeu­tung der Grund­rech­te erge­ben­den Schutz­pflich­ten ande­rer­seits unter­schei­den sich inso­fern grund­le­gend von­ein­an­der, als das Abwehr­recht in Ziel­set­zung und Inhalt ein bestimm­tes staat­li­ches Ver­hal­ten ver­bie­tet, wäh­rend die Schutz­pflicht grund­sätz­lich unbe­stimmt ist. Die Auf­stel­lung und nor­ma­ti­ve Umset­zung eines Schutz­kon­zepts ist Sache des Gesetz­ge­bers, dem grund­sätz­lich auch dann ein Ein­schät­zungs, Wer­tungs- und Gestal­tungs­spiel­raum zukommt, wenn er dem Grun­de nach ver­pflich­tet ist, Maß­nah­men zum Schutz eines Rechts­guts zu ergrei­fen. Die­ser lässt auch Raum, etwa kon­kur­rie­ren­de öffent­li­che und pri­va­te Inter­es­sen zu berück­sich­ti­gen30.

Das Bun­des­ver­fas­sungs­ge­richt kann die Ver­let­zung einer sol­chen Schutz­pflicht nur fest­stel­len, wenn Schutz­vor­keh­run­gen ent­we­der über­haupt nicht getrof­fen sind, wenn die getrof­fe­nen Rege­lun­gen und Maß­nah­men offen­sicht­lich unge­eig­net oder völ­lig unzu­läng­lich sind, das gebo­te­ne Schutz­ziel zu errei­chen, oder wenn sie erheb­lich hin­ter dem Schutz­ziel zurück­blei­ben31. Die Ent­schei­dung, wel­che Maß­nah­men gebo­ten sind, um den Schutz zu gewäh­ren, ist damit ver­fas­sungs­ge­richt­lich nur begrenzt über­prüf­bar. Nur unter beson­de­ren Umstän­den kann sich die Gestal­tungs­frei­heit des Gesetz­ge­bers in der Wei­se ver­en­gen, dass allein durch eine bestimm­te Maß­nah­me der Schutz­pflicht Genü­ge getan wer­den kann32.

Mit den Anfor­de­run­gen an die Fest­stel­lung einer gesetz­ge­be­ri­schen Schutz­pflicht­ver­let­zung sind spe­zi­fi­sche Dar­le­gungs­las­ten der Beschwer­de­füh­ren­den ver­bun­den. Eine mög­li­che Grund­rechts­ver­let­zung der Beschwer­de­füh­ren­den geht aus dem Vor­trag regel­mä­ßig nur dann her­vor, wenn sich die­ser nicht in pau­scha­len Behaup­tun­gen und punk­tu­ell her­aus­ge­grif­fe­nen, angeb­li­chen Unzu­läng­lich­kei­ten der Rechts­la­ge erschöpft. Erfor­der­lich ist viel­mehr, den gesetz­li­chen Rege­lungs­zu­sam­men­hang ins­ge­samt zu erfas­sen, wozu – je nach Fall­ge­stal­tung – zumin­dest gehört, dass die ein­schlä­gi­gen Rege­lun­gen des als unzu­rei­chend bean­stan­de­ten Norm­kom­ple­xes jeden­falls in Grund­zü­gen dar­ge­stellt wer­den und begrün­det wird, war­um vom Ver­sa­gen der gesetz­ge­be­ri­schen Kon­zep­ti­on aus­zu­ge­hen ist.

Aus der Ent­schei­dung des Bun­des­ver­fas­sungs­ge­richts zum Kli­ma­schutz­ge­setz folgt nichts Ande­res. Dort ist zwar fest­ge­stellt, dass die Beschwer­de­füh­ren­den zur Begrün­dung der Beschwer­de­be­fug­nis nicht alle rele­van­ten Maß­nah­men ermit­teln müs­sen. Dies war aber des­halb ver­zicht­bar, weil der Gesetz­ge­ber selbst eine zusam­men­fas­sen­de Rege­lung getrof­fen hat­te, auf die sich der Angriff der Beschwer­de­füh­ren­den beschrän­ken konn­te33. Das ist hier nicht der Fall.

Den genann­ten Dar­le­gungs­an­for­de­run­gen genügt die Ver­fas­sungs­be­schwer­de nicht. Es bestehen unter­schied­li­che gesetz­li­che Rege­lun­gen zum Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me, denen – ohne dass dies hier abschlie­ßend ver­fas­sungs­recht­lich bewer­tet wer­den kann – auch im vor­lie­gen­den Kon­text Bedeu­tung zukom­men könn­te. In ihrer Ver­fas­sungs­be­schwer­de haben die Beschwer­de­füh­ren­den die bestehen­den Rege­lun­gen weder in ihren Grund­zü­gen dar­ge­stellt, noch haben sie aus­ge­führt, aus wel­chen kon­kre­ten Grün­den vom Ver­sa­gen der Rege­lun­gen aus­zu­ge­hen ist. Soweit sie hier­zu in ihrer Stel­lung­nah­me vom 10.03.2021 ergän­zend vor­ge­tra­gen haben, führt auch dies im Ergeb­nis nicht dazu, dass die Mög­lich­keit der Schutz­pflicht­ver­let­zung hin­rei­chend dar­ge­legt wäre.

Zunächst ent­hält die Ermäch­ti­gungs­grund­la­ge selbst diver­se Schutz­vor­keh­run­gen, die der Gesetz­ge­ber gera­de mit dem Ziel gere­gelt hat, „die Daten­si­cher­heit auch mit Rück­sicht auf Ein­grif­fe von drit­ter Sei­te zu schüt­zen„34. Die Beschwer­de­füh­ren­den hät­ten jeden­falls auf § 54 Abs. 3 Satz 2 PolG BW ein­ge­hen müs­sen, wonach das ein­ge­setz­te Mit­tel gegen unbe­fug­te Nut­zung zu schüt­zen ist. Es ist nicht offen­sicht­lich aus­ge­schlos­sen, dass die­se Vor­schrift Aus­le­gungs­spiel­räu­me eröff­net, um auf der Ebe­ne der Norman­wen­dung dem Ziel­kon­flikt zwi­schen den öffent­li­chen Inter­es­sen an einem erfolg­rei­chen Zugriff und an einer mög­lichst gro­ßen Sicher­heit infor­ma­ti­ons­tech­ni­scher Sys­te­me ange­mes­sen begeg­nen zu können.

Zwar ist denk­bar, dass das in § 54 Abs. 3 Satz 2 PolG BW genann­te „Mit­tel“ die Infil­tra­ti­ons­soft­ware, nicht aber die zu ihrer Ein­brin­gung genutz­te Sicher­heits­lü­cke bezeich­net, weil die­se Lücke im Ziel­sys­tem unab­hän­gig vom Han­deln der Poli­zei besteht. Jedoch könn­te § 54 Abs. 3 Satz 2 PolG BW fach­recht­lich auch in einer Wei­se aus­zu­le­gen sein, die unter das Tat­be­stands­merk­mal des „ein­ge­setz­ten Mit­tels“ auch die aus­ge­nutz­te Schwach­stel­le fasst. Dies hät­te zur Fol­ge, dass die­se – etwa durch eine Mel­dung an den Her­stel­ler – gegen eine unbe­fug­te Nut­zung zu schüt­zen wäre. Die Beschwer­de­füh­ren­den sind hier­auf zwar in ihrem ergän­zen­den Schrift­satz vom 10.03.2021 sehr knapp ein­ge­gan­gen. Zu die­sem Zeit­punkt war die Ver­fas­sungs­be­schwer­de­frist jedoch abge­lau­fen, so dass die­ser Vor­trag die Beschwer­de- und Begrün­dungs­frist nicht wahrt35. Es han­delt sich auch nicht um eine blo­ße Ergän­zung einer bereits zuvor hin­rei­chend begrün­de­ten und damit zuläs­si­gen Ver­fas­sungs­be­schwer­de36.

Der Ziel­kon­flikt zwi­schen den öffent­li­chen Inter­es­sen an einem behörd­li­chen Zugriff auf Tele­kom­mu­ni­ka­ti­on einer­seits und an einer mög­lichst gro­ßen Sicher­heit infor­ma­ti­ons­tech­ni­scher Sys­te­me ande­rer­seits könn­te auch im Rah­men der Daten­schutz-Fol­gen­ab­schät­zung zu adres­sie­ren sein. Die­se ist in § 80 PolG BW gere­gelt, der mit dem Ände­rungs­ge­setz vom 06.10.2020 zur Umset­zung von Art. 27 JI-RL ein­ge­fügt wurde.

Hier­auf gehen die Beschwer­de­füh­ren­den nicht ein. Dies war hier nicht etwa des­we­gen ent­behr­lich, weil die Rege­lung zur Daten­schutz-Fol­gen­ab­schät­zung in § 80 PolG BW erst nach Erhe­bung der Ver­fas­sungs­be­schwer­de und nach Ablauf der Beschwer­de­frist ergan­gen ist. Die Beschwer­de­füh­ren­den müs­sen ihren Vor­trag ergän­zen, wenn sich die Sach- und Rechts­la­ge nach Ablauf der Beschwer­de­frist ändert37. Dies gilt ins­be­son­de­re, wenn sie eine Schutz­pflicht­ver­let­zung gel­tend machen und nach Ablauf der Beschwer­de­frist ein Gesetz in Kraft tritt, das die­se Schutz­pflicht mög­li­cher­wei­se erfül­len könn­te. Im Übri­gen war der Gesetz­ge­ber schon im Zeit­punkt der Ver­fas­sungs­be­schwer­de nach Art. 27 JI-RL ver­pflich­tet, eine Daten­schutz­fol­gen­ab­schät­zung zu regeln, so dass sich die Beschwer­de­füh­ren­den vor der Umset­zung in das Lan­des­recht jeden­falls mit die­ser uni­ons­recht­li­chen Rege­lung hät­ten befas­sen müssen.

Ob beim Offen­hal­ten einer Zero-Day-Sicher­heits­lü­cke eine sol­che Fol­gen­ab­schät­zung vor­zu­neh­men ist, erscheint frag­lich. Zwei­fel­los ist eine Daten­schutz-Fol­gen­ab­schät­zung vor dem Ein­satz von Über­wa­chungs­soft­ware auf Grund­la­ge des § 54 Abs. 2 PolG BW durch­zu­füh­ren. Weni­ger ein­deu­tig ist zwar, dass dies auch schon für die Ent­schei­dung gilt, eine der Behör­de bekann­te Sicher­heits­lü­cke nicht dem Her­stel­ler zu mel­den und so offen zu hal­ten. Dafür könn­te aber Art. 27 JI-RL spre­chen, des­sen Umset­zung § 80 PolG BW dient.

27 JI-RL könn­te eine Aus­le­gung des § 80 PolG BW dahin­ge­hend gebie­ten, dass nicht nur die Risi­ken für Rechts­gü­ter von Per­so­nen erfasst sind, die unmit­tel­bar oder mit­tel­bar vom kon­kre­ten Ver­ar­bei­tungs­vor­gang (hier also der Maß­nah­me der Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung) betrof­fen sind, son­dern grund­sätz­lich auch Risi­ken für (unbe­tei­lig­te) Per­so­nen. Dafür spricht, dass Art. 27 Abs. 1 JI-RL all­ge­mein die Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen nennt und dass Art. 27 Abs. 2 JI-RL zwar zwi­schen den von der Daten­ver­ar­bei­tung betrof­fe­nen Per­so­nen und sons­ti­gen Betrof­fe­nen unter­schei­det, jedoch die Rech­te und berech­tig­ten Inter­es­sen bei­der in die Fol­gen­ab­schät­zung ein­zu­stel­len sind.

Frag­lich ist aber auch, ob das Offen­hal­ten einer Sicher­heits­lü­cke ein „Ver­ar­bei­tungs­vor­gang“ im Sin­ne von § 80 Abs. 1 PolG BW ist (zum Tat­be­stands­merk­mal der „Ver­ar­bei­tung“ § 12 Nr. 2 PolG BW). Es erscheint zumin­dest nicht aus­ge­schlos­sen, den Ver­ar­bei­tungs­vor­gang als ein­heit­li­chen Lebens­sach­ver­halt zu begrei­fen, der nicht erst mit dem Aus­lei­ten von Daten bei der eigent­li­chen Tele­kom­mu­ni­ka­ti­ons­über­wa­chung beginnt, son­dern bereits davor lie­gen­de, vor­be­rei­ten­de Schrit­te erfasst. Das Offen­hal­ten einer der Behör­de bekann­ten Sicher­heits­lü­cke könn­te so als vor­be­rei­ten­der Schritt einer Quel­len-Tele­kom­mu­ni­ka­ti­ons­über-wachung ange­se­hen wer­den und wäre damit von § 80 PolG BW erfasst. Ob dar­über hin­aus die hier maß­geb­li­che Gefahr, dass Drit­te die Sicher­heits­lü­cke zur Infil­tra­ti­on des infor­ma­ti­ons­tech­ni­schen Sys­tems nut­zen, auch im Sin­ne von § 80 Abs. 1 PolG BW als „Fol­ge“ die­ses Ver­ar­bei­tungs­vor­gangs (näm­lich der Offen­hal­tung der Sicher­heits­lü­cke) gilt, bedürf­te wei­te­rer Klärung.

Auf die­se Fra­gen sind die Beschwer­de­füh­ren­den nicht ein­ge­gan­gen. Es ist nicht Auf­ga­be des Bun­des­ver­fas­sungs­ge­richts, das Fach­recht eigen­stän­dig dar­auf­hin aus­zu­leuch­ten, inwie­fern als Schutz­nor­men in Betracht kom­men­de Rege­lun­gen in einer Wei­se aus­zu­le­gen sind, dass sie dem grund­recht­li­chen Schutz­auf­trag gerecht wer­den oder die­sen aber verfehlen.

Auch eine Vor­la­ge des Bun­des­ver­fas­sungs­ge­richts nach Art. 267 AEUV, die Fra­gen der Aus­le­gung der uni­ons­recht­li­chen Rege­lung zur Fol­gen­ab­schät­zung (Art. 27 JI-RL) klä­ren könn­te, kommt im Rah­men die­ses Ver­fas­sungs­be­schwer­de­ver­fah­rens nicht in Betracht. Das gilt schon des­halb, weil die Ver­fas­sungs­be­schwer­de unzu­läs­sig und die­se Fra­ge daher nicht ent­schei­dungs­er­heb­lich ist. Im Übri­gen dürf­te Art. 27 JI-RL, auch wenn er eine Fol­gen­ab­schät­zung im Fall der Zero-Day-Sicher­heits­lü­cke nicht erfor­der­te, einer wei­ter­ge­hen­den Aus­le­gung von § 80 PolG BW kaum ent­ge­gen­ste­hen (vgl. Art. 1 Abs. 3 JI-RL). Selbst wenn die Ver­fas­sungs­be­schwer­de zuläs­sig wäre, wäre die Aus­le­gung von Art. 27 JI-RL für die Ent­schei­dung des Bun­des­ver­fas­sungs­ge­richts daher nicht entscheidungserheblich.

Die Beschwer­de­füh­ren­den tra­gen auch nicht aus­rei­chend dazu vor, inwie­fern das Cyber­si­cher­heits­recht Baden-Würt­tem­bergs Schutz­vor­schrif­ten ent­hält. Am 17.02.2021 ist das Gesetz zur Ver­bes­se­rung der Cyber­si­cher­heit und Ände­rung ande­rer Vor­schrif­ten38 (im Fol­gen­den: Cyber­si­cher­heits­ge­setz) in Kraft getre­ten. Das Gesetz sieht die Cyber­si­cher­heits­agen­tur Baden-Würt­tem­berg vor (vgl. § 1 Abs. 1, § 3 CSG). Die­se soll als zen­tra­le Koor­di­nie­rungs- und Mel­de­stel­le für die Zusam­men­ar­beit der öffent­li­chen Stel­len in Ange­le­gen­hei­ten der Cyber­si­cher­heit in Baden-Würt­tem­berg fun­gie­ren (vgl. § 4 Abs. 1 CSG) und dabei ins­be­son­de­re alle für die Abwehr von Gefah­ren für die Cyber­si­cher­heit erfor­der­li­chen Infor­ma­tio­nen, unter ande­rem zu Sicher­heits­lü­cken, sam­meln und aus­wer­ten (vgl. § 4 Abs. 2 Nr. 1 CSG). Durch das Cyber­si­cher­heits­ge­setz sol­len ab Janu­ar 2022 auch Pflich­ten der Lan­des­be­hör­den zur Mel­dung von Sicher­heits­lü­cken an die Cyber­si­cher­heits­agen­tur begrün­det wer­den (vgl. § 4 Abs. 3 CSG) und der Cyber­si­cher­heits­agen­tur Befug­nis­se zur Abwehr von Gefah­ren für die Cyber­si­cher­heit ein­ge­räumt wer­den (vgl. § 5 CSG). Die Cyber­si­cher­heits­agen­tur soll auch War­nun­gen, Emp­feh­lun­gen und Hin­wei­se zu Sicher­heits­lü­cken an die Öffent­lich­keit oder die betrof­fe­nen Krei­se – in der Regel nach vor­he­ri­ger Anhö­rung des Her­stel­lers – aus­spre­chen dür­fen (vgl. § 8 Abs. 1 CSG).

Auch inso­weit waren Aus­füh­run­gen in der Ver­fas­sungs­be­schwer­de nicht des­we­gen ent­behr­lich, weil das Cyber­si­cher­heits­ge­setz erst nach Ein­le­gung der Ver­fas­sungs­be­schwer­de und nach Ablauf der Beschwer­de­frist in Kraft getre­ten ist. Der im ergän­zen­den Schrift­satz vom 10.03.2021 ent­hal­te­ne Vor­trag der Beschwer­de­füh­ren­den zum Cyber­si­cher­heits­ge­setz ist zwar zu berück­sich­ti­gen, weil die Rege­lun­gen erst am 17.02.2021 in Kraft getre­ten sind, sodass die Beschwer­de­füh­ren­den hier­zu nicht inner­halb der Beschwer­de­frist hät­ten vor­tra­gen kön­nen. Auch inso­weit genü­gen die Aus­füh­run­gen den Begrün­dungs­an­for­de­run­gen jedoch nicht. Um die Mög­lich­keit einer Schutz­pflicht­ver­let­zung zu begrün­den, ist eine Aus­ein­an­der­set­zung mit den Schutz­vor­keh­run­gen im Gan­zen erfor­der­lich; ein punk­tu­el­les Her­aus­grei­fen einer ein­zel­nen, mög­li­cher­wei­se unzu­läng­li­chen Rege­lung reicht dafür nicht aus. Vor allem aber haben sich die Beschwer­de­füh­ren­den nicht mit der Fra­ge aus­ein­an­der­ge­setzt, ob die rele­van­ten Vor­schrif­ten so aus­ge­legt wer­den kön­nen, dass ver­fas­sungs­recht­lich aus­rei­chen­der Grund­rechts­schutz gegen Angrif­fe Drit­ter auf infor­ma­ti­ons­tech­ni­sche Sys­te­me besteht.

Schließ­lich gehen die Beschwer­de­füh­ren­den nicht auf den unter­ge­setz­lich gere­gel­ten Mel­de­stan­dard ein. Unter Gel­tung des Ver­trags über die Errich­tung des IT-Pla­nungs­rats und über die Grund­la­gen der Zusam­men­ar­beit beim Ein­satz der Infor­ma­ti­ons­tech­no­lo­gie in den Ver­wal­tun­gen von Bund und Län­dern – Ver­trag zur Aus­füh­rung von Arti­kel 91c GG (IT-Staats­ver­trag)39 hat der IT-Pla­nungs­rat am 5.10.2017 ein „Ver­bind­li­ches Mel­de­ver­fah­ren zum Infor­ma­ti­ons­aus­tausch über IT-Sicher­heits­vor­fäl­le im Ver­wal­tungs­CERT-Ver­bund (VCV) – (Mel­de­stan­dard)“ beschlos­sen (Nr.2017/35). Damit wur­de für den Infor­ma­ti­ons­aus­tausch für Bund und Län­der als IT-Sicher­heits­stan­dard im Sin­ne von § 3 Abs. 1 (jetzt § 2 Abs. 1) des IT-Staats­ver­trags ver­bind­lich (vgl. § 2 Abs. 2 Satz 2 IT-Staats­ver­trag) ver­ein­bart, dass IT-Sicher­heits­vor­fäl­le, bei denen Aus­wir­kun­gen auf die Län­der oder den Bund nicht aus­ge­schlos­sen wer­den kön­nen oder die auch für ande­re als rele­vant ein­ge­schätzt wer­den, zu mel­den sind (§ 2 Abs. 1 des Beschlus­ses). Die Mel­dung erfolgt unter ande­rem an das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik. Unter die Mel­de­pflicht fal­len auch neu­ar­ti­ge Sicher­heits­lü­cken in IT-Pro­duk­ten (vgl. § 2 Abs. 2 in Ver­bin­dung mit Anla­ge 1 des Beschlus­ses). Mel­de­pflich­tig sind nach § 3 des Beschlus­ses Bund und Län­der. Inso­fern erscheint jeden­falls denk­bar, dass das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik sei­ne Ermes­sens­spiel­räu­me bei der Ent­schei­dung über den wei­te­ren Umgang mit der­ar­ti­gen Kennt­nis­sen – ins­be­son­de­re bei der Ertei­lung von War­nun­gen vor Sicher­heits­lü­cken in infor­ma­ti­ons­tech­ni­schen Sys­te­men an die Öffent­lich­keit oder die betrof­fe­nen Krei­se nach § 7 Abs. 1 Satz 1 Nr. 1 lit. a BSIG und der Infor­ma­ti­on der Her­stel­ler – unter Berück­sich­ti­gung der grund­recht­li­chen Schutz­pflich­ten aus­fül­len könn­te und müsste.

Inwie­weit der grund­recht­li­chen Schutz­pflicht durch unter­ge­setz­lich nor­mier­te Mit­tei­lungs­pflich­ten genügt wer­den kann und ob die gesetz­li­che Ver­an­ke­rung die­ser Nor­mie­rung hier aus­reicht, bedürf­te nähe­rer Prü­fung. Weil der beschlos­se­ne Mel­de­stan­dard ein Ele­ment einer Gesamt­re­ge­lung des Schut­zes vor der unzu­läs­si­gen Nut­zung von Schwach­stel­len durch Drit­te sein könn­te, hät­te es auch inso­weit der Dar­le­gung durch die Beschwer­de­füh­ren­den bedurft.

Rechts­weg­er­schöp­fung (Grund­satz der Subsidiarität)

Die Ver­fas­sungs­be­schwer­de ist zudem unzu­läs­sig, weil sie nicht den Anfor­de­run­gen der Sub­si­dia­ri­tät im wei­te­ren Sin­ne genügt.

Die Anfor­de­run­gen der Sub­si­dia­ri­tät beschrän­ken sich nicht dar­auf, nur die zur Errei­chung des unmit­tel­ba­ren Pro­zess­ziels förm­lich eröff­ne­ten Rechts­mit­tel zu ergrei­fen, son­dern ver­lan­gen, alle Mit­tel zu nut­zen, die der gel­tend gemach­ten Grund­rechts­ver­let­zung abhel­fen kön­nen. Damit soll erreicht wer­den, dass das Bun­des­ver­fas­sungs­ge­richt nicht auf unge­si­cher­ter Tat­sa­chen- und Rechts­grund­la­ge weit­rei­chen­de Ent­schei­dun­gen tref­fen muss, son­dern zunächst die für die Aus­le­gung und Anwen­dung des ein­fa­chen Rechts pri­mär zustän­di­gen Fach­ge­rich­te die Sach- und Rechts­la­ge auf­ge­ar­bei­tet haben.

Der Grund­satz der Sub­si­dia­ri­tät erfor­dert des­halb grund­sätz­lich, vor Ein­le­gung einer Ver­fas­sungs­be­schwer­de alle zur Ver­fü­gung ste­hen­den pro­zes­sua­len Mög­lich­kei­ten zu ergrei­fen, um eine Kor­rek­tur der gel­tend gemach­ten Ver­fas­sungs­ver­let­zung zu erwir­ken oder eine Grund­rechts­ver­let­zung zu ver­hin­dern. Das gilt auch, wenn zwei­fel­haft ist, ob ein ent­spre­chen­der Rechts­be­helf statt­haft ist und im kon­kre­ten Fall in zuläs­si­ger Wei­se ein­ge­legt wer­den kann.

Wenn sich eine Ver­fas­sungs­be­schwer­de unmit­tel­bar gegen ein Gesetz wen­det, kann daher auch die Erhe­bung einer Fest­stel­lungs- oder Unter­las­sungs­kla­ge zu den zuvor zu ergrei­fen­den Rechts­be­hel­fen gehö­ren. Das ist selbst dann nicht aus­ge­schlos­sen, wenn die Vor­schrif­ten abschlie­ßend gefasst sind und die fach­ge­richt­li­che Prü­fung güns­tigs­ten­falls dazu füh­ren kann, dass das ange­grif­fe­ne Gesetz gemäß Art. 100 Abs. 1 GG dem Bun­des­ver­fas­sungs­ge­richt vor­ge­legt wird. Aus­schlag­ge­bend ist auch dann, ob die fach­ge­richt­li­che Klä­rung erfor­der­lich ist, um zu ver­mei­den, dass das Bun­des­ver­fas­sungs­ge­richt sei­ne Ent­schei­dun­gen auf unge­si­cher­ter Tat­sa­chen- und Rechts­grund­la­ge trifft. Ein sol­cher Fall wird in der Regel dann gege­ben sein, wenn die ange­grif­fe­nen Vor­schrif­ten aus­le­gungs­be­dürf­ti­ge und ‑fähi­ge Rechts­be­grif­fe ent­hal­ten, von deren Aus­le­gung und Anwen­dung es maß­geb­lich abhängt, inwie­weit Beschwer­de­füh­ren­de durch die ange­grif­fe­nen Vor­schrif­ten tat­säch­lich und recht­lich beschwert sind40.

Soweit die Beur­tei­lung einer Norm allein spe­zi­fisch ver­fas­sungs­recht­li­che Fra­gen auf­wirft, die das Bun­des­ver­fas­sungs­ge­richt zu beant­wor­ten hat, ohne dass von einer vor­aus­ge­gan­ge­nen fach­ge­richt­li­chen Prü­fung ver­bes­ser­te Ent­schei­dungs­grund­la­gen zu erwar­ten wären, bedarf es einer vor­an­ge­hen­den fach­ge­richt­li­chen Ent­schei­dung hin­ge­gen nicht41. Außer­dem ist es zur Wah­rung des Grund­sat­zes der Sub­si­dia­ri­tät nicht erfor­der­lich, vor Erhe­bung einer Ver­fas­sungs­be­schwer­de gegen eine straf- oder buß­geld­be­wehr­te Rechts­norm zu ver­sto­ßen und sich dem Risi­ko einer ent­spre­chen­den Ahn­dung aus­zu­set­zen, um dann im Straf- oder Buß­geld­ver­fah­ren die Ver­fas­sungs­wid­rig­keit der Norm gel­tend machen zu kön­nen42. Dar­über hin­aus gel­ten Aus­nah­men von der Pflicht zur vor­he­ri­gen Anru­fung der Fach­ge­rich­te, wenn die ange­grif­fe­ne Rege­lung die Beschwer­de­füh­ren­den zu gewich­ti­gen Dis­po­si­tio­nen zwingt, die spä­ter nicht mehr kor­ri­giert wer­den kön­nen, wenn die Anru­fung der Fach­ge­rich­te offen­sicht­lich sinn- und aus­sichts­los wäre oder sie sonst nicht zumut­bar ist43. Dabei ist aller­dings die Anru­fung der Fach­ge­rich­te nicht schon dann als von vorn­her­ein aus­sichts­los anzu­se­hen, wenn Recht­spre­chung zuguns­ten der Zuläs­sig­keit des Rechts­be­helfs für die gege­be­ne Fall­ge­stal­tung noch nicht vor­liegt44.

Die­se Grund­sät­ze bean­spru­chen auch im Fal­le der Rüge einer gesetz­ge­be­ri­schen Schutz­pflicht­ver­let­zung Gel­tung. Häu­fig wird sich eine Lücke in den gesetz­li­chen Rege­lun­gen zu einer bestimm­ten Pro­ble­ma­tik nur dann zuver­läs­sig fest­stel­len las­sen, wenn zuvor die Fach­ge­rich­te den zugrun­de lie­gen­den Sach­ver­halt und die ein­fach­recht­li­che Rechts­la­ge auch unter Berück­sich­ti­gung ver­fas­sungs­recht­li­cher Vor­ga­ben umfas­send auf­ge­ar­bei­tet haben. Auch in den Fäl­len gesetz­ge­be­ri­schen Unter­las­sens wird so ver­mie­den, dass das Bun­des­ver­fas­sungs­ge­richt auf tat­säch­lich und ein­fach­recht­lich unge­klär­ter Basis ent­schei­den muss.

Dem genügt die Ver­fas­sungs­be­schwer­de nicht. Im hier zu ent­schei­den­den Fall stel­len sich umfang­rei­che Fra­gen zur Aus­le­gung des ein­fa­chen Rechts. Ob die Behör­den bereits nach bestehen­dem Recht eine der grund­recht­li­chen Schutz­pflicht genü­gen­de Abwä­gung vor­neh­men müs­sen, bevor sie ent­schei­den, eine ihnen bekannt gewor­de­ne Zero-Day-Schwach­stel­le nicht dem Her­stel­ler zu mel­den, hängt von der Aus­le­gung ver­schie­de­ner Bestim­mun­gen des Poli­zei, des Daten­schutz, des Cyber­si­cher­heits- und des IT-Sicher­heits­rechts ab. Es han­delt sich bei die­sen Vor­schrif­ten über­wie­gend um jün­ge­res Fach­recht, des­sen Bedeu­tung bis­lang weder durch Gerichts­ent­schei­dun­gen oder ande­re Rechts­an­wen­dungs­ak­te noch durch die Fach­li­te­ra­tur näher erschlos­sen ist. Damit das Bun­des­ver­fas­sungs­ge­richt nicht auf unge­si­cher­ter Grund­la­ge Ent­schei­dun­gen tref­fen muss, müs­sen daher zunächst die für die Aus­le­gung und Anwen­dung des ein­fa­chen Rechts pri­mär zustän­di­gen Fach­ge­rich­te die Mög­lich­keit erhal­ten, die Sach- und Rechts­la­ge zu prü­fen. Die Beschwer­de­füh­ren­den hät­ten dar­um ver­su­chen müs­sen, etwa durch Erhe­bung einer ver­wal­tungs­ge­richt­li­chen Fest­stel­lungs- oder vor­beu­gen­den Unter­las­sungs­kla­ge fach­ge­richt­li­chen Rechts­schutz zu erlan­gen. Nach der neue­ren ver­wal­tungs­ge­richt­li­chen Recht­spre­chung ist nicht aus­zu­schlie­ßen, dass fach­ge­richt­li­cher Rechts­schutz auch hin­sicht­lich der Fra­ge erreich­bar wäre, ob die Grund­rech­te der Nut­zer infor­ma­ti­ons­tech­ni­scher Sys­te­me (wei­te­re) Vor­keh­run­gen zur hin­rei­chen­den Berück­sich­ti­gung des Schut­zes sol­cher Sys­te­me vor Infil­tra­tio­nen durch Drit­te bei Ent­schei­dun­gen über die Offen­hal­tung uner­kann­ter Sicher­heits­lü­cken für etwai­ge Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chun­gen gebie­ten45.

Grün­de dafür, dass den Beschwer­de­füh­ren­den die Beschrei­tung des fach­ge­richt­li­chen Rechts­wegs nicht zuge­mu­tet wer­den könn­te, sind nicht ersicht­lich. Ins­be­son­de­re war vor Erhe­bung der vor­lie­gen­den Ver­fas­sungs­be­schwer­de bereits mehr­fach das Erfor­der­nis einer ver­wal­tungs­ge­richt­li­chen Fest­stel­lungs­kla­ge oder Unter­las­sungs­kla­ge ange­spro­chen wor­den46.

Bun­des­ver­fas­sungs­ge­richt, Beschluss vom 8. Juni 2021 – 1 BvR 2771/​18

  1. Bestä­ti­gung von BVerfGE 106, 28 <37>[]
  2. GBl 2017 S. 624[]
  3. GBl S. 735[]
  4. vgl. BVerfGE 3, 383 <390> 10, 221 <225> 24, 278 <282> 97, 228 <253> 105, 279 <292?f.>[]
  5. vgl. BVerfGE 118, 168 <168, 203>[]
  6. vgl. BVerfG, Beschluss vom 02.09.2002 – 1 BvR 1103/​02, Rn. 6[]
  7. vgl. Dral­lé, Das Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me, 2010, S. 68 ff.; Hei­ne­mann, Grund­recht­li­cher Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me, 2015, S. 153; Gers­dorf, in: Beck­OK Info­Me­di­enR, 30. Ed.01.08.2019, GG, Art. 2 Rn. 33[]
  8. vgl. ent­spre­chend zum Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung BVerfGE 118, 168 <203 f.> 128, 1 <43> vgl. zu Art. 10 Abs. 1 GG BVerfGE 100, 313 <356> 106, 28 <43> 107, 299 <310>[]
  9. vgl. zuletzt BVerfG, Beschluss vom 24.03.2021 – 1 BvR 2656/​18 u.a., Rn. 95 – Kli­ma­schutz[]
  10. vgl. BVerfGE 121, 1 <15> 125, 260 <306 f.> 130, 151 <177 f.> 133, 277 <313 f. Rn. 88> 152, 152 <168 Rn. 39> 152, 216 <233 Rn. 42 f.> 154, 152 <214 f. Rn. 84> 155, 119 <165 Rn. 87>[]
  11. vgl. dazu BVerfGE 155, 119 <158 Rn. 67>[]
  12. vgl. BVerfGE 79, 1 <13 ff.> 83, 216 <226> 83, 341 <351 f.> 129, 49 <67>[]
  13. vgl. BVerfGE 120, 274 <307> 141, 220 <309 Rn. 228>[]
  14. vgl. BVerfGE 120, 274 <307 ff.>[]
  15. vgl. BVerfGE 39, 1 <42> stRspr[]
  16. vgl. BVerfGE 106, 28 <37> zur Schutz­di­men­si­on des Grund­rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung BVerfG, Beschluss vom 17.07.2013 – 1 BvR 3167/​08, Rn.19 f.; zur Aus­strah­lungs­wir­kung in das Pri­vat­recht BVerfGE 152, 152 <189 ff. Rn. 85 ff.> – Recht auf Ver­ges­sen I[]
  17. vgl. bereits BVerfGE 120, 274 <306>[]
  18. BVerfG, a.a.O., S. 303 ff.[]
  19. vgl. BVerfGE 120, 274 <306>[]
  20. sie­he auch Petri, DuD 2008, S. 443 <446 f.> Roßnagel/​Schnabel, NJW 2008, S. 3534 <3535> Hoff­mann-Riem, AöR 134 <2009>, S. 513 <533 ff.> Guder­mann, Online-Durch­su­chung im Lich­te des Ver­fas­sungs­rechts, 2010, S. 228 f.; Kutscha, DuD 2012, S. 391 <393 f.> Schulz, DuD 2012, S. 395 <396> Kutscha/​Thomé, Grund­rechts­schutz im Inter­net, 2013, S. 60 f.; Schlies­ky/Hoff­man­n/Luch/­Schul­z/­Bor-chers, Schutz­pflich­ten und Dritt­wir­kung im Inter­net, 2014, S. 107 ff., S. 115 f.; Hei­ne­mann, Grund­recht­li­cher Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me, 2015, S.209 ff.; Derin/​Golla, NJW 2019, S. 1111 <1114 f.> Poscher/​Lasahn, in: Hornung/​Schallbruch , IT-Sicher­heits­recht, 2021, § 7 Rn. 40 ff.[]
  21. vgl. ent­spre­chend zu Art. 2 Abs. 2 Satz 1 GG: BVerfGE 142, 313 <338 Rn. 71>[]
  22. näher bereits BVerfGE 120, 274 <305 f.>[]
  23. vgl. BVerfGE 120, 274 <308 f.>[]
  24. „Assu­me-Bre­ach-Para­dig­ma“, vgl. Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, Die Lage der IT-Sicher­heit in Deutsch­land 2017, S. 18; Die Lage der IT-Sicher­heit in Deutsch­land 2019, S. 8; Die Lage der IT-Sicher­heit in Deutsch­land, 2020, S. 22 ff., 34, 44 f., 79, 81[]
  25. vgl. BVerfGE 120, 274 <305 f.>[]
  26. vgl. auch BVerfGE 142, 313 <338 f. Rn. 73> zu Art. 2 Abs. 2 Satz 1 GG[]
  27. vgl. bereits BVerfGE 120, 274 <326> zur Online-Durch­su­chung[]
  28. vgl. bereits zur Online-Durch­su­chung: BVerfGE 120, 274 <325 f., 328> 141, 220 <304 f. Rn. 211 f.>[]
  29. vgl. BVerfG, Beschluss vom 24.03.2021 – 1 BvR 2656/​18 u.a., Rn. 110 – Kli­ma­schutz[]
  30. vgl. BVerfGE 96, 56 <64> 121, 317 <356, 360> 133, 59 <76 Rn. 45> 142, 313 <337 Rn. 70> stRspr[]
  31. so zu Art. 2 Abs. 2 Satz 1 GG zuletzt BVerfG, Beschluss vom 24.03.2021 – 1 BvR 2656/​18 u.a., Rn. 152 m.w.N. – Kli­ma­schutz; stRspr[]
  32. vgl. BVerfGE 56, 54 <73 ff.> 77, 170 <214 f.> 79, 174 <202> 142, 313 <337 f. Rn. 70 f.>[]
  33. vgl. BVerfG, Beschluss vom 24.03.2021 – 1 BvR 2656/​18 u.a., Rn. 134[]
  34. LTDrucks 16/​2741, S. 31[]
  35. vgl. BVerfGE 145, 20 <52 Rn. 79>[]
  36. vgl. dazu BVerfGE 127, 87 <110>[]
  37. vgl. BVerfGE 106, 210 <214 f.>[]
  38. GBl 2021, S. 182[]
  39. in der Fas­sung der Bekannt­ma­chung vom 13.12.2019, BGBl I S. 2852[]
  40. vgl. BVerfGE 143, 246 <321 f. Rn. 210> 145, 20 <54 f. Rn. 85 f.> 150, 309 <326 f. Rn. 42 ff.>[]
  41. vgl. BVerfGE 150, 309 <326 f. Rn. 44> m.w.N.[]
  42. vgl. BVerfGE 145, 20 <54 Rn. 85> m.w.N.[]
  43. vgl. BVerfGE 150, 309 <327 f. Rn. 45> m.w.N.[]
  44. vgl. BVerfGE 145, 20 <54 Rn. 85>[]
  45. vgl. zur Zuläs­sig­keit einer nega­ti­ven Fest­stel­lungs­kla­ge BVerw­GE 157, 8 <10 f. Rn. 13 > 157, 126 <128 f. Rn. 15> zur vor­beu­gen­den Unter­las­sungs­kla­ge BVerwG, Urteil vom 22.10.2014 – 6 C 7/​13, Rn. 15 ff.; Urteil vom 13.12.2017 – 6 A 6/​16, Rn. 14; BVerw­GE 161, 76 <77 f. Rn. 12 ff.>[]
  46. vgl. BVerfGE 143, 246 <321 f. Rn. 210> 145, 20 <54 f. Rn. 86> nach Ablauf der ursprüng­li­chen Beschwer­de­frist, aber vor der Ein­füh­rung von § 80 PolG BW und der Ver­ab­schie­dung des Cyber­si­cher­heits­ge­set­zes Baden-Würt­tem­bergs auch BVerfGE 150, 309 <326 f. Rn. 42 ff.> – KFZ-Kenn­zei­chen­kon­trol­le BW-HE[]

Bild­nach­weis: