BVerfG: Ausnutzung von IT-Sicherheitslücken für die Quellen- Telekommunikationsüberwachung
Wir freuen uns, nachfolgenden Gastbeitrag von Christoph Klaus Klang, LL.M. (Speyer) veröffentlichen zu können. Der Autor studierte Rechtswissenschaften in Hannover und Speyer und ist zurzeit als Dezernent und Datenschutzbeauftragter des Regionalen Landesamts für Schule und Bildung in Braunschweig tätig.
Mit Beschluss vom 8.6.2021 (1 BvR 2771/18) hat der erste Senat des Bundesverfassungsgerichts eine Verfassungsbeschwerde abgewiesen, die sich gegen die Befugnis zur Quellen-TKÜ und der daraus resultierenden Pflichten des Staates richtet. Die Entscheidung befasst sich schwerpunktmäßig mit dem sich hierbei ergebenden staatlichen Zielkonflikt zwischen einerseits dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter Sicherheitslücken und andererseits der bewussten Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ.
I. Worum geht es?
Nicht nur im Rahmen der Strafverfolgung sondern auch im Wege der Gefahrenabwehr besteht ein staatliches Interesse an der Möglichkeit die Telekommunikation bestimmter Personen zu überwachen und ggf. aufzuzeichnen. Mit der Quellen-TKÜ werden Daten schon im IT-System des Kommunikators abgegriffen, bevor die Verschlüsselung für einen etwaigen Transport erfolgt. Der Zugriff auf das IT-System des Betroffenen kann dabei auf verschiedenen Wegen erfolgen. So ist neben einem physischen Eingriff auch die Nutzung einer IT-Sicherheitslücke denkbar. Im Sinne von § 2 BSIG sind IT-Sicherheitslücken Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können. Sind einer Behörde entsprechende IT-Sicherheitslücken bekannt, können diese für eine Quellen-TKÜ genutzt werden. Damit lässt sich ein objektives Interesse des Staates feststellen, dass entsprechende IT-Sicherheitslücken offengehalten werden. Hieraus resultiert dann die Gefahr, dass der Staat ihm bekanntwerdende IT-Sicherheitslücken bewusst nicht an den Hersteller meldet. Solche, dem Hersteller nicht bekannten IT-Sicherheitslücken, werden als „Zero-Day-Schwachstellen“ bezeichnet, da Sie dem Hersteller seit null Tagen bekannt sind.
II. Sachverhalt (verkürzt)
Zum 17.1.2021 wurde das Polizeigesetz des Landes Baden-Württemberg <PolG BW> neu gefasst. Die Regelungen zur Quellen-TKÜ wurde aus der alten Fassung nunmehr unverändert in den neuen § 54 PolG BW übernommen
Gemäß § 54 Abs. 2 PolG BW darf die Überwachung und Aufzeichnung der Telekommunikation ohne Wissen der betroffenen Person in der Weise erfolgen, dass mit technischen Mitteln in von ihr genutzte informationstechnische Systeme eingegriffen wird, wenn
- Durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird, und
- der Eingriff notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen.
Gemäß § 54 Abs. 3 PolG BW ist bei Maßnahmen nach Absatz 2 sicherzustellen, dass
- an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind, und
- die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisiert rückgängig gemacht werden
Das eingesetzte Mittel ist gegen unbefugte Nutzung zu schützen. Kopierte Daten sind gegen Veränderung, unbefugte Löschung und unbefugte Kenntnisnahme zu schützen.
Die Gesellschaft für Freiheitsrechte e.V. und der Chaos Computer Club Stuttgart e.V. (im Folgenden: Beschwerdeführer) wenden sich mit Ihrer Verfassungsbeschwerde, binnen der Jahresfrist nach § 93 Abs. 3 BVerfGG, gegen die in § 54 PolG BW geregelte Befugnis zur Quellen-TKÜ. Diese habe zur Folge, dass zur Durchführung der Überwachung IT-Sicherheitslücken von informationstechnischen Systemen, die der Behörde, nicht aber dem jeweiligen Hersteller bekannt seien, offengehalten würden und so Angriffe von dritter Seite ermöglichen. Die Beschwerdeführer befürchten, dass die Polizeibehörden ihnen bekannte IT-Sicherheitslücken nicht melden werden, da sie deren Schließung durch den Hersteller vermeiden wollen, um die Lücken für die Durchführung einer polizeilichen Überwachungsmaßnahme verwenden zu können. Grundsätzlich habe das Land Baden-Württemberg es versäumt, mit einer zwingend gebotenen Begleitreglung ein „Schwachstellen-Management“ zu schaffen, das insbesondere die Verwendung von Sicherheitslücken verbieten müsse, die dem Hersteller des betreffenden Systems nicht bekannt seien. Die Regelung des § 54 PolG BW gefährde daher sowohl das Fernmeldegeheimnis als auch die Vertraulichkeit und Integrität informationstechnischer Systeme.
III. Die Entscheidung des Gerichts
Im Ergebnis verwirft das Bundesverfassungsgericht die Verfassungsbeschwerde als unzulässig. Die Beschwerdeführer sind als juristische Personen Grundrechtsträger und damit beschwerdefähig. Sie haben die Möglichkeit einer Verletzung der sich aus den Grundrechten ergebenden Schutzpflichten allerdings nicht hinreichend dargelegt und im Übrigen die Anforderungen der Subsidiarität im weiteren Sinne nicht gewahrt.
Die Begründung erfolgt allerdings in bemerkenswerter Ausführlichkeit. Das Bundeverfassungsgericht erkennt, dass sowohl das Fernmeldegeheimnis als auch die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme betroffen sind.
Der erkennende Senat hält an der bisherigen ständigen Rechtsprechung des Bundesverfassungsgerichts fest. Danach erschöpft sich der Gewährleistungsgehalt von Grundrechten nicht bloß in ihrer Abwehrfunktion, sondern sie enthalten zugleich eine objektive Wertentscheidung der Verfassung, die auch staatliche Schutzpflichten begründen kann (vgl. BVerfG 39, 1 (79); st. Rspr.).
Aus diesen Schutzpflichten einerseits und aus der Ermächtigung zur Quellen-TKÜ über IT-Sicherheitslücken andererseits entsteht ein Zielkonflikt, dessen gebotene Lösung dem Staat obliegt.
1. Betroffenheit von Art. 10 Abs. 1 GG
Art. 10 Abs. 1 GG erklärt das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis für unverletzlich. Nach Abs. 2 dürfen Beschränkungen nur aufgrund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung des Bestandes oder Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt.
Das Bundesverfassungsgericht bestätigt, dass sofern Zugriffe Dritter Inhalte und Umstände der laufenden Telekommunikation erfassen, das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis betroffen ist (vgl. BVerfGE 120, 274 (307)). Art. 10 Abs. 1 GG begründet daher neben einem Abwehrrecht auch einen konkreten staatlichen Auftrag, die dem Fernmeldegeheimnis unterfallende Kommunikation vor dem Zugriff privater Dritter zu schützen (vgl. BVerfGE 106, 28 (37)).
2. Betroffenheit von Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG
Das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistet auch die Vertraulichkeit und Integrität informationstechnischer Systeme (vgl. BVerfGE 120, 274 (306 ff.) und ist daher ebenfalls bei dessen Infiltration betroffen. Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis (1 BvR 370/07 – 1 BvR 595/07).
Der angegriffene § 54 Abs. 2 PolG BW ermächtigt die zuständigen Behörden zwar lediglich bzgl. laufender TK-Vorgänge zur Quellen-TKÜ, sodass ein hierauf gestützter staatlicher Eingriff vordergründig an Art. 10 Abs. 1 GG zu messen wäre. Dringen aber Dritte über eine unbekannte Schutzlücke in das System ein, könnten sie möglicherweise auf das gesamte informationstechnische System und seinen Datenbestand zugreifen. Sie können dieses insbesondere ausspähen, manipulieren und erpresserisch mit der Manipulation oder Vernichtung von Daten, drohen.
Daher sind hier die Grundrechte in ihrer Schutzdimension so sehr betroffen, dass sich hieraus eine konkrete grundrechtliche Schutzpflicht des Staates ergibt.
3. Zur grundrechtlichen Schutzpflicht
Die zunehmende vom Fernmeldegeheimnis erfasste elektronische Kommunikation und die verstärkte Umstellung ehemals analoger Vorgänge auf digitale Prozesse sowie die immer breitere mobile Nutzung informationstechnischer Systeme erhöhen zwangsläufig die Abhängigkeit von Informationstechnologie ständig weiter.
Das Bundesverfassungsgericht erkennt, dass sich die Verflechtung von Entfaltungsfreiheit und Informationstechnik zunehmend intensiviert wird. Die Grundrechtsträger können von ihren grundrechtlichen Freiheiten ohne die Nutzung entsprechender informationstechnischer Systeme immer weniger Gebrauch machen. Sie können sich immer weniger den Gefahren der Nutzung informationstechnischer Systeme dadurch entziehen, dass sie auf deren Nutzung verzichten.
Vor diesem Hintergrund gebieten die Grundrechte, dass auch der Staat selbst die berechtigten Erwartungen der Grundrechtsträger an die Integrität und Vertraulichkeit informationstechnischer Systeme achtet (vgl. BVerfGE 120, 274 (306)). Darüber hinaus besteht eine staatliche Pflicht, zum Schutz der Integrität und Vertraulichkeit integrationstechnischer Systeme gegen Angriffe durch Dritte beizutragen. Erlangen Behörden von einer, dem Hersteller unbekannten, IT-Sicherheitslücke Kenntnis, trifft sie eine konkrete grundrechtliche Schutzpflicht. Er ist dann verpflichtet, die Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme zu schützen.
4. Der Zielkonflikt
Bestünde keine Ermächtigung zur Quellen-TKÜ unter Ausnutzung von IT-Sicherheitslücken hätten die Behörden kein eigenes Interesse daran, diese zu nutzen, um darüber informationstechnische Systeme infiltrieren zu können. Es ist davon auszugehen, dass im Lichte der Erfüllung der grundgesetzlichen Schutzpflichten der Staat dann die ihm bekanntwerdenden Lücken dem Hersteller melden würde, damit dieser die Lücke schließen kann.
Ist eine Behörde hingegen ermächtigt, zum Zweck der Gefahrenabwehr eine Quellen-TKÜ, unter Ausnutzung von IT-Sicherheitslücken, durchzuführen, löst dies für sie einen Zielkonflikt aus. Dieser besteht zwischen einerseits dem öffentlichen Interesse an einer möglichst großen Sicherheit informationstechnischer Systeme und andererseits der Ermöglichung einer dem Schutz von anderen hochrangigen Rechtsgütern dienenden Quellen-TKÜ. Daraus folgt die Gefahr, dass die ermächtigte Behörde es unterlässt, die Schließung der Lücke anzuregen oder sogar gegebenenfalls aktiv darauf hinwirkt, dass die Lücke unerkannt bleibt.
Darüber hinaus besteht die Möglichkeit, dass die bloße Existenz staatlicher Überwachungsbefugnisse für Dritte einen Anreiz schafft, ihnen bekannte IT-Sicherheitslücken nicht den Herstellern selbst zu melden, sondern ihre Kenntnis staatlichen Behörden gegen eine Bezahlung anzubieten. Dies erhöht die Gefahr, dass IT-Sicherheitslücken dem Hersteller nicht gemeldet werden.
Das Bundesverfassungsgericht hält daran fest, dass die Quellen-TKÜ nicht von vorneherein verfassungsrechtlich unzulässig ist (vgl. bereits BVerfGE 120, 274 (326) zur Online-Durchsuchung). Aus der grundrechtlichen Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ergibt sich daher kein Anspruch darauf, die Quellen-TKÜ durch Nutzung unerkannter IT-Sicherheitslücken zu untersagen. Aufgrund der oben genannten Gefahren für die Sicherheit entsprechender Systeme unterliegt die Nutzung durch unerkannte IT-Sicherheitslücken jedoch erhöhter Rechtfertigungsanforderungen. Das Bundesverfassungsgericht sieht in der Folge daher die grundrechtlichen Schutzpflichten dahingehend konkretisiert, dass eine staatliche Verpflichtung besteht, den Umgang der Polizeibehörden mit entsprechenden IT-Sicherheitslücken zu regeln.
5. Staatliche Regelungen zur Lösung des Zielkonflikts
Die grundrechtliche Schutzpflicht verlangt eine Regelung darüber, wie die Behörde bei der Entscheidung über ein Offenhalten unerkannter Sicherheitslücken den Zielkonflikt zwischen dem notwendigen Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung von Quellen-TKÜ andererseits auflöst.
Der ermächtigten Behörde muss eine Abwägung der gegenläufigen Belange für den Fall aufgegeben werden, dass ihr eine, dem Hersteller unbekannte, Schutzlücke bekannt wird. Es ist sicherzustellen, dass die ermächtigte Behörde bei jeder Entscheidung über das Offenhalten einer dem Hersteller unbekannten IT-Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser IT-Sicherheitslücke ermittelt und andererseits den Nutzen möglicher behördlicher Infiltration mittels dieser Lücke quantitativ und qualitativ bestimmt. Beide Aspekte müssen zueinander ins Verhältnis gesetzt werden. Die IT-Sicherheitslücke ist dann an den Hersteller zu melden, wenn nicht das Interesse an der Offenhaltung derselbigen überwiegt.
Das Bundesverfassungsgericht stellt dann fest, dass bereits unterschiedliche Regelungen zum Schutz informationeller Systeme bestehen, ohne dieser aber einer abschließenden verfassungsrechtlichen Prüfung zu unterziehen.
Es wäre die Aufgabe der Beschwerdeführer gewesen hinreichend dazulegen, dass die bestehenden Regelungen der grundrechtlichen Schutzpflicht nicht genügen. Auf die entsprechenden Fragen sind die Beschwerdeführer allerdings nicht eingegangen. Mit den Anforderungen an die Feststellung einer gesetzgeberischen Schutzpflichtverletzung sind spezifische Darlegungslasten verbunden. Eine mögliche Grundrechtsverletzung geht aus einem Vortrag in der Regel nur dann hervor, wenn sich dieser nicht in pauschalen Behauptungen und punktuell herausgegriffenen, angeblichen Unzulänglichkeiten der Rechtslage erschöpft. Vielmehr ist es erforderlich, dass der gesamte gesetzlichen Regelungszusammenhang erfasst wird. Je nach Fallkonstellation gehört hierzu auch, dass zumindest die einschlägigen Regelungen des als unzureichend beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum vom Versagen der gesetzgeberischen Konzeption auszugehen ist.
a) § 54 Abs. 3 S. 2 PolG BW
Zunächst enthält die Ermächtigungsgrundlage selbst Schutzvorkehrungen. § 54 Abs. 3 S 2 PolG BW verpflichtet die Behörden dafür Sorge zu tragen, dass das eingesetzte Mittel gegen die unbefugte Nutzung durch Dritte geschützt ist Es ist zwar denkbar, dass das in § 54 Abs. 3 S. 2 PolG BW genannte „Mittel“ die Infiltrationssoftware meint und nicht die zu ihrer Einbringung genutzte IT-Sicherheitslücke bezeichnet. Dafür spricht, dass die IT-Sicherheitslücke im Zielsystem unabhängig von Handeln der Behörde besteht. § 54 Abs. 3 S. 2 POlG BW könnte allerdings auch fachrechtlich dahingehend auszulegen sein, dass unter das Tatbestandsmerkmal „eingesetztes Mittel“ auch die ausgenutzte Schwachstelle subsumiert wird. Dies hätte zur Folge, dass diese – etwa durch eine Meldung an den Hersteller – gegen eine unbefugte Nutzung zu schützen wäre.
b) Datenschutz-Folgeabschätzung
Eine Lösung des Zielkonflikts zwischen den öffentlichen Interessen an einem behördlichen Zugriff auf Telekommunikation einerseits und an einer möglichst großen Sicherheit informationstechnischer Systeme andererseits könnte auch im Rahmen der Datenschutz-Folgeabschätzung Rechnung getragen werden. § 80 PolG BW sieht eine entsprechende Regelung vor. Hat gemäß § 80 Abs. 1 PolG BW eine bestimmte Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechtsgüter betroffener Personen zu Folge, so hat die Polizei vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.
Zu klären ist hierfür, inwieweit das Offenhalten einer IT-Sicherheitslücke ein „Verarbeitungsvorgang“ im Sinne von § 80 Abs. 1 PolG BW darstellt. Gemäß § 12 Abs. 2 PolG BW stellt eine „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung dar.
Dem Bundesverfassungsgericht erscheint es jedenfalls nicht ausgeschlossen, dass der Verarbeitungsvorgang als ein einheitlicher Lebenssachverhalt zu begreifen ist. Dieser muss nicht erst mit der Datenausleitung bei der eigentlichen Telekommunikationsüberwachung beginnen, sondern kann bereits davor liegende, vorbereitende Schritte erfassen. Das bewusste Offenhalten einer der Behörde bekannten IT-Sicherheitslücke könnte so als vorbereitender Schritt einer Quellen-TKÜ angesehen werden. Damit würde auch das Offenhalten entsprechender IT-Sicherheitslücken von § 80 PolG BW erfasst werden. Ob darüber hinaus gehend die hier maßgebliche Gefahr, dass Dritte die IT-Sicherheitslücke zur Infiltration des informationstechnischen Systems nutzen, auch im Sinne von § 80 Abs. 1 PolG BW als „Folge“ dieses Verarbeitungsvorgangs zu verstehen ist, bedürfte allerdings weiterer Klärung.
c) Cybersicherheitsgesetz BW
Entsprechende Schutzvorschriften könnten sich zudem aus dem Cybersicherheitsgesetz BW <CSG> ergeben. Das Gesetz sieht die Errichtung der Cybersicherheitsagentur Baden-Württemberg vor, welches gemäß § 4 Abs. 1 CSG als zentrale Koordinierungs- und Meldestelle für die Zusammenarbeit der öffentlichen Stellen in Angelegenheiten der Cybersicherheit in Baden-Württemberg fungiert. Dabei sammelt und wertet es insbesondere alle für die Abwehr von Gefahren für die Cybersicherheit erforderlichen Informationen, unter anderem zu Sicherheitslücken aus. § 4 Abs. 3 CSG statuiert die Pflicht der Landesbehörden bekanntwerdende Sicherheitslücken an die Cybersicherheitsagentur zu melden. Darüber hinaus sollen gemäß § 5 CSG der Cybersicherheitsagentur Befugnisse zur Abwehr von Gefahren für die Cybersicherheit eingeräumt werden. Die Cybersicherheitsagentur soll ferner nach § 8 Abs. 1 CSG Empfehlungen, Hinweise sowie Warnungen zu IT-Sicherheitslücken an die Öffentlichkeit oder die betroffenen Kreise – in der Regel nach vorheriger Anhörung des Herstellers – aussprechen dürfen.
d) Untergesetzlich geregelte Mindeststandards
Jedenfalls aus dem Vertrag über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund und Ländern – Vertrag zur Ausführung von Art. 91c GG <IT-Staatsvertrag> ergibt sich ein untergesetzlich geregelter Mindeststandard. Das Land Baden-Württemberg hat zusammen mit den anderen Bundesländern und der Bundesrepublik Deutschland den Vertrag ratifiziert. Unter dieser Grundlage hat der IT-Planungsrat ein verbindliches Meldeverfahren zum Informationsaustausch für Bund und Länder als IT-Sicherheitsstandard im Sinne von § 2 Abs. 1 des IT-Staatsvertrags vereinbart (Vgl. Beschluss Nr. 2017/35) Danach sind IT-Sicherheitsvorfälle, bei denen Auswirkungen auf die Länder oder den Bund nicht ausgeschlossen werden können oder die auch für andere als relevant eingeschätzt werden, zu melden sind.
Die Meldungen sollen unter anderem an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Erfasst werden auch neuartige Sicherheitslücken in IT-Produkten (vgl. § 2 Abs. 2 in Verbindung mit Anlage 1 des Beschlusses). Gemäß § 3 des Beschlusses sind sowohl der Bund als auch die Länder meldepflichtig. Insofern stellt das Bundesverfassungsgericht fest, dass das BSI seine Ermessensspielräume bei der Entscheidung über den weiteren Umgang mit derartigen Kenntnissen ausfüllen könnte und müsste. Dies insbesondere dann, wenn es um die Erteilung von Warnungen bezüglich IT-Sicherheitslücken in informationstechnischen Systemen an die Öffentlichkeit oder die betroffenen Kreise nach § 7 Abs. 1 S. 1 Nr. 1 lit. a BSIG, und Information der Hersteller, unter Berücksichtigung der grundrechtlichen Schutzpflichten, geht.
Das Bundesverfassungsgericht stellt allerdings klar, dass die Frage, ob der grundrechtlichen Schutzpflicht durch eine untergesetzlich normierten Mitteilungspflicht genüge getan werden kann, einer näheren Prüfung bedürfe. Der von dem IT-Planungsrat vereinbarte Meldestandard ein weiteres Element der Gesamtregelung des Schutzes vor der unzulässigen Nutzung von IT-Sicherheitslücken durch Dritte sein könnte, hätten die Beschwerdeführer auch hier ihrer Darlegungspflicht nachkommen müssen.
6. Verstoß gegen Subsidiaritätsprinzip
Im Übrigen stellt das Bundesverfassungsgericht fest, dass die Verfassungsbeschwerde zudem nicht den Anforderungen der Subsidiarität im weiteren Sinne genügt. Denn zunächst sind erst einmal sämtliche prozessualen Möglichkeiten zu nutzen, welche der Grundrechtsverletzung abhelfen können.
Maßgeblich geht es um umfangreiche Fragen zur Auslegung verschiedener Bestimmungen des Polizei-, des Datenschutz-, des Cybersicherheits- und des IT-Sicherheitsrechts und damit um vorwiegend einfaches Recht. Die erforderliche Beschreitung des fachgerichtlichen Rechtswegs durch die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder vorbeugenden Unterlassungsklage sei den Beschwerdeführenden zumutbar gewesen.
IV. Anmerkung
Die Entscheidung stellt einen weiteren wichtigen Wegweiser im staatlichen Umgang mit informationstechnischen Systemen dar, die zunehmende Bedeutung für das Ausleben der grundrechtlichen Freiheiten erlangen (vgl. etwa BVerfGE 120, 274 zur Online-Durchsuchung; 1 BvR 16/13 – Recht auf Vergessen I; 1 BvR 276/17 – Recht auf Vergessen II). Der Staat bewegt sich, insbesondere im Hinblick auf die Quellen-TKÜ, in einem permanenten Spannungsverhältnis als Garant und Adressat des Schutzbereiches des allgemeinen Persönlichkeitsrechts und dem davon umfassten Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. In seiner Entscheidung erkennt das Bundesverfassungsgericht nunmehr erstmals an, dass den Staat eine konkrete grundrechtliche Schutzpflicht trifft, wenn er von einer Sicherheitslücke im System weiß, die dem Hersteller nicht bekannt ist.
Gemäß § 93d Abs. 1 S. 3 BVerfGG ist für die Ablehnung der Annahme einer Verfassungsbeschwerde keine Begründung erforderlich. Die gleichwohl sehr ausführlich erfolgte Begründung ist ein Anzeichen dafür, dass die Verfassungsbeschwerde durchaus Grundsatzfragen der grundrechtlichen Ausgestaltung von Maßnahmen der Quellen-TKÜ betrifft. Trotz der Unzulässigkeit der Verfassungsbeschwerde hat das Bundesverfassungsgericht es als erforderlich erachtet den Gesetzgebern von Bund und Länder Hinweise zu den Schutzdimensionen des Fernmeldegeheimnisses und der grundrechtlichen Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu geben.
Die sehr deutlichen Ausführungen des Bundesverfassungsgerichts zu den durch die Beschwerdeführer nicht hinreichend nachgekommenen Darlegungslast können als Hinweis auf die strengen Zulässigkeitsvoraussetzungen für die Rüge einer Verletzung der gesetzgeberischen Schutzpflichten verstanden werden. Der erste Senat betont ausdrücklich, dass sich aus seiner Entscheidung zur teilweise erfolgreichen Verfassungsbeschwerde gegen den Klimaschutz (1 BvR 2656/18) nichts Anderes ergibt. Dort ist zwar festgestellt, dass die Beschwerdeführenden zur Begründung der Beschwerdebefugnis nicht alle relevanten Maßnahmen ermitteln müssen. Dies war aber deshalb verzichtbar, weil der Gesetzgeber selbst eine zusammenfassende Regelung getroffen habe, auf die sich der Angriff des Beschwerdeführenden beschränken konnte.
Aus datenschutzrechtlicher Sicht ist der Beschluss insoweit bemerkenswert, dass er sich – zumindest in groben Zügen – mit etwaigen inhaltlichen Anforderungen der Datenschutzfolgeabschätzung befasst und diese gleichzeitig als obligatorisch vor dem Einsatz einer Quellen-TKÜ ansieht. Die Ausführungen des Bundesverfassungsgerichts deuten an, dass die Datenschutz-Folgeabschätzung geeignet ist, Schwächen der Normenbestimmtheit in Sicherheitsgesetzten prozedural auszugleichen.
Herstellern selbst sollten eher weniger genügend Nachteile drohen.
Eine staatliche Aufklärungspflicht sollte eher nur möglich scheinen, soweit Nutzern genügend schwere Nachteile drohen können.
Dafür kann mit bedeutsam scheinen, welches Gewicht Daten und deren Schutz genau haben können und wie anfällig eine Sicherheitslücke scheinen kann.
Dazu scheint für die Zulässigkeit einer Klage nicht genügend vorgetragen.
Soweit ein Grundrechtseingriff dennoch möglich scheinen sollte, sollte für seine Zulässigkeit abzuwägen bleiben, inwiefern ein staatliches Interesse an Verdeckung ein Interesse an staatlicher Aufklärung überwiegen kann.