Du bist hier: > Art. 10 GG

Schlagwortarchiv für: Art. 10 GG

Gastautor

BVerfG: Ausnutzung von IT-Sicherheitslücken für die Quellen- Tele­kommunikations­über­wachung

, , ,

Wir freuen uns, nachfolgenden Gastbeitrag von Christoph Klaus Klang, LL.M. (Speyer) veröffentlichen zu können. Der Autor studierte Rechtswissenschaften in Hannover und Speyer und ist zurzeit als Dezernent und Datenschutzbeauftragter des Regionalen Landesamts für Schule und Bildung in Braunschweig tätig.

Mit Beschluss vom 8.6.2021 (1 BvR 2771/18) hat der erste Senat des Bundesverfassungsgerichts eine Verfassungsbeschwerde abgewiesen, die sich gegen die Befugnis zur Quellen-TKÜ und der daraus resultierenden Pflichten des Staates richtet. Die Entscheidung befasst sich schwerpunktmäßig mit dem sich hierbei ergebenden staatlichen Zielkonflikt zwischen einerseits dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter Sicherheitslücken und andererseits der bewussten Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ.
 
I. Worum geht es?
Nicht nur im Rahmen der Strafverfolgung sondern auch im Wege der Gefahrenabwehr besteht ein staatliches Interesse an der Möglichkeit die Telekommunikation bestimmter Personen zu überwachen und ggf. aufzuzeichnen. Mit der Quellen-TKÜ werden Daten schon im IT-System des Kommunikators abgegriffen, bevor die Verschlüsselung für einen etwaigen Transport erfolgt. Der Zugriff auf das IT-System des Betroffenen kann dabei auf verschiedenen Wegen erfolgen. So ist neben einem physischen Eingriff auch die Nutzung einer IT-Sicherheitslücke denkbar. Im Sinne von § 2 BSIG sind IT-Sicherheitslücken Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können. Sind einer Behörde entsprechende IT-Sicherheitslücken bekannt, können diese für eine Quellen-TKÜ genutzt werden. Damit lässt sich ein objektives Interesse des Staates feststellen, dass entsprechende IT-Sicherheitslücken offengehalten werden. Hieraus resultiert dann die Gefahr, dass der Staat ihm bekanntwerdende IT-Sicherheitslücken bewusst nicht an den Hersteller meldet. Solche, dem Hersteller nicht bekannten IT-Sicherheitslücken, werden als „Zero-Day-Schwachstellen“ bezeichnet, da Sie dem Hersteller seit null Tagen bekannt sind.
 
II. Sachverhalt (verkürzt)
Zum 17.1.2021 wurde das Polizeigesetz des Landes Baden-Württemberg <PolG BW> neu gefasst. Die Regelungen zur Quellen-TKÜ wurde aus der alten Fassung nunmehr unverändert in den neuen § 54 PolG BW übernommen
 
Gemäß § 54 Abs. 2 PolG BW darf die Überwachung und Aufzeichnung der Telekommunikation ohne Wissen der betroffenen Person in der Weise erfolgen, dass mit technischen Mitteln in von ihr genutzte informationstechnische Systeme eingegriffen wird, wenn

  1. Durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird, und
  2. der Eingriff notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen.

 
Gemäß § 54 Abs.  3 PolG BW ist bei Maßnahmen nach Absatz 2 sicherzustellen, dass

  1. an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind, und
  2. die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisiert rückgängig gemacht werden

Das eingesetzte Mittel ist gegen unbefugte Nutzung zu schützen. Kopierte Daten sind gegen Veränderung, unbefugte Löschung und unbefugte Kenntnisnahme zu schützen.
 
Die Gesellschaft für Freiheitsrechte e.V. und der Chaos Computer Club Stuttgart e.V. (im Folgenden: Beschwerdeführer) wenden sich mit Ihrer Verfassungsbeschwerde, binnen der Jahresfrist nach § 93 Abs.  3 BVerfGG, gegen die in § 54 PolG BW geregelte Befugnis zur Quellen-TKÜ. Diese habe zur Folge, dass zur Durchführung der Überwachung IT-Sicherheitslücken von informationstechnischen Systemen, die der Behörde, nicht aber dem jeweiligen Hersteller bekannt seien, offengehalten würden und so Angriffe von dritter Seite ermöglichen. Die Beschwerdeführer befürchten, dass die Polizeibehörden ihnen bekannte IT-Sicherheitslücken nicht melden werden, da sie deren Schließung durch den Hersteller vermeiden wollen, um die Lücken für die Durchführung einer polizeilichen Überwachungsmaßnahme verwenden zu können. Grundsätzlich habe das Land Baden-Württemberg es versäumt, mit einer zwingend gebotenen Begleitreglung ein „Schwachstellen-Management“ zu schaffen, das insbesondere die Verwendung von Sicherheitslücken verbieten müsse, die dem Hersteller des betreffenden Systems nicht bekannt seien. Die Regelung des § 54 PolG BW gefährde daher sowohl das Fernmeldegeheimnis als auch die Vertraulichkeit und Integrität informationstechnischer Systeme.
 
III. Die Entscheidung des Gerichts
Im Ergebnis verwirft das Bundesverfassungsgericht die Verfassungsbeschwerde als unzulässig. Die Beschwerdeführer sind als juristische Personen Grundrechtsträger und damit beschwerdefähig. Sie haben die Möglichkeit einer Verletzung der sich aus den Grundrechten ergebenden Schutzpflichten allerdings nicht hinreichend dargelegt und im Übrigen die Anforderungen der Subsidiarität im weiteren Sinne nicht gewahrt.
 
Die Begründung erfolgt allerdings in bemerkenswerter Ausführlichkeit. Das Bundeverfassungsgericht erkennt, dass sowohl das Fernmeldegeheimnis als auch die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme betroffen sind.
 
Der erkennende Senat hält an der bisherigen ständigen Rechtsprechung des Bundesverfassungsgerichts fest. Danach erschöpft sich der Gewährleistungsgehalt von Grundrechten nicht bloß in ihrer Abwehrfunktion, sondern sie enthalten zugleich eine objektive Wertentscheidung der Verfassung, die auch staatliche Schutzpflichten begründen kann (vgl.  BVerfG 39, 1 (79); st. Rspr.).
 
Aus diesen Schutzpflichten einerseits und aus der Ermächtigung zur Quellen-TKÜ über IT-Sicherheitslücken andererseits entsteht ein Zielkonflikt, dessen gebotene Lösung dem Staat obliegt.
 
1. Betroffenheit von Art. 10 Abs. 1 GG
Art. 10 Abs.  1 GG erklärt das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis für unverletzlich. Nach Abs. 2 dürfen Beschränkungen nur aufgrund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung des Bestandes oder Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt.
 
Das Bundesverfassungsgericht bestätigt, dass sofern Zugriffe Dritter Inhalte und Umstände der laufenden Telekommunikation erfassen, das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis betroffen ist (vgl. BVerfGE 120, 274 (307)). Art. 10 Abs. 1 GG begründet daher neben einem Abwehrrecht auch einen konkreten staatlichen Auftrag, die dem Fernmeldegeheimnis unterfallende Kommunikation vor dem Zugriff privater Dritter zu schützen (vgl. BVerfGE 106, 28 (37)).
 
2. Betroffenheit von Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG
Das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistet auch die Vertraulichkeit und Integrität informationstechnischer Systeme (vgl. BVerfGE 120, 274 (306 ff.) und ist daher ebenfalls bei dessen Infiltration betroffen. Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis (1 BvR 370/07 – 1 BvR 595/07).
 
Der angegriffene § 54 Abs. 2 PolG BW ermächtigt die zuständigen Behörden zwar lediglich bzgl. laufender TK-Vorgänge zur Quellen-TKÜ, sodass ein hierauf gestützter staatlicher Eingriff vordergründig an Art. 10 Abs. 1 GG zu messen wäre. Dringen aber Dritte über eine unbekannte Schutzlücke in das System ein, könnten sie möglicherweise auf das gesamte informationstechnische System und seinen Datenbestand zugreifen. Sie können dieses insbesondere ausspähen, manipulieren und erpresserisch mit der Manipulation oder Vernichtung von Daten, drohen.
Daher sind hier die Grundrechte in ihrer Schutzdimension so sehr betroffen, dass sich hieraus eine konkrete grundrechtliche Schutzpflicht des Staates ergibt.
 
3. Zur grundrechtlichen Schutzpflicht
Die zunehmende vom Fernmeldegeheimnis erfasste elektronische Kommunikation und die verstärkte Umstellung ehemals analoger Vorgänge auf digitale Prozesse sowie die immer breitere mobile Nutzung informationstechnischer Systeme erhöhen zwangsläufig die Abhängigkeit von Informationstechnologie ständig weiter.
 
Das Bundesverfassungsgericht erkennt, dass sich die Verflechtung von Entfaltungsfreiheit und Informationstechnik zunehmend intensiviert wird. Die Grundrechtsträger können von ihren grundrechtlichen Freiheiten ohne die Nutzung entsprechender informationstechnischer Systeme immer weniger Gebrauch machen. Sie können sich immer weniger den Gefahren der Nutzung informationstechnischer Systeme dadurch entziehen, dass sie auf deren Nutzung verzichten.
 
Vor diesem Hintergrund gebieten die Grundrechte, dass auch der Staat selbst die berechtigten Erwartungen der Grundrechtsträger an die Integrität und Vertraulichkeit informationstechnischer Systeme achtet (vgl. BVerfGE 120, 274 (306)). Darüber hinaus besteht eine staatliche Pflicht, zum Schutz der Integrität und Vertraulichkeit integrationstechnischer Systeme gegen Angriffe durch Dritte beizutragen. Erlangen Behörden von einer, dem Hersteller unbekannten, IT-Sicherheitslücke Kenntnis, trifft sie eine konkrete grundrechtliche Schutzpflicht. Er ist dann verpflichtet, die Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme zu schützen.
 
4. Der Zielkonflikt
Bestünde keine Ermächtigung zur Quellen-TKÜ unter Ausnutzung von IT-Sicherheitslücken hätten die Behörden kein eigenes Interesse daran, diese zu nutzen, um darüber informationstechnische Systeme infiltrieren zu können. Es ist davon auszugehen, dass im Lichte der Erfüllung der grundgesetzlichen Schutzpflichten der Staat dann die ihm bekanntwerdenden Lücken dem Hersteller melden würde, damit dieser die Lücke schließen kann.
 
Ist eine Behörde hingegen ermächtigt, zum Zweck der Gefahrenabwehr eine Quellen-TKÜ, unter Ausnutzung von IT-Sicherheitslücken, durchzuführen, löst dies für sie einen Zielkonflikt aus. Dieser besteht zwischen einerseits dem öffentlichen Interesse an einer möglichst großen Sicherheit informationstechnischer Systeme und andererseits der Ermöglichung einer dem Schutz von anderen hochrangigen Rechtsgütern dienenden Quellen-TKÜ. Daraus folgt die Gefahr, dass die ermächtigte Behörde es unterlässt, die Schließung der Lücke anzuregen oder sogar gegebenenfalls aktiv darauf hinwirkt, dass die Lücke unerkannt bleibt.
 
Darüber hinaus besteht die Möglichkeit, dass die bloße Existenz staatlicher Überwachungsbefugnisse für Dritte einen Anreiz schafft, ihnen bekannte IT-Sicherheitslücken nicht den Herstellern selbst zu melden, sondern ihre Kenntnis staatlichen Behörden gegen eine Bezahlung anzubieten. Dies erhöht die Gefahr, dass IT-Sicherheitslücken dem Hersteller nicht gemeldet werden.
 
Das Bundesverfassungsgericht hält daran fest, dass die Quellen-TKÜ nicht von vorneherein verfassungsrechtlich unzulässig ist (vgl. bereits BVerfGE 120, 274 (326) zur Online-Durchsuchung). Aus der grundrechtlichen Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ergibt sich daher kein Anspruch darauf, die Quellen-TKÜ durch Nutzung unerkannter IT-Sicherheitslücken zu untersagen. Aufgrund der oben genannten Gefahren für die Sicherheit entsprechender Systeme unterliegt die Nutzung durch unerkannte IT-Sicherheitslücken jedoch erhöhter Rechtfertigungsanforderungen. Das Bundesverfassungsgericht sieht in der Folge daher die grundrechtlichen Schutzpflichten dahingehend konkretisiert, dass eine staatliche Verpflichtung besteht, den Umgang der Polizeibehörden mit entsprechenden IT-Sicherheitslücken zu regeln.
 
5. Staatliche Regelungen zur Lösung des Zielkonflikts
Die grundrechtliche Schutzpflicht verlangt eine Regelung darüber, wie die Behörde bei der Entscheidung über ein Offenhalten unerkannter Sicherheitslücken den Zielkonflikt zwischen dem notwendigen Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung von Quellen-TKÜ andererseits auflöst.
 
Der ermächtigten Behörde muss eine Abwägung der gegenläufigen Belange für den Fall aufgegeben werden, dass ihr eine, dem Hersteller unbekannte, Schutzlücke bekannt wird. Es ist sicherzustellen, dass die ermächtigte Behörde bei jeder Entscheidung über das Offenhalten einer dem Hersteller unbekannten IT-Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser IT-Sicherheitslücke ermittelt und andererseits den Nutzen möglicher behördlicher Infiltration mittels dieser Lücke quantitativ und qualitativ bestimmt. Beide Aspekte müssen zueinander ins Verhältnis gesetzt werden. Die IT-Sicherheitslücke ist dann an den Hersteller zu melden, wenn nicht das Interesse an der Offenhaltung derselbigen überwiegt.
 
Das Bundesverfassungsgericht stellt dann fest, dass bereits unterschiedliche Regelungen zum Schutz informationeller Systeme bestehen, ohne dieser aber einer abschließenden verfassungsrechtlichen Prüfung zu unterziehen.
 
Es wäre die Aufgabe der Beschwerdeführer gewesen hinreichend dazulegen, dass die bestehenden Regelungen der grundrechtlichen Schutzpflicht nicht genügen. Auf die entsprechenden Fragen sind die Beschwerdeführer allerdings nicht eingegangen. Mit den Anforderungen an die Feststellung einer gesetzgeberischen Schutzpflichtverletzung sind spezifische Darlegungslasten verbunden. Eine mögliche Grundrechtsverletzung geht aus einem Vortrag in der Regel nur dann hervor, wenn sich dieser nicht in pauschalen Behauptungen und punktuell herausgegriffenen, angeblichen Unzulänglichkeiten der Rechtslage erschöpft. Vielmehr ist es erforderlich, dass der gesamte gesetzlichen Regelungszusammenhang erfasst wird. Je nach Fallkonstellation gehört hierzu auch, dass zumindest die einschlägigen Regelungen des als unzureichend beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum vom Versagen der gesetzgeberischen Konzeption auszugehen ist.
 
a) § 54 Abs. 3 S. 2 PolG BW
Zunächst enthält die Ermächtigungsgrundlage selbst Schutzvorkehrungen. § 54 Abs. 3 S 2 PolG BW verpflichtet die Behörden dafür Sorge zu tragen, dass das eingesetzte Mittel gegen die unbefugte Nutzung durch Dritte geschützt ist Es ist zwar denkbar, dass das in § 54 Abs. 3 S. 2 PolG BW genannte „Mittel“ die Infiltrationssoftware meint und nicht die zu ihrer Einbringung genutzte IT-Sicherheitslücke bezeichnet. Dafür spricht, dass die IT-Sicherheitslücke im Zielsystem unabhängig von Handeln der Behörde besteht. § 54 Abs. 3 S. 2 POlG BW könnte allerdings auch fachrechtlich dahingehend auszulegen sein, dass unter das Tatbestandsmerkmal „eingesetztes Mittel“ auch die ausgenutzte Schwachstelle subsumiert wird. Dies hätte zur Folge, dass diese – etwa durch eine Meldung an den Hersteller – gegen eine unbefugte Nutzung zu schützen wäre.
 
b) Datenschutz-Folgeabschätzung
Eine Lösung des Zielkonflikts zwischen den öffentlichen Interessen an einem behördlichen Zugriff auf Telekommunikation einerseits und an einer möglichst großen Sicherheit informationstechnischer Systeme andererseits könnte auch im Rahmen der Datenschutz-Folgeabschätzung Rechnung getragen werden. § 80 PolG BW sieht eine entsprechende Regelung vor. Hat gemäß § 80 Abs. 1 PolG BW  eine bestimmte Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechtsgüter betroffener Personen zu Folge, so hat die Polizei vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.
 
Zu klären ist hierfür, inwieweit das Offenhalten einer IT-Sicherheitslücke ein „Verarbeitungsvorgang“ im Sinne von § 80 Abs. 1 PolG BW darstellt. Gemäß § 12 Abs. 2 PolG BW stellt eine „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung dar.
 
Dem Bundesverfassungsgericht erscheint es jedenfalls nicht ausgeschlossen, dass der Verarbeitungsvorgang als ein einheitlicher Lebenssachverhalt zu begreifen ist. Dieser muss nicht erst mit der Datenausleitung bei der eigentlichen Telekommunikationsüberwachung beginnen, sondern kann bereits davor liegende, vorbereitende Schritte erfassen. Das bewusste Offenhalten einer der Behörde bekannten IT-Sicherheitslücke könnte so als vorbereitender Schritt einer Quellen-TKÜ angesehen werden. Damit würde auch das Offenhalten entsprechender IT-Sicherheitslücken von § 80 PolG BW erfasst werden. Ob darüber hinaus gehend die hier maßgebliche Gefahr, dass Dritte die IT-Sicherheitslücke zur Infiltration des informationstechnischen Systems nutzen, auch im Sinne von § 80 Abs.  1 PolG BW als „Folge“ dieses Verarbeitungsvorgangs zu verstehen ist, bedürfte allerdings weiterer Klärung.
 
c) Cybersicherheitsgesetz BW
Entsprechende Schutzvorschriften könnten sich zudem aus dem Cybersicherheitsgesetz BW <CSG> ergeben. Das Gesetz sieht die Errichtung der Cybersicherheitsagentur Baden-Württemberg vor, welches gemäß § 4 Abs. 1 CSG als zentrale Koordinierungs- und Meldestelle für die Zusammenarbeit der öffentlichen Stellen in Angelegenheiten der Cybersicherheit in Baden-Württemberg fungiert. Dabei sammelt und wertet es insbesondere alle für die Abwehr von Gefahren für die Cybersicherheit erforderlichen Informationen, unter anderem zu Sicherheitslücken aus. § 4 Abs. 3 CSG statuiert die Pflicht der Landesbehörden bekanntwerdende Sicherheitslücken an die Cybersicherheitsagentur zu melden. Darüber hinaus sollen gemäß § 5 CSG der Cybersicherheitsagentur Befugnisse zur Abwehr von Gefahren für die Cybersicherheit eingeräumt werden. Die Cybersicherheitsagentur soll ferner nach § 8 Abs. 1 CSG Empfehlungen, Hinweise sowie Warnungen zu IT-Sicherheitslücken an die Öffentlichkeit oder die betroffenen Kreise – in der Regel nach vorheriger Anhörung des Herstellers – aussprechen dürfen.
 
d) Untergesetzlich geregelte Mindeststandards
Jedenfalls aus dem Vertrag über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund und Ländern – Vertrag zur Ausführung von Art.  91c GG <IT-Staatsvertrag> ergibt sich ein untergesetzlich geregelter Mindeststandard. Das Land Baden-Württemberg hat zusammen mit den anderen Bundesländern und der Bundesrepublik Deutschland den Vertrag ratifiziert. Unter dieser Grundlage hat der IT-Planungsrat ein verbindliches Meldeverfahren zum Informationsaustausch für Bund und Länder als IT-Sicherheitsstandard im Sinne von § 2 Abs. 1 des IT-Staatsvertrags vereinbart (Vgl. Beschluss Nr. 2017/35) Danach sind IT-Sicherheitsvorfälle, bei denen Auswirkungen auf die Länder oder den Bund nicht ausgeschlossen werden können oder die auch für andere als relevant eingeschätzt werden, zu melden sind.
 
Die Meldungen sollen unter anderem an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Erfasst werden auch neuartige Sicherheitslücken in IT-Produkten (vgl.  § 2 Abs.  2 in Verbindung mit Anlage 1 des Beschlusses). Gemäß § 3 des Beschlusses sind sowohl der Bund als auch die Länder meldepflichtig. Insofern stellt das Bundesverfassungsgericht fest, dass das BSI seine Ermessensspielräume bei der Entscheidung über den weiteren Umgang mit derartigen Kenntnissen ausfüllen könnte und müsste. Dies insbesondere dann, wenn es um die Erteilung von Warnungen bezüglich IT-Sicherheitslücken in informationstechnischen Systemen an die Öffentlichkeit oder die betroffenen Kreise nach § 7 Abs.  1 S.  1 Nr.  1 lit. a BSIG, und Information der Hersteller, unter Berücksichtigung der grundrechtlichen Schutzpflichten, geht.
 
Das Bundesverfassungsgericht stellt allerdings klar, dass die Frage, ob der grundrechtlichen Schutzpflicht durch eine untergesetzlich normierten Mitteilungspflicht genüge getan werden kann, einer näheren Prüfung bedürfe. Der von dem IT-Planungsrat vereinbarte Meldestandard ein weiteres Element der Gesamtregelung des Schutzes vor der unzulässigen Nutzung von IT-Sicherheitslücken durch Dritte sein könnte, hätten die Beschwerdeführer auch hier ihrer Darlegungspflicht nachkommen müssen.
 
6. Verstoß gegen Subsidiaritätsprinzip
Im Übrigen stellt das Bundesverfassungsgericht fest, dass die Verfassungsbeschwerde zudem nicht den Anforderungen der Subsidiarität im weiteren Sinne genügt. Denn zunächst sind erst einmal sämtliche prozessualen Möglichkeiten zu nutzen, welche der Grundrechtsverletzung abhelfen können.
Maßgeblich geht es um umfangreiche Fragen zur Auslegung verschiedener Bestimmungen des Polizei-, des Datenschutz-, des Cybersicherheits- und des IT-Sicherheitsrechts und damit um vorwiegend einfaches Recht. Die erforderliche Beschreitung des fachgerichtlichen Rechtswegs durch die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder vorbeugenden Unterlassungsklage sei den Beschwerdeführenden zumutbar gewesen.
 
IV. Anmerkung
Die Entscheidung stellt einen weiteren wichtigen Wegweiser im staatlichen Umgang mit informationstechnischen Systemen dar, die zunehmende Bedeutung für das Ausleben der grundrechtlichen Freiheiten erlangen (vgl. etwa BVerfGE 120, 274 zur Online-Durchsuchung; 1 BvR 16/13 – Recht auf Vergessen I; 1 BvR 276/17 – Recht auf Vergessen II). Der Staat bewegt sich, insbesondere im Hinblick auf die Quellen-TKÜ, in einem permanenten Spannungsverhältnis als Garant und Adressat des Schutzbereiches des allgemeinen Persönlichkeitsrechts und dem davon umfassten Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. In seiner Entscheidung erkennt das Bundesverfassungsgericht nunmehr erstmals an, dass den Staat eine konkrete grundrechtliche Schutzpflicht trifft, wenn er von einer Sicherheitslücke im System weiß, die dem Hersteller nicht bekannt ist.
 
Gemäß § 93d Abs. 1 S. 3 BVerfGG ist für die Ablehnung der Annahme einer Verfassungsbeschwerde keine Begründung erforderlich. Die gleichwohl sehr ausführlich erfolgte Begründung ist ein Anzeichen dafür, dass die Verfassungsbeschwerde durchaus Grundsatzfragen der grundrechtlichen Ausgestaltung von Maßnahmen der Quellen-TKÜ betrifft. Trotz der Unzulässigkeit der Verfassungsbeschwerde hat das Bundesverfassungsgericht es als erforderlich erachtet den Gesetzgebern von Bund und Länder Hinweise zu den Schutzdimensionen des Fernmeldegeheimnisses und der grundrechtlichen Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu geben.
 
Die sehr deutlichen Ausführungen des Bundesverfassungsgerichts zu den durch die Beschwerdeführer nicht hinreichend nachgekommenen Darlegungslast können als Hinweis auf die strengen Zulässigkeitsvoraussetzungen für die Rüge einer Verletzung der gesetzgeberischen Schutzpflichten verstanden werden. Der erste Senat betont ausdrücklich, dass sich aus seiner Entscheidung zur teilweise erfolgreichen Verfassungsbeschwerde gegen den Klimaschutz (1 BvR 2656/18) nichts Anderes ergibt. Dort ist zwar festgestellt, dass die Beschwerdeführenden zur Begründung der Beschwerdebefugnis nicht alle relevanten Maßnahmen ermitteln müssen. Dies war aber deshalb verzichtbar, weil der Gesetzgeber selbst eine zusammenfassende Regelung getroffen habe, auf die sich der Angriff des Beschwerdeführenden beschränken konnte.
 
Aus datenschutzrechtlicher Sicht ist der Beschluss insoweit bemerkenswert, dass er sich – zumindest in groben Zügen – mit etwaigen inhaltlichen Anforderungen der Datenschutzfolgeabschätzung befasst und diese gleichzeitig als obligatorisch vor dem Einsatz einer Quellen-TKÜ ansieht. Die Ausführungen des Bundesverfassungsgerichts deuten an, dass die Datenschutz-Folgeabschätzung geeignet ist, Schwächen der Normenbestimmtheit in Sicherheitsgesetzten prozedural auszugleichen.

/1 Kommentar/von
Dr. Christoph Werkmeister

BVerfG: Regelungenen zur Speicherung von Telekommunikationsdaten teilweise verfassungswidrig

, ,

Das BVerfG hat gestern eine Entscheidung verkündet, bei der es um die Verfassungsmäßigkeit einer Vielzahl gesetzlicher Regelungen nach dem TKG (§§ 111 bis 113) ging (Az. 1 BvR 1299/05).
Da die Entscheidung sehr komplex die einzelnen Tatbestandsvarianten der fraglichen Normen des TKG analysiert, halte ich die Entscheidung in der Sache für wenig examensrelevant. Sofern dennoch Interesse besteht, sollte die umfangreiche Pressemitteilung des BVerfG zunächst einen guten Anhaltspunkt über die Entscheidungsgründe geben.
Gleichwohl hatte das BVerfG in dieser Entscheidung die Gelegenheit, sich vertieft mit der Abgrenzung verschiedenster Grundrechtsschutzbereiche zu beschäftigen. Es ging im Detail um die Schutzdimension von Art. 10 Abs. 1 GG und zum anderen um das Recht auf informationelle Selbstbestimmung. Die Kasuistik zu diesen Grundrechten sollte für das Examen losgelöst von der Entscheidung des BVerfG unbedingt beherrscht werden. Aus diesem Grund erfolgen an dieser Stelle zwei kurze Überblicke zu den vom BVerfG diskutierten Schutzbereichen.
Art. 10 Abs. 1 GG
Wie bereits Eingangs erwähnt, werden vertiefte Kenntnisse in diesem Kontext für das Examen nicht relevant. Der Student muss allerdings das Folgende wissen: Art. 10 GG schützt laienartig ausgedrückt die Vertraulichkeit des durch Kommunikationsmittel ermöglichten Informationsaustauschs über gewisse Entfernungen. Der geschützte Kommunikationsvorgang soll gegen unbefugte Kenntniserlangung durch Dritte abgeschirmt werden. Der Schutzbereich des Art. 10 GG wird dabei dynamisch interpretiert, er ist also insbesondere offen für technische Entwicklungen.
Das Fernmeldegeheimnis ist von den drei Einzelgrundrechten des Art. 10 I GG (geschützt werden auch das Brief- und Postgeheimnis) das wohl wichtigste. Es schützt die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe der Telekommunikationstechnik. Die Beteiligten sollen dabei möglichst so gestellt werden, wie sie bei einer Kommunikation unter Anwesenden stünden. Der Schutzbereich ist somit insbesondere immer dann eröffnet, wenn ein dem Telefonieren vergleichbarer Vorgang überwacht wird.
Der Schutz des Fernmeldegeheimnisses ist jedoch begrenzt, denn er endet in dem Moment, in dem die Nachricht beim Empfänger angekommen und der Übertragungsvorgang beendet ist. In solch einem Fall bestehen spezifische Gefahren der räumlich distanzierten Kommunikation, die durch das Telekommunikationsgeheimnis abgewehrt werden sollen, nicht fort. Nur dann, wenn ein noch laufender Telekommunikationsvorgang betroffen ist, kann Art. 10 GG Schutz gewährleisten.
Im aktuellen Beschluss des BVerfG wurde über das zuvor Gesagte hinaus eine Zuordnung von dynamischen IP-Adressen als Eingriff in Art. 10 Abs. 1 GG bewertet (s. dazu Rz. 63 ff. des Beschlusses). Streng genommen handelt es sich hierbei nicht um die Überwachung eines Kommunikationsvorgangs als solcher. Nach dem BVerfG wird allerdings über die vorgenannten Aspekte hinaus auch noch eine weitere Dimension vom Schutzbereich des Art. 10 GG erfasst: Wenn nämlich der Meinungs- und Informationsaustausch mittels Telekommunikationsanlagen deswegen unterbleibt oder nach Form und Inhalt verändert verläuft, weil die Beteiligten damit rechnen müssen, dass staatliche Stellen sich in die Kommunikation einschalten und Kenntnisse über die Kommunikationsbeziehungen und Kommunikationsinhalte gewinnen, ist der Kommunikationsvorgang ebenfalls beeinträchtigt. Neben der Überwachung eines Kommunikationsvorgangs fällt insofern also auch die Erfassung von kommunikationsrelevanten Daten in den geschützten Bereich.
Recht auf informationelle Selbstbestimmung
Das lediglich subsidiär anwendbare allgemeine Persönlichkeitsrecht (APR) leitet sich aus Art. 2 Abs. 1 i.V. mit 1 Abs. 1 GG ab. Das ursprünglich durch die zivilrechtliche Rechtsprechung entwickelte APR ist mittlerweile auch im Verfassungsrecht als Grundrecht anerkannt und dient zur Abwehr von diversen Formen der Beeinträchtigung der Privatsphäre oder bestimmter Persönlichkeitsrechte, die sich nicht einem anderen spezifischen Freiheitsrecht zuordnen lassen. Eine abschließende Definition des allgemeinen Persönlichkeitsrechts gibt es daher nicht. Es ergänzt die speziellen („benannten“) Freiheitsrechte“ und schützt allgemein die engere persönliche Lebenssphäre und die Erhaltung ihrer Grundbedingungen, die sich durch die traditionellen konkreten Freiheitsgarantien nicht abschließend erfassen lassen. Ebenso wie Art. 10 Abs. 1 GG wird das APR dynamisch interpretiert, sodass das GG auch hier offen für neue Gefährdungen und technische Innovationen ist.
Statt einer abschließenden Definition haben sich in Rechtsprechung und Literatur anerkannte Fallgruppen bzw. Ausprägungen des allgemeinen Persönlichkeitsrechts herausgebildet. Eine für die hiesige Problematik sehr wichtige Ausprägung des APR ist das sog. Recht auf informationelle Selbstbestimmung, welches dem Einzelnen die Befugnis verleiht, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu verfügen. Jeder Bürger darf also prinzipiell darüber bestimmen, wer was wann und bei welcher Gelegenheit über ihn weiß.
Im vom BVerfG entschiedenen Fall bewertete das BVerfG etwa die Zuordnung von Telekommunikationsnummern zu ihren Anschlussinhabern als Eingriff in das Recht auf informationelle Selbstbestimmung.

/2 Kommentare/von
Dr. Christoph Werkmeister

BVerfG zu Telekommunikationsüberwachung

, , , , , , ,

Das BVerfG entschied mit Beschluss v. 12.10.2011 (Az. 2 BvR 236/08, 2 BvR 237/08, 2 BvR 422/08), dass die Neuregelung der Telekommunikationsüberwachung in der StPO  mit dem Grundgesetz im Einklang steht. Durch das Gesetz wurde u.a. die Regelungen des § 101a StPO reformiert. Des Weiteren wurde der neue § 160a StPO eingefügt, wonach bestimmte Ermittlungsmaßnahmen unzulässig sind und Beweisverwertungsverbote nach sich ziehen können. Das BVerfG stellte insbesondere fest, dass die letztgenannte Vorschrift des § 160a StPO  weder gegen Art. 3 Abs. 1 GG, noch gegen das Grundrecht auf informationelle Selbstbestimmung oder Art. 12 Abs. 1 GG (Berufsfreiheit) verstoße.
Verfassungsmäßigkeit der Eingriffsnormen
Die Ausführungen des BVerfG zur Verfassungsmäßigkeit strafprozessualer Ermächtigungsgrundlagen sind ein alter Hut. Letztlich gilt es lediglich die einschlägigen Schutzbereiche zu definieren und im Rahmen der Verhältnismäßigkeit einen schonenden Ausgleich zwischen dem Strafverfolgungsinteresse des Staates und der Allgemeinheit einerseits mit den einzelnen Rechtspositionen des Individuums zu erzielen. Da ersteres im Falle besonders schwerer Straftaten besonders hoch ist, sind im Regelfall auch intensivere Maßnahmen zulässig. Da sich im Hinblick auf eine solche Prüfung keine großen Besonderheiten ergeben, eignet sich das Urteil des BVerfG in dieser Hinsicht nicht besonders für Klausuren. Für die mündliche Prüfung erscheint es hingegen ratsam, sich den Volltext des Urteils zumindest kurz zu Gemüte zu führen.
Der neue § 160a StPO
Im Hinblick auf § 160a StPO galt es insbesondere den Gleichheitssatz des Art 3 Abs. 1 GG zu diskutieren. Es konnte im vorliegenden Fall nämlich eine Ungleichbehandlung der in § 160a Abs. 1 StPO und Abs. 2 genannten Personengruppen vorliegen, da nur für erstere besondere Ermittlungsverbote etc. gelten. Im Ergebnis stellte das BVerfG jedoch fest, dass der Gesetzgeber nicht verpflichtet sei, den Anwendungsbereich des absoluten Beweiserhebungs- und Verwendungsverbotes des § 160a Abs. 1 StPO auch auf die in Abs. 2 StPO genannten Personengruppen zu erstrecken. Eine Begrenzung des absoluten Verbots auf eine begrenzte Zahl an Ausnahmefällen trage dem Gebot der effektiven Strafverfolgung ausreichend Rechnung.
Ansonsten sei an dieser Stelle angemerkt, dass die Vorschrift des § 160a Abs. 1 StPO sich vielleicht nicht zwingend als erste Wahl für verfassungsrechtliche Klausuren aufdrängt. Als Zusatzproblem in einer strafrechtlichen Klausur kann die neue Norm jedoch optimal abgeprüft werden.
Zitiergebot
Für die Klausuren interessanter sind die Ausführungen des BVerfG zum Zitiergebot nach Art. 19 Abs. 1 Satz 2 GG. Das Gericht führt aus, dass die infrage stehenden Vorschriften der StPO in Art. 10 GG und Art. 13 GG eingreifen, so dass das Zitiergebot grundsätzlich zu befolgen sei. In diesem Fall war es allerdings so, dass die Neuregelung gegenüber der Vorgängerregelung lediglich eine unerhebliche Gesetzesänderung darstellte. In einem solchen Fall bestehe keine Zitierpflicht.
Derartiges Inselwissen wird oftmals in Klausuren für das erste Staatsexamen eingebaut, um der Klausur noch ein Extraproblem zu bescheren. Da das Zitiergebot mit dieser Entscheidung wieder an Aktualität gewonnen hat, sei euch für einen ausführlicheren Überblick über die Problemkreise zudem unser einschlägiger Beitrag zu diesem Thema ans Herz gelegt.

/1 Kommentar/von
Dr. Stephan Pötters

Vorratsdatenspeicherung verfassungswidrig – BVerfG stärkt Bürgerrechte

, ,

Das Bundesverfassungsgericht hat heute in einem mit Spannung erwarteten Urteil (vom 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08) die gesetzliche Regelung zur Vorratsdatenspeicherung für verfassungswidrig erklärt. Die Regelung war unter Politikern kontrovers diskutiert worden und ist auch im Netz von zahlreichen Bürgern scharf kritisiert worden (Stichwort: Stasi 2.0).
Gesetzliche Grundlagen für Vorratsdatenspeicherung
Die Verfassungsbeschwerden, die zum heutigen Urteil des BVerfG führten, richteten sich gegen §§ 113a, 113b TKG und  gegen § 100g StPO, soweit dieser die Erhebung von nach § 113a TKG gespeicherten Daten zulässt. § 113a TKG verpflichtet alle öffentlich zugänglichen Telekommunikationsdiensteanbieter dazu,  Daten von Telefon-, E Mail- und Internetdiensten vorsorglich und anlasslos zu speichern. Mithilfe der Daten kann nachvollzogen werden, wer wann wie lange mit wem von wo aus kommuniziert hat oder zu kommunizieren versucht hat. Nicht zu speichern ist demgegenüber der Inhalt der Kommunikation. Nach sechs Monaten sind die Daten innerhalb eines Monats zu löschen. § 113b TKG regelt die möglichen Zwecke, für die diese Daten verwendet werden dürfen (Verfolgung von Straftaten, die Abwehr von erheblichen Gefahren für die öffentliche Sicherheit und die Erfüllung von nachrichtendienstlichen Aufgaben). Halbsatz 2 erlaubt darüber hinaus die mittelbare Nutzung der Daten für Auskünfte nach § 113 Abs. 1 TKG in Form eines Auskunftsanspruchs gegenüber den Diensteanbietern zur Identifizierung von IP Adressen.
Argumente des BVerfG
Das Bundesverfassungsgerichts hat entschieden, dass die Regelungen des TKG und der StPO über die Vorratsdatenspeicherung mit Art. 10 Abs. 1 GG (Telekommunikationsgeheimnis) nicht vereinbar sind. Zwar sei eine verfassungskonforme Ausgestaltung einer Vorratsdatenspeicherung denkbar, zumal vorliegend hochrangige Schutzgüter durch die einschlägigen Regelungen dem Telekommunikationsgeheimnis gegenüberstehen; die konkreten gesetzlichen Regelungen würden jedoch gegen das Verhältnismäßigkeitsprinzip verstoßen. Es handele sich bei einer anlasslosen Vorratsdatenspeicherung um einen besonders schweren Eingriff mit einer Streubreite, wie sie die Rechtsordnung bisher nicht kenne. Je nach Nutzung der Telekommunikation könne eine solche Speicherung die  Erstellung aussagekräftiger Persönlichkeits- und Bewegungsprofile praktisch jeden Bürgers ermöglichen. Darüber hinaus würden die Missbrauchsmöglichkeiten, die mit einer solchen Datensammlung verbunden sind, deren belastende Wirkung verschärfen. Angesichts der fehlenden Offenheit des gesamten Vorgangs, könne ein „diffus bedrohliches Gefühl des Beobachtetseins“ entstehen.
Die angegriffenen Vorschriften würden nach Ansicht des BVerfG weder eine hinreichende Datensicherheit, noch eine hinreichende Begrenzung der Verwendungszwecke der Daten gewährleisten. Ferner seien sie nicht hinreichend transparent und der Rechtschutz sei unzulänglich ausgestaltet.
Vorgaben für eine verhältnismäßige Regelung
Das BverfG gibt zahlreiche Hinweise, welche Änderungen für eine verhältnismäßige Regelung der Vorratsdatenspeicherung zu beachten wären:

  • Datensicherheit: Erforderlich sei eine gesetzliche Regelung, die ein besonders hohes Maß an Sicherheit normenklar und verbindlich vorgebe. Der Gesetzgeber habe dabei sicherzustellen, dass die Entscheidung über Art und Maß der zu treffenden Schutzvorkehrungen nicht letztlich unkontrolliert in den Händen der jeweiligen Telekommunikationsanbieter liege.
  • Datenverwendeung: Angesichts der hohen Eingriffsintensität nur für überragend wichtige Aufgaben des Rechtsgüterschutzes (z.B. bei Verdacht einer schweren Straftat oder bei einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand oder die Sicherheit des Bundes oder eines Landes oder zur Abwehr einer gemeinen Gefahr).
  • Transparenz der Datenübermittlung: Der Gesetzgeber müsse die diffuse Bedrohlichkeit einer heimlichen Speicherung durch wirksame Transparenzregeln auffangen. Eine Verwendung der Daten ohne Wissen des Betroffenen sei nur dann zulässig, wenn andernfalls der Zweck der Untersuchung vereitelt würde. Eine heimliche Verwendung der Daten dürfe bei der Strafverfolgung nur vorgesehen werden, wenn sie im Einzelfall erforderlich und richterlich angeordnet ist. Zudem müsse zumindest eine nachträgliche Benachrichtigung vorgesehen werden.
  • Rechtsschutz: Eine Übermittlung und Nutzung der gespeicherten Daten sei grundsätzlich unter Richtervorbehalt zu stellen. Außerdem müssen wirksame Sanktionen bei Rechtsverletzungen vorgesehen werden.

Zulässigkeitsproblem: Solange-Rechtsprechung
In der Zulässigkeit gab es bei dieser Entscheidung noch ein klausurrelevantes Zusatzproblem. Die nationalen Vorschriften dienten teilweise der Umsetzung einer Richtlinie (2006/24/EG), sodass sich die Frage stellte, ob hier angesichts verbindlicher Vorgaben des Europarechts eine Überprüfbarkeit nach der Solange-Rspr des BVerfG ausscheiden musste. Hier aber konnte man eine Überprüfbarkeit schon deshalb bejahen, weil die Richtlinie keinen konkreten Vorgaben zur Ausgestaltung des Verfahrens (Richtervorbehalt etc.) macht, sodass die deutschen Umsetzungsvorschriften zum Teil im Ermessen des nationalen Gesetzgebers lagen und zumindest insofern überprüfbar sind. Außerdem war zu beachten, dass die Beschwerdeführer erstreben, eine Vorlage durch das BVerfG an den EuGH zu erreichen, damit dieser im Wege der Vorabentscheidung nach Art. 267 AEUV (ex-Art. 234 EGV) die Richtlinie für nichtig erklären kann. Nach Ansicht des BVerfG sei jedenfalls auf diesem Weg eine Prüfung der angegriffenen Vorschriften am Maßstab der Grundrechte nicht von vornherein ausgeschlossen. Die Zulässigkeit war deshalb zu bejahen. Im Rahmen der Begründetheit stellte das BverfG dann fest, dass es vorliegend aufgrund des weiten
Entscheidungsspielraums, den die Richtlinie den Mitgliedsstaaten lässt, nicht erforderlich war, eine Vorlage an den EuGH „vorzuschalten“ und direkt eine Überprüfung am Maßstab der Grundrechte stattfinden konnte.
Fazit
Die Entscheidung dürfte angesichts ihrer aktuellen Probleme in Zulässigkeit und Begründetheit sehr examensrelevant sein. Im Hinblick auf Art. 10 GG, das APR und Rechtsprobleme im Bereich der neuen Medien und der Gefahrenabwehr  sollten in diesem Kontext auch die Urteile des BVerfG zur Onlinedurchsuchung und zum IMSI-Catcher bekannt sein.
BVerfG, Urteil vom 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08
vgl. BVerfG PM Nr. 11/2010 vom 2. März 2010

/1 Kommentar/von

Weitere Artikel

Auch diese Artikel könnten für dich interessant sein.

Redaktion

BGH zur Halterhaftung nach dem StVG

,

Wir freuen uns, nachfolgenden Gastbeitrag von Simon Mantsch veröffentlichen zu können. Er studiert Rechtswissenschaften an der Universität Bonn und ist als Wissenschaftlicher Mitarbeiter bei Flick Gocke Schaumburg tätig. In einer kürzlich veröffentlichten […]

Weiterlesen
/1 Kommentar/von
Alexandra Ritter

Die mündliche Prüfung im ersten Staatsexamen

, , , , , , , ,

Viele Jahre bereitet man sich durch Studium und Repetitorium darauf vor und irgendwann ist es soweit: man schreibt das erste Staatsexamen. Sechs Klausuren und eine mündliche Prüfung (so zumindest in […]

Weiterlesen
/2 Kommentare/von
Gastautor

Basiswissen Kriminologie – über Genese, bekannte Persönlichkeiten und die relativen Straftheorien

, , , ,

Wir freuen uns, nachfolgenden Gastbeitrag von Sabrina Prem veröffentlichen zu können. Die Autorin ist Volljuristin. Ihr Studium und Referendariat absolvierte sie in Düsseldorf. Was genau verbirgt sich eigentlich hinter dem Begriff „Kriminologie“? […]

Weiterlesen
/1 Kommentar/von

Support

Unterstütze uns und spende mit PayPal

Jetzt spenden

© 2022 juraexamen.info