Unzulässige Verfassungs­beschwerde zum Umgang der Polizeibehörden mit IT-Sicher­heits­lückenVerfas­sungs­­­be­schwerden wegen Verstoßes gegen die Subsidiarität unzulässig

Dem Fall lag folgender Sachverhalt zugrunde: § 54 Polizeigesetz Baden-Württemberg in der Fassung vom 6. Oktober 2020 (PolG BW) ermöglicht die heimliche Inhalts­über­wachung von Telekom­mu­ni­kation zu präventiv-polizeilichen Zwecken zum Schutz bestimmter gewichtiger Rechtsgüter. Nach dem hier von den Beschwer­de­füh­renden angegriffenen § 54 Abs. 2 PolG BW darf die Überwachung im Wege eines Eingriffs in infor­ma­ti­o­ns­tech­nische Systeme erfolgen, wenn durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekom­mu­ni­kation überwacht und aufgezeichnet wird, und der Eingriff notwendig ist, um die Überwachung und Aufzeichnung der Telekom­mu­ni­kation insbesondere auch in unver­schlüs­selter Form zu ermöglichen. Die Durchführung einer solchen sogenannten Quellen-Telekom­mu­ni­ka­ti­o­ns­über­wachung (Quellen-TKÜ) nach § 54 Abs. 2 PolG BW setzt voraus, dass das Zielsystem mit einer Überwa­chungs­software infiltriert wird. Dies kann auf unter­schiedliche Weise geschehen. Die Verfassungsbeschwerde bezieht sich allein auf die Infiltration durch Ausnutzung von Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems.

Verfas­sungs­be­schwerde gegen Ausnutzung von Zero-Day-Lücken

Die Beschwer­de­füh­renden machen im Kern geltend, dass das Land Baden-Württemberg mit der Einführung der Befugnis nach § 54 Abs. 2 PolG BW die grundrechtlich gewährleistete Vertraulichkeit und Integrität infor­ma­ti­o­ns­tech­nischer Systeme verletzt habe, weil die Behörden danach kein Interesse hätten, die ihnen bekannten Schwachstellen an die Hersteller zu melden, da sie diese Sicher­heits­lücken für eine Infiltration infor­ma­ti­o­ns­tech­nischer Systeme zur durch § 54 Abs. 2 PolG BW gestatteten Quellen-Telekom­mu­ni­ka­ti­o­ns­über­wachung nutzen könnten. Ohne eine Meldung an den Hersteller bestünden aber die IT-Sicher­heits­lücken und die damit verbundenen Gefahren, insbesondere eines Angriffs von dritter Seite auf infor­ma­ti­o­ns­tech­nische Systeme, fort. Das Land habe versäumt, die zwingend gebotenen Begleit­re­ge­lungen für ein Schwachstellen-Management zu schaffen, das insbesondere die Verwendung von Sicher­heits­lücken verbieten müsse, die dem Hersteller des betreffenden Systems nicht bekannt seien. Selbst wenn man eine Ausnutzung von Zero-Day-Lücken nicht für schlechthin mit der staatlichen Schutzpflicht unvereinbar halte, müsse jedenfalls ein Verwal­tungs­ver­fahren zur Bewertung von IT-Sicher­heits­lücken im Einzelfall geschaffen werden.

BVerfG: Verletzung der Schutzpflicht nicht in der erforderlichen Weise begründet

Die Verfas­sungs­be­schwerde ist unzulässig. Die Beschwer­de­füh­renden haben nicht hinreichend dargelegt, beschwer­de­befugt zu sein. Zwar besteht eine grundrechtliche Schutzpflicht; betroffen sind das Fernmel­de­ge­heimnis und die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität infor­ma­ti­o­ns­tech­nischer Systeme. Dass die daraus folgende Schutzpflicht verletzt sein könnte, haben die Beschwer­de­füh­renden jedoch nicht in der erforderlichen Weise begründet. Eine Schutzpflicht besteht. Der Staat trägt zum Schutz der Grundrechte eine Verantwortung für die Sicherheit infor­ma­ti­o­ns­tech­nischer Systeme. In der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicher­heitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht. Er muss zum Schutz der Nutzerinnen und Nutzer infor­ma­ti­o­ns­tech­nischer Systeme vor Angriffen Dritter auf diese Systeme beitragen.

Betroffenen können sich nicht selbst schützen

Die konkrete staatliche Schutzpflicht beruht hier darauf, dass die Betroffenen sich selbst nicht schützen können, während die Behörde Kenntnis von der Sicher­heitslücke hat, wie auch auf dem hohen Gefährdungs- und Schädi­gungs­po­tential solcher IT-Sicher­heits­lücken. Zum einen ist die informationelle Selbst­be­stimmung bedroht, weil sich mit dem Zugang zu den Daten der Nutzerin oder des Nutzers weitgehende Kenntnisse über persön­lich­keits­re­levante Informationen gewinnen lassen. Zum anderen haben Sicher­heits­lücken ein über die Offenbarung persön­lich­keits­re­le­vanter Informationen weit hinaus gehendes Schädi­gungs­po­tenzial, weil Dritte, die über Sicher­heits­lücken in das infor­ma­ti­o­ns­tech­nische System eindringen und dieses manipulieren, Abläufe unter­schied­lichster Art - etwa im betrieblichen Bereich und im Handel - zum Schaden der Betroffenen stören können. Mit dem Risiko der Infiltration durch Dritte ist so auch eine besondere Erpres­sungs­gefahr verbunden.

Gesetzgebers muss Umgang der Polizeibehörden mit IT-Sicher­heits­lücken regeln

Die Schutzpflicht schließt hier eine Verpflichtung des Gesetzgebers ein, den Umgang der Polizeibehörden mit solchen IT-Sicher­heits­lücken zu regeln. Die Quellen-TKÜ durch Nutzung unerkannter Sicher­heits­lücken ist zwar für sich genommen nicht von vornherein verfas­sungs­rechtlich unzulässig, wenn auch wegen der Gefahren für die Sicherheit infor­ma­ti­o­ns­tech­nischer Systeme erhöhte Recht­fer­ti­gungs­an­for­de­rungen gelten. Es besteht auch kein grund­recht­licher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicher­heitslücke sofort und unbedingt dem Hersteller zu melden. Die grundrechtliche Schutzpflicht verlangt jedoch eine Regelung darüber, wie die Behörde den Zielkonflikt zwischen dem Schutz infor­ma­ti­o­ns­tech­nischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicher­heits­lücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grund­rechts­konform aufzulösen hat.

Spezifische Darlegungslast genügt nicht

Die Beschwer­de­füh­renden haben nicht hinreichend dargelegt, dass diese grundrechtliche Schutzpflicht verletzt sein könnte. Die Aufstellung und normative Umsetzung eines Schutzkonzepts ist Sache des Gesetzgebers, dem grundsätzlich ein Einschätzungs-, Wertungs- und Gestal­tungs­spielraum zukommt. Für die Geltendmachung einer gesetz­ge­be­rischen Schutz­pflicht­ver­letzung bestehen daher spezifische Darle­gungs­lasten. Eine solche Verfas­sungs­be­schwerde muss den gesetzlichen Regelungs­zu­sam­menhang insgesamt erfassen. Dazu gehört, dass die einschlägigen Regelungen des beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum diese verfas­sungs­rechtlich unzureichend schützen. Diesen Darle­gungs­an­for­de­rungen genügt die Verfas­sungs­be­schwerde nicht, weil die Beschwer­de­füh­renden die unter­schied­lichen gesetzlichen Regelungen zum Schutz infor­ma­ti­o­ns­tech­nischer Systeme, denen im vorliegenden Kontext Bedeutung zukommen könnte, weder in ihren Grundzügen dargestellt noch ausgeführt haben, aus welchen konkreten Gründen die Regelungen auch in ihrer Zusammenschau erheblich hinter dem Schutzziel zurückbleiben. Die Ermäch­ti­gungs­grundlage selbst enthält diverse Schutz­vor­keh­rungen, die der Gesetzgeber gerade mit dem Ziel geregelt hat, „die Datensicherheit auch mit Rücksicht auf Eingriffe von dritter Seite zu schützen“. Die Beschwer­de­füh­renden hätten jedenfalls auf § 54 Abs. 3 Satz 2 PolG BW eingehen müssen, wonach das eingesetzte Mittel gegen unbefugte Nutzung zu schützen ist. Der Zielkonflikt könnte auch im Rahmen der Datenschutz-Folge­n­ab­schätzung nach § 80 PolG BW zu adressieren sein. Auf die insoweit offenen Fragen der tatbe­stand­lichen Auslegung der Norm sind die Beschwer­de­füh­renden jedoch nicht eingegangen. Sie tragen auch nicht ausreichend vor, inwiefern das am 17. Februar 2021 in Kraft getretene baden-württem­ber­gische Gesetz zur Verbesserung der Cybersicherheit Schutz­vor­schriften enthält. Schließlich gehen sie nicht darauf ein, dass unter Geltung des Vertrags über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Infor­ma­ti­o­ns­tech­nologie in den Verwaltungen von Bund und Ländern vereinbart wurde, dass relevante IT-Sicher­heits­vorfälle zu melden sind.

Verstoß gegen Subsi­dia­ri­täts­prinzip

Die Verfas­sungs­be­schwerde genügt zudem nicht den Anforderungen der Subsidiarität im weiteren Sinne. Über die zur Erreichung des unmittelbaren Prozessziels förmlich eröffneten Rechtsmittel hinaus sind danach sämtliche prozessualen Möglichkeiten zu nutzen, die der Grund­rechts­ver­letzung abhelfen können. Der Zweck dieses Erfordernisses besteht darin, dass die für Auslegung und Anwendung des einfachen Rechts primär zuständigen Fachgerichte die Sach- und Rechtslage zunächst unter Berück­sich­tigung verfas­sungs­recht­licher Vorgaben umfassend aufarbeiten und das Bundes­ver­fas­sungs­gericht nicht auf ungesicherter Tatsachen- und Rechtsgrundlage weitreichende Entscheidungen treffen muss. Im hier zu entscheidenden Fall stellen sich umfangreiche Fragen zur Auslegung des einfachen Rechts. Ob die Behörden bereits nach bestehendem Recht eine der grund­recht­lichen Schutzpflicht genügende Abwägung vornehmen müssen, bevor sie entscheiden, eine ihnen bekannt gewordene Zero-Day-Schwachstelle nicht dem Hersteller zu melden, hängt von der Auslegung verschiedener Bestimmungen des Polizei-, des Datenschutz-, des Cyber­si­cherheits- und des IT-Sicher­heits­rechts ab.

Erhebung einer verwal­tungs­ge­richt­lichen Feststellungs- oder vorbeugenden Unter­las­sungsklage zumutbar

Es handelt sich bei diesen Vorschriften überwiegend um jüngeres Fachrecht, dessen Bedeutung bislang weder durch Gericht­s­ent­schei­dungen oder andere Rechts­an­wen­dungsakte noch durch die Fachliteratur näher erschlossen ist. Die danach erforderliche Beschreitung des fachge­richt­lichen Rechtswegs durch Erhebung einer verwal­tungs­ge­richt­lichen Feststellungs- oder vorbeugenden Unter­las­sungsklage ist den Beschwer­de­füh­renden hier auch zumutbar.