Das Bundesverfassungsgericht hat mit Beschluss vom 08.06.2021 zum Aktenzeichen 1 BvR 2771/18 eine Verfassungsbeschwerde zurückgewiesen, die die staatliche Nutzung von IT-Sicherheitslücken betrifft, die den Herstellern von Soft- und Hardware noch unbekannt sind (sogenannte Zero-Day-Schwachstellen).
Aus der Pressemitteilung des BVerfG Nr. 62/2021 vom 21.07.2021 ergibt sich:
Die Verfassungsbeschwerde ist unzulässig, weil zum einen die Möglichkeit einer Verletzung der grundrechtlichen Verpflichtung zum Schutz vor dem unbefugten Zugang Dritter zu informationstechnischen Systemen nicht hinreichend dargelegt ist und sie zum anderen den Anforderungen der Subsidiarität im weiteren Sinne nicht genügt.
Sachverhalt:
§ 54 Polizeigesetz Baden-Württemberg in der Fassung vom 6. Oktober 2020 (PolG BW) ermöglicht die heimliche Inhaltsüberwachung von Telekommunikation zu präventiv-polizeilichen Zwecken zum Schutz bestimmter gewichtiger Rechtsgüter. Nach dem hier von den Beschwerdeführenden angegriffenen § 54 Abs. 2 PolG BW darf die Überwachung im Wege eines Eingriffs in informationstechnische Systeme erfolgen, wenn durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird, und der Eingriff notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen. Die Durchführung einer solchen sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) nach § 54 Abs. 2 PolG BW setzt voraus, dass das Zielsystem mit einer Überwachungssoftware infiltriert wird. Dies kann auf unterschiedliche Weise geschehen. Die Verfassungsbeschwerde bezieht sich allein auf die Infiltration durch Ausnutzung von Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems.
Die Beschwerdeführenden machen im Kern geltend, dass das Land Baden-Württemberg mit der Einführung der Befugnis nach § 54 Abs. 2 PolG BW die grundrechtlich gewährleistete Vertraulichkeit und Integrität informationstechnischer Systeme verletzt habe, weil die Behörden danach kein Interesse hätten, die ihnen bekannten Schwachstellen an die Hersteller zu melden, da sie diese Sicherheitslücken für eine Infiltration informationstechnischer Systeme zur durch § 54 Abs. 2 PolG BW gestatteten Quellen-Telekommunikationsüberwachung nutzen könnten. Ohne eine Meldung an den Hersteller bestünden aber die IT-Sicherheitslücken und die damit verbundenen Gefahren, insbesondere eines Angriffs von dritter Seite auf informationstechnische Systeme, fort. Das Land habe versäumt, die zwingend gebotenen Begleitregelungen für ein Schwachstellen-Management zu schaffen, das insbesondere die Verwendung von Sicherheitslücken verbieten müsse, die dem Hersteller des betreffenden Systems nicht bekannt seien. Selbst wenn man eine Ausnutzung von Zero-Day-Lücken nicht für schlechthin mit der staatlichen Schutzpflicht unvereinbar halte, müsse jedenfalls ein Verwaltungsverfahren zur Bewertung von IT-Sicherheitslücken im Einzelfall geschaffen werden.
Wesentliche Erwägungen des Senats:
Die Verfassungsbeschwerde ist unzulässig.
Die Beschwerdeführenden haben nicht hinreichend dargelegt, beschwerdebefugt zu sein. Zwar besteht eine grundrechtliche Schutzpflicht; betroffen sind das Fernmeldegeheimnis und die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dass die daraus folgende Schutzpflicht verletzt sein könnte, haben die Beschwerdeführenden jedoch nicht in der erforderlichen Weise begründet.
Eine Schutzpflicht besteht. Der Staat trägt zum Schutz der Grundrechte eine Verantwortung für die Sicherheit informationstechnischer Systeme. In der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht. Er muss zum Schutz der Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen.
Die konkrete staatliche Schutzpflicht beruht hier darauf, dass die Betroffenen sich selbst nicht schützen können, während die Behörde Kenntnis von der Sicherheitslücke hat, wie auch auf dem hohen Gefährdungs- und Schädigungspotential solcher IT-Sicherheitslücken. Zum einen ist die informationelle Selbstbestimmung bedroht, weil sich mit dem Zugang zu den Daten der Nutzerin oder des Nutzers weitgehende Kenntnisse über persönlichkeitsrelevante Informationen gewinnen lassen. Zum anderen haben Sicherheitslücken ein über die Offenbarung persönlichkeitsrelevanter Informationen weit hinaus gehendes Schädigungspotenzial, weil Dritte, die über Sicherheitslücken in das informationstechnische System eindringen und dieses manipulieren, Abläufe unterschiedlichster Art – etwa im betrieblichen Bereich und im Handel – zum Schaden der Betroffenen stören können. Mit dem Risiko der Infiltration durch Dritte ist so auch eine besondere Erpressungsgefahr verbunden.
Die Schutzpflicht schließt hier eine Verpflichtung des Gesetzgebers ein, den Umgang der Polizeibehörden mit solchen IT-Sicherheitslücken zu regeln. Die Quellen-TKÜ durch Nutzung unerkannter Sicherheitslücken ist zwar für sich genommen nicht von vornherein verfassungsrechtlich unzulässig, wenn auch wegen der Gefahren für die Sicherheit informationstechnischer Systeme erhöhte Rechtfertigungsanforderungen gelten. Es besteht auch kein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden. Die grundrechtliche Schutzpflicht verlangt jedoch eine Regelung darüber, wie die Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen hat.
Die Beschwerdeführenden haben nicht hinreichend dargelegt, dass diese grundrechtliche Schutzpflicht verletzt sein könnte.
Die Aufstellung und normative Umsetzung eines Schutzkonzepts ist Sache des Gesetzgebers, dem grundsätzlich ein Einschätzungs-, Wertungs- und Gestaltungsspielraum zukommt. Für die Geltendmachung einer gesetzgeberischen Schutzpflichtverletzung bestehen daher spezifische Darlegungslasten. Eine solche Verfassungsbeschwerde muss den gesetzlichen Regelungszusammenhang insgesamt erfassen. Dazu gehört, dass die einschlägigen Regelungen des beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum diese verfassungsrechtlich unzureichend schützen.
Diesen Darlegungsanforderungen genügt die Verfassungsbeschwerde nicht, weil die Beschwerdeführenden die unterschiedlichen gesetzlichen Regelungen zum Schutz informationstechnischer Systeme, denen im vorliegenden Kontext Bedeutung zukommen könnte, weder in ihren Grundzügen dargestellt noch ausgeführt haben, aus welchen konkreten Gründen die Regelungen auch in ihrer Zusammenschau erheblich hinter dem Schutzziel zurückbleiben.
Die Ermächtigungsgrundlage selbst enthält diverse Schutzvorkehrungen, die der Gesetzgeber gerade mit dem Ziel geregelt hat, „die Datensicherheit auch mit Rücksicht auf Eingriffe von dritter Seite zu schützen“. Die Beschwerdeführenden hätten jedenfalls auf § 54 Abs. 3 Satz 2 PolG BW eingehen müssen, wonach das eingesetzte Mittel gegen unbefugte Nutzung zu schützen ist. Der Zielkonflikt könnte auch im Rahmen der Datenschutz-Folgenabschätzung nach § 80 PolG BW zu adressieren sein. Auf die insoweit offenen Fragen der tatbestandlichen Auslegung der Norm sind die Beschwerdeführenden jedoch nicht eingegangen. Sie tragen auch nicht ausreichend vor, inwiefern das am 17. Februar 2021 in Kraft getretene baden-württembergische Gesetz zur Verbesserung der Cybersicherheit Schutzvorschriften enthält. Schließlich gehen sie nicht darauf ein, dass unter Geltung des Vertrags über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund und Ländern vereinbart wurde, dass relevante IT-Sicherheitsvorfälle zu melden sind.
Die Verfassungsbeschwerde genügt zudem nicht den Anforderungen der Subsidiarität im weiteren Sinne.
Über die zur Erreichung des unmittelbaren Prozessziels förmlich eröffneten Rechtsmittel hinaus sind danach sämtliche prozessualen Möglichkeiten zu nutzen, die der Grundrechtsverletzung abhelfen können. Der Zweck dieses Erfordernisses besteht darin, dass die für Auslegung und Anwendung des einfachen Rechts primär zuständigen Fachgerichte die Sach- und Rechtslage zunächst unter Berücksichtigung verfassungsrechtlicher Vorgaben umfassend aufarbeiten und das Bundesverfassungsgericht nicht auf ungesicherter Tatsachen- und Rechtsgrundlage weitreichende Entscheidungen treffen muss. Im hier zu entscheidenden Fall stellen sich umfangreiche Fragen zur Auslegung des einfachen Rechts. Ob die Behörden bereits nach bestehendem Recht eine der grundrechtlichen Schutzpflicht genügende Abwägung vornehmen müssen, bevor sie entscheiden, eine ihnen bekannt gewordene Zero-Day-Schwachstelle nicht dem Hersteller zu melden, hängt von der Auslegung verschiedener Bestimmungen des Polizei-, des Datenschutz-, des Cybersicherheits- und des IT-Sicherheitsrechts ab. Es handelt sich bei diesen Vorschriften überwiegend um jüngeres Fachrecht, dessen Bedeutung bislang weder durch Gerichtsentscheidungen oder andere Rechtsanwendungsakte noch durch die Fachliteratur näher erschlossen ist. Die danach erforderliche Beschreitung des fachgerichtlichen Rechtswegs durch Erhebung einer verwaltungsgerichtlichen Feststellungs- oder vorbeugenden Unterlassungsklage ist den Beschwerdeführenden hier auch zumutbar.