Zero-Day-Lücken – und der verdeckte Zugriff der Polizei auf informationstechnische Systeme

Vor dem Bundesverfassungsgericht blieb jetzt eine Verfassungsbeschwerde gegen § 15b und § 15c des Hessischen Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) zum verdeckten Zugriff auf informationstechnische Systeme mit technischen Mitteln ohne Erfolg, das Bundesverfassungsgericht hat die Verfassungsbeschwerde nicht zur Entscheidung angenommen.

Zero-Day-Lücken – und der verdeckte Zugriff der Polizei auf informationstechnische Systeme

Die Beschwerdeführer rügen im Kern ein Regelungsdefizit für den behördlichen Umgang mit IT-Sicherheitslücken, die den Programmherstellern noch unbekannt sind (sogenannte Zero-Day-Lücken) und die der Staat für Online-Durchsuchung und Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ausnutzen könnte. Die vorliegende Entscheidung schließt an die Entscheidung vom 08.06.2021[1] zum Umgang der Polizeibehörden mit Sicherheitslücken in informationstechnischen Systemen an. Das Bundesverfassungsgericht beurteilte die Verfassungsbeschwerde als unzulässig, weil die Möglichkeit einer Verletzung der gesetzgeberischen Schutzpflicht nicht hinreichend dargelegt ist und sie den Anforderungen des Grundsatzes der Subsidiarität im weiteren Sinne nicht genügt.

Der Ausgangssachverhalt

Die Beschwerdeführer wenden sich gegen zwei Bestimmungen des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung. Der angegriffene § 15b HSOG ermöglicht die heimliche Inhaltsüberwachung von Telekommunikation durch Zugriff auf informationstechnische Systeme zu präventiv-polizeilichen Zwecken (Quellen-TKÜ). Nach § 15c HSOG ist zudem die Online-Durchsuchung informationstechnischer Systeme zu präventiv-polizeilichen Zwecken unter bestimmten Voraussetzungen zulässig.

Die beiden angegriffenen Bestimmungen des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung traten in ihrer gegenwärtigen Fassung zum 4.07.2018 in Kraft. Während die Ermächtigung zur Online-Durchsuchung des § 15c HSOG damit neu eingefügt wurde, änderte der Landesgesetzgeber die bestehende Ermächtigung zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) des § 15b HSOG mit Geltung zu diesem Datum lediglich ab.

Die Verfassungsbeschwerde

Die Beschwerdeführer rügen mit ihrer Verfassungsbeschwerde eine Verletzung ihres Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG. Mit ihrem Vorbringen bemängeln sie im Schwerpunkt ein Regelungsdefizit für den behördlichen Umgang mit IT-Sicherheitslücken. Der Staat habe ein Interesse insbesondere an der Geheimhaltung der Zero-Day-Sicherheitslücken, um diese für Online-Durchsuchung und Quellen-TKÜ ausnutzen zu können. Es stelle eine Verletzung des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme dar, dass die angegriffenen Normen und ihr weiteres Normumfeld keine Vorgaben zum Umgang mit solchen Sicherheitslücken enthielten. Weiterhin verletzten die angegriffenen Normen das Grundrecht in seiner Abwehrdimension, da der Gesetzgeber nicht sichergestellt habe, dass eine „Kompromittierung“ informationstechnischer Systeme durch die Überwachungssoftware auf unvermeidbare und verhältnismäßige Beeinträchtigungen begrenzt bleibe.

Die Entscheidung des Bundesverfassungsgerichts

Die Verfassungsbeschwerde war nicht zur Entscheidung anzunehmen. Die Voraussetzungen des § 93a Abs. 2 BVerfGG liegen nicht vor. Der Verfassungsbeschwerde kommt weder grundsätzliche verfassungsrechtliche Bedeutung zu, noch ist sie zur Durchsetzung von Grundrechten oder grundrechtsgleichen Rechten der Beschwerdeführer angezeigt, da sie keine hinreichende Aussicht auf Erfolg hat[2]. Sie ist unzulässig, weil sie die Begründungserfordernisse nach § 23 Abs. 1 Satz 2, § 92 BVerfGG nicht erfüllt.

Soweit die Beschwerdeführer unzureichende Vorgaben zum Umgang mit Sicherheitslücken rügen, haben sie weder ihre Beschwerdebefugnis noch die Wahrung des Grundsatzes der Subsidiarität im weiteren Sinne hinreichend begründet.

Bei einer gegen ein Gesetz gerichteten Verfassungsbeschwerde müssen die Beschwerdeführenden bezüglich ihrer Beschwerdebefugnis darlegen und entsprechend begründen, durch die angegriffenen Normen selbst, gegenwärtig und unmittelbar betroffen zu sein[3]. Weiterhin muss sich aus ihrem Vorbringen mit hinreichender Deutlichkeit die Möglichkeit einer Verletzung von Grundrechten oder grundrechtsgleichen Rechten ergeben[4]. Die Beschwerdeführenden müssen aufzeigen, mit welchen verfassungsrechtlichen Anforderungen die angegriffene Maßnahme kollidiert[5]. Im Falle der Behauptung einer gesetzgeberischen Schutzpflichtverletzung ergeben sich zudem spezifische Darlegungslasten dahingehend, dass über den Vortrag angeblicher Unzulänglichkeiten der Rechtslage hinaus der gesetzliche Regelungszusammenhang insgesamt erfasst sein muss, wozu – je nach Fallgestaltung – zumindest gehört, dass die einschlägigen Regelungen des als unzureichend beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum vom Versagen der gesetzgeberischen Konzeption ausgegangen wird[6].

Zwar kann durch die angegriffenen Befugnisse die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme in ihrer Schutzdimension betroffen sein und sich hieraus eine konkrete Schutzpflicht des Gesetzgebers ergeben, den Umgang mit Sicherheitslücken zu regeln[7]. Die Verfassungsbeschwerde setzt sich mit dem bestehenden gesetzlichen Regelungskonzept und seinen Defiziten in Hinblick auf die Erfüllung einer solchen Schutzpflicht jedoch allenfalls ansatzweise auseinander. Die Beschwerdeführer bemängeln lediglich, dass die §§ 15b und 15c HSOG selbst keine Regelungselemente zur Auflösung des zu adressierenden Zielkonflikts bereitstellen. Die in den angegriffenen Regelungen enthaltenen expliziten Anforderungen an den Einsatz der darin zugelassenen Maßnahmen werden bloß benannt und in Hinblick auf ihre Tauglichkeit zur Steuerung der Beschaffenheit, der Funktionalität und der Anwendungskontrolle der Überwachungssoftware hin knapp untersucht. Auf eine mögliche Auslegung der angegriffenen sowie weiterer Normen dahingehend, dass ihnen im Wege der (verfassungskonformen) Auslegung Elemente eines Regelungskonzepts für die Erfüllung der Schutzpflicht zugewiesen werden können, gehen die Beschwerdeführer nicht ein. Denkbar wäre etwa, die gesetzliche Vorgabe zum Schutz des eingesetzten Mittels gegen unbefugte Nutzung[8] in dem Sinne zu deuten, dass dies (auch) durch eine Meldung an den Hersteller geschehen könne[9]. Soweit die Beschwerdeführer weiterhin der Ansicht sind, das von ihnen angeführte Defizit der angegriffenen Normen werde auch sonst nicht durch gesetzliche Bestimmungen ausgeglichen, hätte es insbesondere zusätzlichen Vortrags bedurft, warum das bestehende Meldeverfahren des IT-Planungsrats nicht bereits einen wirkungsvollen Beitrag zu einem hinreichenden Umgang mit Sicherheitslücken leiste[10]. Weiterhin mangelt es der Verfassungsbeschwerde an einer näheren Auseinandersetzung mit der möglichen Schutzwirkung unionsrechtlicher Regelungen, namentlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates und dem unter anderem zu deren Umsetzung erlassenen Hessischen Datenschutz- und Informationsfreiheitsgesetz, dessen § 62 etwa die Durchführung einer Datenschutz-Folgenabschätzung vorsieht[11].

Ferner ist insoweit auch nicht genügend dargetan, dass die Anforderungen des Grundsatzes der Subsidiarität im weiteren Sinne gewahrt sind. Dieser erfordert, dass über die Ergreifung der zur Erreichung des unmittelbaren Prozessziels förmlich eröffneten Rechtsmittel hinaus alle Mittel genutzt werden, die der geltend gemachten Grundrechtsverletzung abhelfen können. Das gilt auch, wenn zweifelhaft ist, ob ein entsprechender Rechtsbehelf statthaft ist und im konkreten Fall in zulässiger Weise eingelegt werden kann. Zur Erfüllung der hierauf bezogenen Darlegungserfordernisse hätte es einer hinreichenden Begründung bedurft, warum vorliegend die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder Unterlassungsklage trotz der wie ausgeführt bestehenden Fragen zur Auslegung des einfachen Rechts nicht möglich oder nicht erforderlich gewesen sein sollte[12].

Soweit die Beschwerdeführer eine Verletzung der grundrechtlichen Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme durch die angegriffenen Regelungen zudem in Hinblick auf fehlende Vorgaben für die Beschaffenheit, Funktionalität und Anwendungskontrolle der Überwachungssoftware rügen, genügt die Verfassungsbeschwerde – unabhängig davon, ob man hierin eine Schutzpflichtverletzung oder wie vorgetragen eine Verletzung in der Abwehrdimension des Grundrechts erblickte – ebenfalls nicht den Begründungsanforderungen. Die hierfür relevante Rechtsprechung des Bundesverfassungsgerichts wird lediglich angeführt, ohne sich mit ihrer Bedeutung für die vorliegende Konstellation näher auseinanderzusetzen. Dies gilt vor allem für die Entscheidung zum Bundeskriminalamtsgesetz, in der vergleichbare Regelungen zur Minimierung möglicher Folgeschäden heimlicher Überwachungsmaßnahmen als verhältnismäßig angesehen wurden[13]. Eine weitere normative Konkretisierung der gesetzlichen Schutzvorkehrungen wurde in der Entscheidung nicht eingefordert, sondern ausdrücklich betont, dass deren fehlende technische Umsetzbarkeit keinen Mangel darstelle, der auf die Gültigkeit der Norm durchschlage, sondern lediglich ein Leerlaufen der Vorschrift zur Folge habe[14]. Im Übrigen fehlt es auch an einer hinreichenden Auseinandersetzung mit einfachrechtlichen Normen des nationalen wie des Unionsrechts sowie behördlicher Prüfungsprozesse, insbesondere im Rahmen der Einbindung in den einheitlichen Gesamtabnahmeprozess des Bundeskriminalamts.

Ob der Vortrag darüber hinaus auch hinsichtlich der Wahrung des Grundsatzes der Subsidiarität den Begründungsanforderungen nicht genügt oder damit ein hinreichender Grad der Wahrscheinlichkeit der Selbstbetroffenheit der Beschwerdeführer[15] auch in Hinblick auf die von ihnen gerügte grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ausgewiesen ist, kann danach dahinstehen.

Bundesverfassungsgericht, Beschluss vom 20. Januar 2022 – 1 BvR 1552/19

  1. BVerfG, Beschluss 8.06.2021- 1 BvR 2771/18[]
  2. vgl. BVerfGE 90, 22 <25 f.>[]
  3. vgl. BVerfGE 102, 197 <206> 108, 370 <384>[]
  4. vgl. BVerfGE 28, 17 <19> 89, 155 <171> 99, 84 <87> stRspr[]
  5. vgl. BVerfGE 108, 370 <386>[]
  6. vgl. BVerfG, Beschluss vom 08.06.2021 – 1 BvR 2771/18, Rn. 51 – IT-Sicherheitslücken[]
  7. vgl. BVerfG, a.a.O., Rn. 26 ff.[]
  8. so ausdrücklich § 15b Abs. 2 Satz 2 HSOG[]
  9. vgl. BVerfG, a.a.O., Rn. 54 f.[]
  10. vgl. BVerfG, a.a.O., Rn. 65 f.[]
  11. vgl. hierzu BVerfG, a.a.O., Rn. 56 ff.[]
  12. näher BVerfG, a.a.O., Rn. 68 ff. m.w.N.[]
  13. vgl. BVerfGE 141, 220 <305 f. Rn. 215>, dort unter Verweis auf BVerfGE 120, 274 <325 f.>[]
  14. vgl. BVerfGE 141, 220 <311 Rn. 234>[]
  15. vgl. BVerfG, Beschluss vom 19.04.2021 – 1 BvR 1732/14, Rn. 31 ff.[]