Das BVerfG hat die Verfassungsbeschwerde wegen der staatlichen Nutzung von IT-Sicherheitslücken als unzulässig abgewiesen. Grund sind die fehlende hinreichende Darlegung einer möglichen Schutzpflichtverletzung und die Nicht-Beachtung des Subsidiaritätsgrundsatzes.

BVerfG, Beschluss vom 8. Juni 2021 – 1 BvR 2771/18

Angegriffen wurde mit der Verfassungsbeschwerde eine Regelung im Polizeigesetz Baden-Württemberg, die unter bestimmten Voraussetzungen die heimliche Inhaltsüberwachung von Telekommunikation zu präventiv-polizeilichen Zwecken ermöglicht. Insbesondere ging es dabei um die sog. Quellen-Telekommunikationsüberwachung, soweit dabei eine Infiltration des Zielsystems durch Ausnutzung von Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems erfolgt. Unter Zero-Day-Schwachstellen versteht man solche Sicherheitslücken, die den Hersteller:innen des betroffenen Produkts bisher nicht bekannt sind.

Die Beschwerdeführenden sehen in der Ausnutzung solcher Sicherheitslücken eine Verletzung der grundrechtlich gewährleisteten Vertraulichkeit und Integrität informationstechnischer Systeme, da die Behörden demnach kein Interesse hätten, die ihnen bekannten Schwachstellen an die Hersteller zu melden. Durch die fehlende Meldung an die Hersteller:innen würde die Gefahr von Angriffen auf die IT-Systeme, insbesondere von dritter Seite, fortbestehen.

Der Erste Senat des BVerfG hat diese Beschwerde allerdings als unzulässig abgewiesen. Das Gericht hat festgestellt, dass zwar eine grundrechtliche Schutzpflicht besteht, da das Fernmeldegeheimnis und die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme betroffen sind. Die konkrete Schutzpflicht ist deshalb anzunehmen, da die betroffenen Personen sich nicht selbst schützen können, während eine Behörde durch die ihr bekannten Informationen zum Schutz beitragen kann. Allerdings fehlt vorliegend die ausreichende Begründung, in welcher Form die grundrechtliche Schutzpflicht verletzt sein könnte. Insbesondere werden die einschlägigen gesetzlichen Regelungen weder in ihren Grundzügen dargestellt noch ausgeführt, aus welchen Gründen die Regelungen auch in ihrer Zusammenschau erheblich hinter dem Schutzziel zurückbleiben.

Des Weiteren bemängelt das Gericht, dass die Beschwerde nicht dem Subsidiaritätsgrundsatz genügt. Die Beschwerdeführenden hätten zunächst sämtliche prozessualen Möglichkeiten nutzen müssen, die der Grundrechtsverletzung abhelfen können. Bei den angegriffenen Vorschriften handelt es sich überwiegend um Fachrecht jüngeren Datums, bei dem sich umfangreiche Fragen zur Auslegung des Rechts stellen, die bisher noch nicht näher durch Gerichtsentscheidungen oder Fachliteratur beleuchtet wurden. Demnach müssten die Beschwerdeführenden zunächst den fachgerichtlichen Rechtsweg nutzen, was laut dem BVerfG vorliegend auch zumutbar sei.

Quellen

BVerfG, Beschluss vom 08. Juni 2021 – 1 BvR 2771/18, abrufbar unter: https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2021/06/rs20210608_1bvr277118.html

BVerfG, Pressemitteilung 62/2021 vom 21. Juli 2021, abrufbar unter: https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2021/bvg21-062.html

Beck-aktuell, „Verfassungsbeschwerde gegen staatliche Nutzung von „Zero-Day-Schwachstellen“ unzulässig“, Meldung vom 21. Juli 2021, abrufbar unter: https://rsw.beck.de/aktuell/daily/meldung/detail/bverfg-verfassungsbeschwerde-gegen-staatliche-nutzung-von-zero-day-schwachstellen-unzulaessig