wichtiger technischer Hinweis:
Sie sehen diese Hinweismeldung, weil Sie entweder die Darstellung von Cascading Style Sheets (CSS) in Ihrem Browser unterbunden haben, Ihr Browser nicht vollständig mit dem Standard HTML 4.01 kompatibel ist oder ihr Browsercache die Stylesheet-Angaben „verschluckt“ hat. Lesen Sie mehr zu diesem Thema und weitere Informationen zum Design dieser Homepage unter folgender Adresse:   ->  weitere Hinweise und Informationen


Dies ist die mobile Version von kostenlose-urteile.de - speziell optimiert für Smartphones.

Klicken Sie hier, wenn Sie lieber die klassische Version für Desktop-PCs und Tablets nutzen wollen.


Hier beginnt die eigentliche Meldung:

Bundesverfassungsgericht, Beschluss vom 08.06.2021
1 BvR 2771/18 -

Unzulässige Verfassungs­beschwerde zum Umgang der Polizeibehörden mit IT-Sicherheitslücken

Verfassungs­beschwerden wegen Verstoßes gegen die Subsidiarität unzulässig

Das Bundes­verfassungs­gericht hat eine Verfassungs­beschwerde zurückgewiesen, die die staatliche Nutzung von IT-Sicherheitslücken betrifft, die den Herstellern von Soft- und Hardware noch unbekannt sind (sogenannte Zero-Day-Schwachstellen). Die Verfassungs­beschwerde ist unzulässig, weil zum einen die Möglichkeit einer Verletzung der grundrechtlichen Verpflichtung zum Schutz vor dem unbefugten Zugang Dritter zu informations­technischen Systemen nicht hinreichend dargelegt ist und sie zum anderen den Anforderungen der Subsidiarität im weiteren Sinne nicht genügt.

Dem Fall lag folgender Sachverhalt zugrunde: § 54 Polizeigesetz Baden-Württemberg in der Fassung vom 6. Oktober 2020 (PolG BW) ermöglicht die heimliche Inhaltsüberwachung von Telekommunikation zu präventiv-polizeilichen Zwecken zum Schutz bestimmter gewichtiger Rechtsgüter. Nach dem hier von den Beschwerdeführenden angegriffenen § 54 Abs. 2 PolG BW darf die Überwachung im Wege eines Eingriffs in informationstechnische Systeme erfolgen, wenn durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird, und der Eingriff notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen. Die Durchführung einer solchen sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) nach § 54 Abs. 2 PolG BW setzt voraus, dass das Zielsystem mit einer Überwachungssoftware infiltriert wird. Dies kann auf unterschiedliche Weise geschehen. Die Verfassungsbeschwerde bezieht sich allein auf die Infiltration durch Ausnutzung von Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems.

Verfassungsbeschwerde gegen Ausnutzung von Zero-Day-Lücken

Die Beschwerdeführenden machen im Kern geltend, dass das Land Baden-Württemberg mit der Einführung der Befugnis nach § 54 Abs. 2 PolG BW die grundrechtlich gewährleistete Vertraulichkeit und Integrität informationstechnischer Systeme verletzt habe, weil die Behörden danach kein Interesse hätten, die ihnen bekannten Schwachstellen an die Hersteller zu melden, da sie diese Sicherheitslücken für eine Infiltration informationstechnischer Systeme zur durch § 54 Abs. 2 PolG BW gestatteten Quellen-Telekommunikationsüberwachung nutzen könnten. Ohne eine Meldung an den Hersteller bestünden aber die IT-Sicherheitslücken und die damit verbundenen Gefahren, insbesondere eines Angriffs von dritter Seite auf informationstechnische Systeme, fort. Das Land habe versäumt, die zwingend gebotenen Begleitregelungen für ein Schwachstellen-Management zu schaffen, das insbesondere die Verwendung von Sicherheitslücken verbieten müsse, die dem Hersteller des betreffenden Systems nicht bekannt seien. Selbst wenn man eine Ausnutzung von Zero-Day-Lücken nicht für schlechthin mit der staatlichen Schutzpflicht unvereinbar halte, müsse jedenfalls ein Verwaltungsverfahren zur Bewertung von IT-Sicherheitslücken im Einzelfall geschaffen werden.

BVerfG: Verletzung der Schutzpflicht nicht in der erforderlichen Weise begründet

Die Verfassungsbeschwerde ist unzulässig. Die Beschwerdeführenden haben nicht hinreichend dargelegt, beschwerdebefugt zu sein. Zwar besteht eine grundrechtliche Schutzpflicht; betroffen sind das Fernmeldegeheimnis und die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dass die daraus folgende Schutzpflicht verletzt sein könnte, haben die Beschwerdeführenden jedoch nicht in der erforderlichen Weise begründet. Eine Schutzpflicht besteht. Der Staat trägt zum Schutz der Grundrechte eine Verantwortung für die Sicherheit informationstechnischer Systeme. In der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht. Er muss zum Schutz der Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen.

Betroffenen können sich nicht selbst schützen

Die konkrete staatliche Schutzpflicht beruht hier darauf, dass die Betroffenen sich selbst nicht schützen können, während die Behörde Kenntnis von der Sicherheitslücke hat, wie auch auf dem hohen Gefährdungs- und Schädigungspotential solcher IT-Sicherheitslücken. Zum einen ist die informationelle Selbstbestimmung bedroht, weil sich mit dem Zugang zu den Daten der Nutzerin oder des Nutzers weitgehende Kenntnisse über persönlichkeitsrelevante Informationen gewinnen lassen. Zum anderen haben Sicherheitslücken ein über die Offenbarung persönlichkeitsrelevanter Informationen weit hinaus gehendes Schädigungspotenzial, weil Dritte, die über Sicherheitslücken in das informationstechnische System eindringen und dieses manipulieren, Abläufe unterschiedlichster Art - etwa im betrieblichen Bereich und im Handel - zum Schaden der Betroffenen stören können. Mit dem Risiko der Infiltration durch Dritte ist so auch eine besondere Erpressungsgefahr verbunden.

Gesetzgebers muss Umgang der Polizeibehörden mit IT-Sicherheitslücken regeln

Die Schutzpflicht schließt hier eine Verpflichtung des Gesetzgebers ein, den Umgang der Polizeibehörden mit solchen IT-Sicherheitslücken zu regeln. Die Quellen-TKÜ durch Nutzung unerkannter Sicherheitslücken ist zwar für sich genommen nicht von vornherein verfassungsrechtlich unzulässig, wenn auch wegen der Gefahren für die Sicherheit informationstechnischer Systeme erhöhte Rechtfertigungsanforderungen gelten. Es besteht auch kein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden. Die grundrechtliche Schutzpflicht verlangt jedoch eine Regelung darüber, wie die Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen hat.

Spezifische Darlegungslast genügt nicht

Die Beschwerdeführenden haben nicht hinreichend dargelegt, dass diese grundrechtliche Schutzpflicht verletzt sein könnte. Die Aufstellung und normative Umsetzung eines Schutzkonzepts ist Sache des Gesetzgebers, dem grundsätzlich ein Einschätzungs-, Wertungs- und Gestaltungsspielraum zukommt. Für die Geltendmachung einer gesetzgeberischen Schutzpflichtverletzung bestehen daher spezifische Darlegungslasten. Eine solche Verfassungsbeschwerde muss den gesetzlichen Regelungszusammenhang insgesamt erfassen. Dazu gehört, dass die einschlägigen Regelungen des beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum diese verfassungsrechtlich unzureichend schützen. Diesen Darlegungsanforderungen genügt die Verfassungsbeschwerde nicht, weil die Beschwerdeführenden die unterschiedlichen gesetzlichen Regelungen zum Schutz informationstechnischer Systeme, denen im vorliegenden Kontext Bedeutung zukommen könnte, weder in ihren Grundzügen dargestellt noch ausgeführt haben, aus welchen konkreten Gründen die Regelungen auch in ihrer Zusammenschau erheblich hinter dem Schutzziel zurückbleiben. Die Ermächtigungsgrundlage selbst enthält diverse Schutzvorkehrungen, die der Gesetzgeber gerade mit dem Ziel geregelt hat, „die Datensicherheit auch mit Rücksicht auf Eingriffe von dritter Seite zu schützen“. Die Beschwerdeführenden hätten jedenfalls auf § 54 Abs. 3 Satz 2 PolG BW eingehen müssen, wonach das eingesetzte Mittel gegen unbefugte Nutzung zu schützen ist. Der Zielkonflikt könnte auch im Rahmen der Datenschutz-Folgenabschätzung nach § 80 PolG BW zu adressieren sein. Auf die insoweit offenen Fragen der tatbestandlichen Auslegung der Norm sind die Beschwerdeführenden jedoch nicht eingegangen. Sie tragen auch nicht ausreichend vor, inwiefern das am 17. Februar 2021 in Kraft getretene baden-württembergische Gesetz zur Verbesserung der Cybersicherheit Schutzvorschriften enthält. Schließlich gehen sie nicht darauf ein, dass unter Geltung des Vertrags über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund und Ländern vereinbart wurde, dass relevante IT-Sicherheitsvorfälle zu melden sind.

Verstoß gegen Subsidiaritätsprinzip

Die Verfassungsbeschwerde genügt zudem nicht den Anforderungen der Subsidiarität im weiteren Sinne. Über die zur Erreichung des unmittelbaren Prozessziels förmlich eröffneten Rechtsmittel hinaus sind danach sämtliche prozessualen Möglichkeiten zu nutzen, die der Grundrechtsverletzung abhelfen können. Der Zweck dieses Erfordernisses besteht darin, dass die für Auslegung und Anwendung des einfachen Rechts primär zuständigen Fachgerichte die Sach- und Rechtslage zunächst unter Berücksichtigung verfassungsrechtlicher Vorgaben umfassend aufarbeiten und das Bundesverfassungsgericht nicht auf ungesicherter Tatsachen- und Rechtsgrundlage weitreichende Entscheidungen treffen muss. Im hier zu entscheidenden Fall stellen sich umfangreiche Fragen zur Auslegung des einfachen Rechts. Ob die Behörden bereits nach bestehendem Recht eine der grundrechtlichen Schutzpflicht genügende Abwägung vornehmen müssen, bevor sie entscheiden, eine ihnen bekannt gewordene Zero-Day-Schwachstelle nicht dem Hersteller zu melden, hängt von der Auslegung verschiedener Bestimmungen des Polizei-, des Datenschutz-, des Cybersicherheits- und des IT-Sicherheitsrechts ab.

Erhebung einer verwaltungsgerichtlichen Feststellungs- oder vorbeugenden Unterlassungsklage zumutbar

Es handelt sich bei diesen Vorschriften überwiegend um jüngeres Fachrecht, dessen Bedeutung bislang weder durch Gerichtsentscheidungen oder andere Rechtsanwendungsakte noch durch die Fachliteratur näher erschlossen ist. Die danach erforderliche Beschreitung des fachgerichtlichen Rechtswegs durch Erhebung einer verwaltungsgerichtlichen Feststellungs- oder vorbeugenden Unterlassungsklage ist den Beschwerdeführenden hier auch zumutbar.

© kostenlose-urteile.de (ra-online GmbH), Berlin 23.07.2021
Quelle: Bundesverfassungsgericht, ra-online (pm/ab)

Aktuelle Urteile aus den Rechtsgebieten:

Urteile sind im Original meist sehr umfangreich und kompliziert formuliert. Damit sie auch für Nichtjuristen verständlich werden, fasst kostenlose-urteile.de alle Entscheidungen auf die wesentlichen Kernaussagen zusammen. Wenn Sie den vollständigen Urteilstext benötigen, können Sie diesen beim jeweiligen Gericht anfordern.

Wenn Sie einen Link auf diese Entscheidung setzen möchten, empfehlen wir Ihnen folgende Adresse zu verwenden: https://urteile.news/BVerfG_1-BvR-277118_Unzulaessige-Verfassungsbeschwerde-zum-Umgang-der-Polizeibehoerden-mit-IT-Sicherheitsluecken~N30583

Bitte beachten Sie, dass im Gegensatz zum Verlinken für das Kopieren einzelner Inhalte eine explizite Genehmigung der ra-online GmbH erforderlich ist.

Dokument-Nr.: 30583 Dokument-Nr. 30583

recht-aktuell.de Alles, was Recht ist

kostenlose-urteile.de ist ein Service der ra-online GmbH


Die Redaktion von kostenlose-urteile.de gibt sich größte Mühe bei der Zusammenstellung interessanter Urteile und Meldungen. Dennoch kann keine Gewähr für Richtigkeit und Vollständigkeit der über uns verbreiteten Inhalte gegeben werden. Insbesondere kann kostenlose-urteile nicht die fachkundige Rechtsberatung in einem konkreten Fall ersetzen.

Bei technischen Problemen kontaktieren Sie uns bitte über dieses Formular.