Verfassungsbeschwerde gegen staatliche Nutzung von "Zero-Day-Schwachstellen" unzulässig
notebook_trojanisches pferd_CR_bht2000_adobe
© bht2000 / stock.adobe.com
notebook_trojanisches pferd_CR_bht2000_adobe

Das Bundesverfassungsgericht hat eine Verfassungsbeschwerde gegen die Nutzung von IT-Sicherheitslücken, die den Herstellern von Soft- und Hardware noch unbekannt sind ("Zero-Day-Schwachstellen"), durch die baden-württembergische Polizei für unzulässig erachtet. Den Staat treffe hier zwar eine konkrete grundrechtliche Schutzpflicht, er müsse zum Schutz der Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen. Die Möglichkeit einer Verletzung dieser Schutzpflicht sei aber nicht hinreichend dargelegt worden. Zudem sei der Subsidiaritätsgrundsatz nicht beachtet worden.

Regelung zur Quellen-TKÜ im baden-württembergischen Polizeigesetz 

§ 54 PolG Baden-Württemberg in der Fassung vom 06.10.2020 ermöglicht die heimliche Inhaltsüberwachung von Telekommunikation zu präventiv-polizeilichen Zwecken zum Schutz bestimmter gewichtiger Rechtsgüter ermöglicht. Nach dem hier von den Beschwerdeführenden angegriffenen § 54 Abs. 2 PolG BW darf die Überwachung im Wege eines Eingriffs in informationstechnische Systeme erfolgen, wenn durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird, und der Eingriff notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen. Die Durchführung einer solchen sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) nach § 54 Abs. 2 PolG BW setzt voraus, dass das Zielsystem mit einer Überwachungssoftware infiltriert wird. Dies kann auf unterschiedliche Weise geschehen. 

Verfassungsbeschwerde gegen Ausnutzung von Zero-Day-Schwachstellen

Die auf Initiative der Gesellschaft für Freiheitsrechte (GFF) unter anderem vom Chaos Computer Club Stuttgart erhobene Verfassungsbeschwerde bezieht sich allein auf die Infiltration durch Ausnutzung von Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems. Die Beschwerdeführenden machten im Kern geltend, dass das Land Baden-Württemberg mit der Einführung der Befugnis nach § 54 Abs. 2 PolG BW die grundrechtlich gewährleistete Vertraulichkeit und Integrität informationstechnischer Systeme verletzt habe, weil die Behörden danach kein Interesse hätten, die ihnen bekannten Schwachstellen an die Hersteller zu melden, da sie diese Sicherheitslücken für eine Infiltration informationstechnischer Systeme zur durch § 54 Abs. 2 PolG BW gestatteten Quellen-Telekommunikationsüberwachung nutzen könnten. Ohne eine Meldung an den Hersteller bestünden aber die IT-Sicherheitslücken und die damit verbundenen Gefahren, insbesondere eines Angriffs von dritter Seite auf informationstechnische Systeme, fort.

BVerfG: Staat trifft zwar konkrete Schutzpflicht

Das BVerfG hat die Verfassungsbeschwerde für unzulässig erachtet. Die Beschwerdeführenden hätten nicht hinreichend dargelegt, beschwerdebefugt zu sein. Zwar treffe den Staat in der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kenne, eine konkrete grundrechtliche Schutzpflicht. Er müsse zum Schutz der Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen. 

Betroffene können sich nicht selbst schützen

Die konkrete staatliche Schutzpflicht beruhe hier darauf, dass die Betroffenen sich selbst nicht schützen könnten, während die Behörde Kenntnis von der Sicherheitslücke habe, wie auch auf dem hohen Gefährdungs- und Schädigungspotential solcher IT-Sicherheitslücken. Zum einen sei die informationelle Selbstbestimmung bedroht, weil sich mit dem Zugang zu den Daten der Nutzerin oder des Nutzers weitgehende Kenntnisse über persönlichkeitsrelevante Informationen gewinnen lassen. Zum anderen hätten Sicherheitslücken ein über die Offenbarung persönlichkeitsrelevanter Informationen weit hinausgehendes Schädigungspotenzial, weil Dritte, die über Sicherheitslücken in das informationstechnische System eindringen und dieses manipulieren, Abläufe unterschiedlichster Art - etwa im betrieblichen Bereich und im Handel - zum Schaden der Betroffenen stören könnten.

Gesetzgeber muss Umgang der Polizeibehörden mit IT-Sicherheitslücken regeln

Die Schutzpflicht schließe hier eine Verpflichtung des Gesetzgebers ein, den Umgang der Polizeibehörden mit solchen IT-Sicherheitslücken zu regeln, so das BVerfG weiter. Die Quellen-TKÜ durch Nutzung unerkannter Sicherheitslücken sei zwar für sich genommen nicht von vornherein verfassungsrechtlich unzulässig, wenn auch wegen der Gefahren für die Sicherheit informationstechnischer Systeme erhöhte Rechtfertigungsanforderungen gelten. Es bestehe auch kein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden. Die grundrechtliche Schutzpflicht verlange jedoch eine Regelung darüber, wie die Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen habe.

Spezifischer Darlegungslast aber nicht genügt

Laut BVerfG haben die Beschwerdeführenden aber nicht hinreichend dargelegt, dass diese grundrechtliche Schutzpflicht verletzt sein könnte. Die Aufstellung und normative Umsetzung eines Schutzkonzepts sei Sache des Gesetzgebers, dem grundsätzlich ein Einschätzungs-, Wertungs- und Gestaltungsspielraum zukomme. Für die Geltendmachung einer gesetzgeberischen Schutzpflichtverletzung gebe es daher spezifische Darlegungslasten. Eine solche Verfassungsbeschwerde müsse den gesetzlichen Regelungszusammenhang insgesamt erfassen. Dazu gehöre, dass die einschlägigen Regelungen des beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet werde, warum diese verfassungsrechtlich unzureichend schützen. Diesen Darlegungsanforderungen habe die Verfassungsbeschwerde hier nicht genügt, weil die Beschwerdeführenden die unterschiedlichen gesetzlichen Regelungen zum Schutz informationstechnischer Systeme, denen im vorliegenden Kontext Bedeutung zukommen könnte, weder in ihren Grundzügen dargestellt noch ausgeführt haben, aus welchen konkreten Gründen die Regelungen auch in ihrer Zusammenschau erheblich hinter dem Schutzziel zurückbleiben.

Verstoß gegen Subsidiaritätsprinzip

Laut BVerfG genügt die Verfassungsbeschwerde zudem nicht den Anforderungen der Subsidiarität im weiteren Sinne. Denn zunächst müssten erst einmal sämtliche prozessualen Möglichkeiten genutzt werden, die der Grundrechtsverletzung abhelfen können. Im hier zu entscheidenden Fall stellten sich umfangreiche Fragen zur Auslegung des einfachen Rechts. Ob die Behörden bereits nach bestehendem Recht eine der grundrechtlichen Schutzpflicht genügende Abwägung vornehmen müssten, bevor sie entscheiden, eine ihnen bekannt gewordene Zero-Day-Schwachstelle nicht dem Hersteller zu melden, hänge von der Auslegung verschiedener Bestimmungen des Polizei-, des Datenschutz-, des Cybersicherheits- und des IT-Sicherheitsrechts ab.

Feststellungs- oder vorbeugende Unterlassungsklage vor Verwaltungsgerichten zumutbar

Das BVerfG wies darauf hin, dass es sich bei den genannten Vorschriften überwiegend um jüngeres Fachrecht handele, dessen Bedeutung bislang weder durch Gerichtsentscheidungen oder andere Rechtsanwendungsakte noch durch die Fachliteratur näher erschlossen sei. Die danach erforderliche Beschreitung des fachgerichtlichen Rechtswegs durch Erhebung einer verwaltungsgerichtlichen Feststellungs- oder vorbeugenden Unterlassungsklage sei den Beschwerdeführenden hier auch zumutbar, so das BVerfG.

BVerfG, Beschluss vom 08.06.2021 - 1 BvR 2771/18

Redaktion beck-aktuell, 21. Juli 2021.