L e i t s ä t z e

zum Urteil des [X.] vom 27. Februar 2008

- 1 BvR 370/07 -

- 1 BvR 595/07 -

1. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 [X.][X.]) umfasst das [X.]rundrecht auf [X.]ewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
2. Die heimliche Infiltration eines informationstechnischen [X.], mittels derer die Nutzung des [X.] überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten [X.]efahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche [X.]üter der Allgemeinheit, deren Bedrohung die [X.]rundlagen oder den Bestand des Staates oder die [X.]rundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die [X.]efahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende [X.]efahr für das überragend wichtige Rechtsgut hinweisen.
3. Die heimliche Infiltration eines informationstechnischen [X.] ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das [X.]esetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.
4. Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff an Art. 10 Abs. 1 [X.][X.] zu messen.
5. Verschafft der Staat sich Kenntnis von Inhalten der [X.]kommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 Abs. 1 [X.][X.], wenn die staatliche Stelle nicht durch [X.] zur Kenntnisnahme autorisiert ist.
   Nimmt der Staat im [X.] öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in [X.]rundrechte ein.

Im Namen des Volkes

In dem Verfahren
über
die [X.]

- 1 BvR 370/07 -,

- 1 BvR 595/07 -

hat das [X.] - Erster [X.] – unter Mitwirkung der [X.]in und [X.]

Präsident Papier,
Hohmann-Dennhardt,
Hoffmann-Riem,
Bryde,
[X.]aier,
Eichberger,
Schluckebier,
Kirchhof,

aufgrund der mündlichen Verhandlung vom 10. Oktober 2007 durch

Urteil

für Recht erkannt:

1. § 5 Absatz 2 Nummer 11 des [X.]esetzes über den [X.] in [X.] in der Fassung des [X.] ([X.]esetz- und Verordnungsblatt für das Land [X.], Seite 620) ist mit Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1, Artikel 10 Absatz 1 und Artikel 19 Absatz 1 Satz 2 des [X.]rundgesetzes unvereinbar und nichtig.
2. Damit erledigen sich die von den Beschwerdeführern gegen § 5 Absatz 3 und § 17 des [X.]esetzes über den [X.] in [X.] erhobenen Rügen.
3. [X.] des Beschwerdeführers zu 1b wird zurückgewiesen, soweit sie gegen § 5a Absatz 1 des [X.]esetzes über den [X.] in [X.] gerichtet ist.
4. Im Übrigen werden die [X.]verworfen.
5. Das Land [X.] hat den Beschwerdeführern drei Viertel ihrer notwendigen Auslagen zu erstatten.

[X.]ründe:

A.

[X.]egenstand der [X.] sind Vorschriften des [X.]gesetzes [X.] (im Folgenden: [X.]), die zum einen Befugnisse der [X.]behörde zu verschiedenen Datenerhebungen insbesondere aus informationstechnischen Systemen, zum anderen den Umgang mit den erhobenen Daten regeln.

I.

Die angegriffenen Vorschriften wurden überwiegend durch das [X.]esetz zur Änderung des [X.]esetzes über den [X.] in [X.] vom 20. Dezember 2006 ([X.]VBl NW, S. 620) eingefügt oder geändert.

1. Beide [X.] rügen die Verfassungswidrigkeit von § 5 Abs. 2 Nr. 11 [X.]. Diese Vorschrift ermächtigt die [X.]behörde zu zwei Arten von Ermittlungsmaßnahmen: zum einen zum heimlichen Beobachten und sonstigen Aufklären des [X.] (Alt. 1), zum anderen zum heimlichen Zugriff auf informationstechnische Systeme (Alt. 2).

a) Das [X.] ist ein elektronischer Verbund von [X.]. Es besteht damit aus informationstechnischen Systemen und kann zudem auch selbst als informationstechnisches System angesehen werden. Der Unterschied der beiden in § 5 Abs. 2 Nr. 11 [X.] geregelten Maßnahmetypen ist am äußeren Erscheinungsbild des technischen Zugriffs auf das informationstechnische System ausgerichtet. Unter dem heimlichen Aufklären des [X.] ist eine Maßnahme zu verstehen, mit der die [X.]behörde Inhalte der [X.]kommunikation auf dem dafür technisch vorgesehenen Weg zur Kenntnis nimmt. Die nordrhein-westfälische [X.]regierung spricht bei solchen Maßnahmen von einer serverorientierten [X.]aufklärung.

Unter einem heimlichen Zugriff auf ein informationstechnisches System ist demgegenüber eine technische Infiltration zu verstehen, die etwa Sicherheitslücken des Zielsystems ausnutzt oder über die Installation eines Spähprogramms erfolgt. Die Infiltration des Zielsystems ermöglicht es, dessen Nutzung zu überwachen oder die Speichermedien durchzusehen oder gar das Zielsystem fernzusteuern. Die nordrhein-westfälische [X.]regierung spricht bei solchen Maßnahmen von einer clientorientierten Aufklärung des [X.]. Allerdings enthält die angegriffene Vorschrift keinen Hinweis darauf, dass sie ausschließlich Maßnahmen im Rahmen einer am [X.]orientierten Netzwerkstruktur ermöglichen soll.

b) Soweit § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] zum heimlichen Aufklären des [X.] ermächtigt, regelt die Norm zunächst die Kenntnisnahme allgemein zugänglicher Kommunikationsinhalte durch die [X.]behörde. Beispiel wäre der Aufruf einer nicht zugangsgesicherten Webseite im [X.] mittels eines Web-Browsers. Nach der [X.]esetzesbegründung soll die [X.]behörde daneben in die Lage versetzt werden, unter einer Legende an Chats, Auktionen oder Tauschbörsen teilzunehmen oder verborgene Webseiten aufzufinden (vgl. [X.] 14/2211, [X.]). Denkbar wäre zudem etwa, dass die [X.]behörde ein anderweitig - beispielsweise von einem Informanten oder durch sogenanntes Keylogging - ermitteltes Passwort einsetzt, um auf ein E-Mail-Postfach oder auf eine zugangsgeschützte Webseite zuzugreifen. Auch in einem derartigen Fall würde die [X.]behörde Inhalte der [X.]kommunikation äußerlich auf dem dafür vorgesehenen Weg zur Kenntnis nehmen.

c) Der in § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] geregelte heimliche Zugriff auf informationstechnische Systeme mittels technischer Infiltration wird in jüngerer Zeit in Politik und Rechtswissenschaft unter dem Schlagwort „[X.]/Online-Überwachung“ intensiv diskutiert (vgl. zur juristischen Auseinandersetzung etwa [X.], [X.] 2007, [X.]; [X.], NStZ 2005, S. 121; [X.], [X.], S. 575; [X.], [X.], S. 285; Schaar/Landwehr, K&R 2007, S. 202; [X.], [X.], [X.]; [X.], Jura 2007, S. 581). Vereinzelt wurden derartige Maßnahmen durch [X.]behörden bereits ohne besondere gesetzliche Ermächtigung durchgeführt. Über die Art der praktischen Durchführung der bisherigen „[X.]en“ und deren Erfolge ist wenig bekannt. Die von dem [X.] im Rahmen der mündlichen Verhandlung angehörten Präsidenten des [X.] und des [X.]amts für [X.] haben mangels einer entsprechenden Aussagegenehmigung keine Ausführungen dazu gemacht. Die Durchführung solcher Maßnahmen wurde im Übrigen einstweilen eingestellt, als der [X.] entschied, dass die Strafprozessordnung für derartige Maßnahmen derzeit keine Rechtsgrundlage enthält (vgl. [X.], 211).

aa) Die hier zu prüfende [X.]norm enthält die erste und bislang einzige ausdrückliche Ermächtigung einer [X.] Behörde zu „[X.]en“. Auf [X.]ebene ist derzeit umstritten, welche Behörden unter welchen Voraussetzungen zu „[X.]en“ ermächtigt werden sollen. Insbesondere wird gegenwärtig diskutiert, eine derartige Ermächtigung für das [X.] im Zuge seiner - im Rahmen der sogenannten Föderalismusreform neu in das [X.]rundgesetz aufgenommenen - Aufgabe zur Abwehr von [X.]efahren des internationalen Terrorismus (Art. 73 Nr. 9a [X.][X.]) zu schaffen.

[X.]) „[X.]en“ sollen den Ermittlungsschwierigkeiten Rechnung tragen, die sich ergeben, wenn Straftäter, insbesondere solche aus extremistischen und terroristischen Kreisen, zur Kommunikation sowie zur Planung und Durchführung von Straftaten informationstechnische Mittel und insbesondere das [X.] nutzen. Die Präsidenten des [X.] und des [X.]amts für [X.] haben in der mündlichen Verhandlung dargelegt, dass informationstechnische Systeme auch genutzt werden, um weltumspannend Kontakte zur Vorbereitung terroristischer [X.]ewalttaten aufzubauen und zu pflegen. Insbesondere wenn Personen, die extremistischen oder terroristischen Kreisen zuzurechnen sind, gespeicherte Dateien und Kommunikationsinhalte verschlüsseln oder verstecken, könnten Ermittlungen mit den klassischen Methoden wie etwa einer Beschlagnahme von informationstechnischen Systemen und Speichermedien oder einer netzbasierten Telekommunikationsüberwachung erheblich erschwert oder sogar ganz unmöglich gemacht werden.

[X.] auf ein informationstechnisches System kann mit erheblichen Schwierigkeiten verbunden sein (vgl. zum Folgenden etwa [X.], [X.] 2007, [X.]; [X.]/[X.], [X.], S. 225; [X.], [X.], [X.]). Dies ist insbesondere der Fall, wenn der Nutzer des Zielsystems technische Sicherheitsvorkehrungen getroffen hat und sein Betriebssystem regelmäßig aktualisiert. Nach Auffassung der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann der Betroffene eine Infiltration jedenfalls auf einigen der in Betracht kommenden [X.]derzeit wirkungsvoll verhindern. Zumindest kann eine solche Infiltration je nach Lage des Einzelfalls mit erheblichem Zeitaufwand verbunden sein.

[X.]elingt die Infiltration, so bietet sie der Ermittlungsbehörde gegenüber herkömmlichen Ermittlungsmethoden mehrere Vorteile. Wegen der Heimlichkeit des Zugriffs ist der Betroffene, anders als etwa bei einer offen durchgeführten Wohnungsdurchsuchung, nicht für die Zukunft vorgewarnt. Soweit der Nutzer eines Rechners Daten nur in verschlüsselter Form ablegt, können solche Daten im Rahmen einer „[X.]“ gegebenenfalls in unverschlüsselter Form erhoben werden. Denn durch die Infiltration des Rechners kann die Behörde in der Weise auf die Daten zugreifen wie der Nutzer sie im fraglichen Zeitpunkt verwendet. Der Vorteil der Umgehung von Verschlüsselungstechnik ist auch bedeutsam für eine Überwachung der laufenden [X.]kommunikation. Soweit solche Kommunikation verschlüsselt abläuft - dies ist insbesondere bei der Sprachtelefonie oftmals der Fall -, kann sie nur am Endgerät wirkungsvoll überwacht werden. Durch eine länger andauernde Überwachung der Nutzung des Rechners können eingesetzte Verschlüsselungstechnologien und andere Sicherheitsvorkehrungen weitgehend umgangen werden. Zudem können auch flüchtige Daten wie etwa Passwörter und weitere Informationen über das Nutzungsverhalten des Betroffenen erhoben werden. Solche Erkenntnisse ließen sich mittels klassischer Ermittlungsmethoden kaum gewinnen.

d) § 5 Abs. 2 Nr. 11 [X.] ermächtigt die [X.]behörde zu den geregelten Maßnahmen grundsätzlich unter den allgemeinen Voraussetzungen für nachrichtendienstliche Datenerhebungen, die sich aus § 5 Abs. 2 in Verbindung mit § 7 Abs. 1 und § 3 Abs. 1 [X.] ergeben. Danach ist grundsätzlich erforderlich, dass auf diese Weise Erkenntnisse über verfassungsschutzrelevante Bestrebungen oder Tätigkeiten oder die zur Erlangung solcher Erkenntnisse erforderlichen Quellen gewonnen werden können. Soweit Maßnahmen nach der angegriffenen Norm einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen beziehungsweise in Art und Schwere diesem gleichkommen, sind sie jedoch gemäß § 5 Abs. 2 Nr. 11 Satz 2 [X.] nur unter den Voraussetzungen des [X.]esetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-[X.]esetz - [X.] 10; im Folgenden: [X.]esetz zu Art. 10 [X.]rundgesetz) zulässig.

e) Nur die Beschwerdeführer zu 2 wenden sich im Zusammenhang mit Maßnahmen nach § 5 Abs. 2 Nr. 11 [X.] auch gegen § 17 [X.], der die Übermittlung personenbezogener Daten durch die [X.]behörde regelt.

2. Beide [X.] richten sich weiter gegen § 5 Abs. 3 [X.]. Diese Vorschrift hat die Benachrichtigung des Betroffenen nach einem Einsatz der in § 5 Abs. 2 [X.] geregelten nachrichtendienstlichen Mittel zum [X.]egenstand. Sie enthält in Satz 1 eine grundsätzliche Pflicht zur Benachrichtigung, von der Satz 2 mehrere Ausnahmen vorsieht.

3. Nur die Beschwerdeführer zu 1 wenden sich gegen § 5a Abs. 1 [X.]. Diese Vorschrift ermächtigt die [X.]behörde dazu, bei Kreditinstituten Auskünfte über Beteiligte am Zahlungsverkehr und über [X.]eldbewegungen und [X.]eldanlagen einzuholen. Voraussetzung ist, dass tatsächliche Anhaltspunkte für schwerwiegende [X.]efahren für die Schutzgüter des [X.]es bestehen.

Eine Ermächtigung zur Erhebung von [X.] enthielt das [X.]gesetz bereits vor dem Änderungsgesetz vom 20. Dezember 2006. [X.]angegriffenen Fassung der Vorschrift ist, dass [X.]auch erhoben werden dürfen, um Erkenntnisse über Bestrebungen im Sinne des § 3 Abs. 1 Nr. 1 [X.] zu erlangen, nämlich solche, die allgemein gegen die freiheitliche demokratische [X.]rundordnung, den Bestand oder die Sicherheit des [X.] oder eines [X.] gerichtet sind. Nach der [X.]esetzesbegründung soll hiermit ermöglicht werden, die Finanzierungsströme inländischer terroristischer Netzwerke, sogenannter „[X.]“, aufzudecken (vgl. [X.] 14/2211, [X.]).

4. Ebenfalls nur die Beschwerdeführer zu 1 rügen die Verfassungswidrigkeit von § 13 [X.]. Diese Norm ermächtigt die [X.]behörde, ihre Erkenntnisse in gemeinsamen Dateien mit anderen Sicherheitsbehörden zu verarbeiten. Wegen Anlass, Umfang und weiteren Anforderungen an die Dateiführung verweist die Norm auf sonstiges [X.]- oder [X.]recht. Dieses sonstige Recht haben die Beschwerdeführer zu 1 allerdings nicht zum [X.]egenstand ihrer Verfassungsbeschwerde gemacht.

5. Ausschließlich die Beschwerdeführer zu 2 wenden sich gegen § 7 Abs. 2 [X.]. Diese Vorschrift ermächtigt die [X.]behörde zur akustischen und optischen Überwachung von Wohnungen. Sie stammt aus dem [X.] und wurde im Rahmen der Novellierung des [X.]gesetzes nicht verändert. Eine Überarbeitung oder Streichung der Norm wurde zwar erwogen, letztlich aber zurückgestellt (vgl. [X.] 14/2211, [X.]).

6. Schließlich greifen wiederum nur die Beschwerdeführer zu 2 die in § 8 Abs. 4 Satz 2 in Verbindung mit §§ 10, 11 [X.] enthaltenen Regelungen über die Führung sogenannter elektronischer [X.] an. Diese Vorschriften sehen in ihrer Zusammenschau vor, dass personenbezogene Daten, die in solchen [X.] enthalten sind, auch dann gespeichert bleiben dürfen, wenn an der betroffenen Person selbst kein Ermittlungsinteresse der [X.]behörde mehr besteht. Damit soll die für eine elektronische Dokumentenverwaltung erforderliche Vollständigkeit der elektronisch geführten Sachakte gesichert werden. Die Belange des Datenschutzes werden dadurch berücksichtigt, dass die betroffenen personenbezogenen Daten nicht mehr recherchierbar sein und auch nicht uneingeschränkt verwendet werden dürfen.

7. Das [X.]gesetz lautet im Zusammenhang auszugsweise, soweit für die vorliegenden Verfahren von Interesse:

§ 3
Aufgaben

(1) Aufgabe der [X.]behörde ist die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen über

1. Bestrebungen, die gegen die freiheitliche demokratische [X.]rundordnung, den Bestand oder die Sicherheit des [X.] oder eines [X.] gerichtet sind oder eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane des [X.] oder eines [X.] oder ihrer Mitglieder zum Ziel haben,

2. sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht,

3. Bestrebungen, die durch Anwendung von [X.]ewalt oder darauf gerichtete Vorbereitungshandlungen auswärtige Belange der [X.]republik Deutschland gefährden,

4. Bestrebungen und Tätigkeiten, die gegen den [X.]edanken der Völkerverständigung (Artikel 9 Abs. 2 des [X.]rundgesetzes) oder das friedliche Zusammenleben der Völker (Artikel 26 des [X.]rundgesetzes) gerichtet sind,

im [X.]eltungsbereich des [X.]rundgesetzes, soweit tatsächliche Anhaltspunkte für den Verdacht solcher Bestrebungen und Tätigkeiten vorliegen.

...

§ 5
Befugnisse

(1) ...

(2) Die [X.]behörde darf nach Maßgabe des § 7 zur Informationsbeschaffung als nachrichtendienstliche Mittel die folgenden Maßnahmen anwenden:

...

11. heimliches Beobachten und sonstiges Aufklären des [X.]s, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des [X.]esetzes zu Artikel 10 [X.]rundgesetz zulässig;

...

(3) Mit nachrichtendienstlichen Mitteln gewonnene personenbezogene Daten sind zu kennzeichnen und den Personen, zu denen diese Informationen erfasst wurden, nach Beendigung der Maßnahme mitzuteilen. Einer Mitteilung bedarf es nicht, wenn

1. eine [X.]efährdung der Aufgabenerfüllung durch die Benachrichtigung zu besorgen ist,

2. durch die Auskunftserteilung Quellen gefährdet sein können oder die Offenlegung des Erkenntnisstandes oder der Arbeitsweise der [X.]behörde zu befürchten ist,

3. die Benachrichtigung die öffentliche Sicherheit gefährden oder sonst dem Wohl des [X.] oder eines [X.] Nachteile bereiten würde oder

4. die Daten oder die Tatsache der Verarbeitung nach einer Rechtsvorschrift oder wegen der überwiegenden berechtigten Interessen eines [X.] geheimgehalten werden müssen,

5. eine der unter 1-4 genannten Voraussetzungen auch nach fünf Jahren nach Beendigung der Maßnahme noch vorliegt und mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft vorliegen wird.

...

§ 5a
Besondere Befugnisse

(1) Die [X.]behörde darf im Einzelfall bei Kreditinstituten, Finanzdienstleistungsinstituten und Finanzunternehmen unentgeltlich Auskünfte über Beteiligte am Zahlungsverkehr und über [X.]eldbewegungen und [X.]eldanlagen einholen, wenn dies zur Erfüllung ihrer Aufgaben nach § 3 Abs. 1 erforderlich ist und tatsächliche Anhaltspunkte für schwerwiegende [X.]efahren für die in § 3 Abs. 1 genannten Schutzgüter vorliegen.

(2) ...

(3) Auskünfte nach den Absätzen 1 bis 2 dürfen nur auf Antrag eingeholt werden. Der Antrag ist durch den Leiter der [X.]abteilung oder seinen Vertreter schriftlich zu stellen und zu begründen. Über den Antrag entscheidet der Innenminister. Die [X.] 10-[X.] (§ 3 Abs. 1 Satz 1 des [X.]esetzes über die Ausführung des [X.]esetzes zu Artikel 10 [X.]rundgesetz (A[X.] [X.] 10 [X.])) ist unverzüglich über die beschiedenen Anträge vor deren Vollzug zu unterrichten. Bei [X.]efahr im Verzuge kann der Innenminister den Vollzug der Entscheidung auch bereits vor der Unterrichtung der [X.] anordnen. Die [X.] 10-[X.] prüft von Amts wegen oder auf [X.]rund von Beschwerden die Zulässigkeit und Notwendigkeit der Einholung von Auskünften. § 3 Abs. 5 A[X.] [X.] 10 [X.] ist mit der Maßgabe entsprechend anzuwenden, dass die Kontrollbefugnis der [X.] sich auf die gesamte Erhebung, Verarbeitung und Nutzung der nach den Absätzen 1 bis 2 erlangten personenbezogenen Daten erstreckt. Entscheidungen über Auskünfte, die die [X.] 10-[X.] für unzulässig oder nicht notwendig erklärt, hat der Innenminister unverzüglich aufzuheben. Für die Verarbeitung der nach den Absätzen 1 bis 2 erhobenen Daten ist § 4 A[X.] [X.] 10 [X.] entsprechend anzuwenden. Das Auskunftsersuchen und die übermittelten Daten dürfen dem Betroffenen oder [X.] vom Auskunftsgeber nicht mitgeteilt werden. § 5 A[X.] [X.] 10 [X.] findet entsprechende Anwendung.

...

§ 7
Besondere Formen der Datenerhebung

(1) Die [X.]behörde darf zur Erfüllung ihrer Aufgaben Informationen, insbesondere personenbezogene Daten, durch Befragung von nichtöffentlichen Stellen und mit den Mitteln gemäß § 5 Abs. 2 erheben, wenn Tatsachen die Annahme rechtfertigen, dass

1. auf diese Weise Erkenntnisse über Bestrebungen oder Tätigkeiten nach § 3 Abs. 1 oder die zur Erlangung solcher Erkenntnisse erforderlichen Quellen gewonnen werden können oder

2. dies zum Schutz der Mitarbeiter, Einrichtungen, [X.]egenstände und Quellen der [X.]behörde gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten erforderlich ist.

(2) Zur Abwehr dringender [X.]efahren für die öffentliche Sicherheit, insbesondere einer gemeinen [X.]efahr oder einer Lebensgefahr (Artikel 13 Abs. 4 des [X.]rundgesetzes) darf das in einer Wohnung nicht öffentlich gesprochene Wort mit technischen Mitteln heimlich mitgehört oder aufgezeichnet werden. Satz 1 gilt entsprechend für einen verdeckten Einsatz technischer Mittel zur Anfertigung von Bildaufnahmen und Bildaufzeichnungen. Maßnahmen nach den Sätzen 1 und 2 werden durch den Leiter der [X.]abteilung oder seinen Vertreter angeordnet, wenn eine richterliche Entscheidung nicht rechtzeitig herbeigeführt werden kann. Die richterliche Entscheidung ist unverzüglich nachzuholen. Zuständig ist das Amtsgericht, in dessen Bezirk die [X.]behörde ihren Sitz hat. Für das Verfahren gelten die Vorschriften des [X.]esetzes über die Angelegenheiten der freiwilligen [X.]erichtsbarkeit entsprechend. Die erhobenen Informationen dürfen nur nach Maßgabe des § 4 Abs. 4 A[X.] [X.] 10 [X.] verwendet werden. Technische Mittel im Sinne der Sätze 1 und 2 dürfen überdies zum Schutz der bei einem Einsatz in Wohnungen tätigen Personen verwendet werden, soweit dies zur Abwehr von [X.]efahren für deren Leben, [X.]esundheit oder Freiheit unerlässlich ist (Artikel 13 Abs. 5 des [X.]rundgesetzes). Maßnahmen nach Satz 8 werden durch den Leiter der [X.]abteilung oder seinen Vertreter angeordnet. Außer zu dem Zweck nach Satz 8 darf die [X.]behörde die hierbei erhobenen Daten nur zur [X.]efahrenabwehr im Rahmen ihrer Aufgaben nach § 3 Abs. 1 Nr. 2 bis 4 sowie für Übermittlungen nach Maßgabe des § 4 Abs. 4 Nr. 1 und 2 A[X.] [X.] 10 [X.] verwenden. Die Verwendung ist nur zulässig, wenn zuvor die Rechtmäßigkeit der Maßnahme richterlich festgestellt ist; bei [X.]efahr im Verzuge ist die richterliche Entscheidung unverzüglich nachzuholen. § 4 Abs. 6 A[X.] [X.] 10 [X.] gilt entsprechend. Das [X.]rundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des [X.]rundgesetzes) wird insoweit eingeschränkt.

...

§ 8
Verarbeitung personenbezogener Daten

(1) Die [X.]behörde darf zur Erfüllung ihrer Aufgaben personenbezogene Daten in schriftlichen oder elektronischen Akten und in zur Person geführten Dateien verarbeiten, wenn

tatsächliche Anhaltspunkte für den Verdacht von Bestrebungen und Tätigkeiten nach § 3 Abs. 1 vorliegen,

dies für die Erforschung und Bewertung von Bestrebungen oder Tätigkeiten nach § 3 Abs. 1 erforderlich ist oder

dies für die Erfüllung ihrer Aufgaben nach § 3 Abs. 2 erforderlich ist.

...

(4) Der Zugriff auf personenbezogene Daten in elektronischen [X.] ist zu protokollieren. In elektronischen [X.] gespeicherte personenbezogene Daten dürfen nach Löschung der zur Person geführten Dateien nicht für Aufgaben nach § 3 Abs. 2 verwandt oder an andere Behörden übermittelt werden. Solche Daten dürfen nicht elektronisch recherchierbar sein.

...

§ 10
Berichtigung, Löschung und Sperrung
personenbezogener Daten in zur Person
geführten Dateien

(1) Die [X.]behörde hat die in Dateien gespeicherten personenbezogenen Daten zu berichtigen, wenn sie unrichtig sind. ...

(2) Die [X.]behörde hat die in Dateien gespeicherten personenbezogenen Daten zu löschen, wenn ihre Speicherung unzulässig war oder ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist. ...

...

§ 11
Berichtigung und Sperrung
personenbezogener Daten in schriftlichen oder elektronischen Akten, Aktenvernichtung

(1) Stellt die [X.]behörde fest, dass in schriftlichen oder elektronischen Akten gespeicherte personenbezogene Daten unrichtig sind, sind sie zu berichtigen. ...

(2) Die [X.]behörde hat personenbezogene Daten in schriftlichen oder elektronischen Akten zu sperren, wenn sie im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden und die Daten für ihre künftige Aufgabenerfüllung nicht mehr erforderlich sind. ...

(3) Die [X.]behörde hat zur Person geführte Akten zu vernichten, wenn diese zu ihrer Aufgabenerfüllung nicht mehr erforderlich sind und der Vernichtung schutzwürdige Belange der betroffenen Person nicht entgegenstehen. ...

...

§ 13
[X.]emeinsame Dateien

Die [X.]behörde ist befugt, personenbezogene Daten in gemeinsamen Dateien mit den [X.]behörden des [X.] und der Länder und anderen Sicherheitsbehörden zu verarbeiten, wenn besondere bundesrechtliche oder landesrechtliche Vorschriften Anlass, Umfang und sonstige datenschutzrechtliche Anforderungen regeln.

§ 14
Auskunft

(1) Die [X.]behörde erteilt auf schriftlichen Antrag der antragstellenden Person gebührenfrei Auskunft über die zu ihrer Person gespeicherten Daten, den Zweck und die Rechtsgrundlage der Speicherung. Ein Recht auf Akteneinsicht besteht nicht.

...

§ 17
Übermittlung personenbezogener Daten durch die [X.]behörde

(1) Die [X.]behörde darf personenbezogene Daten an [X.]erichte und inländische Behörden übermitteln, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist oder der Empfänger zum Zwecke der Erfüllung seiner Aufgaben die Daten zum Schutz der freiheitlichen [X.] [X.]rundordnung oder sonst für Zwecke der öffentlichen Sicherheit benötigt. ...

(2) Die [X.]behörde darf personenbezogene Daten an Dienststellen der Stationierungsstreitkräfte übermitteln, soweit die [X.]republik Deutschland dazu im Rahmen von Artikel 3 des Zusatzabkommens zu dem Abkommen zwischen den Parteien des Nordatlantikvertrages über die Rechtsstellung ihrer Truppen hinsichtlich der in der [X.]republik Deutschland stationierten ausländischen Truppen vom 3. August 1959 (B[X.]Bl. II 1961 S. 1183, 1218) verpflichtet ist.

(3) Die [X.]behörde darf personenbezogene Daten an ausländische öffentliche Stellen sowie an über- und zwischenstaatliche Stellen übermitteln, wenn die Übermittlung zur Erfüllung ihrer Aufgaben oder zur Abwehr einer erheblichen [X.]efahr für den Empfänger erforderlich ist. ...

...

Das [X.]esetz zu Artikel 10 [X.]rundgesetz, auf das § 5 Abs. 2 Nr. 11 Satz 2 [X.] verweist, enthält für Telekommunikationsüberwachungen durch [X.]behörden unter anderem folgende Regelungen:

§ 1
[X.]egenstand des [X.]esetzes

(1) Es sind

1. die [X.]behörden des [X.] und der Länder ... zur Abwehr von drohenden [X.]efahren für die freiheitliche demokratische [X.]rundordnung oder den Bestand oder die Sicherheit des [X.] oder eines [X.] einschließlich der Sicherheit der in der [X.]republik Deutschland stationierten Truppen der nicht[X.] Vertragsstaaten des Nordatlantikvertrages,

2. ...

berechtigt, die Telekommunikation zu überwachen und aufzuzeichnen. ...

...

§ 3
Voraussetzungen

(1) Beschränkungen nach § 1 Abs. 1 Nr. 1 dürfen unter den dort bezeichneten Voraussetzungen angeordnet werden, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand

1. Straftaten des [X.] oder des Hochverrats (§§ 80 bis 83 des Strafgesetzbuches),

2. Straftaten der [X.]efährdung des [X.] Rechtsstaates (§§ 84 bis 86, 87 bis 89 des Strafgesetzbuches, § 20 Abs. 1 Nr. 1 bis 4 des Vereinsgesetzes),

3. Straftaten des [X.]verrats und der [X.]efährdung der äußeren Sicherheit (§§ 94 bis 96, 97a bis 100a des Strafgesetzbuches),

4. Straftaten gegen die [X.]verteidigung (§§ 109e bis 109g des Strafgesetzbuches),

5. Straftaten gegen die Sicherheit der in der [X.]republik Deutschland stationierten Truppen der nicht[X.] Vertragsstaaten des [X.](§§ 87, 89, 94 bis 96, 98 bis 100, 109e bis 109g des Strafgesetzbuches) in Verbindung mit Artikel 7 des Vierten Strafrechtsänderungsgesetzes vom 11. Juni 1957 (B[X.]Bl. I [X.]597) in der Fassung des [X.]esetzes vom 25. Juni 1968 (B[X.]Bl. I S. 741),

6. Straftaten nach

a) den §§ 129a bis 130 des Strafgesetzbuches sowie

b) den §§ 211, 212, 239a, 239b, 306 bis 306c, 308 Abs. 1 bis 3, § 315 Abs. 3, § 316b Abs. 3 und § 316c Abs. 1 und 3 des Strafgesetzbuches, soweit diese sich gegen die freiheitliche demokratische [X.]rundordnung, den Bestand oder die Sicherheit des [X.] oder eines [X.] richten, oder

7. Straftaten nach § 95 Abs. 1 Nr. 8 des Aufenthaltsgesetzes

plant, begeht oder begangen hat. [X.]leiches gilt, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Mitglied einer Vereinigung ist, deren Zwecke oder deren Tätigkeit darauf gerichtet sind, Straftaten zu begehen, die gegen die freiheitliche demokratische [X.]rundordnung, den Bestand oder die Sicherheit des [X.] oder eines [X.] gerichtet sind.

(2) Die Anordnung ist nur zulässig, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos oder wesentlich erschwert wäre. Sie darf sich nur gegen den Verdächtigen oder gegen Personen richten, von denen auf [X.]rund bestimmter Tatsachen anzunehmen ist, dass sie für den Verdächtigen bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder weitergeben oder dass der Verdächtige ihren [X.] benutzt. Maßnahmen, die sich auf Sendungen beziehen, sind nur hinsichtlich solcher Sendungen zulässig, bei denen Tatsachen die Annahme rechtfertigen, dass sie von dem, gegen den sich die Anordnung richtet, herrühren oder für ihn bestimmt sind. Abgeordnetenpost von Mitgliedern des Deutschen [X.]tages und der Parlamente der Länder darf nicht in eine Maßnahme einbezogen werden, die sich gegen einen [X.] richtet.

§ 4
Prüf-, Kennzeichnungs- und Löschungspflichten, Übermittlungen, Zweckbindung

(1) Die erhebende Stelle prüft unverzüglich und sodann in Abständen von höchstens sechs Monaten, ob die erhobenen personenbezogenen Daten im Rahmen ihrer Aufgaben allein oder zusammen mit bereits vorliegenden Daten für die in § 1 Abs. 1 Nr. 1 bestimmten Zwecke erforderlich sind. Soweit die Daten für diese Zwecke nicht erforderlich sind und nicht für eine Übermittlung an andere Stellen benötigt werden, sind sie unverzüglich unter Aufsicht eines Bediensteten, der die Befähigung zum [X.]amt hat, zu löschen. ...

...

§ 9
Antrag

(1) Beschränkungsmaßnahmen nach diesem [X.]esetz dürfen nur auf Antrag angeordnet werden.

...

§ 10
Anordnung

(1) Zuständig für die Anordnung von Beschränkungsmaßnahmen ist bei Anträgen der [X.]behörden der Länder die zuständige oberste [X.]behörde, im Übrigen ein vom [X.]kanzler beauftragtes [X.]ministerium.

...

Die in § 5a Abs. 3 [X.] in Bezug genommenen §§ 4 und 5 des nordrhein-westfälischen [X.]esetzes über die Ausführung des [X.]esetzes zu Artikel 10 [X.]rundgesetz (im Folgenden: A[X.] [X.] 10 [X.]) lauten auszugsweise:

§ 4
Prüf-, Kennzeichnungs- und Löschungspflichten, Übermittlungen, Zweckbindung

(1) Die erhebende Stelle prüft unverzüglich und sodann in Abständen von höchstens sechs Monaten, ob die erhobenen personenbezogenen Daten im Rahmen ihrer Aufgaben allein oder zusammen mit bereits vorliegenden Daten für die in § 1 Abs. 1 Nr. 1 des Artikel 10-[X.]esetzes bestimmten Zwecke erforderlich sind. Soweit die Daten für diese Zwecke nicht erforderlich sind und nicht für eine Übermittlung an andere Stellen benötigt werden, sind sie unverzüglich unter Aufsicht eines Bediensteten, der die Befähigung zum [X.]amt hat, zu löschen. ...

...

§ 5
Kontrolle der Mitteilung
an Betroffene durch die [X.] 10-[X.]

(1) Beschränkungsmaßnahmen sind Betroffenen durch das Innenministerium nach ihrer Einstellung mitzuteilen, wenn eine [X.]efährdung des Zwecks der Beschränkung ausgeschlossen werden kann. ...

...

II.

1. Die Beschwerdeführerin zu 1a ist Journalistin und schreibt vor allem für eine Online-Publikation. Im Rahmen ihrer beruflichen Tätigkeit besucht sie auch [X.]-Präsenzen, die von verfassungsfeindlichen Personen und Organisationen betrieben werden. Sie engagiert sich darüber hinaus in datenschutzrechtlichen Angelegenheiten und betreibt zusammen mit anderen die Homepage www.stop1984.com. Im Zusammenhang mit dieser Homepage besteht die Möglichkeit, an sogenannten Chats teilzunehmen. Diese Möglichkeit wird auch von Rechtsextremisten genutzt. Informationen über diese Personen speichert die Beschwerdeführerin zu 1a auf der Festplatte ihres privat wie beruflich genutzten Computers.

Der Beschwerdeführer zu 1b ist aktives Mitglied des [X.]verbandes [X.] der [X.], die vom nordrhein-westfälischen [X.] beobachtet wird. Für seine politische Tätigkeit nutzt er auch seinen an das [X.] angeschlossenen Computer. Wie die Beschwerdeführerin zu 1a greift er daneben auf das [X.] zur privaten Kommunikation sowie zur Abwicklung von Zahlungsvorgängen über sein [X.]irokonto zu.

Die Beschwerdeführer zu 2a und 2b sind [X.]einer Rechtsanwaltskanzlei. Der Beschwerdeführer zu 2a betreut als Rechtsanwalt unter anderem Asylbewerber. Unter ihnen befand sich ein führendes Mitglied der kurdischen Arbeiterpartei [X.], die unter der Beobachtung der nordrhein-westfälischen [X.]behörde steht. Er nutzt sowohl in seiner Wohnung als auch in den Kanzleiräumen Computernetzwerke, die mit dem [X.] verbunden sind. Das Kanzleinetzwerk wird auch von dem Beschwerdeführer zu 2b sowie von dem Beschwerdeführer zu 2c, der in der Kanzlei als freier Mitarbeiter beschäftigt ist, genutzt.

2. Soweit die [X.] sich gegen § 5 Abs. 2 Nr. 11 [X.] richten, rügen die Beschwerdeführer eine Verletzung von Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1, Art. 10 Abs. 1 und Art. 13 Abs. 1 [X.][X.].

Soweit die Norm eine Teilnahme an Kommunikationseinrichtungen des [X.] vorsehe, regle sie einen Eingriff in das Fernmeldegeheimnis. In dem von der Norm weiter vorgesehenen heimlichen Zugriff auf informationstechnische Systeme liege ein Eingriff in Art. 13 [X.][X.], wenn der Zugriffsrechner sich in einer Wohnung befinde. Maßgeblich sei insoweit, dass persönliche Verhaltensweisen gerade durch ihre Verwirklichung in der räumlich abgeschotteten Wohnung einen besonderen Schutz genössen. Daneben könnten derartige Maßnahmen auch in das allgemeine Persönlichkeitsrecht und in das Fernmeldegeheimnis eingreifen.

Soweit Maßnahmen nach § 5 Abs. 2 Nr. 11 [X.] als Eingriff in Art. 13 [X.][X.] anzusehen seien, sei die Vorschrift bereits deshalb verfassungswidrig, weil sie keinem der besonderen Schrankenvorbehalte von Art. 13 Abs. 2 bis 7 [X.][X.] genüge. Auch sei das Zitiergebot des Art. 19 Abs. 1 Satz 2 [X.][X.] nicht gewahrt.

§ 5 Abs. 2 Nr. 11 [X.] verstoße zudem gegen das [X.]ebot der Normenklarheit. Die in Satz 2 der Norm enthaltene Verweisung auf das [X.]esetz zu Artikel 10 des [X.]rundgesetzes sei weder in ihren Voraussetzungen noch in ihrer Reichweite hinreichend bestimmt. Weiter fehle es an hinreichenden normativen Vorkehrungen zum Schutz individueller Entfaltung im Kernbereich privater Lebensgestaltung. Solche Vorkehrungen seien erforderlich, da heutzutage insbesondere privat genutzte Rechner in weitem Umfang dazu dienten, Daten höchstpersönlichen Inhalts zu verarbeiten. Schließlich sei der Verhältnismäßigkeitsgrundsatz nicht gewahrt. Die gesetzliche [X.] sei zu niedrig angesetzt. Zudem fehle es an Verfahrensvorkehrungen zum Schutz des Betroffenen wie etwa einem [X.]vorbehalt. Auch könnten die erhobenen Daten in zu weitem Umfang zweckentfremdet oder an andere Behörden übermittelt werden.

3. Die Beschwerdeführer rügen weiter, § 5 Abs. 3 [X.] verletze die Rechtsschutzgarantie des Art. 19 Abs. 4 [X.][X.] sowie die materiellen [X.]rundrechte, in die durch Maßnahmen nach § 5 Abs. 2 [X.] eingegriffen werde. Satz 2 der Vorschrift sehe zu weitgehende Ausnahmen von der grundrechtlich gebotenen Benachrichtigungspflicht vor, die diese weitgehend leer laufen ließen.

4. Die Beschwerdeführer zu 1 sind der Auffassung, § 5a Abs. 1 [X.] verletze das Recht auf informationelle Selbstbestimmung. Die Vorschrift ermögliche die Erhebung von [X.] unter zu niedrigen Voraussetzungen und sei daher unverhältnismäßig.

§ 13 [X.] verstoße gegen das Trennungsgebot zwischen [X.]eheimdiensten und Polizeibehörden, das als Ausprägung des Rechtsstaatsgebots in Verbindung mit dem Recht auf informationelle Selbstbestimmung anzusehen sei.

5. Die Beschwerdeführer zu 2 bringen vor, § 7 Abs. 2 [X.] verletze Art. 13 Abs. 1 [X.][X.]. Die Vorschrift entspreche nicht den Vorgaben, die das [X.] in seinem Urteil zur strafprozessualen akustischen Wohnraumüberwachung aufgestellt habe.

§ 8 Abs. 4 Satz 2 [X.] verletze das Recht auf informationelle Selbstbestimmung, da es an einer Regelung über die Löschung personenbezogener Daten in elektronischen [X.] fehle. Die Norm ermögliche damit eine unzulässige Datenspeicherung auf Vorrat.

Soweit Daten betroffen seien, die durch eine Maßnahme nach § 5 Abs. 2 Nr. 11 [X.] gewonnen worden seien, sei schließlich auch die in § 17 Abs. 1 [X.] enthaltene Übermittlungsregelung verfassungswidrig. Sie verstoße gegen die [X.]ebote der Zweckbindung, der Normenklarheit und der Verhältnismäßigkeit.

[X.].

Zu den [X.] haben schriftlich Stellung genommen: die [X.]regierung, die [X.]regierung und der [X.] von [X.], die sächsische Staatsregierung, das [X.]verwaltungsgericht, der [X.]beauftragte für den Datenschutz und die Informationsfreiheit und die [X.]beauftragte für Datenschutz und Informationsfreiheit [X.]. Die Fraktionen von [X.] und BÜNDNIS 90/DIE [X.]RÜNEN im nordrhein-westfälischen [X.] haben ein ihnen erstattetes Rechtsgutachten vorgelegt. Der [X.] hat zudem sachkundige schriftliche Stellungnahmen der Herren [X.], [X.], Professor Dr. [X.], Professor Dr. Andreas [X.] und Professor Dr. [X.] eingeholt.

1. Die [X.]regierung erörtert ohne direkte Bezugnahme auf die angegriffenen Normen in allgemeiner Form die verfassungsrechtlichen Fragen eines heimlichen Zugriffs auf informationstechnische Systeme mit technischen Mitteln.

Solche Maßnahmen seien von der unter Art. 10 [X.][X.] f[X.]den Überwachung der Telekommunikation zu unterscheiden. Bei den in der Vergangenheit von dem [X.]amt für [X.] vereinzelt durchgeführten „[X.]en“ sei davon ausgegangen worden, dass grundrechtlicher Maßstab allein Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] sei. Zunehmend trete jedoch Art. 13 Abs. 1 [X.][X.] als möglicherweise einschlägiger Maßstab für „[X.]en“ in den Vordergrund. Die technische Möglichkeit wiederholten Eindringens oder länger andauernden Verweilens in einem Rechner nähere die „[X.]“ einer Überwachung an. Zumindest in der Empfindung der betroffenen Personen könne ein sehr umfassender Teil der Privatsphäre, die sich früher auf die Räume einer Wohnung verteilt habe, im Rechner konzentriert sein.

Der Zugriff bedürfe als qualifiziertes Mittel des [X.]es besonderer verfahrensrechtlicher Sicherungen. Der Schutz des Kernbereichs privater Lebensgestaltung sei zu wahren, auch wenn er sich nicht bereits beim Kopieren und Überspielen der von der Software aufgrund bestimmter Suchparameter für relevant gehaltenen Informationen, sondern erst bei der anschließenden Durchsicht der Dateien auf dem Behördenrechner sicherstellen lasse. Angesichts der Nähe zu Maßnahmen der Wohnungsdurchsuchung und Wohnraumüberwachung sei in Erwägung zu ziehen, den Zugriff unter einen [X.]vorbehalt zu stellen. [X.]rundsätzlich sei eine Benachrichtigungspflicht vorzusehen. An „[X.]en“ seien zudem hohe Verhältnismäßigkeitsanforderungen zu stellen. Eine solche Maßnahme könne angesichts ihrer Eingriffsintensität für eine [X.]behörde nur ultima ratio sein.

2. Die [X.]regierung von [X.] hält die [X.] für unzulässig, jedenfalls aber für unbegründet.

Die in § 5 Abs. 2 Nr. 11 [X.] vorgesehenen Maßnahmen bewirkten keinen Eingriff in Art. 13 [X.][X.]. Dieses [X.]rundrecht greife nur, wenn eine staatliche Maßnahme einen konkreten Raumbezug aufweise, also räumliche Abgrenzungen überwunden würden. Dies sei hier nicht der Fall. Maßnahmen der Aufklärung des [X.] wie die Überwachung des E-Mail-Verkehrs oder der [X.]-Telefonie seien allerdings an Art. 10 [X.][X.] zu messen. Im Übrigen sei das Recht auf informationelle Selbstbestimmung einschlägig.

§ 5 Abs. 2 Nr. 11 [X.] genüge dem [X.]ebot der Normenklarheit. Die Norm sei mit Blick auf mögliche technische Neuerungen entwicklungsoffen formuliert worden. Die Norm achte weiter den Kernbereich privater Lebensgestaltung. Der erforderliche Kernbereichsschutz werde durch § 4 Abs. 1 [X.] 10, auf den verwiesen werde, sichergestellt. Die angegriffene Vorschrift sei schließlich auch verhältnismäßig. Der Aktionsraum der [X.]behörde müsse der zunehmenden Verlagerung der Kommunikation gerade auch verfassungsfeindlicher Bestrebungen auf das [X.] Rechnung tragen. Der Zugriff auf einzelne Rechner sei erforderlich, weil es technisch möglich sei, Kommunikationsinhalte so zu versenden, dass ein Zugriff während des Versands ausscheide. § 7 Abs. 1 [X.] enthalte insoweit eine hinreichende [X.]. Weitere materielle Kriterien und verfahrensrechtliche Vorkehrungen ergäben sich insbesondere aus § 3 [X.] 10. Es sei damit zu rechnen, dass die Zahl der Zugriffe auf informationstechnische Systeme pro Jahr im einstelligen Bereich liegen werde.

Die Regelung der Kennzeichnungs- und Mitteilungspflichten in § 5 Abs. 3 [X.] sei gleichfalls verfassungsrechtlich nicht zu beanstanden. Für Maßnahmen der [X.]aufklärung nach § 5 Abs. 2 Nr. 11 [X.] gelte ohnehin nicht § 5 Abs. 3 [X.], sondern § 12 [X.] 10.

Die in § 5a Abs. 1 [X.] enthaltene Befugnis zum Abruf von [X.] sei ebenfalls verfassungsgemäß. Das Phänomen sogenannter [X.], die inländische Anschlagsziele verfolgten, stelle eine neuartige und erhebliche [X.]efährdungslage dar. Die Befugnis könne zur Aufklärung von personellen Verflechtungen und Finanzflüssen, etwa bei der Waffenbeschaffung, und über die [X.]eldgeber militanter [X.]ruppierungen beitragen.

3. Der nordrhein-westfälische [X.] hält die [X.] gleichfalls für unbegründet.

Die Ausweitung des internationalen Terrorismus erzeuge eine neuartige Bedrohungslage, die den Staat im Interesse einer effektiven Terrorabwehr zur Einschränkung von [X.]rundrechten zwinge. Der Rechtsstaat müsse das überkommene rechtliche Instrumentarium behutsam fortentwickeln, um neuen Herausforderungen gerecht zu werden. Insbesondere müsse die informationstechnische Handlungsfähigkeit der Sicherheitsbehörden den aktuellen Rahmenbedingungen angepasst werden. Moderne Kommunikationstechniken würden bei der Begehung und Vorbereitung unterschiedlichster Straftaten eingesetzt und trügen so zur Effektivierung krimineller Handlungen bei.

Zwar seien im klassischen Polizeirecht intensive [X.]rundrechtseingriffe erst ab einer bestimmten Verdachts- beziehungsweise [X.]efahrenstufe zulässig. Dies beruhe jedoch auf einem behördlichen Aufgabenkreis, der sich grundlegend von der Tätigkeit der [X.]behörden unterscheide. Mit der [X.]ewinnung struktureller Vorfelderkenntnisse zur Aufklärung terroristischer Aktivitäten seien in aller Regel keine unmittelbaren Sanktionen und Konsequenzen für die Betroffenen verbunden.

Art. 13 [X.][X.] werde durch Maßnahmen nach § 5 Abs. 2 Nr. 11 [X.] nicht berührt. Der Zugriff auf gespeicherte Daten ziele nicht auf die Überwindung der räumlichen Abgrenzung einer Wohnung ab. Auch sollten keine in der Wohnung stattfindenden Vorgänge überwacht werden. Dagegen könne im Einzelfall ein Eingriff in Art. 10 [X.][X.] vorliegen. Die Norm genüge jedoch den verfassungsrechtlichen Anforderungen an die Eingriffsrechtfertigung.

Auch die in § 5 Abs. 3 Satz 2 [X.] geregelten Ausnahmen von der Benachrichtigungspflicht seien mit dem [X.]rundgesetz vereinbar.

4. Die sächsische Staatsregierung führt aus, die Kommunikation innerhalb islamistischer und islamistisch-terroristischer [X.]ruppierungen erfolge zum großen Teil über das [X.]. Auch Autonome benutzten das [X.] und Mobiltelefone mit der Möglichkeit geschützter Kommunikation. Mit der vermehrten Nutzung von informationstechnischen Systemen durch beobachtete Personen sei der Zugang über klassische nachrichtendienstliche Mittel teilweise unmöglich geworden.

§ 5 Abs. 2 Nr. 11 [X.] ermächtige nicht zu Eingriffen in Art. 10 Abs. 1 oder Art. 13 Abs. 1 [X.][X.]. Die Vorschrift sei im Übrigen hinreichend bestimmt und verhältnismäßig. Der Kernbereich privater Lebensgestaltung sei nicht betroffen, da der Bürger zur höchstpersönlichen Kommunikation nicht auf einen Personalcomputer angewiesen sei. Auch § 5 Abs. 3, § 5a Abs. 1 und § 13 [X.] stünden mit dem [X.]rundgesetz in Einklang.

5. Das [X.]verwaltungsgericht äußert verfassungsrechtliche Bedenken gegen die in § 5 Abs. 2 Nr. 11 [X.] enthaltene Ermächtigung zum heimlichen Zugriff auf informationstechnische Systeme. Sowohl für als auch gegen die Anwendung von Art. 13 [X.][X.] sprächen gewichtige Argumente. In jedem Fall greife der geregelte Zugriff in das Recht auf informationelle Selbstbestimmung ein. Es erscheine zweifelhaft, ob dieser Eingriff verhältnismäßig sei. Es liege nahe, angesichts des [X.]ewichts des [X.]rundrechtseingriffs eine „[X.]“ von einer konkreten [X.]efahr für bestimmte Rechtsgüter abhängig zu machen. Das [X.]esetz enthalte keine Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung.

6. Der [X.]beauftragte für den [X.]und die Informationsfreiheit und die [X.]beauftragte für Datenschutz und Informationsfreiheit [X.] halten die angegriffenen Normen für verfassungswidrig. Ihre Ausführungen hierzu stimmen in der inhaltlichen Argumentationslinie und im Ergebnis weitgehend mit dem Vorbringen der Beschwerdeführer überein.

7. Die Fraktionen von [X.] und BÜNDNIS 90/DIE [X.]RÜNEN im nordrhein-westfälischen [X.] haben ein ihnen erstattetes Rechtsgutachten vorgelegt. Dieses kommt zu dem Schluss, dass die angegriffenen Normen weder mit dem [X.]rundgesetz noch mit der nordrhein-westfälischen [X.]verfassung vereinbar sind.

8. Die sachkundigen Auskunftspersonen [X.], [X.], Professor Dr. [X.] und Professor Dr. Andreas [X.] haben sich insbesondere zu den technischen Fragen des heimlichen Zugriffs auf informationstechnische Systeme geäußert, Professor Dr. [X.] auch zu Fragen der Rechtsvergleichung und zu möglichen Anforderungen an die Rechtmäßigkeit der hier betroffenen Maßnahmen.

[X.].

In der mündlichen Verhandlung haben sich geäußert: die Beschwerdeführer, die [X.]regierung, das [X.], das [X.]amt für [X.], das [X.]amt für Sicherheit in der Informationstechnik, die [X.]regierung und der [X.] von [X.], das nordrhein-westfälische [X.]amt für [X.], der [X.]beauftragte für den Datenschutz und die Informationsfreiheit, die [X.]beauftragte für [X.]und Informationsfreiheit [X.] sowie als sachkundige Auskunftspersonen die Herren [X.], [X.], Professor Dr. [X.], Professor Dr. Andreas [X.] und Professor Dr. [X.].

B.

Die [X.] sind nur teilweise zulässig.

I.

Soweit die [X.] sich gegen § 5 Abs. 2 Nr. 11 [X.] richten, bestehen gegen ihre Zulässigkeit keine Bedenken.

II.

Hinsichtlich der von [X.] Beschwerdeführern erhobenen Rüge der Verfassungswidrigkeit von § 5 Abs. 3 [X.] sind die [X.] nur insoweit zulässig, als es um die Benachrichtigung im [X.] an eine Maßnahme nach § 5 Abs. 2 Nr. 11 [X.] geht. Im Übrigen genügt die Begründung der [X.] nicht den Anforderungen von § 23 Abs. 1 Satz 2, § 92 BVerf[X.][X.]. Danach ist eine Verfassungsbeschwerde hinreichend substantiiert zu begründen. Der Beschwerdeführer hat darzulegen, mit welchen verfassungsrechtlichen Anforderungen die angegriffene Maßnahme kollidiert. Dazu muss er aufzeigen, inwieweit sie die bezeichneten [X.]rundrechte verletzen soll (vgl. BVerf[X.]E 99, 84 <87>; 108, 370 <386>).

Daran fehlt es hier, soweit die Beschwerdeführer allgemein rügen, die Regelung der Benachrichtigung im [X.] an nachrichtendienstliche Maßnahmen im Sinne des § 5 Abs. 2 [X.] genüge nicht den verfassungsrechtlichen Anforderungen. Inwieweit das [X.]rundgesetz eine Benachrichtigung des von einer heimlichen informationellen Maßnahme des Staates Betroffenen verlangt, hängt unter anderem maßgeblich davon ab, ob und mit welcher Intensität diese Maßnahme in [X.]rundrechte des Betroffenen eingreift (vgl. BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2473>). § 5 Abs. 2 [X.] sieht eine Vielzahl unterschiedlicher Maßnahmen vor, die in ihrer Eingriffsqualität und Eingriffsintensität erheblich voneinander abweichen. Angesichts dessen hätten die Beschwerdeführer aufzeigen können und müssen, nach welchen dieser Maßnahmen ihrer Ansicht nach eine Benachrichtigung geboten ist und inwieweit die in § 5 Abs. 3 Satz 2 [X.] geregelten Ausnahmen von der [X.]angesichts des [X.]ewichts des jeweiligen [X.]rundrechtseingriffs unangemessen sind. Derartige Darlegungen finden sich in den [X.] jedoch allein im Hinblick auf Maßnahmen nach § 5 Abs. 2 Nr. 11 [X.] in hinreichendem Ausmaß.

[X.].

[X.] der Beschwerdeführer zu 2 ist auch zulässig, soweit sie sich gegen § 17 [X.] richtet. Insofern ist die Beschwerdefrist des § 93 Abs. 3 BVerf[X.][X.] gewahrt. Durch das Inkrafttreten des § 5 Abs. 2 Nr. 11 [X.] wurde der Anwendungsbereich der allgemeinen Übermittlungsregelung des § 17 [X.] auf die neu geregelten Maßnahmen erstreckt und so teilweise erweitert. Darin liegt eine neue grundrechtliche Beschwer, für welche die Beschwerdefrist neu in [X.]ang gesetzt wird (vgl. BVerf[X.]E 45, 104 <119>; 78, 350 <356>; 100, 313 <356>). Die Rüge der Beschwerdeführer zu 2 beschränkt sich auf diese neue Beschwer.

[X.].

[X.] des Beschwerdeführers zu 1b ist auch insofern zulässig, als sie sich gegen § 5a Abs. 1 [X.] richtet. Insbesondere ist die Beschwerdefrist gewahrt. Die Rüge des Beschwerdeführers zu 1b beschränkt sich auf die Erweiterung des Anwendungsbereichs der Norm im Zuge der Novellierung des [X.]gesetzes.

[X.] der Beschwerdeführerin zu 1a ist hingegen in Bezug auf § 5a Abs. 1 [X.] unzulässig, da sie ihre eigene und gegenwärtige Betroffenheit durch die angegriffene Norm nicht aufgezeigt hat. Dazu hätte sie darlegen müssen, dass sie mit einiger Wahrscheinlichkeit durch die auf den angegriffenen Rechtsnormen beruhenden Maßnahmen in ihren [X.]rundrechten berührt wird (vgl. BVerf[X.]E 67, 157 <169 f.>; 100, 313 <354>; 109, 279 <307 f.>). Dies ist hier nicht ersichtlich. Die Beschwerdeführerin zu 1a hat keinerlei Ausführungen gemacht, aus denen sich auch nur die entfernte Wahrscheinlichkeit ergibt, dass ihre [X.] für die [X.]behörde von Interesse sein könnten. Nach den Tatbestandsvoraussetzungen von § 5a Abs. 1 [X.] und der Natur der geregelten Maßnahmen kann auch nicht für praktisch jedermann von einer möglichen Betroffenheit ausgegangen werden (vgl. zu derartigen Fällen BVerf[X.]E 109, 279 <308>; 113, 348 <363>).

V.

Soweit die Verfassungsbeschwerde der Beschwerdeführer zu 2 sich gegen § 7 Abs. 2 [X.] richtet, ist die Beschwerdefrist des § 93 Abs. 3 BVerf[X.][X.] nicht gewahrt. Diese Vorschrift ist bereits 1994 in [X.] getreten. Ohne Belang ist hier, ob der [X.]esetzgeber der Novelle des [X.]gesetzes § 7 Abs. 2 [X.] erneut in seinen Willen aufgenommen hat, da hierdurch die Beschwerdefrist nicht neu in [X.]ang gesetzt wird (vgl. BVerf[X.]E 11, 255 <259 f.>; 18, 1 <9>; 43, 108 <116>; 80, 137 <149>).

Den Beschwerdeführern zu 2 wird durch die Unzulässigkeit der Verfassungsbeschwerde in diesem Punkt nicht die Möglichkeit genommen, die Verfassungswidrigkeit der angegriffenen Norm geltend zu machen (vgl. dazu BVerf[X.], Beschluss der 1. Kammer des [X.] vom 21. November 1996 - 1 BvR 1862/96 -, NJW 1997, [X.]). Falls die Beschwerdeführer zu 2 befürchten, von Maßnahmen nach § 7 Abs. 2 [X.] betroffen zu werden, können sie hiergegen Rechtsschutz vor den Verwaltungsgerichten erlangen. Dabei kann grundsätzlich auch vorläufiger sowie vorbeugender Rechtsschutz gewährt werden. Der Umstand, dass dafür ein hinreichendes Rechtsschutzinteresse und die hinreichende Wahrscheinlichkeit einer belastenden Maßnahme dargetan werden müssen, schließt die grundsätzliche Verfügbarkeit fachgerichtlichen Rechtsschutzes nicht aus. Im fachgerichtlichen Verfahren dürfen die Anforderungen an das Rechtsschutzinteresse im Sinne eines effektiven [X.]rundrechtsschutzes nicht überspannt werden (vgl. allgemein dazu BVerf[X.]E 110, 77 <88>).

VI.

[X.] der Beschwerdeführer zu 2 ist auch insoweit unzulässig, als sie sich gegen die Regelungen von § 8 Abs. 4 Satz 2 in Verbindung mit §§ 10, 11 [X.] über den Umgang mit personenbezogenen Daten in elektronischen [X.] richtet. Hinsichtlich dieser Regelungen ist der [X.]rundsatz der Subsidiarität der Verfassungsbeschwerde nicht gewahrt.

Nach dem [X.]rundsatz der Subsidiarität ist die Verfassungsbeschwerde eines von der angegriffenen Rechtsnorm betroffenen [X.]rundrechtsträgers unzulässig, wenn er in zumutbarer Weise Rechtsschutz durch die Anrufung der [X.]erichte erlangen kann (vgl. BVerf[X.]E 72, 39 <43 f.>; 90, 128 <136 f.>). Damit soll erreicht werden, dass das [X.] nicht auf ungesicherter Tatsachen- und Rechtsgrundlage weitreichende Entscheidungen trifft (vgl. BVerf[X.]E 79, 1 <20>; 97, 157 <165>).

Danach sind die Beschwerdeführer zu 2 zur Erlangung von Rechtsschutz gegen die Regelungen des [X.]gesetzes über den Umgang mit personenbezogenen Daten, die in elektronischen [X.] gespeichert sind, gehalten, sich zunächst an die Fachgerichte zu wenden.

Die Beschwerdeführer zu 2 richten ihre Rüge gegen die von dem [X.]gesetz ihrer Ansicht nach vorgesehene Speicherung nicht mehr benötigter personenbezogener Daten. Wie weitgehend das [X.]esetz die Löschung solcher Daten ausschließt, bedarf jedoch zunächst einfachrechtlich der Klärung durch die Behörden und Fachgerichte. Der Wortlaut des § 10 [X.] schließt es jedenfalls nicht aus, die bestehenden Löschungsregeln in dieser Vorschrift auch auf Daten anzuwenden, die in elektronischen [X.] enthalten sind. Im Übrigen enthält das [X.]esetz keine ausdrücklichen Regelungen über den Umgang mit nicht mehr benötigten elektronischen [X.], so dass die Rechtslage auch insoweit nicht eindeutig ist.

Den Beschwerdeführern zu 2 ist zumutbar, die einfachrechtliche Lage von den dafür zuständigen Fachgerichten klären zu lassen. Insbesondere ist ihnen die Anrufung der [X.]erichte nicht etwa deshalb faktisch verwehrt, weil sie von den sie betreffenden Datenspeicherungen keine Kenntnis erlangen können. Entgegen der Ansicht der Beschwerdeführer zu 2 ergibt sich aus dem Wortlaut des § 14 Abs. 1 [X.] nicht zwingend, dass personenbezogene Daten in elektronischen [X.] von dem in dieser Norm geregelten Auskunftsanspruch von vornherein nicht erfasst werden, so dass nicht ausgeschlossen ist, dass insoweit Auskunft erteilt werden muss. Zudem geht es den Beschwerdeführern zu 2 mit der gegen § 8 Abs. 4 Satz 2 [X.] gerichteten Rüge nicht darum, einen punktuellen [X.]rundrechtseingriff abzuwenden, dem ein nachträglicher Rechtsschutz nur begrenzt abhelfen könnte. Sie wollen vielmehr materiellrechtliche Löschungsansprüche geltend machen, die sie im fachgerichtlichen Verfahren durchsetzen können.

VII.

Soweit die Beschwerdeführer zu 1 die Verfassungswidrigkeit von § 13 [X.] rügen, ist ihre Verfassungsbeschwerde mangels unmittelbarer Betroffenheit unzulässig. § 13 [X.] erlaubt der [X.]behörde, Daten in gemeinsame Dateien einzustellen, die nach Maßgabe von bundes- oder landesrechtlichen Vorschriften geführt werden. Erst aufgrund dieser anderen Vorschriften können Maßnahmen stattfinden, die als [X.]rundrechtseingriff anzusehen sein könnten. Die Öffnungsnorm des § 13 [X.], die ohne die in Bezug genommenen Dateiführungsregeln leer läuft, ist für sich genommen grundrechtlich irrelevant. [X.]egen in Bezug genommene Normen, etwa die Vorschriften des Antiterrordateigesetzes vom 22. Dezember 2006 (B[X.]Bl I, [X.]), richtet sich die Verfassungsbeschwerde der Beschwerdeführer zu 1 jedoch nicht.

C.

Die [X.] sind, soweit zulässig, weitgehend begründet. § 5 Abs. 2 Nr. 11 [X.] ist in der zweiten dort aufgeführten Alternative verfassungswidrig und nichtig (I). [X.]leiches gilt für die erste Alternative dieser Norm (II). In der Folge der Nichtigkeit erledigen sich die gegen § 5 Abs. 3 und § 17 [X.] gerichteten Rügen ([X.]). [X.]egen § 5a Abs. 1 [X.] bestehen hingegen keine verfassungsrechtlichen Bedenken ([X.]).

I.

§ 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.], der den heimlichen Zugriff auf informationstechnische Systeme regelt, verletzt das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 [X.][X.]) in seiner besonderen Ausprägung als [X.]rundrecht auf [X.]ewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Diese Ausprägung des allgemeinen Persönlichkeitsrechts schützt vor Eingriffen in informationstechnische Systeme, soweit der Schutz nicht durch andere [X.]rundrechte, wie insbesondere Art. 10 oder Art. 13 [X.][X.], sowie durch das Recht auf informationelle Selbstbestimmung gewährleistet ist (1). Vorliegend sind die Eingriffe verfassungsrechtlich nicht gerechtfertigt: § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] genügt nicht dem [X.]ebot der Normenklarheit (2 a), die Anforderungen des Verhältnismäßigkeitsgrundsatzes sind nicht gewahrt (2 b) und die Norm enthält keine hinreichenden Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung (2 c). Die angegriffene Norm ist nichtig (2 d). Einer zusätzlichen Prüfung anhand anderer [X.]rundrechte bedarf es nicht (2 e).

1. § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] ermächtigt zu Eingriffen in das allgemeine Persönlichkeitsrecht in seiner besonderen Ausprägung als [X.]rundrecht auf [X.]ewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme; sie tritt zu den anderen Konkretisierungen dieses [X.]rundrechts, wie dem Recht auf informationelle Selbstbestimmung, sowie zu den Freiheitsgewährleistungen der Art. 10 und Art. 13 [X.][X.] hinzu, soweit diese keinen oder keinen hinreichenden Schutz gewähren.

a) Das allgemeine Persönlichkeitsrecht gewährleistet Elemente der Persönlichkeit, die nicht [X.]egenstand der besonderen Freiheitsgarantien des [X.]rundgesetzes sind, diesen aber in ihrer konstituierenden Bedeutung für die Persönlichkeit nicht nachstehen (vgl. BVerf[X.]E 99, 185 <193>; 114, 339 <346>). Einer solchen lückenschließenden [X.]ewährleistung bedarf es insbesondere, um neuartigen [X.]efährdungen zu begegnen, zu denen es im Zuge des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse kommen kann (vgl. BVerf[X.]E 54, 148 <153>; 65, 1 <41>; BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, [X.], S. 2464 <2465>). Die Zuordnung eines konkreten Rechtsschutzbegehrens zu den verschiedenen Aspekten des Persönlichkeitsrechts richtet sich vor allem nach der Art der Persönlichkeitsgefährdung (vgl. BVerf[X.]E 101, 361 <380>; 106, 28 <39>).

b) Die Nutzung der Informationstechnik hat für die Persönlichkeit und die Entfaltung des Einzelnen eine früher nicht absehbare Bedeutung erlangt. Die moderne Informationstechnik eröffnet dem Einzelnen neue Möglichkeiten, begründet aber auch neuartige [X.]efährdungen der Persönlichkeit.

aa) Die jüngere Entwicklung der Informationstechnik hat dazu geführt, dass informationstechnische Systeme allgegenwärtig sind und ihre Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung ist.

Dies gilt zunächst für Personalcomputer, über die mittlerweile eine deutliche Mehrheit der Haushalte in der [X.]republik verfügt (vgl. Statistisches [X.]amt, Statistisches Jahrbuch 2007, [X.]). Die Leistungsfähigkeit derartiger Rechner ist ebenso gestiegen wie die Kapazität ihrer Arbeitsspeicher und der mit ihnen verbundenen Speichermedien. Heutige Personalcomputer können für eine Vielzahl unterschiedlicher Zwecke genutzt werden, etwa zur umfassenden Verwaltung und Archivierung der eigenen persönlichen und geschäftlichen Angelegenheiten, als digitale Bibliothek oder in vielfältiger Form als Unterhaltungsgerät. Dementsprechend ist die Bedeutung von [X.] für die Persönlichkeitsentfaltung erheblich gestiegen.

Die Relevanz der Informationstechnik für die Lebensgestaltung des Einzelnen erschöpft sich nicht in der größeren Verbreitung und Leistungsfähigkeit von [X.]. Daneben enthalten zahlreiche [X.]egenstände, mit denen große Teile der Bevölkerung alltäglich umgehen, informationstechnische Komponenten. So liegt es beispielsweise zunehmend bei Telekommunikationsgeräten oder elektronischen [X.]eräten, die in Wohnungen oder [X.]fahrzeugen enthalten sind.

[X.]) Der Leistungsumfang informationstechnischer Systeme und ihre Bedeutung für die Persönlichkeitsentfaltung nehmen noch zu, wenn solche Systeme miteinander vernetzt werden. Dies wird insbesondere aufgrund der gestiegenen Nutzung des [X.] durch große Kreise der Bevölkerung mehr und mehr zum Normalfall.

Eine Vernetzung informationstechnischer Systeme ermöglicht allgemein, Aufgaben auf diese Systeme zu verteilen und insgesamt die Rechenleistung zu erhöhen. So können etwa die von einzelnen der vernetzten Systeme gelieferten Daten ausgewertet und die Systeme zu bestimmten Reaktionen veranlasst werden. Auf diese Weise kann zugleich der Funktionsumfang des einzelnen [X.] erweitert werden.

Insbesondere das [X.] als komplexer Verbund von Rechnernetzen öffnet dem Nutzer eines angeschlossenen Rechners nicht nur den Zugriff auf eine praktisch unübersehbare Fülle von Informationen, die von anderen Netzrechnern zum Abruf bereitgehalten werden. Es stellt ihm daneben zahlreiche neuartige Kommunikationsdienste zur Verfügung, mit deren Hilfe er aktiv [X.] Verbindungen aufbauen und pflegen kann. Zudem führen technische Konvergenzeffekte dazu, dass auch herkömmliche Formen der Fernkommunikation in weitem Umfang auf das [X.] verlagert werden können (vgl. etwa zur Sprachtelefonie [X.], CR 2005, [X.]89).

[X.]) Die zunehmende Verbreitung vernetzter informationstechnischer Systeme begründet für den Einzelnen neben neuen Möglichkeiten der Persönlichkeitsentfaltung auch neue Persönlichkeitsgefährdungen.

(1) Solche [X.]efährdungen ergeben sich bereits daraus, dass komplexe informationstechnische Systeme wie etwa Personalcomputer ein breites Spektrum von Nutzungsmöglichkeiten eröffnen, die sämtlich mit der Erzeugung, Verarbeitung und Speicherung von Daten verbunden sind. Dabei handelt es sich nicht nur um Daten, die der Nutzer des Rechners bewusst anlegt oder speichert. Im Rahmen des Datenverarbeitungsprozesses erzeugen informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten, die ebenso wie die vom Nutzer gespeicherten Daten im Hinblick auf sein Verhalten und seine Eigenschaften ausgewertet werden können. In der Folge können sich im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten mit Bezug zu den persönlichen Verhältnissen, den [X.]n Kontakten und den ausgeübten Tätigkeiten des Nutzers finden. Werden diese Daten von [X.] erhoben und ausgewertet, so kann dies weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen (vgl. zu den aus solchen Folgerungen entstehenden Persönlichkeitsgefährdungen BVerf[X.]E 65, 1 <42>).

(2) Bei einem vernetzten, insbesondere einem an das [X.] angeschlossenen System werden diese [X.]efährdungen in verschiedener Hinsicht vertieft. Zum einen führt die mit der Vernetzung verbundene Erweiterung der Nutzungsmöglichkeiten dazu, dass gegenüber einem alleinstehenden System eine noch größere Vielzahl und Vielfalt von Daten erzeugt, verarbeitet und gespeichert werden. Dabei handelt es sich um Kommunikationsinhalte sowie um Daten mit Bezug zu der [X.]. Durch die Speicherung und Auswertung solcher Daten über das Verhalten der Nutzer im Netz können weitgehende Kenntnisse über die Persönlichkeit des Nutzers gewonnen werden.

Vor allem aber öffnet die Vernetzung des [X.] [X.] eine technische Zugriffsmöglichkeit, die genutzt werden kann, um die auf dem System vorhandenen Daten auszuspähen oder zu manipulieren. Der Einzelne kann solche Zugriffe zum Teil gar nicht wahrnehmen, jedenfalls aber nur begrenzt abwehren. Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller [X.]r oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann. Ein technischer Selbstschutz kann zudem mit einem hohen Aufwand oder mit Funktionseinbußen des geschützten [X.] verbunden sein. Viele Selbstschutzmöglichkeiten - etwa die Verschlüsselung oder die Verschleierung sensibler Daten - werden überdies weitgehend wirkungslos, wenn [X.] die Infiltration des [X.], auf dem die Daten abgelegt worden sind, einmal gelungen ist. Schließlich kann angesichts der [X.]eschwindigkeit der informationstechnischen Entwicklung nicht zuverlässig prognostiziert werden, welche Möglichkeiten dem Nutzer in Zukunft verbleiben, sich technisch selbst zu schützen.

c) Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis. Der Einzelne ist darauf angewiesen, dass der Staat die mit Blick auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet. Die grundrechtlichen [X.]ewährleistungen der Art. 10 und Art. 13 [X.][X.] wie auch die bisher in der Rechtsprechung des [X.]s entwickelten Ausprägungen des allgemeinen Persönlichkeitsrechts tragen dem durch die Entwicklung der Informationstechnik entstandenen Schutzbedürfnis nicht hinreichend Rechnung.

aa) Die [X.]ewährleistung des Telekommunikationsgeheimnisses nach Art. 10 Abs. 1 [X.][X.] schützt die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs (vgl. BVerf[X.]E 67, 157 <172>; 106, 28 <35 f.>), nicht aber auch die Vertraulichkeit und Integrität von informationstechnischen Systemen.

(1) Der Schutz des Art. 10 Abs. 1 [X.][X.] erfasst Telekommunikation, einerlei, welche Übermittlungsart (Kabel oder Funk, analoge oder digitale Vermittlung) und welche Ausdrucksform (Sprache, Bilder, Töne, Zeichen oder sonstige Daten) genutzt werden (vgl. BVerf[X.]E 106, 28 <36>; 115, 166 <182>). Der Schutzbereich des Telekommunikationsgeheimnisses erstreckt sich danach auch auf die Kommunikationsdienste des [X.] (vgl. zu E-Mails BVerf[X.]E 113, 348 <383>). Zudem sind nicht nur die Inhalte der Telekommunikation vor einer Kenntnisnahme geschützt, sondern auch ihre Umstände. Zu ihnen gehört insbesondere, ob, wann und wie oft zwischen welchen Personen oder Telekommunikationseinrichtungen Telekommunikationsverkehr stattgefunden hat oder versucht worden ist (vgl. BVerf[X.]E 67, 157 <172>; 85, 386 <396>; 100, 313 <358>; 107, 299 <312 f.>). Das [X.]begegnet in diesem Rahmen alten sowie neuen Persönlichkeitsgefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben.

Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff allein an Art. 10 Abs. 1 [X.][X.] zu messen. Der Schutzbereich dieses [X.]rundrechts ist dabei unabhängig davon betroffen, ob die Maßnahme technisch auf der Übertragungsstrecke oder am Endgerät der Telekommunikation ansetzt (vgl. BVerf[X.]E 106, 28 <37 f.>; 115, 166 <186 f.>). Dies gilt grundsätzlich auch dann, wenn das Endgerät ein vernetztes komplexes informationstechnisches System ist, dessen Einsatz zur Telekommunikation nur eine unter mehreren Nutzungsarten darstellt.

(2) Der [X.]rundrechtsschutz des Art. 10 Abs. 1 [X.][X.] erstreckt sich allerdings nicht auf die nach Abschluss eines Kommunikationsvorgangs im Herrschaftsbereich eines Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Telekommunikation, soweit dieser eigene Schutzvorkehrungen gegen den heimlichen Datenzugriff treffen kann. Dann bestehen hinsichtlich solcher Daten die spezifischen [X.]efahren der räumlich distanzierten Kommunikation, die durch das [X.]abgewehrt werden sollen, nicht fort (vgl. BVerf[X.]E 115, 166 <183 ff.>).

(3) Der durch das [X.]bewirkte Schutz besteht ebenfalls nicht, wenn eine staatliche Stelle die Nutzung eines informationstechnischen [X.] als solche überwacht oder die Speichermedien des [X.] durchsucht. Hinsichtlich der Erfassung der Inhalte oder Umstände außerhalb der laufenden Telekommunikation liegt ein Eingriff in Art. 10 Abs. 1 [X.][X.] selbst dann nicht vor, wenn zur Übermittlung der erhobenen Daten an die auswertende Behörde eine Telekommunikationsverbindung genutzt wird, wie dies etwa bei einem Online-Zugriff auf gespeicherte Daten der Fall ist (vgl. [X.]ermann, [X.]efahrenabwehr und Strafverfolgung im [X.], 2000, [X.]; [X.], [X.], [X.]285 <292>).

(4) Soweit der heimliche Zugriff auf ein informationstechnisches System dazu dient, Daten auch insoweit zu erheben, als Art. 10 Abs. 1 [X.][X.] nicht vor einem Zugriff schützt, bleibt eine Schutzlücke, die durch das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Schutz der Vertraulichkeit und Integrität von informationstechnischen Systemen zu schließen ist.

Wird ein komplexes informationstechnisches System zum  Zweck der Telekommunikationsüberwachung technisch infiltriert („Quellen-Telekommunikationsüberwachung“), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte [X.]efährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist. Insbesondere können auch die auf dem Personalcomputer abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des [X.] aufweisen. Erfasst werden können beispielsweise das Verhalten bei der Bedienung eines Personalcomputers für eigene Zwecke, die Abrufhäufigkeit bestimmter Dienste, insbesondere auch der Inhalt angelegter Dateien oder - soweit das infiltrierte informationstechnische System auch [X.]eräte im Haushalt steuert - das Verhalten in der eigenen Wohnung.

Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im [X.] an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen - anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung - stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen [X.]efährdungen der Persönlichkeit kann durch Art. 10 Abs. 1 [X.][X.] nicht oder nicht hinreichend begegnet werden.

Art. 10 Abs. 1 [X.][X.] ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.

[X.]) Auch die durch Art. 13 Abs. 1 [X.][X.] gewährleistete [X.]arantie der Unverletzlichkeit der Wohnung verbürgt dem Einzelnen mit Blick auf seine Menschenwürde sowie im Interesse der Entfaltung seiner Persönlichkeit einen elementaren Lebensraum, in den nur unter den besonderen Voraussetzungen von Art. 13 Abs. 2 bis 7 [X.][X.] eingegriffen werden darf, belässt aber Schutzlücken gegenüber Zugriffen auf informationstechnische Systeme.

Das Schutzgut dieses [X.]rundrechts ist die räumliche Sphäre, in der sich das Privatleben entfaltet (vgl. BVerf[X.]E 89, 1 <12>; 103, 142 <150 f.>). Neben Privatwohnungen f[X.] auch Betriebs- und [X.]eschäftsräume in den Schutzbereich des Art. 13 [X.][X.] (vgl. BVerf[X.]E 32, 54 <69 ff.>; 44, 353 <371>; 76, 83 <88>; 96, 44 <51>). Dabei erschöpft sich der [X.]rundrechtsschutz nicht in der Abwehr eines körperlichen Eindringens in die Wohnung. Als Eingriff in Art. 13 [X.][X.] sind auch Maßnahmen anzusehen, durch die staatliche Stellen sich mit besonderen Hilfsmitteln einen Einblick in Vorgänge innerhalb der Wohnung verschaffen, die der natürlichen Wahrnehmung von außerhalb des geschützten Bereichs entzogen sind. Dazu gehören nicht nur die akustische oder optische Wohnraumüberwachung (vgl. BVerf[X.]E 109, 279 <309, 327>), sondern ebenfalls etwa die Messung elektromagnetischer Abstrahlungen, mit der die Nutzung eines informationstechnischen [X.] in der Wohnung überwacht werden kann. Das kann auch ein System betreffen, das offline arbeitet.

Darüber hinaus kann eine staatliche Maßnahme, die mit dem heimlichen technischen Zugriff auf ein informationstechnisches System im Zusammenhang steht, an Art. 13 Abs. 1 [X.][X.] zu messen sein, so beispielsweise, wenn und soweit Mitarbeiter der Ermittlungsbehörde in eine als Wohnung geschützte Räumlichkeit eindringen, um ein dort befindliches informationstechnisches System physisch zu manipulieren. Ein weiterer Anwendungsfall des Art. 13 Abs. 1 [X.][X.] ist die Infiltration eines informationstechnischen [X.], das sich in einer Wohnung befindet, um mit Hilfe dessen bestimmte Vorgänge innerhalb der Wohnung zu überwachen, etwa indem die an das System angeschlossenen Peripheriegeräte wie ein Mikrofon oder eine Kamera dazu genutzt werden.

Art. 13 Abs. 1 [X.][X.] vermittelt dem Einzelnen allerdings keinen generellen, von den Zugriffsmodalitäten unabhängigen Schutz gegen die Infiltration seines informationstechnischen [X.], auch wenn sich dieses System in einer Wohnung befindet (vgl. etwa Beulke/[X.], [X.], S. 63 <64>; [X.]ercke, [X.], S. 245 <250>; [X.], [X.]A 2007, [X.] <654 ff.>; a.A. etwa [X.], [X.] 2007, [X.] <395 ff.>; [X.], [X.], [X.] <292 ff.>; Schaar/Landwehr, K&R 2007, [X.] <204>). Denn der Eingriff kann unabhängig vom Standort erfolgen, so dass ein raumbezogener Schutz nicht in der Lage ist, die spezifische [X.]efährdung des informationstechnischen [X.] abzuwehren. Soweit die Infiltration die Verbindung des betroffenen Rechners zu einem Rechnernetzwerk ausnutzt, lässt sie die durch die Abgrenzung der Wohnung vermittelte räumliche Privatsphäre unberührt. Der Standort des [X.] wird in vielen Fällen für die Ermittlungsmaßnahme ohne Belang und oftmals für die Behörde nicht einmal erkennbar sein. Dies gilt insbesondere für mobile informationstechnische Systeme wie etwa Laptops, Personal Digital Assistants (PDAs) oder Mobiltelefone.

Art. 13 Abs. 1 [X.][X.] schützt zudem nicht gegen die durch die Infiltration des [X.] ermöglichte Erhebung von Daten, die sich im Arbeitsspeicher oder auf den Speichermedien eines informationstechnischen [X.] befinden, das in einer Wohnung steht (vgl. zum gleichläufigen Verhältnis von Wohnungsdurchsuchung und Beschlagnahme BVerf[X.]E 113, 29 <45>).

[X.]) Auch die bisher in der Rechtsprechung des [X.]s anerkannten Ausprägungen des allgemeinen Persönlichkeitsrechts, insbesondere die [X.]ewährleistungen des Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung, genügen dem besonderen Schutzbedürfnis des Nutzers eines informationstechnischen [X.] nicht in ausreichendem Maße.

(1) In seiner Ausprägung als Schutz der Privatsphäre gewährleistet das allgemeine Persönlichkeitsrecht dem Einzelnen einen räumlich und thematisch bestimmten Bereich, der grundsätzlich frei von unerwünschter Einsichtnahme bleiben soll (vgl. BVerf[X.]E 27, 344 <350 ff.>; 44, 353 <372 f.>; 90, 255 <260>; 101, 361 <382 f.>). Das Schutzbedürfnis des Nutzers eines informationstechnischen [X.] beschränkt sich jedoch nicht allein auf Daten, die seiner Privatsphäre zuzuordnen sind. Eine solche Zuordnung hängt zudem häufig von dem Kontext ab, in dem die Daten entstanden sind und in den sie durch Verknüpfung mit anderen Daten gebracht werden. Dem Datum selbst ist vielfach nicht anzusehen, welche Bedeutung es für den Betroffenen hat und welche es durch Einbeziehung in andere Zusammenhänge gewinnen kann. Das hat zur Folge, dass mit der Infiltration des [X.] nicht nur zwangsläufig private Daten erfasst werden, sondern der Zugriff auf alle Daten ermöglicht wird, so dass sich ein umfassendes Bild vom Nutzer des [X.] ergeben kann.

(2) Das Recht auf informationelle Selbstbestimmung geht über den Schutz der Privatsphäre hinaus. Es gibt dem Einzelnen die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (vgl. BVerf[X.]E 65, 1 <43>; 84, 192 <194>). Es flankiert und erweitert den grundrechtlichen Schutz von Verhaltensfreiheit und Privatheit, indem es ihn schon auf der Stufe der Persönlichkeitsgefährdung beginnen lässt. Eine derartige [X.]efährdungslage kann bereits im Vorfeld konkreter Bedrohungen benennbarer Rechtsgüter entstehen, insbesondere wenn personenbezogene Informationen in einer Art und Weise genutzt und verknüpft werden können, die der Betroffene weder überschauen noch verhindern kann. Der Schutzumfang des Rechts auf informationelle Selbstbestimmung beschränkt sich dabei nicht auf Informationen, die bereits ihrer Art nach sensibel sind und schon deshalb grundrechtlich geschützt werden. Auch der Umgang mit personenbezogenen Daten, die für sich genommen nur geringen Informationsgehalt haben, kann, je nach dem Ziel des Zugriffs und den bestehenden Verarbeitungs- und Verknüpfungsmöglichkeiten, grundrechtserhebliche Auswirkungen auf die Privatheit und Verhaltensfreiheit des Betroffenen haben (vgl. BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, [X.], S. 2464 <2466>).

Die mit dem Recht auf informationelle Selbstbestimmung abzuwehrenden Persönlichkeitsgefährdungen ergeben sich aus den vielfältigen Möglichkeiten des [X.]und gegebenenfalls auch privater Akteure (vgl. BVerf[X.], Beschluss der [X.] des [X.] vom 23. Oktober 2006 - 1 BvR 2027/02 -, [X.] 2007, S. 576) zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Vor allem mittels elektronischer Datenverarbeitung können aus solchen Informationen weitere Informationen erzeugt und so Schlüsse gezogen werden, die sowohl die grundrechtlich geschützten [X.]eheimhaltungsinteressen des Betroffenen beeinträchtigen als auch Eingriffe in seine Verhaltensfreiheit mit sich bringen können (vgl. BVerf[X.]E 65, 1 <42>; 113, 29 <45 f.>; 115, 320 <342>; BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2466>).

Jedoch trägt das Recht auf informationelle Selbstbestimmung den Persönlichkeitsgefährdungen nicht vollständig Rechnung, die sich daraus ergeben, dass der Einzelne zu seiner Persönlichkeitsentfaltung auf die Nutzung informationstechnischer Systeme angewiesen ist und dabei dem System persönliche Daten anvertraut oder schon allein durch dessen Nutzung zwangsläufig liefert. Ein Dritter, der auf ein solches System zugreift, kann sich einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein. Ein solcher Zugriff geht in seinem [X.]ewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus.

d) Soweit kein hinreichender Schutz vor Persönlichkeitsgefährdungen besteht, die sich daraus ergeben, dass der Einzelne zu seiner Persönlichkeitsentfaltung auf die Nutzung informationstechnischer Systeme angewiesen ist, trägt das allgemeine Persönlichkeitsrecht dem Schutzbedarf in seiner lückenfüllenden Funktion über seine bisher anerkannten Ausprägungen hinaus dadurch Rechnung, dass es die Integrität und Vertraulichkeit informationstechnischer Systeme gewährleistet. Dieses Recht fußt gleich dem Recht auf informationelle Selbstbestimmung auf Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.]; es bewahrt den persönlichen und privaten Lebensbereich der [X.]rundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik auch insoweit, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten.

aa) Allerdings bedarf nicht jedes informationstechnische System, das personenbezogene Daten erzeugen, verarbeiten oder speichern kann, des besonderen Schutzes durch eine eigenständige persönlichkeitsrechtliche [X.]ewährleistung. Soweit ein derartiges System nach seiner technischen Konstruktion lediglich Daten mit punktuellem Bezug zu einem bestimmten Lebensbereich des Betroffenen enthält - zum Beispiel nicht vernetzte elektronische Steuerungsanlagen der Haustechnik -, unterscheidet sich ein staatlicher Zugriff auf den vorhandenen Datenbestand qualitativ nicht von anderen Datenerhebungen. In einem solchen Fall reicht der Schutz durch das Recht auf informationelle Selbstbestimmung aus, um die berechtigten [X.]eheimhaltungsinteressen des Betroffenen zu wahren.

Das [X.]rundrecht auf [X.]ewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme ist hingegen anzuwenden, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf Personalcomputer, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen. Der spezifische [X.]rundrechtsschutz erstreckt sich ferner beispielsweise auf solche Mobiltelefone oder elektronische Terminkalender, die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können.

[X.]) [X.]eschützt vom [X.]rundrecht auf [X.]ewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist zunächst das Interesse des Nutzers, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben. Ein Eingriff in dieses [X.]rundrecht ist zudem dann anzunehmen, wenn die Integrität des geschützten informationstechnischen [X.] angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können; dann ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des [X.] genommen.

(1) Das allgemeine Persönlichkeitsrecht in der hier behandelten Ausprägung schützt insbesondere vor einem heimlichen Zugriff, durch den die auf dem System vorhandenen Daten ganz oder zu wesentlichen Teilen ausgespäht werden können. Der [X.]rundrechtsschutz umfasst sowohl die im Arbeitsspeicher gehaltenen als auch die temporär oder dauerhaft auf den Speichermedien des [X.] abgelegten Daten. Das [X.]rundrecht schützt auch vor Datenerhebungen mit Mitteln, die zwar technisch von den Datenverarbeitungsvorgängen des betroffenen informationstechnischen [X.] unabhängig sind, aber diese Datenverarbeitungsvorgänge zum [X.]egenstand haben. So liegt es etwa bei einem Einsatz von sogenannten [X.]oder bei einer Messung der elektromagnetischen Abstrahlung von Bildschirm oder Tastatur.

(2) Der grundrechtliche Schutz der Vertraulichkeits- und Integritätserwartung besteht unabhängig davon, ob der Zugriff auf das informationstechnische System leicht oder nur mit erheblichem Aufwand möglich ist. Eine grundrechtlich anzuerkennende Vertraulichkeits- und Integritätserwartung besteht allerdings nur, soweit der Betroffene das informationstechnische System als eigenes nutzt und deshalb den Umständen nach davon ausgehen darf, dass er allein oder zusammen mit anderen zur Nutzung berechtigten Personen über das informationstechnische System selbstbestimmt verfügt. Soweit die Nutzung des eigenen informationstechnischen [X.] über informationstechnische Systeme stattfindet, die sich in der Verfügungsgewalt anderer befinden, erstreckt sich der Schutz des Nutzers auch hierauf.

2. Das [X.]rundrecht auf [X.]ewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist nicht schrankenlos. Eingriffe können sowohl zu präventiven Zwecken als auch zur Strafverfolgung gerechtfertigt sein. Der Einzelne muss dabei nur solche Beschränkungen seines Rechts hinnehmen, die auf einer verfassungsmäßigen gesetzlichen [X.]rundlage beruhen. Hinsichtlich der vorliegend zu überprüfenden Ermächtigung der [X.]behörde, präventive Maßnahmen vorzunehmen, fehlt es daran.

a) Die angegriffene Norm wird dem [X.]ebot der Normenklarheit und Normenbestimmtheit nicht gerecht.

aa) Das Bestimmtheitsgebot findet auch im Hinblick auf das allgemeine Persönlichkeitsrecht in seinen verschiedenen Ausprägungen seine [X.]rundlage im Rechtsstaatsprinzip (Art. 20, Art. 28 Abs. 1 [X.][X.]; vgl. BVerf[X.]E 110, 33 <53, 57, 70>; 112, 284 <301>; 113, 348 <375>; 115, 320 <365>). Es soll sicherstellen, dass der demokratisch legitimierte Parlamentsgesetzgeber die wesentlichen Entscheidungen über [X.]rundrechtseingriffe und deren Reichweite selbst trifft, dass Regierung und Verwaltung im [X.]esetz steuernde und begrenzende Handlungsmaßstäbe vorfinden und dass die [X.]erichte die Rechtskontrolle durchführen können. Ferner sichern Klarheit und Bestimmtheit der Norm, dass der Betroffene die Rechtslage erkennen und sich auf mögliche belastende Maßnahmen einstellen kann (vgl. BVerf[X.]E 110, 33 <52 ff.>; 113, 348 <375 ff.>). Der [X.]esetzgeber hat Anlass, Zweck und [X.]renzen des Eingriffs hinreichend bereichsspezifisch, präzise und normenklar festzulegen (vgl. BVerf[X.]E 100, 313 <359 f., 372>; 110, 33 <53>; 113, 348 <375>; BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2466>).

Je nach der zu erfüllenden Aufgabe findet der [X.]esetzgeber unterschiedliche Möglichkeiten zur Regelung der [X.] vor. Die Anforderungen des Bestimmtheitsgrundsatzes richten sich auch nach diesen Regelungsmöglichkeiten (vgl. BVerf[X.]E 110, 33 <55 f.>; BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2467>). Bedient sich der [X.]esetzgeber unbestimmter Rechtsbegriffe, dürfen verbleibende Ungewissheiten nicht so weit gehen, dass die Vorhersehbarkeit und Justitiabilität des Handelns der durch die Normen ermächtigten staatlichen Stellen gefährdet sind (vgl. BVerf[X.]E 21, 73 <79 f.>; 31, 255 <264>; 83, 130 <145>; 102, 254 <337>; 110, 33 <56 f.>; BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2467>).

[X.]) Nach diesen Maßstäben genügt § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] dem [X.]ebot der Normenklarheit und Normenbestimmtheit insoweit nicht, als sich die tatbestandlichen Voraussetzungen der geregelten Maßnahmen dem [X.]esetz nicht hinreichend entnehmen lassen.

(1) Die Voraussetzungen für Maßnahmen nach § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] können über zwei Normverweisungen zu bestimmen sein. Zum einen verweist § 5 Abs. 2 [X.] allgemein auf § 7 Abs. 1 [X.], der seinerseits § 3 Abs. 1 [X.] in Bezug nimmt. Danach ist ein Einsatz nachrichtendienstlicher Mittel zulässig, wenn auf diese Weise verfassungsschutzrelevante Erkenntnisse gewonnen werden können. Zum anderen verweist § 5 Abs. 2 Nr. 11 Satz 2 [X.] für den Fall, dass eine Maßnahme nach § 5 Abs. 2 Nr. 11 [X.] in das Brief-, Post- oder Fernmeldegeheimnis eingreift oder einem solchen Eingriff nach Art und Schwere gleichkommt, auf die strengeren Voraussetzungen des [X.]esetzes zu Artikel 10 [X.]rundgesetz.

(2) Mit dem [X.]ebot der Normenklarheit und Normenbestimmtheit ist nicht vereinbar, dass § 5 Abs. 2 Nr. 11 Satz 2 [X.] für die Verweisung auf das [X.]esetz zu Artikel 10 [X.]rundgesetz darauf abstellt, ob eine Maßnahme in Art. 10 [X.][X.] eingreift. Die Antwort auf die Frage, in welche [X.]rundrechte Ermittlungsmaßnahmen der [X.]behörde eingreifen, kann komplexe Abschätzungen und Bewertungen erfordern. Zu ihnen ist zunächst und vorrangig der [X.]esetzgeber berufen. Seiner Aufgabe, die einschlägigen [X.]rundrechte durch entsprechende gesetzliche Vorkehrungen zu konkretisieren, kann er sich nicht entziehen, indem er durch eine bloße tatbestandliche Bezugnahme auf ein möglicherweise einschlägiges [X.]rundrecht die Entscheidung darüber, wie dieses [X.]rundrecht auszufüllen und umzusetzen ist, an die normvollziehende Verwaltung weiterreicht. Eine derartige „salvatorische“ Regelungstechnik genügt dem Bestimmtheitsgebot nicht bei einer Norm wie § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.], die neuartige Ermittlungsmaßnahmen vorsieht, welche auf neuere technologische Entwicklungen reagieren sollen.

Der Verstoß gegen das [X.]ebot der Normenklarheit wird noch vertieft durch den in § 5 Abs. 2 Nr. 11 Satz 2 [X.] enthaltenen Zusatz, die Verweisung auf das [X.]esetz zu Artikel 10 [X.]rundgesetz greife auch dann, wenn eine Ermittlungsmaßnahme einem Eingriff in Art. 10 [X.][X.] „in Art und Schwere“ gleichkommt. Damit werden die tatbestandlichen Voraussetzungen des geregelten Zugriffs von einem wertenden Vergleich zwischen diesem Zugriff und einer Maßnahme, die als Eingriff in ein bestimmtes [X.]rundrecht anzusehen wäre, abhängig gemacht. Für diesen Vergleich enthält § 5 Abs. 2 Nr. 11 Satz 2 [X.] keinerlei Maßstäbe. Wenn schon durch die bloße Verweisung auf ein bestimmtes [X.]rundrecht die Tatbestandsvoraussetzungen nicht hinreichend bestimmt geregelt werden können, so gilt dies erst recht für eine Norm, die einen derartigen, normativ nicht weiter angeleiteten Vergleich der geregelten Maßnahme mit einem Eingriff in ein bestimmtes [X.]rundrecht vorsieht.

(3) Die Verweisung auf das [X.]esetz zu Artikel 10 [X.]rundgesetz in § 5 Abs. 2 Nr. 11 Satz 2 [X.] genügt dem [X.]ebot der Normenklarheit und Normenbestimmtheit auch insoweit nicht, als die Reichweite der Verweisung nicht hinreichend bestimmt geregelt ist.

§ 5 Abs. 2 Nr. 11 Satz 2 [X.] verweist auf die „Voraussetzungen“ des [X.]esetzes zu Artikel 10 [X.]rundgesetz. Die Norm lässt damit weitgehend im Unklaren, auf welche Teile des [X.]esetzes zu Artikel 10 [X.]rundgesetz verwiesen werden soll. Ihr lässt sich nicht entnehmen, ob unter den Voraussetzungen dieses [X.]esetzes nur die in § 3 [X.] 10 geregelte materielle [X.] zu verstehen ist oder ob auch weitere Vorschriften in Bezug genommen werden sollen. So könnten auch die Verfahrensregelungen der §§ 9 ff. [X.] 10 zu den Voraussetzungen eines Eingriffs nach diesem [X.]esetz gezählt werden. Zumindest denkbar wäre sogar, die Verweisung noch weitergehend auf sowohl die materiellen [X.]n als auch sämtliche Verfahrensvorkehrungen des [X.]esetzes zu Artikel 10 [X.]rundgesetz zu beziehen, wie dies die nordrhein-westfälische [X.]regierung vorschlägt. Danach wären auch die in § 4 [X.] 10 enthaltenen Regelungen über den Umgang mit erhobenen Daten und die Normen der §§ 14 ff. [X.] 10 über die parlamentarische Kontrolle erfasst, obwohl diese Normen Regelungen enthalten, die erst nach einem Eingriff zu beachten sind und daher sprachlich kaum zu den [X.] gezählt werden können.

Es ist nicht ersichtlich, dass die unbestimmte Fassung des [X.]esetzes besonderen Regelungsschwierigkeiten geschuldet wäre. Dem [X.]esetzgeber wäre ohne weiteres möglich gewesen, in der Verweisungsnorm einzelne Vorschriften des [X.]esetzes zu Artikel 10 [X.]rundgesetz aufzuzählen, auf die verwiesen werden soll.

b) § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] wahrt auch nicht den [X.]rundsatz der Verhältnismäßigkeit. Dieser verlangt, dass ein [X.]rundrechtseingriff einem legitimen Zweck dient und als Mittel zu diesem Zweck geeignet, erforderlich und angemessen ist (vgl. BVerf[X.]E 109, 279 <335 ff.>; 115, 320 <345>; BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2468>; stRspr).

aa) Die in der angegriffenen Norm vorgesehenen Datenerhebungen dienen der [X.]behörde zur Erfüllung ihrer Aufgaben nach § 3 Abs. 1 [X.] und damit der im Vorfeld konkreter [X.]efahren einsetzenden Sicherung der freiheitlichen [X.] [X.]rundordnung, des Bestandes von Bund und Ländern sowie bestimmter auf das Verhältnis zum Ausland gerichteter Interessen der [X.]republik. Dabei wurde mit der Novellierung des [X.]gesetzes nach der [X.]esetzesbegründung insbesondere auch das Ziel verfolgt, eine effektive Terrorismusbekämpfung durch die [X.]behörde angesichts neuer, insbesondere mit der [X.]kommunikation verbundener, [X.]efährdungen sicherzustellen (vgl. [X.] 14/2211, [X.]). Allerdings ist der Anwendungsbereich der Neuregelung weder ausdrücklich noch als Folge des systematischen Zusammenhangs auf die Terrorismusbekämpfung begrenzt. Die Norm bedarf einer Rechtfertigung für ihr gesamtes Anwendungsfeld.

[X.] als verfasster Friedens- und Ordnungsmacht und die von ihm zu gewährleistende Sicherheit der Bevölkerung vor [X.]efahren für Leib, Leben und Freiheit sind Verfassungswerte, die mit anderen hochwertigen [X.]ütern im gleichen Rang stehen (vgl. BVerf[X.]E 49, 24 <56 f.>; 115, 320 <346>). Die Schutzpflicht findet ihren [X.]rund sowohl in Art. 2 Abs. 2 Satz 1 als auch in Art. 1 Abs. 1 Satz 2 [X.][X.] (vgl. BVerf[X.]E 115, 118 <152>). Der [X.]kommt seinen verfassungsrechtlichen Aufgaben nach, indem er [X.]efahren durch terroristische oder andere Bestrebungen entgegen tritt. Die vermehrte Nutzung elektronischer oder digitaler Kommunikationsmittel und deren Vordringen in nahezu alle Lebensbereiche erschwert es der [X.]behörde, ihre Aufgaben wirkungsvoll wahrzunehmen. Auch extremistischen und terroristischen Bestrebungen bietet die moderne Informationstechnik zahlreiche Möglichkeiten zur Anbahnung und Pflege von Kontakten sowie zur Planung und Vorbereitung, aber auch Durchführung von Straftaten. Maßnahmen des [X.]esetzgebers, die informationstechnische Mittel für staatliche Ermittlungen erschließen, sind insbesondere vor dem Hintergrund der Verlagerung herkömmlicher Kommunikationsformen hin zum elektronischen Nachrichtenverkehr und der Möglichkeiten zur Verschlüsselung oder Verschleierung von Dateien zu sehen (vgl. zur Strafverfolgung BVerf[X.]E 115, 166 <193>).

[X.]) [X.] auf informationstechnische Systeme ist geeignet, diesen Zielen zu dienen. Mit ihm werden die Möglichkeiten der [X.]behörde zur Aufklärung von Bedrohungslagen erweitert. Bei der Beurteilung der Eignung ist dem [X.]esetzgeber ein beträchtlicher Einschätzungsspielraum eingeräumt (vgl. BVerf[X.]E 77, 84 <106>; 90, 145 <173>; 109, 279 <336>). Es ist nicht ersichtlich, dass dieser Spielraum hier überschritten wurde.

Die in § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] enthaltene Befugnis verliert nicht dadurch ihre Eignung, dass der Betroffene nach einer in der Literatur vertretenen (vgl. etwa [X.], [X.] 2007, [X.] <165 f.>; [X.]ercke, [X.], S. 245 <253>; [X.], [X.], S. 575 <579>) und von den in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen geteilten Einschätzung technische Selbstschutzmöglichkeiten hat, um jedenfalls einen Zugriff wirkungsvoll zu verhindern, bei dem die Infiltration des Zielsystems mit Hilfe einer Zugriffssoftware durchgeführt wird. Im Rahmen der Eignungsprüfung ist nicht zu fordern, dass Maßnahmen, welche die angegriffene Norm erlaubt, stets oder auch nur im Regelfall Erfolg versprechen. Die gesetzgeberische Prognose, dass Zugriffe der geregelten Art im Einzelfall Erfolg haben können, ist zumindest nicht offensichtlich fehlsam. Es kann nicht als selbstverständlich unterstellt werden, dass jede mögliche Zielperson eines Zugriffs bestehende Schutzmöglichkeiten dagegen nutzt und tatsächlich fehlerfrei implementiert. Im Übrigen erscheint denkbar, dass sich im Zuge der weiteren informationstechnischen Entwicklung für die [X.]behörde Zugriffsmöglichkeiten auftun, die sich technisch nicht mehr oder doch nur mit unverhältnismäßigem Aufwand unterbinden lassen.

Weiter ist die Eignung der geregelten Befugnis auch nicht deshalb zu verneinen, weil möglicherweise der Beweiswert der Erkenntnisse, die mittels des Zugriffs gewonnen werden, begrenzt ist. Insoweit wird vorgebracht, eine technische Echtheitsbestätigung der erhobenen Daten setze grundsätzlich eine exklusive Kontrolle des Zielsystems im fraglichen Zeitpunkt voraus (vgl. [X.]/[X.], [X.], [X.] <228>). Jedoch bewirken diese Schwierigkeiten der Beweissicherung nicht, dass den erhobenen Daten kein Informationswert zukommt. Zudem dient der Online-Zugriff nach der angegriffenen Norm nicht unmittelbar der [X.]ewinnung revisionsfester Beweise für ein Strafverfahren, sondern soll der [X.]behörde Kenntnisse verschaffen, an deren Zuverlässigkeit wegen der andersartigen Aufgabenstellung des [X.]es zur Prävention im Vorfeld konkreter [X.]efahren geringere Anforderungen zu stellen sind als in einem Strafverfahren.

[X.]) [X.] auf informationstechnische Systeme verletzt auch den [X.]rundsatz der Erforderlichkeit nicht. Im Rahmen seiner Einschätzungsprärogative durfte der [X.]esetzgeber annehmen, dass kein ebenso wirksamer, aber den Betroffenen weniger belastender Weg gegeben ist, die auf solchen Systemen vorhandenen Daten zu erheben.

[X.]rundsätzlich ist zwar eine - im [X.]gesetz nicht vorgesehene - offene Durchsuchung des Zielsystems gegenüber dem heimlichen Zugriff als milderes Mittel anzusehen (vgl. [X.], [X.], [X.] <580>). Hat die [X.]behörde jedoch im Rahmen ihrer Aufgabenstellung einen hinreichenden [X.]rund, die auf den Speichermedien eines informationstechnischen [X.] abgelegten Dateien umfassend - unter Einschluss verschlüsselter Daten - zu sichten, über einen längeren Zeitraum Änderungen zu verfolgen oder die Nutzung des [X.] umfassend zu überwachen, so sind mildere Mittel, diese Erkenntnisziele zu erreichen, nicht ersichtlich. [X.]leiches gilt für den Zugriff auf verschlüsselte Inhalte der [X.]kommunikation, soweit ein Zugriff auf der Übertragungsstrecke nicht erfolgversprechend ist.

[X.]) § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] wahrt jedoch nicht das [X.]ebot der Verhältnismäßigkeit im engeren Sinne.

Dieses [X.]ebot verlangt, dass die Schwere des Eingriffs bei einer [X.]esamtabwägung nicht außer Verhältnis zu dem [X.]ewicht der ihn rechtfertigenden [X.]ründe stehen darf (vgl. BVerf[X.]E 90, 145 <173>; 109, 279 <349 ff.>; 113, 348 <382>; stRspr). Der [X.]esetzgeber hat das Individualinteresse, das durch einen [X.]rundrechtseingriff beschnitten wird, den [X.], denen der Eingriff dient, angemessen zuzuordnen. Die Prüfung an diesem Maßstab kann dazu führen, dass ein Mittel nicht zur Durchsetzung von [X.] angewandt werden darf, weil die davon ausgehenden [X.]rundrechtsbeeinträchtigungen schwerer wiegen als die durchzusetzenden Belange (vgl. BVerf[X.]E 115, 320 <345 f.>; BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2469>).

§ 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] genügt dem nicht. Die in dieser Norm vorgesehenen Maßnahmen bewirken derart intensive [X.]rundrechtseingriffe, dass sie zu dem öffentlichen Ermittlungsinteresse, das sich aus dem geregelten [X.] ergibt, außer Verhältnis stehen. Zudem bedarf es ergänzender verfahrensrechtlicher Vorgaben, um den grundrechtlich geschützten Interessen des Betroffenen Rechnung zu tragen; auch an ihnen fehlt es.

(1) § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] ermächtigt zu [X.]rundrechtseingriffen von hoher Intensität.

(a) Eine staatliche Datenerhebung aus komplexen informationstechnischen Systemen weist ein beträchtliches Potential für die Ausforschung der Persönlichkeit des Betroffenen auf. Dies gilt bereits für einmalige und punktuelle Zugriffe wie beispielsweise die Beschlagnahme oder Kopie von Speichermedien solcher Systeme (vgl. zu solchen Fallgestaltungen etwa BVerf[X.]E 113, 29; 115, 166; 117, 244).

(aa) Ein solcher heimlicher Zugriff auf ein informationstechnisches System öffnet der handelnden staatlichen Stelle den Zugang zu einem Datenbestand, der herkömmliche Informationsquellen an Umfang und Vielfältigkeit bei weitem übertreffen kann. Dies liegt an der Vielzahl unterschiedlicher Nutzungsmöglichkeiten, die komplexe informationstechnische Systeme bieten und die mit der Erzeugung, Verarbeitung und Speicherung von personenbezogenen Daten verbunden sind. Insbesondere werden solche [X.]eräte nach den gegenwärtigen Nutzungsgepflogenheiten typischerweise bewusst zum Speichern auch persönlicher Daten von gesteigerter Sensibilität, etwa in Form privater Text-, Bild- oder Tondateien, genutzt. Der verfügbare Datenbestand kann detaillierte Informationen über die persönlichen Verhältnisse und die Lebensführung des Betroffenen, die über verschiedene Kommunikationswege geführte private und geschäftliche Korrespondenz oder auch tagebuchartige persönliche Aufzeichnungen umfassen.

Ein staatlicher Zugriff auf einen derart umfassenden Datenbestand ist mit dem naheliegenden Risiko verbunden, dass die erhobenen Daten in einer [X.]esamtschau weitreichende Rückschlüsse auf die Persönlichkeit des Betroffenen bis hin zu einer Bildung von Verhaltens- und Kommunikationsprofilen ermöglichen.

([X.]) Soweit Daten erhoben werden, die Aufschluss über die Kommunikation des Betroffenen mit [X.] geben, wird die Intensität des [X.]rundrechtseingriffs dadurch weiter erhöht, dass die - auch im Allgemeinwohl liegende - Möglichkeit der Bürger beschränkt wird, an einer unbeobachteten Fernkommunikation teilzunehmen (vgl. zur Erhebung von Verbindungsdaten BVerf[X.]E 115, 166 <187 ff.>). Eine Erhebung solcher Daten beeinträchtigt mittelbar die Freiheit der Bürger, weil die Furcht vor Überwachung, auch wenn diese erst nachträglich einsetzt, eine unbefangene Individualkommunikation verhindern kann. Zudem weisen solche Datenerhebungen insoweit eine beträchtliche, das [X.]ewicht des Eingriffs erhöhende Streubreite auf, als mit den Kommunikationspartnern der Zielperson notwendigerweise Dritte erfasst werden, ohne dass es darauf ankäme, ob in deren Person die Voraussetzungen für einen derartigen Zugriff vorliegen (vgl. zur Telekommunikationsüberwachung BVerf[X.]E 113, 348 <382 f.>; ferner BVerf[X.]E 34, 238 <247>; 107, 299 <321>).

(b) Das [X.]ewicht des [X.]rundrechtseingriffs ist von besonderer Schwere, wenn - wie dies die angegriffene Norm vorsieht - eine heimliche technische Infiltration die längerfristige Überwachung der Nutzung des [X.] und die laufende Erfassung der entsprechenden Daten ermöglicht.

(aa) Umfang und Vielfältigkeit des Datenbestands, der durch einen derartigen Zugriff erlangt werden kann, sind noch erheblich größer als bei einer einmaligen und punktuellen Datenerhebung. Der Zugriff macht auch lediglich im Arbeitsspeicher gehaltene flüchtige oder nur temporär auf den Speichermedien des Zielsystems abgelegte Daten für die Ermittlungsbehörde verfügbar. Er ermöglicht zudem, die gesamte [X.]kommunikation des Betroffenen über einen längeren Zeitraum mitzuverfolgen. Im Übrigen kann sich die Streubreite der Ermittlungsmaßnahme erhöhen, wenn das Zielsystem in ein (lokales) Netzwerk eingebunden ist, auf das der Zugriff erstreckt wird.

Flüchtige oder nur temporär gespeicherte Daten können eine besondere Relevanz für die Persönlichkeit des Betroffenen aufweisen oder einen Zugriff auf weitere, besonders sensible Daten ermöglichen. Dies gilt etwa für Cache-Speicher, die von Dienstprogrammen wie etwa Web-Browsern angelegt werden und deren Auswertung Schlüsse über die Nutzung solcher Programme und damit mittelbar über Vorlieben oder Kommunikationsgewohnheiten des Betroffenen ermöglichen kann, oder für Passwörter, mit denen der Betroffene Zugang zu technisch gesicherten Inhalten auf seinem System oder im Netz erlangt. Zudem ist eine längerfristige Überwachung der [X.]kommunikation, wie sie die angegriffene Norm ermöglicht, gegenüber einer einmaligen Erhebung von [X.] und Kommunikationsumständen gleichfalls ein erheblich intensiverer Eingriff. Schließlich ist zu berücksichtigen, dass der geregelte Zugriff unter anderem darauf angelegt und dazu geeignet ist, den Einsatz von Verschlüsselungstechnologie zu umgehen. Auf diese Weise werden eigene Schutzvorkehrungen des Betroffenen gegen einen von ihm nicht gewollten Datenzugriff unterlaufen. Die Vereitelung solchen informationellen Selbstschutzes erhöht das [X.]ewicht des [X.]rundrechtseingriffs.

Auch das Risiko einer Bildung von Verhaltens- und Kommunikationsprofilen erhöht sich durch die Möglichkeit, über einen längeren Zeitraum die Nutzung des Zielsystems umfassend zu überwachen. Die Behörde kann auf diese Weise die persönlichen Verhältnisse und das [X.] des Betroffenen weitgehend ausforschen. Eine solche umfassende Erhebung persönlicher Daten ist als [X.]rundrechtseingriff von besonders hoher Intensität anzusehen.

([X.]) Die Eingriffsintensität des geregelten Zugriffs wird weiter durch dessen Heimlichkeit bestimmt. In einem Rechtsstaat ist Heimlichkeit staatlicher Eingriffsmaßnahmen die Ausnahme und bedarf besonderer Rechtfertigung (vgl. BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2469 f.>). Erfährt der Betroffene von einer ihn belastenden staatlichen Maßnahme vor ihrer Durchführung, kann er von vornherein seine Interessen wahrnehmen. Er kann zum einen rechtlich gegen sie vorgehen, etwa gerichtlichen Rechtsschutz in Anspruch nehmen. Zum anderen hat er bei einer offen durchgeführten Datenerhebung faktisch die Möglichkeit, durch sein Verhalten auf den [X.]ang der Ermittlung einzuwirken. Der Ausschluss dieser Einflusschance verstärkt das [X.]ewicht des [X.]rundrechtseingriffs (vgl. zu rechtlichen Abwehrmöglichkeiten BVerf[X.]E 113, 348 <383 f.>; 115, 320 <353>).

([X.]) Das [X.]ewicht des Eingriffs wird schließlich dadurch geprägt, dass infolge des Zugriffs [X.]efahren für die Integrität des Zugriffsrechners sowie für Rechtsgüter des Betroffenen oder auch Dritter begründet werden.

Die in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen haben ausgeführt, es könne nicht ausgeschlossen werden, dass der Zugriff selbst bereits Schäden auf dem Rechner verursacht. So könnten Wechselwirkungen mit dem Betriebssystem zu Datenverlusten führen (vgl. auch [X.]/[X.], [X.], [X.] <228>). Zudem ist zu beachten, dass es einen rein lesenden Zugriff infolge der Infiltration nicht gibt. Sowohl die zugreifende Stelle als auch Dritte, die eventuell das Zugriffsprogramm missbrauchen, können aufgrund der Infiltration des Zugriffsrechners Datenbestände versehentlich oder sogar durch gezielte Manipulationen löschen, verändern oder neu anlegen. Dies kann den Betroffenen in vielfältiger Weise mit oder ohne Zusammenhang zu den Ermittlungen schädigen.

Je nach der eingesetzten [X.]kann die Infiltration auch weitere Schäden verursachen, die im Zuge der Prüfung der Angemessenheit einer staatlichen Maßnahme mit zu berücksichtigen sind. Wird dem Betroffenen etwa eine Infiltrationssoftware in Form eines vermeintlich nützlichen Programms zugespielt, lässt sich nicht ausschließen, dass er dieses Programm an Dritte weiterleitet, deren Systeme in der Folge ebenfalls geschädigt werden. Werden zur Infiltration bislang unbekannte Sicherheitslücken des Betriebssystems genutzt, kann dies einen Zielkonflikt zwischen den öffentlichen Interessen an einem erfolgreichen Zugriff und an einer möglichst großen Sicherheit informationstechnischer Systeme auslösen. In der Folge besteht die [X.]efahr, dass die Ermittlungsbehörde es etwa unterlässt, gegenüber anderen Stellen Maßnahmen zur Schließung solcher Sicherheitslücken anzuregen, oder sie sogar aktiv darauf hinwirkt, dass die Lücken unerkannt bleiben. Der Zielkonflikt könnte daher das Vertrauen der Bevölkerung beeinträchtigen, dass der Staat um eine möglichst hohe Sicherheit der Informationstechnologie bemüht ist.

(2) Der [X.]rundrechtseingriff, der in dem heimlichen Zugriff auf ein informationstechnisches System liegt, entspricht im Rahmen einer präventiven Zielsetzung angesichts seiner Intensität nur dann dem [X.]ebot der Angemessenheit, wenn bestimmte Tatsachen auf eine im Einzelfall drohende [X.]efahr für ein überragend wichtiges Rechtsgut hinweisen, selbst wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die [X.]efahr schon in näherer Zukunft eintritt. Zudem muss das [X.]esetz, das zu einem derartigen Eingriff ermächtigt, den [X.]rundrechtsschutz für den Betroffenen auch durch geeignete Verfahrensvorkehrungen sichern.

(a) In dem Spannungsverhältnis zwischen der Pflicht des Staates zum Rechtsgüterschutz und dem Interesse des Einzelnen an der Wahrung seiner von der [X.]verbürgten Rechte gehört es zur Aufgabe des [X.]esetzgebers, in abstrakter Weise einen Ausgleich der widerstreitenden Interessen zu erreichen (vgl. BVerf[X.]E 109, 279 <350>). Dies kann dazu führen, dass bestimmte intensive [X.]rundrechtseingriffe nur zum Schutz bestimmter Rechtsgüter und erst von bestimmten Verdachts- oder [X.]efahrenstufen an vorgesehen werden dürfen. In dem Verbot unangemessener [X.]rundrechtseingriffe finden auch die Pflichten des [X.]zum Schutz anderer Rechtsgüter ihre [X.]renze (vgl. BVerf[X.]E 115, 320 <358>). Entsprechende [X.]n sind durch eine gesetzliche Regelung zu gewährleisten (vgl. BVerf[X.]E 100, 313 <383 f.>; 109, 279 <350 ff.>; 115, 320 <346>).

(b) Ein [X.]rundrechtseingriff von hoher Intensität kann bereits als solcher unverhältnismäßig sein, wenn der gesetzlich geregelte [X.] kein hinreichendes [X.]ewicht aufweist. Soweit das einschlägige [X.]esetz der Abwehr bestimmter [X.]efahren dient, wie sich dies für das [X.]gesetz aus § 1 [X.] ergibt, kommt es für das [X.]ewicht des [X.]es maßgeblich auf den Rang und die Art der [X.]efährdung der Schutzgüter an, die in der jeweiligen Regelung in Bezug genommen werden (vgl. BVerf[X.]E 115, 320 <360 f.>).

Wiegen die Schutzgüter einer Eingriffsermächtigung als solche hinreichend schwer, um [X.]rundrechtseingriffe der geregelten Art zu rechtfertigen, begründet der Verhältnismäßigkeitsgrundsatz verfassungsrechtliche Anforderungen an die tatsächlichen Voraussetzungen des Eingriffs. Der [X.]esetzgeber hat insoweit die Ausgewogenheit zwischen der Art und Intensität der [X.]rundrechtsbeeinträchtigung einerseits und den zum Eingriff berechtigenden Tatbestandselementen andererseits zu wahren (vgl. BVerf[X.]E 100, 313 <392 ff.>). Die Anforderungen an den Wahrscheinlichkeitsgrad und die Tatsachenbasis der Prognose müssen in angemessenem Verhältnis zur Art und Schwere der [X.]rundrechtsbeeinträchtigung stehen. Selbst bei höchstem [X.]ewicht der drohenden Rechtsgutsbeeinträchtigung kann auf das Erfordernis einer hinreichenden Eintrittswahrscheinlichkeit nicht verzichtet werden. Auch muss als Voraussetzung eines schweren [X.]rundrechtseingriffs gewährleistet bleiben, dass Annahmen und Schlussfolgerungen einen konkret umrissenen Ausgangspunkt im Tatsächlichen besitzen (vgl. BVerf[X.]E 113, 348 <386>; 115, 320 <360 f.>).

(c) Der Verhältnismäßigkeitsgrundsatz setzt einer gesetzlichen Regelung, die zum heimlichen Zugriff auf informationstechnische Systeme ermächtigt, zunächst insoweit [X.]renzen, als besondere Anforderungen an den [X.] bestehen. Dieser besteht hier in der [X.]efahrenprävention im Rahmen der Aufgaben der [X.]behörde gemäß § 1 [X.].

(aa) Ein derartiger Eingriff darf nur vorgesehen werden, wenn die Eingriffsermächtigung ihn davon abhängig macht, dass tatsächliche Anhaltspunkte einer konkreten [X.]efahr für ein überragend wichtiges Rechtsgut vorliegen. Überragend wichtig sind zunächst Leib, Leben und Freiheit der Person. Ferner sind überragend wichtig solche [X.]üter der Allgemeinheit, deren Bedrohung die [X.]rundlagen oder den Bestand des Staates oder die [X.]rundlagen der Existenz der Menschen berührt. Hierzu zählt etwa auch die Funktionsfähigkeit wesentlicher Teile existenzsichernder öffentlicher Versorgungseinrichtungen.

Zum Schutz sonstiger Rechtsgüter Einzelner oder der Allgemeinheit in Situationen, in denen eine existentielle Bedrohungslage nicht besteht, ist eine staatliche Maßnahme grundsätzlich nicht angemessen, durch die - wie hier - die Persönlichkeit des Betroffenen einer weitgehenden Ausspähung durch die Ermittlungsbehörde preisgegeben wird. Zum Schutz solcher Rechtsgüter hat sich der Staat auf andere Ermittlungsbefugnisse zu beschränken, die ihm das jeweils anwendbare Fachrecht im präventiven Bereich einräumt.

([X.]) Die gesetzliche Ermächtigungsgrundlage muss weiter als Voraussetzung des heimlichen Zugriffs vorsehen, dass zumindest tatsächliche Anhaltspunkte einer konkreten [X.]efahr für die hinreichend gewichtigen Schutzgüter der Norm bestehen.

α) Das Erfordernis tatsächlicher Anhaltspunkte führt dazu, dass Vermutungen oder allgemeine Erfahrungssätze allein nicht ausreichen, um den Zugriff zu rechtfertigen. Vielmehr müssen bestimmte Tatsachen festgestellt sein, die eine [X.]efahrenprognose tragen (vgl. BVerf[X.]E 110, 33 <61>; 113, 348 <378>).

Diese Prognose muss auf die Entstehung einer konkreten [X.]efahr bezogen sein. Dies ist eine Sachlage, bei der im Einzelfall die hinreichende Wahrscheinlichkeit besteht, dass in absehbarer Zeit ohne Eingreifen des [X.]ein Schaden für die Schutzgüter der Norm durch bestimmte Personen verursacht wird. Die konkrete [X.]efahr wird durch drei Kriterien bestimmt: den Einzelfall, die zeitliche Nähe des Umschlagens einer [X.]efahr in einen Schaden und den Bezug auf individuelle Personen als Verursacher. Der hier zu beurteilende Zugriff auf das informationstechnische System kann allerdings schon gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die [X.]efahr schon in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall drohende [X.]efahr für ein überragend wichtiges Rechtsgut hinweisen. Die Tatsachen müssen zum einen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares [X.]eschehen zulassen, zum anderen darauf, dass bestimmte Personen beteiligt sein werden, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann.

Dagegen wird dem [X.]ewicht des [X.]rundrechtseingriffs, der in dem heimlichen Zugriff auf ein informationstechnisches System liegt, nicht hinreichend Rechnung getragen, wenn der tatsächliche [X.] noch weitergehend in das Vorfeld einer im Einzelnen noch nicht absehbaren konkreten [X.]efahr für die Schutzgüter der Norm verlegt wird.

Eine Anknüpfung der [X.] an das Vorfeldstadium ist verfassungsrechtlich angesichts der Schwere des Eingriffs nicht hinnehmbar, wenn nur ein durch relativ diffuse Anhaltspunkte für mögliche [X.]efahren gekennzeichnetes  [X.]eschehen bekannt ist. Die Tatsachenlage ist dann häufig durch eine hohe Ambivalenz der Bedeutung einzelner Beobachtungen gekennzeichnet. Die [X.]eschehnisse können in harmlosen Zusammenhängen verbleiben, aber auch den Beginn eines Vorgangs bilden, der in eine [X.]efahr mündet (vgl. zur Straftatenverhütung BVerf[X.]E 110, 33 <59>).

β) Die verfassungsrechtlichen Anforderungen an die Regelung des tatsächlichen [X.]es sind im Fall des heimlichen Zugriffs auf ein informationstechnisches System für alle Eingriffsermächtigungen mit präventiver Zielsetzung zu beachten. Da die Beeinträchtigung durch den Eingriff in [X.] diesen Fällen für die Betroffenen die [X.]leiche ist, besteht hinsichtlich seiner Anforderungen kein Anlass zu behördenbezogenen Differenzierungen, etwa zwischen Polizeibehörden und anderen mit präventiven Aufgaben betrauten Behörden wie [X.]behörden. Dass Polizei- und [X.]behörden unterschiedliche Aufgaben und Befugnisse haben und in der Folge Maßnahmen mit unterschiedlicher Eingriffstiefe vornehmen können, ist für die [X.]ewichtung des heimlichen Zugriffs auf das informationstechnische System grundsätzlich ohne Belang.

Zwar können Differenzierungen zwischen den Ermächtigungen der verschiedenen Behörden mit präventiven Aufgaben vor der Verfassung Bestand haben. So rechtfertigen die besonderen Zwecke im Bereich der strategischen Telekommunikationsüberwachung durch den [X.]nachrichtendienst, dass die [X.] anders bestimmt werden als im Polizei- oder Strafprozessrecht (vgl. BVerf[X.]E 100, 313 <383>). Auch können die Einschreitvoraussetzungen für Ermittlungsmaßnahmen unterschiedlich gestaltet werden, je nachdem welche Behörde mit welcher Zielsetzung handelt. Auf diese Weise kann etwa der besonderen Aufgabenstellung der [X.]behörden zur Aufklärung verfassungsfeindlicher Bestrebungen im Vorfeld konkreter [X.]efahren Rechnung getragen werden (vgl. allgemein zum Problem adäquater Ermittlungsregelungen im Vorfeldbereich Möstl, DVBl 2007, [X.]; [X.], [X.] 2006, [X.]). So ist es grundsätzlich verfassungsrechtlich nicht zu beanstanden, dass die [X.]behörden nachrichtendienstliche Mittel auch einsetzen dürfen, um Erkenntnisse über [X.]ruppierungen zu erlangen, die die Schutzgüter des [X.]gesetzes - zumindest noch - auf dem Boden der Legalität bekämpfen. Auch ist für den Einsatz solcher Mittel nicht generell zu fordern, dass über die stets erforderlichen tatsächlichen Anhaltspunkte für derartige Bestrebungen (vgl. etwa § 7 Abs. 1 Nr. 1 i.V.m. § 3 Abs. 1 [X.]) hinaus konkrete Verdachtsmomente bestehen.

Jedoch ist der [X.]esetzgeber auch bei der Regelung der einzelnen Befugnisse von Sicherheitsbehörden, deren Aufgabe in der Vorfeldaufklärung besteht, an die verfassungsrechtlichen Vorgaben gebunden, die sich aus dem Verhältnismäßigkeitsgrundsatz ergeben. Dies kann dazu führen, dass auch solche Behörden zu bestimmten intensiven [X.]rundrechtseingriffen nur dann ermächtigt werden dürfen, wenn erhöhte Anforderungen an die Regelung des [X.]es gewahrt sind. So liegt es insbesondere bei dem heimlichen Zugriff auf ein informationstechnisches System, der unabhängig von der handelnden Behörde das Risiko birgt, dass der Betroffene für eine weitgehende staatliche Ausspähung seiner Persönlichkeit verfügbar gemacht wird. Auch wenn es nicht gelingen sollte, speziell auf im Vorfeld tätige Behörden zugeschnittene gesetzliche Maßgaben für den [X.] zu entwickeln, die dem [X.]ewicht und der Intensität der [X.]rundrechtsgefährdung in vergleichbarem Maße Rechnung tragen wie es der überkommene [X.]efahrenbegriff etwa im Polizeirecht leistet, wäre dies kein verfassungsrechtlich hinnehmbarer Anlass, die tatsächlichen Voraussetzungen für einen Eingriff der hier vorliegenden Art abzumildern.

(d) Weiter muss eine Ermächtigung zum heimlichen Zugriff auf informationstechnische Systeme mit geeigneten gesetzlichen Vorkehrungen verbunden werden, um die Interessen des Betroffenen verfahrensrechtlich abzusichern. Sieht eine Norm heimliche Ermittlungstätigkeiten des [X.]vor, die - wie hier - besonders geschützte Zonen der Privatheit berühren oder eine besonders hohe Eingriffsintensität aufweisen, ist dem [X.]ewicht des [X.]rundrechtseingriffs durch geeignete Verfahrensvorkehrungen Rechnung zu tragen (vgl. BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2471>, m.w.N.). Insbesondere ist der Zugriff grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen.

(aa) Ein solcher Vorbehalt ermöglicht die vorbeugende Kontrolle einer geplanten heimlichen Ermittlungsmaßnahme durch eine unabhängige und neutrale Instanz. Eine derartige Kontrolle kann bedeutsames Element eines effektiven [X.]rundrechtsschutzes sein. Sie ist zwar nicht dazu geeignet, die Mängel einer zu unbestimmt geregelten oder zu niedrig angesetzten [X.] auszugleichen, da auch die unabhängige Prüfungsinstanz nur sicherstellen kann, dass die geregelten [X.] eingehalten werden (vgl. BVerf[X.]E 110, 33 <67 f.>). Sie kann aber gewährleisten, dass die Entscheidung über eine heimliche Ermittlungsmaßnahme auf die Interessen des Betroffenen hinreichend Rücksicht nimmt, wenn der Betroffene selbst seine Interessen aufgrund der Heimlichkeit der Maßnahme im [X.]nicht wahrnehmen kann. Die Kontrolle dient insoweit der „kompensatorischen Repräsentation“ der Interessen des Betroffenen im Verwaltungsverfahren (vgl. SächsVerf[X.]H, Urteil vom 14. Mai 1996 - [X.] -, [X.] 1996, [X.] <964>).

([X.]) Bewirkt eine heimliche Ermittlungsmaßnahme einen schwerwiegenden [X.]rundrechtseingriff, so ist eine vorbeugende Kontrolle durch eine unabhängige Instanz verfassungsrechtlich geboten, weil der Betroffene sonst ungeschützt bliebe. Dem [X.]esetzgeber ist allerdings bei der [X.]estaltung der Kontrolle im Einzelnen, etwa bei der Entscheidung über die kontrollierende Stelle und das anzuwendende Verfahren, grundsätzlich ein Regelungsspielraum eingeräumt. Bei einem [X.]rundrechtseingriff von besonders hohem [X.]ewicht wie dem heimlichen Zugriff auf ein informationstechnisches System reduziert sich der Spielraum dahingehend, dass die Maßnahme grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen ist. [X.] können aufgrund ihrer persönlichen und sachlichen Unabhängigkeit und ihrer ausschließlichen Bindung an das [X.]esetz die Rechte des Betroffenen im Einzelfall am besten und sichersten wahren (vgl. BVerf[X.]E 103, 142 <151>; 107, 299 <325>). Vorausgesetzt ist allerdings, dass sie die Rechtmäßigkeit der vorgesehenen Maßnahme eingehend prüfen und die [X.]ründe schriftlich festhalten (zu den Anforderungen an die Anordnung einer akustischen Wohnraumüberwachung vgl. BVerf[X.]E 109, 279 <358 ff.>; zur Kritik an der Praxis der Ausübung des [X.]vorbehalts bei Wohnungsdurchsuchungen vgl. BVerf[X.]E 103, 142 <152>, m.w.N.).

Der [X.]esetzgeber darf eine andere Stelle nur dann mit der Kontrolle betrauen, wenn diese gleiche [X.]ewähr für ihre Unabhängigkeit und Neutralität bietet wie ein [X.]. Auch von ihr muss eine Begründung zur Rechtmäßigkeit gegeben werden.

Von dem Erfordernis einer vorherigen Kontrolle der Maßnahme durch eine dafür geeignete neutrale Stelle darf eine Ausnahme für Eilfälle, etwa bei [X.]efahr im Verzug, vorgesehen werden, wenn für eine anschließende Überprüfung durch die neutrale Stelle gesorgt ist. Für die tatsächlichen und rechtlichen Voraussetzungen der Annahme eines Eilfalls bestehen dabei indes wiederum verfassungsrechtliche Vorgaben (vgl. BVerf[X.]E 103, 142 <153 ff.> zu Art. 13 Abs. 2 [X.][X.]).

(3) Nach diesen Maßstäben genügt die angegriffene Norm nicht den verfassungsrechtlichen Anforderungen.

(a) Nach § 5 Abs. 2 in Verbindung mit § 7 Abs. 1 Nr. 1 und § 3 Abs. 1 [X.] sind Voraussetzung für den Einsatz nachrichtendienstlicher Mittel durch die [X.]behörde lediglich tatsächliche Anhaltspunkte für die Annahme, dass auf diese Weise Erkenntnisse über verfassungsfeindliche Bestrebungen gewonnen werden können. Dies ist sowohl hinsichtlich der tatsächlichen Voraussetzungen für den Eingriff als auch des [X.]ewichts der zu schützenden Rechtsgüter keine hinreichende materielle [X.]. Auch ist eine vorherige Prüfung durch eine unabhängige Stelle nicht vorgesehen, so dass die verfassungsrechtlich geforderte verfahrensrechtliche Sicherung fehlt.

(b) Diese Mängel entf[X.] nicht, wenn die Verweisung des § 5 Abs. 2 Nr. 11 Satz 2 [X.] auf die näheren Voraussetzungen nach dem [X.]esetz zu Artikel 10 [X.]rundgesetz trotz ihrer Unbestimmtheit in die Prüfung einbezogen und in der weiten Interpretation der nordrhein-westfälischen [X.]regierung so verstanden wird, dass sie sich auf sämtliche formellen und materiellen Vorkehrungen dieses [X.]esetzes bezieht. § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] beschränkt den heimlichen Zugriff auf ein informationstechnisches System nicht auf eine Telekommunikationsüberwachung, deren Voraussetzungen § 3 Abs. 1 [X.] 10 regelt, sondern ermöglicht derartige Zugriffe grundsätzlich zur [X.]ewinnung aller verfügbaren Daten.

Weder die Regelung der [X.] noch die verfahrensrechtlichen Vorgaben in den in § 3 Abs. 1 [X.] 10 vorgesehenen Eingriffstatbeständen genügen den verfassungsrechtlichen Anforderungen.

(aa) Nach § 3 Abs. 1 Satz 1 [X.] 10 ist eine Überwachungsmaßnahme zulässig, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand eine Straftat aus einem in der Norm geregelten Katalog plant, begeht oder begangen hat. Der Straftatenkatalog lässt zum einen kein Konzept erkennen, nach dem es gerechtfertigt sein könnte, sämtliche dort aufgeführten Straftaten zum Anlass von Maßnahmen nach § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] zu nehmen. So ist nicht bei [X.] in Bezug genommenen Normen gesichert, dass der Zugriff im konkreten Fall der Abwehr eines der oben (C I 2 b, [X.] <2> <c> <aa>) aufgeführten überragend wichtigen Rechtsgüter dient. Zum andern stellt die Verweisung auf § 3 Abs. 1 Satz 1 [X.] 10 nicht in jedem Fall sicher, dass der heimliche Zugriff auf ein informationstechnisches System nur erfolgt, wenn solche Rechtsgüter im Einzelfall mit hinreichender Wahrscheinlichkeit ([X.] 2 b, [X.] <2> <c> <[X.]>) in näherer Zukunft gefährdet sind.

[X.]emäß § 3 Abs. 1 Satz 2 [X.] 10 kann eine Überwachungsmaßnahme auch angeordnet werden, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Mitglied einer Vereinigung ist, deren Zwecke oder deren Tätigkeit darauf gerichtet sind, Straftaten zu begehen, die sich gegen die Schutzgüter des [X.]es richten. Die Straftaten werden allerdings nur allgemein umschrieben, so dass das Risiko einer ausweitenden Auslegung naheliegt, die einen Eingriff auch zum Schutz von Rechtsgütern ermöglichen würde, die nicht überragend wichtig sind. Zudem müssten nach dieser Vorschrift nicht in jedem Fall, in dem der [X.] des § 3 Abs. 1 Satz 2 [X.] 10 verwirklicht ist, hinreichende tatsächliche Anhaltspunkte für eine im Einzelfall von dieser Person oder der Vereinigung drohende [X.]efahr für ein überragend wichtiges Rechtsgut vorliegen.

([X.]) § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] genügt weiter selbst dann, wenn die Verweisung auf das [X.]esetz zu Artikel 10 [X.]rundgesetz einbezogen wird, nicht den verfassungsrechtlichen Anforderungen an die vorbeugende Kontrolle eines heimlichen Zugriffs auf ein informationstechnisches System.

§ 10 [X.] 10 sieht eine vorherige Anordnung der Überwachungsmaßnahme vor, die auf Antrag der [X.]behörde von der zuständigen obersten [X.]behörde erteilt wird. Dieses Verfahren reicht nicht aus, um die von Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] geforderte vorbeugende Kontrolle sicherzustellen. Das [X.]esetz regelt weder einen [X.]vorbehalt noch - da die in § 3 Abs. 6 A[X.] [X.] 10 [X.] enthaltene Regelung einer vorbeugenden Kontrolle durch die [X.] 10-[X.] nicht von dem Verweis erfasst ist - einen gleichwertigen Kontrollmechanismus. Die zuständige oberste [X.]behörde kann, anders als ein [X.]ericht, aufgrund ihres Ressortzuschnitts ein eigenes Interesse an der Durchführung nachrichtendienstlicher Maßnahmen des [X.]es haben. Sie bietet keine vergleichbare [X.]ewähr für die Unabhängigkeit und Neutralität einer Kontrolle wie ein [X.]ericht.

c) Schließlich fehlt es an hinreichenden gesetzlichen Vorkehrungen, um Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung durch Maßnahmen nach § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.] zu vermeiden.

aa) Heimliche Überwachungsmaßnahmen staatlicher Stellen haben einen unantastbaren Kernbereich privater Lebensgestaltung zu wahren, dessen Schutz sich aus Art. 1 Abs. 1 [X.][X.] ergibt (vgl. BVerf[X.]E 6, 32 <41>; 27, 1 <6>; 32, 373 <378 f.>; 34, 238 <245>; 80, 367 <373>; 109, 279 <313>; 113, 348 <390>). Selbst überwiegende Interessen der Allgemeinheit können einen Eingriff in ihn nicht rechtfertigen (vgl. BVerf[X.]E 34, 238 <245>; 109, 279 <313>). Zur Entfaltung der Persönlichkeit im Kernbereich privater Lebensgestaltung gehört die Möglichkeit, innere Vorgänge wie Empfindungen und [X.]efühle sowie Überlegungen, Ansichten und Erlebnisse höchstpersönlicher Art ohne die Angst zum Ausdruck zu bringen, dass staatliche Stellen dies überwachen (vgl. BVerf[X.]E 109, 279 <314>).

Im Rahmen eines heimlichen Zugriffs auf ein informationstechnisches System besteht die [X.]efahr, dass die handelnde staatliche Stelle persönliche Daten erhebt, die dem Kernbereich zuzuordnen sind. So kann der Betroffene das System dazu nutzen, Dateien höchstpersönlichen Inhalts, etwa tagebuchartige Aufzeichnungen oder private Film- oder Tondokumente, anzulegen und zu speichern. Derartige Dateien können ebenso wie etwa schriftliche Verkörperungen des höchstpersönlichen Erlebens (dazu vgl. BVerf[X.]E 80, 367 <373 ff.>; 109, 279 <319>) einen absoluten Schutz genießen. Zum anderen kann das System, soweit es telekommunikativen Zwecken dient, zur Übermittlung von Inhalten genutzt werden, die gleichfalls dem Kernbereich unterf[X.] können. Dies gilt nicht nur für Sprachtelefonate, sondern auch etwa für die Fernkommunikation mittels E-Mails oder anderer Kommunikationsdienste des [X.] (vgl. BVerf[X.]E 113, 348 <390>). Die absolut geschützten Daten können bei unterschiedlichen Arten von Zugriffen erhoben werden, etwa bei der Durchsicht von Speichermedien ebenso wie bei der Überwachung der laufenden [X.]kommunikation oder gar einer Vollüberwachung der Nutzung des Zielsystems.

[X.]) Soll heimlich auf das informationstechnische System des Betroffenen zugegriffen werden, bedarf es besonderer gesetzlicher Vorkehrungen, die den Kernbereich der privaten Lebensgestaltung schützen.

Die Bürger nutzen zur Verwaltung ihrer persönlichen Angelegenheiten und zur Telekommunikation auch mit engen Bezugspersonen zunehmend komplexe informationstechnische Systeme, die ihnen Entfaltungsmöglichkeiten im höchstpersönlichen Bereich bieten. Angesichts dessen schafft eine Ermittlungsmaßnahme wie der Zugriff auf ein informationstechnisches System, mittels dessen die auf dem Zielsystem vorhandenen Daten umfassend erhoben werden können, gegenüber anderen Überwachungsmaßnahmen - etwa der Nutzung des [X.]lobal Positioning [X.] als Instrument technischer Observation (vgl. dazu BVerf[X.]E 112, 304 <318>) - die gesteigerte [X.]efahr, dass Daten höchstpersönlichen Inhalts erhoben werden.

Wegen der Heimlichkeit des Zugriffs hat der Betroffene keine Möglichkeit, selbst vor oder während der Ermittlungsmaßnahme darauf hinzuwirken, dass die ermittelnde staatliche Stelle den Kernbereich seiner privaten Lebensgestaltung achtet. Diesem vollständigen Kontrollverlust ist durch besondere Regelungen zu begegnen, welche die [X.]efahr einer Kernbereichsverletzung durch geeignete Verfahrensvorkehrungen abschirmen.

[X.]) Die verfassungsrechtlichen Anforderungen an die konkrete Ausgestaltung des Kernbereichsschutzes können je nach der Art der Informationserhebung und der durch sie erfassten Informationen unterschiedlich sein.

Eine gesetzliche Ermächtigung zu einer Überwachungsmaßnahme, die den Kernbereich privater Lebensgestaltung berühren kann, hat so weitgehend wie möglich sicherzustellen, dass Daten mit Kernbereichsbezug nicht erhoben werden. Ist es - wie bei dem heimlichen Zugriff auf ein informationstechnisches System - praktisch unvermeidbar, Informationen zur Kenntnis zu nehmen, bevor ihr Kernbereichsbezug bewertet werden kann, muss für hinreichenden Schutz in der [X.] gesorgt sein. Insbesondere müssen aufgefundene und erhobene Daten mit Kernbereichsbezug unverzüglich gelöscht und ihre Verwertung ausgeschlossen werden (vgl. BVerf[X.]E 109, 279 <318>; 113, 348 <391 f.>).

(1) Im Rahmen des heimlichen Zugriffs auf ein informationstechnisches System wird die Datenerhebung schon aus technischen [X.]ründen zumindest überwiegend automatisiert erfolgen. Die Automatisierung erschwert es jedoch im Vergleich zu einer durch Personen durchgeführten Erhebung, schon bei der Erhebung Daten mit und ohne Bezug zum Kernbereich zu unterscheiden. Technische Such- oder Ausschlussmechanismen zur Bestimmung der Kernbereichsrelevanz persönlicher Daten arbeiten nach einhelliger Auffassung der vom [X.] angehörten sachkundigen Auskunftspersonen nicht so zuverlässig, dass mit ihrer Hilfe ein wirkungsvoller Kernbereichsschutz erreicht werden könnte.

Selbst wenn der Datenzugriff unmittelbar durch Personen ohne vorherige technische Aufzeichnung erfolgt, etwa bei einer persönlichen Überwachung der über das [X.] geführten Sprachtelefonie, stößt ein Kernbereichsschutz schon bei der Datenerhebung auf praktische Schwierigkeiten. Bei der Durchführung einer derartigen Maßnahme ist in der Regel nicht sicher vorhersehbar, welchen Inhalt die erhobenen Daten haben werden (vgl. zur Telekommunikationsüberwachung BVerf[X.]E 113, 348 <392>). Auch kann es Schwierigkeiten geben, die Daten inhaltlich während der Erhebung zu analysieren. So liegt es etwa bei fremdsprachlichen Textdokumenten oder [X.]esprächen. Auch in derartigen Fällen kann die Kernbereichsrelevanz der überwachten Vorgänge nicht stets vor oder bei der Datenerhebung abgeschätzt werden. In solchen Fällen ist es verfassungsrechtlich nicht gefordert, den Zugriff wegen des Risikos einer Kernbereichsverletzung auf der Erhebungsebene von vornherein zu unterlassen, da [X.]rundlage des Zugriffs auf das informationstechnische System tatsächliche Anhaltspunkte einer konkreten [X.]efahr für ein überragend wichtiges Schutzgut sind.

(2) Der verfassungsrechtlich gebotene Kernbereichsschutz lässt sich im Rahmen eines zweistufigen Schutzkonzepts gewährleisten.

(a) Die gesetzliche Regelung hat darauf hinzuwirken, dass die Erhebung kernbereichsrelevanter Daten soweit wie informationstechnisch und ermittlungstechnisch möglich unterbleibt (vgl. zur Telekommunikationsüberwachung BVerf[X.]E 113, 348 <391 f.>; zur akustischen Wohnraumüberwachung BVerf[X.]E 109, 279 <318, 324>). Insbesondere sind verfügbare informationstechnische Sicherungen einzusetzen. [X.]ibt es im Einzelfall konkrete Anhaltspunkte dafür, dass eine bestimmte Datenerhebung den Kernbereich privater Lebensgestaltung berühren wird, so hat sie grundsätzlich zu unterbleiben. Anders liegt es, wenn zum Beispiel konkrete Anhaltspunkte dafür bestehen, dass kernbereichsbezogene Kommunikationsinhalte mit Inhalten verknüpft werden, die dem [X.] unterf[X.], um eine Überwachung zu verhindern.

(b) In vielen Fällen wird sich die Kernbereichsrelevanz der erhobenen Daten vor oder bei der Datenerhebung nicht klären lassen. Der [X.]esetzgeber hat durch geeignete Verfahrensvorschriften sicherzustellen, dass dann, wenn Daten mit Bezug zum Kernbereich privater Lebensgestaltung erhoben worden sind, die Intensität der Kernbereichsverletzung und ihre Auswirkungen für die Persönlichkeit und Entfaltung des Betroffenen so gering wie möglich bleiben.

Entscheidende Bedeutung für den Schutz hat insoweit die Durchsicht der erhobenen Daten auf kernbereichsrelevante Inhalte, für die ein geeignetes Verfahren vorzusehen ist, das den Belangen des Betroffenen hinreichend Rechnung trägt. Ergibt die Durchsicht, dass kernbereichsrelevante Daten erhoben wurden, sind diese unverzüglich zu löschen. Eine Weitergabe oder Verwertung ist auszuschließen (vgl. BVerf[X.]E 109, 279 <324>; 113, 348 <392>).

[X.]) Das [X.]gesetz enthält die erforderlichen kernbereichsschützenden Vorschriften nicht. Nichts anderes ergibt sich, wenn die Verweisung des § 5 Abs. 2 Nr. 11 Satz 2 [X.] auf das [X.]esetz zu Artikel 10 [X.]rundgesetz trotz ihrer Unbestimmtheit einbezogen wird. Dieses [X.]esetz enthält gleichfalls keine Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung.

Entgegen der Auffassung der nordrhein-westfälischen [X.]regierung kann insoweit selbst dann nicht § 4 Abs. 1 [X.] 10 herangezogen werden, wenn die Verweisung des § 5 Abs. 2 Nr. 11 Satz 2 [X.] in weiter Interpretation so verstanden wird, dass sie sich auf diese Vorschrift erstreckt. § 4 Abs. 1 [X.] 10 regelt lediglich, dass erhobene Daten, die nicht oder nicht mehr benötigt werden, zu löschen sind, und normiert damit das allgemeine [X.]ebot der Erforderlichkeit. Die Vorschrift enthält demgegenüber keinerlei besondere Maßgaben für die Erhebung, Durchsicht und Löschung von Daten, die einen Kernbereichsbezug aufweisen können. Das [X.]ebot der Erforderlichkeit kann mit der verfassungsrechtlich gebotenen Achtung des Kernbereichs privater Lebensgestaltung nicht gleichgesetzt werden. Der Kernbereich ist vielmehr einer Relativierung durch gegenläufige [X.], wie sie durch eine Anwendung des Erforderlichkeitsgebots implizit eingeführt würde, gerade nicht zugänglich (vgl. BVerf[X.]E 109, 279 <314>).

d) Der Verstoß gegen das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 [X.][X.]) führt zur Nichtigkeit von § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 [X.].

e) Angesichts dessen bedarf es keiner Prüfung mehr, wie weit Maßnahmen, zu denen die Norm ermächtigt, auch gegen andere [X.]rundrechte oder das Zitiergebot des Art. 19 Abs. 1 Satz 2 [X.][X.] verstoßen.

II.

Die Ermächtigung zum heimlichen Aufklären des [X.] in § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] verletzt das durch Art. 10 Abs. 1 [X.][X.] gewährleistete Telekommunikationsgeheimnis. Maßnahmen nach dieser Norm können sich in bestimmten Fällen als Eingriff in dieses [X.]rundrecht darstellen, der verfassungsrechtlich nicht gerechtfertigt ist (1); auch ist Art. 19 Abs. 1 Satz 2 [X.][X.] verletzt (2). Die Verfassungswidrigkeit führt zur Nichtigkeit der Norm (3). Die [X.]behörde darf allerdings weiterhin Maßnahmen der [X.]aufklärung treffen, soweit diese nicht als [X.]rundrechtseingriffe anzusehen sind (4).

1. Das in § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] geregelte heimliche Aufklären des [X.] umfasst Maßnahmen, mit der die [X.]behörde Inhalte der [X.]kommunikation auf dem dafür technisch vorgesehenen Weg zur Kenntnis nimmt, also zum Beispiel durch Aufruf einer Webseite im [X.] mittels eines Web-Browsers (s.o. A I 1 a). Dies kann in bestimmten Fällen in das Telekommunikationsgeheimnis eingreifen. Ein solcher Eingriff wird durch die angegriffene Norm verfassungsrechtlich nicht gerechtfertigt.

a) Der Schutzbereich von Art. 10 Abs. 1 [X.][X.] umfasst die mit einem an das [X.] angeschlossenen informationstechnischen System geführte laufende Fernkommunikation (vgl. oben I 1 c, aa <1>). Allerdings schützt dieses [X.]rundrecht lediglich das Vertrauen des Einzelnen darin, dass eine Fernkommunikation, an der er beteiligt ist, nicht von [X.] zur Kenntnis genommen wird. Dagegen ist das Vertrauen der Kommunikationspartner zueinander nicht [X.]egenstand des [X.]rundrechtsschutzes. Steht im Vordergrund einer staatlichen Ermittlungsmaßnahme nicht der unautorisierte Zugriff auf die Telekommunikation, sondern die Enttäuschung des personengebundenen Vertrauens in den Kommunikationspartner, so liegt darin kein Eingriff in Art. 10 Abs. 1 [X.][X.] (vgl. BVerf[X.]E 106, 28 <37 f.>). Die staatliche Wahrnehmung von Inhalten der Telekommunikation ist daher nur dann am Telekommunikationsgeheimnis zu messen, wenn eine staatliche Stelle eine Telekommunikationsbeziehung von außen überwacht, ohne selbst Kommunikationsadressat zu sein. Das [X.]rundrecht schützt dagegen nicht davor, dass eine staatliche Stelle selbst eine Telekommunikationsbeziehung zu einem [X.]rundrechtsträger aufnimmt.

[X.] eine staatliche Stelle Kenntnis von den Inhalten einer über die Kommunikationsdienste des [X.] geführten Fernkommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 Abs. 1 [X.][X.], wenn die staatliche Stelle hierzu nicht durch [X.] autorisiert ist. Da das Telekommunikationsgeheimnis das personengebundene Vertrauen der [X.]n zueinander nicht schützt, erfasst die staatliche Stelle die Kommunikationsinhalte bereits dann autorisiert, wenn nur einer von mehreren Beteiligten ihr diesen Zugriff freiwillig ermöglicht hat.

Das heimliche Aufklären des [X.] greift danach dann in Art. 10 Abs. 1 [X.][X.] ein, wenn die [X.]behörde zugangsgesicherte Kommunikationsinhalte überwacht, indem sie Zugangsschlüssel nutzt, die sie ohne oder gegen den Willen der [X.]n erhoben hat. So liegt es etwa, wenn ein mittels Keylogging erhobenes Passwort eingesetzt wird, um Zugang zu einem E-Mail-Postfach oder zu einem geschlossenen Chat zu erlangen.

Dagegen ist ein Eingriff in Art. 10 Abs. 1 [X.][X.] zu verneinen, wenn etwa ein Teilnehmer eines geschlossenen Chats der für die [X.]behörde handelnden Person seinen Zugang freiwillig zur Verfügung gestellt hat und die Behörde in der Folge diesen Zugang nutzt. Erst recht scheidet ein Eingriff in das Telekommunikationsgeheimnis aus, wenn die Behörde allgemein zugängliche Inhalte erhebt, etwa indem sie offene Diskussionsforen oder nicht zugangsgesicherte Webseiten einsieht.

b) Die von § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] ermöglichten Eingriffe in Art. 10 Abs. 1 [X.][X.] sind verfassungsrechtlich nicht gerechtfertigt. Die angegriffene Norm genügt nicht den verfassungsrechtlichen Anforderungen an Ermächtigungen zu solchen Eingriffen.

aa) § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] wird dem [X.]ebot der Normenklarheit und Normenbestimmtheit nicht gerecht, da aufgrund der Unbestimmtheit von Satz 2 dieser Vorschrift die [X.] nicht hinreichend präzise geregelt sind (vgl. oben C I 2 a, [X.]).

[X.]) Die angegriffene Norm steht weiter, soweit sie an Art. 10 Abs. 1 [X.][X.] zu messen ist, mit dem [X.]ebot der Verhältnismäßigkeit im engeren Sinne nicht in Einklang.

Der Eingriff in das Telekommunikationsgeheimnis wiegt schwer. Auf der [X.]rundlage der angegriffenen Norm kann die [X.]behörde auf Kommunikationsinhalte zugreifen, die sensibler Art sein und Einblicke in die persönlichen Angelegenheiten und [X.]ewohnheiten des Betroffenen zulassen können. Betroffen ist nicht nur derjenige, der den Anlass für die Überwachungsmaßnahme gegeben hat. Der Eingriff kann vielmehr eine gewisse Streubreite aufweisen, wenn Erkenntnisse nicht nur über das [X.] desjenigen, gegen den sich die Maßnahme richtet, sondern auch über seine Kommunikationspartner gewonnen werden. Die Heimlichkeit des Zugriffs erhöht die Eingriffsintensität. Zudem können wegen der weiten Fassung der [X.] in § 7 Abs. 1 Nr. 1 in Verbindung mit § 3 Abs. 1 [X.] auch Personen überwacht werden, die für den [X.] nicht verantwortlich sind.

Ein derart schwerwiegender [X.]rundrechtseingriff setzt auch unter Berücksichtigung des [X.]ewichts der Ziele des [X.]es grundsätzlich zumindest die Normierung einer qualifizierten materiellen [X.] voraus (vgl. zu strafrechtlichen Ermittlungen BVerf[X.]E 107, 299 <321>). Daran fehlt es hier. Vielmehr lässt § 7 Abs. 1 Nr. 1 in Verbindung mit § 3 Abs. 1 [X.] nachrichtendienstliche Maßnahmen in weitem Umfang im Vorfeld konkreter [X.]efährdungen zu, ohne Rücksicht auf das [X.]ewicht der möglichen Rechtsgutsverletzung und auch gegenüber [X.]. Eine derart weitreichende Eingriffsermächtigung ist mit dem Verhältnismäßigkeitsgrundsatz nicht vereinbar.

[X.]) Das [X.]gesetz enthält im Zusammenhang mit Eingriffen nach § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] keine Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung. Solche Regelungen sind jedoch erforderlich, soweit eine staatliche Stelle zur Erhebung von Inhalten der Telekommunikation unter Eingriff in Art. 10 Abs. 1 [X.][X.] ermächtigt wird (vgl. BVerf[X.]E 113, 348 <390 ff.>).

2. Schließlich genügt § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.], soweit die Norm zu Eingriffen in Art. 10 Abs. 1 [X.][X.] ermächtigt, nicht dem Zitiergebot des Art. 19 Abs. 1 Satz 2 [X.][X.].

Nach Art. 19 Abs. 1 Satz 2 [X.][X.] muss ein [X.]esetz dasjenige [X.]rundrecht unter Angabe seines Artikels benennen, das durch dieses [X.]esetz oder aufgrund dieses [X.]esetzes eingeschränkt wird. Das Zitiergebot erfüllt eine Warn- und Besinnungsfunktion (vgl. BVerf[X.]E 64, 72 <79 f.>). Durch die Benennung des Eingriffs im [X.]esetzeswortlaut soll gesichert werden, dass der [X.]esetzgeber nur Eingriffe vorsieht, die ihm als solche bewusst sind und über deren Auswirkungen auf die betroffenen [X.]rundrechte er sich Rechenschaft ablegt (vgl. BVerf[X.]E 5, 13 <16>; 85, 386 <404>). Die ausdrückliche Benennung erleichtert es auch, die Notwendigkeit und das Ausmaß des beabsichtigten [X.]rundrechtseingriffs in öffentlicher Debatte zu klären. Nicht ausreichend ist hingegen, dass der [X.]esetzgeber sich des [X.]rundrechtseingriffs bewusst war, wenn sich dies im [X.]esetzestext nicht niedergeschlagen hat (vgl. BVerf[X.]E 113, 348 <366 f.>).

Die angegriffene Norm wahrt das Zitiergebot im Hinblick auf Art. 10 Abs. 1 [X.][X.] nicht. Entgegen der Ansicht der nordrhein-westfälischen [X.]regierung genügt die angegriffene Norm den Anforderungen nicht schon deshalb, weil § 5 Abs. 2 Nr. 11 Satz 2 [X.] durch die Verweisung auf das [X.]esetz zu Artikel 10 [X.]rundgesetz darauf hindeuten mag, dass der [X.]esetzgeber einen Eingriff in das Telekommunikationsgeheimnis für möglich gehalten hat. Dem Zitiergebot ist nur Rechnung getragen, wenn das [X.]rundrecht im [X.]esetzestext ausdrücklich als eingeschränkt benannt wird. Im Übrigen ergibt sich angesichts des Umstands, dass § 5 Abs. 2 Nr. 11 [X.] zwei unterschiedliche Eingriffsermächtigungen enthält, aus dem [X.]esetz keineswegs mit hinreichender Deutlichkeit, für welche von ihnen der [X.]esetzgeber zumindest mit der Möglichkeit eines Eingriffs in Art. 10 [X.][X.] gerechnet hat.

3. Der Verstoß von § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] gegen Art. 10 Abs. 1 und Art. 19 Abs. 1 Satz 2 [X.][X.] bewirkt die Nichtigkeit der Vorschrift.

4. Die Nichtigkeit der Ermächtigung führt allerdings nicht dazu, dass der Behörde Maßnahmen der [X.]aufklärung grundsätzlich verwehrt sind, soweit diese nicht in [X.]rundrechte eingreifen.

Das heimliche Aufklären des [X.] greift, soweit es nicht unter Art. 10 Abs. 1 [X.][X.] fällt, insbesondere nicht stets in das durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] gewährleistete allgemeine Persönlichkeitsrecht ein.

a) Die von dem allgemeinen Persönlichkeitsrecht gewährleistete Vertraulichkeit und Integrität informationstechnischer Systeme wird durch Maßnahmen der [X.]aufklärung nicht berührt, da Maßnahmen nach § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 [X.] sich darauf beschränken, Daten, die der Inhaber des [X.] - beispielsweise der Betreiber eines Webservers - für die [X.]kommunikation vorgesehen hat, auf dem technisch dafür vorgesehenen Weg zu erheben. Für solche Datenerhebungen hat der Betroffene selbst sein System technisch geöffnet. Er kann nicht darauf vertrauen, dass es nicht zu ihnen kommt.

b) Zumindest in der Regel ist auch ein Eingriff in Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.] in der Ausprägung als Recht auf informationelle Selbstbestimmung zu verneinen.

aa) Eine Kenntnisnahme öffentlich zugänglicher Informationen ist dem Staat grundsätzlich nicht verwehrt. Dies gilt auch dann, wenn auf diese Weise im Einzelfall personenbezogene Informationen erhoben werden können (vgl. etwa Böckenförde, [X.], 2003, S. 196 f.; Zöller, [X.]A 2000, [X.] <569>). Daher liegt kein Eingriff in das allgemeine Persönlichkeitsrecht vor, wenn eine staatliche Stelle im [X.] verfügbare Kommunikationsinhalte erhebt, die sich an jedermann oder zumindest an einen nicht weiter abgegrenzten Personenkreis richten. So liegt es etwa, wenn die Behörde eine allgemein zugängliche Webseite im [X.] aufruft, eine jedem Interessierten offen stehende Mailingliste abonniert oder einen offenen Chat beobachtet.

Ein Eingriff in das Recht auf informationelle Selbstbestimmung kann allerdings gegeben sein, wenn Informationen, die durch die Sichtung allgemein zugänglicher Inhalte gewonnen wurden, gezielt zusammengetragen, gespeichert und gegebenenfalls unter Hinzuziehung weiterer Daten ausgewertet werden und sich daraus eine besondere [X.]efahrenlage für die Persönlichkeit des Betroffenen ergibt. Hierfür bedarf es einer Ermächtigungsgrundlage.

[X.]) Ein Eingriff in das Recht auf informationelle Selbstbestimmung liegt nicht schon dann vor, wenn eine staatliche Stelle sich unter einer Legende in eine Kommunikationsbeziehung zu einem [X.]rundrechtsträger begibt, wohl aber, wenn sie dabei ein schutzwürdiges Vertrauen des Betroffenen in die Identität und die Motivation seines Kommunikationspartners ausnutzt, um persönliche Daten zu erheben, die sie ansonsten nicht erhalten würde (vgl. zu Ermittlungen durch verdeckte Ermittler BVerw[X.], Urteil vom 29. April 1997 - 1 C 2/95 -, NJW 1997, S. 2534; [X.], in: Maunz/Dürig, [X.][X.], Art. 2 Abs. 1 Rn. 176; [X.], [X.] 1996, S. 556 <562 f.>; [X.], in: [X.], [X.][X.], 4. Aufl., 2007, Art. 2 Rn. 88 b; [X.], [X.]Zwangsmaßnahmen und der Kernbereich privater Lebensgestaltung, 2007, [X.]3; speziell zu Ermittlungen im Netz [X.]ermann, [X.]efahrenabwehr und Strafverfolgung im [X.], 2000, [X.] ff.).

Danach wird die reine [X.]aufklärung in aller Regel keinen [X.]rundrechtseingriff bewirken. Die Kommunikationsdienste des [X.] ermöglichen in weitem Umfang den Aufbau von [X.], in deren Rahmen das Vertrauen eines Kommunikationsteilnehmers in die Identität und Wahrhaftigkeit seiner Kommunikationspartner nicht schutzwürdig ist, da hierfür keinerlei Überprüfungsmechanismen bereitstehen. Dies gilt selbst dann, wenn bestimmte Personen - etwa im Rahmen eines Diskussionsforums - über einen längeren Zeitraum an der Kommunikation teilnehmen und sich auf diese Weise eine Art „elektronische [X.]emeinschaft“ gebildet hat. Auch im Rahmen einer solchen Kommunikationsbeziehung ist jedem Teilnehmer bewusst, dass er die Identität seiner Partner nicht kennt oder deren Angaben über sich jedenfalls nicht überprüfen kann. Sein Vertrauen darauf, dass er nicht mit einer staatlichen Stelle kommuniziert, ist in der Folge nicht schutzwürdig.

[X.].

Da § 5 Abs. 2 Nr. 11 [X.] insgesamt nichtig ist, erledigen sich die gegen § 5 Abs. 3 und § 17 [X.] vorgebrachten Rügen. Soweit die Rügen der Beschwerdeführer zulässig sind, ist die Verfassungswidrigkeit der angegriffenen Normen lediglich in Bezug auf Maßnahmen nach der nichtigen Vorschrift geltend gemacht.

[X.].

§ 5a Abs. 1 [X.] steht mit dem [X.]rundgesetz in Einklang, soweit sein Anwendungsbereich auf Bestrebungen im Sinne des § 3 Abs. 1 Nr. 1 [X.] ausgedehnt wurde. Insbesondere verletzt diese Vorschrift nicht Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.][X.].

1. Die in § 5a Abs. 1 [X.] vorgesehene Erhebung von [X.] und Kontobewegungen greift in das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung ein.

Derartige Kontoinformationen können für den Persönlichkeitsschutz des Betroffenen bedeutsam sein und werden vom [X.]rundrecht geschützt. Nach den gegenwärtigen [X.]epflogenheiten werden die meisten Zahlungsvorgänge, die über Bargeschäfte des täglichen Lebens hinausgehen, über Konten abgewickelt. Werden Informationen über die Inhalte der Konten einer bestimmten Person gezielt zusammengetragen, ermöglicht dies einen Einblick in die Vermögensverhältnisse und die [X.]n Kontakte des Betroffenen, soweit diese - etwa durch Mitgliedsbeiträge oder Unterhaltsleistungen - eine finanzielle Dimension aufweisen. Manche Konteninhaltsdaten, etwa die Höhe von Zahlungen im Rahmen verbrauchsabhängiger Dauerschuldverhältnisse, können auch weitere Rückschlüsse auf das Verhalten des Betroffenen ermöglichen (vgl. BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2466>).

Die in § 5a Abs. 1 [X.] vorgesehenen Maßnahmen greifen in das Recht auf informationelle Selbstbestimmung ein. Dabei kommt es nicht darauf an, ob sich der Regelungsgehalt der angegriffenen Norm in einer Befugnis der [X.]behörde erschöpft, ein Auskunftsersuchen an ein Kreditinstitut zu richten, oder ob sie implizit eine Auskunftspflicht des jeweiligen Kreditinstituts enthält. In jedem Fall ermächtigt die Vorschrift die Behörde zu Datenerhebungen, die bereits als solche einen [X.]rundrechtseingriff bewirken.

2. Die in § 5a Abs. 1 [X.] vorgesehenen [X.]rundrechtseingriffe sind jedoch zur Ermittlung im Hinblick auf Bestrebungen im Sinne des § 3 Abs. 1 Nr. 1 [X.] verfassungsrechtlich gerechtfertigt. Insbesondere genügt die angegriffene Norm insoweit dem Verhältnismäßigkeitsgrundsatz.

a) Die in § 5a Abs. 1 [X.] geregelten Maßnahmen dienen aufgrund der Erweiterung des Anwendungsbereichs der Norm auch zur Aufklärung der Finanzierungswege und der finanziellen Verhältnisse und Verflechtungen im Zusammenhang mit Bestrebungen im Sinne von § 3 Abs. 1 Nr. 1 [X.]. Dies ist ein legitimes Ziel des [X.]es.

Die Norm ist in ihrer erweiterten Fassung geeignet, dieses Ziel zu erreichen. Sie ist hierzu auch erforderlich. Ein den Betroffenen weniger belastendes, aber ebenso wirksames Mittel zur Aufklärung von Bankgeschäften mit Blick auf Bestrebungen im Sinne des § 3 Abs. 1 Nr. 1 [X.] ist nicht ersichtlich.

b) § 5a Abs. 1 [X.] wahrt auch das [X.]ebot der Verhältnismäßigkeit im engeren Sinne.

aa) Allerdings ermächtigt die Norm die [X.]behörde zu [X.]rundrechtseingriffen.

Bei Informationen über Kontoinhalte und Kontobewegungen kann es sich um sensible Daten handeln, deren Kenntnisnahme die grundrechtlich geschützten Interessen des Betroffenen erheblich beeinträchtigt. Die Erhebung solcher Informationen hat daher in der Regel ein erhöhtes grundrechtliches [X.]ewicht (vgl. BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2470>). Die Intensität des Eingriffs wird zudem durch seine Heimlichkeit verstärkt. Nach § 5a Abs. 3 Satz 11 [X.] darf auch das auskunftgebende Kreditinstitut dem Betroffenen das Auskunftsersuchen und die übermittelten Daten nicht mitteilen. Schließlich können dem Betroffenen Nachteile daraus entstehen, dass das kontoführende Kreditinstitut selbst zwangsläufig von der Datenerhebung erfährt und daraus ungünstige Schlüsse über den Betroffenen ziehen kann (vgl. BVerf[X.], Beschluss vom 13. Juni 2007 - 1 BvR 1550/03 u.a. -, NJW 2007, S. 2464 <2469>).

[X.]) Die mit § 5a Abs. 1 [X.] verfolgten öffentlichen Interessen weisen jedoch solches [X.]ewicht auf, dass sie zu den in der Norm geregelten [X.]rundrechtseingriffen nicht außer Verhältnis stehen.

(1) Das [X.]esetz knüpft die Kenntnisnahme der Kontoinhalte und Kontobewegungen an tatbestandliche Voraussetzungen, die der Bedeutung des [X.]rundrechtseingriffs für den Betroffenen hinreichend Rechnung tragen.

§ 5a Abs. 1 [X.] macht die Erhebung von einem sowohl hinsichtlich der betroffenen Rechtsgüter als auch hinsichtlich der tatsächlichen [X.]rundlage des Eingriffs qualifizierten [X.]efährdungstatbestand abhängig. Es müssen tatsächliche Anhaltspunkte für schwerwiegende [X.]efahren für die in § 3 Abs. 1 [X.] genannten Schutzgüter vorliegen. Der Begriff der schwerwiegenden [X.]efahr verweist - ebenso wie in dem insoweit gleichlautenden § 8a Abs. 2 BVerfSch[X.] (vgl. dazu BTDrucks 16/2921, [X.]4) - auf eine erhöhte Intensität der Rechtsgutsbedrohung. Durch das Erfordernis tatsächlicher Anhaltspunkte für eine schwerwiegende [X.]efahr wird zudem die tatsächliche [X.]rundlage des Eingriffs qualifiziert. Es reicht nicht aus, dass die geregelte Datenerhebung allgemein für die Aufgabenerfüllung der [X.]behörde nützlich ist. Vielmehr müssen Anhaltspunkte für einen Zustand bestehen, in dem das Schutzgut konkret bedroht ist.

Diese in zweifacher Hinsicht qualifizierte [X.] genügt den Anforderungen des allgemeinen Persönlichkeitsrechts. Weitere Eingrenzungen der tatbestandlichen Voraussetzungen des Eingriffs sind von Verfassungs wegen nicht zu fordern.

Zurückzuweisen ist insbesondere die Auffassung des Beschwerdeführers zu 1b, die materielle [X.] müsse hinsichtlich der in § 3 Abs. 1 Nr. 1 [X.] genannten Bestrebungen so heraufgesetzt werden, dass § 5a Abs. 1 [X.] nur militante und volksverhetzende Bestrebungen erfasst. Durch das Erfordernis tatsächlicher Anhaltspunkte für eine schwerwiegende [X.]efahr ist hinreichend sichergestellt, dass nicht jeder vage Verdacht, bestimmte [X.]ruppierungen könnten sich gegen die freiheitliche demokratische [X.]rundordnung richten, zu einer Erhebung von [X.] und Kontobewegungen ausreicht. Der damit verbundene Eingriff wiegt andererseits nicht so schwer, dass er lediglich zur Bekämpfung gewalttätiger oder solcher [X.]ruppierungen verhältnismäßig sein könnte, die volksverhetzend tätig werden.

Keine durchgreifenden verfassungsrechtlichen Bedenken ergeben sich auch daraus, dass § 5a Abs. 1 [X.] keine besonderen Anforderungen an die Auswahl des von einer Datenerhebung Betroffenen regelt. Aufgrund dessen kann es zwar geschehen, dass [X.] einer Person erhoben werden, die nicht im Verdacht steht, für die [X.]efahr rechtlich verantwortlich zu sein. In Betracht kommt insbesondere, dass jemand als undoloses Werkzeug in Vermögenstransaktionen der betroffenen Bestrebung eingeschaltet worden ist. Jedoch ist es verfassungsrechtlich zulässig, eine Maßnahme nach § 5a Abs. 1 [X.] auch gegen eine solche Person zu treffen, wenn sich Finanzierungsmechanismen ansonsten nicht aufklären lassen. Die Auswahl zwischen mehreren denkbaren Betroffenen kann durch den auch im Rahmen von § 5a Abs. 1 [X.] geltenden Verhältnismäßigkeitsgrundsatz hinreichend angeleitet werden. Dagegen werden Auskünfte über die Kontoinhalte von Personen, die nicht im Verdacht stehen, an den Vermögenstransaktionen der betroffenen Bestrebung bewusst oder unbewusst beteiligt zu sein, kaum je dem gesetzlichen Ziel dienen können, einer schwerwiegenden [X.]efahr durch die Aufklärung von Finanzierungsmechanismen zu begegnen.

(2) Die angegriffene Norm trägt dem [X.]ewicht des geregelten [X.]rundrechtseingriffs zudem durch geeignete Verfahrensvorkehrungen Rechnung.

So bedarf die Datenerhebung nach § 5a Abs. 3 Satz 3 [X.] einer Anordnung des Innenministers, die vom Leiter der [X.]abteilung oder seinem Vertreter zu beantragen ist. Der in der Erhebung von [X.] und Kontobewegungen liegende [X.]rundrechtseingriff wiegt zwar nicht so schwer, dass eine ex-ante-Kontrolle durch eine neutrale Stelle verfassungsrechtlich schlechthin geboten wäre. Die vorgesehene behördeninterne Kontrolle dient jedoch der Sicherung der Interessen des Betroffenen bereits im Vorfeld der Datenerhebung und trägt so zur Verhältnismäßigkeit des Eingriffs bei. Zudem ist eine zusätzliche ex-post-Kontrolle durch die [X.] 10-[X.] gemäß § 5a Abs. 3 Satz 4 bis 8 [X.] vorgesehen, die gleichfalls dem Schutz der grundrechtlich geschützten Interessen des Betroffenen dient.

Für die Verarbeitung und Übermittlung der erhobenen Daten enthält § 5a Abs. 3 Satz 9 [X.] in Verbindung mit § 4 A[X.] [X.] 10 [X.] Maßgaben, die insbesondere den [X.]eboten der Erforderlichkeit und der Zweckbindung genügen.

§ 5a Abs. 3 Satz 11 [X.] in Verbindung mit § 5 A[X.] [X.] 10 [X.] sieht schließlich eine Benachrichtigung des Betroffenen vor, sobald eine [X.]efährdung des Zwecks der Beschränkung ausgeschlossen werden kann. Auf diese Weise wird dem Betroffenen weitgehend ermöglicht, seine Interessen zumindest im Nachhinein zu verfolgen.

V.

[X.] beruht auf § 34a Abs. 2 BVerf[X.][X.].