Bundesverfassungsgericht, Nichtannahmebeschluss vom 20.01.2022, Az. 1 BvR 1552/19

Gegenstand der Verfassungsbeschwerde sind zwei Ermächtigungen nach dem [X.] über die öffentliche Sicherheit und Ordnung ([X.]) zu verdeckten Zugriffen auf informationstechnische Systeme mit technischen Mitteln.

1. Die beiden angegriffenen Bestimmungen des [X.]es über die öffentliche Sicherheit und Ordnung traten in ihrer gegenwärtigen Fassung zum 4. Juli 2018 in [X.]. Während die Ermächtigung zur Online-Durchsuchung des § 15c [X.] damit neu eingefügt wurde, änderte der Landesgesetzgeber die bestehende Ermächtigung zur [X.] (Quellen-TKÜ) des § 15b [X.] mit Geltung zu diesem Datum lediglich ab.

Die Bestimmungen lauten folgendermaßen:

2. Die Beschwerdeführer rügen mit ihrer am 3. Juli 2019 erhobenen und mit Schriftsatz vom 21. Juni 2021 ergänzten Verfassungsbeschwerde eine Verletzung ihres Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG, in Hinblick auf den Beschwerdeführer zu 3) aus Art. 2 Abs. 1 GG.

a) Ihre Betroffenheit leiten die Beschwerdeführer aus der intensiven Nutzung eigener wie fremder informationstechnischer Systeme, des [X.] sowie unterschiedlicher Programme ab, wobei dies insbesondere im Rahmen politischer Aktivitäten, im Fall des Beschwerdeführers zu 2) auch zur Pflege von Kontakten zu Dissidenten in autoritär geführten [X.], geschehe. Da sie von den heimlichen und mit großer Streubreite verbundenen Zugriffen möglicherweise auch langfristig nicht erführen und diese mit weiteren faktischen Beeinträchtigungen einhergehen könnten, stehe ihnen gegen die Maßnahmen kein effektiver fachgerichtlicher Rechtsschutz zur Verfügung.

b) Mit ihrem Vorbringen bemängeln sie im Schwerpunkt ein [X.] für den behördlichen Umgang mit [X.]. Hierbei handelt es sich der bundesrechtlichen Begriffsbestimmung in § 2 Abs. 6 des Gesetzes über das [X.]amt für Sicherheit in der Informationstechnik folgend um Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung sich Dritte gegen den Willen der Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können. Der [X.] habe ein Interesse insbesondere an der Geheimhaltung von dem [X.] noch unbekannten Sicherheitslücken (sogenannte Zero-Days), um diese für Online-Durchsuchung und Quellen-TKÜ ausnutzen zu können (näher zu technischen Hintergründen sowie individuellen und gesamtgesellschaftlichen Folgerisiken [X.], Beschluss des [X.] vom 8. Juni 2021 - 1 BvR 2771/18 -, Rn. 5, 7, 36 ff. - [X.]). Werden den Polizeibehörden entsprechende Befugnisse verliehen, stelle es eine Verletzung des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme dar, dass die angegriffenen Normen und ihr weiteres Normumfeld keine Vorgaben zum Umgang mit solchen Sicherheitslücken enthielten. Nach dem objektiven Gehalt der grundrechtlichen Gewährleistung müsse der Gesetzgeber den Zielkonflikt zwischen den öffentlichen Interessen an einem erfolgreichen Zugriff und an einer möglichst großen Sicherheit informationstechnischer Systeme auflösen, indem er grundlegende Fragen selbst regele. Sein unechtes Unterlassen führe vorliegend, da er von jedweder Regelung abgesehen habe, auch zur Verletzung eines subjektiven Rechts, insbesondere der in der grundrechtlichen Gewährleistung enthaltenen entsprechenden Schutzpflicht.

c) Weiterhin verletzten die angegriffenen Normen das Grundrecht in seiner Abwehrdimension, da der Gesetzgeber nicht sichergestellt habe, dass eine "Kompromittierung" informationstechnischer Systeme durch die Überwachungssoftware auf unvermeidbare und verhältnismäßige Beeinträchtigungen begrenzt bleibe. Die in § 15b Abs. 2, § 15c Abs. 3 Satz 1 [X.] enthaltenen Vorgaben seien ohne Ergänzung durch ein Regelwerk, das Anforderungen an Herkunft, Beschaffung, Beschaffenheit, Eigenschaften und Funktionalitäten der Software konkretisiere, nicht vollziehbar. Stelle das Gesetz nicht einmal sicher, dass die Behörde bei Einsatz von Fremdsoftware den Quellcode kenne, könne jene deren Eigenschaften und Fähigkeiten nicht nachvollziehen und nicht für die Behebung ihrer Mängel, etwa Schadensgefahren für das Ziel- und weitere Systeme sowie unzureichenden Schutzes gegen unbefugte Nutzung, sorgen. Eine richterliche Kontrolle (vgl. § 15b Abs. 3 Satz 2, § 15c Abs. 3 Satz 3, jeweils i.V.m. § 15 Abs. 5 Satz 1 bis 9 [X.]) sei, insbesondere in Eilsituationen, mangels Kriterien nicht operationabel.

3. Zu der Verfassungsbeschwerde haben die [X.]regierung, die [X.] Landesregierung, der [X.]beauftragte für den Datenschutz und die Informationsfreiheit ([X.]) sowie der [X.] für den Datenschutz und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Stellung genommen.

a) Die [X.]regierung hält das bestehende Regulierungssystem zur Gewährleistung der [X.] und des Datenschutzes in [X.] auch angesichts der mit Sicherheitslücken verbundenen Gefahren für ausreichend.

b) Nach Ansicht der [X.]n Landesregierung ist die Verfassungsbeschwerde bereits unzulässig. Sie wahre nicht den Grundsatz der Subsidiarität, weil es den Beschwerdeführern nach der jüngeren Rechtsprechung des [X.]verwaltungsgerichts potentiell möglich gewesen wäre, sich im Wege der vorbeugenden Unterlassungsklage gegen Maßnahmen nach den §§ 15b und 15c [X.] zu wenden. Dies sei zumutbar, weil sich vorliegend nicht allein verfassungsrechtliche Fragen stellten, sondern es in Hinblick auf die von den Beschwerdeführern angenommene Regelungslücke technisch-fachlichen Voraufklärungsbedarf gebe.

Die Verfassungsbeschwerde setze sich auch weder substantiiert mit der einschlägigen Verfassungsrechtsprechung noch mit den Regelungen auseinander, die den vorgetragenen Defiziten entgegenwirken könnten.

Verfassungsrechtliche Einwände gegen die §§ 15b und 15c [X.] seien weder unter dem Gesichtspunkt eines unsachgemäßen Umgangs mit Sicherheitslücken noch dem des Schädigungspotentials der [X.] zu erheben. Im Hinblick auf die Möglichkeit eines unsachgemäßen Umgangs mit Sicherheitslücken sei die Gesamtheit aller Regelungen in den Blick zu nehmen, die den Eingriff in das Zielsystem steuerten und seine Folgen begrenzten. Anforderungen an die [X.] ließen sich nicht vollzugstauglich und zugleich in einer Weise regeln, die Nachteile für das Zielsystem schlechthin ausschlössen. Angesichts der immer schnelleren Innovationszyklen der Informationstechnologie erscheine nur das gesetzgeberische Konzept der Vorgabe technischer Möglichkeiten der Schadensvermeidung und der Ausrichtung am aktuellen Stand der Technik jeweils im Sinne eines verpflichtenden [X.] vollzugstauglich. Im Vorfeld einer - bislang in [X.] noch nicht erfolgten - Anwendung der Befugnisse zur präventiven Quellen-TKÜ oder Online-Durchsuchung müsse die zu nutzende Software den einheitlichen Gesamtabnahmeprozess des [X.]kriminalamts durchlaufen. Sollten sich Begrenzungs- und Beseitigungsanforderungen aus technischen Gründen nicht erfüllen lassen, liefen die Eingriffsbefugnisse leer, wären aber nach der Rechtsprechung des [X.]verfassungsgerichts nicht verfassungswidrig.

c) Die Datenschutzbeauftragten erachten für die Nutzung von Sicherheitslücken einen Ausgleich des benannten Zielkonflikts durch klarere und bestimmte Regelungen für geboten; der [X.] hält zudem konkretere gesetzliche Vorgaben für die Beschaffenheit der eingesetzten Überwachungssoftware für notwendig.

Die Verfassungsbeschwerde ist nicht zur Entscheidung anzunehmen. Die Voraussetzungen des § 93a Abs. 2 [X.]G liegen nicht vor. Der Verfassungsbeschwerde kommt weder grundsätzliche verfassungsrechtliche Bedeutung zu, noch ist sie zur Durchsetzung von Grundrechten oder grundrechtsgleichen Rechten der Beschwerdeführer angezeigt, da sie keine hinreichende Aussicht auf Erfolg hat (vgl. [X.]E 90, 22 <25 f.>). Sie ist unzulässig, weil sie die [X.] nach § 23 Abs. 1 Satz 2, § 92 [X.]G nicht erfüllt.

Soweit die Beschwerdeführer unzureichende Vorgaben zum Umgang mit Sicherheitslücken rügen, haben sie weder ihre Beschwerdebefugnis noch die Wahrung des Grundsatzes der Subsidiarität im weiteren Sinne hinreichend begründet.

1. Bei einer gegen ein Gesetz gerichteten Verfassungsbeschwerde müssen die Beschwerdeführenden bezüglich ihrer Beschwerdebefugnis darlegen und entsprechend begründen, durch die angegriffenen Normen selbst, gegenwärtig und unmittelbar betroffen zu sein (vgl. [X.]E 102, 197 <206>; 108, 370 <384>). Weiterhin muss sich aus ihrem Vorbringen mit hinreichender Deutlichkeit die Möglichkeit einer Verletzung von Grundrechten oder grundrechtsgleichen Rechten ergeben (vgl. [X.]E 28, 17 <19>; 89, 155 <171>; 99, 84 <87>; stRspr). Die Beschwerdeführenden müssen aufzeigen, mit welchen verfassungsrechtlichen Anforderungen die angegriffene Maßnahme kollidiert (vgl. [X.]E 108, 370 <386>). Im Falle der Behauptung einer gesetzgeberischen Schutzpflichtverletzung ergeben sich zudem spezifische Darlegungslasten dahingehend, dass über den Vortrag angeblicher Unzulänglichkeiten der Rechtslage hinaus der gesetzliche [X.] insgesamt erfasst sein muss, wozu - je nach Fallgestaltung - zumindest gehört, dass die einschlägigen Regelungen des als unzureichend beanstandeten [X.] jedenfalls in Grundzügen dargestellt werden und begründet wird, warum vom Versagen der gesetzgeberischen Konzeption ausgegangen wird (vgl. [X.], Beschluss des [X.] vom 8. Juni 2021 - 1 BvR 2771/18 -, Rn. 51 - [X.]).

Zwar kann durch die angegriffenen Befugnisse die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme in ihrer Schutzdimension betroffen sein und sich hieraus eine konkrete Schutzpflicht des Gesetzgebers ergeben, den Umgang mit Sicherheitslücken zu regeln (vgl. [X.], a.a.[X.], Rn. 26 ff.). Die Verfassungsbeschwerde setzt sich mit dem bestehenden gesetzlichen Regelungskonzept und seinen Defiziten in Hinblick auf die Erfüllung einer solchen Schutzpflicht jedoch allenfalls ansatzweise auseinander. Die Beschwerdeführer bemängeln lediglich, dass die §§ 15b und 15c [X.] selbst keine Regelungselemente zur Auflösung des zu adressierenden Zielkonflikts bereitstellen. Die in den angegriffenen Regelungen enthaltenen expliziten Anforderungen an den Einsatz der darin zugelassenen Maßnahmen werden bloß benannt und in Hinblick auf ihre Tauglichkeit zur Steuerung der Beschaffenheit, der Funktionalität und der Anwendungskontrolle der Überwachungssoftware hin knapp untersucht. Auf eine mögliche Auslegung der angegriffenen sowie weiterer Normen dahingehend, dass ihnen im Wege der (verfassungskonformen) Auslegung Elemente eines Regelungskonzepts für die Erfüllung der Schutzpflicht zugewiesen werden können, gehen die Beschwerdeführer nicht ein. Denkbar wäre etwa, die gesetzliche Vorgabe zum Schutz des eingesetzten Mittels gegen unbefugte Nutzung (so ausdrücklich § 15b Abs. 2 Satz 2 [X.]) in dem Sinne zu deuten, dass dies (auch) durch eine Meldung an den Hersteller geschehen könne (vgl. [X.], a.a.[X.], Rn. 54 f.). Soweit die Beschwerdeführer weiterhin der Ansicht sind, das von ihnen angeführte Defizit der angegriffenen Normen werde auch sonst nicht durch gesetzliche Bestimmungen ausgeglichen, hätte es insbesondere zusätzlichen Vortrags bedurft, warum das bestehende Meldeverfahren des [X.] nicht bereits einen wirkungsvollen Beitrag zu einem hinreichenden Umgang mit Sicherheitslücken leiste (vgl. [X.], a.a.[X.], Rn. 65 f.). Weiterhin mangelt es der Verfassungsbeschwerde an einer näheren Auseinandersetzung mit der möglichen Schutzwirkung unionsrechtlicher Regelungen, namentlich der Richtlinie ([X.]) 2016/680 des [X.] und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates und dem unter anderem zu deren Umsetzung erlassenen [X.]n Datenschutz- und Informationsfreiheitsgesetz, dessen § 62 etwa die Durchführung einer Datenschutz-Folgenabschätzung vorsieht (vgl. hierzu [X.], a.a.[X.], Rn. 56 ff.).

2. Ferner ist insoweit auch nicht genügend dargetan, dass die Anforderungen des Grundsatzes der Subsidiarität im weiteren Sinne gewahrt sind. Dieser erfordert, dass über die Ergreifung der zur Erreichung des unmittelbaren [X.] förmlich eröffneten Rechtsmittel hinaus alle Mittel genutzt werden, die der geltend gemachten Grundrechtsverletzung abhelfen können. Das gilt auch, wenn zweifelhaft ist, ob ein entsprechender Rechtsbehelf statthaft ist und im konkreten Fall in zulässiger Weise eingelegt werden kann. Zur Erfüllung der hierauf bezogenen Darlegungserfordernisse hätte es einer hinreichenden Begründung bedurft, warum vorliegend die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder Unterlassungsklage trotz der wie ausgeführt bestehenden Fragen zur Auslegung des einfachen Rechts nicht möglich oder nicht erforderlich gewesen sein sollte (näher [X.], a.a.[X.], Rn. 68 ff. m.w.N.).

Soweit die Beschwerdeführer eine Verletzung der grundrechtlichen Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme durch die angegriffenen Regelungen zudem in Hinblick auf fehlende Vorgaben für die Beschaffenheit, Funktionalität und Anwendungskontrolle der Überwachungssoftware rügen, genügt die Verfassungsbeschwerde - unabhängig davon, ob man hierin eine Schutzpflichtverletzung oder wie vorgetragen eine Verletzung in der Abwehrdimension des Grundrechts erblickte - ebenfalls nicht den Begründungsanforderungen. Die hierfür relevante Rechtsprechung des [X.]verfassungsgerichts wird lediglich angeführt, ohne sich mit ihrer Bedeutung für die vorliegende Konstellation näher auseinanderzusetzen. Dies gilt vor allem für die Entscheidung zum [X.]kriminalamtsgesetz, in der vergleichbare Regelungen zur Minimierung möglicher Folgeschäden heimlicher Überwachungsmaßnahmen als verhältnismäßig angesehen wurden (vgl. [X.]E 141, 220 <305 f. Rn. 215>, dort unter Verweis auf [X.]E 120, 274 <325 f.>). Eine weitere normative Konkretisierung der gesetzlichen Schutzvorkehrungen wurde in der Entscheidung nicht eingefordert, sondern ausdrücklich betont, dass deren fehlende technische Umsetzbarkeit keinen Mangel darstelle, der auf die Gültigkeit der Norm durchschlage, sondern lediglich ein Leerlaufen der Vorschrift zur Folge habe (vgl. [X.]E 141, 220 <311 Rn. 234>). Im Übrigen fehlt es auch an einer hinreichenden Auseinandersetzung mit einfachrechtlichen Normen des nationalen wie des Unionsrechts sowie behördlicher Prüfungsprozesse, insbesondere im Rahmen der Einbindung in den einheitlichen Gesamtabnahmeprozess des [X.]kriminalamts.

Ob der Vortrag darüber hinaus auch hinsichtlich der Wahrung des Grundsatzes der Subsidiarität den Begründungsanforderungen nicht genügt oder damit ein hinreichender Grad der Wahrscheinlichkeit der Selbstbetroffenheit der Beschwerdeführer (vgl. [X.], Beschluss der [X.] des [X.] vom 19. April 2021 - 1 BvR 1732/14 -, Rn. 31 ff.) auch in Hinblick auf die von ihnen gerügte grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ausgewiesen ist, kann danach dahinstehen.

Von einer weiteren Begründung wird nach § 93d Abs. 1 Satz 3 [X.]G abgesehen.

Diese Entscheidung ist unanfechtbar.