GG Art. 2 Abs. 1, GG Art, 1 Abs. 1 Erfolglose Verfassungsbeschwerde gegen hessische Vorschriften zum verdeckten Zugriff auf informationstechnische Systeme

Beschluss vom 20. Januar 2022, 1 BvR 1552/19

Mit heute veröffentlichtem Beschluss hat die 1. Kammer des Ersten Senats des Bundesverfassungsgerichts eine Verfassungsbeschwerde nicht zur Entscheidung angenommen, die sich gegen zwei Ermächtigungen nach dem Hessischen Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) zu verdeckten Zugriffen auf informationstechnische Systeme mit technischen Mitteln richtete.

Die Beschwerdeführer rügen im Kern ein Regelungsdefizit für den behördlichen Umgang mit IT-Sicherheitslücken, die den Programmherstellern noch unbekannt sind (sogenannte Zero-Days) und die der Staat für Online-Durchsuchung und Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ausnutzen könnte. Die Entscheidung der 1. Kammer schließt an die Entscheidung des Ersten Senats vom 8. Juni 2021 - 1 BvR 2771/18 - zum Umgang der Polizeibehörden mit Sicherheitslücken in informationstechnischen Systemen an. Die Verfassungsbeschwerde ist unzulässig, weil die Möglichkeit einer Verletzung der gesetzgeberischen Schutzpflicht nicht hinreichend dargelegt ist und sie den Anforderungen des Grundsatzes der Subsidiarität im weiteren Sinne nicht genügt.

Sachverhalt:

Die Beschwerdeführer wenden sich gegen zwei Bestimmungen des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung. Der angegriffene § 15b HSOG ermöglicht die heimliche Inhaltsüberwachung von Telekommunikation durch Zugriff auf informationstechnische Systeme zu präventiv-polizeilichen Zwecken (Quellen-TKÜ). Nach § 15c HSOG ist zudem die Online-Durchsuchung informationstechnischer Systeme zu präventiv-polizeilichen Zwecken unter bestimmten Voraussetzungen zulässig.

Die Beschwerdeführer rügen mit ihrer Verfassungsbeschwerde eine Verletzung ihres Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG. Mit ihrem Vorbringen bemängeln sie im Schwerpunkt ein Regelungsdefizit für den behördlichen Umgang mit IT-Sicherheitslücken. Der Staat habe ein Interesse insbesondere an der Geheimhaltung der Zero-Day-Sicherheitslücken, um diese für Online-Durchsuchung und Quellen-TKÜ ausnutzen zu können. Es stelle eine Verletzung des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme dar, dass die angegriffenen Normen und ihr weiteres Normumfeld keine Vorgaben zum Umgang mit solchen Sicherheitslücken enthielten. Weiterhin verletzten die angegriffenen Normen das Grundrecht in seiner Abwehrdimension, da der Gesetzgeber nicht sichergestellt habe, dass eine „Kompromittierung“ informationstechnischer Systeme durch die Überwachungssoftware auf unvermeidbare und verhältnismäßige Beeinträchtigungen begrenzt bleibe.

Wesentliche Erwägungen der Kammer:

Die Verfassungsbeschwerde ist unzulässig.

I. Soweit die Beschwerdeführer unzureichende Vorgaben zum Umgang mit Sicherheitslücken rügen, sind eine Beschwerdebefugnis und die Wahrung des Grundsatzes der Subsidiarität im weiteren Sinne nicht hinreichend dargelegt. Im Falle der Behauptung einer gesetzgeberischen Schutzpflichtverletzung bestehen besondere Darlegungsanforderungen. Die Beschwerdeführer müssen die einschlägigen Regelungen des als unzureichend beanstandeten Normkomplexes jedenfalls in Grundzügen darstellen und begründen, warum sie vom Versagen der gesetzgeberischen Konzeption ausgehen. Die Verfassungsbeschwerde setzt sich mit dem bestehenden gesetzlichen Regelungskonzept und seinen Defiziten in Hinblick auf die Erfüllung einer solchen Schutzpflicht jedoch kaum auseinander. Die Beschwerdeführer gehen auch nicht auf Möglichkeiten ein, die angegriffenen oder weitere Normen so auszulegen, dass sie zur Erfüllung der Schutzpflicht beitragen könnten. Zudem legen sie auch nicht hinreichend dar, warum die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder Unterlassungsklage trotz der bestehenden Fragen zur Auslegung des einfachen Rechts nicht möglich oder nicht erforderlich gewesen sein sollte.

II. Soweit die Beschwerdeführer rügen, dass die angegriffenen Regelungen keine Vorgaben für die Beschaffenheit, Funktionalität und Anwendungskontrolle der Überwachungssoftware enthalten, genügt die Verfassungsbeschwerde ebenfalls nicht den Begründungsanforderungen. Insbesondere fehlt eine hinreichende Auseinandersetzung mit fachrechtlichen Normen des nationalen Rechts und des Unionsrechts.