Bei der zurückgewiesenen Verfassungsbeschwerde ging es um die behördliche Nutzung von IT-Sicherheitslücken, die den Herstellern von Soft- und Hardware noch unbekannt sind. Das sei unzulässig, teilten die Verfassungsrichter am Mittwoch (21.7.) in Karlsruhe mit.
Die Beschwerde richtete sich gegen den Einsatz sogenannter „Staatstrojaner“. Nach Meinung des Gerichts ist die Möglichkeit einer Verletzung der grundrechtlichen Verpflichtung zum Schutz vor dem unbefugten Zugang Dritter zu informationstechnischen Systemen nicht hinreichend dargelegt worden. Zudem habe die Verfassungsbeschwerde den Anforderungen der Subsidiarität im weiteren Sinne nicht genügt.
Strittig: Zero-Day-Schwachstellen
Die Verfassungsbeschwerde bezog sich allein auf die Infiltration durch Ausnutzung von Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems. Das Bundesverfassungsgericht stellte in seinem Beschluss trotz Zurückweisung der Beschwerde klar, dass eine staatliche Schutzpflicht bestehe. Der Staat müsse zum Schutz der Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen.
Anzeige
BUCHTIPP > Leupold, Handbuch IT-Recht (C.H.Beck 2021)
— Topaktuell, alles zur digitalen Transformation —
Hier erfahren Sie mehr > juristische-fachbuchhandlung
Konkret ging es um das baden-württembergische Polizeigesetz vom 6. Oktober letzten Jahres. Dieses ermöglicht die heimliche Inhaltsüberwachung von Telekommunikation zu präventiv-polizeilichen Zwecken zum Schutz bestimmter gewichtiger Rechtsgüter. Die Durchführung einer sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) setzt voraus, dass das Zielsystem mit einer Überwachungssoftware infiltriert wird, was auf unterschiedliche Weise geschehen kann.
Keine staatliche Meldepflicht
Die Schutzpflicht schließe eine Verpflichtung des Gesetzgebers ein, den Umgang der Polizeibehörden mit IT-Sicherheitslücken zu regeln. Ein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden, bestehe nicht, so das Gericht. Auch die Quellen-TKÜ durch Nutzung unerkannter Sicherheitslücken sei für sich genommen nicht von vornherein verfassungsrechtlich unzulässig.
IT-Ei des Kolumbus gesucht
Nötig sei aber eine Regelung darüber, wie die zuständige Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen hat (Beschluss vom 08. Juni 2021 1 BvR 2771/18).
.
dts, rb
