Staatstrojaner: BVerfG verwirft Verfassungsbe-schwerde, bejaht aber staatliche Schutzpflicht
Eine Verfassungsbeschwerde gegen das Ausnutzen von IT-Sicherheitslücken durch den Staat in Baden-Württemberg ist unzulässig, so das BVerfG. Die klagende Gesellschaft für Freiheitsrechte sieht in dem Beschluss dennoch einen „großen Sieg für die IT-Sicherheit“.
In seiner Entscheidung erkennt der Erste Senat des Bundesverfassungsgerichts (BVerfG) erstmals an, dass den Staat eine „konkrete grundrechtliche Schutzpflicht“ trifft, wenn er von einer Sicherheitslücke im System weiß, die der Hersteller der Soft- oder Hardware nicht kennt (BVerfG, Beschl. v. 08.06.2021, Az. 1 BvR 2771/18).
Gegenstand der Verfassungsbeschwerde ist § 54 Abs. 2 des Polizeigesetzes Baden-Württemberg. § 54 PolG BW, in aktueller Fassung in Kraft seit Oktober 2020, ermöglicht es den Ermittlungsbehörden, unter bestimmten Voraussetzungen zu präventiv-polizeilichen Zwecken heimlich Telekommunikation zu überwachen. Diese sog. Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) setzt voraus, dass das Zielsystem, also der Rechner oder das Mobiltelefon, mit einer Überwachungssoftware infiltriert wird. Die Verfassungsbeschwerde richtete sich ausschließlich gegen die Infiltration durch Ausnutzung von sog. Zero-Day-Schwachstellen in der Hard- oder Software des Zielsystems. Das sind IT-Sicherheitslücken, die die Hersteller von Soft- und Hardware noch gar nicht kennen.
Der Staat weiß also von einer Sicherheitslücke und kann sie selbst ausnutzen. Das berge erhebliche Gefahren, vor allem für Angriffe von dritter Seite, argumentierte die beschwerdeführende „Gesellschaft für Freiheitsrechte“ (GFF). Das Land hätte, so der Verein für strategische Prozessführung, Begleitregelungen für ein Schwachstellen-Management schaffen müssen, die vor allem verbieten müssten, Sicherheitslücken zu nutzen, von denen der Hersteller des Systems nichts weiß. Jedenfalls aber müsse ein Verwaltungsverfahren zur Bewertung der Lücken im Einzelfall geschaffen werden.
Quellen-TKÜ kann zulässig sein, aber Gesetzgeber muss Vorgaben machen
Das BVerfG bewertet die Quellen TKÜ-durch Nutzung unerkannter Sicherheitslücken aber nicht für per se unzulässig. Behörden müssten auch nicht jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller melden.
Die GFF begrüßte die Entscheidung aus Karlsruhe dennoch als „großen Erfolg für die IT-Sicherheit“. Das BVerfG stellt nämlich klar, dass der Staat, wenn seine Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, eine „konkrete staatliche Schutzpflicht“ habe. Schließlich könnten sich, so das BVerfG, die ahnungslosen Betroffenen nicht vor dem Gefährdungs- und Schädigungspotenzial solcher Lücken schützen: Wer in Computersysteme eindringen kann, kann diese auch manipulieren oder mit den gewonnenen Informationen etwa Erpressungsversuche unternehmen.
Die Behörden befinden sich laut BVerfG in einem Zielkonflikt: Einerseits müssten informationstechnische Systeme vor Angriffen Dritter durch unbekannte IT-Sicherheitslücken geschützt werden. Andererseits müssten solche Lücken aber offengehalten werden, um per Quellen-TKÜ Gefahren abzuwehren. Diesen Zielkonflikt grundrechtskonform zu lösen, sei Aufgabe des Gesetzgebers, der den Umgang mit solchen IT-Sicherheitslücken regeln müsse.
Schutzpflichtverletzung nicht genug dargelegt, Subsidiarität nicht eingehalten
Allerdings hätte die Verfassungsbeschwerde detaillierter ausführen müssen, dass er das nicht bereits getan hat, so das BVerfG: Wer behauptet, der Gesetzgeber verletze seine Schutzpflichten, müsse gesteigerte Darlegungsanforderungen erfüllen. Die GFF habe aber nicht dargelegt, dass der Staat seine Pflicht, Nutzer vor dem unbefugten Zugang Dritter zu informationstechnischen Systemen zu schützen, auch verletzt haben könnte.
Der Senat hat gleich mehrere Vorschläge, wo der Gesetzgeber die Lösung des Zielkonflikts verorten könnte: Neben Regelungen im PolG BaWü selbst ist im Februar 2021 das baden-württembergische Gesetz zur Verbesserung der Cybersicherheit in Kraft getreten. Außerdem regele der „Vertrag über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie“, dass Behörden relevante IT-Sicherheitsvorfälle melden müssen.
Ob die Behörden schon heute die nötige Abwägung vornehmen müssen, hätten außerdem zunächst die Fachgerichte klären müssen, so da BVerfG, auch, weil auf dem Gebiet viele neue Regelungen in Kraft getreten seien: Die Beschwerdeführer hätten zunächst per Feststellungs- oder vorbeugenden Unterlassungsklage den Rechtsweg ausschöpfen müssen, hätten mit der Verfassungsbeschwerde also dem Grundsatz der Subsidiarität nicht genügt.