BVerfG entscheidet zum Thema IT-Sicherheitslücken (Zero-Day)
08.06.2022
Leitsätze:
- 10 Abs. 1 GG begründet neben einem Abwehrrecht einen Auftrag an den Staat, vor dem Zugriff privater Dritter auf die dem Fernmeldegeheimnis unterfallende Kommunikation zu schützen (Bestätigung von BVerfGE 106, 28 <37>).
- a) Die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verpflichtet den Staat, zum Schutz der Systeme vor Angriffen durch Dritte beizutragen.
- b) Die grundrechtliche Schutzpflicht des Staates verlangt auch eine Regelung zur grundrechtskonformen Auflösung des Zielkonflikts zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-Telekommunikationsüberwachung andererseits.
- Für die Geltendmachung einer gesetzgeberischen Schutzpflichtverletzung bestehen spezifische Darlegungslasten. Eine solche Verfassungsbeschwerde muss den gesetzlichen Regelungszusammenhang insgesamt erfassen. Dazu gehört, dass die einschlägigen Regelungen des beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum diese verfassungsrechtlich unzureichend schützen.
- Richtet sich eine Verfassungsbeschwerde unmittelbar gegen ein Gesetz, kann nach dem Grundsatz der Subsidiarität auch die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder Unterlassungsklage zu den zuvor zu ergreifenden Rechtsbehelfen gehören. Das ist nicht erforderlich, wenn die Beurteilung einer Norm allein spezifisch verfassungsrechtliche Fragen aufwirft und von einer vorausgegangenen fachgerichtlichen Prüfung keine verbesserte Entscheidungsgrundlage zu erwarten wäre (stRspr). Dies gilt auch im Falle der Rüge einer gesetzgeberischen Schutzpflichtverletzung.
Hintergrund: „Die Verfassungsbeschwerde betrifft den Umgang der Polizeibehörden mit Sicherheitslücken in Programmen oder sonstigen informationstechnischen Systemen, die den Systemherstellern nicht bekannt sind (sogenannte Zero-Day-Schwachstellen). Die Beschwerdeführenden wenden sich dagegen, dass die Behörden ihnen bekannte Sicherheitslücken möglicherweise nicht melden, weil sie deren Schließung durch den Hersteller vermeiden wollen, um die Lücken für die Durchführung einer polizeilichen Überwachungsmaßnahme verwenden zu können. Hintergrund der Verfassungsbeschwerde ist die landesrechtliche Ermächtigung der Polizeibehörden zur Quellen-Telekommunikationsüberwachung, die mit Hilfe solcher Zero-Day-Schwachstellen durchgeführt werden kann.“
Fundstelle(n):
- Bundesverfassungsgericht, Entscheidung im Volltext
- Besprechung auf Juris