Das BVerfG lehnt erneut eine Verfassungsbeschwerde zum Umgang mit IT-Sicherheitslücken bei Quellen-TKÜ und Online-Durchsuchungen ab. Der Subsidiaritätsgrundsatz sei nicht gewahrt, eine mögliche Rechtsverletzung nicht hinreichend dargelegt.
Das Bundesverfassungsgericht (BVerfG) hat eine Verfassungsbeschwerde gegen den behördlichen Umgang mit IT-Sicherheitslücken bei Online-Durchsuchungen und Quellen-TKÜ in Hessen abgewiesen (Beschl. v. 20.01.2022, Az. 1 BvR 1552/19). Sie ist bereits unzulässig. Diese Entscheidung der ersten Kammer des BVerfG schließt damit an die Entscheidung des Ersten Senats zum Umgang der Polizei mit IT-Sicherheitslücken vom Juni 2021 an (Urt. v. 08.06.2021, Az. 1 BvR 2771/18).
Die Beschwerdeführer:innen gingen gegen § 15b und §15c des Hessischen Sicherheits- und Ordnungsgesetzes (HSOG) vor und rügten per Verfassungsbeschwerde ein Regelungsdefizit für den behördlichen Umgang mit IT-Sicherheitslücken, die den Programmhersteller:innen noch unbekannt sind (sogenannte Zero-Days). Diese könnte der Staat für Online-Durchsuchung und Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ausnutzen.
Die Quellen-TKÜ ist laut Bundeskriminalamt (BKA) eine besondere Form der TKÜ, die Kommunikation erfasst, bevor diese verschlüsselt wird oder nachdem diese entschlüsselt wurde bzw. die Entschlüsselung ermöglicht. Sie sei für die effektive Durchführung von Ermittlungen insbesondere im Bereich des Terrorismus und der Organisierten Kriminalität unverzichtbar. Damit der Zugriff auf ein Endgerät aber überhaupt gelingt, um so die Quellen-TKÜ durchführen zu können, braucht es eine offene und relativ unbekannte IT-Sicherheitslücke. Wird nicht nur die Kommunikation, sondern sogar das System regelrecht durchsucht, wird aus der Quellen-TKÜ eine Online-Durchsuchung.
Keine Vorgaben zum Umgang mit IT-Sicherheitslücken
Der hessische Gesetzgeber verletzt nach Auffassung der Beschwerdeführer:innen das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme, da die angegriffenen Normen und deren Umfeld keine Vorgaben zum Umgang mit solchen Sicherheitslücken enthielten. Zudem habe er nicht sichergestellt, dass eine "Kompromittierung" informationstechnischer Systeme durch die Überwachungssoftware auf unvermeidbare und verhältnismäßige Beeinträchtigungen begrenzt bleibe.
Das BVerfG lehnte die Verfassungsbeschwerde jedoch wegen Unzulässigkeit nun ab. Die Beschwerdeführer:innen hätten nicht hinreichend dargelegt, dass gesetzgeberische Schutzpflichten möglicherweise verletzt sein könnten. Es fehle an einer Auseinandersetzung mit dem bestehenden Regelungskonzept und dessen Defiziten.
Zudem wahre die Verfassungsbeschwerde die Anforderungen des Subsidiaritätsgrundsatzes nicht. Sie lege nicht hinreichend dar, warum die Erhebung einer verwaltungsgerichtlichen Feststellungs- und Unterlassungsklage trotz der bestehenden Fragen zur Auslegung des einfachen Rechts nicht möglich oder erforderlich sein sollte.
pdi/LTO-Redaktion
Verfassungsbeschwerde unzulässig: BVerfG entscheidet nicht zur Quellen-TKÜ in Hessen . In: Legal Tribune Online, 09.03.2022 , https://www.lto.de/persistent/a_id/47770/ (abgerufen am: 04.05.2024 )
Infos zum Zitiervorschlag
