Staatstrojaner und das neue „IT-System-Grundrecht“
Anmerkungen und Kommentar zu den zwei aktuellen Bundesverfassungsgerichtsentscheidungen.
Ein Leser fragt an:
Frage bzgl. Umleitung der Telekommunikation (Staatstrojaner)
Guten Tag Herr Danisch,
ich wollte Sie einmal fragen, ob Sie einmal das Thema „Staatstrojaner“ in ihrem Blog aufgreifen könnten.
Wie komme ich darauf?
Ich habe neulich diesen Artikel gelesen indem auch ein interessanter Kommentar war, der leider unbeantwortet blieb. Vielleicht wäre das eine spannende Frage für Sie als Kryptologen.
Artikel: https://www.heise.de/news/Ueberwachung-Strafverfolger-setzen-erneut-mehr-Staatstrojaner-ein-10510671.html
Kommentar: https://www.heise.de/forum/heise-online/Kommentare/Ueberwachung-Strafverfolger-setzen-erneut-mehr-Staatstrojaner-ein/Frage/thread-7811322/#posting_45410219Der letzte Kommentar ist der spannende. Es wird gefragt, wie quasi der Staatstrojaner remote auf eine Maschine aufgespielt werden kann, indem er irgendein Softwareupdate vorgaukelt zu sein bzw. damit mitschwimmt (oder so ähnlich).
Die Informationen von hier [1] sind von 2020 und wahrscheinlich noch älter. Ich könnte mir vorstellen, dass „damals“ viele Updates noch ohne HTTPS verteilt wurden im Gegensatz zu heute und dann klingt das nachvollziehbar. Was denken Sie, wie das aber heute bewerkstelligt wird? Denken Sie, dass die Dienste TLS umgehen können und so Pakete in den Datenstrom injizieren und auf die Maschinen verteilen?
Vielen Dank und einen guten Wochenstart.
–Ein Leser Ihres Blogs
Ein schwieriges Thema. Weil ein sehr großes und sehr komplexes Thema, das man in einem oder auch mehreren Blogartikeln kaum anreißen kann, weil es so viel Fachwissen voraussetzt. Ich schreibe trotzdem etwas dazu.
Technische Abwehr / IT-Sicherheit
Ich sage es mal deutlich: Man kann zwar eine Menge tun, um Angreifern den Angriff zu erschweren. Aber ernstlich verhindern kann man solche Angriffe mit vertretbarem und leistbarem Aufwand praktisch nicht (mehr). Wir haben das ja gesehen mit dem Angriff neulich auf ssh: Die „supply chain“, also die Quellen von Software, sind schon nicht sicher genug. Die Software-Quellen sind schon nicht vertrauenswürdig, und woher will man dann sichere Software bekommen? Wir wissen ja schon nicht, was in den Browsern abläuft.
Es fängt schon damit an: Wie verifiziert man den Zustand eines Systems? Oder der Installationsdateien?
Oder verzichtet man lieber darauf und verwendet monolithische Systeme? Die auch wieder lokale Konfigurationen und Ergänzungen haben? Woher weiß man, ob das Systemabbild integer ist? Oder keine Lücken hat, die eine Infiltration ohne persistente Spuren erlauben?
Man kann natürlich einiges mit Firewalls oder Systemen wie Qubes-OS erreichen. Aber wer hat genug Zeit übrig, und das Wissen, das alles umsetzen? Ich habe das Wissen – aber mir fehlt die Zeit, das alles umsetzen, wovon ich weiß, dass ich es umsetzen müsste. Und kann man Qubes-OS oder Firewalls selbst trauen?
Sehr praktikabel ist das dann nicht. Und viele brauchen eben Software, die man sich mal irgendwo aus dem Internet von irgendeinem Anbieter herunterlädt. Kann man dem trauen?
Die XZ-Attacke von neulich zeigte schon, dass man eigentlich gar niemandem mehr trauen kann, nicht mal den „Vertrauenswürdigen“, weil die Systeme längst so komplex sind und so unüberschaubar viele Leute drin herumwursten, die man nicht einmal identifizieren, noch weniger greifen kann, dass man sich praktisch eigentlich nicht dagegen schützen kann. Irgendwann ist man nämlich an dem Punkt, an dem man nur noch damit beschäftigt ist, sich zu schützen, und einem keine Zeit mehr bleibt, etwas zu tun, was es zu schützen gälte.
Microsoft will alle Kunden überwachen, auch auf deren eigenen Rechnern. Wer braucht noch Trojaner, wenn schon das Betriebssystem von Microsoft ist?
Und wie wollte man sein Handy schützen? Darauf hat man ja so gut wie gar keinen Einfluss.
Aber wer wollte, wer könnte noch ohne Handy auskommen?
Und Firewalls?
Wie würde man den Verkehr heute auf den gewünschten Verkehr einschränken, wenn der gewollte Kommunikationspartner und der Angreifer in denselben Clouds gehostet werden, also in denselben IP-Adressbereichen?
Geographische Abwehr
Ein Gedanke wäre, sich einfach aus Deutschland zu verabschieden und sich ins Ausland zu begeben. Aber kommt man da vom Regen in die Traufe?
Bisher ist mir noch nichts zu der Frage untergekommen, ob der „Bundestrojaner“ nur auf deutschem Boden, oder auch im Ausland eingesetzt werden darf. Hat man dann doppelte Probleme, die aus Deutschland und die des Gastlandes oder Dritter?
Zur Erinnerung: Nach US-amerikanischem Recht hat man deren Grundrechte nur dann, wenn man entweder US-Bürger ist oder sich auf US-Boden befindet. In allen anderen Fällen ist man rechtloses Freiwild. Wo ist man also gefährdeter? In oder außerhalb der USA? Innerhalb oder außerhalb Deutschlands? Dass der BND alles abhört, was er kriegen kann, ist bekannt.
Was tun?
Die juristische Seite
Ich hatte es letzte Woche schon erwähnt: Das Bundesverfassungsgericht hat zwei aktuelle Entscheidungen vom 24. Juni 2025 veröffentlicht, und ich hatte versprochen, sie zu kommentieren. Hier die Pressemitteilung des Bundesverfassungsgerichts zu beiden.
1 BvR 180/23 und das „IT-System-Grundrecht“
Der Entscheidungstext ist hier.
Aus den Leitsätzen:
1. Eine Befugnis zur Überwachung und Aufzeichnung laufender Telekommunikation in der Weise, dass mit technischen Mitteln in von Betroffenen eigengenutzte IT-Systeme eingegriffen wird (Quellen-Telekommunikationsüberwachung, vgl. § 100a Abs. 1 Satz 2 StPO), begründet einen sehr schwerwiegenden Eingriff sowohl in das IT-System-Grundrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) als auch in das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis.
2. a) Eine Befugnis zur Überwachung und Aufzeichnung der auf einem IT-System Betroffener gespeicherten Inhalte und Umstände der Kommunikation in der Weise, dass mit technischen Mitteln in ein IT-System eingegriffen wird (erweiterte Quellen-Telekommunikationsüberwachung, vgl. § 100a Abs. 1 Satz 3 StPO), ist allein am IT-System-Grundrecht zu messen.
b) Das Recht auf informationelle Selbstbestimmung schützt nicht nur vor einzelnen Datenerhebungen, sondern auch vor dem Zugriff auf große und dadurch typischerweise besonders aussagekräftige Datenbestände. Ermächtigt aber eine Norm zur Datenerhebung aus einem IT-System, auf das mit technischen Mitteln zugegriffen wird, wird das Recht auf informationelle Selbstbestimmung vom IT-System-Grundrecht verdrängt.
c) Von diesen beiden Ausprägungen des allgemeinen Persönlichkeitsrechts gewährleistet das IT-System-Grundrecht einen gegenüber dem Recht auf informationelle Selbstbestimmung spezifischen Schutz, der gerade die mit dem Zugriff auf eigengenutzte IT-Systeme verbundene Verletzung ihrer Integrität und Gefährdung der Vertraulichkeit in den Blick nimmt.
3. Eine Befugnisnorm, die dazu ermächtigt, heimlich mit technischen Mitteln in ein von Betroffenen genutztes IT-System einzugreifen und daraus Daten zu erheben, die auch solche der laufenden Fernkommunikation umfassen (Online-Durchsuchung), ermöglicht Eingriffe sowohl in das IT-System-Grundrecht als auch in Art. 10 Abs. 1 GG. Sind beide Grundrechte betroffen, ist die Befugnis zur Online-Durchsuchung an beiden Grundrechten zu messen.
Sie kommen am Ende zu dem Ergebnis, dass es zwar geht, aber nur unter bestimmten Voraussetzungen.
Was mir an dieser Entscheidung aber auffällt: Schaut Euch mal Abschnitt „B.“ an, von Randnummer 103 bis 168. Eine einzige Aufzählung dessen, was die Verfassungsbeschwerde alles falsch gemacht habe, was fehlt, was nicht dargelegt oder vorgetragen, welche Verletzung nicht behauptet wurde. Eigentlich steht da nichts anderes, als dass die Verfassungsbeschwerde der letzte Schrott ist, voller Fehler, stümperhaft und Murks, obwohl von einem Rechtsanwalt geschrieben. Warum aber entscheiden sie dann doch über eine Verfassungsbeschwerde, an der eigentlich gar nichts stimmt, richtig und zulässig ist, und der es überall an den notwendigen Darlegungen und Begründungen fehlt? Das Gericht hat schon Beschwerden aus weit geringeren Gründen als unzulässig in den Müll geworfen.
Ich kann mir das nur so erklären, dass das Gericht aus politischen Gründen entscheiden wollte und deshalb verwendet hat, was es eben wollte. Im Prinzip geben sie hier eine präzise Anleitung, wie die nächste Verfassungesbeschwerde zu dem Thema zu schreiben ist, damit sie damit etwas anfangen können. Letztlich nämlich gibt die Entscheidung in der Sache kund, wie das Bundesverfassungsgericht die Sache sieht, und wie künftige Beschwerden auszusehen haben, damit sie entscheiden können, was sie entscheiden wollen. Ich halte die Rügen der Beschwerde eigentlich für den wichtigsten Teil.
Ein anderer Punkt ist etwas, was mir darin zwar inhaltlich nicht neu ist, was ich früher schon gesehen habe, aber nicht unter diesem Rechtsbegriff bekannt war: Das „IT-System-Grundrecht“. Ich kann mich spontan nicht erinnern, dass ich das schon mal irgendwo anders gelesen hätte, und mir war bisher nicht bekannt, dass das Bundesverfassungsgericht das als eigenständiges (abgeleitetes, weil nicht explizit im Grundgesetz erwähntes) Grundrecht ansieht. Der Grund, warum mir der Begriff nicht geläufig ist, könnte darin liegen, dass ihn das Bundesverfassungsgericht zumindest nach der Urteilssuchfunktion auf seiner Webseite in diesen beiden Entscheidungen vom 24.6. erstmals verwendet hat. Es wird keine frühere Entscheidung angezeigt, in der der Begriff vorkäme, (was aber täuschen kann, denn mit Anführungszeichen werden getrennte Begriffe nicht erfasst, und ohne Anführungszeichen sucht die Suchmaschine alle drei Begriffe getrennt, zeigt die ersten Einzelwort-Treffer an und damit womöglich nicht, wo er früher schon einmal auftauchte).
Sie beziehen sich aber auch auf BVerfGE 120, 274 <315> (dämliche Zitierweise), was, soweit ich das herausfinden konnte, 1 BvR 370, 595/07 ist, wobei die Zuordnung von Seitennummern zu Randnummern online gerade nicht zu klären ist. Sie bezeichnen es als für das IT-System-Grundrecht grundlegend, aber der Begriff kommt darin, soweit ich das mit der Suchfunktion eruieren konnte, noch nicht vor.
Was sicherlich in der Sache gut ist, aber eben auch zeigt, dass das Bundesverfassungsgericht sich gerne auch anmaßt, selbst Grundrechte zu machen und das Grundgesetz mit den Anforderungen und Entwicklungen fortzuentwickeln. Was eigentlich Aufgabe des Bundestags wäre, aber der befasst sich damit, ob man das Grundgesetz Geschlechtergerecht ist und ob man noch „Rasse“ sagen darf.
Grundsätzlich ist die Entscheidung in der Sichtweise nicht überraschend, denn es gab vor einigen Jahren schon mal eine Entscheidung, bei deren mündlicher Verhandlung ich damals im Bundesverfassungsgericht als Zuschauer (besser: Zuhörer) dabei war, wonach eine Hausdurchsuchung bei einer einer Straftat verdächtigen Richterin, bei der man E-Mail von deren Rechner zuhause beschlagnahmt hatte, nicht mehr in das Fernmeldegeheimnis eingreife, dafür aber in den Schutz der Wohnung, denn das Fernmeldegeheimnis schütze nur während der Übertragung von Kommunikation, solange man sich der Hilfe Dritter bedienen muss, Ende aber, sobald die Daten auf dem eigenen Rechner angekommen und in die eigene Verfügungsgewalt übergegangen sind. Die Richterin hatte sich wegen der Verletzung des Fernmeldegeheimnisses beschwert, was damit abgelehnt wurde, dafür bekam sie aber die Verletzung der Wohnung bestätigt. Das habe ich jahrelang in Belehrungen zum Post- und Fernmeldegeheimnis verwendet.
172
1. Die Befugnis zur Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 2 StPO begründet Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-System-Grundrecht) sowie in das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis.
173
Das IT-System-Grundrecht schützt als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) vor Zugriffen auf IT-Systeme in ihrer ganzen Breite. Sein Schutzgegenstand sind eigengenutzte IT-Systeme, die aufgrund ihrer technischen Funktionalität allein oder durch ihre technische Vernetzung Daten einer betroffenen Person in einem Umfang und in einer Vielfalt vorhalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Grundrechtlich gewährleistet ist die Vertraulichkeit und Integrität des geschützten IT-Systems (näher BVerfGE 120, 274 <313 ff.>; BVerfG, Beschluss des Ersten Senats vom 24. Juni 2025 – 1 BvR 2466/19 -, Rn. 97 ff. m.w.N. – Trojaner I). Das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) schützt demgegenüber die unkörperliche Übermittlung von Informationen mit Hilfe des Telekommunikationsverkehrs, und zwar vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen. Dies umfasst auch den kommunikationsbezogenen Zugriff auf ein Endgerät (näher BVerfG, Beschluss des Ersten Senats vom 24. Juni 2025 – 1 BvR 2466/19 -, Rn. 87 m.w.N.).
174
Die Befugnis zur Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 2 StPO ermächtigt zur Überwachung und Aufzeichnung laufender Telekommunikation auch in der Weise, dass mit technischen Mitteln in von Betroffenen genutzte IT-Systeme eingegriffen wird. Begründet werden dadurch Eingriffe sowohl in das IT-System-Grundrecht als auch in das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis. § 100a Abs. 1 Satz 2 StPO ist an beiden Grundrechten zu messen (vgl. zu § 20c Abs. 1 i.V.m. Abs. 2 PolG NRW BVerfG, Beschluss des Ersten Senats vom 24. Juni 2025 – 1 BvR 2466/19 -, Rn. 85 ff., 105 ff. m.w.N.).
Und damit bauen sie gegenüber der alten Entscheidung, die ich oben erwähnt habe, etwas Neues: Solange Daten übertragen werden, unterliegen sie dem Telekommunikationsgeheimnis, aber sobald sie auf dem Zielrechner angekommen sind, eben nicht mehr. Und statt den Schutz der Wohnung weiter zu bemühen (was, wenn man gar nicht in der Wohnung, sondern woanders ist?) konstruieren sie nun ein eigenes „IT-System-Grundrecht“, weil wir heute eben praktisch alles IT-Systemen anvertrauen. Dazu sagen sie dann weiter unten im Beschluss
189
IT-Systeme werden nach heutigen Nutzungsgepflogenheiten typischerweise auch bewusst zum Speichern persönlicher Daten von gesteigerter Sensibilität, etwa in Form privater Text-, Bild- oder Tondateien, genutzt (vgl. schon BVerfGE 120, 274 <322 f.>). Sie haben mittlerweile alle Lebensbereiche erfasst und spielen für die Lebensführung der Mehrzahl der Menschen eine unverzichtbare Rolle (vgl. BVerfG, Beschluss des Ersten Senats vom 24. Juni 2025 – 1 BvR 2466/19 -, Rn. 113 m.w.N.; vgl. auch VfGH Österreich, Erkenntnis vom 14. Dezember 2023 – G 352/2021-46 -, Rn. 37, 66 ff.; EuGH, Urteil vom 4. Oktober 2024, Bezirkshauptmannschaft Landeck, C-548/21, EU:C:2024:830, Rn. 93 f.). Insbesondere die Nutzung von Cloud-Services einschließlich Cloud-Speichern gehört für viele Menschen und Unternehmen zunehmend zum Alltag (vgl. Stellungnahmen, oben Rn. 66, 69, 87, 96). So geht etwa der Branchenverband der Telekommunikationsbranche Bitkom auf Grundlage einer Unternehmensbefragung davon aus, dass im Jahr 2024 rund 81 % aller Unternehmen Cloud-Services nutzten und 14 % dies planten oder diskutierten (vgl. Bitkom, Cloud Report 2024, S. 2). Ähnliche Zahlen haben sowohl das Statistische Bundesamt für das Jahr 2023 (vgl. Statistisches Bundesamt, Erhebung über die Nutzung von Informations- und Kommunikationstechnologien in Unternehmen) als auch der KPMG Cloud-Monitor für das Jahr 2024 ermittelt. Im Bereich der Privatnutzung von Cloud-Services liegen zwar keine vergleichbar belastbaren Daten vor. In ihren Stellungnahmen sind sich die Äußerungsberechtigten und sachkundigen Dritten aber darin einig, dass ein großer und zunehmender Teil der Bevölkerung schon aufgrund der Voreinstellungen der ubiquitär verbreiteten Smartphones und der darauf installierten Software Cloud-Services nutzt (vgl. oben Rn. 66, 69, 87, 96).
190
(bb) Ein staatlicher Zugriff auf einen derart umfassenden Datenbestand ist auch vor dem Hintergrund, dass die Analysemöglichkeiten gestiegen und heute sehr weitreichend sind (vgl. insoweit BVerfGE 154, 152 <243 Rn. 151>), mit dem naheliegenden Risiko verbunden, dass die erhobenen Daten in einer Gesamtschau einen umfassenden Einblick in das Privatleben Betroffener und eine weitgehende Erfassung der Persönlichkeit bis hin zu einer Erstellung von Verhaltens- und Kommunikationsprofilen ermöglichen (vgl. insoweit BVerfGE 120, 274 <323>). Wegen der oft höchstpersönlichen Natur dieser Daten, die sich insbesondere auch aus deren Verknüpfung ergibt, ist der Eingriff in die hier betroffenen Grundrechte daher von besonderer Intensität (vgl. zur Online-Durchsuchung BVerfGE 141, 220 <304 Rn. 210>).
Und das ist der springende Punkt: Sie wollen auch Daten in der Cloud schützen, und die unterliegen eben nicht dem Schutz der Wohnung. Deshalb erfinden sie ein neues Grundrecht.
Umgekehrt gilt das IT-System-Grundrecht nicht, aber das Telekommunikationsgeheimnis, solange die Daten auf Rechnern von daran beteiligten Dritten liegen oder die Rechte der Kommunikationspartner betrachtet werden:
175
Allein ein Eingriff in Art. 10 Abs. 1 GG liegt dagegen vor, wenn eine Person zwar von einer Überwachung nach § 100a Abs. 1 Satz 2 StPO betroffen ist, dieser Überwachung aber etwa kein Zugriff auf ein von ihr eigengenutztes und hinreichend qualifiziertes IT-System zugrunde liegt (vgl. Rn. 173). Insoweit gewährleistet das IT-System-Grundrecht keinen Schutz (vgl. BVerfGE 120, 274 <315>; Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 180; vgl. auch Hoffmann-Riem, JZ 2008, S. 1009 <1012, 1019>). Es schützt daher keine Dritten, die von einer Quellen-Telekommunikationsüberwachung etwa allein deshalb betroffen sind, weil sie mit einer Person, deren IT-System überwacht wird, in Kontakt stehen. Auch etwa der Zugriff auf das von einem Nachrichtenmittler nach § 100a Abs. 3 StPO eigengenutzte IT-System begründet nur diesem gegenüber einen Eingriff in das IT-System-Grundrecht, nicht aber auch gegenüber dem Beschuldigten. Der Schutz des in solchen Fällen allein beeinträchtigten Fernmeldegeheimnisses kann allerdings nicht weiter reichen als derjenige aus einer gleichzeitigen Betroffenheit des IT-System-Grundrechts (vgl. dazu BVerfGE 109, 279 <326>; näher Rn. 218).
Und diesen Zugriff verbieten sie nicht völlig, binden ihn aber an schwerere Straftaten:
176
2. Die durch den Zugriff auf eigengenutzte IT-Systeme begründeten Eingriffe sowohl in das IT-System-Grundrecht als auch in Art. 10 Abs. 1 GG sind nicht gerechtfertigt, soweit eine Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 2 in Verbindung mit § 100a Abs. 1 Satz 1 Nr. 1, Abs. 2 StPO auch die Aufklärung solcher Straftaten erlaubt, die eine Höchstfreiheitsstrafe von drei Jahren oder weniger vorsehen und damit nur dem einfachen Kriminalitätsbereich zuzuordnen sind.
177
a) Die Verfassungsmäßigkeit von heimlichen Überwachungsmaßnahmen richtet sich nach den jeweils betroffenen Grundrechten und dabei vor allem nach den Anforderungen der Verhältnismäßigkeit (vgl. BVerfG, Beschluss des Ersten Senats vom 24. Juni 2025 – 1 BvR 2466/19 -, Rn. 123 ff. m.w.N.). Sowohl für Eingriffe in das IT-System-Grundrecht, das der Schrankentrias des Art. 2 Abs. 1 GG untersteht und gleichermaßen zu präventiven wie zu repressiven Zwecken beschränkbar ist (vgl. BVerfGE 120, 274 <315>), als auch für solche in Art. 10 Abs. 1 GG (vgl. BVerfGE 100, 313 <373 ff.>; 113, 348 <385 ff.>) gelten hierbei keine Besonderheiten. Überwachungsbefugnisse müssen einen legitimen Zweck verfolgen und zur Erreichung dieses Zwecks geeignet, erforderlich und verhältnismäßig im engeren Sinne sein (vgl. BVerfGE 141, 220 <265 Rn. 93> m.w.N.). Maßgebliche Begrenzungen ergeben sich insbesondere aus den Anforderungen der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem jeweiligen Eingriffsgewicht und dem Gewicht des öffentlichen Interesses (vgl. BVerfGE 141, 220 <269 Rn. 105>).
178
Verfassungsrechtliche Anforderungen richten sich dabei an die Eingriffsschwelle und – bei repressiven Maßnahmen – an das Gewicht der Straftaten, die den Anlass der Überwachung bilden. Als Eingriffsschwelle bedarf es einer gesicherten Tatsachenbasis sowohl für die Annahme eines Tatverdachts als auch für die Erstreckung der Maßnahme auf Dritte (vgl. BVerfGE 129, 208 <242>). Daneben kommt es für Maßnahmen, die der Strafverfolgung dienen und damit repressiven Charakter haben, auf das Gewicht der Straftaten an, die der Gesetzgeber in – jeweils näher bestimmte – erhebliche, schwere und besonders schwere Straftaten eingeteilt hat (vgl. BVerfGE 141, 220 <270 Rn. 107>). Das erforderliche Gewicht der verfolgten Straftat bestimmt sich maßgeblich nach der Eingriffsintensität (vgl. BVerfGE 141, 220 <269 ff. Rn. 104 ff.>; 169, 130 <172 Rn. 87 f.>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 – 1 BvL 3/22 -, Rn. 74; näher Rn. 201 ff.). Die jeweils geregelten Eingriffsvoraussetzungen stehen dabei allerdings nicht unverbunden nebeneinander. Es bedarf vielmehr einer Gesamtschau der Kombination von Gewicht der Straftat und Stärke des Tatverdachts unter Berücksichtigung insbesondere der Intensität des Grundrechtseingriffs (vgl. BVerfGE 109, 279 <351>; vgl. auch BVerfGE 165, 1 <86 Rn. 161, 90 f. Rn. 173>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 – 1 BvL 3/22 -, Rn. 75 ff.).
Und dann, ganz wichtig, was sie offenbar entscheiden wollten:
179
b) Danach genügt die angegriffene Regelung in § 100a Abs. 1 Satz 2 StPO im Hinblick auf das erforderliche Straftatengewicht teilweise nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne.
180
aa) § 100a Abs. 1 Satz 2 StPO dient allerdings einem legitimen Zweck (1) und ist zur Erreichung dieses Zwecks auch geeignet und erforderlich (2).
Also: § 100a Abs. 1 Satz 2 StPO ist zwar nicht immer, aber manchmal verfassungswidrig, nämlich weil er bei normalen Straftaten unverhältnismäßig ist. Wie lautet eigentlich dieser Satz? So (Satz 2 und 3, denn mit Satz 3 befassen sie sich später auch noch):
Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen. Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.
191
(cc) Soweit Daten erhoben werden, die Aufschluss über die Kommunikation mit Dritten geben, wird die Intensität der Grundrechtseingriffe weiter erhöht. Solche Datenerhebungen weisen eine beträchtliche, das Gewicht der Eingriffe erhöhende Streubreite auf, da Dritte erfasst werden, ohne dass es darauf ankäme, ob in deren Person die Voraussetzungen für einen derartigen Zugriff vorliegen (vgl. BVerfGE 120, 274 <323>).
192
(dd) Eingriffsverstärkend wirkt auch, dass eine Quellen-Telekommunikationsüberwachung nicht nur heimlich erfolgt, sondern mit dem Zugriff auf ein IT-System gezielt Sicherungsmechanismen wie insbesondere der Einsatz von Verschlüsselungstechnologie umgangen werden. Die Vereitelung solchen informationellen Selbstschutzes erhöht das Gewicht der Grundrechtseingriffe (vgl. insoweit BVerfGE 120, 274 <324 f.>). Mit dem Zugriff auf das IT-System werden zudem berechtigte Erwartungen in dessen Integrität und Vertraulichkeit beeinträchtigt. Verbunden ist damit ein hohes Gefährdungspotential. Einmal in das IT-System eingedrungen, ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems überwunden (vgl. auch BVerfGE 120, 274 <314>).
Sie geben der Sache also besonderes Gewicht, weil in der Aushebelung der Verschlüsselung damit auch eine gewisse „Heimtücke“ (vgl. das Mordmerkmal) liegt, weil der Nutzer auf den Schutz vertraut und nicht offen, wie bei einer Postkarte, kommuniziert.
Und dann berücksichtigen sie, dass der Angreifer ja auch im IT-System herummurkst:
193
(ee) Das Gewicht des Eingriffs wird schließlich dadurch erhöht, dass infolge des Zugriffs Gefahren für die Integrität des IT-Systems sowie für Rechtsgüter der Betroffenen und einer unbestimmten Vielzahl Dritter begründet werden.
194
Schon mit dem Zugriff als solchem geht das Risiko einer funktionellen Beeinträchtigung des IT-Systems einher. Dabei ist zu beachten, dass es einen rein lesenden Zugriff jedenfalls bei Infiltration eines IT-Systems mit einer Überwachungssoftware nicht gibt. Sowohl die Ermittlungsbehörde als auch von ihr mit der Durchführung betraute Dritte können Datenbestände versehentlich oder durch gezielte Manipulationen löschen, verändern oder neu anlegen (vgl. BVerfGE 120, 274 <325>). Zu berücksichtigen sind auch die mit dem Zugriff auf ein IT-System mittelbar einhergehenden Gefährdungen. Denn Ermittlungsbehörden dürfen insbesondere mit einer Überwachungssoftware auf ein Zielsystem zugreifen und dafür unbekannte IT-Sicherheitslücken ausnutzen (sog. Zero-Day-Exploits). So wirkt sich auf das Eingriffsgewicht aus, dass schon die Existenz dieser Befugnis einen Anreiz für Ermittlungsbehörden schafft, ihnen bekannte Sicherheitslücken offenzuhalten, um sie für eine Infiltration nutzen zu können (vgl. BVerfGE 120, 274 <326>; 158, 170 <188 f. Rn. 42>; 162, 1 <142 Rn. 316>; Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 192). In der Folge besteht die Gefahr, dass die Ermittlungsbehörde es etwa unterlässt, gegenüber anderen Stellen Maßnahmen zur Schließung solcher Sicherheitslücken anzuregen, oder sie sogar aktiv darauf hinwirkt, dass die Lücken unerkannt bleiben (BVerfGE 120, 274 <326>).
Und
196
(gg) In einer Gesamtschau begründet die Quellen-Telekommunikationsüberwachung daher einen sehr schwerwiegenden Eingriff sowohl in Art. 10 Abs. 1 GG als auch in das IT-System-Grundrecht.
197
Ausgangspunkt ist insoweit, dass jede heimliche Überwachung der Telekommunikation grundsätzlich einen schweren Eingriff jedenfalls in Art. 10 Abs. 1 GG darstellt, weil dabei Kommunikation erfasst wird, die oftmals privaten und unter Umständen auch höchstvertraulichen Charakter hat (vgl. BVerfGE 129, 208 <240>; 154, 152 <241 Rn. 147>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 – 1 BvR 1743/16 u.a. -, Rn. 157).
Und weiter geht’s dann mit Satz 3:
219
Der durch § 100a Abs. 1 Satz 3 StPO bewirkte Eingriff in das IT-System-Grundrecht ist ebenfalls nicht gerechtfertigt, soweit eine Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 3 in Verbindung mit § 100a Abs. 1 Satz 1 Nr. 1, Abs. 2 StPO auch zur Aufklärung von Straftaten erlaubt ist, die eine Höchstfreiheitsstrafe von bis zu drei Jahren vorsehen und damit nur dem einfachen Kriminalitätsbereich zuzuordnen sind.
[…]
221
a) Eine Quellen-Telekommunikationsüberwachung nach § 100a Abs. 1 Satz 3 StPO greift in das IT-System-Grundrecht ein (vgl. Hauck, in: Löwe-Rosenberg, StPO, 27. Aufl. 2019, § 100a Rn. 99, 146; Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 192; vgl. auch BTDrucks 18/12785, S. 50), denn Ermittlungsbehörden dürfen insoweit mit technischen Mitteln dergestalt auf IT-Systeme zugreifen, dass deren Leistungen, Funktionen und Speicherinhalte potentiell genutzt werden können. Ermöglicht wird ein Zugriff auf IT-Systeme in ihrer ganzen Breite. Unerheblich ist dabei, dass die Überwachung und Aufzeichnung nach § 100a Abs. 1 Satz 3, Abs. 5 Satz 1 Nr. 1 Buchstabe b StPO auf vormals laufende Telekommunikation ab dem Anordnungszeitpunkt begrenzt ist. Denn diese gegenständliche und zeitliche Begrenzung lässt unberührt, dass das Gefährdungspotential, das mit dem Zugriff unter Verwendung technischer Mittel unmittelbar einhergeht, die Vertraulichkeitserwartung an das IT-System insgesamt unterläuft. Einmal in das System eingedrungen, ist die Vertraulichkeit aller dort erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten erheblich gefährdet (vgl. auch BVerfG, Beschluss des Ersten Senats vom 24. Juni 2025 – 1 BvR 2466/19 -, Rn. 103). Ein Eingriff in das IT-System-Grundrecht scheidet dagegen aus, sofern das IT-System etwa nicht eigengenutzt wird oder nicht hinreichend qualifiziert ist (vgl. BVerfGE 120, 274 <315>; näher Rn. 173, 175).
222
b) § 100a Abs. 1 Satz 3 StPO betrifft aber auch den Schutzbereich des Rechts auf informationelle Selbstbestimmung.
223
aa) Das Recht auf informationelle Selbstbestimmung schützt als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) die Befugnis Einzelner, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden (vgl. BVerfGE 65, 1 <42>; 115, 320 <341>; 150, 1 <106 Rn. 219>). Der Schutzbereich ist auf die individuelle Selbstbestimmung Einzelner über ihre personenbezogenen Daten ausgerichtet (vgl. BVerfGE 115, 320 <341 f.>). Dementsprechend schützt das Recht auf informationelle Selbstbestimmung vor der unbegrenzten Erhebung, Speicherung, Verwendung und Weitergabe personenbezogener Daten (vgl. BVerfGE 65, 1 <43>; 115, 166 <188>; 115, 320 <341>; 120, 274 <312>; 169, 332 <364 Rn. 81>). Dieser vorgangsbezogene Schutz ist rein prozedural, also keiner Materialisierung nach Stärke der Persönlichkeitsrelevanz zugänglich. So kommt es weder auf die Qualität und Sensibilität der Daten (vgl. BVerfGE 65, 1 <45>; 120, 378 <398>) noch auf den Speicherort (vgl. auch Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 153) an. Auch der Umfang der Daten ist nicht von Bedeutung. Das Recht auf informationelle Selbstbestimmung ist vielmehr bei jeder Erhebung, Speicherung, Verwendung oder Weitergabe personenbezogener Daten betroffen. Es schützt daher nicht nur vor einzelnen Datenerhebungen, sondern auch vor dem Zugriff auf große und dadurch typischerweise besonders aussagekräftige Datenbestände (vgl. Britz, DÖV 2008, S. 411 <412>; Hornung, CR 2008, S. 299 <301 f.>; Epping/Lenz/Leydecker, Grundrechte, 10. Aufl. 2024, Rn. 642); an seiner insoweit möglicherweise abweichenden Rechtsprechung im Urteil vom 27. Februar 2008 (BVerfGE 120, 274 <313>) hält der Senat nicht fest. Denn Schutzgegenstand des Rechts auf informationelle Selbstbestimmung ist nicht nur das einzelne Datum. Es schützt vielmehr gerade vor einer umfassenden Persönlichkeitsgefährdung durch (moderne) Informationstechnologie und die Kombination von Einzeldaten aus verschiedenen Quellen (vgl. dazu BVerfGE 65, 1 <42>; 165, 363 <388 f. Rn. 50, 394 Rn. 65, 396 ff. Rn. 69 f.>). Daher sind nicht nur individualisierbare Datenerhebungsvorgänge, sondern auch Zugriffe auf umfassende Datenbestände erfasst (vgl. zur Beschlagnahme des gesamten Datenbestands einer Rechtsanwaltskanzlei schon BVerfGE 113, 29 <45 f.>). Insofern ändert auch der Umstand, dass die Erhebung besonders vieler Daten einen besonders gravierenden Eingriff begründet, nichts. Anderenfalls stünde zu besorgen, dass gerade ein Zugriff auf große, aussagekräftige Datenmengen, insbesondere dann, wenn weder das IT-System-Grundrecht noch Art. 10 Abs. 1 GG betroffen sind, keinen spezifischen Grundrechtsschutz erfährt.
[…]
225
c) Das Recht auf informationelle Selbstbestimmung tritt hier allerdings hinter dem IT-System-Grundrecht zurück.
Ergebnis:
269
Im Ergebnis genügen die zulässig angegriffenen Normen den verfassungsrechtlichen Anforderungen teilweise nicht.
270
1. § 100a Abs. 1 Sätze 2 und 3 in Verbindung mit § 100a Abs. 1 Satz 1 Nr. 1, Abs. 2 StPO in der angegriffenen Fassung vom 17. August 2017 sind verfassungswidrig, soweit auf in § 100a Abs. 2 Nr. 1 Buchstaben a, c, d und t, Nr. 6 und Nr. 7 Buchstabe b StPO genannte Straftatbestände Bezug genommen wird, die eine Höchstfreiheitsstrafe von bis zu drei Jahren vorsehen (§ 85 Abs. 2 StGB, § 86 Absätze 1 und 2 StGB, § 97 Abs. 2 StGB, § 97b Abs. 1 Satz 1 in Verbindung mit § 97 Abs. 2 StGB, § 109g Abs. 1 in Verbindung mit Abs. 4 Satz 1 StGB, § 109g Abs. 2 StGB, § 129 Abs. 1 Satz 2 StGB, § 129 Abs. 1 Satz 2 in Verbindung mit § 129b StGB, § 130 Absätze 2, 4 und 5 StGB, § 310 Abs. 1 Nr. 4 in Verbindung mit § 309 Abs. 6 StGB, § 313 Abs. 2 in Verbindung mit § 308 Abs. 6 StGB, § 17 Abs. 5 AWG, § 18 Abs. 5a AWG, § 30b BtMG in Verbindung mit § 129 Abs. 1 Satz 2 StGB, § 30b BtMG in Verbindung mit § 129 Abs. 1 Satz 2 in Verbindung mit § 129b StGB). Die Regelungen verletzen die Beschwerdeführenden zu 1) und 5) in ihrem IT-System-Grundrecht und – soweit § 100a Abs. 1 Satz 2 StPO betroffen ist – zugleich in Art. 10 Abs. 1 GG.
271
2. § 100b Abs. 1 StPO ist verfassungswidrig. Die Regelung verletzt die Beschwerdeführenden zu 1), 2), 4) und 5) aufgrund eines Verstoßes gegen das Zitiergebot in ihrem Grundrecht aus Art. 10 Abs. 1 GG in Verbindung mit Art. 19 Abs. 1 Satz 2 GG. Damit geht allerdings nicht die Verfassungswidrigkeit des gesamten Gesetzes – hier des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens vom 17. August 2017 (BGBl I S. 3202 ff.) – einher, sondern sie beschränkt sich auf die Bestimmung, die den gerügten Verstoß gegen das Zitiergebot begründet.
1. Die Feststellung der Verfassungswidrigkeit gesetzlicher Vorschriften führt grundsätzlich zu deren Nichtigkeit. Allerdings kann sich das Bundesverfassungsgericht, wie sich aus § 31 Abs. 2 Sätze 2 und 3 sowie § 79 Abs. 1 und § 93c Abs. 1 Satz 3 BVerfGG ergibt (vgl. BVerfGE 166, 1 <88 Rn. 187> – Kinderehe), auch darauf beschränken, eine verfassungswidrige Norm nur für mit der Verfassung unvereinbar zu erklären. Es verbleibt dann bei einer bloßen Beanstandung der Verfassungswidrigkeit ohne den Ausspruch der Nichtigkeit. Die Unvereinbarkeitserklärung kann das Bundesverfassungsgericht dabei zugleich mit der Anordnung einer befristeten Fortgeltung der verfassungswidrigen Regelung verbinden. Dies kommt in Betracht, wenn die sofortige Ungültigkeit der zu beanstandenden Norm dem Schutz überragender Güter des Gemeinwohls die Grundlage entziehen würde und eine Abwägung mit den betroffenen Grundrechten ergibt, dass der Eingriff für eine Übergangszeit hinzunehmen ist (BVerfGE 165, 1 <100 Rn. 201> m.w.N.; stRspr).
273
2. a) Danach sind § 100a Abs. 1 Sätze 2 und 3 StPO im Umfang ihrer Verfassungswidrigkeit (dazu Rn. 270) für mit der Verfassung unvereinbar und nichtig zu erklären. Sie genügen insoweit nicht den verfassungsrechtlichen Anforderungen. Eine verfassungsmäßige Regelung mit vergleichbarem Regelungsgehalt kann der Gesetzgeber auch durch Nachbesserung nicht herbeiführen.
[…]
275
b) Demgegenüber ist § 100b Abs. 1 StPO lediglich für mit der Verfassung unvereinbar zu erklären. Die Gründe für die Verfassungswidrigkeit dieser Regelung betreffen nicht den Kern der mit ihr eingeräumten Befugnis, sondern einen einzelnen Aspekt ihres rechtsstaatlichen Zustandekommens. Der Gesetzgeber kann die verfassungsrechtliche Beanstandung beseitigen und damit die mit der Vorschrift verfolgten Ziele in einem verfassungsmäßigen Verfahren verwirklichen (vgl. BVerfGE 150, 309 <344 f. Rn. 97>), indem er sich nach den Vorgaben des Art. 19 Abs. 1 Satz 2 GG bewusst macht, dass er eine Befugnis zur Online-Durchsuchung auch im Lichte des Art. 10 Abs. 1 GG regeln muss, und sich darüber Rechenschaft ablegt (vgl. auch BVerfGE 5, 13 <16>; 154, 152 <237 Rn. 135>). Die Verfassungswidrigkeit der zu beanstandenden Regelung ist für eine Übergangszeit hinzunehmen. Die Befugnis zur Online-Durchsuchung hat für die Strafverfolgung unter Berücksichtigung der Entwicklungen in der Informationstechnik eine große Bedeutung. Durch eine Nichtigerklärung oder eine vorläufige Außerkraftsetzung würden erhebliche Risiken eingegangen. Angesichts der ihrerseits großen Bedeutung der Strafverfolgung ist eine vorübergehende Fortgeltung der verfassungswidrigen Vorschrift eher hinzunehmen als deren Beseitigung bis zu einer Neuregelung, mit der absehbar zu rechnen ist.
276
Die Unvereinbarkeitserklärung betrifft zunächst § 100b Abs. 1 StPO. Da damit aber für die Regelungen in § 100b Absätze 2 bis 4 StPO kein selbständiger Anwendungsbereich mehr verbleibt, ist § 100b StPO in Gänze für mit der Verfassung unvereinbar zu erklären. Die Gründe, die zur Verfassungswidrigkeit von § 100b StPO in der angegriffenen Fassung führen, treffen ebenso auf alle nachfolgenden Fassungen zu, die daher im Interesse der Rechtsklarheit auch für mit dem Grundgesetz unvereinbar zu erklären sind (vgl. Rn. 274).
Die hatten es offenbar eilig, da etwas zu verbieten.
1 BvR 2466/19
Der Entscheidungstext liegt hier. Hier ging es um § 20c des Polizeigesetzes des Landes Nordrhein-Westfalen (PolG NRW).
Kurios daran ist, dass die Verfassungsbeschwerde zurückgewiesen wird, und trotzdem die Grundrechte dahingehend ausgebaut und definiert werden. Kommt beim Bundesverfassungsgericht manchmal vor, ist aber eben auffällig. Und wieder geht es darum, dass die Verfassungsbeschwerde eigentlich Murks ist, sie wollten aber trotzdem entscheiden:
47
Die Verfassungsbeschwerde ist nur teilweise zulässig. Der Beschwerdeführer zu 4) hat seine Verfassungsbeschwerde nicht formgerecht eingelegt (I). Im Übrigen haben die Beschwerdeführenden ihre Beschwerdebefugnis nicht durchgehend dargelegt und insbesondere die Möglichkeit einer Grundrechtsverletzung nicht in jeder Hinsicht aufgezeigt (II). Im verbleibenden Umfang genügt die Verfassungsbeschwerde den Anforderungen der Subsidiarität (III). Die Zuständigkeit des Bundesverfassungsgerichts ist gegeben (IV).
48
Die Verfassungsbeschwerde erlaubt, soweit sie den Beschwerdeführer zu 4) betrifft, nicht die erforderliche verlässliche Zurechnung des Erklärungsinhalts zum Urheber der Erklärung (vgl. BVerfGE 15, 288 <291 f.>). Der Beschwerdeschrift kann hier nicht ausreichend zuverlässig die Person entnommen werden, die die Verfassungsbeschwerde eingelegt hat. Die dafür erforderliche hinreichende Individualisierung lässt der vom Beschwerdeführer zu 4) verwendete Künstlername für sich genommen nicht zu. Solchermaßen individualisierende Umstände werden auch nicht substantiiert ausgeführt; insbesondere fehlt eine nachvollziehbare und nicht nur vage bleibende Beschreibung seines künstlerischen Werdegangs und seiner Werke, anhand derer die Figur „(…)“ personalisiert werden und ihre Verkehrsgeltung für die Öffentlichkeit erkennbar sein könnte.
[…]
84
Die Verfassungsbeschwerde ist, soweit sie zulässig ist, nicht begründet. Die angegriffenen Überwachungsbefugnisse in § 20c Abs. 1 Satz 1 Nr. 2 und § 20c Abs. 1 Satz 1 Nr. 2 in Verbindung mit § 20c Abs. 2 PolG NRW greifen zwar in die Grundrechte der Beschwerdeführenden ein (I). Die Eingriffe sind jedoch verfassungsrechtlich gerechtfertigt; insbesondere genügen sie den Anforderungen der Verhältnismäßigkeit (II).
Auch eine Murksbeschwerde, auch von einem Anwalt, auch egal: Das Bundesverfassungsgericht wollte entscheiden, und nur das zählt effektiv.
Leitsätze:
1. Art. 10 Abs. 1 GG schützt vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen, und gewährleistet insoweit eine Privatheit auf Distanz. Diese Gefahren realisieren sich nicht nur bei einer Fernkommunikation zwischen zwei oder mehreren Menschen. Im Lichte seiner Entwicklungsoffenheit begegnet das Grundrecht auch neuen Gefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben, und erfasst insoweit grundsätzlich auch andere mithilfe von Telekommunikationstechniken über Distanz transportierte Daten.
2. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) in seiner Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-System-Grundrecht) schützt insbesondere vor heimlichen Zugriffen durch eine Online-Durchsuchung, ist hierauf aber nicht beschränkt (Anschluss an BVerfGE 120, 274).
a) Schutzgegenstand sind IT-Systeme, die aufgrund ihrer technischen Funktionalität allein oder durch ihre technische Vernetzung Daten einer betroffenen Person in einem Umfang und einer Vielfalt vorhalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten.
b) Grundrechtlich gewährleistet ist die Vertraulichkeit und Integrität des vom Schutzbereich erfassten IT-Systems. Das IT-System-Grundrecht schützt nicht nur die Vertraulichkeit der Daten, die durch Datenerhebungsvorgänge verletzt wird, sondern verlagert diesen Schutz nach vorne. Denn bereits mit dem Zugriff auf ein IT-System entsteht eine besondere Gefährdungslage für die dort erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten. Der Gewährleistungsgehalt des IT-System-Grundrechts geht dementsprechend über den Schutz personenbezogener Daten hinaus und vermittelt einen insoweit vorgelagerten Schutz der Persönlichkeit. Der Schutzbereich ist daher stets vom IT-System her zu definieren und auf ein auf dieses System insgesamt bezogenes Gefährdungspotenzial ausgelegt.
3. Darf die Überwachung und Aufzeichnung laufender Telekommunikation auch in der Weise erfolgen, dass mit technischen Mitteln in von Betroffenen genutzte IT-Systeme eingegriffen wird (Quellen-Telekommunikationsüberwachung), begründet dies sowohl einen Eingriff in das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis als auch in das IT-System-Grundrecht. Solche Maßnahmen sind an beiden Grundrechten zu messen (Abweichung von BVerfGE 141, 220).
4. Den im präventiven Bereich erforderlichen Rechtsgüterschutz kann der Gesetzgeber auch in der Weise sicherstellen, dass er an hinreichend gewichtige Straftaten anknüpft. Er kann ihn aber auch unabhängig vom Gewicht der Straftat mit einer ergänzenden Rechtsgutbetrachtung oder jedenfalls dergestalt sicherstellen, dass er eine hinreichende Qualifizierung als terroristische Straftat im Einzelfall vorsieht.
Und in der Begründung:
87
a) Das Fernmeldegeheimnis schützt die unkörperliche Übermittlung von Informationen mit Hilfe des Telekommunikationsverkehrs (vgl. BVerfGE 67, 157 <172>; 106, 28 <35 f.>). Staatliche Stellen sollen sich grundsätzlich keine Kenntnis von Inhalt und Umständen der über Telekommunikationsanlagen abgewickelten Kommunikationen verschaffen können (vgl. BVerfGE 113, 348 <364>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 – 1 BvR 1743/16 u.a. -, Rn. 135). Da eine Kommunikation über Distanz auf einen technischen Übermittlungsvorgang angewiesen ist, der nicht im ausschließlichen Einflussbereich Betroffener liegt, ist sie in besonderer Weise der Gefahr einer Kenntnisnahme durch Dritte ausgesetzt. Art. 10 Abs. 1 GG schützt vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen, und gewährleistet insoweit eine Privatheit auf Distanz (vgl. BVerfGE 106, 28 <36>; 115, 166 <182>); dies umfasst auch den kommunikationsbezogenen Zugriff auf ein Endgerät (vgl. BVerfGE 106, 28 <37 f.>; 115, 166 <186 f.>). Damit will das Grundrecht zugleich die Bedingungen einer freien Telekommunikation aufrechterhalten (vgl. BVerfGE 100, 313 <358 f.>; 107, 299 <313>; 129, 208 <241>).
88
aa) Der sachliche Schutzbereich des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG umfasst zuvörderst den Kommunikationsinhalt. Einen Unterschied zwischen Kommunikationen privaten und anderen, etwa geschäftlichen oder politischen, Inhalts macht Art. 10 GG dabei nicht. Der Grundrechtsschutz bezieht sich vielmehr auf alle mittels der Telekommunikationstechnik ausgetauschten Kommunikationen (vgl. BVerfGE 100, 313 <358>; 113, 348 <364>; 124, 43 <54>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 – 1 BvR 1743/16 u.a. -, Rn. 136). Geschützt sind auch die Kommunikationsumstände. Dazu gehört insbesondere, ob, wann und wie oft zwischen welchen Personen und Fernmeldeanschlüssen Telekommunikationsverkehr stattgefunden hat oder versucht worden ist (vgl. BVerfGE 67, 157 <172>; 120, 274 <307>; 129, 208 <240 f.>; 155, 119 <168 Rn. 98>; stRspr). Der Schutz des Art. 10 Abs. 1 GG ist schließlich auch unabhängig davon, welche Übermittlungsart und welche Ausdrucksform genutzt werden (vgl. BVerfGE 115, 166 <182 f.>; 120, 274 <307>). Nicht vom Grundrechtsschutz erfasst werden dagegen die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich des Betroffenen – also nach Abschluss der Übertragung – gespeicherten Inhalte und Umstände der Kommunikation, weil hinsichtlich solcher Daten die spezifischen Gefahren der räumlich distanzierten Kommunikation, die durch das Fernmeldegeheimnis abgewehrt werden sollen, nicht fortbestehen (vgl. BVerfGE 115, 166 <183 f.>; 120, 274 <307 f.>; 124, 43 <54>).
89
bb) Das Grundrecht aus Art. 10 Abs. 1 GG ist entwicklungsoffen. Es erfasst die bei Entstehung des Grundgesetzes bekannten Arten der Nachrichtenübertragung wie auch neuartige Übertragungstechniken (vgl. BVerfGE 115, 166 <182>; vgl. auch BVerfGE 46, 120 <143 f.>). Auch begegnet es nicht nur alten Persönlichkeitsgefährdungen, sondern auch neuen Gefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben (vgl. BVerfGE 120, 274 <307>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 – 1 BvR 1743/16 u.a. -, Rn. 135). Der Schutz des Grundrechts erstreckt sich deshalb etwa auch auf Kommunikationsdienste des Internets (vgl. BVerfGE 120, 274 <307>; 124, 43 <54>).
90
Ob und inwieweit Art. 10 Abs. 1 GG einzelnen Grundrechtsträgern vor neuen Gefährdungen Schutz bietet, ist mit Blick auf den Zweck der Freiheitsverbürgung unter Berücksichtigung der spezifischen Gefährdungslage zu bestimmen (vgl. auch BVerfGE 106, 28 <38>; 115, 166 <186 f.>; 124, 43 <56>). Maßgeblich ist dabei, dass das Fernmeldegeheimnis einen Ausgleich für den technisch bedingten Verlust an Beherrschbarkeit der Privatsphäre schafft, der für über Distanz transportierte Daten insbesondere bei Nutzung von Übertragungsmedien Dritter zwangsläufig entsteht (vgl. BVerfGE 115, 166 <186>). Das Fernmeldegeheimnis knüpft daher an die Verwendung eines Übertragungsmediums und die damit verbundene spezifische Gefährdungslage an (vgl. auch BVerfGE 106, 28 <43>; 124, 43 <54 f.>); die Nutzung eines Kommunikationsmediums soll in allem vertraulich möglich sein (vgl. BVerfGE 100, 313 <358>; 129, 208 <241>).
91
Vom Fernmeldegeheimnis geschützt wird daher seit jeher die individuelle Fernkommunikation mittels einer Telekommunikationseinrichtung, also die Übermittlung von Informationen an individuelle Empfänger (vgl. BVerfGE 115, 166 <182>; 120, 274 <306 f.>; 124, 43 <54>; 125, 260 <309>; 130, 151 <179>; 155, 119 <168 Rn. 98>). Die spezifische durch Art. 10 Abs. 1 GG geschützte Gefährdungslage (vgl. BVerfGE 106, 28 <43>) realisiert sich aber nicht nur bei einer Fernkommunikation zwischen zwei oder mehreren Menschen. Im Lichte seiner Entwicklungsoffenheit (vgl. BVerfGE 115, 166 <182>) begegnet das Grundrecht auch neuen Gefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben, und erfasst insoweit grundsätzlich auch andere mithilfe von Telekommunikationstechniken über Distanz transportierte Daten (vgl. BVerfGE 154, 152 <181 Rn. 10, 227 f. Rn. 111, 229 Rn. 114>; Sieber/Nolde, Sperrverfügungen im Internet, 2008, S. 81; Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 <104 f., 107 f.>; Marosi/Skobel, DÖV 2018, S. 837 <838 f.>; Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 67 ff.). So kann sich die grundrechtstypische Gefährdungslage etwa beim Surfen im Internet (vgl. zum Aufrufen einer Webseite im World Wide Web BVerfGE 120, 274 <340>; vgl. auch BVerfGE 125, 260 <311>; BVerfG, Beschluss der 3. Kammer des Zweiten Senats vom 6. Juli 2016 – 2 BvR 1454/13 -, Rn. 30, 37) oder dem Abruf von E-Mails (vgl. BVerfGE 124, 43 <54 ff.>; vgl. zu Art. 8 EMRK: EGMR, Copland v. The United Kingdom, Urteil vom 3. April 2007, Nr. 62617/00, § 41 f.) realisieren, aber auch beim Hoch- und Herunterladen von Daten über das Internet (Up- und Downloads) und insbesondere bei einem Datenaustausch mit Dienstleistungen, die über das Internet zur Verfügung gestellt werden (sog. Cloud Services inklusive Software-as-a-Service-Dienstleistungen; vgl. Rückert, a.a.O., S. 72; vgl. auch Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 <109>; a.A. Gusy, in: Huber/Voßkuhle, Grundgesetz, 8. Aufl. 2024, Art. 10 Rn. 63 m.w.N.; Pagenkopf, in: Sachs, Grundgesetz, 10. Aufl. 2024, Art. 10 Rn. 14b). Denn auch insoweit sind Grundrechtsträger schutzbedürftig, da sie auf eine für sie nicht beherrschbare und dem möglichen Zugriff Dritter ausgesetzte Übermittlung von potentiell persönlichkeitsrelevanten Daten auf Distanz angewiesen sind, gleichzeitig aber eine berechtigte Vertraulichkeitserwartung hinsichtlich der kommunizierten Inhalte und Umstände des Datentransports haben (vgl. Singelnstein, NStZ 2012, S. 593 <595>). Von daher ist die Erfassung der Rohdatenströme von Telekommunikationsverkehren vom Schutzbereich des Art. 10 Abs. 1 GG umfasst (vgl. BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 – 1 BvR 1743/16 u.a. -, Rn. 141 f.); dies gilt insoweit etwa auch für automatisch abgesetzte Lokalisationsdaten eingeschalteter Mobiltelefone (vgl. BVerfGE 113, 348 <382 f.>; 154, 152 <180 f. Rn. 10, 227 ff. Rn. 111 ff., 252 Rn. 172>) oder den Datenstrom im Zuge automatischer Daten-Synchronisierungen oder Daten-Backups.
Und das kommt mir wie gerufen, denn das bezieht sich der Formulierung nach auch auf Bankdienstleistungen und etwa die Verwendungszweckangabe in Banküberweisungen.
96
aa) Das IT-System-Grundrecht schützt insbesondere vor heimlichen Zugriffen durch eine Online-Durchsuchung, ist hierauf aber nicht beschränkt.
97
(1) Schutzgegenstand sind IT-Systeme, die aufgrund ihrer technischen Funktionalität allein oder durch ihre technische Vernetzung Daten einer betroffenen Person in einem Umfang und einer Vielfalt vorhalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten (vgl. BVerfGE 120, 274 <313 f.>). Dabei kommt es neben der Datenmenge und -vielfalt auch auf deren Qualität an. Denn auch ein vergleichsweise geringer Datenbestand auf einem modernen IT-System kann tiefgreifende Einblicke in die Lebensgestaltung oder die Persönlichkeit einer Person liefern. Insofern stehen Qualität und Quantität von Daten in einem wechselseitigen Verhältnis zueinander: Bei qualitativ hochwertigen und damit aussagekräftigen Daten können bereits wenige Daten einen umfassenden Einblick in die Lebensgestaltung oder Persönlichkeit ermöglichen (vgl. auch BVerfGE 165, 363 <401 Rn. 78>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 – 1 BvL 3/22 -, Rn. 93).
98
(2) Grundrechtlich gewährleistet ist die Vertraulichkeit und Integrität des vom Schutzbereich erfassten IT-Systems. Quantität und Qualität der von einem IT-System nach seiner technischen Konstruktion potentiell abschöpfbaren Daten führen zu einer besonderen persönlichkeitsrechtlichen Gefährdungslage bei einem Zugriff. Schutzobjekt ist insoweit aber schon das IT-System selbst. Wird dieses als eigenes genutzt, besteht eine darauf bezogene grundrechtlich anzuerkennende Vertraulichkeits- und Integritätserwartung (näher BVerfGE 120, 274 <315>).
99
Geschützt ist zunächst das Interesse der Nutzenden, dass die von einem vom Schutzbereich erfassten IT-System erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten (vgl. insoweit BVerfGE 141, 220 <303 f. Rn. 209 f.>) vertraulich bleiben (vgl. BVerfGE 120, 274 <314>). Vom Gewährleistungsgehalt umfasst ist aber auch die Integrität des IT-Systems, die betroffen ist, wenn auf das IT-System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können; dann ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen (vgl. BVerfGE 120, 274 <314>).
100
Das IT-System-Grundrecht schützt mithin nicht nur die Vertraulichkeit der Daten, die durch Datenerhebungsvorgänge verletzt wird, sondern verlagert diesen Schutz nach vorne und umfasst schon die abstrakt-systembezogene Vertraulichkeitserwartung im Vorfeld konkreter Datenerhebungen. Denn bereits mit dem Zugriff auf ein IT-System entsteht – unabhängig davon, welcher Aufwand dafür nötig ist (vgl. BVerfGE 120, 274 <315>) – eine besondere Gefährdungslage für die dort erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten (vgl. auch BVerfGE 120, 274 <308, 314>). Der Gewährleistungsgehalt des IT-System-Grundrechts geht dementsprechend über den Schutz personenbezogener Daten hinaus und vermittelt einen insoweit vorgelagerten Schutz der Persönlichkeit. Der Schutzbereich ist daher stets vom IT-System her zu definieren und auf ein auf dieses System insgesamt bezogenes Gefährdungspotenzial ausgelegt (vgl. BVerfGE 120, 274 <308 f., 313 ff.>; vgl. auch Hoffmann-Riem, JZ 2008, S. 1009 <1015, 1017>; Lepsius, in: Roggan, Online-Durchsuchungen, 2008, S. 21 <32 ff.>; Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 <123, 126>; Gersdorf, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, GG Art. 2 Rn. 28
). Der systembezogene Schutz ist folglich bereits dann berührt, wenn sich Unberechtigte Zugriff auf das IT-System verschaffen und dadurch potenziell Daten abgreifen können – ohne dass dies auch tatsächlich geschehen muss (vgl. Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 70 f., 73; Ruppert, in: Dietrich/Fahrner/Gazeas/von Heintschel-Heinegg, Handbuch Sicherheits- und Staatsschutzrecht, 2022, § 23 Rn. 14). 101
Als konsequenter Ausdruck seiner systemischen Schutzrichtung schützt das IT-System-Grundrecht das IT-System als virtuellen Raum der Bewahrung und Entfaltung der eigenen Persönlichkeit in seiner ganzen Breite (vgl. auch BVerfGE 158, 170 <184 Rn. 29>; 162, 1 <139 f. Rn. 308>).
[…]
104
Ein Eingriff in das IT-System-Grundrecht scheidet dagegen aus, sofern das IT-System nicht als eigenes genutzt wird (vgl. dazu BVerfGE 120, 274 <315>), etwa wenn eine andere Person (vgl. § 20c Abs. 1 Satz 2 PolG NRW) als Dritte unvermeidbar mitbetroffen ist.
Danach geht das noch lange weiter mit Erklärungen zu Grundrechten und der Bedeutung von IT-Systemen für die Lebensführung. Ich kann nicht alles hier zitieren, sollte man sich durchlesen.
113
(a) IT-Systeme haben heute eine für die persönliche Lebensführung unverzichtbare Bedeutung. Das hängt vor allem mit der ubiquitären Verbreitung des Internets in der Gesellschaft und den vielfältigen Nutzungsmöglichkeiten zusammen, die moderne digitale Endgeräte gerade auch mit Blick auf Anwendungen im Rahmen von Cloud-Computing und des sogenannten Internet of Things vermitteln. Neben der klassischen Telefonie und dem E-Mail-Verkehr betrifft dies etwa die Nutzung von Messenger-Diensten und sozialen Netzwerken sowie von IT-Endgeräten als Kamera, Dateibearbeitungsprogramm, „Wallet“ für kontaktlose Zahlungen, Navigationsgerät, Steuereinheit von Haushaltsgeräten oder digitalen (Sprach-)Assistenten, Musikplayer, Tagebuch, Erinnerungsliste oder zur Einholung von Informationen aller Art im Internet sowie zur Aufzeichnung und Analyse von höchstpersönlichen Daten wie Gesundheits- und Fitnessdaten. Krankenkassen, Arztpraxen und Banken bieten Applikationen („Apps“) an, über die die gesamte, bisweilen hochsensible Kommunikation mit ihnen abgewickelt werden kann. Darüber hinaus werden Endgeräte sehr häufig nicht isoliert und lokal genutzt, sondern in ein Netzwerk aus verschiedenen Geräten und Onlineservices eingebunden. Der Zugriff auf ein IT-System verletzt die bestehende und mit Vertraulichkeitserwartungen verknüpfte technische Abschirmung dieser umfassenden, teils hochsensiblen persönlichkeitsrelevanten Daten und schafft damit eine Gefährdungslage für sie (vgl. BVerfGE 120, 274 <305 f., 308 f., 313>; vgl. auch Hauser, Das IT-Grundrecht, 2015, S. 295 f.). Diese Vertraulichkeitserwartung in IT-Systeme besteht ungeachtet der in Folge technischer Entwicklungen ubiquitären Datensammlungen von privaten und ausländischen Akteuren grundsätzlich fort (vgl. Rühs, Durchsicht informationstechnischer Systeme, 2022, S. 265, 382 ff. m.w.N.; dazu auch Moll/Schneider, MschrKrim 104 (2021), S. 92 <101 f.>) und erfasst erst recht die Vertraulichkeitserwartung gegenüber staatlichen Zugriffen auf IT-Systeme (vgl. auch Hoffmann-Riem, JZ 2008, S. 1009 <1011, 1013, 1018>).
An § 20c PolG NRW haben sie dann aber auch nichts auszusetzen, weil die Anforderungen dort hoch und streng genug angesetzt seien.
Bewertung
Im Prinzip richtig und gut.
Es fällt aber auf, dass sie bezüglich der Annahme eine gewisse Willkür an den Tag legen, denn bei beiden Beschwerden rügen sie erhebliche bis schwerste formale und inhaltliche Mängel, und im zweiten Fall halten sie die Beschwerde sogar für unbegründet, haben am angegriffenen Gesetz nichts auszusetzen und weisen die Beschwerde ab.
Offenbar hatten die Richter es sehr eilig und wollten auch unbedingt entscheiden, und haben deshalb auch Mist-Beschwerden hingenommen, um die Gelegenheit zur Entscheidung zu nutzen. Was wiederum meinen Eindruck bestätigt, dass es bei Verfassungsbeschwerden einfach auf gar nichts ankommt außer ob die Richter gerade wollen oder nicht, das ein reines Willkür-Gericht ist.
Und hier wollten sie offenbar unbedingt, haben vor irgendetwas fühlbare Angst, wollen irgendetwas verhindern.
Und das so sehr, dass sie gleich ein neues Grundrecht mit neuem Namen erfinden, das „IT-System-Grundrecht“.
Auch wenn es in der Sache richtig ist und ich daran ad hoc juristisch nicht viel oder eigentlich gar nichts auszusetzen habe – das seltsame Zustandekommen und die erstaunliche Ausführlichkeit und ausgiebige, großvolumige Begründung zeigen, dass das Bundesverfassungsgericht hier politisch intervenieren wollte. Da wurde irgendwas prophylaktisch verhindert.
Hängt das damit zusammen, dass in den Medien gerade viel Geschrei um die Überwachungs- und Analysesoftware von Palantir gemacht wurde?
Oder hängt es damit zusammen, dass die EU gerade alle Kommunikation überwachen will? Und dazu auch in die End-Systeme eingreifen will?
Ich weiß es nicht.
Aber: Wieder eine Menge Arbeit für mich und einige neue Aspekte für anhängige Rechtssachen.