Das Bundesverfassungsgericht hat sich kürzlich mit der Frage der Zulässigkeit der Ausnutzung von sog. Zero-Day-Schwachstellen im Rahmen einer Quellen-Telekommunikationsüberwachung beschäftigt (BVerfG, Beschl. v. 08.06.2021, Az. 1 BvR 2771/18).
Gegenstand des Beschlusses ist dabei das Polizeigesetz Baden-Württemberg in der Fassung vom 6. Oktober 2020 (PolG BW)), das ein solches Ausnutzen von Sicherheitslücken in § 54 PolG BW jedenfalls im Grunde zulässt.
Sog. Zero-Day-Lücken sind dabei solche Sicherheitslücken, die (bisher) weitgehend unerkannt sind, und die insbesondere noch nicht seitens des Herstellers bekannt geschweige denn behoben sind. Die geltend gemachte Problematik solcher Lücken besteht darin, dass Behörden, sollten sie solche Lücken ausnutzen dürfen, kein Interesse daran hätten, diese dem Hersteller zu melden, sondern eben, entsprechende Lücken für eine Quellen-TKÜ zu nutzen. Dadurch werde, so die Beschwerdeführerin, die Integrität informationstechnischer Systeme und deren Sicherheit beschränkt.
Zwar hat das BVerfG die Beschwerde als unzulässig abgewiesen, da sowohl die Beschwerdebefugnis als auch die Subsidiarität (im weiteren Sinne) nicht ausreichend dargelegt waren; dennoch hat es in der Sache Ausführungen zu den Dimensionen des Rechts auf informationelle Selbstbestimmung und der grundsätzlichen Zulässigkeit einer Quellen-TKÜ unter Ausnutzung von Sicherheitslücken gemacht.
So stellt das BVerfG fest, dass auch die grundrechtliche Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer Systeme eine Schutzdimension habe (Rz. 33). Aus dieser Schutzdimension ergibt sich, dass das Recht auf informationelle Selbstbestimmung gerade nicht nur ein Abwehrrecht gegen den Staat begründet, sondern auch ein aktives Handeln des Staates zum Schutze informationstechnischer Systeme beinhaltet.
Dazu, so das BVerfG, gehöre auch die Meldung und damit das aktive Hinwirken auf die Beseitigung von Sicherheitslücken. Dennoch schließe eine entsprechende Verpflichtung des Staates die Durchführung einer Quellen-TKÜ nicht von vornherein aus (Rz. 34). Jedoch, so weiter, müssten Regelungen getroffen werden, wie der „Zielkonflikt zwischen dem Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung einer Quellen-Telekommunikationsüber