Uff – der neue Beschluss des #BVerfG zum #Staatstrojaner BW hat es in sich. Wichtige neue Klarstellungen zum materiellen Standard, gleichzeitig extrem hohe prozessuale Anforderungen, an denen die Verfassungsbeschwerde am Ende scheiterte. Ein Thread. 1/14

Das wichtigste zuerst: Der Erste Senat bestätigt, dass sich aus Art. 10 GG eine Schutzpflicht bezüglich bekannter Sicherheitslücken ergibt. Dazu bereits 2018 Bijan Moini und @vieuxrenard von @freiheitsrechte: verfassungsblog.de/gute-luecken-s…. 2/

Denn: Sicherheitslücken für #Staatstrojaner "aufzubewahren" bedeutet, schwere Gefahren für die Einzelnen, aber auch für Behörden in Kauf zu nehmen, wie die Ransomware-Fälle gerade wieder zeigten. 3/

Die Einzelnen können sich gegen behördlich bekannte Sicherheitslücken und die damit verbundenen Gefahren kaum wirksam schützen. Erforderlich ist daher eine gesetzgeberische Regelung. 4/

Allerdings: Das #BVerfG konnte sich nicht zu einem Verbot dieser Praxis durchringen. Es braucht aber eine "Regelung", die die Gefahren gegen den Nutzen abwägt. 5/

Die Behörde muss also erkannte Sicherheitslücken nicht sofort an den Hersteller melden. Die "Regelung" kann auch vorsehen, dass sie sie für den #Staatstrojaner aufhebt – muss aber Vorgaben zur behördlichen Abwägung enthalten. 6/

#Materiell also ein wichtiger Sieg, mit nicht ganz überraschenden Einschränkungen. #Prozessual allerdings wird es zunehmend schwierig, Sicherheitsgesetze anzugreifen. Zunächst stellt das BVerfG eine Schutzpflicht-Verletzung nur unter sehr engen Voraussetzungen fest. 7/

Zum Beispiel, so das BVerfG, § 54 PolG BW – könnte ja sein, dass die Fachgerichte das Nicht-Melden von Sicherheitslücken als "technisches Mittel", mit dem in IT-Systeme "eingegriffen" wird, ansehen. (Rn. 55) 9/

Zum Beispiel, so das BVerfG, § 80 PolG BW (seit Feb. 2021) – könnte ja sein, dass die Fachgerichte das Nicht-Melden von Sicherheitslücken als "eine bestimmte Form der Verarbeitung" von Daten ansehen. Dann würde die erforderliche Folgenabschätzung vll reichen. (Rn. 80) 10/

Auch die Auseinandersetzung mit dem Cybersicherheits-Gesetz war dem BVerfG nicht ausführlich genug – und wer weiß, worauf die Fachgerichte bei der Auslegung noch so kommen könnten (s.o.). 11/

Vielleicht kann sogar eine untergesetzliche Regelung (!) zur Meldepflicht ans BSI (!) reichen – weil kann ja sein, dass das BSI dann wegen grundrechtlicher Schutzpflichten handeln muss. Man weiß es nicht. Denkbar ist es aber. Bye-bye #Wesentlichkeit? 12/

Das alles, so das #BVerfG, sollen erstmal die Fachgerichte klären – daher sei auch die Subsidiarität nicht gewahrt. Immerhin: eine Anleitung, nochmal Anlauf zu nehmen. 13/

Im ersten IT-Sicherheits-Beschluss mit Masing-Nachfolgerin Härtel als Berichterstatterin also Licht und Schatten: wichtige materielle Klarstellungen bei gleichzeitiger Fortsetzung der zunehmend strengen Subsidiaritäts-Rspr. /14