¹Die Polizei kann ohne Wissen der betroffenen Person die laufende Telekommunikation einer Person überwachen und aufzeichnen,

die nach den §§ 4 oder 5 verantwortlich ist, wenn dies zur Abwehr einer gegenwärtigen Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib oder Leben einer Person geboten ist,

deren individuelles Verhalten die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine terroristische Straftat nach § 8 Absatz 4 begehen wird,

bei der bestimmte Tatsachen die Annahme rechtfertigen, dass sie für eine Person nach Nummer 1 bestimmte oder von dieser herrührende Mitteilungen entgegennimmt oder weitergibt, oder

bei der bestimmte Tatsachen die Annahme rechtfertigen, dass eine Person nach Nummer 1 deren Telekommunikationsanschluss oder Endgerät benutzen wird

und die Abwehr der Gefahr oder Verhütung der Straftaten auf andere Weise aussichtslos oder wesentlich erschwert wäre. ²Die Maßnahme darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden.

durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird und

der Eingriff in das informationstechnische System notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen.

an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind und

die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisiert rückgängig gemacht werden.

¹Maßnahmen nach den Absätzen 1 und 2 dürfen nur auf Antrag der Behördenleitung oder deren Vertretung durch das Amtsgericht, in dessen Bezirk die Polizeibehörde ihren Sitz hat, angeordnet werden. ²Für das Verfahren gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend.

Im Antrag sind anzugeben:

die Person, gegen die sich die Maßnahme richtet, soweit möglich, mit Name und Anschrift,

die Rufnummer oder eine andere Kennung des zu überwachenden Anschlusses oder des Endgeräts, sofern sich nicht aus bestimmten Tatsachen ergibt, dass diese zugleich einem anderen Endgerät zugeordnet ist,

Art, Umfang und Dauer der Maßnahme,

im Falle des Absatzes 2 auch eine möglichst genaue Bezeichnung des informationstechnischen Systems, in das zur Datenerhebung eingegriffen werden soll, sowie die Bezeichnung des Herstellers und der Softwareversion des einzusetzenden technischen Mittels,

der Sachverhalt und

eine Begründung.

eine Kennung des Kommunikationsanschlusses oder des Endgeräts, bei dem die Datenerhebung durchgeführt wird,

im Falle des Absatzes 2 zusätzlich eine möglichst genaue Bezeichnung des informationstechnischen Systems, in das zur Datenerhebung eingegriffen werden soll.

¹Aufgrund der Anordnung hat jeder, der Telekommunikationsdienste erbringt oder daran mitwirkt (Diensteanbieter), der Polizei die Maßnahmen nach Absatz 1 zu ermöglichen und die erforderlichen Auskünfte unverzüglich zu erteilen. ²Ob und in welchem Umfang hierfür Vorkehrungen zu treffen sind, bestimmt sich nach dem Telekommunikationsgesetz und der Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation. ³Für die Entschädigung der Diensteanbieter ist § 23 des Justizvergütungs- und -entschädigungsgesetzes entsprechend anzuwenden.

¹Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch eine Maßnahme nach den Absätzen 1 und 2 allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden, ist die Maßnahme unzulässig. ²Soweit im Rahmen von Maßnahmen nach den Absätzen 1 und 2 neben einer automatischen Aufzeichnung eine unmittelbare Kenntnisnahme erfolgt, ist die Maßnahme unverzüglich zu unterbrechen, soweit sich während der Überwachung tatsächliche Anhaltspunkte dafür ergeben, dass Inhalte, die dem Kernbereich privater Lebensgestaltung zuzurechnen sind, erfasst werden. ³Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch eine Maßnahme nach den Absätzen 1 und 2 erlangt worden sind, dürfen nicht verwertet werden. ⁴Aufzeichnungen hierüber sind unverzüglich zu löschen. ⁵Die Tatsachen der Erfassung der Daten und der Löschung sind zu dokumentieren. ⁶Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle gemäß § 33c verwendet werden. ⁷Sie ist sechs Monate nach der Benachrichtigung nach § 33 Absatz 2 Satz 1 oder sechs Monate nach Erteilung der gerichtlichen Zustimmung nach § 33 Absatz 4 Satz 7 zu löschen. ⁸Ist die Datenschutzkontrolle noch nicht beendet, ist die Dokumentation bis zu ihrem Abschluss aufzubewahren. ⁹Im Übrigen gilt § 18 Absatz 3 Satz 3 und Absatz 4 Satz 2 bis 7 entsprechend.

¹Bei der Erhebung von Daten nach den Absätzen 1 und 2 sind die in § 33b Absatz 1 und 2 genannten Angaben zu protokollieren. ²Im Falle des Absatzes 2 sind darüber hinaus folgende Angaben zu protokollieren:

Angaben zur Identifizierung des informationstechnischen Systems und die daran vorgenommenen, nicht nur flüchtigen Veränderungen,

Angaben zum Hersteller des zur Datenerhebung eingesetzten Mittels und zur eingesetzten Softwareversion.

Straftaten nach

§ 211, § 212, § 226, § 227, § 239a, § 239b, § 303b, § 305, § 305a, §§ 306 bis 306c, § 307 Absatz 1 bis 3, § 308 Absatz 1 bis 4, § 309 Absatz 1 bis 5, § 313, § 314, § 315 Absatz 1, 3 oder 4, § 316b Absatz 1 oder 3, § 316c Absatz 1 bis 3, § 317 Absatz 1, § 328 Absatz 1 oder 2, § 330 Absatz 1 oder 2 oder § 330a Absatz 1 bis 3 des Strafgesetzbuchs,

den §§ 6 bis 12 des Völkerstrafgesetzbuchs vom 26. Juni 2002 (BGBl. I S. 2254), das durch Artikel 1 des Gesetzes vom 22. Dezember 2016 (BGBl. I S. 3150) geändert worden ist,

§ 19 Absatz 1 bis 3, § 20 Absatz 1 oder 2, § 20a Absatz 1 bis 3, § 19 Absatz 2 Nummer 2 oder Absatz 3 Nummer 2, § 20 Absatz 1 oder 2, § 20a Absatz 1 bis 3, jeweils auch in Verbindung mit § 21, oder § 22a Absatz 1 bis 3 des Gesetzes über die Kontrolle von Kriegswaffen in der Fassung der Bekanntmachung vom 22. November 1990 (BGBl. I S. 2506), das zuletzt durch Artikel 6 Absatz 2 des Gesetzes vom 13. April 2017 (BGBl. I S. 872) geändert worden ist, und

§ 51 Absatz 1 bis 3 des Waffengesetzes vom 11. Oktober 2002 (BGBl. I S. 3970, 4592; 2003 I S. 1957), das zuletzt durch Artikel 1 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2133) geändert worden ist,

sind terroristische Straftaten im Sinne dieses Gesetzes, wenn und soweit sie dazu bestimmt sind, die Bevölkerung auf erhebliche Weise einzuschüchtern, eine Behörde oder eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen oder erheblich zu beeinträchtigen, und sie durch die Art ihrer Begehung oder ihre Auswirkungen einen Staat oder eine internationale Organisation erheblich schädigen können.

5 Mit dem im Jahr 2018 neu eingeführten § 20c PolG NRW hat der nordrhein-westfälische Gesetzgeber erstmals polizeirechtliche Befugnisse zur präventiven Telekommunikationsüberwachung und Quellen-Telekommunikationsüberwachung geregelt, um dadurch die Abwehr von Gefahren für die Bevölkerung insbesondere durch den (internationalen) Terrorismus zu effektivieren. Nach der Begründung des Gesetzentwurfs war die Ausweitung der polizeilichen Befugnisse geboten, weil eine weiterhin hohe abstrakte Gefährdungslage bestand. Neben terroristischen Bedrohungslagen sei zu beachten, dass Alltagskriminalität zunehmend organisierter begangen werde und daher auch insoweit polizeiliche Handlungsmöglichkeiten ausgeweitet werden müssten, um die Sicherheit der Bevölkerung zu fördern. Hierfür müssten neue, effiziente Wege eingeschlagen werden, um Gefahren im Vorfeld zu erforschen, Geflechte im Vorbereitungsstadium einer Straftat aufzudecken und zuletzt schwere Taten zu verhindern (vgl. LTDrucks NRW 17/2351, S. 1, 27).

6 Einer heimlichen Überwachung der Telekommunikation komme hierbei eine Schlüsselrolle zu. Gerade Terroristen seien zur Vorbereitung und Durchführung von Straftaten darauf angewiesen, mobil zu sein und moderne Kommunikationsmittel zu nutzen. Erst der Zugriff auf diese Kommunikation erlaube, einschlägige Zusammenhänge aufzuklären, mithin die Zielperson präzise einzuschätzen und Beziehungsgeflechte aufzuspüren. Die Befugnis zur Quellen-Telekommunikationsüberwachung sei als Ergänzung zur klassischen Telekommunikationsüberwachung unerlässlich, weil nur dadurch gewährleistet sei, dass auch auf verschlüsselte Telekommunikationsinhalte zugegriffen werden könne. Nutzten Kriminelle angesichts der fortschreitenden Digitalisierung solche Verschlüsselungstechnologien, müssten Polizeibehörden in der Lage sein, hierauf zu reagieren (vgl. LTDrucks NRW 17/2351, S. 36).

7 Während § 20c Abs. 1 PolG NRW die Befugnis zur klassischen Telekommunikationsüberwachung vorsieht, erweitert § 20c Abs. 2 PolG NRW diese Befugnis auf die Quellen-Telekommunikationsüberwachung. Die Regelungen, die nach § 20c Abs. 12 Satz 2 PolG NRW der angegriffenen Fassung zunächst bis zum 31. Dezember 2023 befristet waren, wurden nach ihrer Evaluation (vgl. Landeskriminalamt NRW, Zentralstelle Evaluation <ZEVA>, Novellierung des Polizeigesetzes Nordrhein-Westfalen, Evaluation §§ 20c und 34c PolG NRW, Stand 6. April 2023) mit Art. 1 Nr. 2 des Siebten Gesetzes zur Änderung des Polizeigesetzes des Landes Nordrhein-Westfalen vom 19. Dezember 2023 (GV NRW S. 1394) bis zum 31. Dezember 2028 verlängert.

13 Die Verfassungsbeschwerde sei zulässig. Die Beschwerdeführenden seien insbesondere von den angegriffenen Vorschriften selbst, gegenwärtig und unmittelbar betroffen.

14 Die Beschwerdeführerin zu 1) stehe im beruflichen Kontakt mit Personen oder Gruppen, die in Verfassungsschutzberichten als extremistisch eingestuft würden. Sie sei etwa in einer Klimabewegung aktiv, die Massenaktionen des zivilen Ungehorsams organisiere und dazu auch den Schienenverkehr blockiere. Die Bewegung werde vom Bundesamt für Verfassungsschutz als "linksextremistisch beeinflusst" bezeichnet. Gegen die Beschwerdeführerin zu 1) sei im Zusammenhang mit den Aktivitäten der Bewegung bereits wegen des Verdachts des Landfriedensbruchs ermittelt worden.

15 Die Beschwerdeführerin zu 2) engagiere sich seit vielen Jahren als Umweltaktivistin auch in Nordrhein-Westfalen. Sie sei bereits mehrfach zum Zweck der Straftatenverhütung heimlich überwacht, von der nordrhein-westfälischen Polizei in Gewahrsam genommen und unmittelbarem Zwang ausgesetzt worden. Auch seien gegen sie Strafverfahren wegen einzelner in § 8 Abs. 4 PolG NRW genannter Delikte (z.B. §§ 315, 316b StGB) eingeleitet worden.

16 Der Beschwerdeführer zu 3) sei Autor anarchistischer Aufsätze, in linkspolitischen Projekten und Einrichtungen aktiv und Mitglied in einem vom Verfassungsschutz beobachteten Verein. Im Zusammenhang mit seinen Beteiligungen an Demonstrationen und Aktionen (zuletzt Protestaktionen im Hambacher Forst) habe es vielfach Polizeikontakte gegeben.

17 Der Beschwerdeführer zu 4) sei ein mit unterschiedlichen Kommunikationsmedien politisch arbeitender Künstler, der unter dem Namen "(…)" auftrete. Sein Anliegen sei es, Menschen digital zu "ermündigen". Er sei deshalb wiederholt Zielperson polizeilicher Überwachungs- und Ermittlungstätigkeiten geworden. Ihm seien auch Straftaten vorgeworfen worden, die in § 8 Abs. 4 PolG NRW als terroristisch definiert würden.

18 Die Beschwerdeführerin zu 5) sei für den (…) e.V. als Campaignerin und Redakteurin tätig und insoweit mit der Planung und Durchführung von Aktionen und Demonstrationen in Bündnissen befasst, denen auch Organisationen angehörten, die dem linksaktivistischen Bereich zugeordnet würden. Sie stehe in Kontakt zu Personen aus diesen Organisationen, denen entweder bereits die in § 8 Abs. 4 PolG NRW genannten Straftaten vorgeworfen würden oder bei denen ein entsprechender Vorwurf hochwahrscheinlich sei. Dies gelte auch für die mit ihr im Rahmen ihrer Recherchetätigkeit in Kontakt stehenden Hinweisgeberinnen und Hinweisgeber. Diese oder die Organisationen, denen sie angehörten, würden vom Verfassungsschutz beobachtet; beispielsweise könne auf als linksextremistisch eingestufte Personen und Gruppierungen verwiesen werden, die im Zusammenhang mit Kampagnen und Aktionen gegen die Verschärfung des PolG NRW aktiv seien (namentlich "Bündnis Polizeigesetz NRW stoppen! - #NOPOLGNRW").

19 Die Beschwerdeführerin zu 6) recherchiere aus beruflichen Gründen unter anderem für einen Datenschutznegativpreis. Sie erhalte vertrauliche Informationen aus Behörden, zivilgesellschaftlichen Organisationen und Unternehmen. Die Informantinnen und Informanten bewegten sich mitunter im Bereich der in § 8 Abs. 4 PolG NRW genannten Straftaten. Darüber hinaus betreibe sie einen Tor-Server, der bisweilen auch zu illegalen Zwecken genutzt werde. Dies könne auf sie zurückfallen. So sei gegen sie bereits wegen des Verdachts des Verbreitens einer Bombenbauanleitung über das Internet eine Hausdurchsuchung vollzogen worden.

20 Die Beschwerdeführenden meinen, aufgrund dieser Umstände direkt oder mittelbar Ziel staatlicher Überwachung werden zu können. Alle nutzten und unterhielten Telekommunikationsanschlüsse (Festnetz und mobil) mittels Smartphones und mit dem Internet verbundenen PCs, Laptops und Tablets. Ihre Kommunikation erfolge teils auch verschlüsselt. Bei Bedarf und Vertrauen überließen sie anderen Personen ihre Systeme und Smartphones zur Mitnutzung oder gäben anderen Personen die Möglichkeit, ihren Telekommunikations- und Internetanschluss zu verwenden. Ausgehend davon befürchten die Beschwerdeführenden in unterschiedlichem Maße, Zielperson einer Überwachung nach § 20c PolG NRW zu werden. Zudem sei zu erwarten, dass sie aufgrund ihres persönlichen Netzwerks als unbeteiligte Dritte nach § 20c Abs. 1 Satz 2 PolG NRW von Überwachungsmaßnahmen betroffen sein könnten.

21 Die Verfassungsbeschwerde sei begründet. Die Befugnisse zur Telekommunikations- und Quellen-Telekommunikationsüberwachung verletzten verschiedene Grundrechte.

39 Für die Landesregierung Nordrhein-Westfalen hebt das Ministerium des Innern des Landes Nordrhein-Westfalen das praktische Bedürfnis für eine Quellen-Telekommunikationsüberwachung hervor. Mit der Anordnung einer Telekommunikationsüberwachung werde der Provider beauftragt, Telekommunikationsdaten an die Polizei auszuleiten. Teile dieses Datenstroms seien jedoch kryptiert, wenn Ende-zu-Ende-Verschlüsselungen wie etwa bei WhatsApp oder Telegram genutzt würden. Mit gängigen polizeilichen Mitteln seien diese Daten nicht zu dekryptieren. Es sei daher notwendig, durch Einbringung einer Software in das Endgerät die ausgeleiteten Daten in eine auswertbare Form zu bringen. Ein Zugriff auf gespeicherte Daten sei nicht möglich. Die genutzte Software werde auf Grundlage der Standardisierenden Leistungsbeschreibung für Software zur Durchführung von Maßnahmen der Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung (Stand 5. Oktober 2018, abrufbar auf der Homepage des BKA) betrieben.

40 Wie auch andere Landesregelungen orientiere sich § 20c PolG NRW regelungstechnisch an § 51 des Bundeskriminalamtgesetzes (BKAG). § 20c PolG NRW schränke die polizeilichen Befugnisse allerdings noch stärker ein, indem ausdrücklich vorgesehen sei, den Hersteller der Software und die Softwareversion anzugeben. Dies stärke die Rechtsschutzmöglichkeiten der Betroffenen. Maßnahmen der Telekommunikations- und Quellen-Telekommunikationsüberwachung seien ausschließlich an Art. 10 Abs. 1 GG zu messen, weil sie technisch auf die laufende Telekommunikation beschränkt seien. § 8 Abs. 4 PolG NRW sei verfassungsrechtlich nicht zu beanstanden. Die Schaffung einer eigenen Kategorie terroristischer Straftaten folge der Regelung in § 5 Abs. 1 Satz 2 BKAG.

41 Nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit verletzen § 20c Absätze 2 und 3 PolG NRW grundrechtliche Schutzpflichten. Der Staat habe eine Befugnis geschaffen, mit der Behörden Schutzlücken zur Infiltration mit einer Überwachungssoftware ausnutzen dürften. Es fehle aber an einem geeigneten gesetzgeberischen Schutzkonzept, das das enorme Gefährdungspotential adressiere, welches von Lücken in der IT-Sicherheit insbesondere dann ausgehe, wenn es sich um bislang unbekannte Sicherheitslücken handele (sog. Zero-Day-Exploits).

42 Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) weist darauf hin, dass die in Rede stehenden Maßnahmen nicht anhand ihres Eingriffsgewichts, sondern nach ihrem Regelungsgehalt innerhalb der in Betracht kommenden Grundrechte zu verorten seien. Danach sei die Quellen-Telekommunikationsüberwachung stets am IT-System-Grundrecht zu messen. Soweit eine Beschränkung der Maßnahme auf die laufende Kommunikation überhaupt möglich sei, greife diese erst nach dem erfolgten Zugriff auf das IT-System. Daneben bestehe stets auch ein Eingriff in Art. 10 Abs. 1 GG. Beide Grundrechte stünden in keinem lex-specialis-Verhältnis zueinander; sie hätten unterschiedliche Schutzbereiche, die sich zwar im Einzelfall überschneiden könnten, aber grundsätzlich unabhängig voneinander griffen.

43 Eine technische Beschränkung der Quellen-Telekommunikationsüberwachung auf die laufende Telekommunikation sei nicht ausgeschlossen. Von Verfassungs wegen dürfte erforderlich sein, die entsprechende gesetzlich vorgegebene Beschränkung rechtlich und technisch zu präzisieren. Problematisch sei, ob der vorgesehene Richtervorbehalt zu einer Wahrung der Verhältnismäßigkeit beitragen könne. Richter könnten nämlich die gesetzlichen Vorgaben einer Begrenzung auf die laufende Kommunikation und im Hinblick auf § 20c Abs. 3 PolG NRW nicht überprüfen, solange sie nicht Einblick in den Quellcode des Trojaners hätten und über einen erheblichen technischen Sachverstand verfügten. Alternativ käme in Betracht, dass das eingesetzte technische Mittel vor seinem Einsatz durch eine unabhängige Stelle geprüft oder zertifiziert und der Prüfbericht oder das Zertifikat mit dem Antrag auf Durchführung einer Maßnahme vorgelegt werden müsse.

44 Verfassungsrechtliche Bedenken würden vertieft, soweit § 20c PolG NRW ein weiter Telekommunikationsbegriff zugrunde liege. Es sei schon unter dem Gesichtspunkt ausreichender Bestimmtheit zu kritisieren, dass in § 20c PolG NRW nicht festgelegt sei, von welchem Verständnis des Begriffs der "Telekommunikation" ausgegangen werde. In der Praxis werde bei der Überwachung eines Internetanschlusses der gesamte über das Internet ausgetauschte Rohdatenstrom ausgeleitet. Unter Zugrundelegung eines weiten Telekommunikationsbegriffs sei das Eingriffsgewicht angehoben; Eingriffe von diesem Gewicht dürften nur zum Schutz überragend wichtiger Rechtsgüter erfolgen.

45 Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) teilt mit, dass in den Jahren 2008 bis 2011 bayernweit 23 Quellen-Telekommunikationsüberwachungen zur Strafverfolgung durchgeführt worden seien, hingegen keine zur Gefahrenabwehr. Es sei nicht ersichtlich, welche Funktionalitäten die dabei eingesetzte Überwachungssoftware genau habe, was gegebenenfalls eine Einsichtnahme in den Quellcode erfordere. Beschränkungen auf die laufende Kommunikation seien technisch möglich und zumindest teilweise auch vorgesehen. So sei es nicht bei allen Softwareprodukten möglich, vollständige Screenshots der Benutzeroberfläche anzufertigen, sondern nur Applicationshots von bestimmten Browsern oder Chatprogrammen. Nicht alle Softwareprodukte seien aber entsprechend beschränkt gewesen. Insofern sei auffällig, dass bei der Überwachung von Messenger-Diensten auch bloße Nachrichtenentwürfe ausgeleitet würden, die die Ersteller tatsächlich nicht versendet hätten.

46 Eine Leistungsbeeinträchtigung des Systems nach einer Infiltration sei technisch möglich; insbesondere könnten infolge der Infiltration erzwungene Systemabbrüche und Neustarts zu befürchten sein. Zu bemängeln seien auch die Art und Weise der Deinstallation der Überwachungssoftware, soweit in ihr kein Tool zur automatischen Deinstallation implementiert worden sei. Eine "verwaiste" Überwachungssoftware könne Gefahren für die Datensicherheit auf dem Zielsystem begründen. Sie könne auch nach ihrer Deinstallation wieder aktiv werden, wenn ein neues Backup eingespielt werde oder der Nutzer den Trojaner versehentlich wieder installiere.

51 Danach haben die Beschwerdeführenden nicht hinreichend dargelegt, dass eine sich insbesondere aus dem IT-System-Grundrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) ergebende grundrechtliche Schutzpflicht verletzt sein könnte.

52 Soll eine Verfassungsbeschwerde darauf gestützt werden, dass der Gesetzgeber technische Wege, auf denen ein IT-System infiltriert werden kann, zum Schutz der IT-Sicherheit der Allgemeinheit hätte begrenzen müssen, bestehen besondere verfassungsrechtliche Darlegungsanforderungen. Erforderlich ist, den gesetzlichen Regelungszusammenhang insgesamt zu erfassen, wozu zumindest gehört, dass die einschlägigen Regelungen des als unzureichend beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum vom Versagen der gesetzgeberischen Konzeption auszugehen ist (vgl. BVerfGE 158, 170 <191 f. Rn. 51> - IT-Sicherheitslücken; 162, 1 <58 Rn. 111> - Bayerisches Verfassungsschutzgesetz).

53 Diesen Darlegungsanforderungen genügt die Verfassungsbeschwerde nicht. Sie setzt sich nicht mit dem bestehenden gesetzlichen Regelungskonzept und seinen gegebenenfalls denkbaren Defiziten im Hinblick auf die Erfüllung einer Schutzpflicht auseinander. Auf eine mögliche Auslegung der angegriffenen sowie weiterer Normen dahingehend, dass ihnen Elemente eines Regelungskonzepts für die Erfüllung einer Schutzpflicht zugewiesen werden könnten, gehen die Beschwerdeführenden nicht ein. Sie nehmen insbesondere die gesetzlichen Regelungen des anwendbaren Polizei-, Datenschutz- und Cybersicherheitsrechts zum Schutz von IT-Systemen, denen auch im vorliegenden Kontext Bedeutung zukommen könnte (vgl. auch BVerfGE 158, 170 <199 Rn. 68>; BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 17. April 2023 - 1 BvR 176/23 u.a. -, Rn. 4 ff.), nicht in den Blick.

54 Die Möglichkeit einer Verletzung des IT-System-Grundrechts in seiner abwehrrechtlichen Dimension sowie des Art. 10 Abs. 1 GG durch die in § 20c PolG NRW geregelten Befugnisse wird nur zu einem Teil aufgezeigt.

71 Die Beschwerdeführenden zu 1), 2), 5) und 6) haben ihre Betroffenheit in unterschiedlichem Umfang dargelegt. Die Darlegungen des Beschwerdeführers zu 3) sind hingegen unzureichend.

78 Über das Erfordernis der Rechtswegerschöpfung im engeren Sinne hinaus sind Beschwerdeführende aus Gründen der Subsidiarität der Verfassungsbeschwerde gehalten, vor ihrer Erhebung alle Mittel zu nutzen, die der geltend gemachten Grundrechtsverletzung abhelfen könnten. Damit soll auch erreicht werden, dass das Bundesverfassungsgericht nicht auf ungesicherter Tatsachen- und Rechtsgrundlage weitreichende Entscheidungen treffen muss, sondern zunächst die für die Auslegung und Anwendung des einfachen Rechts primär zuständigen Fachgerichte die Sach- und Rechtslage aufgearbeitet haben. Die Subsidiarität erfordert deshalb grundsätzlich, vor Einlegung einer Verfassungsbeschwerde alle zur Verfügung stehenden prozessualen Möglichkeiten zu ergreifen, um eine Korrektur der geltend gemachten Verfassungsverletzung zu erwirken oder eine Grundrechtsverletzung zu verhindern. Das gilt auch, wenn zweifelhaft ist, ob ein entsprechender Rechtsbehelf nach dem jeweiligen Fachrecht statthaft ist und im konkreten Fall in zulässiger Weise eingelegt werden kann (vgl. BVerfGE 150, 309 <326 Rn. 43>; 165, 1 <32 f. Rn. 45>; 169, 130 <155 f. Rn. 40> - Hessisches Verfassungsschutzgesetz; stRspr).

79 Wenn sich Beschwerdeführende unmittelbar gegen ein Gesetz wenden, kann daher auch die Erhebung einer Feststellungs- oder Unterlassungsklage zu den zuvor zu ergreifenden Rechtsbehelfen gehören. Das ist selbst dann nicht ausgeschlossen, wenn die als verfassungswidrig beanstandeten Vorschriften abschließend gefasst sind und die fachgerichtliche Prüfung günstigstenfalls zu einer Vorlage gemäß Art. 100 Abs. 1 GG führen kann. Ausschlaggebend ist selbst dann, ob die fachgerichtliche Vorabbefassung erforderlich ist, um zu vermeiden, dass das Bundesverfassungsgericht seine Entscheidungen auf ungesicherter Tatsachen- und Rechtsgrundlage treffen müsste. Ein solcher Fall wird in der Regel gegeben sein, wenn die angegriffenen Vorschriften Rechtsbegriffe enthalten, von deren Auslegung und Anwendung es maßgeblich abhängt, inwieweit Beschwerdeführende durch die angegriffenen Vorschriften tatsächlich und rechtlich beschwert sind (BVerfGE 169, 130 <156 Rn. 41>). Wirft die Beurteilung einer Norm hingegen allein spezifisch verfassungsrechtliche Fragen auf, deren Beantwortung dem Bundesverfassungsgericht vorbehalten ist, ohne dass von einer vorausgegangenen fachgerichtlichen Prüfung verbesserte Entscheidungsgrundlagen zu erwarten wären, bedarf es einer vorangehenden fachgerichtlichen Entscheidung nicht (vgl. BVerfGE 165, 1 <33 Rn. 47>; stRspr).

80 Danach sind die Beschwerdeführenden nicht zunächst auf fachgerichtlichen Rechtsschutz zu verweisen.

81 Es ist schon nicht erkennbar, dass sie die fachgerichtlichen Anforderungen an die Zulässigkeit vorbeugenden gerichtlichen Rechtsschutzes gegen heimliche Überwachungsmaßnahmen (vgl. BVerwGE 149, 359 <364 Rn. 19 ff.>; 157, 8 <9 ff. Rn. 11 ff.>; 161, 76 <77 f. Rn. 12 ff.>; 177, 327 <335 ff. Rn. 21 ff.>; BVerwG, Urteil vom 9. November 2023 - 10 A 3.23 -, Rn. 13 m.w.N.) erfüllen könnten (vgl. auch BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 - 1 BvR 1743/16 u.a. -, Rn. 128 - BND - Cybergefahren).

82 Jedenfalls sind die sich hier stellenden Fragen spezifisch verfassungsrechtlich. Die Abgrenzung der Schutzbereiche verschiedener grundrechtlicher Gewährleistungen, anhand derer sich die verfassungsrechtliche Überprüfung vollziehen könnte, und die im Lichte der bisherigen bundesverfassungsgerichtlichen Rechtsprechung angezeigte Verhältnismäßigkeitsprüfung betreffen spezifische Verfassungsfragen. Die Grundlagen für deren Beantwortung würden durch eine fachgerichtliche Vorabbefassung nicht verbessert.

86 Die Befugnis zur Telekommunikationsüberwachung nach § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW greift in Art. 10 Abs. 1 GG (Fernmeldegeheimnis/Telekommunikationsgeheimnis) ein.

93 Die Befugnis zur Quellen-Telekommunikationsüberwachung nach § 20c Abs. 1 Satz 1 Nr. 2 in Verbindung mit § 20c Abs. 2 PolG NRW verkürzt sowohl den Gewährleistungsgehalt von Art. 10 Abs. 1 GG (a) als auch den des IT-System-Grundrechts (b). Sie ist daher an beiden Gewährleistungen zu messen (c).

124 Die Verfassungsmäßigkeit von Überwachungsbefugnissen richtet sich zunächst nach den betroffenen Grundrechten (vgl. BVerfGE 162, 1 <72 Rn. 148, 74 Rn. 152>; 169, 130 <171 f. Rn. 85, 88>). Die Grundrechte bilden allerdings keine abstrakte Hierarchie, sondern vertypen verschiedene spezifische Freiheiten und Schutzgüter, die in Rückgriff auf spezifische Sachprobleme und historische Erfahrungen besonders ausgeformt sind. Unbeschadet ihrer unterschiedlichen Gewährleistungsgehalte bilden sie daher kein hierarchisches System dergestalt, dass Eingriffe in das eine Grundrecht stets gewichtiger wären als Eingriffe in ein anderes Grundrecht. Dementsprechend gibt es auch keine kategorische Abstufung zwischen Eingriffen in das IT-System-Grundrecht und in das Fernmeldegeheimnis. Für alle hier in Frage kommenden persönlichkeitsrechtsschützenden Grundrechte bestimmen sich die Anforderungen an die Rechtfertigung eines Grundrechtseingriffs vielmehr vor allem nach dem Grundsatz der Verhältnismäßigkeit, bei dessen Prüfung das Gewicht eines Grundrechtseingriffs einzustellen ist (vgl. dazu BVerfGE 162, 1 <143 f. Rn. 319>; 165, 1 <48 Rn. 88>; siehe auch Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 217 f.). Insoweit aber weisen Eingriffe in Grundrechte ein weites Spektrum von Gewichtigkeiten auf. Zwar setzt die Betroffenheit des IT-System-Grundrechts stets voraus, dass ein qualifizierter Zugriff auf ein IT-System vorliegt (dazu Rn. 99), der einen Einblick in wesentliche Teile der Lebensgestaltung oder die Gewinnung eines aussagekräftigen Bildes der Persönlichkeit ermöglichen könnte (dazu Rn. 97). Doch auch wenn damit das IT-System-Grundrecht überhaupt erst bei einer solchen Gefährdungslage betroffen ist, wohingegen das Fernmeldegeheimnis auf laufende Fernkommunikation beschränkt und daher abstrakt betrachtet gegenständlich enger ist (dazu Rn. 87 ff., 117), bestimmt letztlich erst die konkret eröffnete Überwachungsmaßnahme unter Berücksichtigung der in ihr liegenden Freiheitsgefährdung das Gewicht des mit ihr verbundenen Grundrechtseingriffs (vgl. auch BVerfGE 165, 363 <389 f. Rn. 54, 398 ff. Rn. 71 ff., 409 ff. Rn. 103 ff.>). Entgegen der Auffassung der Beschwerdeführenden ist daher nicht jede Befugnis, die in das IT-System-Grundrecht eingreift, an den strengen Anforderungen zu messen, die etwa für eine Online-Durchsuchung gelten; vielmehr ist für das insoweit zu berücksichtigende Eingriffsgewicht insbesondere maßgeblich, welche Daten letztlich im Rahmen der konkreten Maßnahme genutzt werden dürfen.

125 Das Bundesverfassungsgericht hat grundrechtsübergreifende Anforderungen der Verhältnismäßigkeit an heimliche Überwachungsbefugnisse entwickelt (vgl. BVerfGE 120, 274 <315 ff.>; 141, 220 <268 ff. Rn. 103 ff.>; 155, 119 <186 ff. Rn. 144 ff.>; 165, 1 <47 Rn. 85 f.>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 79). Auch für Eingriffe in das IT-System-Grundrecht, das der Schrankentrias des Art. 2 Abs. 1 GG untersteht, und für solche in Art. 10 Abs. 1 GG gelten insoweit keine Besonderheiten: Heimliche Überwachungsbefugnisse müssen einen legitimen Zweck verfolgen und zur Erreichung des Zwecks geeignet, erforderlich und verhältnismäßig im engeren Sinne sein (vgl. BVerfGE 141, 220 <265 Rn. 93> m.w.N.). Maßgebliche Begrenzungen ergeben sich insbesondere aus den Anforderungen der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem jeweiligen Eingriffsgewicht und dem Gewicht des öffentlichen Interesses (vgl. BVerfGE 141, 220 <269 Rn. 105>).

126 Verfassungsrechtliche Anforderungen richten sich dabei sowohl an die sogenannte Eingriffsschwelle, also den Anlass der Überwachung, als auch an das mit der Datenerhebung zu schützende Rechtsgut (vgl. dazu BVerfGE 141, 220 <269 ff. Rn. 104 ff.>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 74). Erforderlich als Anlass ist bezogen auf die Gefahrenabwehr grundsätzlich eine im Einzelfall vorliegende konkrete Gefahr im Sinne der polizeirechtlichen Generalklauseln (vgl. BVerfGE 155, 119 <186 f. Rn. 146>) oder eine wenigstens konkretisierte Gefahr (vgl. dazu BVerfGE 141, 220 <271 ff. Rn. 111 ff.>; 155, 119 <187 ff. Rn. 147 ff.>). Eine Absenkung der Eingriffsschwelle auf die konkretisierte Gefahr ist aus Gründen der Verhältnismäßigkeit regelmäßig mit erhöhten Anforderungen an die konkret geschützten Rechtsgüter verbunden (näher dazu BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 76 ff. m.w.N.). Zu berücksichtigen ist stets auch das Eingriffsgewicht der konkreten Maßnahme (näher dazu BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 93). Je tiefer Überwachungsmaßnahmen in das Privatleben hineinreichen und berechtigte Vertraulichkeitserwartungen überwinden, desto strenger sind die Anforderungen an ihre Rechtfertigung. Die Erhebung von Daten durch Überwachungsmaßnahmen mit hoher Eingriffsintensität ist daher im Bereich der Gefahrenabwehr grundsätzlich nur dann verhältnismäßig, wenn eine Gefährdung besonders gewichtiger Rechtsgüter im Einzelfall hinreichend konkret absehbar ist und der Adressat der Maßnahmen aus Sicht eines verständigen Dritten den objektiven Umständen nach in sie verfangen ist (vgl. BVerfGE 141, 220 <270 Rn. 108 f.> m.w.N.; 165, 1 <49 f. Rn. 89 f.>).

127 Danach sind die polizeirechtlichen Überwachungsbefugnisse in § 20c PolG NRW, soweit sie zulässig angegriffen wurden und in das IT-System-Grundrecht und Art. 10 Abs. 1 GG oder aber nur in Art. 10 Abs. 1 GG eingreifen, verfassungsrechtlich nicht zu beanstanden. Sie genügen den Anforderungen der Verhältnismäßigkeit.