1. Art. 10 Abs. 1 GG schützt vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen, und gewährleistet insoweit eine Privatheit auf Distanz. Diese Gefahren realisieren sich nicht nur bei einer Fernkommunikation zwischen zwei oder mehreren Menschen. Im Lichte seiner Entwicklungsoffenheit begegnet das Grundrecht auch neuen Gefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben, und erfasst insoweit grundsätzlich auch andere mithilfe von Telekommunikationstechniken über Distanz transportierte Daten. 

2. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) in seiner Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-System-Grundrecht) schützt insbesondere vor heimlichen Zugriffen durch eine Online-Durchsuchung, ist hierauf aber nicht beschränkt (Anschluss an BVerfGE 120, 274).

a) Schutzgegenstand sind IT-Systeme, die aufgrund ihrer technischen Funktionalität allein oder durch ihre technische Vernetzung Daten einer betroffenen Person in einem Umfang und einer Vielfalt vorhalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten.

b) Grundrechtlich gewährleistet ist die Vertraulichkeit und Integrität des vom Schutzbereich erfassten IT-Systems. Das IT-System-Grundrecht schützt nicht nur die Vertraulichkeit der Daten, die durch Datenerhebungsvorgänge verletzt wird, sondern verlagert diesen Schutz nach vorne. Denn bereits mit dem Zugriff auf ein IT-System entsteht eine besondere Gefährdungslage für die dort erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten. Der Gewährleistungsgehalt des IT-System-Grundrechts geht dementsprechend über den Schutz personenbezogener Daten hinaus und vermittelt einen insoweit vorgelagerten Schutz der Persönlichkeit. Der Schutzbereich ist daher stets vom IT-System her zu definieren und auf ein auf dieses System insgesamt bezogenes Gefährdungspotenzial ausgelegt.

3. Darf die Überwachung und Aufzeichnung laufender Telekommunikation auch in der Weise erfolgen, dass mit technischen Mitteln in von Betroffenen genutzte IT-Systeme eingegriffen wird (Quellen-Telekommunikationsüberwachung), begründet dies sowohl einen Eingriff in das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis als auch in das IT-System-Grundrecht. Solche Maßnahmen sind an beiden Grundrechten zu messen (Abweichung von BVerfGE 141, 220).

4. Den im präventiven Bereich erforderlichen Rechtsgüterschutz kann der Gesetzgeber auch in der Weise sicherstellen, dass er an hinreichend gewichtige Straftaten anknüpft. Er kann ihn aber auch unabhängig vom Gewicht der Straftat mit einer ergänzenden Rechtsgutbetrachtung oder jedenfalls dergestalt sicherstellen, dass er eine hinreichende Qualifizierung als terroristische Straftat im Einzelfall vorsieht.

Die Verfassungsbeschwerde wird zurückgewiesen.

A.

Gegenstand der Verfassungsbeschwerde sind landespolizeirechtliche Ermächtigungen zur Telekommunikationsüberwachung und Quellen-Telekommunikationsüberwachung.

I.

Die Beschwerdeführenden wenden sich mit ihrer Verfassungsbeschwerde gegen § 20c des Polizeigesetzes des Landes Nordrhein-Westfalen (PolG NRW) in der Fassung des Gesetzes zur Anpassung des Polizeigesetzes des Landes Nordrhein-Westfalen und des Gesetzes über Aufbau und Befugnisse der Ordnungsbehörden vom 18. Dezember 2018 (GV NRW S. 741, ber. 2019 S. 23), in Kraft getreten am 29. Dezember 2018, sowie gegen § 8 Abs. 4 PolG NRW in der Fassung des Gesetzes zur Stärkung der Sicherheit in Nordrhein-Westfalen - Sechstes Gesetz zur Änderung des Polizeigesetzes des Landes Nordrhein-Westfalen vom 13. Dezember 2018 (GV NRW S. 684, ber. 2019 S. 23), in Kraft getreten am 20. Dezember 2018. Die Vorschriften lauten in der angegriffenen Fassung wie folgt:

§ 20c PolG NRW - Datenerhebung durch die Überwachung der laufenden Telekommunikation

(1) ¹Die Polizei kann ohne Wissen der betroffenen Person die laufende Telekommunikation einer Person überwachen und aufzeichnen,

1. die nach den §§ 4 oder 5 verantwortlich ist, wenn dies zur Abwehr einer gegenwärtigen Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib oder Leben einer Person geboten ist,

2. deren individuelles Verhalten die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine terroristische Straftat nach § 8 Absatz 4 begehen wird,

3. bei der bestimmte Tatsachen die Annahme rechtfertigen, dass sie für eine Person nach Nummer 1 bestimmte oder von dieser herrührende Mitteilungen entgegennimmt oder weitergibt, oder

4. bei der bestimmte Tatsachen die Annahme rechtfertigen, dass eine Person nach Nummer 1 deren Telekommunikationsanschluss oder Endgerät benutzen wird

und die Abwehr der Gefahr oder Verhütung der Straftaten auf andere Weise aussichtslos oder wesentlich erschwert wäre. ²Die Maßnahme darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden.

(2) Die Überwachung und Aufzeichnung der Telekommunikation darf ohne Wissen der betroffenen Person in der Weise erfolgen, dass mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme eingegriffen wird, wenn

1. durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird und

2. der Eingriff in das informationstechnische System notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen.

(3) ¹Bei Maßnahmen nach Absatz 2 ist sicherzustellen, dass

1. an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind und

2. die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisiert rückgängig gemacht werden.

²Das eingesetzte Mittel ist gegen unbefugte Nutzung zu schützen. ³Kopierte Daten sind gegen Veränderung, unbefugte Löschung und unbefugte Kenntnisnahme zu schützen.

(4) ¹Maßnahmen nach den Absätzen 1 und 2 dürfen nur auf Antrag der Behördenleitung oder deren Vertretung durch das Amtsgericht, in dessen Bezirk die Polizeibehörde ihren Sitz hat, angeordnet werden. ²Für das Verfahren gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend.

(5) Im Antrag sind anzugeben:

1. die Person, gegen die sich die Maßnahme richtet, soweit möglich, mit Name und Anschrift,

2. die Rufnummer oder eine andere Kennung des zu überwachenden Anschlusses oder des Endgeräts, sofern sich nicht aus bestimmten Tatsachen ergibt, dass diese zugleich einem anderen Endgerät zugeordnet ist,

3. Art, Umfang und Dauer der Maßnahme,

4. im Falle des Absatzes 2 auch eine möglichst genaue Bezeichnung des informationstechnischen Systems, in das zur Datenerhebung eingegriffen werden soll, sowie die Bezeichnung des Herstellers und der Softwareversion des einzusetzenden technischen Mittels,

5. der Sachverhalt und

6. eine Begründung.

(6) ¹Die Anordnung des Gerichts ergeht schriftlich. ²In ihr sind anzugeben:

1. eine Kennung des Kommunikationsanschlusses oder des Endgeräts, bei dem die Datenerhebung durchgeführt wird,

2. im Falle des Absatzes 2 zusätzlich eine möglichst genaue Bezeichnung des informationstechnischen Systems, in das zur Datenerhebung eingegriffen werden soll.

³Im Übrigen gilt § 18 Absatz 2 Satz 3 mit Ausnahme der Bezeichnung der betroffenen Wohnung entsprechend. ⁴Die Anordnung ist auf höchstens drei Monate zu befristen. ⁵Eine Verlängerung um jeweils nicht mehr als drei weitere Monate ist zulässig, soweit die Voraussetzungen der Anordnung unter Berücksichtigung der gewonnenen Erkenntnisse fortbestehen. ⁶Liegen die Voraussetzungen der Anordnung nicht mehr vor, sind die aufgrund der Anordnung ergriffenen Maßnahmen unverzüglich zu beenden. ⁷§ 18 Absatz 2 Satz 5 bis 9 gilt entsprechend.

(7) ¹Aufgrund der Anordnung hat jeder, der Telekommunikationsdienste erbringt oder daran mitwirkt (Diensteanbieter), der Polizei die Maßnahmen nach Absatz 1 zu ermöglichen und die erforderlichen Auskünfte unverzüglich zu erteilen. ²Ob und in welchem Umfang hierfür Vorkehrungen zu treffen sind, bestimmt sich nach dem Telekommunikationsgesetz und der Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation. ³Für die Entschädigung der Diensteanbieter ist § 23 des Justizvergütungs- und -entschädigungsgesetzes entsprechend anzuwenden.

(8) ¹Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch eine Maßnahme nach den Absätzen 1 und 2 allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden, ist die Maßnahme unzulässig. ²Soweit im Rahmen von Maßnahmen nach den Absätzen 1 und 2 neben einer automatischen Aufzeichnung eine unmittelbare Kenntnisnahme erfolgt, ist die Maßnahme unverzüglich zu unterbrechen, soweit sich während der Überwachung tatsächliche Anhaltspunkte dafür ergeben, dass Inhalte, die dem Kernbereich privater Lebensgestaltung zuzurechnen sind, erfasst werden. ³Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch eine Maßnahme nach den Absätzen 1 und 2 erlangt worden sind, dürfen nicht verwertet werden. ⁴Aufzeichnungen hierüber sind unverzüglich zu löschen. ⁵Die Tatsachen der Erfassung der Daten und der Löschung sind zu dokumentieren. ⁶Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle gemäß § 33c verwendet werden. ⁷Sie ist sechs Monate nach der Benachrichtigung nach § 33 Absatz 2 Satz 1 oder sechs Monate nach Erteilung der gerichtlichen Zustimmung nach § 33 Absatz 4 Satz 7 zu löschen. ⁸Ist die Datenschutzkontrolle noch nicht beendet, ist die Dokumentation bis zu ihrem Abschluss aufzubewahren. ⁹Im Übrigen gilt § 18 Absatz 3 Satz 3 und Absatz 4 Satz 2 bis 7 entsprechend.

(9) ¹Bei der Erhebung von Daten nach den Absätzen 1 und 2 sind die in § 33b Absatz 1 und 2 genannten Angaben zu protokollieren. ²Im Falle des Absatzes 2 sind darüber hinaus folgende Angaben zu protokollieren:

1. Angaben zur Identifizierung des informationstechnischen Systems und die daran vorgenommenen, nicht nur flüchtigen Veränderungen,

2. Angaben zum Hersteller des zur Datenerhebung eingesetzten Mittels und zur eingesetzten Softwareversion.

(10) (weggefallen)

(11) (aufgehoben)

(12) ¹Die Landesregierung überprüft die Wirksamkeit der Vorschrift bis zum 31. Dezember 2022 und berichtet dem Landtag über das Ergebnis der Evaluierung. ²§ 20c tritt am 31. Dezember 2023 außer Kraft.

Mit Art. 1 Nr. 6 Buchstabe b des Gesetzes zur Stärkung der Rechte von im Polizeigewahrsam festgehaltenen Personen vom 19. Dezember 2019 (GV NRW S. 995) wurde mit Wirkung zum 31. Dezember 2019 der zwölfte Absatz von § 20c PolG NRW zu dessen zehntem Absatz bestimmt.

Der von § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW in Bezug genommene § 8 Abs. 4 PolG NRW lautet wie folgt:

§ 8 PolG NRW - Allgemeine Befugnisse, Begriffsbestimmung

(4) Straftaten nach

1. § 211, § 212, § 226, § 227, § 239a, § 239b, § 303b, § 305, § 305a, §§ 306 bis 306c, § 307 Absatz 1 bis 3, § 308 Absatz 1 bis 4, § 309 Absatz 1 bis 5, § 313, § 314, § 315 Absatz 1, 3 oder 4, § 316b Absatz 1 oder 3, § 316c Absatz 1 bis 3, § 317 Absatz 1, § 328 Absatz 1 oder 2, § 330 Absatz 1 oder 2 oder § 330a Absatz 1 bis 3 des Strafgesetzbuchs,

2. den §§ 6 bis 12 des Völkerstrafgesetzbuchs vom 26. Juni 2002 (BGBl. I S. 2254), das durch Artikel 1 des Gesetzes vom 22. Dezember 2016 (BGBl. I S. 3150) geändert worden ist,

3. § 19 Absatz 1 bis 3, § 20 Absatz 1 oder 2, § 20a Absatz 1 bis 3, § 19 Absatz 2 Nummer 2 oder Absatz 3 Nummer 2, § 20 Absatz 1 oder 2, § 20a Absatz 1 bis 3, jeweils auch in Verbindung mit § 21, oder § 22a Absatz 1 bis 3 des Gesetzes über die Kontrolle von Kriegswaffen in der Fassung der Bekanntmachung vom 22. November 1990 (BGBl. I S. 2506), das zuletzt durch Artikel 6 Absatz 2 des Gesetzes vom 13. April 2017 (BGBl. I S. 872) geändert worden ist, und

4. § 51 Absatz 1 bis 3 des Waffengesetzes vom 11. Oktober 2002 (BGBl. I S. 3970, 4592; 2003 I S. 1957), das zuletzt durch Artikel 1 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2133) geändert worden ist,

sind terroristische Straftaten im Sinne dieses Gesetzes, wenn und soweit sie dazu bestimmt sind, die Bevölkerung auf erhebliche Weise einzuschüchtern, eine Behörde oder eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen oder erheblich zu beeinträchtigen, und sie durch die Art ihrer Begehung oder ihre Auswirkungen einen Staat oder eine internationale Organisation erheblich schädigen können.

II.

1. Mit dem im Jahr 2018 neu eingeführten § 20c PolG NRW hat der nordrhein-westfälische Gesetzgeber erstmals polizeirechtliche Befugnisse zur präventiven Telekommunikationsüberwachung und Quellen-Telekommunikationsüberwachung geregelt, um dadurch die Abwehr von Gefahren für die Bevölkerung insbesondere durch den (internationalen) Terrorismus zu effektivieren. Nach der Begründung des Gesetzentwurfs war die Ausweitung der polizeilichen Befugnisse geboten, weil eine weiterhin hohe abstrakte Gefährdungslage bestand. Neben terroristischen Bedrohungslagen sei zu beachten, dass Alltagskriminalität zunehmend organisierter begangen werde und daher auch insoweit polizeiliche Handlungsmöglichkeiten ausgeweitet werden müssten, um die Sicherheit der Bevölkerung zu fördern. Hierfür müssten neue, effiziente Wege eingeschlagen werden, um Gefahren im Vorfeld zu erforschen, Geflechte im Vorbereitungsstadium einer Straftat aufzudecken und zuletzt schwere Taten zu verhindern (vgl. LTDrucks NRW 17/2351, S. 1, 27).

Einer heimlichen Überwachung der Telekommunikation komme hierbei eine Schlüsselrolle zu. Gerade Terroristen seien zur Vorbereitung und Durchführung von Straftaten darauf angewiesen, mobil zu sein und moderne Kommunikationsmittel zu nutzen. Erst der Zugriff auf diese Kommunikation erlaube, einschlägige Zusammenhänge aufzuklären, mithin die Zielperson präzise einzuschätzen und Beziehungsgeflechte aufzuspüren. Die Befugnis zur Quellen-Telekommunikationsüberwachung sei als Ergänzung zur klassischen Telekommunikationsüberwachung unerlässlich, weil nur dadurch gewährleistet sei, dass auch auf verschlüsselte Telekommunikationsinhalte zugegriffen werden könne. Nutzten Kriminelle angesichts der fortschreitenden Digitalisierung solche Verschlüsselungstechnologien, müssten Polizeibehörden in der Lage sein, hierauf zu reagieren (vgl. LTDrucks NRW 17/2351, S. 36).

2. Während § 20c Abs. 1 PolG NRW die Befugnis zur klassischen Telekommunikationsüberwachung vorsieht, erweitert § 20c Abs. 2 PolG NRW diese Befugnis auf die Quellen-Telekommunikationsüberwachung. Die Regelungen, die nach § 20c Abs. 12 Satz 2 PolG NRW der angegriffenen Fassung zunächst bis zum 31. Dezember 2023 befristet waren, wurden nach ihrer Evaluation (vgl. Landeskriminalamt NRW, Zentralstelle Evaluation <ZEVA>, Novellierung des Polizeigesetzes Nordrhein-Westfalen, Evaluation §§ 20c und 34c PolG NRW, Stand 6. April 2023) mit Art. 1 Nr. 2 des Siebten Gesetzes zur Änderung des Polizeigesetzes des Landes Nordrhein-Westfalen vom 19. Dezember 2023 (GV NRW S. 1394) bis zum 31. Dezember 2028 verlängert.

a) § 20c Abs. 1 PolG NRW erlaubt es, die laufende Telekommunikation ohne Wissen der betroffenen Person zu überwachen und aufzuzeichnen. Polizeibehörden sind daher -in der Regel unter Mitwirkung der Diensteanbieter (vgl. § 20c Abs. 7 PolG NRW) - zum Mit-lesen und Mithören (Überwachung) sowie zum Speichern (Aufzeichnen) einer zum Zeitpunkt der Überwachung stattfindenden Telekommunikation befugt. Beschränkungen hinsichtlich der Art der laufenden Telekommunikation enthält die Vorschrift nicht. In der Praxis leiten die verpflichteten Diensteanbieter den gesamten Rohdatenstrom aus (vgl. Stellungnahme der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Rn. 44). Umfasst sind nicht nur Inhalte und Umstände der Telekommunikation zwischen Personen, sondern alle über das Internet transportierten Daten (vgl. Lottkus, in: Möstl/Kugelmann, BeckOK Polizei- und Ordnungsrecht Nordrhein-Westfalen, PolG NRW § 20c Rn. 18, 35 m.w.N. <Februar 2025>; zur Fernmeldeaufklärung des BND BVerfGE 154, 152 181 Rn. 10> - BND - Ausland-Ausland-Fernmeldeaufklärung), wobei ein Großteil der Inhalte des Rohdatenstroms verschlüsselt und daher praktisch nicht lesbar ist.

Die tatbestandlichen Voraussetzungen für eine Telekommunikationsüberwachung sind in Abhängigkeit davon ausgestaltet, welchem präventiven Zweck sie dient und gegen welchen Adressaten sie sich richtet. § 20c Abs. 1 Satz 1 Nr. 1 PolG NRW erlaubt eine Überwachung des nach § 4 oder § 5 PolG NRW verantwortlichen Störers, wenn dies zur Abwehr einer gegenwärtigen Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib oder Leben einer Person geboten ist. Eine Überwachung darf sich nach § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW aber auch gegen solche Personen richten, deren individuelles Verhalten die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine terroristische Straftat nach § 8 Abs. 4 PolG NRW begehen werden (sog. Gefährder); die Regelung erlaubt daher die Überwachung mit dem Ziel der Straftatenverhütung schon im Vorfeld konkreter Gefahren. § 20c Abs. 1 Satz 1 Nummern 3 und 4 PolG NRW erweitern den Kreis möglicher Adressaten auf Personen, bei denen anzunehmen ist, dass sie für eine Person nach § 20c Abs. 1 Satz 1 Nr. 1 PolG NRW bestimmte oder von dieser herrührende Mitteilungen entgegennehmen oder weitergeben (sog. Nachrichtenmittler), sowie auf Personen, bei denen anzunehmen ist, dass eine Person nach § 20c Abs. 1 Satz 1 Nr. 1 PolG NRW deren Telekommunikationsanschluss oder Endgerät benutzen wird (sog. Endgeräte- oder Anschlussüberlasser). In allen Anwendungsfällen ist erforderlich, dass die Abwehr der Gefahr oder Verhütung der Straftaten auf andere Weise aussichtslos oder wesentlich erschwert wäre.

b) Nach § 20c Abs. 2 PolG NRW darf die Überwachung und Aufzeichnung der Telekommunikation darüber hinaus in der Weise erfolgen, dass mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme (im Folgenden: IT-Systeme) eingegriffen wird (Quellen-Telekommunikationsüberwachung). Die Überwachung mittels eines Eingriffs in ein IT-System erfolgt mit dem Ziel, auch solche Inhalte einer Kommunikation zu erfassen, die bei einer bloßen Telekommunikationsüberwachung aufgrund ihrer Verschlüsselung nicht oder jedenfalls nicht mit praktisch vertretbarem Aufwand ausgewertet werden können (wie gegenwärtig etwa eine Kommunikation über die Messenger-Dienste WhatsApp oder Signal, vgl. auch LTDrucks NRW 17/2351, S. 37). Der Zugriff darf in solchen Fällen an der "Quelle" der Kommunikation erfolgen, an der die kommunizierten Inhalte noch nicht verschlüsselt oder wieder unverschlüsselt vorliegen - also vor Beginn der Verschlüsselung beim Sendegerät oder nach der Entschlüsselung beim Empfangsgerät. Zu diesem Zweck darf die Polizei mit technischen Mitteln in das von der betroffenen Person genutzte IT-System eingreifen; der Gesetzgeber geht von dem Einsatz einer Überwachungssoftware (sog. Trojaner) aus (vgl. § 20c Abs. 5 Nr. 4, Abs. 9 Satz 2 Nr. 2 PolG NRW). Ein Systemeingriff darf weiter nur erfolgen, wenn durch technische Maßnahmen sichergestellt ist, dass ausschließlich die laufende Telekommunikation überwacht und aufgezeichnet wird (vgl. § 20c Abs. 2 Nr. 1 PolG NRW). Auch muss der Eingriff in das System notwendig sein, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen (vgl. § 20c Abs. 2 Nr. 2 PolG NRW).

c) Eine Überwachung nach § 20c PolG NRW darf nur auf Antrag durch das Amtsgericht angeordnet werden (vgl. § 20c Abs. 4 Satz 1 PolG NRW). Die Anordnung ist auf höchstens drei Monate zu befristen, wobei wiederholte Anordnungen zulässig sind (vgl. § 20c Absätze 5 und 6 PolG NRW).

III.

Die Beschwerdeführenden wenden sich gegen die Befugnisse zur Telekommunikationsüberwachung (§ 20c Abs. 1 PolG NRW) und Quellen-Telekommunikationsüberwachung (§ 20c Abs. 1 i.V.m. Abs. 2 PolG NRW) sowie jeweils insbesondere gegen § 20c Abs. 1 Satz 1 Nr. 2 in Verbindung mit § 8 Abs. 4 PolG NRW. Sie sind der Ansicht, die angegriffenen Regelungen verletzten ihre Grundrechte aus Art. 1 Abs. 1, Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 (Vertraulichkeit und Integrität informationstechnischer Systeme) und aus Art. 10 Abs. 1 GG.

1. Die Verfassungsbeschwerde sei zulässig. Die Beschwerdeführenden seien insbesondere von den angegriffenen Vorschriften selbst, gegenwärtig und unmittelbar betroffen.

Die Beschwerdeführerin zu 1) stehe im beruflichen Kontakt mit Personen oder Gruppen, die in Verfassungsschutzberichten als extremistisch eingestuft würden. Sie sei etwa in einer Klimabewegung aktiv, die Massenaktionen des zivilen Ungehorsams organisiere und dazu auch den Schienenverkehr blockiere. Die Bewegung werde vom Bundesamt für Verfassungsschutz als "linksextremistisch beeinflusst" bezeichnet. Gegen die Beschwerdeführerin zu 1) sei im Zusammenhang mit den Aktivitäten der Bewegung bereits wegen des Verdachts des Landfriedensbruchs ermittelt worden.

Die Beschwerdeführerin zu 2) engagiere sich seit vielen Jahren als Umweltaktivistin auch in Nordrhein-Westfalen. Sie sei bereits mehrfach zum Zweck der Straftatenverhütung heimlich überwacht, von der nordrhein-westfälischen Polizei in Gewahrsam genommen und unmittelbarem Zwang ausgesetzt worden. Auch seien gegen sie Strafverfahren wegen einzelner in § 8 Abs. 4 PolG NRW genannter Delikte (z.B. §§ 315, 316b StGB) eingeleitet worden.

Der Beschwerdeführer zu 3) sei Autor anarchistischer Aufsätze, in linkspolitischen Projekten und Einrichtungen aktiv und Mitglied in einem vom Verfassungsschutz beobachteten Verein. Im Zusammenhang mit seinen Beteiligungen an Demonstrationen und Aktionen (zuletzt Protestaktionen im Hambacher Forst) habe es vielfach Polizeikontakte gegeben.

Der Beschwerdeführer zu 4) sei ein mit unterschiedlichen Kommunikationsmedien politisch arbeitender Künstler, der unter dem Namen "(…)" auftrete. Sein Anliegen sei es, Menschen digital zu "ermündigen". Er sei deshalb wiederholt Zielperson polizeilicher Überwachungs- und Ermittlungstätigkeiten geworden. Ihm seien auch Straftaten vorgeworfen worden, die in § 8 Abs. 4 PolG NRW als terroristisch definiert würden.

Die Beschwerdeführerin zu 5) sei für den (…) e.V. als Campaignerin und Redakteurin tätig und insoweit mit der Planung und Durchführung von Aktionen und Demonstrationen in Bündnissen befasst, denen auch Organisationen angehörten, die dem linksaktivistischen Bereich zugeordnet würden. Sie stehe in Kontakt zu Personen aus diesen Organisationen, denen entweder bereits die in § 8 Abs. 4 PolG NRW genannten Straftaten vorgeworfen würden oder bei denen ein entsprechender Vorwurf hochwahrscheinlich sei. Dies gelte auch für die mit ihr im Rahmen ihrer Recherchetätigkeit in Kontakt stehenden Hinweisgeberinnen und Hinweisgeber. Diese oder die Organisationen, denen sie angehörten, würden vom Verfassungsschutz beobachtet; beispielsweise könne auf als linksextremistisch eingestufte Personen und Gruppierungen verwiesen werden, die im Zusammenhang mit Kampagnen und Aktionen gegen die Verschärfung des PolG NRW aktiv seien (namentlich "Bündnis Polizeigesetz NRW stoppen! - #NOPOLGNRW").

Die Beschwerdeführerin zu 6) recherchiere aus beruflichen Gründen unter anderem für einen Datenschutznegativpreis. Sie erhalte vertrauliche Informationen aus Behörden, zivilgesellschaftlichen Organisationen und Unternehmen. Die Informantinnen und Informanten bewegten sich mitunter im Bereich der in § 8 Abs. 4 PolG NRW genannten Straftaten. Darüber hinaus betreibe sie einen Tor-Server, der bisweilen auch zu illegalen Zwecken genutzt werde. Dies könne auf sie zurückfallen. So sei gegen sie bereits wegen des Verdachts des Verbreitens einer Bombenbauanleitung über das Internet eine Hausdurchsuchung vollzogen worden.

Die Beschwerdeführenden meinen, aufgrund dieser Umstände direkt oder mittelbar Ziel staatlicher Überwachung werden zu können. Alle nutzten und unterhielten Telekommunikationsanschlüsse (Festnetz und mobil) mittels Smartphones und mit dem Internet verbundenen PCs, Laptops und Tablets. Ihre Kommunikation erfolge teils auch verschlüsselt. Bei Bedarf und Vertrauen überließen sie anderen Personen ihre Systeme und Smartphones zur Mitnutzung oder gäben anderen Personen die Möglichkeit, ihren Telekommunikations- und Internetanschluss zu verwenden. Ausgehend davon befürchten die Beschwerdeführenden in unterschiedlichem Maße, Zielperson einer Überwachung nach § 20c PolG NRW zu werden. Zudem sei zu erwarten, dass sie aufgrund ihres persönlichen Netzwerks als unbeteiligte Dritte nach § 20c Abs. 1 Satz 2 PolG NRW von Überwachungsmaßnahmen betroffen sein könnten.

2. Die Verfassungsbeschwerde sei begründet. Die Befugnisse zur Telekommunikations- und Quellen-Telekommunikationsüberwachung verletzten verschiedene Grundrechte.

a) Art. 1 Abs. 1 GG sei verletzt, weil die angegriffenen Vorschriften einen Zugriff auf die unantastbare Intimsphäre der Systemnutzer und ihre innerste Gedankenwelt erlaubten. Betroffene könnten sich nicht einmal mehr durch eine Verschlüsselung ihrer Kommunikation vor einer Überwachung schützen. § 20c PolG NRW ermögliche Maßnahmen, die den Kernbereich privater Lebensgestaltung zum Ziel staatlicher Ermittlungen machten, denn es sei technisch nicht möglich, kernbereichsrelevante Inhalte herauszufiltern. Es würden nicht nur am Rande, sondern überwiegend höchstpersönliche Daten erhoben.

b) § 20c PolG NRW gestatte verfassungsrechtlich nicht gerechtfertigte Eingriffe in das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG in seiner Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (im Folgenden: IT-System-Grundrecht).

aa) Die Befugnisse zur Telekommunikations- und Quellen-Telekommunikationsüberwachung seien nicht an Art. 10 Abs. 1 GG, sondern am IT-System-Grundrecht zu messen.

(1) Das Fernmeldegeheimnis schütze nur die technikgestützte zwischenmenschliche Kommunikation. Die tatsächliche Überwachungspraxis habe sich mittlerweile aber deutlich weiterentwickelt. Sie erfasse auch moderne Kommunikationsformen, wie das Surfen im Internet oder den Datenverkehr zwischen einem Endgerät und Cloud-Diensten (Mensch-Maschine-Kommunikation) sowie die Kommunikation etwa zwischen sogenannten Smart-Home-Geräten einer Zielperson (Maschine-Maschine-Kommunikation). Diese modernen Kommunikationsformen seien nicht vom Schutzbereich des Art. 10 Abs. 1 GG umfasst. Die nach § 20c PolG NRW erlaubte Telekommunikations- und Quellen-Telekommunikationsüberwachung sei daher, soweit sie sich nicht auf Individualkommunikation beschränke, sondern zu einer Überwachung aller Datenströme berechtige, am IT-System-Grundrecht zu messen. Dieses schütze die Vertraulichkeit der gesamten Internetkommunikation; eines Systemzugriffs insbesondere in Form einer Infiltration mit einer Überwachungssoftware bedürfe es hierfür nicht zwingend.

(2) Die in § 20c Abs. 1 in Verbindung mit § 20c Abs. 2 PolG NRW geregelte Quellen-Telekommunikationsüberwachung greife darüber hinaus aber auch schon deshalb in das IT-System-Grundrecht ein, weil sie nicht auf die durch Art. 10 Abs. 1 GG geschützte laufende Kommunikation beschränkbar sei. Nach fachkundiger Einschätzung sei es illusorisch, einen "Staatstrojaner" zu entwickeln, der nicht auf das gesamte System zugreife. Da Kommunikationsinhalte vor deren Verschlüsselung abgegriffen würden, seien auch bloße Nachrichtenentwürfe erfasst, die tatsächlich nie versendet würden. Die Überwachungssoftware erhebe denknotwendig weitere Daten, die nicht Inhalte oder Umstände einer Kommunikation beträfen, wie Standortdaten, Informationen über das Aktivieren und Deaktivieren eines Systems, über einen Verbindungsaufbau mit dem Internet und über das Öffnen und Schließen von Kommunikationsprogrammen. Da die Beschränkbarkeit technisch niemals umsetzbar sein werde, laufe die Regelung nicht nur bis auf Weiteres leer; sie sei vielmehr widersprüchlich und verfassungswidrig (unter Verweis auf BVerfGE 141, 220 311 Rn. 234>).

Sofern das Bundesverfassungsgericht festgehalten habe, dass das Programm so ausgestaltet sein müsse, dass es den mit der Überwachung betrauten Mitarbeitern ausschließlich die Kenntnisnahme der laufenden Telekommunikation ermögliche, werde § 20c PolG NRW dem nicht gerecht, da diese Vorgabe nicht gesetzlich abgesichert sei. Es fehle ein Regime zur Überprüfung der tatsächlichen Beschränkung der eingesetzten Trojaner und damit eine hinreichende institutionelle Absicherung gegen eine Ausspähung des gesamten Systems. Dem anordnenden Gericht werde eine Überprüfung schon tatsächlich nicht möglich sein. Erforderlich sei die Benennung einer unabhängigen Stelle, die die jeweils zur Infiltration vorgesehene Software technisch eingehend insbesondere darauf prüfe, ob die Beschränkung der Überwachung auf die laufende Telekommunikation sichergestellt sei, und der die dafür erforderlichen Informationen und Unterlagen vorgelegt werden müssten.

(3) Die Quellen-Telekommunikationsüberwachung greife schließlich in das IT-System-Grundrecht auch deshalb ein, weil die Infiltration eines Systems technisch nicht revidierbar sei. Es sei nicht möglich, eine Überwachungssoftware vollständig zu deinstallieren; bestenfalls könne die zurückbleibende Software deaktiviert werden.

bb) Der Eingriff in das IT-System-Grundrecht sei verfassungsrechtlich nicht gerechtfertigt.

(1) Die Eingriffsintensität sei hoch. § 20c PolG NRW erlaube eine Überwachung des gesamten Datenverkehrs und damit insbesondere auch die Überwachung des "Surfverhaltens" im Internet sowie der Nutzung externer Datenspeicher oder Anwendungen in der Cloud. Eine Überwachung der Telekommunikation ermögliche die Erstellung eines umfassenden Verhaltens- und Kommunikationsprofils einer Zielperson und begründe einen tiefen Eingriff in die Privatsphäre. Dies gelte erst recht für eine Quellen-Telekommunikationsüberwachung, mit welcher Verschlüsselungstechniken überwunden werden könnten. Denn kommuniziert werde zunehmend über Smartphones, die sich in den letzten Jahrzehnten von bloßen Arbeitsgeräten zu individualisierten Begleitern weiterentwickelt hätten und persönlichsten Zwecken dienten. Sie umfassten Foto- und Videotechnik. Die Daten würden in Gerätespeichern und Anbieterclouds dauerhaft archiviert. Es erfolge ein Austausch über Internetforen und soziale Netzwerke. Suchmaschinen würden für intimste Zwecke, wie zu gesundheitlichen und sexuellen Fragen, und Dating-Apps zur Partnersuche genutzt. Die GPS-Funktion und spezielle Apps dienten der Navigation und Orientierung, sammelten aber auch umfassend Geo- und Nutzerdaten an. Die Bedeutung solcher Systeme sei umso höher, als mittlerweile eine dauerhafte Internetverbindung bestehe ("always on"). Dadurch würden permanent Daten generiert, die einen heimlichen und, was technisch unvermeidbar sei, nach Art und Umfang tiefgehenden Einblick in die engste Persönlichkeitssphäre einschließlich der Gedankenwelt der Betroffenen erlaubten.

(2) Die Rechtfertigungsanforderungen müssten diesem gestiegenen Eingriffsgewicht angepasst und insofern verschärft werden. Telekommunikationsüberwachungen müssten den besonders strengen Anforderungen genügen, die für die Wohnraumüberwachung oder Online-Durchsuchung als tiefgreifende, heimliche Eingriffe in die Privatsphäre gälten. Diese Bedingungen erfüllten die angegriffenen Regelungen in mehrerlei Hinsicht nicht.

(a) Die Befugnis nach § 20c Abs. 1 Satz 1 PolG NRW zur "Überwachung und Aufzeichnung" der "Telekommunikation" sei unbestimmt und unter Berücksichtigung der Wesensgehaltslehre nicht hinnehmbar. Der Gesetzgeber habe zudem versäumt, in § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW die konkretisierte Gefahr als Eingriffsvoraussetzung in hinreichend bestimmter und normenklarer Weise zu regeln; stattdessen habe er die Vorgaben des Bundesverfassungsgerichts im Sinne einer "Copy & Paste"-Gesetzgebung unreflektiert übernommen. Was mit den Formulierungen "individuelles Verhalten", "konkrete Wahrscheinlichkeit" und "innerhalb eines übersehbaren Zeitraums" gemeint sei, sei nicht nachvollziehbar. § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW genüge, auch soweit er auf § 8 Abs. 4 PolG NRW Bezug nehme, nicht den Bestimmtheitsanforderungen. Die Prognose der künftigen Begehung von Straftaten anstelle eines schutzgutbezogenen Ansatzes sei nicht hinreichend bestimmt. Der Versuch, die Weite des Katalogs durch § 8 Abs. 4 Halbsatz 2 PolG NRW auf Straftaten mit einer näher beschriebenen terroristischen Dimension einzugrenzen, sei aufgrund der Unbestimmtheit dieses Korrektivs nicht gelungen.

(b) Der Grundrechtseingriff sei aufgrund seines Gewichts nur dann gerechtfertigt, wenn die Maßnahmen dem Schutz überragend wichtiger Rechtsgüter dienten. § 20c Abs. 1 Satz 1 Nr. 2, Abs. 2 in Verbindung mit § 8 Abs. 4 PolG NRW genüge dem nicht. Es fehle ein verfassungsrechtlich belastbares Konzept, zu Gunsten welcher Rechtsgüter eine Überwachung durchgeführt werden dürfe. Der Katalog des § 8 Abs. 4 PolG NRW sei zu weit. Der Gesetzgeber habe sich nicht auf schwere Bedrohungslagen durch den internationalen Terrorismus beschränkt, sondern auch aktivistische Protestformen einbezogen sowie in ausufernder Weise Vergehenstatbestände und solche von allenfalls mittlerer Kriminalität einbezogen; insoweit seien insbesondere die §§ 303b, 305, 305a, 315, 316b und 317 StGB zu beanstanden.

(c) Die Überwachung von Nachrichtenmittlern oder Anschluss- und Endgeräteüberlassern nach § 20c Abs. 1 Satz 1 Nummern 3 und 4, Abs. 2 PolG NRW sei zu weit. Es fehle eine Subsidiaritätsklausel dahingehend, dass der Zugriff auf den Anschluss der für die Gefahrenlage verantwortlichen Person allein nicht ausreichen dürfe. Zudem müsse eine erhöhte Erfolgswahrscheinlichkeit für eine Gefahrenaufklärung bestehen. Auch der in § 20c Abs. 2 PolG NRW eröffnete Zugriff auf das durch die Zielperson "genutzte System" sei zu weit. Erforderlich sei eine Beschränkung auf eigene Systeme der Zielperson.

(d) Der Kernbereich privater Lebensgestaltung sei nicht hinreichend geschützt. Der auf die Erhebungsphase bezogene § 20c Abs. 8 Satz 1 PolG NRW laufe leer, denn es sei praktisch undenkbar, dass durch eine Überwachung "allein" Kernbereichsinformationen erhoben würden. Erforderlich sei vielmehr eine Negativprognose, dass keine solchen Informationen anfielen. Es fehle auch die Vorgabe, dass die Erhebung kernbereichsrelevanter Inhalte unterbleibe, soweit dies durch informationstechnische Sicherungen möglich sei. Solche etwaig eingesetzten technischen Schutzvorkehrungen seien in ihrer Funktionsweise und Beschaffenheit zu protokollieren. Durch eine unabhängige Stelle sei zu kontrollieren, dass die eingesetzten Schutzvorkehrungen dem gegenwärtigen Stand der Technik entsprächen. Auch in der Verwertungsphase sei der Kernbereichsschutz durch § 20c Abs. 8 Sätze 3 bis 7 PolG NRW nur unzureichend geregelt. Für die Kenntnisnahme und Nutzung der Daten durch die Polizei müsse eine Sichtung durch eine unabhängige Stelle vorgesehen werden, die kernbereichsrelevante Informationen herausfiltere (unter Verweis auf BVerfGE 141, 220 307 ff.>).

cc) Das IT-System-Grundrecht sei auch in seiner Schutzdimension verletzt. Der Gesetzgeber hätte die technischen Wege, auf denen ein IT-System infiltriert werden könne, dergestalt begrenzen müssen, dass Gefährdungen der Sicherheit in der Informationstechnik (im Folgenden: IT-Sicherheit) zu Lasten Dritter zumindest nicht gefördert würden. Würden aber den Herstellern noch unbekannte Sicherheitslücken in den Betriebssystemen oder der Anwendungssoftware nicht offengelegt und ausgenutzt, würden bewusst Gefahren für die gesamte IT-Sicherheit in Kauf genommen.

c) Jedenfalls sei Art. 10 Abs. 1 GG verletzt. Angesichts der mittlerweile deutlich erhöhten Eingriffsintensität einer Telekommunikations- und Quellen-Telekommunikationsüberwachung bedürfe es einer Neujustierung der verfassungsrechtlichen Rechtfertigungsanforderungen. Die Maßnahmen ermöglichten in ihrem Gesamtcharakter keinen geringeren Eingriff in die Privatsphäre als eine Online-Durchsuchung oder Wohnraumüberwachung. Insofern müssten die zum IT-System-Grundrecht vorgebrachten Rügen auch unter Geltung des Art. 10 Abs. 1 GG durchgreifen.

IV.

Zu der Verfassungsbeschwerde haben die Landesregierung Nordrhein-Westfalen, der (damalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Bayerische Landesbeauftragte für den Datenschutz Stellung genommen.

1. Für die Landesregierung Nordrhein-Westfalen hebt das Ministerium des Innern des Landes Nordrhein-Westfalen das praktische Bedürfnis für eine Quellen-Telekommunikationsüberwachung hervor. Mit der Anordnung einer Telekommunikationsüberwachung werde der Provider beauftragt, Telekommunikationsdaten an die Polizei auszuleiten. Teile dieses Datenstroms seien jedoch kryptiert, wenn Ende-zu-Ende-Verschlüsselungen wie etwa bei WhatsApp oder Telegram genutzt würden. Mit gängigen polizeilichen Mitteln seien diese Daten nicht zu dekryptieren. Es sei daher notwendig, durch Einbringung einer Software in das Endgerät die ausgeleiteten Daten in eine auswertbare Form zu bringen. Ein Zugriff auf gespeicherte Daten sei nicht möglich. Die genutzte Software werde auf Grundlage der Standardisierenden Leistungsbeschreibung für Software zur Durchführung von Maßnahmen der Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung (Stand 5. Oktober 2018, abrufbar auf der Homepage des BKA) betrieben.

Wie auch andere Landesregelungen orientiere sich § 20c PolG NRW regelungstechnisch an § 51 des Bundeskriminalamtgesetzes (BKAG). § 20c PolG NRW schränke die polizeilichen Befugnisse allerdings noch stärker ein, indem ausdrücklich vorgesehen sei, den Hersteller der Software und die Softwareversion anzugeben. Dies stärke die Rechtsschutzmöglichkeiten der Betroffenen. Maßnahmen der Telekommunikations- und Quellen-Telekommunikationsüberwachung seien ausschließlich an Art. 10 Abs. 1 GG zu messen, weil sie technisch auf die laufende Telekommunikation beschränkt seien. § 8 Abs. 4 PolG NRW sei verfassungsrechtlich nicht zu beanstanden. Die Schaffung einer eigenen Kategorie terroristischer Straftaten folge der Regelung in § 5 Abs. 1 Satz 2 BKAG.

2. Nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit verletzen § 20c Absätze 2 und 3 PolG NRW grundrechtliche Schutzpflichten. Der Staat habe eine Befugnis geschaffen, mit der Behörden Schutzlücken zur Infiltration mit einer Überwachungssoftware ausnutzen dürften. Es fehle aber an einem geeigneten gesetzgeberischen Schutzkonzept, das das enorme Gefährdungspotential adressiere, welches von Lücken in der IT-Sicherheit insbesondere dann ausgehe, wenn es sich um bislang unbekannte Sicherheitslücken handele (sog. Zero-Day-Exploits).

3. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) weist darauf hin, dass die in Rede stehenden Maßnahmen nicht anhand ihres Eingriffsgewichts, sondern nach ihrem Regelungsgehalt innerhalb der in Betracht kommenden Grundrechte zu verorten seien. Danach sei die Quellen-Telekommunikationsüberwachung stets am IT-System-Grundrecht zu messen. Soweit eine Beschränkung der Maßnahme auf die laufende Kommunikation überhaupt möglich sei, greife diese erst nach dem erfolgten Zugriff auf das IT-System. Daneben bestehe stets auch ein Eingriff in Art. 10 Abs. 1 GG. Beide Grundrechte stünden in keinem lex-specialis-Verhältnis zueinander; sie hätten unterschiedliche Schutzbereiche, die sich zwar im Einzelfall überschneiden könnten, aber grundsätzlich unabhängig voneinander griffen.

Eine technische Beschränkung der Quellen-Telekommunikationsüberwachung auf die laufende Telekommunikation sei nicht ausgeschlossen. Von Verfassungs wegen dürfte erforderlich sein, die entsprechende gesetzlich vorgegebene Beschränkung rechtlich und technisch zu präzisieren. Problematisch sei, ob der vorgesehene Richtervorbehalt zu einer Wahrung der Verhältnismäßigkeit beitragen könne. Richter könnten nämlich die gesetzlichen Vorgaben einer Begrenzung auf die laufende Kommunikation und im Hinblick auf § 20c Abs. 3 PolG NRW nicht überprüfen, solange sie nicht Einblick in den Quellcode des Trojaners hätten und über einen erheblichen technischen Sachverstand verfügten. Alternativ käme in Betracht, dass das eingesetzte technische Mittel vor seinem Einsatz durch eine unabhängige Stelle geprüft oder zertifiziert und der Prüfbericht oder das Zertifikat mit dem Antrag auf Durchführung einer Maßnahme vorgelegt werden müsse.

Verfassungsrechtliche Bedenken würden vertieft, soweit § 20c PolG NRW ein weiter Telekommunikationsbegriff zugrunde liege. Es sei schon unter dem Gesichtspunkt ausreichender Bestimmtheit zu kritisieren, dass in § 20c PolG NRW nicht festgelegt sei, von welchem Verständnis des Begriffs der "Telekommunikation" ausgegangen werde. In der Praxis werde bei der Überwachung eines Internetanschlusses der gesamte über das Internet ausgetauschte Rohdatenstrom ausgeleitet. Unter Zugrundelegung eines weiten Telekommunikationsbegriffs sei das Eingriffsgewicht angehoben; Eingriffe von diesem Gewicht dürften nur zum Schutz überragend wichtiger Rechtsgüter erfolgen.

4. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) teilt mit, dass in den Jahren 2008 bis 2011 bayernweit 23 Quellen-Telekommunikationsüberwachungen zur Strafverfolgung durchgeführt worden seien, hingegen keine zur Gefahrenabwehr. Es sei nicht ersichtlich, welche Funktionalitäten die dabei eingesetzte Überwachungssoftware genau habe, was gegebenenfalls eine Einsichtnahme in den Quellcode erfordere. Beschränkungen auf die laufende Kommunikation seien technisch möglich und zumindest teilweise auch vorgesehen. So sei es nicht bei allen Softwareprodukten möglich, vollständige Screenshots der Benutzeroberfläche anzufertigen, sondern nur Applicationshots von bestimmten Browsern oder Chatprogrammen. Nicht alle Softwareprodukte seien aber entsprechend beschränkt gewesen. Insofern sei auffällig, dass bei der Überwachung von Messenger-Diensten auch bloße Nachrichtenentwürfe ausgeleitet würden, die die Ersteller tatsächlich nicht versendet hätten.

Eine Leistungsbeeinträchtigung des Systems nach einer Infiltration sei technisch möglich; insbesondere könnten infolge der Infiltration erzwungene Systemabbrüche und Neustarts zu befürchten sein. Zu bemängeln seien auch die Art und Weise der Deinstallation der Überwachungssoftware, soweit in ihr kein Tool zur automatischen Deinstallation implementiert worden sei. Eine "verwaiste" Überwachungssoftware könne Gefahren für die Datensicherheit auf dem Zielsystem begründen. Sie könne auch nach ihrer Deinstallation wieder aktiv werden, wenn ein neues Backup eingespielt werde oder der Nutzer den Trojaner versehentlich wieder installiere.

B.

Die Verfassungsbeschwerde ist nur teilweise zulässig. Der Beschwerdeführer zu 4) hat seine Verfassungsbeschwerde nicht formgerecht eingelegt (I). Im Übrigen haben die Beschwerdeführenden ihre Beschwerdebefugnis nicht durchgehend dargelegt und insbesondere die Möglichkeit einer Grundrechtsverletzung nicht in jeder Hinsicht aufgezeigt (II). Im verbleibenden Umfang genügt die Verfassungsbeschwerde den Anforderungen der Subsidiarität (III). Die Zuständigkeit des Bundesverfassungsgerichts ist gegeben (IV).

I.

Die Verfassungsbeschwerde erlaubt, soweit sie den Beschwerdeführer zu 4) betrifft, nicht die erforderliche verlässliche Zurechnung des Erklärungsinhalts zum Urheber der Erklärung (vgl. BVerfGE 15, 288 291 f.>). Der Beschwerdeschrift kann hier nicht ausreichend zuverlässig die Person entnommen werden, die die Verfassungsbeschwerde eingelegt hat. Die dafür erforderliche hinreichende Individualisierung lässt der vom Beschwerdeführer zu 4) verwendete Künstlername für sich genommen nicht zu. Solchermaßen individualisierende Umstände werden auch nicht substantiiert ausgeführt; insbesondere fehlt eine nachvollziehbare und nicht nur vage bleibende Beschreibung seines künstlerischen Werdegangs und seiner Werke, anhand derer die Figur "(…)" personalisiert werden und ihre Verkehrsgeltung für die Öffentlichkeit erkennbar sein könnte.

II.

Die Beschwerdebefugnis der übrigen Beschwerdeführenden ist nur teilweise gegeben.

Nach Art. 94 Abs. 1 Nr. 4a GG, § 90 Abs. 1 BVerfGG setzt die Zulässigkeit der Verfassungsbeschwerde unter anderem die Behauptung voraus, durch einen Akt der öffentlichen Gewalt in Grundrechten oder grundrechtsgleichen Rechten verletzt zu sein (vgl. BVerfGE 140, 42 54 Rn. 47>). Dazu müssen sowohl die Möglichkeit der Grundrechtsverletzung als auch die eigene, unmittelbare und gegenwärtige Betroffenheit den Begründungsanforderungen nach § 23 Abs. 1 Satz 2, § 92 BVerfGG entsprechend dargelegt sein. Richtet sich die Verfassungsbeschwerde gegen ein Gesetz, das Sicherheitsbehörden zu heimlichen Überwachungsmaßnahmen ermächtigt, bestehen insoweit besondere Zulässigkeitsanforderungen (näher dazu BVerfGE 165, 1 30 ff. Rn. 39 ff.> - Polizeiliche Befugnisse nach SOG MV; stRspr).

1. Danach haben die Beschwerdeführenden nicht hinreichend dargelegt, dass eine sich insbesondere aus dem IT-System-Grundrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) ergebende grundrechtliche Schutzpflicht verletzt sein könnte.

Soll eine Verfassungsbeschwerde darauf gestützt werden, dass der Gesetzgeber technische Wege, auf denen ein IT-System infiltriert werden kann, zum Schutz der IT-Sicherheit der Allgemeinheit hätte begrenzen müssen, bestehen besondere verfassungsrechtliche Darlegungsanforderungen. Erforderlich ist, den gesetzlichen Regelungszusammenhang insgesamt zu erfassen, wozu zumindest gehört, dass die einschlägigen Regelungen des als unzureichend beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum vom Versagen der gesetzgeberischen Konzeption auszugehen ist (vgl. BVerfGE 158, 170 191 f. Rn. 51> - IT-Sicherheitslücken; 162, 1 58 Rn. 111> - Bayerisches Verfassungsschutzgesetz).

Diesen Darlegungsanforderungen genügt die Verfassungsbeschwerde nicht. Sie setzt sich nicht mit dem bestehenden gesetzlichen Regelungskonzept und seinen gegebenenfalls denkbaren Defiziten im Hinblick auf die Erfüllung einer Schutzpflicht auseinander. Auf eine mögliche Auslegung der angegriffenen sowie weiterer Normen dahingehend, dass ihnen Elemente eines Regelungskonzepts für die Erfüllung einer Schutzpflicht zugewiesen werden könnten, gehen die Beschwerdeführenden nicht ein. Sie nehmen insbesondere die gesetzlichen Regelungen des anwendbaren Polizei-, Datenschutz- und Cybersicherheitsrechts zum Schutz von IT-Systemen, denen auch im vorliegenden Kontext Bedeutung zukommen könnte (vgl. auch BVerfGE 158, 170 199 Rn. 68>; BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 17. April 2023 - 1 BvR 176/23 u.a. -, Rn. 4 ff.), nicht in den Blick.

2. Die Möglichkeit einer Verletzung des IT-System-Grundrechts in seiner abwehrrechtlichen Dimension sowie des Art. 10 Abs. 1 GG durch die in § 20c PolG NRW geregelten Befugnisse wird nur zu einem Teil aufgezeigt.

a) Soweit die Beschwerdeführenden die Befugnis zur Quellen-Telekommunikationsüberwachung als verfassungswidrig rügen, haben sie - ungeachtet der konkurrenzrechtlichen Bewertung (näher Rn. 105 ff.) - einen möglichen Eingriff sowohl in das IT-System-Grundrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) als auch in das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) dargelegt.

Im Hinblick auf die angegriffene Befugnis zur Telekommunikationsüberwachung kommt dagegen nur ein Eingriff in das Fernmeldegeheimnis in Betracht. Zwar könnte das Gewicht dieses Eingriffs erhöht sein, wenn die erlaubte Überwachung nach § 20c Abs. 1 PolG NRW neben der rein zwischenmenschlichen Kommunikation auch andere Kommunikationsformen umfasste. Die Beschwerdeführenden haben aber nicht aufgezeigt, dass eine herkömmliche Telekommunikationsüberwachung allein wegen ihres deshalb möglicherweise erhöhten Eingriffsgewichts vom Schutzbereich des IT-System-Grundrechts (näher Rn. 96 ff.) erfasst sein könnte. Ungeachtet dessen ist nicht dargetan, dass eine Telekommunikationsüberwachung, die ersichtlich nicht mit einem Zugriff auf ein IT-System (vgl. dazu BVerfGE 120, 274 313 ff.>) verbunden ist, das IT-System-Grundrecht verletzen könnte.

b) Die Beschwerdeführenden haben die Möglichkeit einer Grundrechtsverletzung aufgezeigt, soweit sie einen zur Rechtfertigung einer Telekommunikations- und Quellen-Telekommunikationsüberwachung nicht hinreichenden Rechtsgüterschutz in § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW rügen. Im Übrigen genügt ihr Vortrag nicht den Darlegungsanforderungen.

aa) Soweit die Beschwerdeführenden rügen, § 20c Abs. 1 Satz 1 Halbsatz 1 PolG NRW werde im Hinblick auf eine nur vage Rechtsfolgenanordnung, § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW aufgrund einer schlichten Übernahme von Formulierungen aus bundesverfassungsgerichtlichen Entscheidungen in den Normtext und § 8 Abs. 4 Halbsatz 2 PolG NRW den verfassungsrechtlichen Anforderungen des Gebots der Bestimmtheit und Normenklarheit sowie der Wesentlichkeitslehre nicht gerecht, genügt ihr Vortrag nicht den Darlegungsanforderungen. Es fehlt bereits der Versuch, ausgehend von den einschlägigen verfassungsrechtlichen Maßstäben den Regelungsgehalt der Vorschriften durch Auslegung zu ermitteln (vgl. etwa zu dem mit § 8 Abs. 4 PolG NRW teilweise wortgleich formulierten § 4a Abs. 1 Satz 2 BKAG a.F. BVerfGE 141, 220 245 Rn. 23, 288 Rn. 156, 331 f. Rn. 297 ff.> - Bundeskriminalamtgesetz I). Auch ein mögliches verfassungsrechtliches Verbot für den Gesetzgeber, Formulierungen verfassungsgerichtlicher Entscheidungen in den Gesetzestext zu überführen, haben die Beschwerdeführenden nicht ansatzweise hergeleitet; es dürfte auch fernliegen.

bb) Die Beschwerdeführenden haben auch nicht substantiiert dargelegt, dass die Befugnis zur Quellen-Telekommunikationsüberwachung in sich widersprüchlich und schon deshalb verfassungswidrig sein könnte. Zwar darf eine Norm aus Gründen der Rechtsstaatlichkeit nicht in sich widersprüchlich sein und so Anreize für eine tatbestandlich nicht gedeckte Anwendung setzen. Dass dies aber im Hinblick auf die nach § 20c Abs. 1 in Verbindung mit § 20c Abs. 2 PolG NRW erlaubte Überwachung der laufenden Telekommunikation unter der Voraussetzung, dass dies auch technisch sichergestellt sein muss (vgl. § 20c Abs. 2 Nr. 1 PolG NRW), deshalb der Fall sein könnte, weil eine solche technische Beschränkung auf die laufende Telekommunikation ausgeschlossen wäre (vgl. dazu BVerfGE 141, 220 311 Rn. 234>), haben die Beschwerdeführenden nicht aufgezeigt.

Sie haben schon nicht hinreichend klar danach differenziert, inwieweit es für die Frage der Beschränkbarkeit auf den möglichen Datenzugriff durch die eingesetzte Überwachungssoftware als solche oder auf die Sichtbarkeit der Telekommunikation für die Überwachungspersonen ankommt. Dies wäre aber erforderlich gewesen. Denn nach der Rechtsprechung des Bundesverfassungsgerichts ist es maßgeblich, ob die Überwachungssoftware so konfiguriert ist, dass sie den mit der Überwachung betrauten Mitarbeiterinnen und Mitarbeitern inhaltlich eine ausschließlich auf die laufenden Kommunikationsinhalte begrenzte Kenntnisnahme ermöglicht (vgl. dazu BVerfGE 141, 220 311 f. Rn. 234>; vgl. auch Graulich, in: Lisken/Denninger, Handbuch des Polizeirechts, 7. Aufl. 2021, Teil E Rn. 785; Naumann, in: Barczak, BKA-Gesetz, 2023, § 51 Rn. 34; vgl. dazu auch BVerfGE 154, 152 211 Rn. 75>). Zwar haben die Beschwerdeführenden durchaus auch auf diese Rechtsprechung Bezug genommen. Sie setzen sich mit ihr aber nicht weiter auseinander und begründen die behauptete fehlende technische Beschränkbarkeit letztlich ohne erkennbare Differenzierung oder nehmen allein die Beschränkbarkeit der Überwachungssoftware als solche in den Blick.

Auch die Bezugnahme auf Gutachten und Äußerungen Dritter, die die Einhaltbarkeit der Vorgaben nach § 20c Abs. 2 Nr. 1 PolG NRW hinterfragen, verhilft der Rüge nicht zur Zulässigkeit. Ungeachtet dessen, dass auch insoweit überwiegend nicht erkennbar auf die Ermöglichung einer Kenntnisnahme durch die Überwachungspersonen abgestellt wird, werden die in Bezug genommenen Gutachten weder ihrem wesentlichen Inhalt nach mitgeteilt noch der Verfassungsbeschwerde beigefügt. Andere - hier als Experten in Bezug genommene - Personen machen unabhängig davon, dass die Beschwerdeführenden deren Sach- und Fachkunde nicht belegen, lediglich darauf aufmerksam, dass eine Beschränkung auf die laufende Telekommunikation problematisch oder praktisch kaum möglich sei. Wieder andere Expertenmeinungen stammen aus dem Jahr 2016 (vgl. dazu BVerfGE 141, 220 311 Rn. 234>), ohne dass die Beschwerdeführenden berücksichtigen, dass die nötigen technischen Voraussetzungen zwischenzeitlich gleichwohl geschaffen worden sein könnten. Letztlich haben die Beschwerdeführenden daher nicht hinreichend dargelegt, dass die Einhaltung der Vorgabe nach § 20c Abs. 2 Nr. 1 PolG NRW ausgeschlossen ist.

cc) Die Möglichkeit einer Grundrechtsverletzung ist hinreichend dargelegt, soweit die Beschwerdeführenden rügen, einzelne der in § 20c Abs. 1 Satz 1 Nr. 2, Abs. 2 PolG NRW über den Verweis auf § 8 Abs. 4 PolG NRW bestimmten terroristischen Straftatbestände schützten keine hinreichend gewichtigen Rechtsgüter.

dd) Im Hinblick auf die Rüge, die angegriffenen Befugnisse seien unverhältnismäßig, weil die Überwachung Dritter nach § 20c Abs. 1 Satz 1 Nummern 3 und 4 PolG NRW nicht von einer erhöhten Erfolgswahrscheinlichkeit abhängig und nicht subsidiär ausgestaltet sei, haben die Beschwerdeführenden versäumt, sich mit der Möglichkeit einer verfassungskonformen Auslegung zu befassen. Zwar haben sie zu Recht darauf hingewiesen, dass heimliche Überwachungsmaßnahmen gegen Personen, die für eine Gefahr nicht verantwortlich sind, strengen Verhältnismäßigkeitsanforderungen unterliegen. Erforderlich ist eine spezifische individuelle Nähe eines Betroffenen zu der aufzuklärenden Gefahr oder Straftat (vgl. BVerfGE 141, 220 274 f. Rn. 116>; 169, 332 377 Rn. 109> - Bundeskriminalamtgesetz II), weshalb es zusätzlicher Anhaltspunkte dafür bedarf, dass der Kontakt einen Bezug zum Ermittlungsziel aufweist und so eine nicht unerhebliche Wahrscheinlichkeit besteht, dass die Überwachungsmaßnahme für die Aufklärung der Gefahr dienlich sein wird (vgl. BVerfGE 141, 220 274 f. Rn. 116>). Die Beschwerdeführenden haben aber nicht aufgezeigt, dass § 20c Abs. 1 Satz 1 Nummern 3 und 4 PolG NRW keiner entsprechenden Auslegung zugänglich wären und dass auf deren Grundlage keine entsprechenden grundrechtlichen Sicherungen angenommen werden könnten (vgl. zu § 20l Abs. 1 Satz 1 Nummern 3 und 4 BKAG a.F. BVerfGE 141, 220 310 f. Rn. 233>). Soweit die Beschwerdeführenden darüber hinaus rügen, Maßnahmen nach § 20c Abs. 1 Satz 1 Nummern 3 und 4 PolG NRW seien auf solche Fälle zu begrenzen, in denen die Überwachung der Zielperson nicht ausreiche, zeigen sie nicht auf, dass die Subsidiaritätsklausel in § 20c Abs. 1 Satz 1 Halbsatz 2 PolG NRW, wonach "die Abwehr der Gefahr oder Verhütung der Straftaten auf andere Weise aussichtslos oder wesentlich erschwert" sein muss, insoweit keine Anwendung finden könnte.

Eine hinreichende Begründung fehlt schließlich auch, soweit die Beschwerdeführenden in § 20c Abs. 2 PolG NRW eine Differenzierung im Normtext dazu vermissen, ob es sich bei dem infiltrierten IT-System um das eigene der Zielperson oder das von ihr mitbenutzte eines Dritten handelt. Es fehlt bereits an einer Auseinandersetzung mit dem einfachen Recht. Denn § 20c Abs. 2 PolG NRW knüpft an die Voraussetzungen des ersten Absatzes an (vgl. auch Lottkus, in: Möstl/Kugelmann, BeckOK Polizei- und Ordnungsrecht Nordrhein-Westfalen, PolG NRW § 20c Rn. 38 <Februar 2025>), mithin auch an die Subsidiaritätsklausel in § 20c Abs. 1 Satz 1 Halbsatz 2 PolG NRW. Auch haben sich die Beschwerdeführenden nicht damit auseinandergesetzt, dass § 20c Abs. 1 Satz 1 Nr. 4 PolG NRW gerade den Fall regelt, in dem das von einer Person nach § 20c Abs. 1 Satz 1 Nr. 1 PolG NRW genutzte Endgerät eines Dritten überwacht wird.

ee) Die Beschwerdeführenden haben schließlich nicht dargelegt, dass die angegriffenen Befugnisse in den absolut geschützten Kernbereich privater Lebensgestaltung eingreifen könnten. Sie zeigen nicht auf, dass § 20c Absätze 1 und 2 PolG NRW nicht den besonderen Anforderungen genügen könnten, die sich aus den jeweiligen Grundrechten in Verbindung mit Art. 1 Abs. 1 GG für die Durchführung von besonders eingriffsintensiven Überwachungsmaßnahmen an den Schutz des Kernbereichs privater Lebensgestaltung ergeben (vgl. insoweit BVerfGE 141, 220 276 Rn. 119>). Entsprechendes gilt, soweit sie Art. 1 Abs. 1 GG isoliert rügen.

(1) Es fehlt bereits eine Auseinandersetzung mit den verfassungsrechtlichen Maßstäben zum Schutz dieses Kernbereichs. Soweit dieser einer freien, seine Bedeutung relativierenden Abwägung mit staatlichen Sicherheitsinteressen nicht zugänglich ist, haben die Beschwerdeführenden nicht berücksichtigt, dass nicht jede tatsächliche Erhebung von höchstpersönlichen Informationen stets eine Menschenwürdeverletzung begründet. Absolut ausgeschlossen ist es zwar, den Kernbereich zum Ziel staatlicher Ermittlungen zu machen und diesbezügliche Informationen in irgendeiner Weise zu verwerten oder sonst zur Grundlage weiterer Ermittlungen zu machen (vgl. BVerfGE 141, 220 278 Rn. 125>). Im Übrigen aber ist auf der Erhebungsebene ein Eindringen in den Kernbereich grundsätzlich nur insoweit zu vermeiden, als dies mit praktisch zu bewältigendem Aufwand möglich ist (vgl. BVerfGE 141, 220 279 Rn. 128>; 165, 1 61 Rn. 111>; stRspr); erst auf der Verwertungsebene sind die Folgen einer dennoch erfolgten Erhebung strikt zu minimieren (vgl. BVerfGE 141, 220 278 f. Rn. 124, 126>).

(2) Dass die in § 20c Abs. 8 PolG NRW zum Schutz des Kernbereichs getroffenen Regelungen auf Erhebungs- und Verwertungsebene dem nicht genügen könnten, haben die Beschwerdeführenden nicht aufgezeigt. Soweit sie den in § 20c Abs. 8 Satz 1 PolG NRW geregelten Erhebungsschutz als unzureichend rügen, wonach eine Überwachung unterbleiben muss, wenn angenommen werden kann, dass "allein" kernbereichsrelevante Inhalte erlangt werden, haben sie nicht hinreichend dargelegt, dass die bisherigen verfassungsrechtlichen Anforderungen an den Kernbereichsschutz (vgl. dazu BVerfGE 141, 220 314 f. Rn. 243 ff.>) dahingehend verschärft werden müssten, dass eine Maßnahme nur dann zulässig sein könnte, wenn - wie etwa bei einer Wohnraumüberwachung (vgl. BVerfGE 162, 1 137 Rn. 305>) -eine Negativprognose ergibt, dass keine kernbereichsrelevanten Inhalte erfasst werden. Es fehlt schon eine Auseinandersetzung damit, dass die verfassungsrechtlichen Anforderungen an den Kernbereichsschutz im Hinblick auf verschiedene Überwachungsmaßnahmen unterschiedlich ausfallen können (vgl. dazu BVerfGE 141, 220 279 Rn. 127>) und der Schutz abhängig von dem spezifischen Charakter einer bestimmten Maßnahme auch zu einem großen Teil von der Erhebungsebene auf die nachgelagerte Aus- und Verwertungsebene verschoben sein kann (vgl. BVerfGE 141, 220 306 f. Rn. 218 f.>; 162, 1 129 f. Rn. 284>; vgl. etwa zur Online-Durchsuchung BVerfGE 141, 220 307 f. Rn. 222>; 162, 1 141 Rn. 314>). Die Beschwerdeführenden hätten insoweit konkret darzulegen gehabt, inwieweit unter Berücksichtigung des spezifischen Charakters einer Telekommunikations- und Quellen-Telekommunikationsüberwachung eine Verschärfung des auf Erhebungsebene bestehenden Kernbereichsschutzes geboten sein könnte. Eine solche Darlegung ist nicht erfolgt.

Soweit die Beschwerdeführenden das Fehlen einer gesetzlichen Regelung rügen, nach der auf Erhebungsebene informationstechnische Vorkehrungen dafür getroffen werden müssten, dass höchstvertrauliche Informationen aufgespürt und isoliert werden könnten (vgl. zur Online-Durchsuchung BVerfGE 141, 220 307 Rn. 219>), bleibt schon offen, weshalb dies von Verfassungs wegen geboten sein könnte, obgleich solche Sicherungen nach Auffassung der Beschwerdeführenden gerade nicht zur Verfügung stehen. In Bezug auf die weiteren Rügen einer stets vorzusehenden unabhängigen Sichtung aller ausgeleiteten Daten und erforderlicher weiterreichender Protokollierungspflichten fehlt es an einer hinreichenden verfassungsrechtlichen Argumentation unter Berücksichtigung auch des einschlägigen Fachrechts.

ff) Soweit die Beschwerdeführenden schließlich für die Quellen-Telekommunikationsüberwachung neben dem in § 20c Abs. 4 Satz 1 PolG NRW vorgesehenen Richtervorbehalt die "Benennung einer unabhängigen Stelle" für erforderlich erachten, um die technischen Vorgaben und damit insbesondere die nach § 20c Abs. 2 Nr. 1 PolG NRW vorausgesetzte Sicherstellung der Beschränkung der Überwachung auf die laufende Kommunikation eingehend zu prüfen, haben sie eine Grundrechtsverletzung nicht aufgezeigt.

Es ist bereits zweifelhaft, ob die Beschwerdeführenden eine entsprechende Rüge unter dem Gesichtspunkt eines unverhältnismäßigen oder sonst nicht gerechtfertigten Grundrechtseingriffs (vgl. dazu BVerfGE 141, 220 275 Rn. 117>) überhaupt erheben. Denn ihre Ausführungen zu einer insoweit nicht hinreichenden Vorabkontrolle erfolgen lediglich, um zu begründen, warum zum einen die Befugnis zur Quellen-Telekommunikationsüberwachung in sich widersprüchlich und zum anderen der Schutzbereich des IT-System-Grundrechts eröffnet sein soll (dazu Rn. 27). Jedenfalls aber fehlt es an einer selbstständig tragenden verfassungsrechtlichen Herleitung einer neben dem gesetzlich vorgesehenen Richtervorbehalt (vgl. § 20c Abs. 4 Satz 1 PolG NRW) erforderlichen unabhängigen Vorabkontrolle zur Prüfung insbesondere der Voraussetzungen des § 20c Abs. 2 Nr. 1 PolG NRW. Die Beschwerdeführenden haben insoweit nicht nur versäumt, sich mit den verfassungsgerichtlichen Maßstäben zu Erfordernis, Umfang und Ausgestaltung einer unabhängigen Vorabkontrolle (vgl. BVerfGE 120, 274 332>; 165, 1 80 Rn. 149>) auseinanderzusetzen. Sie haben auch nicht aufgezeigt, ob und inwieweit insbesondere die durch technische Maßnahmen sicherzustellende Beschränkung der Überwachung auf laufende Telekommunikation - obgleich der Anwendungsebene zuzurechnen (vgl. BVerfGE 141, 220 311 Rn. 234>) - etwa als Eingriffsvoraussetzung (vgl. dazu BVerfGE 125, 260 338>; 162, 1 157 Rn. 348>) von Verfassungs wegen der unabhängigen Vorabkontrolle unterliegt. Soweit sie schließlich eine effektive Prüfung durch den in § 20c Abs. 4 Satz 1 PolG NRW vorgesehenen Richtervorbehalt nicht gewährleistet sehen, haben sie sich nicht damit auseinandergesetzt, dass es Aufgabe und Pflicht des anordnenden Gerichts ist, sich eigenverantwortlich ein Urteil darüber zu bilden, ob die beantragte Überwachungsmaßnahme den gesetzlichen Voraussetzungen entspricht (vgl. BVerfGE 109, 279 359>; 141, 220 275 Rn. 118>).

3. Die Beschwerdeführenden zu 1), 2), 5) und 6) haben ihre Betroffenheit in unterschiedlichem Umfang dargelegt. Die Darlegungen des Beschwerdeführers zu 3) sind hingegen unzureichend.

a) Alle Beschwerdeführenden sind von Maßnahmen nach § 20c PolG NRW im verfassungsprozessrechtlichen Sinne unmittelbar betroffen. Die Regelungen ermöglichen heimliche Überwachungsmaßnahmen und die in § 33 Abs. 1 Nr. 7 PolG NRW vorgesehenen Benachrichtigungspflichten wirken dieser Heimlichkeit nur teilweise entgegen. Denn § 33 Absätze 2 und 3 PolG NRW schränken die Benachrichtigungspflicht ein oder lassen sie völlig entfallen. Selbst ein möglicher Auskunftsanspruch nach § 35 Abs. 1 Satz 1 Nr. 1, § 49 des Datenschutzgesetzes Nordrhein-Westfalen (DSG NRW) unterliegt weitgehenden Einschränkungen (vgl. § 49 Abs. 4, § 48 Abs. 2 DSG NRW).

b) Ihre eigene und gegenwärtige Betroffenheit haben der Beschwerdeführer zu 3) nicht, die übrigen Beschwerdeführenden nur teilweise dargelegt.

aa) Die Möglichkeit der eigenen und gegenwärtigen Betroffenheit ist näher zu begründen. Soweit die Beschwerdeführenden eine Betroffenheit als Zielperson geltend machen, bedarf es hier näherer Darlegungen, warum für sie aufgrund besonderer persönlicher Umstände eine hinreichende Wahrscheinlichkeit für eine Überwachung besteht, die zielgerichtet auf ihre Person ausgelegt sein könnte. Denn insoweit ist die Streubreite der angegriffenen Überwachungsbefugnisse gering, da insbesondere durch die Begrenzung auf bestimmte Eingriffsschwellen und zu schützende Rechtsgüter ein deutlicher Einzelfallbezug verlangt wird und zudem ein Richtervorbehalt besteht. Eine Betroffenheit als Dritter kann hingegen an geringere Darlegungslasten geknüpft sein. Insoweit ist die Streubreite der hier angegriffenen Befugnisse nicht in gleichem Maße beschränkt, da auch solche Personen in eine Überwachung der Telekommunikation einbezogen werden können, die mit potenziellen Zielpersonen lediglich elektronisch kommunizieren, ohne selbst in einer unmittelbaren Beziehung zu einer möglicherweise abzuwehrenden Gefahr oder zu verhütenden Straftat zu stehen (vgl. BVerfGE 113, 348 383>; 141, 220 262 Rn. 84>; vgl. auch BVerfGE 165, 1 32 Rn. 44, 39 f. Rn. 63>; 169, 332 360 Rn. 66>).

bb) Danach hat die Beschwerdeführerin zu 1) ihre Betroffenheit als mögliche Zielperson nach § 20c Abs. 1 Satz 1 Nummern 2 und 4, § 20c Abs. 1 Satz 1 Nummern 2 und 4 in Verbindung mit § 20c Abs. 2 PolG NRW sowie als Dritte im Sinne von § 20c Abs. 1 Satz 2 PolG NRW hinreichend dargelegt. Die Beschwerdeführerinnen zu 2) und zu 6) haben eine Betroffenheit als potentielle Zielperson nach § 20c Abs. 1 Satz 1 Nummern 1 und 2 und § 20c Abs. 1 Satz 1 Nummern 1 und 2 in Verbindung mit § 20c Abs. 2 PolG NRW aufgezeigt; die Beschwerdeführerin zu 6) macht zudem eine mögliche Betroffenheit als Dritte im Sinne von § 20c Abs. 1 Satz 2 PolG NRW verfahrensgerecht geltend. Die Beschwerdeführerin zu 5) hat dagegen nur eine Betroffenheit als Dritte aufgezeigt. Zu einer darüber hinausgehenden Betroffenheit als Zielperson nach § 20c Abs. 1 Satz 1 Nr. 4 PolG NRW fehlt hingegen bei den Beschwerdeführerinnen zu 2), 5) und 6) und nach § 20c Abs. 1 Satz 1 Nr. 3 PolG NRW bei sämtlichen Beschwerdeführerinnen jeglicher konkret auf ihre Person bezogener Vortrag.

Der Beschwerdeführer zu 3) hat eine Betroffenheit weder als Zielperson noch als Dritter dargetan. Seine vagen Angaben, Autor "anarchistischer Aufsätze" und in "linkspolitischen Projekten und Einrichtungen aktiv" zu sein, lassen nicht erkennen, dass er mit einiger Wahrscheinlichkeit von präventiven Maßnahmen nach den hier angegriffenen Regelungen betroffen sein könnte; dies gilt auch für seine (bloße) Mitgliedschaft in einem vom Verfassungsschutz beobachteten Verein. Schließlich bilden auch die in der Vergangenheit liegenden "Polizeikontakte" im Zusammenhang mit seiner Beteiligung an Demonstrationen und Aktionen mangels jedweder Konkretisierung keine Grundlage für die Annahme, er könnte künftig präventive Überwachungsmaßnahmen nach § 20c PolG NRW zu befürchten haben. Auch die Ausführungen zu seinem Umfeld verbleiben derart oberflächlich, dass sie keinen Schluss auf seine mögliche Einbeziehung in gegen Andere gerichtete Überwachungsmaßnahmen zulassen (vgl. insoweit auch BVerfGE 165, 1 39 f. Rn. 63>).

III.

Soweit die Beschwerdeführenden beschwerdebefugt sind, sind die sich aus der Subsidiarität der Verfassungsbeschwerde ergebenden Anforderungen gewahrt.

1. Über das Erfordernis der Rechtswegerschöpfung im engeren Sinne hinaus sind Beschwerdeführende aus Gründen der Subsidiarität der Verfassungsbeschwerde gehalten, vor ihrer Erhebung alle Mittel zu nutzen, die der geltend gemachten Grundrechtsverletzung abhelfen könnten. Damit soll auch erreicht werden, dass das Bundesverfassungsgericht nicht auf ungesicherter Tatsachen- und Rechtsgrundlage weitreichende Entscheidungen treffen muss, sondern zunächst die für die Auslegung und Anwendung des einfachen Rechts primär zuständigen Fachgerichte die Sach- und Rechtslage aufgearbeitet haben. Die Subsidiarität erfordert deshalb grundsätzlich, vor Einlegung einer Verfassungsbeschwerde alle zur Verfügung stehenden prozessualen Möglichkeiten zu ergreifen, um eine Korrektur der geltend gemachten Verfassungsverletzung zu erwirken oder eine Grundrechtsverletzung zu verhindern. Das gilt auch, wenn zweifelhaft ist, ob ein entsprechender Rechtsbehelf nach dem jeweiligen Fachrecht statthaft ist und im konkreten Fall in zulässiger Weise eingelegt werden kann (vgl. BVerfGE 150, 309 326 Rn. 43>; 165, 1 32 f. Rn. 45>; 169, 130 155 f. Rn. 40> - Hessisches Verfassungsschutzgesetz; stRspr).

Wenn sich Beschwerdeführende unmittelbar gegen ein Gesetz wenden, kann daher auch die Erhebung einer Feststellungs- oder Unterlassungsklage zu den zuvor zu ergreifenden Rechtsbehelfen gehören. Das ist selbst dann nicht ausgeschlossen, wenn die als verfassungswidrig beanstandeten Vorschriften abschließend gefasst sind und die fachgerichtliche Prüfung günstigstenfalls zu einer Vorlage gemäß Art. 100 Abs. 1 GG führen kann. Ausschlaggebend ist selbst dann, ob die fachgerichtliche Vorabbefassung erforderlich ist, um zu vermeiden, dass das Bundesverfassungsgericht seine Entscheidungen auf ungesicherter Tatsachen- und Rechtsgrundlage treffen müsste. Ein solcher Fall wird in der Regel gegeben sein, wenn die angegriffenen Vorschriften Rechtsbegriffe enthalten, von deren Auslegung und Anwendung es maßgeblich abhängt, inwieweit Beschwerdeführende durch die angegriffenen Vorschriften tatsächlich und rechtlich beschwert sind (BVerfGE 169, 130 156 Rn. 41>). Wirft die Beurteilung einer Norm hingegen allein spezifisch verfassungsrechtliche Fragen auf, deren Beantwortung dem Bundesverfassungsgericht vorbehalten ist, ohne dass von einer vorausgegangenen fachgerichtlichen Prüfung verbesserte Entscheidungsgrundlagen zu erwarten wären, bedarf es einer vorangehenden fachgerichtlichen Entscheidung nicht (vgl. BVerfGE 165, 1 33 Rn. 47>; stRspr).

2. Danach sind die Beschwerdeführenden nicht zunächst auf fachgerichtlichen Rechtsschutz zu verweisen.

Es ist schon nicht erkennbar, dass sie die fachgerichtlichen Anforderungen an die Zulässigkeit vorbeugenden gerichtlichen Rechtsschutzes gegen heimliche Überwachungsmaßnahmen (vgl. BVerwGE 149, 359 364 Rn. 19 ff.>; 157, 8 9 ff. Rn. 11 ff.>; 161, 76 77 f. Rn. 12 ff.>; 177, 327 335 ff. Rn. 21 ff.>; BVerwG, Urteil vom 9. November 2023 - 10 A 3.23 -, Rn. 13 m.w.N.) erfüllen könnten (vgl. auch BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 - 1 BvR 1743/16 u.a. -, Rn. 128 - BND - Cybergefahren).

Jedenfalls sind die sich hier stellenden Fragen spezifisch verfassungsrechtlich. Die Abgrenzung der Schutzbereiche verschiedener grundrechtlicher Gewährleistungen, anhand derer sich die verfassungsrechtliche Überprüfung vollziehen könnte, und die im Lichte der bisherigen bundesverfassungsgerichtlichen Rechtsprechung angezeigte Verhältnismäßigkeitsprüfung betreffen spezifische Verfassungsfragen. Die Grundlagen für deren Beantwortung würden durch eine fachgerichtliche Vorabbefassung nicht verbessert.

IV.

Das Bundesverfassungsgericht ist für die Prüfung der Vereinbarkeit der angegriffenen Normen mit den Grundrechten des Grundgesetzes zuständig, obwohl diese Normen auch Bezüge zu datenschutzrechtlichen Bestimmungen in Rechtsakten der Europäischen Union wie der JI-Richtlinie (Richtlinie <EU> 2016/680) haben. Es handelt sich jedenfalls nicht um die Umsetzung zwingenden Unionsrechts, denn Rechtsakte der Europäischen Union enthalten keine Bestimmungen, die die hier angegriffenen Überwachungsbefugnisse der Polizeibehörden erforderten oder gar abschließend regelten; die Befugnisse sind nicht vollständig unionsrechtlich determiniert (vgl. auch BVerfGE 155, 119 162 ff. Rn. 83 ff.> - Bestandsdatenauskunft II; 165, 1 29 Rn. 35>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 57 f. - PolG NRW - Observation). Unberührt hiervon bleibt die Frage, ob sich weitere rechtliche Anforderungen unmittelbar aus dem Sekundärrecht der Europäischen Union ergeben und ob die angegriffenen Regelungen mit diesen vereinbar sind (vgl. BVerfGE 155, 119 165 Rn. 88> m.w.N.).

C.

Die Verfassungsbeschwerde ist, soweit sie zulässig ist, nicht begründet. Die angegriffenen Überwachungsbefugnisse in § 20c Abs. 1 Satz 1 Nr. 2 und § 20c Abs. 1 Satz 1 Nr. 2 in Verbindung mit § 20c Abs. 2 PolG NRW greifen zwar in die Grundrechte der Beschwerdeführenden ein (I). Die Eingriffe sind jedoch verfassungsrechtlich gerechtfertigt; insbesondere genügen sie den Anforderungen der Verhältnismäßigkeit (II).

I.

§ 20c PolG NRW begründet Eingriffe in das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG sowie - im Hinblick auf die Quellen-Telekommunikationsüberwachung - auch in das IT-System-Grundrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.

1. Die Befugnis zur Telekommunikationsüberwachung nach § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW greift in Art. 10 Abs. 1 GG (Fernmeldegeheimnis/Telekommunikationsgeheimnis) ein.

a) Das Fernmeldegeheimnis schützt die unkörperliche Übermittlung von Informationen mit Hilfe des Telekommunikationsverkehrs (vgl. BVerfGE 67, 157 172>; 106, 28 35 f.>). Staatliche Stellen sollen sich grundsätzlich keine Kenntnis von Inhalt und Umständen der über Telekommunikationsanlagen abgewickelten Kommunikationen verschaffen können (vgl. BVerfGE 113, 348 364>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 - 1 BvR 1743/16 u.a. -, Rn. 135). Da eine Kommunikation über Distanz auf einen technischen Übermittlungsvorgang angewiesen ist, der nicht im ausschließlichen Einflussbereich Betroffener liegt, ist sie in besonderer Weise der Gefahr einer Kenntnisnahme durch Dritte ausgesetzt. Art. 10 Abs. 1 GG schützt vor den spezifischen Gefahren, die mit einer räumlich distanzierten Kommunikation einhergehen, und gewährleistet insoweit eine Privatheit auf Distanz (vgl. BVerfGE 106, 28 36>; 115, 166 182>); dies umfasst auch den kommunikationsbezogenen Zugriff auf ein Endgerät (vgl. BVerfGE 106, 28 37 f.>; 115, 166 186 f.>). Damit will das Grundrecht zugleich die Bedingungen einer freien Telekommunikation aufrechterhalten (vgl. BVerfGE 100, 313 358 f.>; 107, 299 313>; 129, 208 241>).

aa) Der sachliche Schutzbereich des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG umfasst zuvörderst den Kommunikationsinhalt. Einen Unterschied zwischen Kommunikationen privaten und anderen, etwa geschäftlichen oder politischen, Inhalts macht Art. 10 GG dabei nicht. Der Grundrechtsschutz bezieht sich vielmehr auf alle mittels der Telekommunikationstechnik ausgetauschten Kommunikationen (vgl. BVerfGE 100, 313 358>; 113, 348 364>; 124, 43 54>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 - 1 BvR 1743/16 u.a. -, Rn. 136). Geschützt sind auch die Kommunikationsumstände. Dazu gehört insbesondere, ob, wann und wie oft zwischen welchen Personen und Fernmeldeanschlüssen Telekommunikationsverkehr stattgefunden hat oder versucht worden ist (vgl. BVerfGE 67, 157 172>; 120, 274 307>; 129, 208 240 f.>; 155, 119 168 Rn. 98>; stRspr). Der Schutz des Art. 10 Abs. 1 GG ist schließlich auch unabhängig davon, welche Übermittlungsart und welche Ausdrucksform genutzt werden (vgl. BVerfGE 115, 166 182 f.>; 120, 274 307>). Nicht vom Grundrechtsschutz erfasst werden dagegen die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich des Betroffenen - also nach Abschluss der Übertragung - gespeicherten Inhalte und Umstände der Kommunikation, weil hinsichtlich solcher Daten die spezifischen Gefahren der räumlich distanzierten Kommunikation, die durch das Fernmeldegeheimnis abgewehrt werden sollen, nicht fortbestehen (vgl. BVerfGE 115, 166 183 f.>; 120, 274 307 f.>; 124, 43 54>).

bb) Das Grundrecht aus Art. 10 Abs. 1 GG ist entwicklungsoffen. Es erfasst die bei Entstehung des Grundgesetzes bekannten Arten der Nachrichtenübertragung wie auch neuartige Übertragungstechniken (vgl. BVerfGE 115, 166 182>; vgl. auch BVerfGE 46, 120 143 f.>). Auch begegnet es nicht nur alten Persönlichkeitsgefährdungen, sondern auch neuen Gefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben (vgl. BVerfGE 120, 274 307>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 - 1 BvR 1743/16 u.a. -, Rn. 135). Der Schutz des Grundrechts erstreckt sich deshalb etwa auch auf Kommunikationsdienste des Internets (vgl. BVerfGE 120, 274 307>; 124, 43 54>).

Ob und inwieweit Art. 10 Abs. 1 GG einzelnen Grundrechtsträgern vor neuen Gefährdungen Schutz bietet, ist mit Blick auf den Zweck der Freiheitsverbürgung unter Berücksichtigung der spezifischen Gefährdungslage zu bestimmen (vgl. auch BVerfGE 106, 28 38>; 115, 166 186 f.>; 124, 43 56>). Maßgeblich ist dabei, dass das Fernmeldegeheimnis einen Ausgleich für den technisch bedingten Verlust an Beherrschbarkeit der Privatsphäre schafft, der für über Distanz transportierte Daten insbesondere bei Nutzung von Übertragungsmedien Dritter zwangsläufig entsteht (vgl. BVerfGE 115, 166 186>). Das Fernmeldegeheimnis knüpft daher an die Verwendung eines Übertragungsmediums und die damit verbundene spezifische Gefährdungslage an (vgl. auch BVerfGE 106, 28 43>; 124, 43 54 f.>); die Nutzung eines Kommunikationsmediums soll in allem vertraulich möglich sein (vgl. BVerfGE 100, 313 358>; 129, 208 241>).

Vom Fernmeldegeheimnis geschützt wird daher seit jeher die individuelle Fernkommunikation mittels einer Telekommunikationseinrichtung, also die Übermittlung von Informationen an individuelle Empfänger (vgl. BVerfGE 115, 166 182>; 120, 274 306 f.>; 124, 43 54>; 125, 260 309>; 130, 151 179>; 155, 119 168 Rn. 98>). Die spezifische durch Art. 10 Abs. 1 GG geschützte Gefährdungslage (vgl. BVerfGE 106, 28 43>) realisiert sich aber nicht nur bei einer Fernkommunikation zwischen zwei oder mehreren Menschen. Im Lichte seiner Entwicklungsoffenheit (vgl. BVerfGE 115, 166 182>) begegnet das Grundrecht auch neuen Gefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben, und erfasst insoweit grundsätzlich auch andere mithilfe von Telekommunikationstechniken über Distanz transportierte Daten (vgl. BVerfGE 154, 152 181 Rn. 10, 227 f. Rn. 111, 229 Rn. 114>; Sieber/Nolde, Sperrverfügungen im Internet, 2008, S. 81; Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 104 f., 107 f.>; Marosi/Skobel, DÖV 2018, S. 837 838 f.>; Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 67 ff.). So kann sich die grundrechtstypische Gefährdungslage etwa beim Surfen im Internet (vgl. zum Aufrufen einer Webseite im World Wide Web BVerfGE 120, 274 340>; vgl. auch BVerfGE 125, 260 311>; BVerfG, Beschluss der 3. Kammer des Zweiten Senats vom 6. Juli 2016 - 2 BvR 1454/13 -, Rn. 30, 37) oder dem Abruf von E-Mails (vgl. BVerfGE 124, 43 54 ff.>; vgl. zu Art. 8 EMRK: EGMR, Copland v. The United Kingdom, Urteil vom 3. April 2007, Nr. 62617/00, § 41 f.) realisieren, aber auch beim Hoch- und Herunterladen von Daten über das Internet (Up- und Downloads) und insbesondere bei einem Datenaustausch mit Dienstleistungen, die über das Internet zur Verfügung gestellt werden (sog. Cloud Services inklusive Software-as-a-Service-Dienstleistungen; vgl. Rückert, a.a.O., S. 72; vgl. auch Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 109>; a.A. Gusy, in: Huber/Voßkuhle, Grundgesetz, 8. Aufl. 2024, Art. 10 Rn. 63 m.w.N.; Pagenkopf, in: Sachs, Grundgesetz, 10. Aufl. 2024, Art. 10 Rn. 14b). Denn auch insoweit sind Grundrechtsträger schutzbedürftig, da sie auf eine für sie nicht beherrschbare und dem möglichen Zugriff Dritter ausgesetzte Übermittlung von potentiell persönlichkeitsrelevanten Daten auf Distanz angewiesen sind, gleichzeitig aber eine berechtigte Vertraulichkeitserwartung hinsichtlich der kommunizierten Inhalte und Umstände des Datentransports haben (vgl. Singelnstein, NStZ 2012, S. 593 595>). Von daher ist die Erfassung der Rohdatenströme von Telekommunikationsverkehren vom Schutzbereich des Art. 10 Abs. 1 GG umfasst (vgl. BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 - 1 BvR 1743/16 u.a. -, Rn. 141 f.); dies gilt insoweit etwa auch für automatisch abgesetzte Lokalisationsdaten eingeschalteter Mobiltelefone (vgl. BVerfGE 113, 348 382 f.>; 154, 152 180 f. Rn. 10, 227 ff. Rn. 111 ff., 252 Rn. 172>) oder den Datenstrom im Zuge automatischer Daten-Synchronisierungen oder Daten-Backups.

b) Die Befugnis in § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW ermächtigt zur Erhebung personenbezogener Daten im Wege der heimlichen Telekommunikationsüberwachung und damit zu Eingriffen in das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG (vgl. auch BVerfGE 165, 1 85 Rn. 160>). Sie erlaubt nicht nur die heimliche Überwachung und Aufzeichnung klassischer Telefongespräche zwischen Festnetz- oder Mobilfunktelefonanschlüssen. Erfasst ist auch der gesamte über das Internet transportierte Rohdatenstrom (vgl. auch Rn. 8). Maßgeblich sind insoweit die Nutzungsmöglichkeiten die die hier angegriffene Überwachungsbefugnis rechtlich und tatsächlich eröffnet (vgl. auch BVerfGE 162, 1 144 Rn. 320, 147 Rn. 326>; 165, 363 429 Rn. 149> - Automatisierte Datenanalyse).

2. Die Befugnis zur Quellen-Telekommunikationsüberwachung nach § 20c Abs. 1 Satz 1 Nr. 2 in Verbindung mit § 20c Abs. 2 PolG NRW verkürzt sowohl den Gewährleistungsgehalt von Art. 10 Abs. 1 GG (a) als auch den des IT-System-Grundrechts (b). Sie ist daher an beiden Gewährleistungen zu messen (c).

a) Die Befugnis nach § 20c Abs. 1 in Verbindung mit § 20c Abs. 2 PolG NRW, die zur Überwachung und Aufzeichnung der laufenden Telekommunikation (vgl. Rn. 92) ermächtigt, begründet einen Eingriff in das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis (vgl. BVerfGE 141, 220 309 Rn. 228>; 158, 170 184 Rn. 28>; 165, 1 85 Rn. 160>; stRspr).

b) Die Überwachungsbefugnis verkürzt aber auch den Gewährleistungsgehalt des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) in seiner Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-System-Grundrecht), denn sie ermächtigt zur Überwachung und Aufzeichnung laufender Kommunikation unter Zugriff auf das von der betroffenen Person genutzte informationstechnische System (vgl. insoweit BVerfGE 120, 274 308>).

aa) Das IT-System-Grundrecht schützt insbesondere vor heimlichen Zugriffen durch eine Online-Durchsuchung, ist hierauf aber nicht beschränkt.

(1) Schutzgegenstand sind IT-Systeme, die aufgrund ihrer technischen Funktionalität allein oder durch ihre technische Vernetzung Daten einer betroffenen Person in einem Umfang und einer Vielfalt vorhalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten (vgl. BVerfGE 120, 274 313 f.>). Dabei kommt es neben der Datenmenge und -vielfalt auch auf deren Qualität an. Denn auch ein vergleichsweise geringer Datenbestand auf einem modernen IT-System kann tiefgreifende Einblicke in die Lebensgestaltung oder die Persönlichkeit einer Person liefern. Insofern stehen Qualität und Quantität von Daten in einem wechselseitigen Verhältnis zueinander: Bei qualitativ hochwertigen und damit aussagekräftigen Daten können bereits wenige Daten einen umfassenden Einblick in die Lebensgestaltung oder Persönlichkeit ermöglichen (vgl. auch BVerfGE 165, 363 401 Rn. 78>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 93).

(2) Grundrechtlich gewährleistet ist die Vertraulichkeit und Integrität des vom Schutzbereich erfassten IT-Systems. Quantität und Qualität der von einem IT-System nach seiner technischen Konstruktion potentiell abschöpfbaren Daten führen zu einer besonderen persönlichkeitsrechtlichen Gefährdungslage bei einem Zugriff. Schutzobjekt ist insoweit aber schon das IT-System selbst. Wird dieses als eigenes genutzt, besteht eine darauf bezogene grundrechtlich anzuerkennende Vertraulichkeits- und Integritätserwartung (näher BVerfGE 120, 274 315>).

Geschützt ist zunächst das Interesse der Nutzenden, dass die von einem vom Schutzbereich erfassten IT-System erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten (vgl. insoweit BVerfGE 141, 220 303 f. Rn. 209 f.>) vertraulich bleiben (vgl. BVerfGE 120, 274 314>). Vom Gewährleistungsgehalt umfasst ist aber auch die Integrität des IT-Systems, die betroffen ist, wenn auf das IT-System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können; dann ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen (vgl. BVerfGE 120, 274 314>).

Das IT-System-Grundrecht schützt mithin nicht nur die Vertraulichkeit der Daten, die durch Datenerhebungsvorgänge verletzt wird, sondern verlagert diesen Schutz nach vorne und umfasst schon die abstrakt-systembezogene Vertraulichkeitserwartung im Vorfeld konkreter Datenerhebungen. Denn bereits mit dem Zugriff auf ein IT-System entsteht - unabhängig davon, welcher Aufwand dafür nötig ist (vgl. BVerfGE 120, 274 315>) - eine besondere Gefährdungslage für die dort erzeugten, verarbeiteten und gespeicherten oder von dort aus zugänglichen Daten (vgl. auch BVerfGE 120, 274 308, 314>). Der Gewährleistungsgehalt des IT-System-Grundrechts geht dementsprechend über den Schutz personenbezogener Daten hinaus und vermittelt einen insoweit vorgelagerten Schutz der Persönlichkeit. Der Schutzbereich ist daher stets vom IT-System her zu definieren und auf ein auf dieses System insgesamt bezogenes Gefährdungspotenzial ausgelegt (vgl. BVerfGE 120, 274 308 f., 313 ff.>; vgl. auch Hoffmann-Riem, JZ 2008, S. 1009 1015, 1017>; Lepsius, in: Roggan, Online-Durchsuchungen, 2008, S. 21 32 ff.>; Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 123, 126>; Gersdorf, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, GG Art. 2 Rn. 28 <November 2024>). Der systembezogene Schutz ist folglich bereits dann berührt, wenn sich Unberechtigte Zugriff auf das IT-System verschaffen und dadurch potenziell Daten abgreifen können - ohne dass dies auch tatsächlich geschehen muss (vgl. Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 70 f., 73; Ruppert, in: Dietrich/Fahrner/Gazeas/von Heintschel-Heinegg, Handbuch Sicherheits- und Staatsschutzrecht, 2022, § 23 Rn. 14).

Als konsequenter Ausdruck seiner systemischen Schutzrichtung schützt das IT-System-Grundrecht das IT-System als virtuellen Raum der Bewahrung und Entfaltung der eigenen Persönlichkeit in seiner ganzen Breite (vgl. auch BVerfGE 158, 170 184 Rn. 29>; 162, 1 139 f. Rn. 308>).

bb) Unter Zugrundelegung dieses Gewährleistungsgehalts begründet die Befugnis zur Quellen-Telekommunikationsüberwachung unbeschadet ihrer Beschränkung auf laufende Telekommunikation zugleich einen Eingriff in das IT-System-Grundrecht (vgl. Stellungnahme der LDI NRW, Rn. 42; Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 131>;Hauser, Das IT-Grundrecht, 2015, S. 218, 276;Hauck, in: Löwe-Rosenberg, StPO, 27. Aufl. 2019, § 100a Rn. 120; Wischmeyer, in: Dreier, GG, 4. Aufl. 2023, Art. 10 Rn. 124 f.; Gersdorf, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, GG, Art. 2 Rn. 28, Art. 10 Rn. 37 <November 2024>).

Die Quellen-Telekommunikationsüberwachung nach § 20c Abs. 1 Satz 1 Nr. 2 in Verbindung mit § 20c Abs. 2 PolG NRW ermöglicht den Zugriff auf von einer betroffenen Person genutzte IT-Systeme in ihrer ganzen Breite. Polizeibehörden dürfen mit technischen Mitteln dergestalt auf IT-Systeme zugreifen, dass deren Leistungen, Funktionen und Speicherinhalte potenziell genutzt werden können. Unerheblich ist dabei, dass die Überwachung und Aufzeichnung nach § 20c Abs. 1 Satz 1, Abs. 2 Nr. 1 PolG NRW auf die laufende Telekommunikation begrenzt ist. Denn diese Begrenzung lässt unberührt, dass das Gefährdungspotenzial, das mit der Nutzung technischer Mittel unmittelbar einhergeht, auf die Vertraulichkeitserwartung an das IT-System insgesamt bezogen ist. Einmal in das System eingedrungen, ist die Vertraulichkeit aller dort erzeugter, verarbeiteter und gespeicherter oder von dort aus zugänglicher Daten erheblich gefährdet.

Ein Eingriff in das IT-System-Grundrecht scheidet dagegen aus, sofern das IT-System nicht als eigenes genutzt wird (vgl. dazu BVerfGE 120, 274 315>), etwa wenn eine andere Person (vgl. § 20c Abs. 1 Satz 2 PolG NRW) als Dritte unvermeidbar mitbetroffen ist.

c) Soweit durch eine Maßnahme sowohl das IT-System-Grundrecht als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) als auch Art. 10 Abs. 1 GG betroffen sind, tritt das IT-System-Grundrecht nicht hinter das grundsätzlich gegenüber dem allgemeinen Persönlichkeitsrecht speziellere Freiheitsrecht aus Art. 10 Abs. 1 GG zurück. Eine auf die laufende Telekommunikation beschränkte Quellen-Telekommunikationsüberwachung ist folglich an beiden Gewährleistungen zu messen.

aa) Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) gewährleistet Elemente der Persönlichkeit, die nicht bereits Gegenstand besonderer Freiheitsgarantien sind, diesen aber in ihrer konstituierenden Bedeutung für die Persönlichkeit nicht nachstehen (vgl. BVerfGE 120, 274 303>). Von daher gehen die besonderen Freiheitsrechte regelmäßig dem allgemeinen Persönlichkeitsrecht vor (vgl. BVerfGE 51, 97 105>; 54, 148 153>; 115, 166, 187>). Entsprechend kommt etwa das als Ausprägung des allgemeinen Persönlichkeitsrechts anerkannte Recht auf informationelle Selbstbestimmung neben dem Grundrecht aus Art. 10 Abs. 1 GG nicht zur Anwendung, da letzteres bezogen auf die Fernkommunikation eine spezielle Garantie enthält, die das Recht auf informationelle Selbstbestimmung verdrängt, soweit sich die Schutzbereiche überschneiden (vgl. BVerfGE113, 348 364>; 125, 260 310>; 155, 119 169 f. Rn. 100>; BVerfG, Beschluss der 3. Kammer des Zweiten Senats vom 6. Juli 2016 - 2 BvR 1454/13 -, Rn. 40).

Die Überschneidung der Schutzbereiche führt allerdings dazu, dass insoweit auch Maßgaben des Rechts auf informationelle Selbstbestimmung auf die spezielle Freiheitsgarantie aus Art. 10 Abs. 1 GG übertragbar sind (vgl. BVerfGE 124, 43 56>; 162, 1 143 f. Rn. 319>; 169, 130 172 Rn. 86>; vgl. auch BVerfG, Beschluss der 3. Kammer des Zweiten Senats vom 6. Juli 2016 - 2 BvR 1454/13 -, Rn. 42) oder eine Prüfung dahingehend ausreichen kann, dass Überwachungsmaßnahmen "jedenfalls" in das Recht auf informationelle Selbstbestimmung eingreifen (vgl. etwa BVerfGE 162, 1 143 f. Rn. 319>; 165, 1 48 Rn. 88>). Es besteht auch keine uneingeschränkte Subsidiarität des allgemeinen Persönlichkeitsrechts in sämtlichen seiner Ausprägungen. Spezielle Freiheitsrechte und Ausprägungen des allgemeinen Persönlichkeitsrechts können vielmehr auch nebeneinander bestehen (vgl. BVerfGE 115, 166 187 f.>). So wird das allgemeine Persönlichkeitsrecht etwa dort nicht verdrängt, wo sich sein Schutzbereich und derjenige eines speziellen Freiheitsrechts nur partiell überschneiden, oder in den Fällen, in denen ein eigenständiger Freiheitsbereich mit festen Konturen erwachsen ist (vgl. BVerfGE 115, 166187>). Soweit unterschiedliche, jeweils eigenständig erfasste Schutzgüter betroffen sind, finden die Grundrechte oder Grundrechtsausprägungen dann nebeneinander Anwendung.

bb) Mit dem IT-System-Grundrecht als Ausprägung des allgemeinen Persönlichkeitsrechts ist ein solcher eigenständiger Freiheitsbereich mit festen Konturen erwachsen (dazu Rn. 111 ff.), weshalb es nicht durch das in Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis verdrängt wird. Ermächtigen daher Befugnisse zu Maßnahmen, die sowohl den Gewährleistungsgehalt des IT-System-Grundrechts als auch den des Art. 10 Abs. 1 GG verkürzen, müssen sie einer Überprüfung anhand beider Gewährleistungen standhalten (vgl. insoweit auch Britz, DÖV 2008, S. 411 414>; Hauser, Das IT-Grundrecht, 2015, S. 134, 218; Meinicke, Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud, 2020,S. 79 f.).

(1) In dem für das IT-System-Grundrecht grundlegenden Urteil zur Online-Durchsuchung aus dem Jahre 2008 hat das Bundesverfassungsgericht die Frage nach dem Konkurrenzverhältnis zwischen dem IT-System-Grundrecht und Art. 10 Abs. 1 GG letztlich nicht eindeutig beantwortet. Dass danach das IT-System-Grundrecht einschlägig sein soll, soweit der Schutz nicht durch andere Grundrechte wie Art. 10 GG gewährleistet ist (vgl. BVerfGE 120, 274 302>, vgl. auch BVerfGE 124, 43 57>), begründet zunächst nur die Notwendigkeit des IT-System-Grundrechts als weitere Ausprägung des allgemeinen Persönlichkeitsrechts angesichts neuer Gefährdungen für die freie Entfaltung der Persönlichkeit, weil die bisherigen Freiheitsgarantien dem insoweit entstandenen Schutzbedarf nicht hinreichend Rechnung tragen (vgl. BVerfGE 120, 274 303 ff., 306>; vgl. insoweit auch BVerfGE 141, 220 303 f. Rn. 209 f.>).

Eine Subsidiarität des IT-System-Grundrechts gegenüber anderen, im Grundgesetz ausdrücklich genannten Grundrechten ist damit aber nicht klar zum Ausdruck gebracht. Zum einen wird im Ergebnis ausdrücklich dahingestellt, ob neben dem festgestellten Verstoß gegen das IT-System-Grundrecht noch weitere Grundrechte verletzt sein könnten (vgl. BVerfGE 120, 274 340>), was einem zwingenden Prüfungsnachrang entgegenläuft (vgl. dazu BVerfGE 54, 148 153>). Zum anderen steht selbst der - insoweit nicht tragend - angenommene Vorrang von Art. 10 Abs. 1 GG für eine ausschließlich auf Daten aus einer laufenden Telekommunikation beschränkte Ermächtigung zur Quellen-Telekommunikationsüberwachung in Spannung zu vorangegangenen Aussagen, nach denen in der Folge einer technischen Infiltration des IT-Systems stets das Risiko besteht, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden und Art. 10 Abs. 1 GG diesem Risiko jedenfalls nicht hinreichend begegnet (vgl. BVerfGE 120, 274 309>). Auch in späteren Entscheidungen ist das Konkurrenzverhältnis zwischen dem IT-System-Grundrecht und Art. 10 Abs. 1 GG ausgehend davon, dass der jeweils zugrundeliegende Sachverhalt bereits vollständig durch eines der Grundrechte erfasst sei, offen geblieben (vgl. BVerfGE 124, 43 57>; 162, 1 139 f. Rn. 307 f.>; 165, 1 69 f. Rn. 128>). Soweit der Senat in seinem Urteil vom 27. Februar 2008 (BVerfGE 120, 274 340>) gleichwohl von einer Subsidiarität des IT-System-Grundrechts ausgegangen sein sollte, hält er hieran nicht fest.

(2) Das IT-System-Grundrecht gewährleistet als Ausprägung des allgemeinen Persönlichkeitsrechts einen eigenständigen Freiheitsbereich mit festen Konturen, weshalb es auch dann nicht durch Art. 10 Abs. 1 GG als grundsätzlich spezielle Garantie verdrängt wird, wenn beide Grundrechte betroffen sind (vgl. zur schutzrechtlichen Dimension bereits BVerfGE 158, 170 184 Rn. 27 ff.>).

Das Fernmeldegeheimnis mag zwar grundsätzlich spezieller sein als das allgemeine Persönlichkeitsrecht und - als dessen Ausprägung - das Recht auf informationelle Selbstbestimmung. Bei einer daraus folgenden Verdrängung auch des IT-System-Grundrechts wäre angesichts der fortschreitenden Entwicklungen in der Informationstechnik und der dadurch bedingten immer weiter ausgreifenden Bedeutung von IT-Systemen für die persönliche Lebensführung aber zu besorgen, dass kein umfassender Grundrechtsschutz gewährleistet wäre. Denn das IT-System-Grundrecht und Art. 10 Abs. 1 GG begegnen zwar sich teilweise überschneidenden, aber doch unterschiedlichen Gefährdungslagen. Während das IT-System-Grundrecht einen Systemschutz für einen virtuell eröffneten Raum der Persönlichkeitsbewahrung und -entfaltung verbürgt, schützt das Fernmeldegeheimnis die Vertraulichkeit eines Kommunikationsvorgangs auf Distanz.

(a) IT-Systeme haben heute eine für die persönliche Lebensführung unverzichtbare Bedeutung. Das hängt vor allem mit der ubiquitären Verbreitung des Internets in der Gesellschaft und den vielfältigen Nutzungsmöglichkeiten zusammen, die moderne digitale Endgeräte gerade auch mit Blick auf Anwendungen im Rahmen von Cloud-Computing und des sogenannten Internet of Things vermitteln. Neben der klassischen Telefonie und dem E-Mail-Verkehr betrifft dies etwa die Nutzung von Messenger-Diensten und sozialen Netzwerken sowie von IT-Endgeräten als Kamera, Dateibearbeitungsprogramm, "Wallet" für kontaktlose Zahlungen, Navigationsgerät, Steuereinheit von Haushaltsgeräten oder digitalen (Sprach-)Assistenten, Musikplayer, Tagebuch, Erinnerungsliste oder zur Einholung von Informationen aller Art im Internet sowie zur Aufzeichnung und Analyse von höchstpersönlichen Daten wie Gesundheits- und Fitnessdaten. Krankenkassen, Arztpraxen und Banken bieten Applikationen ("Apps") an, über die die gesamte, bisweilen hochsensible Kommunikation mit ihnen abgewickelt werden kann. Darüber hinaus werden Endgeräte sehr häufig nicht isoliert und lokal genutzt, sondern in ein Netzwerk aus verschiedenen Geräten und Onlineservices eingebunden. Der Zugriff auf ein IT-System verletzt die bestehende und mit Vertraulichkeitserwartungen verknüpfte technische Abschirmung dieser umfassenden, teils hochsensiblen persönlichkeitsrelevanten Daten und schafft damit eine Gefährdungslage für sie (vgl. BVerfGE 120, 274 305 f., 308 f., 313>; vgl. auch Hauser, Das IT-Grundrecht, 2015, S. 295 f.). Diese Vertraulichkeitserwartung in IT-Systeme besteht ungeachtet der in Folge technischer Entwicklungen ubiquitären Datensammlungen von privaten und ausländischen Akteuren grundsätzlich fort (vgl. Rühs, Durchsicht informationstechnischer Systeme, 2022, S. 265, 382 ff. m.w.N.; dazu auch Moll/Schneider, MschrKrim 104 (2021), S. 92 101 f.>) und erfasst erst recht die Vertraulichkeitserwartung gegenüber staatlichen Zugriffen auf IT-Systeme (vgl. auch Hoffmann-Riem, JZ 2008, S. 1009 1011, 1013, 1018>).

Dabei ist schon mit dem staatlichen Eindringen in ein IT-System - unabhängig von dem Überwachungsziel einer Maßnahme - eine Integritätsverletzung verbunden und die Vertraulichkeit von Daten gefährdet (vgl. BVerfGE 120, 274 308, 314>; Hauser, Das IT-Grundrecht, 2015, S. 217 f.). Nach dem Zugriff insbesondere in Form einer Infiltration mit einer Überwachungssoftware sind vollständige Veränderungen des Systems oder das vollständige Auslesen seines Speichers durch die Software ohne weiteren Zwischenschritt möglich (vgl. BVerfGE 158, 170 184 Rn. 29, 187 Rn. 36>; Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 131>; zur Online-Durchsuchung BVerfGE 120, 274 325>). Nutzende können sich hiergegen nicht mehr wirksam schützen. Dabei ist das Gefährdungspotential besonders ausgeprägt, wenn sich Behörden privater Dritter bedienen, um die Infiltration zu vollziehen. Durch die Einschaltung weiterer Beteiligter erhöht sich naturgemäß die Wahrscheinlichkeit nicht nur von Missbrauch, sondern unabhängig von etwaigen staatlichen Kontrollmöglichkeiten auch von versehentlichen Vertraulichkeits- oder (weiteren) Integritätsbeeinträchtigungen (vgl. Wischmeyer, Informationssicherheit, 2023, S. 287).

Das IT-System-Grundrecht knüpft so schon gegenständlich an ein IT-System an und sichert als Systemschutz "besonders geschützte Zonen der Privatheit" (insoweit BVerfGE 120, 274 331>) ab. Es verbürgt - insoweit rein strukturell vergleichbar mit der objektbezogenen Garantie der Unverletzlichkeit der Wohnung nach Art. 13 Abs. 1 GG - einen virtuellen, durch die unter eigener Verfügung und selbstbestimmter Nutzung stehenden IT-Systeme eröffneten Raum für die Bewahrung und Entfaltung der eigenen Persönlichkeit und wird damit der besonderen Schutzbedürftigkeit von IT-Systemen als solchen gerecht. Das Grundrecht erschöpft sich nicht in einem Schutz vor Zugriffen auf Fernkommunikation, die unter Nutzung eines IT-Systems geführt wird. Denn es ist nicht auf einzelne Nutzungsweisen bezogen, sondern auf das IT-System als grundrechtlich anzuerkennender Schutzraum der Persönlichkeit.

(b) Das Fernmeldegeheimnis des Art. 10 Abs. 1 GG adressiert dagegen eine andere Gefährdungslage. Es soll die Vertraulichkeit eines Kommunikationsvorgangs schützen, der auf Distanz stattfindet, da der Weg der Informationsübermittlung regelmäßig nicht der Kontrolle durch die Kommunikationsteilnehmer zugänglich und daher besonders vulnerabel für einen Zugriff von außen ist. Auf das Kommunikationsmedium selbst kommt es dabei nicht an. Dies kann ein IT-System, aber auch jedes andere Medium sein, das Fernkommunikation ermöglicht (dazu Rn. 87 ff.).

Der Schutzbereich des Art. 10 Abs. 1 GG erfasst zwar auch den Zugriff auf ein IT-System zwecks Überwachung der laufenden Kommunikation (vgl. auch BVerfGE 141, 220 309 Rn. 228>). Nicht abgebildet wird dabei aber der Schutz der berechtigten Erwartung in die Integrität und Vertraulichkeit eines selbst genutzten IT-Systems. Das mit dem Zugriff auf dieses System insgesamt verbundene und aus heutiger Sicht nicht abschließend abschätzbare Gefährdungspotenzial wird durch Art. 10 Abs. 1 GG deshalb nur ausschnitthaft erfasst (vgl. Hoffmann-Riem, JZ 2008, S. 1009 1017 f., 1022>; Bäcker, in: Rensen/Brink, Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, Band 1, 2009, S. 99 116, 131>; Wischmeyer, Informationssicherheit, 2023, S. 147). Ein Zugriff insbesondere in Form einer Infiltration mit einer Überwachungssoftware begründet aber nicht nur eine Integritätsverletzung, sondern stets auch eine Gefährdung für die Vertraulichkeit eines IT-Systems (vgl. Rn. 100). Diese systembezogenen Beeinträchtigungen bestehen, wenn auf ein IT-System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte genutzt werden könnten (dazu Rn. 99), wobei sich eine Quellen-Telekommunikationsüberwachung und eine Online-Durchsuchung insoweit nicht unterscheiden (grundlegend BVerfGE 120, 274 302 ff.>; vgl. auch BTDrucks 16/6535, S. 8; Singelnstein, NStZ 2012, S. 593 598>; Hauser, Das IT-Grundrecht, 2015, S. 34, 218, 228; Freiling/Safferling/Rückert, JR 2018, S. 9 16> m.w.N.). In dem frühen, für die Beurteilung eines Grundrechtseingriffs maßgeblichen Moment des Zugriffs ergibt sich auch bei der Quellen-Telekommunikationsüberwachung noch keine Verringerung des Gefährdungspotenzials aus einer nur gewollten Beschränkung auf laufende Telekommunikation (vgl. BVerfGE 120, 274 308 f.>; ähnlich auch Hauser, Das IT-Grundrecht, 2015, S. 217 f.; Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 233 f.). Denn diese Beschränkung kann erst im nächsten Schritt der gezielten Datenausleitung, also nach erfolgreichem Zugriff, erfolgen (zur Bedeutung für das Eingriffsgewicht, vgl. Rn. 124 f.; vgl. auch Hauser, Das IT-Grundrecht, 2015, S. 216).

(c) Dem IT-System-Grundrecht als Gewährleistung eines eigenständigen fest konturierten Freiheitsbereichs kommt daher ein besonderer Gehalt zu, der es trotz seiner grundrechtsdogmatischen Herleitung aus dem allgemeinen Persönlichkeitsrecht nicht hinter Art. 10 Abs. 1 GG zurücktreten lässt. Sind die Gewährleistungsbereiche des IT-System-Grundrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG und des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG eröffnet, weil eine Befugnisnorm sowohl einen Zugriff auf ein IT-System in seiner ganzen Breite als auch eine Überwachung und Aufzeichnung laufender Telekommunikation erlaubt, bilden sie zu Gunsten eines umfassenden Grundrechtsschutzes kumulativ den grundrechtlichen Überprüfungsmaßstab.

(3) Danach ist eine wie hier in § 20c Abs. 1 Satz 1 Nr. 2 in Verbindung mit § 20c Abs. 2 PolG NRW auf die laufende Telekommunikation beschränkte Quellen-Telekommunikationsüberwachung sowohl an der Gewährleistung des IT-System-Grundrechts als auch an der des Fernmeldegeheimnisses zu messen, soweit sie sich gegen eine Zielperson richtet, die das IT-System als eigenes nutzt. Sie beeinträchtigt insoweit sowohl den Schutz des infiltrierten persönlichkeitsrelevanten IT-Systems als auch die Vertraulichkeit der Fernübermittlung der Kommunikation.

Eine Gleichstellung der Quellen-Telekommunikationsüberwachung mit der klassischen Telekommunikationsüberwachung und damit eine Verortung allein in Art. 10 Abs. 1 GG kommt deshalb auch nicht unter dem Gesichtspunkt einer "funktionalen Äquivalenz" (vgl. dazu BVerfGE 141, 220 309 Rn. 228>; BTDrucks 18/12785, S. 50 ff.) in Betracht (vgl. Wischmeyer, Informationssicherheit, 2023, S. 287). Zwar muss die von § 20c Abs. 2 PolG NRW erlaubte Quellen-Telekommunikationsüberwachung nach § 20c Abs. 2 Nr. 1 PolG NRW wie auch die klassische Telekommunikationsüberwachung auf die laufende Telekommunikation beschränkt sein. Es griffe aber zu kurz, die Quellen-Telekommunikationsüberwachung allein anhand ihrer Ziel- und Zwecksetzung grundrechtlich zu bewerten. Denn auch wenn Zugriffsziel und polizeitaktische Zwecksetzung beider Maßnahmen gleich sind, da es um das Abschöpfen laufender Telekommunikation geht, unterscheiden sich die Maßnahmen schon darin, dass die Quellen-Telekommunikationsüberwachung auf gegen Kenntnisnahme Dritter besonders gesicherte, verschlüsselte Kommunikationsinhalte zielt. Bei dieser wird eine auf das IT-System bezogene eigene Vertraulichkeitserwartung unterlaufen, die über die von Art. 10 Abs. 1 GG geschützte Vertraulichkeitserwartung hinsichtlich des Kommunikationsweges als solchen hinausgeht, und ein spezifisches Risiko für dieses IT-System begründet.

Die unterschiedlichen Gefährdungslagen sind aber vor allem mit den unterschiedlichen Zugriffswegen auf die Kommunikation verbunden. Einer klassischen Telekommunikationsüberwachung geht kein Zugriff auf ein IT-System, sondern in der Regel ein Auskunftsersuchen an einen Telekommunikationsdiensteanbieter voraus. Bei der verfassungsrechtlichen Verortung der Quellen-Telekommunikationsüberwachung wegen eines ähnlichen Zugriffsziels an die klassische Telekommunikationsüberwachung anzuknüpfen, berücksichtigte nicht die potentielle Gefährdungslage, die insbesondere dem nur bei einer Quellen-Telekommunikationsüberwachung erforderlichen Systemzugriff zukommt (dazu Rn. 114 f.). Soweit der Senat demgegenüber unter dem Gesichtspunkt der funktionalen Äquivalenz in seinem Urteil vom 20. April 2016 (vgl. BVerfGE 141, 220 309 Rn. 228>) festgestellt hat, dass die Quellen-Telekommunikationsüberwachung nicht am IT-System-Grundrecht, sondern allein an Art. 10 Abs. 1 GG zu messen ist, sofern durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation erfasst wird (insoweit offener BVerfGE 165, 1 85 Rn. 160>; vgl. aber auch - wenngleich nicht tragend - BVerfGE 120, 274 309>; 158, 170 184 Rn. 28 f.> bzw. in Abgrenzung zur Online-Durchsuchung BVerfGE 162, 1 140 Rn. 308>), hält er daran nicht fest.

II.

Die durch die angegriffenen polizeirechtlichen Befugnisse begründeten Grundrechtseingriffe sind gerechtfertigt.

1.Die Verfassungsmäßigkeit der angegriffenen Überwachungsbefugnisse richtet sich nach den jeweils betroffenen Grundrechten (a) und dabei vor allem nach den Anforderungen der Verhältnismäßigkeit (b).

a) Die Verfassungsmäßigkeit von Überwachungsbefugnissen richtet sich zunächst nach den betroffenen Grundrechten (vgl. BVerfGE 162, 1 72 Rn. 148, 74 Rn. 152>; 169, 130 171 f. Rn. 85, 88>). Die Grundrechte bilden allerdings keine abstrakte Hierarchie, sondern vertypen verschiedene spezifische Freiheiten und Schutzgüter, die in Rückgriff auf spezifische Sachprobleme und historische Erfahrungen besonders ausgeformt sind. Unbeschadet ihrer unterschiedlichen Gewährleistungsgehalte bilden sie daher kein hierarchisches System dergestalt, dass Eingriffe in das eine Grundrecht stets gewichtiger wären als Eingriffe in ein anderes Grundrecht. Dementsprechend gibt es auch keine kategorische Abstufung zwischen Eingriffen in das IT-System-Grundrecht und in das Fernmeldegeheimnis. Für alle hier in Frage kommenden persönlichkeitsrechtsschützenden Grundrechte bestimmen sich die Anforderungen an die Rechtfertigung eines Grundrechtseingriffs vielmehr vor allem nach dem Grundsatz der Verhältnismäßigkeit, bei dessen Prüfung das Gewicht eines Grundrechtseingriffs einzustellen ist (vgl. dazu BVerfGE 162, 1 143 f. Rn. 319>; 165, 1 48 Rn. 88>; siehe auch Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 217 f.). Insoweit aber weisen Eingriffe in Grundrechte ein weites Spektrum von Gewichtigkeiten auf. Zwar setzt die Betroffenheit des IT-System-Grundrechts stets voraus, dass ein qualifizierter Zugriff auf ein IT-System vorliegt (dazu Rn. 99), der einen Einblick in wesentliche Teile der Lebensgestaltung oder die Gewinnung eines aussagekräftigen Bildes der Persönlichkeit ermöglichen könnte (dazu Rn. 97). Doch auch wenn damit das IT-System-Grundrecht überhaupt erst bei einer solchen Gefährdungslage betroffen ist, wohingegen das Fernmeldegeheimnis auf laufende Fernkommunikation beschränkt und daher abstrakt betrachtet gegenständlich enger ist (dazu Rn. 87 ff., 117), bestimmt letztlich erst die konkret eröffnete Überwachungsmaßnahme unter Berücksichtigung der in ihr liegenden Freiheitsgefährdung das Gewicht des mit ihr verbundenen Grundrechtseingriffs (vgl. auch BVerfGE 165, 363 389 f. Rn. 54, 398 ff. Rn. 71 ff., 409 ff. Rn. 103 ff.>). Entgegen der Auffassung der Beschwerdeführenden ist daher nicht jede Befugnis, die in das IT-System-Grundrecht eingreift, an den strengen Anforderungen zu messen, die etwa für eine Online-Durchsuchung gelten; vielmehr ist für das insoweit zu berücksichtigende Eingriffsgewicht insbesondere maßgeblich, welche Daten letztlich im Rahmen der konkreten Maßnahme genutzt werden dürfen.

b) Das Bundesverfassungsgericht hat grundrechtsübergreifende Anforderungen der Verhältnismäßigkeit an heimliche Überwachungsbefugnisse entwickelt (vgl. BVerfGE 120, 274 315 ff.>; 141, 220 268 ff. Rn. 103 ff.>; 155, 119 186 ff. Rn. 144 ff.>; 165, 1 47 Rn. 85 f.>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 79). Auch für Eingriffe in das IT-System-Grundrecht, das der Schrankentrias des Art. 2 Abs. 1 GG untersteht, und für solche in Art. 10 Abs. 1 GG gelten insoweit keine Besonderheiten: Heimliche Überwachungsbefugnisse müssen einen legitimen Zweck verfolgen und zur Erreichung des Zwecks geeignet, erforderlich und verhältnismäßig im engeren Sinne sein (vgl. BVerfGE 141, 220 265 Rn. 93> m.w.N.). Maßgebliche Begrenzungen ergeben sich insbesondere aus den Anforderungen der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem jeweiligen Eingriffsgewicht und dem Gewicht des öffentlichen Interesses (vgl. BVerfGE 141, 220 269 Rn. 105>).

Verfassungsrechtliche Anforderungen richten sich dabei sowohl an die sogenannte Eingriffsschwelle, also den Anlass der Überwachung, als auch an das mit der Datenerhebung zu schützende Rechtsgut (vgl. dazu BVerfGE 141, 220 269 ff. Rn. 104 ff.>; BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 74). Erforderlich als Anlass ist bezogen auf die Gefahrenabwehr grundsätzlich eine im Einzelfall vorliegende konkrete Gefahr im Sinne der polizeirechtlichen Generalklauseln (vgl. BVerfGE 155, 119 186 f. Rn. 146>) oder eine wenigstens konkretisierte Gefahr (vgl. dazu BVerfGE 141, 220 271 ff. Rn. 111 ff.>; 155, 119 187 ff. Rn. 147 ff.>). Eine Absenkung der Eingriffsschwelle auf die konkretisierte Gefahr ist aus Gründen der Verhältnismäßigkeit regelmäßig mit erhöhten Anforderungen an die konkret geschützten Rechtsgüter verbunden (näher dazu BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 76 ff. m.w.N.). Zu berücksichtigen ist stets auch das Eingriffsgewicht der konkreten Maßnahme (näher dazu BVerfG, Beschluss des Ersten Senats vom 14. November 2024 - 1 BvL 3/22 -, Rn. 93). Je tiefer Überwachungsmaßnahmen in das Privatleben hineinreichen und berechtigte Vertraulichkeitserwartungen überwinden, desto strenger sind die Anforderungen an ihre Rechtfertigung. Die Erhebung von Daten durch Überwachungsmaßnahmen mit hoher Eingriffsintensität ist daher im Bereich der Gefahrenabwehr grundsätzlich nur dann verhältnismäßig, wenn eine Gefährdung besonders gewichtiger Rechtsgüter im Einzelfall hinreichend konkret absehbar ist und der Adressat der Maßnahmen aus Sicht eines verständigen Dritten den objektiven Umständen nach in sie verfangen ist (vgl. BVerfGE 141, 220 270 Rn. 108 f.> m.w.N.; 165, 1 49 f. Rn. 89 f.>).

2. Danach sind die polizeirechtlichen Überwachungsbefugnisse in § 20c PolG NRW, soweit sie zulässig angegriffen wurden und in das IT-System-Grundrecht und Art. 10 Abs. 1 GG oder aber nur in Art. 10 Abs. 1 GG eingreifen, verfassungsrechtlich nicht zu beanstanden. Sie genügen den Anforderungen der Verhältnismäßigkeit.

a) § 20c Abs. 1 Satz 1 Nr. 2, Abs. 2 PolG NRW dient einem legitimen Zweck (aa) und ist geeignet und erforderlich, um diesen zu erreichen (bb).

aa) § 20c Abs. 1 Satz 1 Nr. 2, Abs. 2 PolG NRW dient dem legitimen Zweck der bis in das Vorfeld konkreter Gefahren hineinreichenden Verhütung terroristischer Straftaten im Sinne des § 8 Abs. 4 PolG NRW (vgl. auch BVerfGE 120, 274 319>). Mit den Befugnissen zur Telekommunikations- und Quellen-Telekommunikationsüberwachung werden den Polizeibehörden Aufklärungsmittel an die Hand gegeben, die sie in die Lage versetzen, sich Zugang insbesondere auch zu verschlüsselten Kommunikationsinhalten zu verschaffen (vgl. dazu LTDrucks NRW 17/2351, S. 36). Gerade vor dem Hintergrund der vom Landesgesetzgeber angenommenen hohen abstrakten Bedrohungslage, die durch terroristische und Organisierte Kriminalität verursacht werde (vgl. LTDrucks NRW 17/2351, S. 1, 27), sowie der zunehmenden Nutzung moderner, verschlüsselter Kommunikationsmittel wird dadurch sowohl die Gefahrenabwehr als auch die frühzeitige Verhinderung von Straftaten effektiviert. Die Bereitstellung von insoweit wirksamen Überwachungsmaßnahmen ist ein legitimes Ziel (vgl. BVerfGE 169, 332 374 Rn. 101>). Die Sicherheit des Staates als verfasster Friedens- und Ordnungsmacht und die von ihm zu gewährleistende Sicherheit der Bevölkerung sind Verfassungswerte, die mit anderen hochwertigen Verfassungsgütern im gleichen Rang stehen. Der Staat ist daher verpflichtet, insbesondere das Leben, die körperliche Unversehrtheit und die Freiheit des Einzelnen zu schützen. Das heißt vor allem, dass auch Einzelne vor rechtswidrigen Eingriffen anderer zu bewahren sind (vgl. BVerfGE 141, 220 267 f. Rn. 100>; 169, 332 370 Rn. 91>; stRspr).

bb) § 20c Abs. 1 Satz 1 Nr. 2, Abs. 2 PolG NRW ist auch zur Erreichung dieses Ziels im verfassungsrechtlichen Sinne geeignet und erforderlich. Die angegriffenen Befugnisnormen eröffnen Polizeibehörden Mittel zur Aufklärung, die dazu beitragen können, den Gefahren für polizeilich geschützte Rechtsgüter frühzeitig entgegenzutreten. Mildere Mittel, die gleichermaßen effektiv eine ebenso weitgehende Aufklärung ermöglichten, sind abstrakt nicht ersichtlich. Dies lässt allerdings unberührt, dass auch die Anwendung der Befugnisse im konkreten Einzelfall dem Grundsatz der Geeignetheit und Erforderlichkeit zu folgen hat (vgl. BVerfGE 141, 220 266 f. Rn. 97>).

b) Soweit zulässig angegriffen, genügt § 20c PolG NRW auch gemessen an seinem Eingriffsgewicht den Anforderungen an die Verhältnismäßigkeit im engeren Sinne. § 20c Abs. 1 Satz 1 Nr. 2, Abs. 2 PolG NRW begrenzt sowohl die Telekommunikations- als auch die Quellen-Telekommunikationsüberwachung über den Verweis auf die in § 8 Abs. 4 PolG NRW bestimmten terroristischen Straftaten auf den Schutz hinreichend gewichtiger Rechtsgüter.

Eine wie vorliegend mindestens schwerwiegende heimliche Überwachung der Telekommunikation (vgl. dazu BVerfGE 113, 348 382>; 129, 208 240>; 141, 220 310 Rn. 229>) ist gerade dann, wenn die Eingriffsschwelle wie hier ins Vorfeld einer konkreten Gefahr verlagert wird (dazu Rn. 9, 126), nur zum Schutz oder zur Bewehrung von besonders gewichtigen (hochrangigen) Rechtsgütern zulässig (vgl. BVerfGE 141, 220 270 f. Rn. 108, 272 Rn. 112>; 165, 363 410 Rn. 105, 430 Rn. 151>). Unter Berücksichtigung der insbesondere im Bereich der Gefahrenabwehr zur Verfügung stehenden unterschiedlichen Regelungstechniken zur Begrenzung einer Überwachungsbefugnis auf den erforderlichen Rechtsgüterschutz (aa) beschränkt § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW mit Verweis auf terroristische Straftaten nach § 8 Abs. 4 PolG NRW Überwachungsmaßnahmen auf den Schutz besonders gewichtiger Rechtsgüter (bb).

aa) Zur Sicherstellung des erforderlichen Rechtsgüterschutzes stehen dem Gesetzgeber bei Bestimmung der Eingriffsvoraussetzungen von Datenerhebungen unterschiedliche Regelungstechniken zur Verfügung.

(1) Für Maßnahmen, die der Strafverfolgung dienen und damit repressiven Charakter haben, kommt es auf das Gewicht der verfolgten Straftaten an, die der Gesetzgeber insoweit in - jeweils näher bestimmte - erhebliche, schwere und besonders schwere Straftaten eingeteilt hat (BVerfGE 141, 220 270 Rn. 107>; näher dazu BVerfGE 169, 130 218 ff. Rn. 201 ff.>). So bedarf etwa die Durchführung einer Wohnraumüberwachung des Verdachts einer besonders schweren Straftat (Art. 13 Abs. 3 GG; vgl. BVerfGE 109, 279 343 ff.>), die Durchführung einer Telekommunikationsüberwachung einer schweren Straftat (vgl. BVerfGE 125, 260 328 f.>; 129, 208 243>) und die Durchführung einer Observation etwa durch einen GPS-Sender einer Straftat von erheblicher Bedeutung (vgl. BVerfGE 107, 299 321 f.>; 112, 304 315 f.>; 141, 220 270 Rn. 107>).

(2) (a) Für Maßnahmen, die der Gefahrenabwehr dienen und damit präventiven Charakter haben, kommt es demgegenüber unmittelbar auf das Gewicht der zu schützenden Rechtsgüter an (vgl. BVerfGE 125, 260 329>). Heimliche Überwachungsmaßnahmen, die tief in das Privatleben hineinreichen, sind nur zum Schutz besonders gewichtiger Rechtsgüter zulässig. Hierzu gehören Leib, Leben und Freiheit der Person sowie der Bestand oder die Sicherheit des Bundes oder eines Landes (vgl. BVerfGE 120, 274 328>; 125, 260 330>; 141, 220 270 Rn. 108>). Darüber hinaus kann auch der Schutz von Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, den Eingriff rechtfertigen. Dabei ist ein enges Verständnis geboten. Gemeint sind etwa wesentliche Infrastruktureinrichtungen oder sonstige Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen (vgl. BVerfGE 141, 220 270 f. Rn. 108, 272 Rn. 112>; 165, 1 93 Rn. 179>; 169, 130 182 Rn. 108>; BVerfG, Beschluss des Ersten Senats vom 8. Oktober 2024 - 1 BvR 1743/16 u.a. -, Rn. 176 f.).

(b) Der Gesetzgeber kann allerdings auch darauf verzichten, das erforderliche Rechtsgut unmittelbar zu benennen und stattdessen an Straftaten anknüpfen, deren Verhütung mit der Befugnis bezweckt wird (vgl. BVerfGE 165, 1 93 Rn. 179>; 165, 363 410 Rn. 105> jeweils m.w.N.; für Übermittlungsbefugnisse BVerfGE 141, 220 332 Rn. 300>; 162, 1 115 Rn. 244>; 163, 43 102 Rn. 154> - Bundesverfassungsschutzgesetz - Übermittlungsbefugnisse; kritisch noch BVerfGE 125, 260 329 f.>; 154, 152 269 Rn. 221>). Den im präventiven Bereich erforderlichen Rechtsgüterschutz kann er dabei in der Weise sicherstellen, dass er von vornherein an hinreichend gewichtige Straftatbestände anknüpft (aa), oder aber - auch unabhängig vom Gewicht der Straftat als solcher - eine ergänzende Rechtsgutbetrachtung oder hinreichende Qualifizierung der benannten Straftaten im Einzelfall vornimmt (bb).

(aa) Benennt der Gesetzgeber das zu schützende Rechtsgut nicht unmittelbar, sondern knüpft er an Straftatbestände an, müssen diese entsprechend schwer wiegen. Dem verfassungsrechtlichen Erfordernis eines besonders gewichtigen Rechtsguts entspricht jedenfalls eine Begrenzung auf besonders schwere Straftaten im verfassungsrechtlichen Sinn, also zunächst solche, die mit einer Höchstfreiheitsstrafe von mehr als fünf Jahren bedroht sind (vgl. auch BVerfGE 165, 1 93 Rn. 179>; näher BVerfGE 169, 130 219 Rn. 203> jeweils m.w.N.). Grundsätzlich kann aber auch eine Straftat mit einer angedrohten Höchstfreiheitsstrafe von mindestens fünf Jahren als besonders schwer eingestuft werden, wenn dies nicht nur unter Berücksichtigung des jeweils geschützten Rechtsguts und dessen Bedeutung für die Rechtsgemeinschaft, sondern auch unter Berücksichtigung der Tatbegehung und Tatfolgen vertretbar erscheint (näher dazu BVerfGE 169, 130 219 f. Rn. 205>). Bei der Bestimmung besonders schwerer Straftaten ist der Gesetzgeber nicht auf die Auswahl von Tatbeständen beschränkt, die als Verbrechen im Sinne des § 12 StGB einzuordnen sind. Auch die Aufnahme von Vergehenstatbeständen in den Straftatenkatalog ist zulässig, wenn die Tatbestände das Merkmal der besonders schweren Straftat ausfüllen (BVerfGE 169, 130 220 Rn. 207> m.w.N.).

(bb) Der Gesetzgeber kann im präventiven Bereich den erforderlichen Rechtsgüterschutz aber auch unabhängig vom Gewicht der Straftat mit einer ergänzenden Rechtsgutbetrachtung oder jedenfalls dergestalt sicherstellen, dass er eine hinreichende Qualifizierung als terroristische Straftat wie in § 129a Absätze 1 und 2 StGB im Einzelfall vorsieht (vgl. dazu für Übermittlungsbefugnisse BVerfGE 141, 220 332 Rn. 300>). Insoweit hält der Senat an seiner jedenfalls für Straftatbestände mit einer Höchstfreiheitsstrafe von bis zu drei Jahren (vgl. BVerfGE 165, 1 92 f. Rn. 178 ff.>; vgl. auch für Übermittlungsbefugnisse BVerfGE 154, 152 304 f. Rn. 312>; 163, 43 102 Rn. 155>) entgegenstehenden Rechtsprechung nicht fest. So genügt es zum einen, wenn die vom Gesetzgeber genannten Straftaten in hinreichend qualifizierter Weise unmittelbar gegen Leib, Leben, Freiheit der Person sowie gegen den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind oder - etwa als gemeingefährliche Delikte - ihren Unrechtsgehalt maßgeblich aus der Gefährlichkeit der Tatbegehung für solche Rechtsgüter beziehen beziehungsweise Sachen von bedeutendem Wert betreffen, deren Erhaltung als wesentliche Infrastrukturen im öffentlichen Interesse geboten ist. Folgt die unmittelbare Ausrichtung am Schutz solch qualifizierter Rechtsgüter dagegen nicht schon aus der Strafnorm selbst, kann der erforderliche Rechtsgüterschutz zum anderen auch dadurch sichergestellt sein, dass der Gesetzgeber die in einer polizeilichen Befugnisnorm in Bezug genommenen Straftatbestände dahingehend näher qualifiziert, dass sie im Einzelfall dem Schutz entsprechender Rechtsgüter dienen müssen. Dies kann insbesondere dann der Fall sein, wenn Straftatbestände die in § 129a Absätze 1 und 2 StGB gesetzlich näher bestimmte, auf spezifisch charakteristische Straftaten von besonderem Gewicht begrenzte (vgl. BVerfGE 169, 332 374 Rn. 101>) terroristische Dimension aufweisen (vgl. zur entsprechenden Aufgabenbestimmung BVerfGE 141, 220 332 Rn. 300>). Straftaten mit dem Gepräge des Terrorismus zielen nämlich auf eine Destabilisierung des Gemeinwesens und richten sich gegen die Grundpfeiler der verfassungsrechtlichen Ordnung und das Gemeinwesen als Ganzes (vgl. BVerfGE 141, 220 266 Rn. 96>). Sie zu verhindern, ist eine Staatsaufgabe von herausragender Bedeutung.

bb) Danach begrenzt § 20c Abs. 1 Satz 1 Nr. 2 PolG NRW die Telekommunikations- und Quellen-Telekommunikationsüberwachung auf den Schutz hinreichend gewichtiger Rechtsgüter. Die insoweit angegriffene Befugnis erlaubt eine Überwachung von Personen, deren individuelles Verhalten die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine terroristische Straftat nach § 8 Abs. 4 PolG NRW begehen werden. Dadurch ist gewährleistet, dass von der Befugnis nur zum Schutz hochrangiger Rechtsgüter Gebrauch gemacht werden darf.

(1) Die hier zur Sicherung eines hinreichenden Rechtsgüterschutzes erfolgte Verwendung eines Straftatenkatalogs begegnet für sich genommen keinen verfassungsrechtlichen Bedenken (dazu Rn. 136). Dies gilt auch dann, wenn Polizeibehörden - wie hier - im Vorfeld einer konkreten Gefahr zu Überwachungsmaßnahmen ermächtigt werden (vgl. auch BVerfGE 113, 348 377 f.>; 141, 220 290 f. Rn. 163 ff.>).

(2) Die Befugnisse zur Telekommunikations- und Quellen-Telekommunikationsüberwachung sind durch den Verweis auf terroristische Straftaten nach § 8 Abs. 4 PolG NRW auch auf den Schutz hinreichend gewichtiger Rechtsgüter beschränkt.

(a) Soweit die in § 8 Abs. 4 Halbsatz 1 PolG NRW genannten Straftatbestände wie etwa § 303b Abs. 4 StGB (besonders schwerer Fall der Computersabotage), § 315 Absätze 1 und 3 StGB (gefährliche Eingriffe in den Bahn-, Schiffs- und Luftverkehr) oder § 316b Abs. 3 StGB (besonders schwerer Fall der Störung öffentlicher Betriebe) eine Höchstfreiheitsstrafe von mindestens zehn Jahren androhen, handelt es sich um besonders schwere Straftaten, die von vornherein einen hinreichenden Rechtsgüterschutz gewährleisten (näher Rn. 137).

(b) Zahlreiche der in § 8 Abs. 4 Halbsatz 1 PolG NRW genannten Straftatbestände betreffen zudem Delikte, die unmittelbar gegen Leib und Leben gerichtet sind oder die die engen Anforderungen an einen tragfähigen Schutz von Sachwerten (dazu Rn. 135) erfüllen. Doch auch soweit dies nicht der Fall ist, ist der erforderliche Rechtsgüterschutz gesichert, denn die Überwachung zum Zwecke der Verhütung sämtlicher in § 8 Abs. 4 Halbsatz 1 PolG NRW genannten Straftaten ist nur zulässig, wenn diese im Einzelfall die in § 8 Abs. 4 Halbsatz 2 PolG NRW gesetzlich näher bestimmte terroristische Dimension aufweisen. Dies sichert hier den Schutz hochrangiger Rechtsgüter (dazu Rn. 138). Dabei begegnet es auch keinen Bedenken, wie der nordrhein-westfälische Gesetzgeber den Begriff der terroristischen Straftat definiert hat. In Anlehnung an § 129a Absätze 1 und 2 StGB, der wiederum in Umsetzung von Art. 1 des EU-Rahmenbeschlusses 2002/475/JI des Rates vom 13. Juni 2002 (ABl. L 164 S. 3; vgl. BTDrucks 15/813, S. 7) beziehungsweise des ihn ersetzenden Art. 3 der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 S. 6) formuliert ist, benennt § 8 Abs. 4 Halbsatz 1 PolG NRW Straftaten, die als terroristisch eingestuft werden können, wenn sie nach § 8 Abs. 4 Halbsatz 2 PolG NRW eine besonders verwerfliche subjektive Zielsetzung verbunden mit einer besonderen objektiven Schädigungseignung aufweisen. Sollen die genannten Straftaten terroristisch sein, müssen sie dazu bestimmt sein, die Bevölkerung auf erhebliche Weise einzuschüchtern, eine Behörde oder eine internationale Organisation rechtswidrig oder mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder die politischen, verfassungsrechtlichen, wirtschaftlichen oder sonstigen sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen oder erheblich zu beeinträchtigen. Zudem müssen sie durch die Art ihrer Begehung oder durch ihre Auswirkungen einen Staat oder eine internationale Organisation erheblich schädigen können. Der Gesetzgeber hat sich daher nicht auf den bloßen Verweis auf einen unbestimmten Rechtsbegriff des Terrorismus beschränkt, sondern selbst vorgegeben, dass eine Überwachung nur zur Verhütung von spezifisch charakteristischen Straftaten von besonderem Gewicht zulässig ist. Diese Terrorismusdefinition nach § 8 Abs. 4 Halbsatz 2 PolG NRW ist verfassungsrechtlich tragfähig (vgl. zum inhaltlich gleichlautenden § 4a Abs. 1 Satz 2 BKAG a.F. BVerfGE 141, 220 266 Rn. 96, 288 Rn. 156, 331 Rn. 298>; vgl. auch zu § 5 Abs. 1 Satz 2 BKAG BVerfGE 169, 332 374 Rn. 101>).