Pegasus-Untersuchungsausschuss„Die Regeln an sich sind schon mangelhaft“

Dem Untersuchungsausschuss des Europäischen Parlaments zum Einsatz von Staatstrojanern liegt nun ein Bericht vor, der den Rechtsrahmen bei staatlichem Hacken untersucht. Konstatiert wird ein „Versagen“ der Geheimdienst-Kontrolle. Der Bericht empfiehlt, bessere Regeln für den Einsatz von Staatstrojanern zu verabschieden und auf eindeutig schädliche Techniken zu verzichten.

Wie sich eine AI Trojaner vorstellt. (Symbolbild, Diffusion Bee)

Der Untersuchungsausschuss des Europäischen Parlaments zum Einsatz des Staatstrojaners Pegasus und ähnlicher Überwachungs- und Spähsoftware legte gestern eine Studie vor, die den Rechtsrahmen von staatlichem Hacken in den europäischen Staaten (pdf) untersucht. Der Bericht wurde von Quentin Liger von der Asterisk Research and Analysis GmbH im Auftrag der Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten des EU-Parlaments am Montag vorgestellt. Er ist einer von drei Berichten, die der Ausschuss in Auftrag gegeben hat.

Kurz umrissen wird darin jeweils die Rechtslage in einigen, aber nicht allen EU-Mitgliedsländern und die gesetzlichen Regelungen vor, teilweise während und nach dem Einsatz von Staatstrojanern. Die Schwerpunkte liegen auf Frankreich, Deutschland, Griechenland, Ungarn, Polen, Spanien und den Niederlanden. Die Untersuchung der Rechtssituation soll noch fortgesetzt werden und in einen abschließenden Bericht 2023 münden.

Staatlicher Einsatz von Schadsoftware

Ein Staatstrojaner ist ein heimlicher Eingriff in ein IT-System und damit aus technischer Sicht eine Schadsoftware. Die europäischen gesetzlichen Regelungen variieren, aber jedes Land hat Normen für Schadsoftware und generell für Hacken in den jeweiligen Strafgesetzbüchern. Computersysteme mit Schadsoftware zu infizieren, ist überall strafbar, sei es Spionagesoftware oder seien es Würmer, Trojaner oder Viren. Wer also damit IT-Systeme angreift oder etwa Daten zerstört oder verändert, kann teilweise empfindlich bestraft werden. Der angerichtete Schaden bestimmt jeweils das Strafmaß, es drohen in schweren Fällen mehrere Jahre Gefängnis. Auch das Anbieten und der Verkauf von Schadsoftware ist überall strafbewehrt.

Auch wegen dieser Strafandrohungen müssen für den staatlichen Einsatz solcher Schadsoftware gesetzliche Regeln geschaffen werden. Typischerweise muss in europäischen Ländern im Falle der Benutzung durch Polizeibehörden ein Richter den Einsatz befürworten. Bei welchen Straftaten ein Staatstrojaner zulässig ist, wird in allen EU-Staaten, die staatliches Hacken erlauben, klar reglementiert und in den jeweiligen Gesetzen aufgelistet.

Bei den Geheimdiensten sieht das allerdings anders aus: Deren Arbeit ist bekanntlich geheim, weswegen typischerweise eine nachträgliche juristische oder parlamentarische Kontrolle vorgesehen ist. Hier variiert das Vorgehen von Land zu Land stark, in einigen Staaten war offenbar nicht klar, welche Regeln beim Hacken für die Geheimdienste eigentlich gelten. Bei der gestrigen Präsentation des Berichts sagte Liger dazu, es hätte „in einigen Mitgliedsstaaten Schwierigkeiten gegeben herauszufinden, welche Regeln [für Geheimdienste] gelten“.

Sophie in 't Veld
Sophie in ’t Veld, Berichterstatterin des Untersuchungsausschusses, bei der gestrigen Fragerunde zur Präsentation des Berichts zur Rechtsvergleichung.

Wenig überraschend wird die parlamentarische Kontrolle der Geheimdienste „in den meisten Mitgliedsstaaten“, die betrachtet wurden, als „nicht sehr effektiv“ eingeschätzt. In allen untersuchten Staaten sei der Umfang dieser Kontrolle nur begrenzt. Es fehle auch an klaren Definitionen.

Die Berichterstatterin des Ausschusses, Sophie in ’t Veld, wollte etwa wissen, ob irgendein Mitgliedsstaat eine präzise Definition des Begriffs der nationalen Sicherheit habe, der eine Eingrenzung des Einsatzes von Staatstrojanern ermöglichen würde. Darauf erhielt sie eine klare Antwort: „Nein, die haben wir nicht gefunden.“

Gegenüber den Parlamentariern wird bei der Präsentation des Berichts von Liger auch betont: Es sei ein klares „Versagen“ der nachträglichen Kontrolle, dass alle Fälle, in denen Pegasus in Europa eingesetzt wurde und die nun im Ausschuss untersucht werden, von Journalisten, der Zivilgesellschaft und Privatpersonen aufgedeckt worden seien – und eben nicht von den eigens dafür eingesetzten Geheimdienstkontrolleuren.

Vorläufige Empfehlungen

Der Bericht empfiehlt, dass die Mitgliedstaaten eindeutige, wirksame und wohldefinierte Regeln für den Einsatz von Staatstrojanern verabschieden. Beim Hacken sollte auf Techniken verzichtet werden, die eindeutig schädlich sind. Welche das konkret sind, bleibt allerdings offen. Außerdem sollte die Wirksamkeit der Einsätze laufend evaluiert werden, um die Verhältnismäßigkeit bewerten zu können.

Ein Moratorium für den Staatstrojaner-Einsatz fehlt allerdings bei den Empfehlungen. Darauf angesprochen, warum diese Empfehlung angesichts der im Bericht betonten invasiven Natur von Staatstrojanern und der tiefen Grundrechtseingriffe beim staatlichen Hacken nicht gegeben wurde, verwies Liger darauf, dass dies zum einen noch keine abschließenden Empfehlungen seien, zum anderen aber auch der Fokus der Studie auftragsgemäß auf der Rechtsvergleichung gelegen habe.

Ein weiterer Vorschlag ist eine Aufforderung des Untersuchungsausschusses an die EU-Kommission, Rechtsvorschriften dazu zu erlassen, um kommerziellen Überwachungsanbietern EU-weit Berichtspflichten aufzuerlegen. Das hatten mehrere Sachverständige in den Anhörungen des Ausschusses ebenfalls empfohlen. Zudem sollte es mehr Unterstützung für Hinweisgeber aus dem kommerziellen Überwachungsmilieu geben und die Unabhängigkeit der Presse gestärkt werden. Schließlich hätten sonst die Öffentlichkeit und die Parlamentarier von der Pegasus-Nutzung wohl nie erfahren. Eine weitere Unterstützung von Whistleblowern und von unabhängigen Medien sei daher „für das Parlament von großer Bedeutung“.

Staatshacker

Wir berichten seit mehr als zehn Jahren über Staatstrojaner. Unterstütze uns!

Rechtssituation in Deutschland

Das Kapitel des Berichts für die Rechtssituation in Deutschland hebt das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit von informationstechnischen Systemen hervor, das vom Bundesverfassungsgericht im Jahr 2008 geschaffen wurde. Anlass war ein Gesetz aus Nordrhein-Westfalen, das den Einsatz von Staatstrojanern für den dortigen Inlandsgeheimdienst zuließ. Es wurde als verfassungswidrig verworfen, zugleich mit dem Urteil das neue Grundrecht aus der Taufe gehoben.

Zudem beschreibt der Bericht in kompakter Form zum einen, welche gesetzlichen Regeln im Vorlauf des Einsatzes von Staatstrojanern gelten, und zum anderen, was nach der Durchführung hierzulande an Benachrichtigungs- und Berichtspflichten vorgeschrieben ist. Wenn eine Polizeibehörde etwa einen Rechner oder ein Smartphone hacken will, sind die Strafprozeßordnung und das Bundeskriminalamtsgesetz (insbesondere § 49) zu beachten. Die gesetzlichen Voraussetzungen darin listet der Bericht einzeln auf.

Das BKA darf einen Staatstrojaner gegen einen Verdächtigen für höchstens drei Monate nutzen, kann aber eine Verlängerung von drei weiteren Monaten bekommen. Das verantwortet regelmäßig der Präsident des Bundeskriminalamtes, der einen staatlichen Hack des BKA genehmigen muss.

Sowohl in der Strafprozeßordnung als auch im BKA-Gesetz sind spezielle Regeln für Informationen aus dem sogenannten Kernbereich privater Lebensgestaltung vorgesehen. Dieser juristische Terminus umschreibt das Höchstpersönliche eines Menschen, quasi seine Intimsphäre. Dieser Bereich ist in Deutschland besonders geschützt, so dass beim Einsatz von Staatstrojanern Daten daraus möglichst nicht erhoben werden sollen. Geschieht das doch, müssen sie sofort nach Kenntnis gelöscht werden.

Geheimdienstliches Hacken

Was das Höchstpersönliche eines Menschen angeht, gilt Vergleichbares auch für den Bundesnachrichtendienst. Im Gegensatz zu den detaillierten Angaben für die polizeilichen Staatstrojaner bleiben die Angaben für geheimdienstliches Hacken in Deutschland in dem Bericht aber auf ganze zwei Sätze beschränkt. Erwähnt ist nur das G10-Gesetz sowie das BND-Gesetz, das auch geheimdienstliche Staatstrojaner reglementiert und für den BND einschlägig ist: Denn er darf Ausländer im Ausland hacken.

Das BND-Gesetz enthält ebenfalls detaillierte Vorgaben für den Staatstrojaner-Einsatz, die aber in dem Bericht keine Erwähnung finden. Die Inlandsgeheimdienste, die vom Gesetzgeber auch die Lizenz zum Hacken erhalten haben, fallen bei der Beschreibung der rechtlichen Vorgaben gleich gänzlich unter den Tisch. Im Bericht ist zwar die Neuregelung aus dem Jahr 2021 erwähnt, die dem Bundesamt für Verfassungsschutz, den Landesämtern sowie dem deutschen Militär-Geheimdienst MAD die Erlaubnis zum Staatstrojaner-Einsatz geben, auf rechtliche Details wird jedoch hier verzichtet. Landesgesetze werden ebenfalls nicht betrachtet. Deutschland lässt mit seiner weiten Erlaubnis des polizeilichen und geheimdienstlichen Hackens im Ergebnis des Vergleichs aller betrachteten EU-Staaten die mit Abstand breiteste gesetzliche Anwendung zu.

Vielleicht wird die Endversion des Berichts im nächsten Jahr noch vervollständigt. Aus den bisherigen Erkenntnissen der Pegasus-Skandale geht die häufige Verwicklung der Geheimdienste in den einzelnen Länder deutlich hervor. Der Bericht bleibt hier bisher unvollständig und lässt für einige Staaten Leerstellen, da geltende Regeln für Geheimdienste teilweise nicht identifiziert werden konnten. Die Berichterstatterin des Ausschusses, Sophie in ’t Veld, merkte dazu an, dass die Einhaltung von Regeln immer zu prüfen sei, aber dass aus dem Bericht klarwürde, „dass die Regeln in vielen Ländern an sich schon mangelhaft sind“.

2 Ergänzungen

  1. >> Pegasus and surveillance spyware

    Abstract
    This In-Depth Analysis, drafted by the European Parliament’s Policy Department for Citizens’ Rights and Constitutional Affairs … <<

    Das Papier kann schwerlich als "Studie" bezeichnet werden, bleibt es doch die im Abstract versprochene "In-Depth Analysis" schuldig. Geliefert wird, was ohnehin bekannt ist, in einer Zusammenstellung. Eine Analyse sucht man vergeblich. Wie kann das sein?

    Entweder fehlen den Autoren die notwendigen Fachkenntnisse, oder es handelt sich um eine gekürzte Version für die Öffentlichkeit. Möglich ist aber auch, dass lediglich publizistisch Flagge gezeigt werden soll, ohne wirklich an den Peinlichkeiten der Mitgliederstaaten rühren zu wollen.

    Mithin stellt sich die Frage, welche Absichten die EU-Behörde eigentlich mit dem Paper verfolgt. Möchte man sich nach außen motiviert zeigen, und letztlich bedauerlicherweise, aber doch ganz gerne scheitern?

  2. Damit Regierte sich besser auf Arbeit und Konsum konzentrieren können und nicht an übermässiger Sorge um das Staatswesen leiden, wurde das nebelige Konstrukt „Staatswohl“ erfunden. Dank seiner Unbestimmtheit kann Kuratierung von Staatswohlpflege operativ verwendet werden, einem Fremdschämen für begangene Peinlichkeiten von Staatsorganen wirksam vorzubeugen.

    Der operative Akt zur Pflege eines erhofften Staatswohls besteht im Unterharken von Informationen unter die zugänglichen Informationsschichten. Das geschieht zur Freude von Historikern, die dann nach 60 oder 120 Jahren auch noch was ans Licht bringen wollen, mithin nach einigen Journalisten-Generationen.

    Während Staatswohl sich auf Peinlichkeiten eines einzelnen EU-Mitgliedsstaat bezieht, ist der Pegasus-Untersuchungsausschuss Wirkkräften eines übergeordneten EU-Wohls ausgesetzt, das in „Realtime“ so austariert werden muss, damit EU-Mitgliedsbürger außerhalb von Zypern, Malta, Ungarn, Polen und Bulgarien beim Singen von Beethovens Neunter weiterhin liebevoll an Brüssler Utopien denken.

    EU-beauftragte Autoren von „Studien“ haben es eben nicht ganz so leicht. Die „Vierte-EU-Gewalt“ (ugs. Journalismus) sei aufgerufen, Historikern mühsame Arbeit zu ersparen. Gerne auch mit „Widerhaken beim Nachhaken“. :)

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.