Vergangene Woche hat die ungarische Datenschutzbehörde endlich ihren Bericht über den Spionageskandal veröffentlicht, der das Land letzten Sommer erschütterte und Ursula von der Leyen dazu veranlasste, die Vorgänge als „völlig inakzeptabel“ zu bezeichnen. Journalist:innen, Anwälte, ein Bodyguard des Präsidenten – sie alle tauchten auf einer Liste von Telefonnummern auf, die mit dem staatlichen Überwachungsprogramm Pegasus ausgespäht werden sollten. Hergestellt wird es vom israelischen Unternehmen NSO Group, verkauft nur an Regierungen. In vielen Fällen konnten ungarische Journalisten nachweisen, dass die Telefone tatsächlich gehackt worden waren. Pegasus kann in solchen Fällen den gesamten Inhalt des Geräts übermitteln – von Gesprächen bis zu Nachrichten, Standort und Kalendereinträgen.
Doch in den über hundert Fällen, die die Datenschutzbehörde nach eigenen Angaben untersucht hat, konnte sie kein einziges Problem finden. Alle Überwachungsmaßnahmen waren dem Bericht zufolge legal, da sie zur Abwehr einer „Bedrohung der nationalen Sicherheit“ erfolgt waren.
Noch überraschender ist, dass der Direktor der Agentur, Attila Péterfalvi, gegen Ende des 55-seitigen Berichts verkündete, dass es möglicherweise doch ein Verbrechen gegeben hat: begangen von jenen „Dritten“, die ohne Rechtsgrundlage mit den persönlichen Daten ungarischer Bürger*innen hantiert hätten. Es klang wie eine Drohung gegenüber Amnesty International und Forbidden Stories, den internationalen Organisationen also, die die geleakte Datenbank an internationale Journalist:innen weitergaben und so den Skandal aufdeckten.
netzpolitik.org: Als die ungarische Datenschutzbehörde letzte Woche ihren Bericht über den Pegasus-Skandal veröffentlichte, kündigte sie an, dass sie plant, „die Dritten“ anzuzeigen, die die Liste der Handynummern mit potenziellen Spionagezielen verwalten. Welches Verbrechen hat Amnesty International möglicherweise begangen?
Áron Demeter: Zunächst einmal sind wir uns nicht sicher, ob es sich bei der dritten Partei, die die Agentur in ihrem Bericht erwähnt, um uns handelt. Aber wir werden auf den 55 Seiten des öffentlichen Berichts mehr als 60 Mal erwähnt. Das ist relativ merkwürdig, weil unser Sicherheitslabor lediglich die forensische Analyse der potenziell angegriffenen Geräte zusammen mit Citizen Lab in Kanada durchgeführt hat. Es handelt sich nicht um eine Amnesty-Recherche und nicht um eine Amnesty-Untersuchung.
Wenn es sich trotzdem um Amnesty handeln sollte, stellt sich die Frage, ob Amnesty International Ungarn oder das Sekretariat von Amnesty International mit Sitz in London gemeint ist. Gemeint könnte auch Direkt 36 sein, die Redaktion, die die Geschichte in Ungarn veröffentlicht hat. Oder es könnte Forbidden Stories sein, das ganze internationale Konsortium von investigativen Journalisten. Es ist völlig unklar, was die Datenschutzbehörde mit „Dritten“ meint.
Zur Straftat: Ich denke, die Datenschutzbehörde kommt zu dem Schluss, dass das Durchsickern der sogenannten Pegasus-Liste an Journalisten und die Berichte über das Leck und die potenziellen Ziele eine Straftat darstellen könnten. In dem Bericht werden viele Straftaten genannt, von Spionage über die Verletzung personenbezogener Daten bis hin zum Hacking. Es ist wirklich seltsam, darüber zu sprechen, denn wir haben nichts verbrochen. Ich weiß es wirklich nicht.
netzpolitik.org: Wurde Amnesty International Ungarn über irgendwelche rechtlichen Maßnahmen informiert?
Áron Demeter: Wir haben keine Benachrichtigung erhalten, dass gegen uns ermittelt wird. Aber nach dem ungarischen Strafgesetzbuch können die Strafbehörden, die Polizei oder die Staatsanwaltschaft, sechs Monate lang oder bis zur Anklageerhebung gegen uns ermitteln, ohne uns davon in Kenntnis zu setzen. Technisch gesehen ist es also möglich, dass die Ermittlungen bereits im Gange sind.
„Wir haben diese Liste nie gehabt“
netzpolitik.org: Laut der von Direkt36 veröffentlichten Untersuchung befanden sich mehr als 300 ungarische Telefonnummern auf der Liste der potenziellen Pegasus-Ziele. Attila Péterfalvi, der Leiter der Datenschutzaufsicht, behauptet, er habe um diese Nummern gebeten. Warum haben Sie diese nicht übergeben?
Áron Demeter: Weil Amnesty International Ungarn diese Liste nie besessen hat, wir haben sie nie gesehen und hatten auch keinen Zugang zu ihr. Das haben wir Herrn Péterfalvi drei Mal in drei verschiedenen Briefen versucht zu erklären. Aber er konnte es entweder nicht glauben oder er hat einfach vergessen, dass wir es ihm bereits gesagt haben.
netzpolitik.org: Sie haben ihn an die internationale Zentrale von Amnesty in London weitergeleitet. Wissen Sie, ob er Ihrem Rat gefolgt ist und sich mit der Zentrale in Verbindung gesetzt hat?
Áron Demeter: Das hat er, ich glaube, Ende November. Ich weiß, dass sie in Kontakt waren und dass Amnesty ihm geantwortet hat. Aber ich bin mir nicht sicher, wie die Antwort lautete.
netzpolitik.org: Die Organisation sagt, sie habe Hunderte von Fällen analysiert, über die in der Presse berichtet wurde, in denen Menschen in Ungarn mit Pegasus ins Visier genommen wurden, darunter Journalisten, Anwälte und Sicherheitsmitarbeiter des Präsidenten. Sie konnten in keinem dieser Fälle ein Problem feststellen. Hat Sie das überrascht?
Áron Demeter: Um ehrlich zu sein, nicht wirklich. Es ist allgemein bekannt, dass die ungarischen Gesetze zur heimlichen Überwachung sehr vage sind und Überwachungsmaßnahmen keiner Rechtfertigung bedürfen. Es gibt ja bereits ein Urteil aus Straßburg aus dem Jahr 2016, das besagt, dass es ein großes Problem ist, dass das Justizministerium jede Art von Überwachungsmaßnahmen gegen jede Person ohne jegliche Kontrolle außerhalb der Exekutivgewalt genehmigen kann.
Es ist also nicht überraschend, aber dennoch ziemlich beschämend, dass sich die gesamten 55 Seiten des offiziellen Teils der Untersuchung – denn es gibt einen großen Teil, der bis 2050 als geheim eingestuft wurde – dass sich dieser öffentliche Teil im Wesentlichen darum drehte, wie Pegasus funktioniert und was Amnesty falsch gemacht hat. Anstatt darüber zu sprechen, wie es passieren kann, dass die ungarischen Behörden heimlich investigative Journalisten und Oppositionsführer überwacht haben. Es war ziemlich traurig, das zu lesen.
„Bedrohung der nationalen Sicherheit hat nichts zu bedeuten“
netzpolitik.org: Dem Bericht zufolge war die Überwachung in all diesen Fällen legal, weil diejenigen, die sie anordneten, behaupteten, es handele sich um eine Bedrohung der nationalen Sicherheit. Können Sie erklären, was das bedeutet?
Áron Demeter: Das bedeutet gar nichts, zumindest nichts Konkretes. Es ist also sowohl für die ungarische Regierung als auch für die NSO Group, den Hersteller von Pegasus, sehr praktisch. NSO kann sagen, dass sie ihren Kunden den Einsatz von Pegasus nur bei Bedrohungen der nationalen Sicherheit oder bei organisierter Kriminalität erlauben. Und für die ungarische Regierung ist es im Grunde eine Blanko-Genehmigung.
Das entsprechende Gesetz ist sehr alt, aus dem Jahr 1995. Es kommt allen möglichen Regierungen sehr gelegen, die Menschen überwachen wollen, die sie nicht mögen. Unsere Regierung erteilt einer Regierungsbehörde die Genehmigung, jemanden zu überwachen, ohne dass es dafür irgendeinen Grund gibt oder das ganze Verfahren von außen überprüft wird. Der Geheimdienst wendet sich also an das Justizministerium und es gibt ein automatisches Genehmigungsverfahren. Das bedeutet, dass die Regierung die Überwachung von Personen durch die Regierung genehmigt.
Die Journalisten, von denen wir wissen, dass sie mit Pegasus überwacht wurden, sind Enthüllungsjournalisten und Fotojournalisten, die über Regierungspolitiker oder regierungsnahe Geschäftsleute recherchieren und ihre Reisen mit Privatflugzeugen und Yachten verfolgen. Sie berichteten über Korruption und darüber, wohin das Geld fließt. Dies als Bedrohung der nationalen Sicherheit zu betrachten, ist meiner Meinung nach etwas weit hergeholt.
„Die Regierung erlaubt der Regierung, Menschen zu überwachen“
netzpolitik.org: Das Überwachungsgesetz wurde also nicht von Viktor Orbáns Regierung geschaffen?
Áron Demeter: Nein, aber sie trägt eine besondere Verantwortung dafür, dass das Gesetz nicht geändert wurde. Seit 2016, als der Europäische Gerichtshof für Menschenrechte sagte, dass dieses System nicht in Ordnung ist, hatte Ungarn die rechtliche Verpflichtung, die Gesetze zu ändern. Aber Fidesz sagte, dass wir den Richtern bei solchen Entscheidungen nicht trauen können, weil sie das große Ganze, also die Bedrohung der nationalen Sicherheit, nicht sehen. Und nach dieser Argumentation sollte es der Justizminister sein, der das große Ganze sehen kann. Das größte Problem ist also definitiv das Gesetz selbst und wie die Regierung diese Möglichkeit missbraucht.
netzpolitik.org: Welche Rolle spielt die Datenschutzbehörde?
Áron Demeter: Es gibt ernsthafte Probleme mit der nationalen Datenschutzbehörde und auch mit ihrer Unabhängigkeit. Attila Péterfalvi hat in der Öffentlichkeit monatelang den Eindruck erweckt, Amnesty sei irgendwie dafür verantwortlich, dass die Ermittlungen nicht vorankommen. Monatelang hat er gesagt, dass es unsere Schuld ist, dass er seine Untersuchung nicht abschließen kann. Das ist ziemlich seltsam, denn der Vorwurf lautete, dass die Regierung die Menschen in Ungarn unrechtmäßig überwacht.
netzpolitik.org: Würden Sie sagen, dass die Datenschutzaufsicht unabhängig von der Regierung arbeitet?
Áron Demeter: Sagen wir, Péterfalvi hat diese Taktik: Er wählt sehr sorgfältig aus, wann er gegen die Regierung vorgeht. In vielen Fällen sind er und die gesamte Behörde ziemlich zurückhaltend. Und in diesen so genannten politisch heiklen Fällen, wenn viel auf dem Spiel steht, versucht er entweder, die gesamte Entscheidungsfindung hinauszuzögern oder etwas zu sagen, was der Regierung nützt.
netzpolitik.org: Die Menschenrechtsorganisation Hungarian Civil Liberties Union hat angekündigt, dass sie weitere rechtliche Schritte plant, um eine Untersuchung des Pegasus-Skandals zu erreichen. Sind Sie daran beteiligt oder planen Sie eigene Maßnahmen?
Áron Demeter: Nicht proaktiv. Wir geben Interviews zu diesem Thema, wir stehen in Kontakt mit den betroffenen Journalist:innen, aber wir haben im Moment keine spezielle Person oder ein Programm, das sich mit diesem Thema beschäftigt. Wir reagieren hauptsächlich darauf. Das könnte sich im nächsten Jahr ändern, wenn wir eine neue Strategie haben oder wenn es eine Untersuchung gegen uns gibt.
„Die gesamte ungarische Zivilgesellschaft geht davon aus, dass sie überwacht wird“
netzpolitik.org: Ist Ihnen bekannt, dass jemand von Amnesty in Ungarn ins Visier genommen wurde?
Áron Demeter: Keine unserer Nummern stand auf der Liste, wir haben darum gebeten, sie überprüfen zu lassen. Aber wir gehen schon davon aus, dass wir bis zu einem gewissen Grad von der ungarischen Regierung überwacht werden. Die gesamte Zivilgesellschaft geht davon aus. Wir alle gehen davon aus, dass unsere Büros, Telefone und Computer überwacht werden. In diesem Sinne war es für die ungarische Zivilgesellschaft kein großer Schock. Es war eher so: Oh ja, das könnte passieren.
netzpolitik.org: Wie wirkt sich das auf Ihre Arbeit aus?
Áron Demeter: In erster Linie investiert man viel in die digitale und physische Sicherheit außerhalb der eigenen Infrastruktur, sowohl im Büro als auch bei allen Geräten, die man benutzt, und man überlegt sich genau, mit wem man spricht und auf welcher Art von Plattform. Ich denke, das ist das Beste, was man tun kann.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.