Die Gesellschaft für Freiheitsrechte (GFF) hat am Mittwoch beim Bundesdatenschutzbeauftragten Ulrich Kelber Beschwerde gegen den Einsatz der Spähsoftware Pegasus durch das Bundeskriminalamt (BKA) eingelegt. Die Bürgerrechtsorganisation rügt in ihrer Eingabe, dass die Polizeibehörde damit gegen zahlreiche rechtliche Vorgaben wie das Bundesdatenschutzgesetz, das BKA-Gesetz, die Strafprozessordnung (StPO) und das Grundgesetz verstoße. Kelber solle das BKA daher beanstanden und verwarnen.

Bei Pegasus handelt es sich um einen Trojaner, der heimlich teils ohne das sonst oft erforderliche Zutun des Nutzers auf Smartphones aufgespielt wird, um Daten abzugreifen und verschlüsselte Kommunikation mitzulesen. Der Hersteller, die israelische NSO Group, steht international in der Kritik, da er laut Berichten mithilfe der mächtigen Malware im Auftrag autoritärer Staaten Journalisten, Menschenrechtler, Rechtsanwälte und Oppositionelle sowie ausländische Politiker und Diplomat ausspäht.

Modifizierter Trojaner

Am 7. September 2021 teilten BKA-Vertreter bei einer Sitzung des Innenausschusses des Bundestags mit, dass auch die Behörde eine Version der Software beschafft habe und seit diesem Jahr nutze. Das Beschaffungsverfahren habe 2019 begonnen und sei 2020 abgeschlossen worden. Dabei seien keine Kontrollbehörden beteiligt gewesen. Pegasus soll bisher in einer mittleren einstelligen Zahl von Verfahren eingesetzt worden sein und auch weiterhin verwendet werden.

Dem BKA zufolge hat die eingesetzte Version der Überwachungssoftware einen eingeschränkten Funktionsumfang. So soll eine Löschfunktion für den Schutz des Kernbereichs privater Lebensgestaltung eingebaut worden. Zudem würden alle Einsätze protokolliert, sensible Daten flößen nicht an die NSO Group. Die GFF zweifelt aber an, ob die modifizierte Variante den vergleichsweise hohen Anforderungen genügt, die das deutsche Recht an den Einsatz von Staatstrojanern und die sogenannte Quellen-Telekommunikationsüberwachung sowie heimliche Online-Durchsuchungen stellt.

Verstoß gegen Grundrechte

Insbesondere würde es laut den Bürgerrechtlern gegen Grundrechte verstoßen, wenn sensible Daten wie intime Nachrichten oder Nacktbilder zunächst auf NSO-Servern gespeichert und erst nachträglich gelöscht werden. Die GFF verspricht sich von ihrer Beschwerde in einem ersten Schritt, dass der Datenschutzbeauftragte die Software überprüft und dann gegebenenfalls weitere Schritte einleitet.

Die gemeinnützige Organisation kritisiert auch, dass das BKA geheim gehaltene Sicherheitslücken ausnutzt, um Smartphones mit dem Trojaner zu infizieren. Wenn Schwachstellen nicht an die Hersteller gemeldet würden, könnten sie nicht geschlossen werden. Dadurch werde die IT-Sicherheit insgesamt geschwächt. Das Bundesverfassungsgericht hatte nach einer GFF-Klage im Juni entschieden, dass deutsche Behörden beim Geheimhalten von Sicherheitslücken zwischen dem Nutzen für die Ermittlungen und den Risiken für die IT-Sicherheit abwägen müssen.

Die Bundesregierung plane nun, ein entsprechendes Schwachstellenmanagement einzuführen, erklärte der GFF-Vorsitzende Ulf Buermeyer. Dies sei längst überfällig. Die Exekutive verhalte sich aber widersprüchlich, wenn sie trotzdem den Pegasus-Trojaner nutze. Damit erhalte ein privates, ausländisches Unternehmen Zugriff auf private Informationen der Bürger hierzulande, ergänzt Verfahrenskoordinator David Werdermann. Ein solches Outsourcing staatlicher Aufgaben sei verfassungsrechtlich sehr heikel.

