Manchmal wirkt es in diesem Untersuchungsausschuss des Europa-Parlamentes so, als würde Don Quijote wieder gegen Windmühlenflügel kämpfen, nur jetzt in der Gestalt einer Ritterin. Die Doña Quijote heißt mit bürgerlichem Namen Sophie In’t Veld und leitet die parlamentarischen Nachforschungen zum Pegasus-Skandal im Frühsommer vor einem Jahr: Zehntausende Menschen waren auf Listen aufgetaucht, gegen die Ausspähsoftware eingesetzt wurde. Darunter auch Journalisten, Anwälte, Aktivisten und sogar Staatschefs aus Europa. Am Dienstag legte In’t Veld zwar in Brüssel den Entwurf eines Zwischenberichtes mit insgesamt 635 Feststellungen vor. Doch das Echo hält sich im Rahmen, erinnert eher an einen vorbeischwirrenden Windmühlenflügel.

Das liegt vor allem an den begrenzten Möglichkeiten der parlamentarischen Untersucher. Denn der Untersuchungsausschuss in Brüssel hat nicht das Recht, Zeugen unter Eid zu befragen und geheime Dokumente einzusehen. „Keine der Behörden war bereit, mit uns zusammenzuarbeiten“, klagt In’t Veld. Auch vom Rat der Mitgliedsregierungen kam nur eine müde Mitteilung, dass das Parlament dafür gar nicht zuständig sei. Dabei war einer der bekanntesten Staatschefs, Frankreichs Präsident Emmanuel Macron, auf der Pegasus-Liste vermerkt. So wie der vormalige belgische Ministerpräsident und derzeitige Ratspräsident Charles Michel. Und Nachforschungen in der Kommission hatten ergeben, dass auch auf den Geräten von Justiz-Kommissar Didier Reynders und mindestens vier weiteren Kommissionsmitarbeitern Pegasus entdeckt wurde.

Das Wort steht für das geflügelte Pferd in der griechischen Mythologie – und für eine Software, die sozusagen unsichtbar angeflogen kommt. Die israelischen Spähspezialisten der Firma NSO haben sie entwickelt – und immer weiter verfeinert. Ursprünglich konnten Nachrichtendienste mit ihrer Hilfe ein Handy unbemerkt übernehmen, alle Daten kopieren, verschlüsselte Nachrichten mitlesen, Kamera und Mikrofon aktivieren, wenn der Benutzer auf einen unverdächtig scheinenden Link geklickt hatte. Inzwischen muss er nicht einmal dies, sondern lediglich als Ziel markiert sein.

Das ist gemacht für die Terrorabwehr, die mithilfe der Software Netzwerke und Anschlagskommandos infiltrieren kann, um Menschenleben zu retten, es ist gemacht für den Kampf gegen das organisierte Verbrechen. Und es ist gemacht für die Aufklärung geplanter und laufender Kriegshandlungen. Aber es kann auch anders verwendet werden. In Spanien schlugen Hinweise hohe Wellen, als Spähangriffe gegen katalanische Separatisten bekannt geworden waren, und auch in Griechenland wird die Nation gerade erschüttert vom Ausspionieren eines Oppositionspolitikers und eines Journalisten.

Deshalb hängt In’t Veld die Zusammenfassung ihrer 635 ersten Erkenntnisse auch bewusst hoch auf. „Der Missbrauch der Spionagesoftware ist eine große Bedrohung der Demokratie in Europa“, stellt sie bei der Vorstellung ihres Berichtsentwurfes fest. Er war erst am frühen Morgen fertig geworden, weil ständig neue Erkenntnisse eintreffen. Die EU-Institutionen seien davon genauso betroffen, wie die Integrität der Wahlen und die Entscheidungsfindung der Europäischen Union. Nicht zuletzt die Rechte der Europäer. Die könnten sich nicht wehren, wenn sie Opfer geworden seien, sie erführen oft nicht einmal davon.

„Schockierend“ nennt die EP-Vizepräsidentin Katarina Barley die ersten Erkenntnisse des Untersuchungsausschuss, in dem sie selbst mitwirkt. „Eine Vielzahl von Staaten hat Pegasus für politische Zwecke eingesetzt, oftmals ohne irgendeine rechtsstaatliche Kontrolle“, stellt die S&D-Politikerin fest. Auch Regierungen von EU-Mitgliedstaaten seien darunter. Besonders besorgniserregend sei der Einsatz von Spähsoftware gegen Journalisten, Regimekritiker und Oppositionelle. „Dies ist ein Bruch mit den Prinzipien der Rechtsstaatlichkeit“, unterstreicht Barley und verlangt, dass hier auch rückwirkend Konsequenzen gezogen werden müssten.

Weil die Untersuchung ohne Mitwirkung der Behörden erfolgte, waren die Parlamentarier auf öffentlich zugängliche Quellen und Experten-Befragungen angewiesen. In’t Veld vergleicht das Ergebnis mit einem Tausend-Teile-Puzzle, von dem 900 Stücke auf dem Tisch lägen und allmählich ein Bild deutlich werden ließen. Ein Bild, das die einzelnen EU-Staaten sehr unterschiedlich erfasst. So gebe es Hinweise, dass die Regierungen in Ungarn und Polen Spähsoftware systematisch und keinesfalls zufällig einsetzten.

Gleichwohl bleibt die Dimension beachtlich, wenn sie auf die Gesamtanwendung von Pegasus bezogen wird. So erhielt der Ausschuss NSO-Informationen, wonach die Firma derzeit weniger als 50 Kunden betreue, darunter zwölf EU-Staaten. Diese griffen mit Pegasus pro Jahr mehr als 12.000 Ziele an.