Wie die Europäische Union ihre Kontrollen aufweichte – und Deutschland half
Finnland, Schweden, Dänemark und Deutschland bohrten Schlupflöcher in die neue Verordnung zum Export von Überwachungstechnik. Das zeigen Dokumente aus den Verhandlungsprozessen, die wir veröffentlichen.
Eigene Bearbeitung
Eigentlich wollte die Europäische Union es besser machen. Eigentlich sollte Spähsoftware nicht mehr so einfach die EU verlassen können. Eigentlich wollte die Staatengemeinschaft ihre Exporte streng regulieren. Und eigentlich wollte das auch Deutschland. Eigentlich, eigentlich, eigentlich.
Jahrelang verhandelten die Mitgliedsstaaten der EU darüber, wie die Exportkontrolle neu reguliert werden soll. Vor zwei Jahren trat die neue Verordnung schließlich in Kraft. Zahlreiche Überwachungsskandale erschütterten unterdessen die Welt: Journalist:innen deckten auf, dass Angreifer mit einer Software namens Pegasus in Handys eindringen, Mikrofone anschalten und Nachrichten mitlesen. Vergangenes Jahr wurde bekannt: Die griechische Regierung nutzte die Spähsoftware Predator der Firma Intellexa offenbar, um Oppositionspolitiker:innen und Journalist:innen auszuspionieren.
Die EU-Kommission und das EU-Parlament begannen 2016 mit großen Ambitionen eine neue Verordnung zu entwerfen. Die Ausfuhr von Gütern mit sowohl zivilem als auch militärischem Verwendungszweck sollte streng kontrolliert werden. Produkte zur digitalen Überwachung gehören zu diesen Gütern, weil sie auf beide Arten eingesetzt werden können. Doch vor allem Deutschland, Schweden, Finnland und Dänemark bohrten Schlupflöcher in die neue EU-Verordnung. Das zeigen Dokumente, die FragDenStaat gemeinsam mit dem SPIEGEL und dem journalistischen Recherchenetzwerk European Investigative Collaborations (EIC) befreit hat.
Kleine Formulierung, große Wirkung
Aus den sogenannten Working Papers des Rats der Europäischen Union geht hervor, dass Deutschland aus einer Verpflichtung für exportierende Unternehmen lediglich eine Sorgfaltspflicht machen wollte. Eine kleine Änderung – doch sie schmälert die Verantwortung von Unternehmen erheblich. Schweden wollte die Sorgfaltspflicht ganz aus dem Gesetz streichen. Deutschlands Änderung setzte sich durch.
Unternehmen in die Pflicht zu nehmen, ist wichtig, um Menschenrechte zu wahren. Die griechische Firma Intellexa beispielsweise lieferte ihre Überwachungssoftware offenbar an sudanesische Paramilitärs. Wenige Monate später starteten diese Paramilitärs den Krieg im Sudan.
Regierungen müssen den Export von Gütern mit doppeltem Verwendungszweck (Dual-Use-Güter) überprüfen und genehmigen. Die EU sammelt all diese Güter auf einer Liste. Mit der neuen Verordnung können Mitgliedsländer Exporte auch dann untersagen, wenn ein Produkt nicht auf der Liste steht, aber vom Empfängerland missbräuchlich verwendet wird. Die EU-Kommission schuf dafür eine sogenannte Catch-All-Regel. Auch sie soll Menschenrechtsverletzungen verhindern. „Technik entwickelt sich ständig weiter. Da kann eine Catch-All-Regel ein guter Ansatz sein“, sagt Ben Wagner, Associate Professor für Menschenrechte und Technologie an der Technischen Universität Delft.
Wie Menschenrechte für Wettbewerbsvorteile geopfert wurden
Deutschen Unternehmen gefiel die Catch-All-Regel gar nicht. In Stellungnahmen sprechen die Lobbyverbände von Überforderung, Wettbewerbsnachteilen und dass die Verantwortung für Menschenrechte auf die Wirtschaft abgewälzt werde. Ben Wagner entgegnet: „Firmen wissen oft genau, wofür ihre Produkte vom Empfänger genutzt werden. Sie kennen die Risiken der Technik und wissen, wie man sie minimieren kann.“
Doch Deutschland nahm die Lobbyinteressen mit in die Verhandlung über die EU-Verordnung. Als Kommission und Parlament die Mitgliedsstaaten verpflichten wollten, ein Register mit Zulassungsanforderungen zu pflegen, plädierten Deutschland, Dänemark und Schweden dafür, den Absatz im Gesetz zu streichen. Sie argumentierten: Der Verwaltungsaufwand sei zu hoch.
Als die Catch-All-Regel entstand, verhandelten die Mitgliedstaaten auch darüber, wie schnell sie einander über Verstöße informieren müssen. Deutschland versuchte auch diesen Ansatz zu entschärfen: Wo vorher stand „die anderen Mitgliedsländer sofort informieren“, machte Deutschland „die anderen Mitglieder informieren, wo es angemessen ist“. Wo die EU-Kommission vorschlägt, „relevante Infos weiterzugeben“, wollte Deutschland relevante Infos nur weitergeben „soweit möglich“. Die EU Kommission setzte eine Frist von zehn Tagen, in denen die anderen Staaten sich gegen den Export aussprechen können. Finnland und Deutschland wollten diese Frist streichen. Damit konnten sie sich jedoch nicht durchsetzen.
Es wirkt wie ein Gütesiegel, wenn die Europäische Union ein Produkt kontrolliert und zum Export zulässt. Dass diese Wahrnehmung nicht stimmt, zeigt der Umgang mit der Firma Intellexa, die Tochterunternehmen in ganz Europa hat. Ihr gelang es, von Griechenland eine Exportgenehmigung für die Spähsoftware Predator nach Madagaskar zu bekommen, ein Land mit fragwürdiger Menschenrechtsbilanz. Der deutsche Firmenableger Trovicor exportierte schon Abhörtechnik nach Äthiopien und in den Iran. Spionagesoftware mit EU-Siegel gelangt immer wieder in die Autokratien dieser Welt.
Zwar hat sich die EU mit ihrer neuen Regulierung zu Transparenz verpflichtet, allerdings hält sie sich nicht daran. Der jährliche Bericht zur Kontrolle von Gütern mit doppeltem Verwendungszweck erscheint verspätet und hat große Lücken. Im letzten Bericht von 2021 sind die Angaben nicht annähernd so detailliert, wie sie laut der Verordnung sein sollen. Auch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) gibt die Zahlen auf Nachfrage nicht heraus – und verweist stattdessen auf den Bericht. Die EU-Kommission verweigert Antworten auf einen konkreten Fragenkatalog ebenfalls. Sie schreibt stattdessen: „Die Umsetzung der Verordnung ist ein komplexer Prozess, der umfassende Konsultationen mit den relevanten Interessengruppen erfordert.“
Die Predator Files
Am Donnerstag, dem 5. Oktober, veröffentlichen 15 internationale Medien unter der Koordination des Recherchenetzwerks European Investigative Collaborations (EIC) und mit technischer Unterstützung des Security Lab von Amnesty International die ersten Kapitel einer grenzüberschreitenden Recherche mit dem Titel „Predator Files“.
Auf der Grundlage Hunderter vertraulicher Dokumente, welche die französische Internetzeitung Mediapart und Der Spiegel erhalten haben, enthüllen die "Predator Files", wie einige europäische Konzerne seit mehr als einem Jahrzehnt als passive Komplizen europäischer Regierungen Cyber-Überwachungsinstrumente finanziert und an Diktatoren verkauft haben.
In noch nie dagewesener Ausführlichkeit werfen die Predator Files einen Blick hinter die Kulissen der Intellexa-Allianz, einem Zusammenschluss mehrerer europäischer Unternehmen mit Sitz in Frankreich, Griechenland, Irland und Nordmazedonien, über die Predator-Software an autoritäre Staaten wie das Ägypten, Vietnam und Madagaskar geliefert wurde.
Die Enthüllungen zeigen, dass das derzeit auf europäischer Ebene geltende Kontrollsystem nicht in der Lage ist, gegen diese Verkäufe von Cyber-Überwachungswaffen an sensible Ziele vorzugehen. Die neue, im September 2021 in Kraft getretene europäische Verordnung, die die Ausfuhr dieser Instrumente strenger kontrollieren soll, wird bereits heftig kritisiert.
FragDenStaat hat die Medienpartner von „Predator Files“ fachlich unterstützt und gemeinsam mit ihnen den Gesetzgebungsprozess sowie die politischen und privaten Einflüsse untersucht, die zur Schaffung dieser Kontrollregelung geführt haben.
