Die EU-Kommission wäscht ihre Hände in Unschuld, was die vielfach kritisierten Angriffe mit Spyware wie Pegasus auch auf Oppositionelle, Bürgerrechtler und Anwälte in Mitgliedsstaaten angeht. Sie selbst verwende keine solche Überwachungssoftware oder andere Malware und habe dies auch nie getan, schreiben die Leiter der Ressorts für Verwaltung und Justiz der Brüsseler Regierungsinstitution, Johannes Hahn und Didier Reynders, in einer Antwort auf 24 Fragen des Pegasus-Untersuchungsausschusses des EU-Parlaments. Alles andere sei Sache der Länder.

Spyware kann "wirksam und notwendig" sein

"Der Einsatz von Spyware-Technologien durch nationale Sicherheits- und Strafverfolgungsbehörden kann – sofern er ethisch vertretbar und im Einklang mit dem Recht (einschließlich des EU-Rechts) erfolgt – ein wirksames und notwendiges Instrument der Strafverfolgung sein, um Sicherheit und Recht im digitalen Zeitalter zu gewährleisten", teilt die Kommission in dem zehnseitigen Schreiben mit, das heise online im Original vorliegt und Netzpolitik.org als Textversion veröffentlicht hat.

"Die Strafverfolgungsbehörden müssen moderne digitale Technologien nutzen, um in einem digitalen Umfeld zu ermitteln und der zunehmenden Nutzung von Technologien durch organisierte kriminelle Gruppen entgegenzuwirken", begründet die Exekutivinstanz ihre Haltung. Nicht entgangen ist ihr indes auch: Es gebe "immer wieder Berichte über Missbrauch und Menschenrechtsverletzungen aufgrund des unrechtmäßigen Einsatzes digitaler Überwachungsinstrumente."

Beklagt würden dabei "Verletzungen des Datenschutzes und der Privatsphäre, willkürliche Verhaftungen oder hartes Durchgreifen gegen die Zivilgesellschaft und Bürger", wissen Hahn und Reynders. Die Untersuchung derartiger Vorfälle falle zunächst in die Zuständigkeit der einzelnen EU-Mitgliedstaaten, könne aber auch "Gegenstand der Überwachung und Kontrolle durch die Kommission sein". Man verfolge die Entwicklungen hier genau und sammele Informationen, "um sicherzustellen, dass die nationalen Vorschriften mit dem EU-Datenschutzrahmen und anderen einschlägigen EU-Rechtsvorschriften in Einklang stehen".

Verantwortung der EU-Mitgliedsstaaten

Die nationalen Behörden müssten "derartige Vorwürfe gründlich prüfen und das Vertrauen der Bürger wiederherstellen", betonen die beiden Kommissare. Sie seien sich "insbesondere der besonderen Risiken bewusst, denen Journalisten und Menschenrechtsverteidiger in diesem Zusammenhang ausgesetzt sind". An alle Mitgliedstaaten geht der Appell, "Rechtsvorschriften und Schutzmaßnahmen zum Schutz des Einzelnen vor unrechtmäßiger Überwachung, einschließlich willkürlicher oder massenhafter Überwachung, umzusetzen". Solche Maßnahmen müssten in vollem Einklang mit den internationalen Menschenrechtsnormen stehen. Parallel wolle man die Cybersicherheit stärken.

Über die jüngsten Spyware-Skandale in Ungarn, Polen, Spanien und Griechenland kann die Kommission noch nicht viel sagen. Die beiden ersten Länder beriefen sich beim Einsatz von Pegasus auf die nationale Sicherheit. Griechenland zweifele ebenfalls an, dass die EU zuständig sei. Spanien habe noch gar nicht auf ein Auskunftsersuchen geantwortet.

Auch die Kontakte mit den Behörden in Israel, wo der Pegasus-Hersteller NSO Group sitzt, haben dem Brief nach bislang wenig gebracht. Ziel sei es gewesen, den Ausfuhrkontrollgremien die eigene Besorgnis über die Spionageberichte zum Ausdruck bringen und Hinweise auf etwaige damit zusammenhängende Abhilfemaßnahmen einzuholen. Bisher habe die Kommission entsprechende Zusagen aber noch nicht erhalten.

Keine Antworten

Eine Delegation des Pegasus-Ausschusses stieß in Israel laut einer Protokollnotiz ebenfalls weitgehend auf eine Mauer des Schweigens: Statt mit Verantwortlichen des Verteidigungsministeriums durften die Parlamentarier nur mit Abgesandten des Außenministeriums sprechen. Diese beschränkten sich darauf, die Ausfuhrregeln allgemein zu erläutern.

Berichte über einen offenbar erfolgreichen Spyware-Angriff auf Reynders und andere Kommissionsangestellte bejahen die Verfasser des Schreibens an die Volksvertreter nicht. "Apple hat am 23. November 2021 eine offizielle Mitteilung über die mögliche Kompromittierung des Geräts von Kommissar Reynders durch staatlich unterstützte Angreifer übermittelt", erklären sie. "Weder die von den Ermittlern vor noch nach diesem Datum durchgeführten Überprüfungen bestätigten, dass es einer solchen Software gelungen war, die privaten oder beruflichen Geräte des Kommissars zu kompromittieren".

Ferner überprüften die zuständigen Dienststellen der Kommission der Antwort zufolge auch die Mobiltelefone weiterer Kommissionsbediensteter, die an diesem Tag ähnliche Benachrichtigungen von Apple erhalten hatten. Auch bei diesen habe sich der Verdachtshinweis von Apple nicht bestätigt. Man habe schon vor einem Jahr eine mobile "Endpoint Detection and Response"-Lösung (EDR) auf Smartphones aller Mitarbeiter eingeführt, um ähnliche Bedrohungen zu bekämpfen.

Kritik an mangelnder Aufarbeitung

"Die Kommission tut deutlich zu wenig und ist auch nicht transparent", kommentierte die EU-Abgeordnete Cornelia Ernst (Linke) den Bescheid. Insgesamt nähre dieser den Verdacht, dass "der staatliche Einsatz von Spionagesoftware in Brüssel eher heruntergekocht denn aufgearbeitet werden" solle. Der Tipp des israelischen Außenministeriums, "dass wir ausgerechnet Europol danach fragen sollen, ist ein schlechter Scherz". Eine Anhörung habe schon offenbart, dass die Polizeibehörde keine ihrer neuen Kompetenzen einsetzen wolle, um Demokratie und Rechtsstaatlichkeit in der EU zu schützen.

"Das Ausspionieren von Bürgern zu politischen Zwecken ist ein Verbrechen", betonte die Liberale Sophie in’ t Veld auf Twitter: "Wir sollten uns darüber im Klaren sein, wer die Täter sind: die nationalen Regierungen." Die Kommission und das Parlament könnten sich beim Schutz der Bürger nicht auf den EU-Rat verlassen.

