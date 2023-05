EU-Staaten sollen Schutzmaßnahmen erfüllen, wenn sie Staatstrojaner wie Pegasus weiterhin nutzen wollen. Dazu zählt der Nachweis, dass die Anwendung von Spyware durch den Staat mit den europäischen Standards für Menschenrechte und Rechtsstaatlichkeit in Einklang steht. Das fordert der Untersuchungsausschuss des EU-Parlaments über den Einsatz von Pegasus und vergleichbarer Spionagesoftware nach gut einem Jahr Untersuchung.

Die Abgeordneten verlangen zudem, dass alle Lizenzen für den Verkauf von Spionagesoftware, die nicht mit der Dual-Use-Verordnung für militärisch und zivil einsetzbare Technik übereinstimmen, zurückzuziehen sind. Dies habe auch für den Bereich der nationalen Sicherheit zu gelten.

Alle Fälle des mutmaßlichen Missbrauchs von Spähsoftware sollen von den zuständigen Strafverfolgungs-, Justiz- und Regierungsbehörden "umfassend untersucht und unverzüglich aufgeklärt werden". Nötig sei ferner die "ausdrückliche Zusage", Europol bei Ermittlungen wegen des Verdachts der unrechtmäßigen Verwendung von Spyware einzuschalten.

Große Mehrheit für unverbindliche Empfehlungen

Der Untersuchungsausschuss hat seinen Abschlussbericht am Montag mit der großen Mehrheit von 30 Stimmen beschlossen, bei nur drei Gegenstimmen und vier Enthaltungen. Die Empfehlungen sind von einer ähnlich starken Mehrheit untermauert.

Generell verurteilt der Ausschuss den angenommenen Kompromissen zufolge "aufs Schärfste den Einsatz von Spähsoftware durch die Regierungen der Mitgliedstaaten, Mitglieder von Regierungsbehörden oder staatlichen Institutionen zu dem Zweck, Opposition, Kritiker und die Zivilgesellschaft zu überwachen, zu erpressen, einzuschüchtern, zu manipulieren und zu diskreditieren". Inakzeptabel sei auch, "die demokratische Kontrolle und die Pressefreiheit auszuschalten, Wahlen zu manipulieren und die Rechtsstaatlichkeit zu untergraben". Richter, Staatsanwälte und Rechtsanwälte dürften auf keinen Fall für politische Zwecke ins Visier genommen werden.

Der unrechtmäßige Einsatz von Spionageprogrammen durch die Regierungen von EU-Ländern und von Drittstaaten beeinträchtige "direkt und indirekt die Organe der Union und den Entscheidungsprozess", was "die Integrität der Demokratie untergräbt", schlagen die Volksvertreter Alarm. Sie stellen "mit großer Besorgnis" fest, dass die derzeitige Regulierungsstruktur der Gemeinschaft "grundsätzlich unzureichend ist", um auf solche Angriffe zu reagieren. Viele Mitgliedstaaten blieben untätig, was die gesamte EU bedrohe.

Die Parlamentarier vertreten daher den Standpunkt, "dass der Handel mit und die Verwendung von Spähsoftware streng geregelt werden muss". Sie erkennen jedoch an, "dass der Gesetzgebungsprozess Zeit in Anspruch nehmen kann, während der Missbrauch sofort gestoppt werden muss". Daher müsse der legale Einsatz, der Verkauf, der Erwerb und die Weitergabe von Spyware an die Annahme der genannten Bedingungen geknüpft werden. Die EU-Kommission soll bis spätestens 30. November bewerten, ob die Mitgliedsstaaten die Anforderungen erfüllen, und ihre Ergebnisse veröffentlichen.

Fingerabdruck soll in die Malware

Überwachungssoftware soll den Empfehlungen für jeden Anwender unterschiedlich markiert werden, "damit die Aufsichtsbehörden bei einem Missbrauchsverdacht den Verursacher eindeutig identifizieren können". Diese obligatorische Signatur soll aus einer individuellen Kennzeichnung der zuständigen Stelle, der Art des verwendeten Programms und einer anonymisierten Fallnummer bestehen. In einer Klausel zu Zero-Day-Exploits drängt der Ausschuss darauf, die Ausnutzung bislang unbekannter Sicherheitslücken zu regulieren und ein verantwortungsvolles Verfahren zu deren Offenlegung einzurichten. Solche Schwachstellen dürften allenfalls zum Zweck "der Stärkung der Sicherheit" eines Systems verkauft werden.

Um illegale Überwachung aufzudecken, schlagen die Abgeordneten die Einrichtung eines "EU Tech Labs" vor. Es unabhängiges Forschungsinstitut soll Verdachtsfälle untersuchen, rechtliche und technologische Unterstützung leisten, Geräte prüfen und forensische Untersuchungen durchführen. Außerdem empfiehlt der Untersuchungsausschuss eine gemeinsame Spyware-Strategie der EU und der USA, Gespräche mit Israel und anderen Drittländern, mit dem Ziel der Festlegung von Regeln für Vermarktung und Export von Spyware.

Das Gremium, das Mitte April 2022 seine erste Sitzung hatte, wendet sich auch direkt an einzelne EU-Länder. Laut dem Online-Dienst Politico lehnte die Fraktion der konservativen Europäischen Volkspartei (EVP), der CDU und CSU angehören, die Empfehlungen zu Griechenland ab. Sie fanden dennoch eine Mehrheit. Die Regierung in Athen ist in eine wuchernde Überwachungsaffäre verstrickt, in deren Rahmen Journalisten, Beamte und Unternehmer mit dem Staatstrojaner Predator ausspioniert wurden. Der Ausschuss forderte schon im November, dass die Exekutive jeden Zweifel an solch fragwürdigen Einsätzen beseitigen müsse. Der griechische Ministerpräsident Kyriakos Mitsotakis, der sich am 21. Mai Parlamentswahlen stellen muss, gehört der EVP an.

In der EU haben Spyware-Skandale unter anderem auch in Ungarn und Polen sowie Spanien für Schlagzeilen gesorgt. Den parlamentarischen Aufklärern waren aber oft die Hände gebunden. Eine Delegation des Ausschusses stieß zudem in Israel, wo nicht nur der Pegasus-Hersteller NSO Group seinen Hauptsitz hat, auf eine Schweigemauer: Statt mit Verantwortlichen des Verteidigungsministeriums durften die Abgeordneten nur mit Abgesandten des Außenministeriums sprechen. Diese beschränkten sich darauf, die Ausfuhrregeln allgemein zu erläutern.

Phlegmatische EU-Kommission

Die Europäische Kommission reagierte oft achselzuckend. Der Einsatz von Spyware durch nationale Sicherheits- und Strafverfolgungsbehörden kann ihr zufolge wirksam und notwendig sein. In dem Bericht moniert der Ausschuss, von den nationalen Behörden "nur minimale oder gar keine aussagekräftigen Informationen über den Erwerb und die Verwendung von Spähsoftware" sowie über Finanzaspekte erhalten zu. Anbieter und Länder, die Ausfuhrgenehmigungen erteilen, gäben keine Informationen über die Kunden heraus. In vielen Mitgliedstaaten seien die nötigen hohen Ausgaben nicht im regulären Haushalt enthalten und "entziehen sich daher möglicherweise der Kontrolle".

Der Bericht und die Empfehlungen, die noch das Parlamentsplenum passieren müssen, sind nicht bindend. Einem Kurswechsel stehen bei einigen Mitgliedsstaaten politische Eigeninteressen entgegen. Berichterstatterin Sophie in 't Veld beklagte, bislang "ist nicht einer einzigen Person Gerechtigkeit zuteil geworden", die illegitim ausgespäht worden sei. Es gebe aber keine Straffreiheit für Taten in der Vergangenheit. Auch mit dem "umfassenden Zeugnis" über fragwürdige Praktiken und dem soliden Erwiderungspaket sei noch viel zu tun. Die Liberale kündigte an: "Die Prüfung durch dieses Haus wird weitergehen." Auch der Ausschussvorsitzende Jeroen Lenaers (EVP) versicherte, dass die Arbeit mit dem Finale des Gremiums nicht enden werde.

Ihren Entwurf für die nun mit Änderungen beschlossene Stellungnahme präsentierte in 't Veld schon im November. Sie kritisierte, gerade in Polen und Ungarn seien Staatstrojaner ein "integrales Element" eines Systems, in dem regierungskritische Reporter und Oppositionelle unterdrückt würden. Die nationalen Regierungen ließen die europäische Spionagebranche gewähren. Die Niederländerin rief damals nach einem sofortigen Moratorium; im Untersuchungsausschuss hat sie für diese Forderung keine Mehrheit gefunden.

