Überwachung

Reform der Dual-Use-Verordnung: EU-Kommission plant Exportkontrollen für Überwachungstechnologien (Update)

Autoritäre Regime weltweit nutzen europäische Überwachungssoftware zum Ausspähen von Oppositionellen. Nach öffentlichem Druck plant die EU-Kommission den Export der Spähprogramme stärker zu reglementieren. Das geht aus einem heute geleakten Entwurf hervor.

Seit Jahren machen europäische Firmen gute Geschäfte mit dem Verkauf von Überwachungssoftware an autoritäre Regime. In der Vergangenheit haben sie ihre Produkte unter anderem an Ägypten, Uganda und Äthiopien verkauft, wo sie zur Unterdrückung von Oppositionsgruppen und Menschenrechtsaktivisten genutzt wurden. Auch deutsche Firmen profitieren von dem Millionengeschäft. Wir haben darüber mehrfach berichtet.


netzpolitik.org - unabhängig & kritisch dank Euch.

Die EU-Kommission plant nun, diese Geschäfte mittels einer Reform der Dual-Use-Verordnung stärker zu reglementieren. Das geht aus einem von Euractiv veröffentlichten Entwurf hervor. Wir haben einen ersten Blick auf das Dokument (OCR-Version) geworfen und fassen die wichtigsten Punkte zusammen.

Nutzung von Überwachungssoftware verletzt Menschenrechte

Konkret soll zum Export von Software und Technologien, die zur „internen Repression im Zielland“ genutzt werden können, eine Lizenz beantragt werden müssen. Der Entwurf sieht vor, dass alle Mitgliedstaaten Informationen über die von ihnen genehmigten Exporte untereinander teilen. Die Öffentlichkeit soll aber keinen Einblick in die Exportlisten bekommen.

Besonders ist, dass die EU-Kommission den Schutz von Menschenrechten mehrmals explizit als Grund für Exportkontrollen nennt. Der Entwurf führt auch eine neue Definition von Dual-Use-Gütern ein: Bislang waren damit Güter gemeint, die für sowohl militärische als auch zivile Zwecke genutzt werden konnten. Nach der neuen Definition sind damit auch „Cyber-Überwachungs“-Technologien gemeint, die zur Verletzung von Menschenrechten genutzt werden können. In diesem Punkt geht der Entwurf der EU-Kommission über vergleichbare Regulierungen wie das internationale Wassenaar-Abkommen oder die deutsche Außenwirtschaftsverordnung hinaus.

Sicherheitsforschung von Kontrollen ausgenommen

Eine weitere Neuheit findet sich im Entwurf: Der dritte Absatz regelt explizit, dass Forschung zu Sicherheitslücken und Schwachstellen weiterhin möglich ist. IT-Forscher und Aktivisten hatten das Wassenaar-Abkommen dafür kritisiert, bereits die bloße Arbeit an Schwachstellen zu kriminalisieren. Die EU-Kommission scheint auf diese Kritik gehört zu haben.

Für die Reform ist Handels-Kommissarin Cecilia Malmström zuständig. Laut Euractiv wird die Kommission die Änderungen an der Dual-Use-Verordnung offiziell im September beschließen und dem Europäischen Parlament zur Beratung übergeben.

Zuletzt hatten mehrere Hacks von Firmen, die sich auf Überwachungstechnologien fokussiert haben, für Aufmerksamkeit gesorgt. Im August 2014 waren interne Daten der Firmen FinFisher bzw. Gamma veröffentlicht worden, die über Preis und Funktionsumfang ihrer Trojaner-Software FinSpy Auskunft gaben. Ein Jahr später wurde die italienische Firma Hacking Team gehackt, die unter anderem dem Sudan trotz eines bestehenden Waffenembargos ihre Spähsoftware verkauft hatte.

Update, 25. Juli: Edin Omanovic, Research Officer der Bürgerrechtsorganisation „Privacy International“ aus Großbritannien, kommentiert den Vorschlag der EU-Kommission gegenüber netzpolitik.org:

The proposal represents a landmark attempt at trying to provide safeguards into the export of surveillance technology. Finally, years after the Arab Awakening shined a light on to the fact that European companies were supplying security agencies with sweeping surveillance capabilities, concrete action has been proposed. The proposal will mean that member states must assess the risk to human rights before authorising a wide range of surveillance technologies.

(Der Vorschlag stellt einen wichtigen Versuch dar, Schutzmaßnahmen für den Export von Überwachungstechnologien zu gewährleisten. Viele Jahre nachdem durch den Arabischen Frühling bekannt geworden ist, dass europäische Firmen Sicherheitsbehörden mit weitreichenden Überwachungsfähigkeiten ausgestattet haben, werden endlich konkrete Maßnahmen vorgeschlagen. Der Vorschlag bedeutet, dass Mitgliedstaaten die Gefahr für Menschenrechte beurteilen müssen, bevor sie ein breites Spektrum an Überwachungstechnologien [zum Export] autorisieren.)

6 Kommentare
    1. Wird sich noch zeigen müssen, ob das geht. Theoretisch geht’s bei Waffen ja auch.

      Kann mich übrigens jemand aufklären, weshalb Hacken, selbst mit noblen Absichten, als Straftat gilt, aber das Herstellen von faktisch illegaler Software und ihre Anwendung nicht?

  1. Ich würde gern wissen wollen wie man das überhaupt durchsetzten will. Wie will man verhindern oder Überwachen das die Überwachungssoftware via Internet oder Tor nicht weiter versendet bzw, verkauft wird? Oder via einem Stick oder Festplatte weiter gegeben wird? Ich halte das alles praktisch gesehen für unmöglich das ernsthaft zu verhindern. Oder gibt es da echte praktische Vorschläge?

  2. @Wilfried Schlommer

    Effektiv verhindern wird man soetwas leider nicht können. Das ist aber selbst bei konventionellen Rüstungs/Überwachungsgütern, die man ja immerhin markieren und zählen kann, schon der Fall.

    Für den Cyberspace fehlen der Rüstungs- und Proliferationskontrolle noch vollkommen die praktischen Werkzeuge. Aktuell ist es so, dass in Dtl. das BAFA Ausfuhrgenemigung auf Basis der Vorgaben der Regierung, des Auswärtigen Amts und des Wirtschaftsministerium prüft und erteilt. Die Hersteller/Exporteure sind dabei in der Verantwortung selbst zu wissen (auf Basis er Gesetzeslage) was und Exportkontroll-Bestimmungen fällt und in einer Bringschuld der Nachweise (technische Dokumentationen, Verpflichtungen der Käufer u.ä.)

    Exportkontrolle (wie Wassenaar) ist immer ein sehr politisch motivierte Aufgabe, allerdings ist das – aus den oben erwähnten Gründen – auch die einzige Ebene auf der man als Regierung überhaupt steuern kann.

    Der Vorstoß der EU-Kommission ist sehr begrüßenswert, wird aber vermutlich leider nicht allzuviel an der aktuellen Praxis ändern. Im Zweifelsfall verlegen die Firmen ihren Hauptsitz außerhalb der reglementierten Grenzen, wie dies bspw. Vupen nach der Einführung von „intrusion software“ in die Wassenaar-Liste getan hat.

    Siehe http://cyber-peace.org/2015/02/15/vupen-und-die-wassenaar-beschraenkungen/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.