Seit Jahren machen europäische Firmen gute Geschäfte mit dem Verkauf von Überwachungssoftware an autoritäre Regime. In der Vergangenheit haben sie ihre Produkte unter anderem an Ägypten, Uganda und Äthiopien verkauft, wo sie zur Unterdrückung von Oppositionsgruppen und Menschenrechtsaktivisten genutzt wurden. Auch deutsche Firmen profitieren von dem Millionengeschäft. Wir haben darüber mehrfach berichtet.
Die EU-Kommission plant nun, diese Geschäfte mittels einer Reform der Dual-Use-Verordnung stärker zu reglementieren. Das geht aus einem von Euractiv veröffentlichten Entwurf hervor. Wir haben einen ersten Blick auf das Dokument (OCR-Version) geworfen und fassen die wichtigsten Punkte zusammen.
Nutzung von Überwachungssoftware verletzt Menschenrechte
Konkret soll zum Export von Software und Technologien, die zur „internen Repression im Zielland“ genutzt werden können, eine Lizenz beantragt werden müssen. Der Entwurf sieht vor, dass alle Mitgliedstaaten Informationen über die von ihnen genehmigten Exporte untereinander teilen. Die Öffentlichkeit soll aber keinen Einblick in die Exportlisten bekommen.
Besonders ist, dass die EU-Kommission den Schutz von Menschenrechten mehrmals explizit als Grund für Exportkontrollen nennt. Der Entwurf führt auch eine neue Definition von Dual-Use-Gütern ein: Bislang waren damit Güter gemeint, die für sowohl militärische als auch zivile Zwecke genutzt werden konnten. Nach der neuen Definition sind damit auch „Cyber-Überwachungs“-Technologien gemeint, die zur Verletzung von Menschenrechten genutzt werden können. In diesem Punkt geht der Entwurf der EU-Kommission über vergleichbare Regulierungen wie das internationale Wassenaar-Abkommen oder die deutsche Außenwirtschaftsverordnung hinaus.
Sicherheitsforschung von Kontrollen ausgenommen
Eine weitere Neuheit findet sich im Entwurf: Der dritte Absatz regelt explizit, dass Forschung zu Sicherheitslücken und Schwachstellen weiterhin möglich ist. IT-Forscher und Aktivisten hatten das Wassenaar-Abkommen dafür kritisiert, bereits die bloße Arbeit an Schwachstellen zu kriminalisieren. Die EU-Kommission scheint auf diese Kritik gehört zu haben.
Für die Reform ist Handels-Kommissarin Cecilia Malmström zuständig. Laut Euractiv wird die Kommission die Änderungen an der Dual-Use-Verordnung offiziell im September beschließen und dem Europäischen Parlament zur Beratung übergeben.
Zuletzt hatten mehrere Hacks von Firmen, die sich auf Überwachungstechnologien fokussiert haben, für Aufmerksamkeit gesorgt. Im August 2014 waren interne Daten der Firmen FinFisher bzw. Gamma veröffentlicht worden, die über Preis und Funktionsumfang ihrer Trojaner-Software FinSpy Auskunft gaben. Ein Jahr später wurde die italienische Firma Hacking Team gehackt, die unter anderem dem Sudan trotz eines bestehenden Waffenembargos ihre Spähsoftware verkauft hatte.
Update, 25. Juli: Edin Omanovic, Research Officer der Bürgerrechtsorganisation „Privacy International“ aus Großbritannien, kommentiert den Vorschlag der EU-Kommission gegenüber netzpolitik.org:
The proposal represents a landmark attempt at trying to provide safeguards into the export of surveillance technology. Finally, years after the Arab Awakening shined a light on to the fact that European companies were supplying security agencies with sweeping surveillance capabilities, concrete action has been proposed. The proposal will mean that member states must assess the risk to human rights before authorising a wide range of surveillance technologies.
(Der Vorschlag stellt einen wichtigen Versuch dar, Schutzmaßnahmen für den Export von Überwachungstechnologien zu gewährleisten. Viele Jahre nachdem durch den Arabischen Frühling bekannt geworden ist, dass europäische Firmen Sicherheitsbehörden mit weitreichenden Überwachungsfähigkeiten ausgestattet haben, werden endlich konkrete Maßnahmen vorgeschlagen. Der Vorschlag bedeutet, dass Mitgliedstaaten die Gefahr für Menschenrechte beurteilen müssen, bevor sie ein breites Spektrum an Überwachungstechnologien [zum Export] autorisieren.)