Dies ist ein Gastbeitrag von Daniel Moßbrucker, der für Reporter ohne Grenzen die Reform der Dual-Use-Verordnung begleitet. Eine frühere Version des Textes erschien in der Juni-Ausgabe des Amnesty Journals und ist für diesen Beitrag nach neuen politischen Entwicklungen in Berlin und Brüssel überarbeitet worden. Reporter ohne Grenzen hat für eine Anhörung im Bundeswirtschaftsministerium eine ausführliche Analyse des Entwurfs für eine Dual-Use-Verordnung erarbeitet.
Es sind Szenen wie aus einem Mafia-Film. In einem Konferenzraum der italienischen Firma Intelligence & Peoples Security (IPS) empfängt Verkaufsleiter Ugo Santillo zu einem Gespräch, das eigentlich nach zwei Sätzen beendet sein müsste. Sein Interessent möchte für das iranische Regime Technologie kaufen, mit welcher der Internetverkehr im Land durchleuchtet würde. Chats, Emails und Surfverläufe von Bürgern, Journalisten und Oppositionellen könnten iranische Behörden live mitlesen – und so jede Kritik im Keim ersticken.
Schon 2013 legte das kanadische Citizen Lab eine umfassende Analyse vor, wonach Iran spätestens seit 2009 seine digitale Überwachung schrittweise ausbaut und gegen Regimegegner einsetzt. So wurde als einer der ersten der Student Abbas Hakimzadeh überwacht, als er 2009 gegen das Regime protestierte, und aufgrund seiner abgehörten Gespräche verhaftet und gefoltert. Seitdem wiederholen sich solche Fälle immer wieder.
Der Deal, den Ugo Santillo und sein Gegenüber einfädeln wollen, wäre illegal. Neben dem Iran-Embargo würden auch europäische Exportregeln eine Genehmigung verlangen, die Santillos Firma IPS niemals bekommen dürfte, wenn es um Überwachungstechnologie für Iran geht. Santillo weiß das. „Das bekommen wir aber hin. Iran ist okay für uns, das ist ein unschuldiges Land, ein unschuldiger Kunde“, sagt Santillo. Er verzieht dabei keine Miene. Man habe eine Kundenliste von 20 Staaten und bisher habe es nie Probleme gegeben.
Zum Abschluss des Gesprächs fängt IPS-Geschäftsführer Fabio Romani persönlich den iranischen Interessenten in der Lobby ab und spricht ihm Mut zu: „Mach’ Dir keine Sorgen um die Exportgenehmigung. Du wirst Dir Deinen Arsch nicht verbrennen, dafür sorge ich.“ So scherzen die Strippenzieher einer Branche, in der Moral nicht zählt, solange genügend Geld fließt.
Was die zwei selbstbewussten Italiener nicht ahnen: Der angebliche Interessent ist ein Insider der globalen Überwachungsindustrie und ließ im Auftrag des Fernsehsenders Al Jazeera eine versteckte Kamera mitlaufen. Später wird IPS erklären, dass man das Geschäft letztlich natürlich abgelehnt hätte. Genau wie all die anderen Firmen, die in Gesprächen mit dem Scheinkunden in Deals mit dem Südsudan oder sogar Terrororganisationen eingewilligt hatten. Man halte sich, so das bekannte Mantra dieser zwielichtigen Branche, an alle rechtlichen und ethischen Verpflichtungen und verkaufe nur an Staaten, in denen digitale Waffen nicht missbraucht würden.
Die Enthüllungen von Al Jazeera belegen jedoch das Gegenteil: Europäische Firmen nutzen zahlreiche Schlupflöcher, um Exportregime zu umgehen. Oder sie scheren sich gar nicht erst um rechtliche Auflagen und agieren gänzlich kriminell.
Mit Überwachungssoftware gegen Opposition
Dass der Verkauf solcher Überwachungssoftware eine ernste Gefahr für die Menschenrechte darstellt, ist besonders seit dem Arabischen Frühling ein Thema, mit dem sich nationale und europäische Wirtschaftspolitik befasst. Damals hackten unter anderem ägyptische und marokkanische Geheimdienste die Handys von Oppositionellen und durchleuchteten ihre gesamte Kommunikation. In Marokko etwa betrieb der Arzt Hisham Almiraat gemeinsam mit zeitweise bis zu 35 Kollegen ein Blog, in dem sie über Proteste und die Demokratiebewegung berichteten. Nach einem großangelegten Angriff auf die Arbeits- und Kommunikationsgeräte der Gruppe beendeten die meisten ihre politische Aktivität aus Furcht vor weiterer Repression. Almiraat machte weiter, lebt nun aber im Exil, weil ihm in der Heimat mehrjährige Haft droht.
Mittlerweile ist es für europäische Überwachungsfirmen nicht mehr so einfach, Kunden wie Marokko, Iran oder China zu bedienen. Programme und Geräte zur Ausspähung sind seit 2015 als sogenannte Dual-Use-Produkte klassifiziert und unterliegen einer Kontrolle, wenn sie aus der EU heraus verkauft werden sollen. Dual-Use-Produkte sind Güter, die sowohl für militärische wie auch für zivile Zwecke eingesetzt werden können. Im Unterschied zu klassischen Rüstungsgütern können mit Überwachungssoftware auch legitime Ziele verfolgt werden. In demokratischen Staaten etwa werden Telefonate Krimineller unter rechtsstaatlichen Bedingungen abgehört, um Straftaten aufzuklären. Internetunternehmen wiederum analysieren live ihre Netzauslastung, um für alle Nutzer die Daten schnellstmöglich durchzuleiten – und zwar mit denselben Programmen, mit denen auch die Kommunikation ihrer Kunden durchleuchtet werden könnte. Zwischen legaler und illegaler Verwendung unterscheidet mitunter nur ein Häkchen, das Techniker per Mausklick setzen können.
Wer solche Dual-Use-Güter – dazu gehören neben Überwachungstechnologie auch tausende andere Produkte wie etwa Komponenten von Hubschraubern oder Ersatzteile von Industriemaschinen – exportieren will, benötigt eine Genehmigung. Die maßgebliche Dual-Use-Verordnung der Europäischen Union umfasst lange Listen, die genehmigungspflichtige Güter aufzählen. Sollen gelistete Güter die EU verlassen, stellen die Unternehmen einen Antrag bei einer nationalen Prüfbehörde. In Deutschland entscheidet dann das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) in Wiesbaden über die Anträge. Es geht vor allem um die Frage, für welche Zwecke die Produkte im Zielland eingesetzt werden sollen – und ob wirtschaftliche oder menschenrechtliche Interessen im Einzelfall überwiegen. Detaillierte Statistiken, wie das BAFA für bestimmte Produkte und Zielländer entscheidet, gibt es nicht. Europaweit wurden 2014 fast 30.000 Exportlizenzen erteilt, abgelehnt wurden lediglich 472 – wobei nicht alle EU-Staaten überhaupt Daten sammeln. Gemessen am Warenwert waren unter den zehn wichtigsten Handelspartnern der EU bei Dual-Use-Geschäften auch China, Russland, die Vereinigten Arabischen Emirate sowie die Türkei.
Die Aufnahme von Überwachungstechnologie in die EU-Verordnung sollte den bis dahin nicht regulierten Handel zwischen europäischen Unternehmen und den Diktatoren dieser Welt eindämmen. Ein Trugschluss, wie diverse Einzelfälle seit 2015 belegt haben. 2016 etwa wurde bekannt, dass die italienische Firma Area SpA weiterhin Überwachungssoftware nach Ägypten liefern durfte, obwohl sich die Menschenrechtssituation seit der Machtübernahme durch Präsident Abd al-Fattah as-Sisi nochmal verschlechtert hatte. Im Februar dieses Jahres veröffentlichte ein internationales Kollektiv von NGOs und Journalisten das Ergebnis aufwändiger Recherchen, wonach die EU-Mitgliedstaaten in den vergangenen zwei Jahren den Export von Überwachungstechnik mindestens 317 Mal gestattet hatten. Nur 14 Ausfuhranträge wurden abgelehnt.
Auch Deutschland, das in Europa eher als Vorreiter einer strengen Exportkontrolle gilt, erlaubt weiterhin den Handel mit Ländern, in denen Journalisten erwiesenermaßen illegitim überwacht werden. Zwischen 2014 und 2016 gingen insgesamt neun Lieferungen von Spähtechnik an die Länder Ägypten, Algerien, Marokko, Nigeria, Saudi-Arabien und die Vereinigten Arabischen Emirate, wie die Bundesregierung in der Antwort auf eine parlamentarische Anfrage der Grünen im September 2017 mitteilte.
Überwachungssoftware unzureichend reguliert
Dies zeigt, dass die bloße Ergänzung von Produkten in die Listen der Dual-Use-Verordnung nicht ausgereicht hat. Das Exportregime war 2009 für klassische Güter erarbeitet worden, eine Anpassung an digitale Technologien fand nie statt. Ein fataler Fehler. Überwachungssoftware kann theoretisch in einem Email-Anhang verschickt werden und ist damit schwieriger zu kontrollieren als materielle Dual-Use- oder Rüstungsgüter. Das hat auch die EU-Kommission erkannt und im September 2016 den Entwurf für eine grundlegende Reform der Dual-Use-Verordnung vorgelegt. Das Bundeswirtschaftsministerium (BMWi) unter dem damaligen Wirtschaftsminister Sigmar Gabriel nahm in diesem Prozess eine aktive Rolle ein, indem es schon vorab auf nationaler Ebene schärfere Regeln einführte als von der EU gefordert – und somit den Reformdruck auf Brüssel erhöhte.
Mit ihrem Entwurf passte die Kommission die Kontrollmechanismen an digitale Technologien an und verschärfte sie gleichzeitig. Nach den Plänen soll der Schutz der Menschenrechte ein explizites Kriterium werden bei der Entscheidung, ob Exporte in Drittländer genehmigt werden oder nicht. Bei allen Schwächen, die der an vielen Stellen noch vage Entwurf hat, ist dies die bisher größte Chance, den Handel mit Überwachungssoftware von europäischen Unternehmen ansatzweise in den Griff zu bekommen. Zumindest werden die Schlupflöcher, die von dubiosen Geschäftsleuten wie Santolli und Romani bisher großzügig genutzt werden, immer kleiner. Und die Möglichkeiten, Unternehmen bei Verstößen strafrechtlich zu verfolgen, besser. Der Entwurf wird gerade im EU-Parlament diskutiert, doch etwa seit Mai geraten die Verhandlungen zunehmend ins Stocken.
Kern der Reform ist die neue Pflicht für Unternehmen, die menschenrechtlichen Folgen der eigenen Produkte sorgfältig abzuschätzen. Sie müssen weiterhin für jedes Produkt, das in der Verordnung gelistet ist, eine Genehmigung einholen. Zusätzlich werden nach den Plänen der Kommission aber auch Güter genehmigungspflichtig, die nicht gelistet sind, aber dennoch einen doppelten Verwendungszweck haben und Menschenrechtsverletzungen zur Folge haben könnten. Diese sogenannte menschenrechtliche Catch-All-Klausel ist der entscheidende Schritt, von dem die EU in den anstehenden Beratungen nicht mehr abrücken darf.
Gerade bei digitaler Überwachungstechnologie verläuft die Entwicklung neuer Produkte rasant, und durch den Einsatz im Verborgenen bekommt von ihrer Existenz kaum jemand etwas mit. Es dürfte für europäische und nationale Behörden daher in einigen Fällen unmöglich sein, solche Produkte zu den Güterlisten hinzuzufügen. Mit einer Catch-All-Klausel könnten sich Unternehmen dann aber nicht mehr darauf berufen, dass ihre Produkte nicht gelistet waren und sie deshalb legal in ein Land wie China exportiert hätten. Sie müssten nun nachweisen, dass mit dem Produkt zur Zeit des Exports keine Gefahr für die Menschenrechte bestand – bei einer objektiven Betrachtung dürfte das in vielen Fällen unmöglich sein und Exporte damit illegal. Prüfen die Unternehmen nicht sorgfältig, drohen ihnen Strafzahlungen oder Lizenzentzüge für künftige Geschäfte.
Deutsche Industrie mauert
Genau diese zusätzliche Prüfpflicht ist der (deutschen) Industrie jedoch ein Dorn im Auge. In einer Stellungnahme forderte der Bundesverband der Deutschen Industrie (BDI), die Mitgliedstaaten „sollten die Verantwortung politisch-rechtlicher Einschätzung nicht auf Unternehmen abwälzen“. Der Privatsektor bringt bei jeder Gelegenheit die Drohung vor, Unternehmen würden künftig aus Rechtsunsicherheit nationale Prüfstellen wie das BAFA mit Genehmigungsanfragen fluten. „Unternehmen würden Einzelprüfungen durch Behörden nicht nur im Zweifelsfall beziehungsweise in eindeutigen Genehmigungsfällen, sondern zur Absicherung regelmäßig anstrengen“, heißt es im BDI-Papier.
Diese Warnung scheint bei der Bundesregierung offensichtlich zu verfangen. Obwohl die Mitgliedstaaten im politischen Prozess eigentlich erst nach einem Votum im Europäischen Parlament in den Trilog-Verhandlungen zum Zug kommen würden, ist ihre Einschätzung in den aktuellen Gesprächen im Parlament omnipräsent. „Es geht um beträchtliche wirtschaftliche Interessen. Mein Team und ich erleben, wie manche deutsche Abgeordnete der Regierungsparteien Änderungsanträge eins zu eins von der deutschen Industrie einbringen“, sagt Klaus Buchner von der ÖDP, der als Berichterstatter die Verhandlungen im federführenden Ausschuss für internationalen Handel (INTA) koordiniert. „Bisher scheint mir, dass die Bundesregierung mehr um die Industrie als um Menschenrechte besorgt ist. Ich hoffe, dass ich mich irre.“
Ursprünglich wollte der INTA dem Parlamentsplenum bereits im Juli eine überarbeitete Version des Kommissionsentwurfes zur Abstimmung vorlegen, mit dem dann im September der Trilog begonnen worden wäre. Doch das INTA-Votum wurde mehrfach verschoben, der neue Termin ist für die vorletzte Novemberwoche angesetzt worden. Durch den Druck von Mitgliedstaaten und Industrie gelten die Fronten als zunehmend verhärtet. „Ein guter Kompromiss kostet Zeit. Jetzt wird es aber keine weitere Verschiebung mehr geben“, verspricht Buchner. Das Parlament dürfte dann im Januar oder Februar abstimmen, der Trilog begänne wohl im April.
Zwei Gruppen von Dual-Use-Gütern geplant
Der sich abzeichnende Kompromiss sieht vor, dass es bald zwei verschiedene Gruppen von Dual-Use-Gütern geben wird. Einerseits die klassischen, also zum Beispiel Bestandteile von konventionellen Waffen. Andererseits die neuartigen, also vor allem Überwachungstechnologie. Oder, wie es im Bundeswirtschaftsministerium intern heißt: „Cyber vs. Non-Cyber“. Die Befürworter stellen in Aussicht, dass dann für jede Gruppe ein spezifisches Regime entwickelt werden kann. Also könnte Überwachungstechnologie effektiver und schärfer reguliert werden, weil auf besondere Charakteristika Rücksicht genommen werden könnte.
Dieser Ansatz verkennt, dass jedes Dual-Use-Gut qua Definition eine Gefahr für Menschenrechte sein kann und sich herstellende Unternehmen nicht aus einer besonderen Verantwortung stehlen können. Vor allem aber ist nicht garantiert, dass Überwachungstechnologie am Ende wirklich schärfer kontrolliert wird, schließlich gehört jede einzelne Anforderung im Trilog wieder zur Verhandlungsmasse.
Das enge Verhältnis von Industrie und Mitgliedstaaten legt ein weiteres Problem des aktuellen europäischen Exportregimes offen, für das der Kommissionsentwurf keine Verbesserungen bringen würde: Manche Firmen missachten rechtliche Vorgaben entweder ganz oder bekommen von ihren nationalen Behörden Genehmigungen, obwohl alle Beteiligten ahnen müssen, dass damit schlimmste Menschenrechtsverletzungen begangen werden. In den fingierten Verkaufsgesprächen erfuhr der verdeckte Reporter von Al Jazeera etwa von der Firma Area SpA, dass man mit den nationalen Behörden gut zusammenarbeiten könne und immer Wege finde bei Problemen. Im ersten Quartal 2017 erlaubte die britische Kontrollbehörde Unternehmen, Produkte zur Massenüberwachung an die Türkei zu liefern.
Transparenz bleibt Mangelware
Es fehlt auf diesem Schattenmarkt an Transparenz, an der jedoch keiner der Beteiligten ein ernstes Interesse hat: Die Firmen fürchten um ihren Ruf bei fragwürdigen Geschäften und nennen den Schutz eigener Geschäftsgeheimnisse als Grund für ihre Verschwiegenheit; Empfängerstaaten wollen nicht offenlegen, welche Produkte ihre Sicherheits- und Geheimdienste gegen die eigene Bevölkerung einsetzen; und die EU-Staaten sind selbst Kunden dieser Firmen, die angeblich nur durch zusätzliche Erlöse aus internationalen Geschäften die teure Soft- und Hardware entwickeln können – und dann weiterhin in der Heimat Steuern zahlen.
Es ist daher enttäuschend, dass der aktuelle EU-Entwurf keine Transparenzpflichten für Dual-Use-Exporte vorsieht. Es braucht detaillierte Daten, welche Produkte aus welchen Ländern wohin exportiert werden. Nur so kann ein Diskurs darüber entstehen, ob diese Geschäfte mit den fundamentalen Werten der EU wirklich vereinbar sind – etwa mit dem Recht auf Presse- und Meinungsfreiheit oder dem rechtsstaatlichen Einsatz von Überwachung. Außerdem können Bürger, Journalisten und Menschenrechtsverteidiger in den betroffenen Ländern durch detaillierte Statistiken zumindest ansatzweise erahnen, welche Gefahr für ihre Kommunikationsfreiheit bestehen kann.
Dass sich Deutschland bisher nicht sichtbar für mehr Transparenz eingesetzt hat, bleibt unverständlich. Auf den Fluren des Bundeswirtschaftsministeriums ist zu hören, dass das BAFA schon ausgelastet sei und die Antragsflut der Unternehmen kaum stemmen könne. Genau in diese Kerbe schlägt auch das Argument der Industrie, die mit noch mehr Anträgen in Zukunft droht. Transparenzpflichten würden, so das BMWi-Argument, noch mehr Arbeit machen und man könne darauf vertrauen, dass das BAFA nichts genehmige, was Menschenrechte in Gefahr bringe. Angesichts bekannt gewordener Fälle auch deutscher Unternehmen fällt es jedoch schwer, all dies so pauschal zu glauben. Im Dezember 2016 enthüllte etwa netzpolitik.org, dass Syrien mit Hilfe einer deutsch-arabischen Firma bis zu Beginn des Bürgerkrieges seinen Überwachungsapparat modernisierte.
Verbesserungsvorschläge liegen auf dem Tisch
Buchner schlug in seinen im April veröffentlichten Änderungsvorschlägen für den Kommissionsentwurf jene Transparenzpflichten vor, die von der Zivilgesellschaft seit jeher gefordert wurden. Die Kritik der Coalition Against Unlawful Surveillance Exports (CAUSE), der neben Reporter ohne Grenzen unter anderem Amnesty International, Privacy International und Human Rights Watch angehören, findet sich in vielen Änderungsvorschlägen wieder, die Buchner und seine Kollegen vorgelegt haben. Es scheint, als finde sich für eine Verbesserung der Transparenz eine politische Mehrheit im INTA, selbst wenn die Details weiterhin verhandelt werden.
Nach der Abstimmung im Parlament wandert das Papier in die Trilog-Verhandlungen, in denen neben den Vertretern der Abgeordneten die Kommission sowie die Mitgliedstaaten zustimmen müssen. Hier wird sich öffentlich zeigen, wie ernsthaft die Bundesregierung die Verankerung der Menschenrechte in den Dual-Use-Exportkontrollen verfolgt und wie sehr sie sich dem Druck der Industrielobby beugt. Deutsche Unternehmen führen europaweit die meisten Dual-Use-Güter aus, weshalb der Bundesregierung ein enormes Gewicht in den Verhandlungen zufällt.
Eine effektivere Kontrolle der Dual-Use-Güter wird Überwachungsexporte nicht verhindern können, auch werden manche Unternehmen weiterhin die Grenzen des Legalen überdehnen. Aber illegale Geschäfte wie eines von IPS mit Iran wären schwieriger durchzuführen. Im Nachhinein könnten Verantwortliche wie Santillo und Romani bestraft werden, wenn sie sich um die menschenrechtlichen Folgen ihrer Deals nicht scheren. Es wäre ein Paradigmenwechsel in der Kontrolle von Überwachungstechnologie – und die Chance, Millionen von Menschen besser vor illegitimer Überwachung durch europäische Produkte zu schützen.
Wo gibt es eine Übersicht über Firmen in der EU, die Überwachungssoftware produzieren? Wir brauchen mehr Transparenz wer wo illegitime bis illegale Software produziert, um auch auf lokaler Ebene mehr Aufmerksamkeit erzeugen zu können.
Eine Frage, die sich im Hinblick auf den Export von Überwachungssoftware aufdrängt ist:
Wenn schon der Export von Überwachungssoftware reglementiert bzw. verboten werden soll, wer kauft diese Produkte innerhalb der EU und wofür werden diese hier eingesetzt?
Welcher legale Einsatz von Überwachungssoftware in den Ländern der EU überhaupt möglich?
Wer möglicherweise noch beim Export mit den Schultern zuckt, der sollte sich mal fragen, womit diese Firmen innerhalb der EU ihr Geld verdienen.