European Media Freedom ActEU einigt sich beim Hacken von Journalist:innen

Im Trilog zum europäischen Medienfreiheitsgesetz einigen sich Parlament und Rat auch beim letzten Streitpunkt: staatlichem Hacken und Überwachen. Zwar soll die generelle Ausnahme für nationale Sicherheit nicht kommen, doch an anderer Stelle wurde der Schutz in den Verhandlungen verwässert.

Galina Timchenko pei einer Pressekonferenz
Stand im Visier von Pegasus: die Journalistin Galina Timchenko – Alle Rechte vorbehalten IMAGO / Russian Look

Am Ende hat Macron seinen Willen doch nicht bekommen. Am Freitag verhandelten Kommission, Parlament und die Mitgliedstaaten der EU im sogenannten Trilog über den European Media Freedom Act (EMFA). Er soll Journalist:innen schützen, auch vor staatlicher Überwachung. Nun ist klar: Eine generelle Ausnahme für nationale Sicherheit wird es nicht geben. Doch nicht alle stimmen in den Jubelchor mit ein.

Dass Journalist:innen mit Staatstrojanern wie Pegasus und Predator gehackt werden, ist eine traurige Realität – auch in Europa. Mindestens in Griechenland und Ungarn haben staatliche Stellen solche Staatstrojaner gegen Journalist:innen eingesetzt. Nicht immer sind die Urheber:innen der Attacken bekannt. Zudem ist immer noch unklar, wer die russische Exil-Journalistin Galina Timchenko mit Pegasus gehackt hat.

Das ist ein großes Problem für die Pressefreiheit: Denn wie kann eine Journalistin ihrem Informanten Anonymität garantieren – wenn gleichzeitig Polizistinnen oder Geheimdienstler mitlesen? Dennoch wurde um keine andere Bestimmung des EMFA so sehr gerungen.

Strenge Regeln versus große Ausnahme

Die Vorstellungen der verhandelnden EU-Institutionen lagen weit auseinander. Das Parlament wollte den Spyware-Einsatz nur unter strengen Voraussetzungen erlauben. Der Staatstrojaner-Einsatz sollte nur dann erlaubt sein, wenn er nicht im Zugang zu journalistischen Quellen resultiere oder im Zusammenhang mit der journalistischen Arbeit stünde. Zudem müsse es eine richterliche Bestätigung geben.

Über 80 zivilgesellschaftliche Organisationen, darunter auch der Chaos Computer Club, forderten ein komplettes Verbot, auch einige Abgeordnete von S&D, Grünen und Linken waren dafür. Diese Position setzte sich aber nicht durch. „Wir können nicht jedem Individuum, was journalistische Arbeit macht, einen Blankoscheck in allen Lebenslagen und Situationen bezüglich Rechtsstaatlichkeit ausfüllen“, sagte die CDU-Abgeordnete Sabine Verheyen zur Begründung.

Einen Blankoscheck der umgekehrten Art hatten jedoch die Mitgliedstaaten im Sinn. Die Regierungen wollten eine Ausnahme des Hackingverbots: Der EMFA dürfe an dieser Stelle nicht die nationale Sicherheit tangieren. Vor allem die französische Regierung stecke hinter dieser Formulierung, so erzählten es Parlamentarier:innen immer wieder. Erst diesen Sommer verhörten französische Behörden Journalist:innen und durchsuchten ihre Räume und Geräte, um an deren Quellen zu gelangen.

Keine explizite Erwähnung

Der Konflikt spitzte sich am letzten Verhandlungstag zu. Aus Parlamentskreisen ist zu hören, dass der Trilog zwischenzeitlich auf der Kippe stand. Für das Parlament war die Ausnahme der nationalen Sicherheit eine rote Linie, die Regierungen hingegen wollten gleich den ganzen EMFA unter den Vorbehalt der nationalen Sicherheit stellen, nicht nur den Spyware-Artikel. Doch der Widerstand des Parlaments lohnte sich. Letztlich stimmte die Regierung in Paris einem Kompromiss zu.

Dieser sieht nun folgendermaßen aus: Die umstrittene Formulierung mit der nationalen Sicherheit fällt weg. Sie wird aber nicht ersatzlos gestrichen: An ihrer Stelle kommt ein allgemeiner Hinweis auf die EU-Verträge, im nicht-bindenden Teil des Gesetzes steht dann noch, dass der EMFA Artikel 4(2) des EU-Vertrags respektiert. Dort ist festgelegt, dass die EU die „grundlegenden Funktionen des Staates, insbesondere […] die nationale Sicherheit“ achte.

Für die CDU-Abgeordnete Verheyen ein klarer Erfolg: „Das ist etwas, was wir sowieso immer respektieren müssen“, sagte die Hauptverhandlerin des Parlaments in einer Pressekonferenz. Man habe Erfolg gehabt, Journalist:innen gegen unrechtmäßige Spyware-Attacken zu schützen.

Auch Reporter ohne Grenzen jubelt. Geschäftsführer Christian Mihr sagte netzpolitik.org: „Dass der Hinweis auf die Ausnahme für nationale Sicherheit, die der Rat der Europäischen Union gern in dem Gesetzestext gesehen hätte, im finalen Text nun doch nicht enthalten sein wird, ist ein großer Verhandlungserfolg. Dass trotz des Drängens mehrerer Mitgliedstaaten, allen voran Frankreichs, nun doch keine neuen Tore geöffnet wurden, um Quellenschutz zu unterlaufen und vertrauliche Kommunikation zu überwachen, freut uns sehr.“

Wann dürfen Behörden Journalist:innen hacken?

Egal ob es um Durchsuchungen, Staatstrojaner oder andere Überwachungsmaßnahmen gegen Journalist:innen geht: Der EMFA schreibt nun vor, dass staatliche Behörden dafür eine richterliche Bestätigung brauchen und es ein „überwiegendes öffentliches Interesse“ geben muss. Zudem müssen Journalist:innen informiert werden, wenn Sie gehackt wurden.

Die zuständige EU-Kommissarin Věra Jourová versprach: „Kein Journalist kann überwacht werden, weil er seinen Job macht, es kann keinen Zugang zu journalistischen Quellen geben.“ Doch nicht alle sehen den Schutz derart abgesichert.

Die SPD-Abgeordnete Petra Kammerevert kritisiert: „Zwar sind journalistische Quellen und vertrauliche Kommunikationen geschützt, doch das Parlament sah in seiner Position einen umfassenden Schutz jeglicher journalistischer Aktivität vor.“ Denn ab wann ein Telefonat oder Chat mit einem Journalisten vertraulich ist, geht aus dem EMFA nicht hervor. „Das Parlament wollte außerdem ein Verbot für Überwachungsmaßnahmen, wenn dies zum Zugang zu journalistischen Quellen führen könnte oder auch nur in Verbindung zur Arbeit als Journalist steht.“ Auch das fehle im finalen Text.

Auch andere EMFA-Teile umstritten

Mit der Einigung zu Artikel 4 des EMFA ist der Trilog abgeschlossen. Andere strittige Punkte konnten bereits in den vorangegangen Trilog-Sitzungen abgeräumt werden.

So kommt die als „Medienausnahme“ oder „Medienprivileg“ bezeichnete Regelung. Große Online-Plattformen müssen nun bestimmte, vorher anerkannte Medien 24 Stunden vor der Löschung eines Posts informieren und genau begründen, warum der Inhalt gegen die AGB der Plattform verstoßen hat. Die Regelung war umstritten – auch in der Zivilgesellschaft.

Journalistenverbände begrüßten, dass die Macht der großen Plattformen hier eingeschränkt wird. Einige Bürgerrechtsorganisationen um European Digital Rights sprachen sich gegen eine solche Ausnahme aus. Die jetzt getroffene Regelung könne „die Gleichheit der Rede untergraben, Desinformation im Internet fördern und Randgruppen bedrohen“, befürchtet Christof Schmon von der Electronic Frontier Foundation.

Ein weiterer Streitpunkt war das sogenannte Board. So heißt die neue europäische Medienaufsichtsbehörde, die die bisherige Koordinationsgruppe der nationalen Medienaufsichten (ERGA) ersetzen soll. Hier war vor allem die Unabhängigkeit von der EU-Kommission Gegenstand der Verhandlungen.

Das neu zu schaffende europäische Medienboard werde im Gegensatz zu den nationalen Medienaufsichtsstellen eben nicht unabhängig und staatsfern organisiert, kritisiert Petra Kammerevert. „Denn das Sekretariat soll direkt in der EU-Kommission angesiedelt sein und das Personal wird von der Kommission ausgesucht. Das wäre so, als wenn in Deutschland die Sekretariate der Landesmedienanstalten oder der Rundfunkräte bei den Staatskanzleien angesiedelt würden“, sagt Kammerevert gegenüber netzpolitik.org. Sabine Verheyen von der CDU widersprach diesem Eindruck und verweist auf den Unterschied zwischen Fach- und Personalaufsicht. „Die Kommission stellt natürlich die Leute ein.“ Bei allen inhaltlichen Fragen sei aber das Board verantwortlich es müsse zu Einstellungen auch konsultiert werden.

„Unter dem Strich ein Erfolg“

Das jetzige Verhandlungsergebnis ist aus Sicht der CDU-Abgeordneten ein „sehr großartiges Ergebnis“. Ihre SPD-Kollegin Kammerevert ist sich hingegen enttäuscht. „Am Ende der Trilogverhandlungen ist von den guten Parlamentspositionen nicht viel übrig geblieben.“ Der Rat habe sich in allen wesentlichen Punkten durchgesetzt. Reporter ohne Grenzen begrüßte die Einigung in einer ersten Reaktion. „Für die Informationsfreiheit der europäischen Bürgerinnen und Bürger ist diese Verordnung unter dem Strich ein Erfolg“, sagte Geschäftsführer Mihr.

Der Ministerrat und das EU-Parlament müssen dem Kompromiss noch formal zustimmen. Dies gilt als Formsache. Das Parlament plant die Abstimmung für März 2024.

Hinweis (20.12.23) Wir haben den im Trilog vereinbarten Text zu Artikel 4 ergänzt.


Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL establishing a common framework for media services in the internal market (European Media Freedom Act) and amending Directive 2010/13/EU (Text with EEA relevance) 2022/0277(COD) [Post-meeting Version of Trilogue on December 15, 2023]

Article 4
Rights of media service providers

1. Media service providers shall have the right to exercise their economic activities in the internal market without restrictions other than those allowed pursuant to Union law.

2. Member States shall respect the effective editorial freedom and independence of media service providers in the exercise of their professional activity. Member States, including their national regulatory authorities and bodies, shall not interfere in or try to influence the editorial policies and editorial decisions of media service providers.

(2a) Member States shall ensure that journalistic sources and confidential communications are effectively protected. Member States shall not carry out any of the following actions:

(a) oblige media service providers, their editorial staff, or any persons who, because of their regular or professional relationship with a media service provider or its editorial staff, might have information related to or capable of identifying journalistic sources or confidential communications, to disclose such information;

(b) detain, sanction, intercept or inspect media service providers, their editorial staff or any persons who, because of their regular or professional relationship with a media service provider or its editorial staff, might have information related to or capable of identifying journalistic sources or confidential communications, subject any of them or their corporate or private premises to surveillance, search and seizure, for the purpose of obtaining such information;

(c) deploy intrusive surveillance software, on any material or digital device, machine or tool used by media service providers, their editorial staff or any persons who, because of their regular or professional relationship with a media service provider or its editorial staff, might have information related to or capable of identifying journalistic sources or confidential communications.

(2b) By way of derogation from points (a) and (b) of this paragraph, Member States may take a measure referred to therein, provided that it:

(i) is provided for by national law or Union law;

(ii) is in compliance with Article 52(1) of the Charter and other Union law;

(iii) is justified on a case-by-case basis by an overriding reason of public interest and is proportionate; and

(iv) is subject to prior authorisation by a judicial authority or an independent and impartial decision-making authority or, in duly justified exceptional and urgent cases, is subsequently authorised by such authority without undue delay.

(2c) By way of derogation from point (c) of this paragraph, Member States may deploy intrusive surveillance software, provided that the deployment complies with the conditions referred to in the second subparagraph above and it is carried out for the purposes of investigations of one of the persons referred to in point (c) for offences referred to in Article 2(2) of Council Framework Decision 2002/584/JHA* punishable in the Member State concerned by a custodial sentence or a detention order of a maximum period of at least three years or for other serious crimes punishable in the Member State concerned by a custodial sentence or a detention order of a maximum period of at least five years, as determined by the law of that Member State.

(cf) Member States shall not take a measure as referred to point (c) of the first subparagraph where a measure as referred to in point (a) or (b) of the first subparagraph would be adequate and sufficient to obtain the information sought.

(cg) Member States shall ensure that the surveillance measures referred to in point (b) of this paragraph and the deployment of intrusive surveillance software referred to in point (c) of this paragraph are regularly reviewed by a judicial authority or an independent and impartial decision-making authority in order to determine if the conditions justifying their use continue to be fulfilled.

The safeguards provided by Directive (EU) 2016/680 of the European Parliament and of the Council, including the right of the data subject to information and access to personal data undergoing processing, shall apply to any processing of personal data occurring in the context of the deployment of the surveillance measures referred to in point (b) of this paragraph or the deployment of intrusive surveillance software referred to in point (c) of this paragraph.

3. Member States shall ensure that media service providers or their editorial staff, or any persons who, because of their regular or professional relationship with a media service provider or its editorial staff, might have information related to or capable of identifying journalistic sources or confidential communications have a right to an effective judicial protection, in line with Article 47 of the Charter, in cases regarding breaches of paragraph 2a.

Member States shall entrust an independent authority or body with relevant expertise to provide assistance to those persons with regard to the exercise of that right. Where no such authority or body exists, those persons may seek assistance from a self-regulatory body or mechanism.

3a. The Member States’ responsibilities as laid down in the Treaty on European Union and the Treaty on the Functioning of the European Union are respected.

* Council Framework Decision 2002/584/JHA of 13 June 2002 on the European arrest warrant and the surrender procedures between Member States (OJ L 190, 18.7.2002, p. 1).

4 Ergänzungen

  1. Freut mich riesig !!!
    „Reporter ohne Grenzen jubelt“ … das ist der Satz, den ich endlich endlich mal lesen wollte !

  2. „Wir können nicht jedem Individuum, was journalistische Arbeit macht, einen Blankoscheck in allen Lebenslagen und Situationen bezüglich Rechtsstaatlichkeit ausfüllen“

    Noch mal im A-B Vergleich, was wichtige Funktionäre so von sich geben, wenn man sie lässt:
    A) Deutschland ist ein Rechtsstaat.
    B) Kein Blankocheck bzgl. Rechtsstaatlichkeit.

    Journalisten hin oder her, was soll ich da noch gleich als Schelm drüber denken?

  3. und nun?

    Wird in der journalistischen Ausbildung und Praxis darauf eingegangen wie technische und rechtliche Aspekte praktisch(!) zu handhaben sind, wie:

    – ordentlich verschlüsselt wird,
    – mit Quellen vertraulich kommuniziert werden kann
    – ich, als Journalist, meine IT absichere
    – rechtliche Aspekte (die großen Häuser haben ja ihre Anwälte, aber auch für die Freiberufliche)
    – ich das regelmäßig überprüfe update etc.

    bei meinen Kontakten mit dieser Branche habe ich da extrem großen Nachholbedarf, Unwissen und vor allem Unwillen festgestellt. Geld dafür ausgeben möchte man natürlich auch nicht (Dienstleister gäbe es aber Kostendruck halt.)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.