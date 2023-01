Staatstrojaner wie Pegasus stellen eine „Bedrohung für die fundamentalen Grundrechte und die Grundprinzipen des EU-Rechts“ dar. Auf internationaler und auf europäischer Ebene könnten Eingriffe in Grundrechte zwar gerechtfertigt sein – aber nur, wenn diese „die Bedingungen der Legitimität, der Legalität, der Notwendigkeit, der Verhältnismäßigkeit und der Vereinbarkeit mit der Demokratie erfüllen“. Dies sei bei den bisher bekannten Einsätzen von Pegasus nicht gegeben – weshalb zumindest ein Staatstrojaner-Moratorium denkbar sei.

Das ist das Fazit von Giovanni Sartor und seinem Co-Autor, Andrea Loreggia. In Ihrer Studie untersuchen sie die Auswirkungen von Pegasus und vergleichbarer Spionagesoftware auf Grundrechte sowie demokratische Prozesse und Institutionen innerhalb der Europäischen Union.

Gestern stellte Giovanni Sartor den Abgeordneten im Pegasus-Ausschuss die zentralen Erkenntnisse der Studie vor. Der Bericht ist der zweite von insgesamt drei Untersuchungen, die der Ausschuss in Auftrag gegeben hat. Im Dezember stellte bereits Quentin Liger eine Studie zum rechtlichen Rahmen beim Einsatz von Spähsoftware vor.

In der Studie gehen die Autoren kurz auf die Eigenschaften von Schadsoftware allgemein ein, speziell aber auf die neuen „kritischen“ Charakteristika von Pegasus. Die folgenden Abschnitte beschäftigen sich mit den Auswirkungen von Pegasus auf die Demokratie und auf Fragen der nationalen Sicherheit sowie mit der Verwendung von Spähsoftware im Kontext des internationalen Menschenrechts und dem Recht der EU. Die Studie schließt mit vorläufigen Empfehlungen an die Parlamentarier:innen.

Pegasus und die Demokratie

Pegasus als ein Überwachungsinstrument sei eine ganz neue Art von Bedrohung, so die Autoren. Der unbegrenzte Zugriff der Software auf das angegriffene Gerät, der Angriff ohne ein aktives Zutun des Opfers („Zero-click attacks“), die Möglichkeit der Angreifenden, aktiv das Gerät zu steuern, und die Tatsache, dass Pegasus kaum Spuren hinterlasse – all das stelle eine neue Qualität der Überwachung dar.

Daher seien die Folgen für die Demokratie auch gravierend. „Allgegenwärtige Überwachung“ gefährde nicht nur die Privatsphäre und den Datenschutz, sondern auch die Meinungsäußerungs-, die Versammlungs- und die Vereinigungs- und Religionsfreiheit. Denn wer sich konstant überwacht fühle, werde diese politischen Rechte weniger wahrnehmen. Leide die politische Partizipation in einer Demokratie, leide darunter auch die Qualität einer demokratischen und öffentlichen Sphäre. Ferner gefährde die Möglichkeit einer allumfassenden Überwachung auch den Rechtsstaat.

Weiterhin gefährde die Überwachung individueller Personen wie Journalist:innen, Politiker:innen und Aktivist:innen die Demokratie. Die Überwachung dieser Personen erleichtere Unterdrückung und Manipulation. So argumentieren die Autoren, dass eine umfassende Überwachung auch freie demokratische Wahlen gefährde – weil sie sowohl das aktive als auch das passive Wahlrecht beeinflussen könne.

Das Konzept der nationalen Sicherheit

Nationale Sicherheit – das kann fast alles bedeuten. Die Autoren führen an, dass der Einsatz von Spähsoftware meist mit dem Argument der nationalen Sicherheit begründet wird – aber häufig für die eigene politische Agenda missbraucht wird. So sei der Ausdruck der nationalen Sicherheit „von vielen Staaten […] als […] Vorwand benutzt [worden], um die Meinungsfreiheit einzuschränken, Folter und andere Misshandlungen zu legitimieren und Minderheiten, Aktivisten und die politische Opposition abzuschrecken“.

Zustimmend äußert sich die Berichterstatterin des Ausschusses, Sophie in ‚t Veld. Sie betont, dass „alles eine Angelegenheit nationaler Sicherheit“ sei, wenn es nach den Mitgliedstaaten geht – die dieses Konzept selbst definieren.

Die Autoren sprechen sich daher für eine restriktive Definition des Konzepts der nationalen Sicherheit auf nationaler wie auf EU-Ebene aus. Um missbräuchliche Überwachung unter Berufung auf nationale Sicherheitsinteressen zu vermeiden, schlagen sie vor, den materiellen und personellen Umfang des Konzepts zu begrenzen. So soll zum einen verhindert werden, dass beliebig viele Bedrohungsszenarien (materiell) unter dem Überbegriff „nationale Sicherheit“ fallen können, zum anderen, dass etwa Drittanbieter (personell), die Daten verarbeiten, sich auf das Konzept der nationalen Sicherheit berufen.

Der Vorsitzende des Ausschusses, Jeroen Lenaers, fragte Sartor, wie seine Kolleg:innen und er in ihrer Funktion als Abgeordnete den Umfang des nationalen Sicherheitsbegriffs neu definieren könnten. Gehe das überhaupt innerhalb der bestehenden Verträge? Oder brauche es dafür die Rechtsprechung?

Darauf konnte der Experte keine klare Antwort geben, verwies aber auf die Relevanz des Themas für die EU: „Das Wichtigste ist meiner Meinung nach, dass man bedenkt, dass es sich um einen Begriff handelt, der im EU-Recht verwendet wird. Er bezieht sich auf das EU-Recht und umfasst daher sowohl die Verträge als auch das Sekundärrecht. Und deshalb ist es eine Aufgabe für eine EU-Institution, mit der Sie […] umgehen müssen.“

Internationale Menschenrechte

Während Eingriffe in Grundrechte im Namen der nationalen Sicherheit zwar gerechtfertigt sein könnten, sei dies beim Pegasus-Einsatz vermutlich nicht der Fall. Denn der Einsatz dieser invasiven Software erfülle höchstwahrscheinlich nicht die Anforderungen an Legalität, Notwendigkeit und Verhältnismäßigkeit. Ganz ähnlich sah das auch der ehemalige UN-Sonderberichterstatter für Menschenrechte, David Kaye: Dieser hatte dem Ausschuss geraten, Staatstrojaner wie Pegasus vollständig zu verbieten.

Auch die Rechtsprechung des Europäischen Gerichtshof für Menschenrechte (EGMR) hat dem Einsatz gezielter Überwachung klare Grenzen gezogen. So ist eine Voraussetzung, dass Gesetze, die eine solche Überwachung erlauben, transparent sein müssen. Eine weitere Voraussetzung ist, dass jede Person, die von solcher Überwachung betroffen war, darüber benachrichtigt werden muss. Dieses Recht stehe laut dem Gerichtshof sogar Personen zu, die nur potenziell betroffen waren.

Hier hakt die liberale Abgeordnete Róża Thun und Hohenstein nach. Sie bringt ein, dass sich auch Amnesty International dafür einsetze, dass alle Personen, die mit Staatstrojanern überwacht wurden, benachrichtigt werden sollten – und im Falle einer unrechtmäßigen Überwachung Anspruch auf eine Entschädigung haben sollten.

Auf die Frage nach seiner Bewertung antwortete Sartor, dass auch die Rechtsprechung des EGMR eine Entschädigung vorsehe – diese aber setze eine Benachrichtigung voraus und diese wiederum eine unabhängige nationale Institution, die diese Überprüfung und Benachrichtigung übernehme. Das alles existiere aber nicht. So gebe es für betroffene Individuen aktuell nur die Option, den EGMR anzurufen oder über den Umweg nationaler Gerichte den Europäischen Gerichtshof (EuGH).

Rechtlicher Rahmen: EU-Ebene

Der Arbeitsvertrag der Europäischen Union regelt, dass Angelegenheiten der nationalen Sicherheit die alleinige Verantwortung der Mitgliedstaaten sind. Laut der Studie bedeute dies aber nicht, dass „Aktivitäten der nationalen Sicherheit“ in keinem Fall unter EU-Recht fallen. Stattdessen sei dies regelmäßig dann der Fall – und zwar immer dann –, wenn diese Aktivitäten mit solchen Aktivitäten zusammenfallen, die mit EU-Recht reguliert werden. Das Problem sei, dass die zwei potentesten Instrumente der EU im Bereich Datenschutz die nationale Sicherheit ausklammern und damit ihre Anwendung in diesem Bereich unmöglich machen: die Datenschutzgrundverordnung (DSGVO) und die ePrivacy-Verordnung.

Laut den Autoren der Studie sei diese Ausnahme in der Anwendung des Datenschutzrechts im Hinblick auf die verankerten Grundrechte „kaum gerechtfertigt“. Daher sprechen sie sich für eine Eingrenzung des Konzepts der nationalen Sicherheit aus. Davon erhoffen sich die Autoren, dass die in der EU bestehenden zentralen Datenschutzregelungen, also die DSGVO und die ePrivacy-Verordnung, auch auf Fragen der nationalen Sicherheit angewendet werden können.

Sartor warnt in seiner Stellungnahme, dass die ePrivacy-Verordnung durch die aktuelle Ratsposition aufgeweicht werden könnte. Die Verordnung sollte ursprünglich zeitgleich mit der DSGVO in Kraft treten. Weil sich die Mitgliedstaaten bis heute nicht einigen konnten, laufen die Verhandlungen aber noch immer.

Laut Sartor könnten einige Änderungsanträge in der Ratsposition dazu führen, dass auch die ePrivacy-Verordnung nicht auf Fragen der nationalen Sicherheit angewandt werden kann. Auf Nachfrage der konservativen Abgeordneten Karolin Braunsberger-Reinhold antwortete der Experte, dass diese Änderung dazu führen könnte, dass die Staaten hier wieder einen Freifahrtschein bekommen könnten: Egal, was mit individuellen Endgeräten passiere, das könne dann – unter Anführung von nationalen Sicherheitsbedenken – wieder nicht mit europäischem Recht überprüft werden.

Selbst in Bereichen, in denen EU-Recht greife, würde es aber zu „missbräuchlichen nationalen Praktiken“ kommen. So führt der Experte den Einsatz von Spähsoftware im Bereich der Strafverfolgung an. Hier greife die Strafverfolgungsrichtlinie. Dennoch gebe es auch hier Staaten, die sich darüber hinwegsetzen würden. Warum die EU-Kommission dann in solchen Fällen – in denen Personen außerhalb des rechtlichen Rahmens überwacht wurden – nicht handle, will die Abgeordnete Thun und Hohenstein wissen. Darauf Sartor:

Ich denke, dass es politische Gründe geben könnte, wie Sie besser wissen als ich, warum die Kommission nicht mit der Arbeit beginnen will. […] Ich denke, […] wenn sie die Rolle der Hüterin des Vertrages spielen will, sollte sie sich aktiv mit diesen schwerwiegenden Verstößen gegen das EU-Recht und die Grundwerte, die der Europäischen Union zugrunde liegen, auseinandersetzen.

Vorläufige Empfehlungen

Der Bericht empfiehlt zwar kein vollständiges Moratorium von Spähsoftware, spricht sich aber für ein Verbot von Pegasus und anderer Spähsoftware-Programme aus – „wenn es stichhaltige Beweise dafür gibt, dass diese Tools bereits für unrechtmäßige Aktivitäten verwendet wurden“. Angesichts der Qualität des Eingriffs, den Pegasus darstelle, und dem institutionalisierten und politischen Rahmen, in dem diese Staatstrojaner eingesetzt wurden und werden, scheint eine rechtmäßige und verhältnismäßige Verwendung kaum gegeben.

Auf Nachfrage stellt Sartor klar, dass es bei dem Bann von Pegasus aus seiner Sicht eher um eine ethisch-politische Empfehlung handle, weniger um eine juristische. Dennoch deckt sich diese Empfehlung mit dem Bericht des Europäischen Datenschutzbeauftragten sowie anderer Experten, beispielsweise auch von netzpolitik.org.

Anstelle eines umfassenden Moratoriums empfiehlt der Bericht: Ein „politisch durchsetzbares Moratorium für die Verwendung von Hacking-Werkzeugen könnte in einer starken Vermutung gegen die Rechtmäßigkeit ihrer Verwendung bestehen“. Dieses solle dann nur überwunden werden können, wenn ein Staat „überzeugend den Willen und die Fähigkeit zeigt, jeglichen Missbrauch zu verhindern.“ Wie dieser Vorschlag konkret aussehen und umgesetzt werden soll, wird aus dem Bericht nicht klar.

Abschließend führt die Studie einige Punkte aus, die einen zukünftigen Missbrauch von Spähsoftware verhindern sollen. So solle der Umfang des Konzepts nationale Sicherheit beschnitten werden, sowohl materiell als auch personell. Zudem sollten „Tätigkeiten im Bereich der nationalen Sicherheit“ in den Anwendungsbereich des Datenschutzrechts fallen, „um zu gewährleisten, dass die Einschränkung der Rechte der betroffenen Person für Zwecke der nationalen Sicherheit den Anforderungen der Rechtmäßigkeit und Verhältnismäßigkeit unterliegt.“

Ebenso sollten die Staaten auf nationaler Ebene „angemessene rechtliche Rahmenbedingungen“ schaffen. Denn „nationale Sicherheit fällt nach wie vor in die Zuständigkeit der Mitgliedstaaten, und es obliegt ihnen, wirksam dafür zu sorgen, dass ihre Tätigkeit mit den Grundrechten und Grundsätzen des EU-Rechts im Einklang steht.“ Diese Rechtsrahmen sollten den folgenden Prinzipien entsprechen:

Rechtmäßigkeit, legitimer Zweck, Notwendigkeit, Verhältnismäßigkeit, zuständige Behörde, ordnungsgemäßes Verfahren, Benachrichtigung der Nutzer, Transparenz, öffentliche Aufsicht, Sicherheit und Zertifizierung sowie technische Anpassungsfähigkeit.

Die Vorstellung der Studie war nur ein Teil der gestrigen Anhörung. Im zweiten Teil war Serge Lasvignes, der Vorsitzende des nationalen Ausschusses für die Kontrolle der nachrichtendienstlichen Methoden in Frankreich, für einen Meinungsaustausch zu Gast. Am 19. Januar wird dem Ausschuss die dritte und letzte Studie vorgestellt. Der Fokus dieses Berichts wird auf den Auswirkungen von Pegasus und vergleichbarer Spähsoftware auf die Außenbeziehungen der EU liegen.