Es geht um nicht weniger als die Aufarbeitung des „europäischen Watergate“. So nannte die niederländische Europaabgeordnete Sophie in ’t Veld die staatlichen Spionageskandale, die seit dem Jahr 2021 die EU erschüttern. Um diese aufzuklären, nahm vor 14 Monaten im EU-Parlament ein Untersuchungsausschuss seine Arbeit auf.
Staaten wie Ungarn und Polen hatten Mitglieder der Opposition und Angehörige der unabhängigen Presse mit dem Staatstrojaner Pegasus ins Visier genommen. Dessen Hersteller verkauft seine Software nach eigenen Angaben nur an staatliche Behörden. Eine ausgewachsene Krise also – nicht in einem autoritären Schurkenstaat, sondern inmitten der Europäischen Union.
Gestern kam der Ausschuss zum vorläufigen Abschluss seiner Arbeit. Am Montagabend verabschiedeten die Parlamentarier:innen zwei Dokumente: einen finalen Bericht mit den Erkenntnissen, die der Ausschuss den vergangenen Monaten durch zahllose Gespräche mit Fachleuten, Betroffenen und teils auch Regierungsmitgliedern zusammengetragen hat. Und eine Liste mit Empfehlungen an die EU-Kommission, wie mit dieser Krise der Demokratie nun umzugehen sei. Denn genau darum ging es, wie die Berichterstatterin im Ausschuss, Sophie in ’t Veld, immer wieder betont hat.
Beide Dokumente wurden mit großer Mehrheit angenommen. Beide sind nicht bindend. Der Ausschuss hat nur eine Möglichkeit: Er muss moralischen Druck aufbauen, um die Kommission zum Handeln zu bewegen. Denn nur sie hat wirksame Hebel in der Hand, kann Mitgliedsstaaten verbindlich mit Vorwürfen konfrontieren und Antworten einfordern.
Das weiß auch der Ausschussvorsitzende Jeroen Lenaers. Bei der Pressekonferenz am Dienstagnachmittag teilte er entsprechend aus: „Im Idealfall hätte es unser Komitee nie gegeben. Es gäbe keinen Missbrauch von Spähsoftware in der EU, und wenn ein solcher Missbrauch stattfinden würde, würden ihn die Kommission und der Rat mit Nachdruck bekämpfen. Das war nicht der Fall, und deshalb war unser Komitee notwendig.“
Keine Mehrheit für ein sofortiges Moratorium
Doch nicht alle Ausschussmitglieder wollten mit der Kommission oder mit den Staaten, in denen es zu staatlichem Hacking gekommen war, ähnlich hart ins Gericht gehen. Einige Abgeordnete kommen aus den Regierungsparteien eben jener Länder, die des Missbrauchs beschuldigt werden; ein spanischer Abgeordneter war früher gar Teil der Regierung. sie sahen es offenbar als ihre Aufgabe an, das staatliche Hacking herunterzuspielen. Während der ursprüngliche, von Sophie in ’t Veld verfasste Entwurf des Abschlussberichts noch harte Kritik unter anderem an Ungarn, Polen, aber auch Griechenland und Spanien übte, fällt diese im finalen Bericht deutlich sanfter aus.
Und auch die Empfehlungen des Ausschusses sind zum Schluss wesentlich zurückhaltender ausgefallen, als es in ’t Veld in ihrem Entwurf vorgeschlagen hatte. So empfiehlt der Ausschuss zwei Stufen, um der Krise entgegenzuwirken. In einer ersten Stufe sollen EU-Staaten staatliche Hackingsoftware erst dann wieder einsetzen dürfen, wenn sie ihre Hausaufgaben gemacht haben und Bedingungen erfüllen. Sie müssten etwa ihr Rechtssystem an internationale Standards anpassen und zurückliegende Vorfälle ordentlich aufarbeiten.
Doch während bei in ’t Veld ursprünglich noch von einem „sofortigen Moratorium“ die Rede war, lässt der finale Bericht den Staaten nun bis Dezember 2023 Zeit, um die Auflagen zu erfüllen. Das aber ist eine ausgedehnte Übergangsphase, wenn die Demokratie, wie der Ausschussvorsitzende ebenfalls mahnt, akut bedroht ist.
Die Kommission soll bis Ende November untersuchen, ob die Auflagen erfüllt sind. Zugleich sind keinerlei Sanktionen vorgesehen, falls Staaten wie Ungarn oder Polen die Frist reißen und dennoch weiter Hackingsoftware einsetzen sollten – was zu erwarten ist. Das kritisiert auch die Grundrechts-NGO EDRi in ihrer ersten Analyse des Berichts.
Regulierung, aber kein Verbot
Als noch schwerwiegender aber wertet EDRi, dass der Ausschuss eine große Chance vertan habe. Denn er spricht auch Empfehlungen für eine zweite Stufe aus, konkret dafür, wie die EU in Zukunft mit bestimmten Formen staatlicher Hackingsoftware umgehen soll. Die Parlamentarier:innen fordern dabei striktere Aufsicht, klarere Vorgaben. Ein Verbot fordern sie nicht.
Programme wie Pegasus, die im Ausschuss untersucht wurden, können unbemerkt aus der Ferne auf Mobiltelefonen aufgespielt werden. Sie sind dann in der Lage, alles mitzuschneiden, was auf dem Gerät passiert. Die Folge ist ein massiver Eingriff in die Privatsphäre der Betroffenen. Ein Staat, der über solche Waffen verfügt und sie unkontrolliert gegen die eigene Bevölkerung richtet, ist mit einer beängstigenden Macht ausgestattet – darauf hatten Fachleute immer wieder hingewiesen. Er kann die Opposition unterdrücken, mediale Berichterstattung verhindern, Kritiker:innen einschüchtern. In den Worten von in ’t Veld: „Es ist ein Werkzeug für Macht. Und ein Werkzeug gegen die Demokratie.“
Dennoch konnte sich der Ausschuss nicht dazu durchringen, ein klares, europaweites Verbot des Handels und Einsatzes solcher Superwaffen zu fordern. Stattdessen schlägt er eine „stärkere Regulierung“ vor, um Missbrauch künftig zu verhindern. So sollen Staaten dazu verpflichtet werden, Betroffene darüber zu informieren, dass sie Opfer staatlichen Hackings sind, damit diese rechtlich dagegen vorgehen können. Und die Daten besonders geschützter Berufsgruppen wie Anwält:innen, Politiker:innen oder Angehörige der Medien sollen nur gehackt werden dürfen, wenn gegen sie klare Beweise für kriminelle Aktivitäten vorliegen.
Das wäre eine leichte Verbesserung des Status quo. Allerdings begründen Staaten wie Ungarn oder Polen ihre Überwachungsmaßnahmen allzu gerne mit Verweis auf die „nationale Sicherheit“. Es braucht daher nicht allzu viel Phantasie, um sich vorzustellen, dass die dortigen Regierungen auch in Zukunft genug Anlässe dafür finden, um Journalistinnen und Aktivisten auszuspähen. Diesen Punkt kritisiert auch der Ausschuss in seinem Bericht. Er fordert eine klare Definition all jener Fälle, in denen „nationale Sicherheit“ Überwachungsmaßnahmen rechtfertigen darf.
Auch eine Liste schwerer Straftaten, die Hacking künftig zulassen sollen, wird das Problem nicht beheben, wie EDRi feststellt. Die Definition terroristischer Handlungen in der bestehenden EU-Gesetzgebung sei zum Beispiel so vage, dass sie die Ausspähung von journalistischer Arbeit, politischem Aktivismus oder gar Kunst ermögliche. Und auch die Auslegung „schwerer Straftaten“ variiere enorm, wenn Staaten wie Griechenland etwa illegale Migration zur Bedrohung der nationalen Sicherheit erklärten.
Ein europäisches Watergate ohne Abschluss
Seit März 2022 hat der Ausschuss hunderte von Fachleuten angehört und Recherchereisen nach Israel, Ungarn, Polen, Spanien und Zypern unternommen. Vorangegangen waren Enthüllungen eines Kollektivs aus Investigativjournalist:innen im Juli 2021. Sie zeigen das ganze Ausmaß, in dem der Staatstrojaner Pegasus des Herstellers NSO Group weltweit missbraucht wurde – auch in Staaten der EU. Unter den Zielpersonen waren mehrere europäische Staatschefs sowie Mitglieder der EU-Kommission. Wer die Verantwortlichen sind, kann bis heute zum großen Teil nur gemutmaßt werden. Selbst wenn Spuren der Software auf einem Mobiltelefon nachgewiesen werden, lässt sich daraus nicht ableiten, wer das Gerät gehackt hat.
Die finalen Empfehlungen des Ausschusses werden nun im Juni dem Plenum des EU-Parlaments vorgelegt. Damit endet zugleich das offizielle Mandat des Ausschusses. Doch sowohl Berichterstatterin Sophie in ’t Veld als auch Jeroen Lenaers kündigten an, dass die Arbeit aus ihrer Sicht damit nicht abgeschlossen ist.
„Nicht auch nur einem einzigen Opfer des Spyware-Missbrauchs wurde Gerechtigkeit zuteil. Nicht eine einzige Regierung wurde wirklich zur Rechenschaft gezogen“, sagte in ’t Veld auf der gestrigen Pressekonferenz. Der Ausschuss habe sich daher von Anfang an darum bemüht, die Perspektive der Betroffenen in den Fokus zu rücken. „Wir werden an ihrer Seite sein und wir werden nicht ruhen, bis der Gerechtigkeit Genüge getan ist.“
Und genau deshalb werde ich mir niemals ein Smartphone oder ein ähnliches Werkzeug anschaffen.
Und wenn man hier (wie in einem meiner zum Thema verfassten Kommentare) schreibt, dass die Begründung für Chatkontrolle, Staatstrojaner etc. bei einem derartigen Mauern der Kommission/der Parlametarier mit hoher Wahrscheinlichkeit nicht Kindesmissbrauch und Terrorismus sein können, sondern andere Hintergründe wie Korruption und Machtmissbrauch, dann wird der Kommentar nicht gebracht…oder doch??