Eine Gruppe an zivilgesellschaftlichen Organisationen fordert mit einem heute veröffentlichten Statement mehr Taten gegen Staatstrojaner. Die Spionageprogramme sollen stark eingeschränkt werden, die kommerzielle Entwicklung soll ganz verboten werden. Bis es neue Regeln gibt, sollen überhaupt keine Staatstrojaner mehr entwickelt werden dürfen.

Hintergrund für die Forderungen ist der Pegasus-Skandal vor inzwischen zwei Jahren. In dessen Rahmen wurde bekannt, dass auch EU-Regierungen mit Staatstrojanern Oppositionelle und Journalist:innen überwachten. Um diesen Skandal aufzuarbeiten, richtete das Europäische Parlament einen Untersuchungsausschuss ein. Den hat netzpolitik.org ausführlich begleitet.

Die praktischen Konsequenzen des Ausschusses waren jedoch zunächst gleich null. Die meisten Mitgliedstaaten versteckten sich hinter der Ausrede, es gehe bei ihren Spähaktionen um Fragen der nationalen Sicherheit, in die die EU nicht eingreifen darf.

Spanien eröffnete zwar 2022 ein Verfahren, das wurde aber wegen der fehlender Kooperation Israels eingestellt. Dort sitzt das Unternehmen hinter dem Trojaner Pegasus, die NSO Group. Anfang dieses Jahres nahm dann in Polen eine parlamentarische Untersuchungskommission Fahrt auf. Die spanische Untersuchung wurde wiedereröffnet, nachdem französische Behörden neue Informationen übergeben hatten. In Griechenland erklärte dagegen der Oberste Gerichtshof den Skandal einfach für beendet.

Mitgliedstaaten mauern, Kommission verzögert

Die EU-Kommission reagierte während all dessen ausweichend und lieferte keine konkreten Vorschläge, wie die Situation verbessert werden könnte.

„Die Antwort der Kommission auf die Ergebnisse des Pegasus-Ausschusses hat die Erwartungen nicht erfüllt“, sagte Silvia Lorenzo Perez zu netzpolitik.org. Sie arbeitet beim Center for Democracy and Technology (CDT) zu Spionagesoftware und Menschenrechten. „Von der Leyen und die zuständigen Kommissar:innen haben nicht die Führung gezeigt, die nötig gewesen wäre, um für die Werte der EU zu kämpfen und Mitgliedstaaten zur Verantwortung zu ziehen“, sagte sie.

Die Kommission arbeitet gerade noch an einem Text, mit dem sie auf den Skandal reagieren will. Der soll aber nur Empfehlungen an die Staaten enthalten, keine Verpflichtungen – was für starke Kritik aus dem Ausschuss sorgte. Seit der Ankündigung habe es außerdem keinerlei Fortschritt gegeben, sagt Lorenzo Perez. „Wir hoffen, dass die Verzögerung nicht in schwachen Empfehlungen mündet und dass die Kommission so hart sein wird, wie die Lage es verlangt.“

Es braucht eine grundlegende Reform

Zusammen mit anderen Organisationen wie European Digital Rights und Access Now fordert CDT nun, dass Mitgliedstaaten und EU-Kommission endlich tätig werden. Die EU-Institutionen werkeln gerade nach der Europawahl an ihrer Besetzung für die nächsten fünf Jahre. In Brüssel bringen deshalb Interessenverbände aller Richtungen ihre Forderungen vor, womit sich die EU in dieser Zeit beschäftigen soll.

Die Koalition fordert, dass die Kommission die Rahmenbedingungen für Spionagesoftware in der EU grundlegend umbauen soll. Software, die zu stark in Grundrechte eingreift, soll in Europa nicht mehr hergestellt, exportiert, verkauft, importiert, aufgekauft, transferiert oder benutzt werden dürfen.

Bis diese Reform umgesetzt ist, fordern die Organisationen ein komplettes Moratorium auf Staatstrojaner. Privatunternehmen sollen gar keine kommerzielle Spionagesoftware mehr herstellen dürfen. Trojaner sollen außerdem nicht mehr so einfach aus der EU exportiert werden dürfen – dazu soll es eine Garantie brauchen, dass sie nicht für Menschenrechtsverletzungen genutzt werden.

Die Organisationen erwähnen besonders die ePrivacy-Verordnung. Dieses Gesetz plant die EU seit langem, die Mitgliedstaaten blockieren es aber seit Jahren. Eine Einigung ist sehr unwahrscheinlich. In Brüssel wird deshalb momentan darüber geredet, den Vorschlag zurückzuziehen und einen neuen Aufschlag zu starten. Der solle dafür sorgen, dass private Kommunikation besser geschützt wird, fordert das Statement.

„Nationale Sicherheit“ soll eingegrenzt werden

Gute EU-Regeln helfen aber nicht, wenn sich die Mitgliedstaaten einfach darüber hinwegsetzen. Deshalb soll die Kommission auch überprüfen, ob sich die nationalen Regierungen an schon gültiges Recht halten. Wenn nicht, dann soll sie diese Regierungen verklagen und europäisches Recht durchsetzen.

Ein großes Problem ist, dass sich die Regierungen immer wieder hinter den Schutzschild der nationalen Sicherheit zurückziehen können. Die EU hat dann nichts mehr zu sagen. Um das etwas schwerer zu machen, soll die Kommission eine einheitliche Definition von nationaler Sicherheit durchsetzen und dafür sorgen, dass die Mitgliedstaaten sie nicht nur als leere Ausrede nutzen.

Die Mitgliedstaaten sollen wiederum aufhören, in jedes neue europäische Gesetz eine Ausnahme für ihre nationale Sicherheit hineinzuverhandeln. Das würde Bürger:innen weiteren Grundrechtsverletzungen aussetzen, heißt es in dem Statement. Stattdessen sollen sie dafür sorgen, dass Opfer von Staatstrojanern vor Gericht ihre Rechte verteidigen können.

Gute Worte haben die Organisationen nur für das Parlament. Das soll weiterhin überwachen, wie die Mitgliedstaaten Staatstrojaner einsetzen. Das Parlament sei mit der Europawahl zwar nach rechts gerückt, meint Silvia Lorenzo Perez. Viele der Abgeordneten, die sich gegen Staatstrojaner eingesetzt haben, seien aber wiedergewählt worden. „Wir erwarten von ihnen, dass sie ihren Kampf in der neuen Legislaturperiode fortsetzen, besonders weil viele Abgeordnete aus fast allen Fraktionen selber Opfer von Spionagesoftware geworden sind“, sagt sie.

Parlament hat noch eine große Chance

Die Zivilgesellschaft hat keine schlechten Chancen mit dem Versuch, den Pegasus-Skandal noch einmal auf der Agenda nach oben zu schieben: Finnland hat für die zweite Kommission Ursula von der Leyen eine neue Kommissarin nominiert, Henna Virkkunen.

Virkkunen sitzt gerade noch im Europaparlament – wo sie in der letzten Legislaturperiode Mitglied im Pegasus-Ausschuss war. Sie hatte auch zu verschiedenen anderen Digitalthemen gearbeitet, besonders zu Cybersicherheit. Es könnte deshalb gut sein, dass sie in der neuen Kommission einen Digitalposten bekommt, und damit Einfluss darauf, wie sich die neue Kommission zu Spionagesoftware positionieren wird.

Und das Parlament könnte auch noch einmal Druck machen, findet Sophie in ‘t Veld. Sie saß bis zur vergangenen Wahl lange im Europaparlament, unter anderem im Pegasus-Ausschuss. Sie weist darauf hin, dass die neuen Kandidat:innen für die Kommission die Zustimmung des Parlaments brauchen. Die Abgeordneten sollten deshalb einer Kandidatin nur zustimmen, wenn diese sich verpflichtet, die Empfehlungen des Parlaments zu Staatstrojanern umzusetzen, fordert in ‘t Veld. Das sieht auch Lorenzo Perez so.

„Es wäre besser gewesen, wenn das Parlament das bei der Bestätigung von von der Leyen getan hätte, aber diese Gelegenheit hat es leider verpasst“, so in ‘t Veld zu netzpolitik.org. Wenn das Parlament seinen Einfluss jetzt nicht nutze, dann werde es danach keinen mehr haben. „Jetzt ist der Zeitpunkt, wo die Abgeordneten zeigen sollen, dass sie es ernst meinen.“