Digital durchleuchtet

Mit europäischer Spähsoftware werden auf der ganzen Welt Proteste unterdrückt, Journalisten verfolgt und das Internet illegal überwacht. Die Europäische Union will den Handel nun schärfer kontrollieren – und Menschenrechte wirksamer schützen.

Von Daniel Moßbrucker

Es sind Szenen wie aus einem Mafiafilm. In einem Konferenzraum der italienischen Firma Intelligence & Peoples Security (IPS) empfängt Verkaufsleiter Ugo Santillo einen Kunden zu einem Gespräch, das eigentlich nach zwei Sätzen beendet sein müsste. Der Interessent möchte für das iranische Regime Technologie kaufen, um den Internetverkehr im Land zu durchleuchten. Die Behörden könnten damit Chats, E-Mails und Surfverläufe von Bürgern, Journalisten und Oppositionellen live mitlesen – und so jede Kritik im Keim ersticken.

Schon 2013 legte das kanadische Forschungszentrum Citizen Lab eine umfassende Analyse vor, die zeigte, wie der Iran spätes­tens seit 2009 die digitale Überwachung schrittweise ausgebaut und gegen Regierungskritiker eingesetzt hatte. Zu den ersten, die damals überwacht worden waren, gehörte der Student Abbas Hakimzadeh, der gegen das Regime protestiert hatte und später auf der Grundlage abgehörter Gespräche festgenommen und gefoltert wurde. Seitdem wiederholen sich solche Fälle immer wieder.

Der Deal, den Ugo Santillo und sein Kunde einfädeln wollen, wäre illegal. Europäische Exportregeln schreiben eine Genehmigung vor, die Santillos Firma IPS niemals bekommen dürfte, wenn es um Überwachungstechnologie für den Iran geht. Santillo weiß das. "Das bekommen wir aber hin. Iran ist okay für uns, das ist ein unschuldiges Land, ein unschuldiger Kunde", sagt er und verzieht dabei keine Miene. Man habe eine Kundenliste von 20 Staaten, und bisher habe es nie Probleme gegeben.

Zum Abschluss des Besuchs fängt IPS-Geschäftsführer Fabio Romani den iranischen Interessenten persönlich in der Lobby ab und spricht ihm Mut zu: "Mach’ dir keine Sorgen wegen der Exportgenehmigung. Du wirst dir deinen Arsch nicht verbrennen, dafür sorge ich." So scherzen die Strippenzieher einer Branche, in der Moral nicht zählt, solange genügend Geld fließt.

Was die beiden selbstbewussten Italiener nicht ahnten: Der angebliche Interessent war ein Insider der globalen Überwachungsindustrie, der im Auftrag des Fernsehsenders Al Jazeera eine versteckte Kamera mitlaufen ließ. Später erklärte IPS, dass man das Geschäft letztlich selbstverständlich abgelehnt hätte. Ähnlich äußerten sich auch Vertreter weiterer Firmen, die in Gesprächen mit dem Scheinkunden versprochen hatten, Deals mit dem Südsudan oder sogar Terrororganisationen abzuschließen. Man halte sich, so das Mantra dieser zwielichtigen Branche, an alle rechtlichen und ethischen Verpflichtungen und verkaufe nur an Staaten, in denen digitale Waffen nicht missbraucht würden.

Die Enthüllungen von Al Jazeera belegen jedoch das Gegenteil: Europäische Firmen nutzen zahlreiche Schlupflöcher, um bestehende Exportregelungen zu umgehen. Dass der Verkauf von Überwachungssoftware eine ernste ­Gefahr für die Menschenrechte darstellt, ist besonders seit dem arabischen Aufstandsjahr 2011 ein Thema. Damals hackten ägyptische und marokkanische Geheimdienste die Handys von Oppositionellen und durchleuchteten deren Kommunikation. In Marokko betrieb der Arzt Hisham Almiraat gemeinsam mit sieben Kollegen ein Blog, das über Proteste berichtete.

Nach einem Angriff auf die Arbeits- und Kommunikationsgeräte der Gruppe beendeten die meisten ihre politische Aktivität aus Furcht vor weiterer Repression. Almiraat machte weiter, lebt ­inzwischen aber im Exil, weil ihm in Marokko 15 Jahre Haft ­drohen. Mittlerweile ist es für europäische Überwachungsfirmen nicht mehr so einfach, Kunden wie Marokko, den Iran oder China zu bedienen. Programme und Geräte zum Ausspähen unterliegen seit 2015 als sogenannte Dual-Use-Produkte einer Exportkontrolle durch die EU.

Dual-Use-Produkte sind Güter, die sowohl für militärische als auch für zivile Zwecke eingesetzt werden können. Im Gegensatz zu klassischen Rüstungsgütern kann Überwachungssoftware auch dafür verwendet werden, um legitime Ziele zu verfolgen. In demokratischen Staaten etwa werden Telefonate Krimineller unter rechtsstaatlichen Bedingungen abgehört, um Straftaten aufzuklären.

Internetunternehmen wiederum analysieren live ihre Netzauslastung, um die Daten für alle Nutzer schnellstmöglich durchzuleiten – mit denselben Programmen, mit denen auch die Kommunikation ihrer Kunden durchleuchtet werden kann. Zwischen legaler und illegaler Verwendung unterscheidet mitunter nur ein Häkchen, das Techniker per Mausklick setzen können.

Die maßgebliche Dual-Use-Verordnung der Europäischen Union umfasst lange Listen, die genehmigungspflichtige Güter aufzählen. In Deutschland entscheidet das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) in Eschborn über die Ausfuhranträge. Die Frage, ob etwa menschenrechtliche Bedenken einem Export entgegenstehen, ist im Einzelfall maßgeblich für die Genehmigung. Europaweit wurden 2014 rund 75.000 Exportlizenzen erteilt, 45.000 davon mit Auflagen, wobei keine detaillierten Statistiken vorliegen, für welche Länder dies galt. Abgelehnt wurden nicht einmal 1.000 Anträge.

Doch die Hoffnung, durch die Aufnahme von Überwachungstechnologie in die EU-Verordnung könne der nicht regulierte Handel zwischen europäischen Unternehmen und Autokratien weltweit eingedämmt werden, erwies sich als Trugschluss. So wurde 2016 bekannt, dass die italienische Firma Area SpA weiterhin Überwachungssoftware nach Ägypten liefern durfte, obwohl die Menschenrechte unter Präsident Abdel Fattah al-Sisi massiv verletzt werden. Und erst im Februar machte ein internationales Kollektiv von NGOs und Journalisten publik, dass die EU-Mitgliedsstaaten seit 2015 den Export von Überwachungstechnik in 317 Fällen gestattet haben. Nur 14 Ausfuhranträge wurden abgelehnt.

Das zeigt, dass die bloße Erweiterung der Dual-Use-Verordnung nicht ausreicht; eine Anpassung an digitale Technologien wäre nötig. Schließlich kann Überwachungssoftware theoretisch in einem E-Mail-Anhang verschickt werden – ihr Export lässt sich damit weitaus schwieriger kontrollieren als derjenige materieller Dual-Use- oder Rüstungsgüter. Das hat auch die EU-Kommission erkannt und im September 2016 den Entwurf für eine grundlegende Reform der Verordnung vorgelegt.

Bereits zuvor hatte das Bundeswirtschaftsministerium in Berlin schärfere Regeln eingeführt als von der EU verlangt – und somit den Reformdruck auf Brüssel erhöht. Nach den Plänen der Kommission soll der Schutz der Menschenrechte ein explizites Kriterium für die Genehmigung von Exporten in Drittländer bilden – eine konsequente Anpassung der Kontrollmechanismen an das digitale Zeitalter. Bei allen Schwächen bietet der Entwurf zumindest die Chance, Schlupf­löcher zu schließen, die von zwielichtigen Geschäftsleuten wie Santillo und Romani bisher großzügig genutzt wurden.

Denn künftig stehen die Unternehmen in der Pflicht, menschenrechtliche Folgen ihrer Produkte sorgfältig abzuschätzen. Außerdem unterliegen nach den Plänen der Kommission künftig auch solche Güter der Genehmigungspflicht, die nicht gelistet sind, aber dennoch einen doppelten Verwendungszweck haben – und Menschenrechtsverletzungen zur Folge haben könnten. Diese sogenannte Catch-all-Klausel betrachten Menschenrechtler als einen entscheidenden Fortschritt, der bei den Beratungen im EU-Parlament bis zur voraussichtlichen Verabschiedung der neuen Verordnung 2018 nicht geändert werden dürfe.

Gerade bei digitaler Überwachungstechnologie verläuft die Entwicklung neuer Produkte rasant, und durch den Einsatz im Verborgenen bekommt kaum jemand etwas von ihrer Existenz mit. Es dürfte für europäische und nationale Behörden daher in einigen Fällen unmöglich sein, derartige Produkte zu den Güterlisten hinzuzufügen. Eine Catch-all-Klausel aber würde dafür sorgen, dass Unternehmen nicht mehr behaupten können, legal in einen autoritären Staat wie zum Beispiel China exportiert zu haben. Stattdessen stünden sie in der Pflicht nachzuweisen, dass zur Zeit des Exports keine Gefahr für die Menschenrechte bestand. Im Falle von Verstößen drohten ihnen Strafzahlungen oder Lizenzentzüge für künftige Geschäfte.

Viele Firmen missachten jedoch rechtliche Vorgaben – oder nationale Behörden erteilen Genehmigungen für Produkte, obwohl allen Beteiligten bekannt ist, dass damit Menschenrechtsverletzungen begangen werden. In den fingierten Verkaufsgesprächen erfuhr der verdeckte Al-Jazeera-Reporter etwa von der Firma Area SpA, dass man mit den nationalen Behörden gut zusammenarbeite und immer Wege finde bei Problemen.

Das zeigt, dass es auf diesem Schattenmarkt an Transparenz fehlt: Einerseits fürchten die Firmen um ihren Ruf bei fragwürdigen Geschäften und verweisen auf Geschäftsgeheimnisse, um ihre Verschwiegenheit zu begründen. Andererseits sind die EU-Staaten in vielen Fällen selbst Kunden dieser Firmen, die angeblich nur durch zusätzliche Erlöse aus internationalen Geschäften die Weiterentwicklung von Soft- und Hardware finanzieren können – und als Steuerzahler umworben werden.

In den Empfängerstaaten schließlich wird nicht offengelegt, welche Produkte von den Sicherheits- und Geheimdiensten gegen die eigene Bevölkerung eingesetzt werden. Um das zu ändern, wären detaillierte Daten darüber notwendig, welche Produkte aus welchen Ländern wohin exportiert werden. Nur so ließe sich überprüfen, ob diese Geschäfte wirklich mit den Werten der EU vereinbar sind – etwa mit dem Recht auf Presse- und Meinungsfreiheit oder der Rechtsstaatlichkeit bestimmter Überwachungseinsätze. Außerdem könnten Bürger, Journalisten und Menschenrechtsverteidiger in den betroffenen Ländern durch die Veröffentlichung detaillierter Statistiken zumindest ansatzweise erahnen, welche Gefahr für ihre Kommunikationsfreiheit besteht.

Dass sich auch die Bundesregierung bisher nicht für mehr Transparenz eingesetzt hat, ist unverständlich. Im Bundeswirtschaftsministerium heißt es, die Beamten der Kontrollbehörde BAFA seien bereits jetzt überlastet – die zu erwartende Antragsflut im Falle transparenterer Richtlinien ließe sich kaum bewältigen. Darüber hinaus könne man darauf vertrauen, dass das Bundesausfuhramt nichts genehmige, was gegen Menschenrechte verstoße.

Sich darauf zu verlassen, wäre jedoch fahrlässig: Erst im Dezember 2016 enthüllte das Blog netzpolitik.org, dass die syrische Regierung auch dank der Unterstützung durch das deutsch-arabische Firmengeflecht Advanced German Technology (AGT) vor Beginn des Aufstands 2011 ihren Überwachungsapparat modernisiert hatte.

In Brüssel besteht dennoch Zuversicht, dass die Verordnung am Ende schärfer ausfällt als im Kommissionsentwurf vorgesehen. Der Berichterstatter des federführenden Ausschusses für internationalen Handel im EU-Parlament, Klaus Buchner (ÖDP), schlug im April ebenjene Transparenzpflichten vor, die von der Zivilgesellschaft seit Langem gefordert worden waren. Die Kritik der Coalition Against Unlawful Surveillance Exports (CAUSE), der neben Amnesty International auch Reporter ohne Grenzen, Privacy International und Human Rights Watch angehören, findet sich in vielen Änderungsvorschlägen wieder.

Nimmt das EU-Parlament den Kommissionsvorschlag wie geplant im Juli an, geht das Gesetz weiter in den Ministerrat, in dem die Mitgliedsstaaten zustimmen müssen. Hier wird sich zeigen, wie ernsthaft die Bundesregierung die Verankerung der Menschenrechte in den Dual-Use-Exportkontrollen wirklich verfolgt – und wie sehr sie sich dem Druck der Industrielobby widersetzt. Da deutsche Unternehmen europaweit die meisten Dual-Use-Güter ausführen, kommt Berlin ein enormes Gewicht in den Verhandlungen zu.

Stimmt der Ministerrat dem Gesetzentwurf des Parlaments zu, wäre dieser bindend für die Mitgliedsstaaten. Illegale Geschäfte wie das von Al Jazeera fingierte der Firma IPS mit dem Iran wären schwieriger durchzuführen. Künftig könnten Geschäftsleute wie Santillo und Romani bestraft werden, wenn sie sich nicht um die menschenrechtlichen Folgen ihrer Deals scheren. Es wäre ein Paradigmenwechsel in der Kontrolle von Überwachungstechnologie, der die Chance böte, Millionen Menschen vor illegaler Überwachung durch europäische Produkte zu schützen.

Daniel Moßbrucker ist Referent für Informationsfreiheit im Internet bei ­Reporter ohne Grenzen.

Dieser Artikel ist in der Ausgabe Juni/Juli 2017 des Amnesty Journals erschienen.