Drücken Sie Play, um diesen Artikel anzuhören
Von künstlicher Intelligenz geäußert.
Diese Geschichte ist Teil der Serie Geleakt: Die alternative Welt der Cyberüberwachung. Lesen Sie den Rest.
PARIS – Als durchgesickerte Details einer Unternehmenskonferenz einen 56-Milliarden-Euro-U-Boot-Deal mit der australischen Regierung bedrohten, wandte sich der französische Verteidigungsgigant Naval Group an Eric Leandri, einen Unternehmer mit dem Ruf, Europas Verfechter des digitalen Datenschutzes zu sein.
Leandri hat sich als Geschäftsführer der Suchmaschine Qwant einen Namen gemacht. Aber er war jetzt Leiter einer neuen Firma, Altrnativ, einer Cyberüberwachungsfirma, die Dossiers über Privatpersonen für einige der größten französischen Marken zusammenstellte und an Cyberwaffenverträgen mit autoritären afrikanischen Regimen wie dem Tschad und Kamerun arbeitete. Die Naval Group bat Altrnativ, die Teilnehmer des Anrufs sowie fünf andere zu untersuchen, darunter einen australischen Senator, einen australischen Journalisten und den australischen CEO einer konkurrierenden Firma, wie aus Dokumenten hervorgeht, die POLITICO eingesehen haben.
Das Ziel des Projekts: herauszufinden, wie die internen Diskussionen des U-Boot-Herstellers an die australische Presse durchgesickert sind, und herauszufinden, „wer loyal ist und wer nicht“, so die Aufzeichnungen eines Treffens zwischen einem Altrnativ-Mitarbeiter vom 9. Juni 2021 und Sicherheitschef der Naval Group.
Das Ergebnis: Kein eindeutiger Schluss auf die Quelle des Leaks, aber ein 40-seitiger Bericht, der die Telefonnummern der Opfer, Social-Media-Verbindungen und in einigen Fällen persönliche Informationen auflistet.
Nur wenige Monate später war der U-Boot-Deal tot, Frankreichs Beziehungen zu Australien und Amerika waren erbittert zusammengebrochen, und Chinas kommunistische Führer schäumten vor dem Mund über ein neues indo-pazifisches Bündnis namens AUKUS.
Zum ersten Mal von POLITICO darüber informiert, dass er Gegenstand einer geheimen Untersuchung gewesen sei, sagte Rex Patrick, der australische Senator, dass er die Praxis „empörend“ finde.
„Ich glaube nicht, dass jemand aus Frankreich es begrüßen würde, wenn ein australisches Staatsunternehmen gegen einen französischen Senator ermittelt, weil er oder sie im französischen Parlament harte Fragen zur Verwendung französischer Steuergelder stellt“, sagte er. „Sie würden zu Recht sagen, dass solches Schnüffeln ‚choquant‘, ‚empörend‘ und ‚scandaleux‘ war.“
„Korrigieren Sie ruhig mein schlechtes Französisch“, fügte er hinzu.
Einzelheiten über den australischen Job der Naval Group gehörten zu Tausenden von internen Altrnativ-Dokumenten, die POLITICO zu Gesicht bekamen. Sie werfen ein Licht auf die schnell wachsende Cyberüberwachungsbranche, in der Unternehmen das Internet und andere öffentlich zugängliche Datenquellen durchsuchen, um Dossiers über Mitarbeiter, Rivalen oder Kritiker zusammenzustellen.
Diese Praxis wird häufig verwendet, um Due-Diligence-Prüfungen bei Gegenparteien oder potenziellen Mitarbeitern durchzuführen, kann aber auch gegen externe Kritiker oder interne Andersdenkende eingesetzt werden. In beiden Fällen besteht das Risiko, gegen die Datenschutzgesetze der Europäischen Union zu verstoßen, die als Datenschutz-Grundverordnung oder DSGVO bekannt sind.
„Nach einem Durchsickern vertraulicher und interner Informationen der Naval Group in den australischen Medien haben wir uns engagiert [Altrnativ] offene Quellen zu verwenden, um den Kontext dieses schädlichen Lecks zu verstehen“, sagte eine Sprecherin der Naval Group in einer Erklärung gegenüber POLITICO. Das Unternehmen lehnte eine weitere Stellungnahme ab.
Ist ein Leck entstanden
Das Leck der Naval Group fand im Frühjahr 2021 statt, Monate bevor Australien den U-Boot-Deal torpedierte und eine internationale diplomatische Krise auslöste. Doch die ersten Risse in der Vereinbarung zeigten sich bereits.
Besorgt über Kostenüberschreitungen und Lieferverzögerungen hatte sich die australische Regierung geweigert, eine neue Tranche des Deals zu unterzeichnen. Es verhandelte auch heimlich über eine Anti-China-Allianz mit den USA und Großbritannien, die als AUKUS bekannt werden sollte und stattdessen den Kauf von Atom-U-Booten von den USA beinhaltete.
Nach dem Debakel hat Frankreich zum ersten Mal überhaupt seinen Botschafter in den USA vorübergehend abberufen. Paris rief auch seinen Botschafter in Australien zurück.
Immer noch in der Hoffnung, die Katastrophe abzuwenden, versammelte die Naval Group am 5. Mai 30 Personen zu einem Anruf, um den Status der Vereinbarung zu besprechen. Einzelheiten der Diskussion wurden der Wirtschaftszeitung Australian Financial Review zugespielt.
Ein Artikel des politischen Journalisten Andrew Tillett vom 14. Mai beschrieb ein Unternehmen, das sich Sorgen um die Zukunft des Deals machte. Während des Anrufs sagte Fabrice Leduc, ein leitender Angestellter der Naval Group, dass das Unternehmen die Einstellung einfrieren und nur das ausgeben würde, was Canberra erstatten würde.
Tillett berichtete, wie sich die Mitarbeiter lautstark Sorgen machten, den Zeitplan einhalten zu können. Ein Mitarbeiter beschwerte sich, dass es angesichts der bevorstehenden Sommerferien in Frankreich ein „Albtraum“ sei, den Forderungen der Australier nachzukommen.
Leandri hatte sich ein paar Monate vor dem Leak mit einem 15-seitigen Pitch an die Naval Group gewandt, in dem eine Reihe von Diensten vorgeschlagen wurden, von der „Bedrohungsbewertung“ bis zur „Identifizierung von Top-Hassern“.
Am 1. Juli haben die beiden Unternehmen eine Vereinbarung getroffen, um den Leaker zu identifizieren. Laut einer Bestellung, die am 1. Juli vom stellvertretenden Sicherheitschef der Naval Group, Arnaud de Pellegars, unterzeichnet wurde, erhielt Altrnativ 9.600 Euro, um die Personen zu „kartieren“, von denen der U-Boot-Hersteller glaubte, dass sie an dem Leck beteiligt sein könnten.
Die Dokumente deuten darauf hin, dass die Naval Group die Namen und Telefonnummern ihrer Mitarbeiter weitergegeben und in einem Fall auch mitgeteilt hat, dass einer ihrer Mitarbeiter in einer Beziehung mit einer Frau stand, die die Naval Group für ein Konkurrenzunternehmen verlassen hatte.
Zu den Zielen gehörten Anrufer, aber auch die Frau, die das Unternehmen verlassen hatte; Patrick, der australische Senator und lautstarker Kritiker des U-Boot-Deals; und Tillett, der Journalist. (Tillett lehnte eine Interviewanfrage von POLITICO ab. „Als Journalist glaube ich nicht daran, Quellen zu kommentieren“, sagte er. „Habe ich nie, werde ich nie.“)
Ebenfalls ins Visier genommen wurden Jim McDowell, CEO des australischen Verteidigungsunternehmens Nova Systems, ein Konkurrent, und Brent Clark, Chief Executive des Australian Industry and Defense Network, das lokale kleine und mittlere Rüstungsunternehmen vertritt.
In einem Interview lehnte Leandri es ab, sich zu dem Job zu äußern, bestritt jedoch, dass ihm die Naval Group die Nummern des Mitarbeiters gegeben habe. Unternehmen „teilen niemals Informationen mit uns“, sagte er.
Nicht schlüssig
Der 40-seitige Bericht von Altrnativ, der nach mehr als einem Monat geliefert wurde und mit Rechtschreibfehlern übersät war, identifizierte den Leaker nicht.
Es identifizierte fünf Personen, die Altrnativ als „Risiko“ für die Naval Group erachtete, und markierte ihre Profile mit einem gelben Warndreieck. Einer hatte in den USA und Japan gearbeitet. Einer war bei der staatlichen Qatar Foundation angestellt. Eine war eine Frau, die das Unternehmen im Mai verließ.
Eine Frau wurde aufgrund ihrer „Sichtbarkeit in sozialen Netzwerken“ und der „Fülle von Informationen, die möglicherweise gesammelt werden könnten“, als Risiko eingestuft. Diese, so der Schluss des Berichts, setzten sie der Gefahr ausländischer Spionage aus.
Der Bericht schloss die Möglichkeit aus, dass ein in Frankreich ansässiger Mitarbeiter den Journalisten direkt kontaktierte, und präsentierte eine Reihe anderer möglicher Szenarien, manchmal in Form von Fragen.
Könnte die Frau, die das Unternehmen im Mai verlassen hat, versuchen, sich bei ihrem neuen Arbeitgeber anzubiedern? Könnte ein anderer Arbeitgeber, der einst für die Qatar Foundation gearbeitet hatte, versuchen, die Naval Group im Namen der Petrostate zu destabilisieren?
Während der Bericht nur wenige Schlussfolgerungen enthielt, war er vollgepackt mit Details über das Privatleben seiner Zielpersonen.
Für jede Person wurden Telefonnummern, Social-Media-Profile, Berufsbezeichnungen, Familienstand und die Anzahl der Kinder aufgelistet, sofern verfügbar. Bei manchen ging es tiefer.
Im Abschnitt über die Frau, die das Unternehmen verlassen hatte, listete es ihre Hobbys, ihre Pinterest-Seite und den Namen ihres Sohnes auf und schloss: „Ihre Neigung zu Yoga, Kunst und Schmuckherstellung scheint sie von der Hauptindustrie zu entfernen und geopolitische Fragen Australiens.“
Altrnativ stellte der Naval Group eine Telefonnummer von McDowell, dem CEO der Nova Group, und einen Link zu seiner Amazon-Wunschliste zur Verfügung. Es enthielt Patricks Lebenslauf und zeichnete die Social-Media-Konten des australischen Senators auf, hob seine Verbindungen zu Tillett, dem Journalisten, hervor und enthielt Screenshots seiner Tweets.
Datenschutzverletzung
Experten, die mit POLITICO sprachen, sagten, es sei unklar, ob die Untersuchung des Lecks gegen die australischen Vorschriften zur Verwendung personenbezogener Daten verstoße.
„Auf den ersten Blick hat es das Potenzial, gegen das Datenschutzgesetz zu verstoßen“, sagte David Vaile, Vorsitzender der Australian Privacy Foundation. Aber die Vorschriften des Landes sehen eine Ausnahme für „Mitarbeiterakten“ vor, ein Begriff, der rechtlich ausgelegt werden kann.
Patrick bemerkte, dass nicht alle Ziele der Unternehmen für die Naval Group funktionierten.
„Ich denke nicht, dass es die Aufgabe eines französischen Unternehmens ist, eine Untersuchung gegen einen australischen Staatsbürger durchzuführen, der nicht bei dem Unternehmen beschäftigt war“, sagte Patrick. „Die Naval Group hatte einen Vertrag mit der australischen Regierung und hätte die australischen Behörden um Unterstützung bitten können, wenn sie dachten, dass australische Bürger an einem Leck beteiligt waren.“
Mehrere Experten sagten, dass die Aktivitäten von Naval Group und Altrnativ möglicherweise gegen die Datenschutzbestimmungen der DSGVO verstoßen haben, die keine Ausnahmen für Mitarbeiterdaten enthalten, insbesondere wenn die Zielpersonen nicht über die Untersuchung informiert wurden. Personenbezogene Daten, einschließlich politischer Ansichten, religiöser Überzeugungen und rassischer oder ethnischer Herkunft, gelten nach der DSGVO als „sensibel“, sagte Eric Delisle, Leiter der Abteilung für Beschäftigung, Solidarität, Sport und Wohnungswesen bei der CNIL, der französischen Datenschutzbehörde. „Die DSGVO legt ein Nutzungsverbotsprinzip bis auf ganz bestimmte Ausnahmen fest.“
Die DSGVO kann auch für australische Ziele durchgesetzt werden, da ihre Daten von einem französischen Unternehmen, Altrnativ, gesammelt und verarbeitet wurden. „Wenn ein Unternehmen seinen Sitz in Europa hat oder Ziele Personen mit Sitz in Europa sind, gilt die DSGVO“, sagte Delisle.
Laut Valérie Aumage, einer französischen Rechtsanwältin und Leiterin der Abteilung für digitales Recht und den Schutz personenbezogener Daten bei PWC Société d’Avocats, hätte die DSGVO auch dann Anwendung gefunden, wenn die Daten öffentlich gewesen wären. „Wo auch immer die Daten herkommen … die Person muss darüber informiert werden, was damit geschehen soll“, sagte sie. Die Benachrichtigung kann verzögert werden, aber das müsste durch „berechtigte Interessen“ gerechtfertigt werden, fügte Aumage hinzu. Datenschutzanforderungen enden nicht mit der Information der Person. „Die Verarbeitung muss begründet werden, einschließlich der Angabe einer Rechtsgrundlage für die Verarbeitung und ihrer Notwendigkeit“, sagte Ravi Naik, juristischer Direktor der auf Datenschutzfälle spezialisierten Agentur AWO. „Die Notwendigkeit besteht darin, den Zweck der Untersuchung gegen die Auswirkungen auf die Freiheiten und Rechte des Einzelnen abzuwägen“, fügte er hinzu.
Von POLITICO kontaktiert, sagte Philip Benton, ein ehemaliger Auftragnehmer für Naval, er wisse nicht, dass seine Daten von Altrnativ verwendet worden seien. Er sagte, er sei von der Personalabteilung und der Sicherheit der Naval Group befragt worden, aber nicht über die Ergebnisse der Ermittlungen informiert worden.
„Wir wurden nicht darüber informiert, ob die Quelle des Lecks identifiziert wurde“, sagte er. „Das bleibt mir ein Rätsel“
Die Naval Group antwortete nicht auf eine Bitte um Stellungnahme speziell zu den Vorwürfen, das Unternehmen habe gegen die DSGVO verstoßen. Auf die Frage, ob Altrnativ gegen die DSGVO verstoßen habe, antwortete Leandri nicht.