Während es der EU bisher nicht gelungen ist, geeignete Maßnahmen gegen die invasivsten Formen von Spyware zu ergreifen, könnte die Corporate Sustainability Due Diligence Directive (CSDDD) eine entscheidende Gelegenheit für die EU bieten, die grassierenden Menschenrechtsverletzungen im Bereich der Überwachungstechnologie einzudämmen. argumentiert Hannah Storey.
Hannah Storey ist Politikberaterin für Wirtschaft und Menschenrechte bei Amnesty International.
Im Jahr 2021 deckte das Pegasus-Projekt auf, wie Regierungen auf der ganzen Welt die äußerst invasive Pegasus-Spyware der NSO Group genutzt haben, um Menschenrechtsaktivisten, politische Führer, Journalisten und Anwälte unrechtmäßig auszuspionieren. Die Pegasus-Spyware wurde als Waffe eingesetzt, um mutige Menschen auf der ganzen Welt einzuschüchtern und zum Schweigen zu bringen.
Die bekannte Journalistin Nuria Piera beschrieb das Gefühl, mit der Technologie ins Visier genommen zu werden: „Es ist wie im Treibsand. Es beeinflusst wirklich Ihr Freiheitsgefühl, wie frei Sie sich fühlen, Ihre Meinung zu äußern.“ Digitale Forensik hat bestätigt, dass Journalisten in mindestens 18 Ländern mit Pegasus angegriffen wurden, das tatsächliche Ausmaß dieses Missbrauchs von Überwachungstechnologie dürfte jedoch viel höher sein.
Zwei Jahre später ergab eine Untersuchung von European Investigative Collaborations (EIC) – einer Partnerschaft von über einem Dutzend Medienorganisationen, die vom Security Lab von Amnesty International unterstützt wurde – mit dem Titel „Predator Files“, dass eine Reihe von Überwachungstechnologien entwickelt und verkauft wurden Die in der EU ansässige Intellexa-Allianz, einschließlich einer hochinvasiven Überwachungstechnologie namens „Predator“, wird weltweit in nahezu industriellem Maßstab gehandelt.
Predator-Spyware kann unbemerkt Geräte in der Nähe infizieren oder über einen schädlichen Link verbreitet werden. Sobald eine gezielte Infektion auftritt, kann Predator, wie zuvor Pegasus, auf unkontrollierte Datenmengen auf dem Gerät des Ziels zugreifen. Nachrichten lesen, auf Mikrofon, Dokumente, Fotos, Kontakte und Anrufaufzeichnungen zugreifen. Wie auch immer, Predator kann wahrscheinlich darauf zugreifen, während der Benutzer sich seiner Anwesenheit überhaupt nicht bewusst ist.
Die Untersuchung der Predator-Akten von EIC und Amnesty International hat ergeben, dass Predator eingesetzt wurde, um EU-Beamte ins Visier zu nehmen, darunter die Präsidentin des Europäischen Parlaments, Roberta Metsola, sowie in der EU ansässige Aktivisten und Akademiker. Insgesamt wurden zwischen Februar und Juni 2023 50 Social-Media-Konten von 27 Einzelpersonen und 23 Institutionen aus der ganzen Welt angegriffen.
Dieser Missbrauch von Spyware schadet nicht nur den Rechten der betroffenen Personen, sondern nach den Worten des PEGA-Ausschusses (Untersuchungsausschuss des Europäischen Parlaments zur Untersuchung des Einsatzes von Pegasus und gleichwertiger Überwachungs-Spyware) „ist der Missbrauch von Spyware ein schwerwiegender Verstoß.“ Es ist ein Zeichen aller Werte der Europäischen Union und stellt die Widerstandsfähigkeit der demokratischen Rechtsstaatlichkeit in Europa auf die Probe.“
Seit die Enthüllungen über das Pegasus-Projekt bekannt wurden, fordert die Zivilgesellschaft von den Regierungen, die invasivsten Formen von Spyware zu verbieten und den Überwachungssektor zu regulieren. Und doch zeigen die Predator-Akten deutlich, dass die EU es versäumt hat, geeignete Maßnahmen zu ergreifen.
Schlimmer noch: Die Intellexa-Allianz bewirbt sich selbst als „EU-basiert und reguliert“. Viele der Unternehmen der Allianz haben ihren Sitz in EU-Mitgliedstaaten, und trotz Exportkontrollen, die den Verkauf dieser Technologien regulieren sollen, wurden die Produkte der Intellexa-Allianz in mindestens 25 Ländern in Europa, Asien, dem Nahen Osten und Afrika gefunden . Es steht diesen Unternehmen weiterhin frei, im Verborgenen zu agieren, ohne Aufsicht oder echte Rechenschaftspflicht.
Es gibt jedoch einen Hoffnungsschimmer für die Rechenschaftspflicht: die Corporate Sustainability Due Diligence Directive, die der EU eine entscheidende Chance bietet, die grassierenden Menschenrechtsverletzungen im Bereich der Überwachungstechnologie einzudämmen.
Die Richtlinie wird derzeit von politischen Entscheidungsträgern der EU fertiggestellt und wird neue Menschenrechtsvorschriften für Unternehmen schaffen, die in der EU tätige Unternehmen dazu verpflichten, Menschenrechtsrisiken im Zusammenhang mit ihrer Geschäftstätigkeit zu identifizieren und dann anzugehen. Es wird auch eine neue Möglichkeit bieten, Unternehmen vor europäischen Gerichten zur Rechenschaft zu ziehen, wenn sie zu Menschenrechtsverletzungen auf der ganzen Welt beigetragen haben.
Und doch möchte der Rat der Europäischen Union, dass Spyware von diesen neuen Regeln ausgenommen wird. Als der Rat im vergangenen Jahr seine Position zur Sorgfaltspflichtrichtlinie festlegte, schlug er vor, alle Produkte, die der Exportkontrolle unterliegen, auszunehmen.
Eine solche Position könnte vertretbar sein, wenn solche Produkte bereits durch andere Gesetze angemessen reguliert würden, aber wie die Untersuchung von Predator Files ergeben hat, wird trotz bestehender Exportkontrollen weiterhin hochinvasive Spyware verkauft. Wie das Pegasus-Projekt aufgedeckt hat und die Predator-Dateien nun unterstrichen haben, reichen Exportkontrollen allein nicht aus, um den durch diese Technologien verursachten Schaden zu bekämpfen.
Die Sorgfaltspflichtrichtlinie bietet der EU die Chance, sicherzustellen, dass Überwachungstechnologieunternehmen die schwerwiegenden Auswirkungen ihrer Technologien auf die Menschenrechte nicht länger ignorieren können.
Würden sie in die Richtlinie aufgenommen, wäre der Überwachungssektor verpflichtet, menschenrechtliche Garantien einzuführen. Und wenn sie dies nicht taten, könnten sie zur Rechenschaft gezogen werden.
Dies ist wichtiger denn je, denn wir sehen immer wieder, wie Unternehmen zu Menschenrechtsverletzungen auf der ganzen Welt beitragen. Ob es nun darum geht, Journalisten mit äußerst invasiver Spyware anzugreifen, Gemeinden gewaltsam zu vertreiben, um Platz für Kobaltminen in der Demokratischen Republik Kongo zu schaffen, oder ob es nicht gelingt, Ölverschmutzungen in Nigeria zu beseitigen.
Während die politischen Entscheidungsträger der EU in die endgültigen Verhandlungen über die Richtlinie zur Sorgfaltspflicht im Bereich der Nachhaltigkeit von Unternehmen eintreten, sollten sie die Enthüllungen über die Predator-Akten und das Pegasus-Projekt im Hinterkopf behalten. Die Gelegenheit, die wachsenden Auswirkungen des Überwachungstechnologiesektors auf die Menschenrechte einzudämmen, sollte nicht verpasst werden. Um Menschen sowohl innerhalb als auch außerhalb der EU zu schützen, darf Spyware nicht von den neuen Sorgfaltspflichten für Unternehmen ausgeschlossen werden.