Der EU wurde vorgeworfen, zum Aufbau von „Überwachungskapazitäten“ in Drittländern beigetragen zu haben, ohne die Grundrechte und den Datenschutz zu berücksichtigen; laut einer Beschwerde, die eine Koalition von Datenschutz-NGOs beim Europäischen Bürgerbeauftragten eingereicht hat.
Das an die EU-Aufsichtsbehörde übermittelte Dossier umfasst interne Dokumente und Mitteilungen zu Projekten, die Strafverfolgungsbehörden in Drittländern, insbesondere in Afrika und auf dem westlichen Balkan, Schulungen, Technologien und Finanzierungen bereitstellen.
Die NRO bedauern, dass die EU-Organe und -Agenturen trotz der schwerwiegenden Folgen eines Missbrauchs der bereitgestellten Kapazitäten in allen Fällen keine Folgenabschätzung zu den möglichen Auswirkungen auf die Menschenrechte und die Privatsphäre vorgelegt haben. Sie haben es als Missstand in der Verwaltungstätigkeit bezeichnet.
„Die EU-Organe müssen die Achtung der Menschenrechte auch in ihren Außenbeziehungen sicherstellen, indem sie beispielsweise die Risiken bewerten, die ihr Handeln für die Menschenrechte mit sich bringt. Unsere Untersuchungen legen jedoch nahe, dass diese Bewertungen bei der Übertragung von Überwachungskapazitäten außerhalb der EU fehlen“, sagte Ioannis Kouvakas, Rechtsreferent und amtierender General Counsel bei Privacy International.
Strafverfolgung schulen
Die Beschwerde bezieht sich ausdrücklich auf die Schulungen der EU-Behörden für Strafverfolgungsbehörden aus Drittländern zur Online-Erfassung von Informationen, Abhörtechniken und zur Entschlüsselung abgefangener Nachrichten.
Die Agentur der Europäischen Union für die Ausbildung von Strafverfolgungsbehörden (CEPOL) wurde dafür ausgezeichnet, der algerischen Polizei zu zeigen, wie man gefälschte Konten in sozialen Medien erstellt und Überwachungstools zum Sammeln von Informationen verwendet.
Den Teilnehmern einer Schulung in Montenegro wurde der Umgang mit IMSI Catchers vermittelt, die alle mobilen Geräte in einem bestimmten Bereich, beispielsweise bei einer Protestaktion, identifizieren.
Marokkos Sicherheitskräfte erhielten eine „Telekommunikationsschulung“, wie man ein bestimmtes Gerät aufspürt. Die Sitzung behandelte auch das Extrahieren von Daten aus einem beschlagnahmten Mobiltelefon, einschließlich Fotos, Nachrichten, Webverlauf, GPS-Daten und gelöschten Dateien.
Eine zweite Schulung beinhaltete auch Informationen zum Zugriff auf Cloud-basierte Daten, was dazu führen kann, dass in ganze Apps wie Dropbox, Slack, Instagram, Facebook und Twitter sowie End-to-End-verschlüsselte Messaging-Apps mit aktiviertem Backup eingebrochen werden.
Marokko war eines der Länder, die angeblich Pegasus-Spyware des israelischen Sicherheitsunternehmens NSO eingesetzt haben, um die Telefone hochrangiger französischer Politiker und Journalisten zu hacken.
In einer weiteren Schulung erklärte die spanische Polizei den bosnischen Strafverfolgungsbehörden, wie man Internetnutzer im Rahmen von Ermittlungen gegen Finanzkriminalität aufspürt und abhört, und präsentierte Spyware-Lösungen einschließlich NSO-Produkten.
Ein EU-finanziertes Training von Frontex, der EU-Grenzbehörde, für die libysche Küstenwache erklärte, wie man Beweise von elektronischen Geräten sichert und Fingerabdrücke auch von „Kindern und Personen mit Schwachstellen“ erfasst.
Biometrische Erkennungssysteme
In der Beschwerde werden auch Projekte hervorgehoben, die im Zusammenhang mit dem EU-Treuhandfonds für Afrika entwickelt wurden und auf die Steuerung der Migrationsströme ausgerichtet sind.
Niger, eine strategische Drehscheibe für den Menschenverkehr, erhielt 11,5 Millionen Euro für Überwachungsdrohnen, Kameras und Software. Mit den Mitteln wurde auch ein Abhörzentrum und ein Gerät zum Abhören des Mobilfunkverkehrs entwickelt.
Ein kürzlich auf Druck der EU erlassenes nigerianisches Gesetz gegen Menschenhandel verlangt von den Behörden, einem ausländischen Land, das die Identifizierung eines nigerianischen Staatsbürgers verlangt, relevante Informationen zur Verfügung zu stellen.
Senegal erhielt 28 Millionen Euro für die Entwicklung eines biometrischen Identitätssystems zur Erfassung von Bevölkerungsdaten. Obwohl eine Datenschutzbewertung durchgeführt wurde; die Schlussfolgerungen scheinen den internationalen Datenschutzstandards zu widersprechen.
Die Studie betrachtet biometrische Daten als nicht sensibel und fordert vereinfachte Verfahren für deren Verarbeitung. Sie fordert auch eine weniger strenge Aufsicht durch die nationale Datenschutzbehörde und eine Ausnahmeregelung für die Löschung personenbezogener Daten. Auch in diesem Fall scheinen die erhobenen biometrischen Daten darauf abzuzielen, Senegalesen im Ausland zu identifizieren.
Auch die Begründung für die Einrichtung eines biometrischen Identifizierungssystems in Côte d’Ivoire weist darauf hin, dass die Identifizierung von ivorischen Staatsangehörigen in Europa und ihre Rückführung erleichtert werden.
„Werkzeuge aus der EU werden verwendet, um in Nordafrika Chaos anzurichten. Für Millionen von Menschen, deren Rechte gefährdet sind, ist dies kein Fall von „aus den Augen, aus dem Sinn“, betonte Marwa Fatafta, MENA Policy Manager bei Access Now.
In Bosnien und Herzegowina wurde ein zusätzliches Grenzkontrollprojekt durchgeführt, bei dem den Behörden Registrierungsausrüstung, Datenbanken und Fingerabdruckgeräte zur Verfügung gestellt wurden.
In Anbetracht der Auswirkungen
In einer ihrer Antworten erklärte die EU-Kommission, dass „keine Verpflichtung oder Notwendigkeit für die Kommission besteht, eine Datenschutz-Folgenabschätzung für EU-Treuhandfondsprojekte durchzuführen“.
Die NGOs bestreiten dieses Argument und argumentieren, dass die EU-Organe sicherstellen müssen, dass die Menschenrechte und -grundsätze eingehalten werden, da sie Drittländer mit aufdringlicher Ausrüstung und Techniken ausstatten, die eine Massenüberwachung ermöglichen könnten.
Das Argument wurde vom deutschen Europaabgeordneten Patrick Breyer aufgegriffen. „Die Kommission hat sich als völlig unwissend erwiesen, als wir sie zur Folgenabschätzung befragten, was nicht akzeptabel ist“, sagte Breyer.
„Ohne vorherige menschenrechtliche Folgenabschätzungen könnten solche Aktionen ernsthafte Bedrohungen darstellen“, betonte Manos Papadakis, Mitbegründer von Homo Digitalis.
Ein Sprecher der Kommission stand nicht ohne weiteres für Kommentare zur Verfügung.