EU-Staaten verkaufen Spyware an Diktaturen

Sechs EU-Mitgliedstaaten haben Ueberwachungstechnologie in mehr als zwei Dutzend Laender mit dokumentierten Menschenrechtsverletzungen exportiert. Das geht aus einem Bericht hervor, den Human Rights Watch am 12. Mai 2026 veroffentlichte. Die Ergebnisse legen ein systemisches Versagen des wichtigsten EU-Exportkontrollrahmens offen und werfen die direkte Frage auf, ob europaische Ueberwachungswerkzeuge eingesetzt werden, um Aktivisten, Journalisten und VPN-Nutzer in autoritaren Regimen weltweit zu verfolgen.

Der Bericht: EU-Spyware-Exporte an autoritare Regime

Der HRW-Bericht mit dem Titel "Wegschauen: Das Versagen der EU beim Schutz vor Ueberwachungsexporten an Menschenrechtsverletzer" dokumentiert, wie die EU-Dual-Use-Verordnung von 2021 - die verhindern sollte, dass Ueberwachungstechnik an repressive Regierungen gelangt - in der Praxis gescheitert ist. Forschern gelang es nur bei 7 von 27 EU-Mitgliedstaaten, Exportdaten zu beschaffen, nachdem 12 Informationsfreiheitsanfragen vollstandig abgelehnt worden waren.

Zu den bestatigten Fallen gehort: Bulgarien exportierte zwischen 2020 und 2023 Einbruchssoftware und Telekommunikations-Abfangsysteme nach Aserbaidschan, Bosnien und Herzegowina, Brasilien, Cote d'Ivoire, Dominikanische Republik, El Salvador, Ghana, Guatemala, Israel, Jordanien, Malaysia, Mexiko, Mongolei, Marokko, Panama, Philippinen, Serbien, Uganda, Vereinigte Arabische Emirate, Ukraine und Vietnam. Polen exportierte 2023 Telekommunikations-Abfangsysteme nach Ruanda. Das schwedische Unternehmen MSAB exportierte forensische Datenextraktionswerkzeuge nach Indien, indem es eine Klassifikationsluecke ausnutzte.

Warum die Verordnung versagt hat

Die EU-Dual-Use-Verordnung von 2021 wurde als wegweisende Reform bezeichnet, die die Exportluecke fur Ueberwachungstechnologie schliessen sollte - jene Luecke, die es europaischen Unternehmen jahrelang ermoglicht hatte, Spyware an autoritare Regierungen zu verkaufen. Die Verordnung verpflichtet Mitgliedstaaten dazu, uber Lizenzentscheidungen zu berichten, Menschenrechtsrisiken zu bewerten und Exporte zu verhindern, die wahrscheinlich gegen internationales Recht verstossen.

HRW stellte funf verschiedene Versagensmechanismen fest:

• Transparenzluecke: Die Europaische Kommission hat Berichtspflichten so umgedeutet, dass in ihren offentlichen Berichten Technologietyp und Bestimmungsland getrennt erscheinen. Das Ergebnis: Es ist unmoglich festzustellen, welches Land welches Ueberwachungswerkzeug von welchem EU-Staat erhalten hat.
• Schwache Sorgfaltspflichten: Unternehmen sind lediglich verpflichtet, Menschenrechtsrisiken zu "berucksichtigen" - nicht jedoch, darauf zu reagieren oder die Bewertung zu dokumentieren. Das ist kein verbindlicher Standard.
• Geheimhaltungsausnahmen: Mitgliedstaaten beriefen sich auf nationale Sicherheit und Geschaftsgeheimnisse, um Exportlizenzierungsdaten zuruckzuhalten, und machten externe Kontrolle unmoglich.
• Klassifikationsluecken: Schwedens MSAB exportierte forensische Extraktionswerkzeuge nach Indien - einem Land mit dokumentiertem Spyware-Missbrauch - mit dem Argument, die Werkzeuge seien nicht "speziell konzipiert" fur verdeckte Ueberwachung und fielen daher nicht unter die Auffangklausel der Verordnung.
• Unterberichterstattung: Schweden meldete der Kommission offiziell null Exportlizenzantrage, obwohl in demselben Zeitraum bestatige MSAB-Exporte stattfanden.

Die Empfanger: Lander mit dokumentierter Repression

Aserbaidschan, eines der bestatigten Exportziele Bulgariens, hat eine gut dokumentierte Geschichte der digitalen Ueberwachung von Journalisten, Aktivisten und politischer Opposition. Forscher fanden erhebliche Belege dafur, dass Aserbaidschan wahrend des Konflikts 2023 die Pegasus-Spyware - entwickelt von der NSO Group, einem Unternehmen, das mit Circles verbunden ist, das seinerseits mit bulgarischen Ueberwachungsexporten in Zusammenhang steht - gegen die armenische Zivilgesellschaft einsetzte.

Ruanda, das von Polen Telekommunikations-Abfangsysteme erhielt, setzt Pegasus nachweislich seit mindestens 2017 gegen Dissidenten und Diaspora-Mitglieder ein. Das Land verabschiedete 2013 ein erweitertes Uberwachungsgesetz, das den Behorden weitreichende Befugnisse zur Uberwachung von Kommunikation einraumt.

Frankreich, Deutschland, Griechenland, Italien und Spanien - aufgrund ihrer Grosse mutmasslich bedeutende Exporteure - lehnten HRWs Informationsfreiheitsanfragen ab oder reagierten gar nicht darauf, sodass ihre Exportunterlagen vollstandig im Dunkeln bleiben.

Was "Einbruchssoftware" und "Telekommunikationsabfang" tatsachlich tun

Die in den Exportunterlagen auftauchenden Uberwachungskategorien sind nicht abstrakt. Einbruchssoftware - von Anbietern auch als Werkzeuge fur "rechtmassige Abfangmassnahmen" beschrieben - ermoglicht verdeckten Zugriff auf Gerate: Sie extrahiert Nachrichten, Anrufprotokolle, Kontakte, Standortverlaufe sowie Mikrofon- oder Kameradaten, ohne dass das Ziel davon weiss. Telekommunikations-Abfangsysteme operieren auf Netzwerkebene und ermoglichen die Echtzeit-Uberwachung von Anrufen, SMS und Internetverkehr uber die gesamte Infrastruktur eines Netzbetreibers.

Das sind die Werkzeuge, mit denen autoritare Regierungen VPN-Nutzer identifizieren, Dissidenten orten und verschlusselte Kommunikation uberwachen. Wenn solche Werkzeuge aus EU-Mitgliedstaaten mit funktionierenden Rechtssystemen exportiert werden, verleihen sie technische Fahigkeiten an Regierungen, die uber keine der Kontroll- oder Rechenschaftsmechanismen verfugen, die ihren Einsatz in Europa zumindest nominell regulieren.

HRW-Empfehlungen

Human Rights Watch forderte die Europaische Kommission auf, neue Umsetzungsleitlinien herauszugeben, die dem tatsachlichen Wortlaut der Dual-Use-Verordnung entsprechen, detaillierte offentliche Berichterstattung vorzuschreiben, die Technologiekategorien mit Bestimmungslandern verknupft, Unternehmen zu verpflichten, eine echte menschenrechtliche Sorgfaltsprufung durchzufuhren und zu dokumentieren - nicht lediglich Risiken zu "berucksichtigen" - und zivilgesellschaftlichen Organisationen eine formale Beteiligung an der laufenden Bewertung der Effektivitat der Verordnung zu sichern.

Der Bericht empfahl ausserdem, dass EU-Mitgliedstaaten Exportlizenzen fur Ueberwachungstechnologie in jedes Land verweigern sollten, dessen Regierung nachweislich systematisch solche Werkzeuge gegen Journalisten, Aktivisten, Oppositionspolitiker oder Diaspora-Gemeinschaften einsetzt.

Das grossere Muster

Die Erkenntnisse von HRW decken sich mit einem breiteren Muster, das von Forschern bei Citizen Lab, Amnesty International und Access Now dokumentiert wurde: Europaische Technologieunternehmen und Regierungen haben autoritaren Regimen wiederholt Uberwachungskapazitaten geliefert, oft unter Berufung auf "rechtmassige Abfangmassnahmen" oder "legitime Strafverfolgungszwecke" - Begrundungen, die in den Bestimmungslandern einer Prufung nicht standhalten.

Fur Menschen, die unter Regimen leben, die diese Werkzeuge erhalten haben, bietet ein VPN eine teilweise Schutzschicht gegen Uberwachung auf Netzwerkebene. Es kann nicht gegen Einbruchssoftware auf Gerateebene schutzen - jene Art, die Bulgarien nach Aserbaidschan exportierte -, aber es verschlusselt den Datenverkehr bei der Ubertragung und verbirgt die tatsachliche IP-Adresse des Nutzers vor dem Internetanbieter und vor Massenuberwachungssystemen in der Netzwerkinfrastruktur.