Nicht alle Europaabgeordneten haben sich mit dem gefährlichen Zustand in Sachen Staatstrojaner abgefunden. Die sozialdemokratische Parlamentarierin Birgit Sippel und Krzysztof Brejza von der christdemokratischen EVP-Fraktion, dessen Smartphone mit Pegasus gehackt worden war, wollen das Thema nicht zu den Akten legen. Sie informierten bei einer Veranstaltung in Brüssel über die jüngsten Entwicklungen.

Den Regierungen von Polen, Ungarn, Griechenland, Zypern und Spanien war das Ausspionieren von Journalisten, Juristen und Oppositionellen mit dem Staatstrojaner Pegasus nachgewiesen worden. Die Nutzung von Hacking-Werkzeugen in Europa ist seit den Untersuchungen des Pegasus-Ausschusses des EU-Parlaments nicht weniger geworden, im Gegenteil.

Denn in den vergangenen Monaten haben abermals Untersuchungen ergeben, dass innerhalb Europas weitere Staatstrojaner eingesetzt wurden, um Smartphones zu hacken. Unter den Opfern sind Journalisten, Politiker und auch Menschenrechtsaktivisten wie beispielsweise Giuseppe Caccia und Luca Casarini, beide aktiv bei der Seenothilfe Mediterranea.

Eine Analyse von CitizenLab brachte Einblicke und Nachweise dazu, wie mehr als neunzig Menschen, auch aus EU-Mitgliedstaaten, mit einer kommerziellen Hacking-Software von Paragon Solutions ausspioniert wurden. Im Februar 2025 waren Betroffene, allesamt WhatsApp-Nutzer, vom US-Konzern Meta über den Paragon-Staatstrojaner-Hack benachrichtigt worden.

Angesichts dieser Situation fragen die EU-Abgeordneten: Was machen die EU-Institutionen eigentlich? Schließlich ist ja auch die Regierung von Georgia Meloni in den aktuellen Paragon-Skandal verwickelt.

Die kurze Antwort ist: Sie ducken sich weg. Und wo sie sich positionieren, haben sie keine Lösungen. Das zeigen die Einlassungen von Audrius Perkauskas, der auf der Veranstaltung für die EU-Kommission sprach, aber besonders die Wortmeldungen des polnischen Konservativen Kazimierz Ujazdowski, der die gerade beendete polnische EU-Ratspräsidentschaft repräsentierte. Die Wortmeldungen und Stellungnahmen mitsamt Diskussion sind aufgezeichnet worden: Securing Democracy & Media Freedom – EU Action on Spyware and Surveillance.

Spionage bei drei Journalisten

Zu Wort kommen zuerst Opfer der Hacking-Werkzeuge der NSO Group (Pegasus) und Paragon (Graphite). Eingeladen ist zu den aktuellen Fällen Francesco Cancellato, ein Journalist aus Italien, der ein Hacking-Opfer im Paragon-Skandal der Meloni-Regierung ist. Er fasst zusammen, was in den Monaten nach dem Auffliegen des Paragon-Staatstrojaners auf seinem Telefon geschehen ist und vor allem, was nicht.

Denn die italienische Regierung bestreitet eine direkte Involvierung am Hacking des Investigativjournalisten Cancellato ebenso wie seiner Journalistenkollegen Ciro Pellegrino und Roberto Dagostino. In einer Pressemitteilung vom Februar, die unverändert online ist, heißt es seitens der Meloni-Regierung nur, dass rechtlich geschützte Personen wie Journalisten grundsätzlich nicht von italienischen Geheimdiensten ausspioniert würden. Ansonsten werde man dem parlamentarischen Geheimdienst-Kontrollgremium Copasir Bericht erstatten, welches geheim tagt.

Staatstrojaner sind eine Bedrohung für Datenschutz, Sicherheit und Menschenrechte, aber auch für die Pressefreiheit. Die Rechtslage in Europa schütze Journalisten nach wie vor zu wenig, konstatiert Rand Hammoud, Überwachungsexpertin von Access Now. Auch nach Inkrafttreten des europäischen Medienfreiheitsgesetzes (EMFA) im August könnten Staatstrojaner gegen Medienvertreter benutzt werden, wenn nämlich die „Nationale Sicherheit“-Karte gezogen würde. Der EMFA ließe hier ein Scheunentor offen.

Obwohl im Fall von Cancellato sogar der Anbieter Paragon sage, dass er mithelfen würde, die Spionagefälle der Journalisten aufzuklären, komme man nicht weiter. Denn die italienische Regierung stelle sich auf den Standpunkt, dass der Journalist Cancellato quasi nur Spionage-Beifang bei Ermittlungen in Sachen „Nationaler Sicherheit“ sei. Leider lege sie aber überhaupt nicht dar, um welche Bedrohungen „Nationaler Sicherheit“ es ginge.

Für die EU-Kommission widerspricht der Referatsleiter Telekommunikation und Technologie (DG Connect), Audrius Perkauskas, dieser Darstellung. Er erklärt, das Medienfreiheitsgesetz schütze Journalisten, denn eine generelle Ausnahme für Ermittlungen in Fragen der „Nationalen Sicherheit“ gäbe es nicht. Eine Ausnahme gäbe es lediglich für „essential state functions“ (Kernaufgaben des Staates), die unterschiedlich definiert seien. Alle Staaten müssten nach Inkrafttreten des Medienfreiheitsgesetzes im August ihre nationalen Gesetze abklopfen.

Wenn es nach Inkrafttreten neue Staatstrojanerfälle gäbe, könne sich zeigen, wie gut der EMFA schütze, sagte Perkauskas. Ein irgendwie geartetes Scheunentor für Staatstrojanereinsätze gegen Journalisten weist er zurück.

Keine Lösungen, nirgendwo

Während sich Perkauskas noch inhaltlich einlässt, bleibt Kazimierz Ujazdowski so vage es nur irgend geht. Man müsse verstehen, dass er den EU-Rat vertrete, der nun mal in Sachen Staatstrojaner nicht mit einer Stimme spreche. Immerhin räumt er ein, dass die Eingriffstiefe der Hacking-Werkzeuge die bisher vorgesehenen Kontrollinstrumente auf eine harte Probe stelle. Sie seien wohl nicht ausreichend, wenn durch das Hacking „in nur einer Sekunde“ das ganze Leben eines Opfers offenläge.

Eine Lösung des Problems kenne er nicht. Er verweist nur auf den noch laufenden sogenannten Pall-Mall-Prozess. Im Rahmen dieses Prozesses entstehen Verhaltensvorschläge, denen sich einige europäische Staaten wie Frankreich, Polen und die Niederlande unterwerfen wollen.

Als die Diskussion eröffnet wird, erweitert sich sogleich der Problemkreis, über den bei Staatstrojanern gesprochen werden muss. Denn es geht ja nicht nur um ein internes Problem des Rechtsschutzes innerhalb der EU, sondern auch um ein erhebliches Sicherheitsproblem von außen. Böswillige Dritte könnten beispielsweise EU-Institutionen angreifen, auch mit Hacking-Software, die von Unternehmen innerhalb der EU stammt.

Ujazdowski sagt dazu, dass es „zynisch und einfach falsch“ sei, wenn Europa vom Handel mit IT-Sicherheitslücken und Staatstrojanern profitieren würde. Doch der aktuelle Paragon-Skandal zeigt ja gerade, dass dies der Fall ist.

Ausgang offen

Es bleibt die Frage, welche rechtlichen Möglichkeiten dem Journalisten Cancellato bleiben. Er erklärt, dass er mit Hilfe der italienischen Journalistengewerkschaft Federazione Nazionale Stampa Italiana (FNSI) versucht, seinen Fall vor Gericht durchzufechten. Zwei Gerichtsverfahren seien nun in Rom zusammengelegt worden. Der Ausgang sei aber offen.

Rand Hammoud von Access Now gibt aber zu Bedenken, dass Cancellato die Ausnahme sei. Denn selten brächten Hacking-Opfer ihre Fälle vor Gericht. Die Vertragsstaaten der Staatstrojaner-Anbieter würden die Nutzung von Überwachungs- und Hackingtechnologien in der Regel schlicht nicht zugeben. Zudem seien solche Staatstrojanerverfahren immer nur reaktiv.

Francesco Cancellato fordert zumindest ein Register für Anbieter kommerzieller Hacking-Werkzeuge. Er setzt sich außerdem für mehr staatliche Transparenz ein, wenn Hacking-Fälle ans Licht gekommen sind. In seinem eigenen Fall aber schweige Georgia Meloni seit nun sechs Monaten. Sie hätte gesagt, dass sie nur auf wichtige Fragen antworte, sein Fall des Hackings sei also wohl keiner.

Mehrere Nichtregierungsorganisationen haben Beschwerde bei der EU-Kommission und weiteren Aufsichtsbehörden über den Twitter-Nachfolger X eingelegt. Das Bündnis wirft der Plattform von Elon Musk vor, sensible Daten von Nutzer:innen missbraucht zu haben, indem es sie für zielgerichtete Werbung verwendete. Damit verstoße X gegen Vorgaben des Digital Services Act (DSA) der Europäischen Union, heißt am heutigen Mittwoch in einem gemeinsamen Statement.

Die Organisation AI Forensics hat demzufolge zahlreiche Fälle dokumentiert, in denen große Marken und Finanzinstitute auf der Plattform Zielgruppen für Werbeanzeigen anhand von sensiblen Informationen ausgewählt hätten. Dazu zählen Daten über die politische Ausrichtung, sexuelle Orientierung, religiöse Einstellung oder den Gesundheitszustand der Nutzenden.

Derlei Kategorien sind aufgrund des damit verbundenen Diskriminierungspotenzials durch die Datenschutzgrundverordnung besonders geschützt. Das EU-Gesetz über digitale Dienste verbietet darüber hinaus seit Februar 2024 ihre Nutzung für zielgerichtete Werbung.

Dass X Werbetreibenden trotzdem Targeting mit solchen Daten ermögliche, gefährde den öffentlichen Diskurs und demokratische Prozesse, so die Beschwerdeführer. Zu deren Kreis zählen die Gesellschaft für Freiheitsrechte, European Digital Rights, das Centre for Democracy and Technology Europe, Entropy, Global Witness, die polnische Panoptykon Foundation, die niederländische Stiftung Bits of Freedom und die französische Organisation VoxPublic.

Ölkonzern schließt umweltinteressierte Zielgruppe aus

Grundlage für die Recherche war die Werbedatenbank von X, die die Plattform ebenfalls aufgrund von Vorgaben des Digitale-Dienste-Gesetzes einrichten musste. Konkret habe beispielsweise der Öl-Konzern Total Energies Werbeanzeigen auf X geschaltet und Nutzer:innen von der Zielgruppe ausgeschlossen, die mit Schlagworten rund um politische Akteure aus dem Umweltspektrum interagierten.

Der Fast-Fashion-Marktplatz Shein wiederum habe bei seinen Werbeanzeigen auf X Menschen ausgewählt, die mit bestimmten Schlagworten in Zusammenhang mit französischer Politik interagierten. Und die Fast-Food-Kette McDonalds wollte ihre Werbung nicht für Personen anzeigen, bei denen Schlagworte rund um Suizid, Antidepressiva und eine McDonalds-Gewerkschaft eine Rolle spielten.

Zuvor hatte AI Forensics bereits aufgedeckt, dass das rechte Mediennetzwerk Brussels Signal politisches Targeting mit verbotenen Daten auf X nutzte. So seien für Werbeanzeigen auf der Plattform Nutzer:innen angesprochen worden, die mit Stichworten rund um Parteien und politische Akteur:innen vom rechten Rand interagierten.

Die Beschwerden der Nichtregierungsorganisationen liegen nun bei mehreren nationalen Aufsichtsbehörden nach dem DSA, den sogenannten Digital Services Coordinators, sowie der Europäischen Kommission. Diese führt bereits mehrere Verfahren gegen X wegen möglicher Verstöße gegen das Plattformgesetz.

Der konservative Vorsitzende des Innenpolitik-Ausschusses (LIBE) des Europäischen Parlaments und Chatkontrolle-Berichterstatter, Javier Zarzalejos, hat überraschend für Mittwoch ein so genanntes „Schattentreffen“ zum Thema Chatkontrolle angesetzt. Der Zeitpunkt dafür ist ungewöhnlich, da keine Verhandlungen mit EU-Rat und EU-Kommission anstehen – und das EU-Parlament seine Chtakontrolle-Kompromiss schon vor mehr als einem Jahr gefunden hat. Der gilt als grundrechtsfreundlich, da er verschlüsselte Kommunikation von der Überwachung ausnimmt.

Am Montag konnte netzpolitik.org eine Agenda des kurzfristig angesetzten Treffens einsehen. Die Liste der bis dahin Eingeladenen ließ auf eine sehr einseitige Ausrichtung der Veranstaltung schließen. Bis Montagnachmittag war kein einziger Vertreter der digitalen und bürgerrechtsorientierten Zivilgesellschaft zu dem Treffen geladen, während überwachungsfreundliche Lobbyisten aus dem Bereich des Kinderschutzes von ECPAT, Brave und Eurochild neben Vertretern der dänischen Polizei und von Europol das Feld bestimmen.

Auf der Liste steht auch eine Vertreterin des Justizministeriums von Dänemark, welches derzeit die Ratspräsidentschaft inne hat und jüngst einen verschärften Vorschlag zur Chatkontrolle vorgelegt hat. Neben einem Vertreter der Kommission gibt es außerdem noch Industrievertreter von Meta und Microsoft sowie mit Hany Farid einen Professor, der mit der NGO „Counter Extremism Project“ zusammengearbeitet hat, die dem Sicherheits- und Geheimdienstapparat aus den USA und Deutschland nahesteht.

EDRi auf letzten Drücker eingeladen

Am Montagabend – und nach einer Presseanfrage von netzpolitik.org bezüglich der einseitigen Besetzung der Veranstaltung – wurde dann eine aktualisierte Fassung der Agenda verschickt, die wir im Volltext veröffentlichen. In dieser Agenda ist nun auch der europäische Dachverband digitaler Bürgerrechtsorganisationen EDRi als Teilnehmer gelistet. Der Berichterstatter Javier Zarzalejos hat auf eine Presseanfrage von netzpolitik.org zu Zweck und Zusammensetzung des Treffens nicht geantwortet.

Beobachter:innen aus der digitalen Bürgerrechtsszene fürchten, dass das Schattentreffen der Versuch des konservativen Zarzalejos ist, die Parlamentsposition schon vor möglichen Trilog-Verhandlungen zu schwächen. „Es ist unfassbar, dass der Berichterstatter Javier Zarzalejos versucht, diese Position des EU-Parlaments zu unterminieren – anders kann man dieses Vorgehen nicht nennen“, sagt Elina Eickstädt, Sprecherin des Chaos Computer Clubs. Das Vorgehen zeige, dass es um das Durchpressen von anlassloser Massenüberwachung gehe und nicht um einen ausbalancierten nachhaltigen und grundrechtskonformen Plan zum Schutz von Kindern, so Eickstädt weiter.

Einwände von Ausschuss-Stellvertretenden

Das Schattentreffen stößt bei den „Schattenberichterstattern“ – so werden die stellvertretenden Ausschussvorsitzenden genannt – nicht nur auf Gegenliebe. So sagt Markéta Gregorová von den tschechischen Piraten und Mitglied der Grünen Fraktion, dass sie selbst und eine Reihe anderer Schattenberichterstatter Einwände gegen die Abhaltung dieser Sitzung erhoben hätten: „Wir sind der Ansicht, dass die Position des EP klar ist: Eine allgemeine Überwachung privater Kommunikation ist unabhängig von ihrer Form illegal und daher nicht zulässig.“

Außerdem habe man mehrere Vorschläge an den Berichterstatter Zarzalejos bezüglich Einladungen weitergeleitet. Man hoffe nun, dass diese Vorschläge in der Diskussion berücksichtigt werden, damit der EU-Rat die Position des Parlaments verstehe, so die Abgeordnete weiter.

Dokument

Stand: Montag, 20 Uhr

DRAFT AGENDA

Shadows Meeting

Proposal for a

REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

laying down rules to prevent and combat child sexual abuse

2022/0155 (COD)

Wednesday, 16 July 2025

13.00-15.00

Brussels (SPINELLI 5E2 and interactio) 

1) Welcoming introduction by the Rapporteur

2) PANEL I: Protecting Children And Privacy: Which Balanced Solution? 

(approximately 60 minutes)

• Patricia Cardona, Brave Movement (5 minutes max presentation)

• John Carr, Online Safety Expert and Adviser at ECPAT International (5 minutes max presentation)

• Fabiola Bas Palomares, Policy & Advocacy Officer on Online Safety, Eurochild (5 minutes max presentation)

• Ella Jakubowska, Head of Policy at European Digital Rights (EDRI) (5 minutes max presentation)

Closing Remarks to Panel I:

• Ms Ida Høiberg Bendsen, Danish Ministry of Justice

Ms Rikke Freil Laulund, Danish Police, Chairperson of the Council’s Law Enforcement Working Party-Police (head of delegation), Danish Presidency (2 minutes)

• Mr ONIDI, Deputy Director-General DG HOME, European Commission (2 minutes)

• Mr LECOUFFE, Deputy Executive Director, Europol (2 minutes)

Q&A session (approximately 35 minutes)

3) PANEL II: Detecting CSAM in an Encrypted Environment. Which Risks For Cybersecurity?

(approximately 60 minutes)

• Hans Graux, lawyer at TimeLex, attending on behalf of Microsoft 

(5 minutes max presentation)

• Ahmed Razek, Public Policy Manager, Messaging at Meta (5 minutes max presentation)

• Prof Hany Farid, Digital Forensics, Berkley, University of California 

(5 minutes max presentation) – REMOTELY

Closing Remarks to Panel II: