Vertreter*innen des Europaparlaments und der EU-Länder haben sich am Montagabend auf eine neue Rückführungsverordnung geeinigt. Das Ziel: mehr und effizientere Abschiebungen von Drittstaatsangehörigen ohne regulären Aufenthalt.

Einen ersten Entwurf für das Gesetz, das auch als „Abschiebeverordnung“ bekannt ist, hat die EU-Kommission bereits im vergangenen Jahr vorgestellt. Sie soll die Reform des Gemeinsamen Europäischen Asylsystems (GEAS) ergänzen, die in der gesamten EU am 12. Juni wirksam wird.

Trotz massiver Kritik von Jurist*innen und Menschenrechtsorganisationen halten die EU-Institutionen dabei an ihrem harten Kurs fest. So sollen Menschen künftig in Abschiebezentren außerhalb des EU-Territoriums gebracht werden können, auch ohne eine vorherige Verbindung zu dem Land. Menschen ohne Papiere sollen außerdem länger inhaftiert, mit langen Einreiseverboten belegt und für fehlende Kooperation bestraft werden können. Auch sollen ihre Wohnungen leichter durchsucht werden können, sie sollen verstärkt digital überwacht und ihre Datenträger durchleuchtet und beschlagnahmt werden.

EU-Innen- und Migrationskommissar Magnus Brunner bezeichnete die Einigung als „einen wichtigen Schritt in der europäischen Migrationswende“. Sarah Chandler von der Initiative „We Keep Us Safe“ sprach gegenüber netzpolitik.org hingegen von einem Gesetzestext, der es „rechtsextremistischen Fraktionen ermöglicht, ein von Überwachung geprägtes Abschieberegime ihrer Träume zu errichten“.

Abschiebezentren und verlängerte Abschiebehaft

Mit der Verordnung hat die EU den Weg für sogenannte „return hubs“ geebnet, in die Menschen abgeschoben werden sollen, deren Abschiebung bisher scheitert. Das kann an einer Vielzahl von Gründen liegen, beispielsweise wenn Menschen keinen Pass haben, das Herkunftsland die Wiedereinreise verweigert oder keine diplomatischen Beziehungen bestehen.

Solche Abschiebezentren sollen zum einen als Transitzentren dienen, um die „Weiterreise in das Herkunftsland oder ein anderes Drittland zu erleichtern“. Gleichzeitig schließt der Rat nicht aus, dass Abschiebezentren das endgültige Ziel darstellen könnten – also auf unbestimmte Zeit. Während unbegleitete Minderjährige von der Abschiebung in solche Zentren verschont bleiben, können Familien mit Kindern dort festgehalten werden. Das gilt als menschenrechtlich sehr umstritten.

Bundesinnenminister Alexander Dobrindt (CSU) hat angekündigt, gemeinsam mit anderen EU-Staaten – darunter Österreich, Dänemark und Griechenland – bis Ende des Jahres Deals zur Errichtung solcher Zentren mit Drittstaaten aushandeln zu wollen. Bis auf Uganda, das eine solche Vereinbarung mit den Niederlanden getroffen hat, gibt es bisher keine konkreten Beschlüsse. Im Gespräch sind Länder wie Ruanda, Libyen, Mauretanien, Usbekistan und Äthiopien.

Zusätzlich gibt die Verordnung grünes Licht, unbegleitete Kinder sowie Familien mit Kindern innerhalb der EU in Abschiebehaft zu nehmen. So hat Polen beispielsweise die Inhaftierung von unbegleiteten Kindern ab 15 Jahren bereits seit Anfang des Jahres durch nationales Recht erlaubt. Mit der Verordnung wird zudem die Dauer der Abschiebehaft auf 24 Monate ausgeweitet und kann um weitere sechs Monate verlängert werden, wenn sich die Zusammenarbeit mit dem betreffenden Drittland verbessert oder die Behörden der Ansicht sind, dass Fluchtgefahr besteht.

ICE-ähnliche Hausdurchsuchungen und elektronische Überwachung

Andere geplante Maßnahmen sind unter zivilgesellschaftlichen Organisationen nicht weniger umstritten. So übte Sarah Chandler von der Initiative „We Keep Us Safe“ harte Kritik an den Plänen. Asyl und Legalisierung würden damit zu Tabus, Hausdurchsuchungen, invasive Datenerhebung und ‑weitergabe würden zur Norm. „Anstatt in Fürsorge und Schutz zu investieren, werden öffentliche Mittel dazu verwendet, internationale und EU-Rechtsstandards vollständig auszuhöhlen.“

Dazu gehört beispielsweise das Grundrecht auf die Unverletzlichkeit der Wohnung. So stattet die Verordnung die Mitgliedstaaten mit weitreichenden Befugnissen aus, private Wohnungen von Drittstaatsangehörigen ohne gültigen Aufenthalt und andere „relevanten Räumlichkeiten“ zu durchsuchen. Diese Regelung könne Menschenjagden auf Migrant*innen nach Vorbild der USA nach sich ziehen sowie ganze Communitys rassistischer Diskriminierung aussetzen, warnten zuletzt UN-Menschenrechtsexpert*innen sowie mehr als 100 zivilgesellschaftliche Organisationen.

„Auf der anderen Seite des Atlantiks sehen wir die Gewalt und Angst, die durch die brutale Einwanderungskontrolle der ICE verursacht wird“, sagte Silvia Carta von der Platform for International Cooperation on Undocumented Migrants (PICUM), eine der rund 100 kritischen Organisationen. „Europa sollte aus den Schäden dieses Modells lernen, anstatt eine eigene Version aufzubauen“, so Carta weiter.

Behörden dürfen laut den Plänen außerdem Handys, Computer sowie andere elektronische Geräte von Menschen ohne Papiere durchsuchen und beschlagnahmen – eine Praxis, die in einzelnen deutschen Bundesländern bereits verbreitet ist, wie Recherchen von netzpolitik.org gezeigt haben.

Weitere Zwangsmaßnahmen sehen vor, dass Menschen in Abschiebeverfahren sich nur an einem bestimmten Ort aufhalten, Ausgangssperren unterziehen oder regelmäßigen Meldepflichten nachkommen müssen. Als sogenannte Alternativen zur Inhaftierung können außerdem das Hinterlegen einer Geldsumme oder elektronische Überwachung auferlegt werden. Bei der letzteren handelt es sich laut Fachleuten nur vermeintlich um eine Alternative. Denn diese kommt aufgrund ihrer tief in die Privatsphäre eingreifenden Wirkung de facto einer Haft gleich und kann außerdem zusätzlich zur ausgedehnten Abschiebehaft verhängt werden. Denkbar sind dafür etwa eine elektronische Fußfessel oder GPS-Ortung.

Neue Europäische Rückkehrentscheidung vorerst ohne Wirkung

Das Kernstück der Verordnung ist die „Europäischen Rückkehrentscheidung“ (ERO). Diese enthält ein standardisiertes digitales Datenblatt mit Informationen zur Abschiebeentscheidung. Alle Mitgliedstaaten sollen dieses Datenblatt über das Schengener Informationssystem abrufen können.

Die gegenseitige Anerkennung von Abschiebeentscheidungen bleibt aber vorerst freiwillig: Ein EU-Land kann die erlassene Entscheidung eines anderen EU-Landes anerkennen und vollstrecken, muss es aber nicht. In diesem Aspekt waren sich das Parlament und die Mitgliedstaaten im Vorfeld uneinig. Während das Parlament auf eine verpflichtende Anerkennung ab 2027 pochte, war dieser Punkt unter den Mitgliedstaaten umstritten.

Laut der Pressemitteilung des Parlaments wird die EU-Kommission die gegenseitige Anerkennung innerhalb von zwei Jahren prüfen und dann gegebenenfalls die verpflichtende Anerkennung vorschlagen, laut den Mitgliedstaaten soll dies nach drei Jahren passieren. Der finale geeinigte Gesetzestext liegt noch nicht vor.

Mit ERO werden personenbezogene Daten von Menschen in Abschiebeverfahren für Tausende Polizeibeamt*innen in der gesamten EU zugänglich, warnen Menschenrechtsorganisationen. Das Schengener Informationssystem II, das größte Migration- und Polizeidaten-Austauschsystem der EU, sei für wiederholten Datenmissbrauch und die systematische Verweigerung der Datenschutzrechte bekannt. Es gibt dokumentierte Fälle, in denen Polizei- und Einwanderungsbehörden sich nicht an Vorschriften gehalten haben. Die Verordnung baut direkt auf dieser Architektur auf und verstärkt ihre Eingriffsintensität.

Menschen ohne Papiere „wie Straftäter behandelt“

Scharfe Kritik gab es auch von Abgeordneten im EU-Parlament. Mélissa Camara, Schattenberichterstatterin der Grünen für die Rückführungsverordnung, bezeichnete die erzielte Einigung als „beschämend“. Den Standpunkt des Parlaments hatte die konservative EVP-Fraktion unter der Führung des deutschen CSU-Politikers Manfred Weber mit rechtsaußen Parteien wie der AfD im März verhandelt und verabschiedet. „Dieser Text verankert fremdenfeindliche Ideen und Rhetorik auf Kosten der Grundrechte von Migranten, deren einziger Fehler darin bestand, mit dem falschen Pass geboren zu sein“, so Camara. „Grundrechte stehen an der Spitze der Normenhierarchie und dürfen nicht einfach mit Füßen getreten werden.“

Auch die innenpolitische Sprecherin der europäischen Sozialdemokrat*innen Birgit Sippel äußerte sich kritisch zur Verordnung. „Parlament und Mitgliedstaaten haben im Hau-Ruck-Verfahren eine Einigung gefunden und damit trotz sinkender Ankunftszahlen der Panikmache der Rechten in Europa nachgegeben“, sagte sie. „Alle Betroffenen werden de facto wie Straftäterinnen und Straftäter behandelt.“

Die neuen Abschieberegeln müssen vom EU-Parlament und den EU-Staaten noch formal abgesegnet werden. Die Verordnung tritt in Kraft, sobald sie im Amtsblatt der EU veröffentlicht wurde. Einige Bestimmungen, darunter solche zu den Abschiebezentren, gelten dann sofort. Andere Regelungen werden nach einer Übergangszeit von zwölf Monaten angewandt.

Ob die Verordnung tatsächlich zu höheren Abschiebezahlen führen wird, bleibt indes fraglich. Mehr als 250 Organisationen gehen davon aus, dass sie den gegenteiligen Effekt haben wird: Da Abschiebung zur Standardoption für Menschen ohne legalen Aufenthalt wird, werde die Verordnung die Zahl der ausreisepflichtigen Menschen eher künstlich in die Höhe treiben. Auch die von der Politik häufig bemühte Erzählung einer Vollzugslücke – etwa dass es einen massiven Rückstand an Abschiebungen gebe und nur jede fünfte Person, gegen die eine Ausreiseanordnung ergangen ist, tatsächlich abgeschoben werde – basiert auf falschen Zahlenspielen und statistischen Verzerrungen, kritisieren Wissenschaftler*innen.

Angreifer können mehrere Sicherheitslücken in IBM WebSphere Application Server und Business Automation Workflow ausnutzen und im schlimmsten Fall die volle Kontrolle über Systeme erlangen. Sicherheitsupdates schaffen Abhilfe.

Bislang gibt es seitens des Softwareherstellers keine Warnung, dass Angreifer die Lücken bereits ausnutzen. Da beide Anwendungen in Unternehmen zentrale Prozesse bereitstellen und automatisieren, sollten Admins die Sicherheitspatches jedoch zeitnah installieren.

Verschiedene Gefahren

Die meisten Softwareschwachstellen betreffen IBM WebSphere Application Server. Als am gefährlichsten gelten drei „kritische“ Sicherheitslücken (CVE-2026-9311, CVE-2026-9319, CVE-2026-8644).

Im ersten Fall können Angreifer Sicherheitskontrollen umgehen und im Anschluss Schadcode ausführen. Die zweite Lücke betrifft ausschließlich JAX-WS Endpoints mit WS-Security. Aufgrund von unzureichenden Überprüfungen werden eigentlich nicht vertrauenswürdige Daten verarbeitet und so kann Schadcode auf PCs gelangen. Im dritten Fall können sich Angreifer die Rolle eines anderen Nutzers aneignen und dann böse Dinge tun. Durch die verbleibende Schwachstelle (CVE-2026-9330 „hoch“) kann Schadcode schlüpfen. Bis der vollständige Patch IBM zufolge im dritten Quartal erscheint, müssen Admins Instanzen über eine Zwischenlösung in Form eines Interim Fixes absichern.

IBM Business Automation Workflow ist insgesamt über zehn Schwachstellen angreifbar. Hier gilt eine Lücke (CVE-2026-33186) in gRPC-Go als „kritisch“. Damit kann die Authentifizierung umgangen werden. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 24.0.0-IF009, 24.0.1-IF007, 25.0.0-IF005 und 25.0.1-IF001 gelöst zu haben.

(des)

Google baut einen neuen Mechanismus in Android ein, der betrügerische Anrufe mit gefälschten Kontakten unterbinden soll. Betrugsversuche mit gefälschten Caller-IDs (der übertragenen Anrufer-Rufnummer) soll das eindämmen.

Diese „Fake Call Detection“ (Betrugsanruferkennung) stellt Google nun in einem Blogbeitrag vor. Das Szenario erklärt Google so: Die übertragene Rufnummer eines Anrufs entspricht der eines Kontaktes, etwa der von der eigenen Mutter. Auch die Stimme, die nach dem Rangehen ertönt, klingt echt – dennoch stammt der Anruf von Betrügern, die mittels KI die Stimme imitieren und beispielsweise nach Geld wegen einer Notfallsituation fragen. Wenn Anrufer und Angerufene Google-Smartphones nutzen, soll das Handy nun vor solchen gefälschten Identitäten warnen können. Die Funktion will Google standardmäßig scharfschalten. Der Mechanismus fußt auf der im Mai vorgestellten „Verified Financial Calls“-Funktion, die vor Betrugsversuchen mit gefälschten Kontakten von Finanzinstituten schützt.

Einfacher Mechanismus mit großer Wirkung

Jetzt erklärt Google zudem, wie der Mechanismus funktioniert. Es handele sich um eine Art digitales Händeschütteln zwischen den Geräten, erklären die Autoren des Beitrags. Sofern ein bekannter Kontakt anruft und beide Gegenstellen Google-Smartphones nutzen, senden die Geräte im Hintergrund ein Bestätigungssignal in Echtzeit. Das bestätigt, dass der Anruf legitim ist und tatsächlich vom Gerät des Kontakts ausgeht. Dieses digitale Händeschütteln basiert auf Ende-zu-Ende-verschlüsselten RCS-Nachrichten.

Wenn Betrüger nun mit gefälschter Nummer einen Anruf aufbauen, fehlt diese initiale Bestätigung. Das Gerät des Anrufziels merkt das und sendet einen Ping zum Gerät des eigentlichen Kontakts, um sicherzugehen. Antwortet das Gerät „Ich baue gerade keinen Anruf auf“, zeigt das Gerät der Angerufenen eine Warnung mit dem Ratschlag, sofort aufzulegen. Das soll potenzielle Opfer vor Betrugsanrufen mit Deepfake-Imitierung in Echtzeit schützen. In den Einstellungen der Telefonie-Konfiguration lässt sich die Funktion auch abschalten.

Damit setzt der Mechanismus automatisch das um, was oft als Sicherheitstipp gegen Betrugsanrufe genannt wird: Bei Unsicherheit, ob ein Anruf echt ist, sollten Betroffene auflegen und die Quelle über die bekannten Wege kontaktieren.

Die Funktion will Google jetzt global verfügbar machen und auf Geräte mit Android 12 und neuer bringen. Den Anfang machen die Pixel-Geräte von Google. Einen Zeitplan für die Verfügbarkeit auf anderen Android-Geräten nennt Google derzeit nicht. Durch das Aufsetzen auf offene Standards wie RCS (Rich Communication Services) sollen auch andere Apps als Googles Phone-App und andere Gerätehersteller die Technik übernehmen können.

Google hat bereits weitere Sicherheitsfunktionen in Android umgesetzt. Ende 2024 haben die Entwickler – ebenfalls zunächst auf Pixel-Phones beschränkt – eine KI-basierte Betrugserkennung eingebaut, die den Gesprächsverlauf analysiert und auf typische Merkmale für Betrugsversuche untersucht. Eine Mitteilung auf dem Handy weist in solchen Fällen dann darauf hin, dass es sich wahrscheinlich um einen Betrugsversuch handelt.

(dmk)