FinFisherWir verklagen das BKA auf den Staatstrojaner-Vertrag

Seit Jahren kämpfen wir um Einblick in die Verträge deutscher Behörden mit Staatstrojaner-Firmen. Das Bundeskriminalamt wehrt sich gegen Transparenz, verzögert unsere Anfragen und schwärzt so ziemlich alles. Das lassen wir uns nicht bieten und verklagen das BKA – zum zweiten Mal.

Hauseingang
Wir sehen uns vor Gericht: Bundeskriminalamt in Wiesbaden. CC-BY 4.0 netzpolitik.org

Staatstrojaner sind die wohl intensivste Überwachungstechnologie, die es gibt. Wenn Polizei und Geheimdienste Smartphones und andere Geräte hacken, zapfen sie quasi ausgelagerte Gehirne an. Zudem hält der Staat Sicherheitslücken offen statt sie zu schließen und finanziert einen rechtlich und menschenrechtlich problematischen Schwarzmarkt. Aus diesen Gründen müssen Kontrollorgane und Öffentlichkeit besonders genau hinschauen.

Drei, vier, fünf Staatstrojaner

Das Bundeskriminalamt darf seit 2008 Staatstrojaner einsetzen und besitzt dafür eine ganze Reihe an Software. Alle kommerziellen Produkte können mehr als das deutsche Gesetz erlaubt – ein Grundproblem von Staatstrojanern. Der 2011 enttarnte DigiTask hat das Gesetz nicht eingehalten und wird deshalb nicht mehr eingesetzt. Die NSO Group hat ihren Trojaner Pegasus 2017 vorgeführt, wollte ihn aber nicht an das deutsche Gesetz anpassen.

Das BKA hat einen eigenen Trojaner programmiert, die „Remote Communication Interception Software“ (RCIS). Version 1.0 kann seit 2016 eingesetzt werden, Version 2.0 seit 2018.

Darüber hinaus hat das BKA auch die Trojaner-Familie FinFisher gekauft. Der international berüchtigte Trojaner kann ebenfalls weit mehr als das deutsche Gesetz erlaubt. Der Hersteller musste das Produkt fünf Jahre lang überarbeiten. Erst 2018 war das BKA überzeugt, die rechtlichen Vorgaben einzuhalten, und gab den Einsatz frei. Auf die Überprüfung des Bundesdatenschutzbeauftragten warten wir seit über einem Jahr, aber das ist eine andere Geschichte.

Kampf um Transparenz und Einblick

Den FinFisher-Deal haben wir 2013 enthüllt. Seitdem kämpfen wir für Einblick in den Vertrag. Unsere erste Anfrage nach Informationsfreiheitsgesetz hat das BKA abgelehnt. Dagegen haben wir Widerspruch eingelegt. Daraufhin hat uns das BKA ein stark geschwärztes Dokument überlassen. Damit haben wir uns nicht abgefunden und das BKA verklagt. Vor Gericht haben wir eine weniger geschwärzte Version des Vertrags erhalten und veröffentlicht.

Vor zwei Jahren haben wir alle Änderungen des Vertrags angefordert. Das BKA hat unsere Anfrage über ein Jahr lang hinausgezögert und erst nach Vermittlung des Bundesbeauftragten für die Informationsfreiheit geantwortet. Obwohl wir von Anfang an auf das erstrittene Gerichtsurteil hingewiesen haben, gab uns das BKA wieder nur eine extrem geschwärzte Version:

Geschwärztes Dokument

Das BKA hat im Ergänzungsvertrag auch Informationen geschwärzt, die im Original-Vertrag noch ungeschwärzt waren. Dazu gehören Vertragsüberschrift und Vertragsnummer, aber auch der Preis und der Name des Vertragspartners. Die Öffentlichkeit hat ein Recht auf all diese Informationen. Den Namen der Firma zu streichen ist besonders unverständlich, weil das BKA selbst die Firma bestätigte: die Elaman GmbH.

Also haben wir wieder Widerspruch eingereicht. Daraufhin hat uns das BKA nochmal sieben Monate warten lassen. Erst als wir mit Untätigkeitsklage gedroht haben, hat das BKA unseren Widerspruch abgewiesen, ohne jedoch auf unsere Begründung einzugehen.

Das lassen wir uns nicht bieten. Am Freitag haben wir zum zweiten Mal Klage gegen das BKA eingereicht. Unser Anwalt ist Nico Sander. Unterstützt werden wir von FragDenStaat, die das Verfahren koordinieren und finanzieren. Mit diesem Team ziehen wir zum Verwaltungsgericht Wiesbaden, wo das BKA seinen Hauptsitz hat.

Schon bei der letzten Klage schrieben wir: „Die Kontrolle dieses hochsensiblen Instruments darf nicht Behörden und zwielichtigen Firmen überlassen werden.“

Eine Ergänzung

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.