FinFisher-VertragWir haben das BKA verklagt – und gewonnen

Das Bundeskriminalamt hat Recht und Gesetz verletzt und uns nicht genug Einblick in den Staatstrojaner-Vertrag mit FinFisher gegeben. Das hat das Verwaltungsgericht Wiesbaden entschieden, nachdem wir geklagt haben. Wir veröffentlichen die freigeklagte Version des Vertrags – und gehen den nächsten Schritt.

Ein Graffitisprayer sprüht den Schriftzug Bundeskriminalamt auf dem Behördenschild an (Fotomontage)
Diese Schwärzung würde die Polizei wohl auch entfernen. – Alle Rechte vorbehalten Schild: IMAGO / photothek, Sprüher: Viktor Bystrov, Bearbeitung: netzpolitik.org

Das Bundeskriminalamt besitzt eine Reihe verschiedener Staatstrojaner zum Hacken von IT-Geräten, neben der Eigenentwicklung RCIS auch NSO Pegasus und FinFisher FinSpy. Seit wir den Deal mit FinFisher 2013 enthüllt haben, kämpfen wir um Einblick in die Verträge. Die Vergabeunterlagen der Ausschreibung haben wir 2014 veröffentlicht, den ersten Vertrag 2015. Bereits damals mussten wir das BKA verklagen.

Vor drei Jahren haben wir mögliche Änderungen des Vertrags angefordert. Nachdem uns das BKA wieder nur eine extrem geschwärzte Version gegeben hat, haben wir die Polizeibehörde erneut verklagt. Unser Anwalt Nico Sander und unsere Freund:innen von FragDenStaat haben uns unterstützt. Und wir haben gewonnen.

Das Verwaltungsgericht Wiesbaden stellt in seinem Urteil fest, dass viele Schwärzungen rechtswidrig sind und unsere Rechte verletzen. Nach Informationsfreiheitsgesetz haben wir „einen Anspruch auf die Herausgabe der Informationen“. Das BKA und die Staatstrojaner-Firma Elaman müssen die Gerichtskosten und unsere außergerichtlichen Kosten bezahlen. Jetzt veröffentlichen wir den freigeklagten Vertrag.

Arne Semsrott, Projektleiter von FragDenStaat kommentiert:

In der Schule habe ich gelernt, dass die Polizei Recht und Gesetz durchsetzt. Hier hat sie es gebrochen. Und wir haben Recht und Gesetz gegen die Polizei durchgesetzt.

Elaman bekommt 273.000 Euro für FinSpy PC

Das BKA hat den Staatstrojaner FinFisher von der Firma Elaman gekauft. Den Namen der Firma und des Geschäftsführers hatte das BKA im Vertrags-Update zunächst geschwärzt, obwohl er im Original-Vertrag und in einer Nachricht des BKA stand. Elaman war Vertriebs-Partner von FinFisher, beide teilten sich bis zur Auflösung von FinFisher eine Büro-Etage in München. Nach dem Auszug von FinFisher ist Elaman umgezogen.

Für FinFisher gab das BKA laut Original-Vertrag 2013 fast 150.000 Euro aus, genau 123.669 Euro netto. Das Vertrags-Update umfasst weitere 150.000 Euro netto. Auch diese Summe wollte das BKA verheimlichen. Doch dieser Pauschalfestpreis ist laut Gericht kein Betriebs- und Geschäftsgeheimnis, „es fehlt hier am berechtigten Geheimhaltungsinteresse“. Die Öffentlichkeit darf wissen, dass das BKA mit Steuern 325.666 Euro für FinFisher ausgegeben hat.

Der Vertrag hat 14 Anlagen, deren Bezeichnung wollte das BKA teilweise auch verschweigen. Dazu findet das Gericht deutliche Worte: „Auch in der mündlichen Verhandlung konnte die Beklagte nicht in für das Gericht nachvollziehbarer Weise darlegen, inwieweit durch eine Kenntnis der bloßen Anlagenbezeichnung (von deren Inhalt ist nicht die Rede) bereits eine Gefährdung der Funktionsfähigkeit der Software bzw. der Tätigkeit des BKA in diesem Bereich erfolgen kann.“

Tatsächlich sind die entschwärzten Namen der Vertragsanhänge weder sensibel noch überraschend. Dazu zählen die Anlagen des Original-Vertrags, eine Aufstellung der Leistungen und Anforderungen zur IT-Sicherheit. Der Produktname „FinSpy PC“ ist interessant, aber nicht neu. Professionelle Staatstrojaner sind komplexe Bausätze aus vielen Teilen, FinFisher bewirbt seine Produktfamilie als „komplettes IT Intrusion Portfolio“. FinSpy bezeichnet die installierte Überwachungssoftware auf dem gehackten Zielgerät.

Transparenz „könnte Trojaner-Einsatz verhindern“

Regelrecht absurd ist, dass das BKA auch die Kopfzeile „Verschlusssache – Nur für den Dienstgebrauch“ auf jeder Seite geschwärzt hat. In der Gerichtsverhandlung hatte das BKA „ein Geheimhaltungsbedürfnis […] auch nicht mehr behauptet“. Dennoch weist das Gericht im Urteil darauf hin, „dass die bloße Kennzeichnung des Vertrags als Verschlusssache nicht ausreichend […] ist“, die Herausgabe zu verweigern. Das BKA muss die Geheimhaltung auch inhaltlich begründen.

In einem Punkt haben wir uns nicht durchsetzen können. Auf der letzten Seite des Vertrags ist ein kleines schwarzes Feld über den Unterschriften. Wir gingen davon aus, dass da ein Datum steht und wollten auch das entschwärzt. Dort steht jedoch der Name des unterschreibenden BKA-Beamten, der bleibt weiterhin geschwärzt. Das ist jedoch nur eine Kleinigkeit, betont das Gericht: „Das Unterliegen des Klägers hinsichtlich des geschwärzten Namens am Ende des Vertrags ist gering.“

Leider müssen wir einige Schwärzungen hinnehmen, darunter die einzelnen Leistungen, Kosten und Termine sowie Angaben zum Quellcode. Die Entschwärzung dieser Angaben hatte das Gericht bereits im ersten Urteil verwehrt, weil damit angeblich „der Einsatz der Software und damit eine Quellen-TKÜ verhindert werden könnte“. Wir glauben nicht, dass die Nennung der einzelnen Soft- und Hardwarekomponenten den Einsatz des Statstrojaners gefährdet. Dennoch wäre es wenig erfolgversprechend gewesen, diese Informationen erneut einzufordern.

Kontrolle nicht Firmen und Behörden überlassen

Das BKA hat FinFisher zwar schon 2013 gekauft. Der Hersteller musste das Produkt jedoch fünf Jahre lang überarbeiten, um geltende Gesetze einzuhalten. Das BKA durfte FinFisher erst 2018 einsetzen. Im selben Jahr wurde FinFisher in der Türkei gefunden, wenige Monate danach wurde der Vertrag wieder gekündigt. Mittlerweile ist FinFisher insolvent und wird aufgelöst.

Unsere gewonnene Klage bleibt trotzdem wichtig. Letzte Woche haben wir beim BKA den Vertrag über den Staatstrojaner „Pegasus“ des israelischen Unternehmens NSO Group angefragt – und die bisherigen Gerichtsurteile direkt in der Anfrage referenziert. Wir hoffen, dass sich das BKA diesmal von Anfang an an Recht und Gesetz hält. Immerhin will auch die neue Bundesregierung „durch mehr Transparenz unsere Demokratie stärken“. Wir helfen gerne – und klagen notfalls wieder.


Hier ist die freigeklagte Version des Vertrags:

Hier klicken, um den Inhalt von fragdenstaat.de anzuzeigen


10 Ergänzungen

  1. Darf man fragen, wie viele Wörter mittels Klage entschwärzt wurden?
    Könnte man diese Wörter in einem pdf farblich hervorheben so dass man das Ergebnis sehen kann?
    Und was hat die Klage gekostet?

    1. Die genaue Zahl an Wörtern habe ich nicht parat. Aber hier ein Diff zwischen alter und neuer Version: https://draftable.com/compare/iMliExLhTHvi

      Im Endeffekt hat uns die Klage nicht direkt Geld gekostet. Da wir gewonnen haben, müssen BKA und Elaman unsere Gerichtskosten zahlen.
      Natürlich hatten wir und FragDenStaat Arbeitsaufwand. Und schöner wäre es, wenn die Polizei unsere Steuergelder nicht vor Gericht verliert, sondern sich gleich an das Gesetz hält.

  2. Ein toller Erfolg – auch von mir vielen Dank für Eure Mühen!

    Wenn die anderen Klagen (Vorratsdatenspeicherung, Chatkontrolle etc.) auch im Sinne der Grundrechtewahrung entschieden würden, wäre das nicht nur für netzpolitik.org oder andere Kläger ein Erfolg, sondern auch für Demokratie, Freiheit, Vertrauen und Menschlichkeit.

    Deutschland/Europa hat die Chance, es besser zu machen als die USA, China, Russland oder andere Staaten, die glauben, vorhandene Technik mache alles einfacher, löse alle Probleme und erlaube Missbrauch jeglicher Art seitens der Machthaber.

    Mögen die hiesigen Gerichte das erkennen und im Sinne der Freiheit urteilen!

  3. Muss neu geschrieben werden:

    Breakin‘ rocks in the hot sun
    I fought the law and I won
    I fought the law and I won
    I needed money ‚cause I had none
    I fought the law and I won
    I fought the law and I won

  4. @andre

    Bedingungen und Vereinbarungen aus dem Vergabeverfahren, Az. B3.10 – 1839/12,
    nebst Erstellungsvertrag sowie allen Anlagen und Nebenabreden unverändert fort.

    Die Akten zum Vergabeverfahren könnten noch vorhanden sein.

Ergänzung an mcnesium Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.