Die Staatsanwaltschaft München hat Anklage gegen den Staatstrojaner-Hersteller FinFisher erhoben. Vier Geschäftsführer des ehemaligen Firmengeflechts müssen sich vor dem Landgericht München verantworten. Sie werden angeklagt, ihr Staatstrojaner-Produkt ohne die dafür notwendige Genehmigung in die Türkei verkauft zu haben.
Anlass ist unsere Strafanzeige, die wir 2019 gemeinsam mit der Gesellschaft für Freiheitsrechte, Reporter ohne Grenzen und dem Europäischen Zentrum für Verfassungs- und Menschenrechte verfasst und eingereicht haben. Bisher hat FinFisher die Vorwürfe immer bestritten.
Die Staatsanwaltschaft hat über drei Jahre ermittelt und 15 Liegenschaften durchsucht, darunter auch die Firmenzentrale in München. Zudem haben sie Schweden, Zypern, Malaysia, Bulgarien und Rumänien um Rechtshilfe gebeten.
„Nicht genehmigter Verkauf von Überwachungssoftware“
Laut Anklage haben die Angeschuldigten neue Exportrichtlinien nach 2015 umgangen, indem sie „die Ausfuhr der Überwachungssoftware auf dem Papier ohne Genehmigung über eine in Bulgarien sitzende Gesellschaft“ abgewickelt haben. „Die Entwicklung der Überwachungssoftware fand tatsächlich aber weiterhin durch das Entwicklungsteam der FinFisher Labs GmbH, federführend in Person des Angeschuldigten H. in München, unterstützt durch die in Rumänien tätigen Entwickler, statt.“
Im Januar 2015 haben die Angeklagten laut Anklageschrift einen Vertrag über fünf Millionen Euro mit der Türkei abgeschlossen. Leistungsempfänger war demnach der türkische Inlandsgeheimdienst MİT. Laut Staatsanwaltschaft hat FinFisher den Empfänger verschleiert und „eine tatsächlich nichtexistierende ‚Generaldirektion für Zollkontrolle‘ in Ankara benannt“.
Der Staatstrojaner von FinFisher wurde im Sommer 2017 gegen den Gerechtigkeitsmarsch der türkischen Zivilgesellschaft um den aktuellen Präsidentschaftskandidat Kemal Kılıçdaroğlu eingesetzt.
Wenn das Gericht die Anklage annimmt, müssen sich die Angeklagten vor Gericht verantworten. Ende 2021 wollte die Staatsanwaltschaft Vermögen der Firmengruppe pfänden, das aus mutmaßlich illegalen Geschäften stammt. Seitdem sind die dazugehörigen Firmen insolvent und aufgelöst.
FinFisher ist für Stellungnahmen nicht mehr erreichbar. Die E-Mail-Adressen und Telefonnummern der Firmen funktionieren nicht mehr. Wir konnten die vier Angeklagten identifizieren und zwei davon per E-Mail kontaktieren. Bisher hat keiner auf unsere Anfrage geantwortet.
„NGOs begrüßen Anklageerhebung außerordentlich“
Update: Die beteiligten NGOs haben eine gemeinsame Pressemitteilung veröffentlicht.
Sarah Lincoln erklärt für die Gesellschaft für Freiheitsrechte:
FinFisher hat offenbar jahrelang Überwachungssoftware illegal an autoritäre Regierungen verkauft, und damit weltweit zur Überwachung und Unterdrückung von Menschenrechtsverteidiger*innen, Journalist*innen und Oppositionellen beigetragen. Dass die Verantwortlichen nun endlich belangt werden, ist ein längst überfälliges Signal, dass solche Verstöße nicht ungestraft bleiben dürfen.
Miriam Saage-Maaß kommentiert für das Europäische Zentrum für Verfassungs- und Menschenrechte:
Bislang konnten Firmen wie FinFisher trotz europäischer Exportregulierung fast ungehindert weltweit exportieren. Die heutige Anklageerhebung ist längst überfällig und führt hoffentlich zeitnah zur Verurteilung der verantwortlichen Geschäftsführer. Aber auch darüber hinaus müssen die EU und ihre Mitgliedstaaten viel entschiedener gegen den massiven Missbrauch von Überwachungstechnologie vorgehen.
Katja Gloger erklärt für Reporter ohne Grenzen:
Verletzungen der Pressefreiheit gehen heute in vielen Fällen mit dem Einsatz von Überwachungssoftware einher. Für die Betroffenen bedeutet jeder einzelne Fall einen massiven Eingriff in ihre Persönlichkeitsrechte. In autoritären Staaten kann das für Journalisten und ihre Quellen, für Aktivistinnen und Oppositionelle dramatische Folgen haben.
Hier die Pressemitteilung der Staatsanwaltschaft:
- Datum: 22.05.2023
- Staatsanwaltschaft: München I
- Pressesprecherin: Oberstaatsanwältin Anne Leiding
- Pressemitteilung
Anklageerhebung wegen gewerbsmäßigen Verstoßes gegen das Außenwirtschaftsgesetz durch den nicht genehmigten Verkauf von Überwachungssoftware an Nicht-EU-Länder
Die Staatsanwaltschaft München I hat mit Anklageschrift vom 03.05.2023 Anklage wegen gewerbsmäßigen Verstoßes gegen das Außenwirtschaftsgesetz in drei tateinheitlichen Fällen in Mittäterschaft zum Landgericht München I – Große Strafkammer – gegen insgesamt vier Angeschuldigte erhoben. Ihnen wird vorgeworfen, als Verantwortliche der FinFisher-Unternehmensgruppe durch den Verkauf von Überwachungssoftware an Nicht-EU-Länder vorsätzlich gegen Genehmigungspflichten für Dual-Use-Güter verstoßen und sich damit strafbar gemacht zu haben.
Die spezialisierte Abteilung für politische Strafsachen der Staatsanwaltschaft München I hat in dem Themenkomplex umfangreiche und aufwändige Ermittlungen durchgeführt. Ermittlungsinitiierend für das Verfahren gegen die Angeschuldigten war eine gemeinsame Strafanzeige vom 05.07.2019 von vier Nichtregierungsorganisationen, die sich für Pressefreiheit und Menschenrechte einsetzen. Mit ihrer Strafanzeige legten sie Analysen von IT-Experten vor, welche zu dem Schluss kamen, dass die Überwachungssoftware FinSpy im Jahr 2017 über eine gefälschte Webseite der türkischen Oppositionsbewegung unter Vorspiegelung falscher Tatsachen zum Download angeboten wurde, um diese auszuspähen.
In Zusammenarbeit mit dem Zollkriminalamt und unter Unterstützung weiterer Strafverfolgungsbehörden hat die Staatsanwaltschaft München I am 06.10.2020 insgesamt 15 Objekte (Geschäftsräume und Privatwohnungen) rund um München und ein Unternehmen aus der Unternehmensgruppe in Rumänien durchsucht. Im Laufe der Ermittlungen wurden Rechtshilfeersuchen an Schweden, Zypern, Malaysia, Bulgarien und Rumänien gerichtet.
Die Staatsanwaltschaft geht in ihrer Anklage von folgendem, vor Gericht noch zu beweisenden Sachverhalt aus: Der Hauptgeschäftszweck der FinFisher Gruppe bestand in der Entwicklung und dem weltweiten Vertrieb von Software zum Einsatz durch Strafverfolgungsbehörden und Nachrichtendienste. In diesem Bereich zählte die Gruppe weltweit zu einem der führenden Unternehmen. Hauptprodukt war die als „FinSpy“ bezeichnete kommerzielle Spähsoftware, mit deren Hilfe es möglich war, die volle Kontrolle über PCs und Smartphones zu erlangen und dabei auch die laufende Kommunikation zu überwachen. Abnehmer waren Staaten in der EU, aber auch sog. „EU001“-Staaten (für die durch die EU eine Allgemeine Ausfuhrgenehmigung erteilt wurde: Australien, Island, Japan, Kanada, Neuseeland, Norwegen, Schweiz, Liechtenstein, UK, USA) und insbesondere sog. „Nicht-EU001“-Staaten, mit denen der wesentliche Teil des Umsatzes der FinFisher Gruppe erzielt wurde.
Mit der zum 01.01.2015 in Kraft getretenen Änderung der Verordnung (EG) Nr. 428/2009 (sog. Dual-Use-Verordnung) wurde die Ausfuhr von Überwachungstechnologien aus der EU der Genehmigungspflichtigkeit unterstellt, was für die FinFisher Gruppe eine existentielle Gefährdung bedeutete, da hierunter auch die von ihr entwickelte und verkaufte Überwachungssoftware fiel. Durch eine global verzweigte Firmenstruktur sollte der Anschein erweckt werden, dass auch nach Inkrafttreten der gesetzlichen Beschränkungen zum 01.01.2015 der Vertrieb der Überwachungssoftware in Ländern außerhalb der EU rechtskonform fortgeführt werde. Tatsächlich wurden alle geschäftlichen Aktivitäten der verschiedenen Unternehmen fortwährend von München aus gesteuert, geleitet und koordiniert. Die Angeschuldigten G., H., T und D. waren jeweils Geschäftsführer von GmbHs der FinFisher-Gruppe. D. war zudem der Finanzchef und Verantwortlicher der Exportkontrolle der Firmengruppe.
Um dennoch weiterhin Verträge mit sog. Nicht-EU001-Ländern abwickeln zu können, beschlossen die Angeschuldigten, die Ausfuhr der Überwachungssoftware auf dem Papier fortan ohne Genehmigung über eine in Bulgarien sitzende Gesellschaft R. abzuwickeln. Nach außen, d.h. durch Schaffen einer entsprechenden Papierlage, sollte der Eindruck entstehen, dass Verträge mit Kunden aus dem Länderkreis Nicht-EU001 mit Änderung der Rechtslage nicht mehr über die in München sitzenden Gesellschaften bedient wurden. Die Entwicklung der Überwachungssoftware fand tatsächlich aber weiterhin durch das Entwicklungsteam der FinFisher Labs GmbH, federführend in Person des Angeschuldigten H. in München, unterstützt durch in Rumänien tätige Entwickler, statt.
Ende Januar 2015 wurde ein Vertrag über die Lieferung von Überwachungssoftware, Hardware, technischer Unterstützung, Schulungen etc. in die Türkei im Wert von 5,04 Mio. EUR geschlossen. Zur Verschleierung, dass die vertraglich vereinbarten Lieferungen tatsächlich von den Angeschuldigten aus München bestimmt wurden und Leistungsempfänger der türkische Geheimdienst MIT war, waren in dem Vertragsdokument als Verkäuferin die bulgarische Gesellschaft R. und als Empfängerin der Lieferung eine tatsächlich nichtexistierende „Generaldirektion für Zollkontrolle“ in Ankara benannt.
In der Folge kam es ab dem 01.03.2015 zu drei Tathandlungen durch die jeweilige Übermittlung eines Links für den Download an den türkischen Geheimdienst MIT. Zugunsten der Angeschuldigten werden diese rechtlich als tateinheitlich begangen gewertet, da alle drei Tathandlungen auf dem einheitlichen Vertragsschluss beruhten. Die Software wurde in der Türkei auf zuvor breitgestellte Hardware heruntergeladen und aufgespielt, im Anschluss daran wurden Schulungen zur Anwendung durchgeführt.
Wie allen Angeschuldigten bewusst war, wurde die für die Ausfuhr der Überwachungssoftware erforderliche Exportgenehmigung bis zur Einstellung des Geschäftsbetriebs der FinFisher Gruppe zu keinem Zeitpunkt erteilt, und zwar auch nicht durch die bulgarischen Exportbehörden. In Deutschland wurde eine Exportgenehmigung nicht einmal beantragt. Den Angeschuldigten war ebenfalls bewusst, dass Geschäfte mit Ländern der Ländergruppe Nicht-EU001 der FinFisher Unternehmensgruppe und damit mittelbar auch ihnen selbst erhebliche Einnahmen brachten, sie handelten in der Absicht, sich durch diese Geschäfte eine fortlaufende Einnahmequelle von erheblichem Umfang zu verschaffen.
Über die Eröffnung des Hauptverfahren und damit über eine mögliche Terminierung der Hauptverhandlung wird die zuständige Große Strafkammer des Landgerichtes München I entscheiden.
Allgemeiner Hinweis zum Zeitraum zwischen dem Datum der Anklageerhebungen und der Veröffentlichung der Pressemitteilung: Nach den Richtlinien für das Straf- und Bußgeldverfahren (Nr. 23 Abs. 2 RiStBV) darf eine Anklageerhebung der Presse erst dann bekannt gegeben werden, wenn die Anklageschrift einem Angeschuldigten bzw. dessen Verteidigung nachweislich zugegangen ist.
Man könnte meinen, dass der Kampf gegen Überwachung und den mit ihr verbundenen Machenschaften vergeblich sei, aber dem ist nicht so, wie der Artikel zeigt.
Großartige Arbeit von Euch und allen Beteiligten, vielen Dank dafür!
Die Angelegenheit könnte politische Konsequenzen haben, denn der türkische Geheimdienst untersteht und unterstand zur damaligen Zeit Erdogan. Und der könnte davon gewusst oder die Überwachung in Auftrag gegeben haben.
An expansive range of highly invasive spyware and surveillance products are being imported and deployed in Indonesia, Amnesty International’s Security Lab said today as it released a new briefing in collaboration with media partners – Haaretz, Inside Story, Tempo, WAV research collective and Woz.
https://www.amnesty.org/en/latest/news/2024/05/unravelling-a-murky-network-of-spyware-exports-to-indonesia/
https://www.amnesty.org/en/wp-content/uploads/2024/05/ASA2179742024ENGLISH.pdf