Gamma/FinFisher: Großbritannien rügt deutsch-britschen Software-Hersteller

Die deutsch-britische Softwarefirma Gamma International hat mit dem Export von Produkten wie dem Trojaner FinFisher gegen menschenrechtliche Verpflichtungen verstoßen. Das stellte die britische OECD-Kontaktstelle (NKS) am 26. Februar 2015 in einer abschließenden Bewertung fest. Die NKS fordert Gamma – und explizit auch die anderen zum Konzern gehörenden Unternehmen – auf, wirksame Standards zum Schutz der Menschenrechte zu implementieren.
 
Das ECCHR, das Bahrain Center for Human Rights (BCHR), Bahrainwatch, Privacy International und Reporter ohne Grenzen hatten 2013 bei der NKS in London eine Beschwerde gegen Gamma eingereicht. Gleichzeitig reichten die Organisationen damals bei der deutschen NKS Beschwerde gegen die Softwarefirma Trovicor GmbH aus München ein. Die Organisationen warfen den Unternehmen vor, durch Lieferung der Produkte und den technischen Support mitverantwortlich zu sein für die Festnahme, Verhaftung und Folter von Oppositionellen und Regimekritikern in Bahrain.
 
„Wir sehen uns durch die Stellungnahme der britischen OECD-Kontaktstelle mit unserer Beschwerde bestätigt“, sagte Christian Mihr, Geschäftsführer von Reporter ohne Grenzen in Berlin: „Gleichzeitig muss der Einsatz für eine umfangreiche Beschränkung des Exports von Überwachungstechnologie an autoritäre Staaten weitergehen.“ Miriam Saage-Maaß, stellvertretende Legal Director des ECCHR sagte: „Die Entscheidung der britischen NKS ist von grundlegender Bedeutung! Auch die deutsche Gamma-Tochter FinFisher Labs in München muss sich daran orientieren.“
 
Die britischen OECD-Prüfer kritisierten, dass Gamma keine menschenrechtsbezogene Due-Diligence-Prüfung durchgeführt und intern keine verbindlichen Standards zur Beachtung von Menschenrechten habe. Zudem habe das Unternehmen nicht genug mit der NKS kooperiert. Trotz erdrückender allgemein zugänglicher Beweise schwieg Gamma zum Verkauf von FinFisher nach Bahrain. Die NKS, die sich darauf zurückzieht, keine eigenen Ermittlungsbefugnisse zu haben, konnte diesen konkreten Vorwurf nicht bestätigen.  
 
Die beim Bundeswirtschaftsministerium angesiedelte deutsche NKS hatte die Beschwerde gegen Trovicor im Dezember 2013 abgelehnt. Sie hielt „eine vertiefte Prüfung nur hinsichtlich des allgemeinen Risikomanagements von Trovicor für möglich“. In den übrigen Punkten sah sie die Vorwürfe nicht ausreichend belegt.
 
„Dass die Kontaktstellen in Deutschland und Großbritannien die Beschwerden unterschiedlich beurteilen, belegt erneut die Mängel im deutschen Beschwerdeverfahren“, sagte Saage-Maaß. „Die deutsche NKS muss unabhängiger strukturiert werden – zum Beispiel durch ein Aufsichtsgremium, in das wie in Großbritannien auch Vertreter aus der Zivilgesellschaft berufen werden.“

Keine Ermittlungen gegen deutsch-britische Software-Firma in Deutschland

Staatsanwaltschaft München ignoriert Hinweise auf illegale Überwachung, Menschenrechtsituation in Bahrain ebenso wie Rechtslage in Deutschland

 

12. Dezember 2014 – Die Staatsanwaltschaft München will nicht gegen Mitarbeiter des deutsch-britischen Konzerns Gamma International ermitteln. Das hatten das European Center for Constitutional and Human Rights (ECCHR) und die britische Organisation Privacy International in einer Strafanzeige im Oktober 2014 gefordert. Die Organisationen haben Anhaltspunkte, wonach bahrainische Behörden unter anderem auch in Deutschland lebende Oppositionelle mithilfe des Gamma-Trojaners FinFisher unrechtmäßig ausgespäht haben. Gegen die Einstellung der Anzeige wird das ECCHR Gegenvorstellung einlegen.

 
"Die Argumentation der Staatsanwaltschaft ist rechtlich nicht haltbar“, sagte Miriam Saage-Maaß, stellvertretende Legal Director des ECCHR. „Wenn der Behörde die Informationen aus den Wikileaks-Dokumenten nicht reichen, dann muss sie eben selbst ermitteln!“ Zudem lasse die Staatsanwaltschaft die Situation in Bahrain völlig außer Acht. In Bahrain werden Menschenrechtsaktivisten, Journalisten und Oppositionelle systematisch überwacht, verfolgt, inhaftiert und immer wieder auch gefoltert. „Angesichts der Überwachungs-Realität in Bahrain ist es absurd, zu sagen, staatliche Behörden könnten gar nicht ‚hacken‘ und gegen § 202 a StGB – dem Verbot der Ausspähung von Daten – verstoßen“, sagte Saage-Maaß.

 
Doch damit nicht genug: „Die Staatsanwaltschaft München ignoriert auch die Rechtslage in Deutschland“, so Saage-Maaß. Selbst das Bundeskriminalamt verzichtete bis mindestens 2012 auf den Einsatz einer Version des Gamma-Trojaners, da die Software gegen die „standardisierende Leistungsbeschreibung” der Bundesregierung und damit gegen verfassungsrechtliche Mindeststandards verstieß.
 

Bahrainische Behörden überwachen illegal Computer in Deutschland

 

Am 16. Oktober hatten das ECCHR und Organisation Privacy International bei der Staatsanwaltschaft München Strafanzeige gegen Mitarbeiter des deutsch-britischen Konzerns Gamma eingereicht. Den Organisationen liegen Datensätze vor, die den Verdacht begründen, dass Gamma die Überwachungssoftware FinFisher nach Bahrain lieferte und von Deutschland aus auch technische Hilfe leistete. Damit konnten bahrainische Behörden den Trojaner nutzen, um Computer in Deutschland auszuspähen. „Wenn sich dieser Verdacht bestätigt, dann können sich Gamma-Mitarbeiter der Beihilfe schuldig gemacht haben. Dafür müssen die Verantwortlichen zur Rechenschaft gezogen werden“, sagte Miriam Saage-Maaß, stellvertretende Legal Director vom ECCHR. Auch in Großbritannien und Belgien liegen Strafanzeigen gegen Gamma vor. Neben Ermittlungen fordert das ECCHR auch politische Konsequenzen: „Bundeswirtschaftsminister Sigmar Gabriel muss seine Ankündigungen endlich umsetzen und den Export von Überwachungstechnologie wirkungsvoll und transparent regulieren.“

 
Aus Daten von 77 Computern geht hervor, dass bahrainische Behörden mit dem Trojaner neben Geräten in Großbritannien auch je einen Computer in Belgien und in Deutschland ausgespäht haben. In Großbritannien waren davon unter anderem prominente bahrainische Menschenrechtsaktivisten betroffen. Die Identität der in Deutschland ausspionierten Person ist bisher nicht bekannt.

 
Gamma hat FinFisher entwickelt und produziert. Werbematerial zeigt, dass die Software den umfassenden Zugriff auf infizierte Geräte und alle enthaltenen Daten ermöglicht. Dazu gehört auch, dass Kameras und Mikrofone an Computern angezapft werden können. Laut Privacy International wird FinFisher-Software in 35 Ländern, darunter Äthiopien, Turkmenistan, Bahrain und Malaysia eingesetzt. „Firmen wie Gamma machen mit repressiven Staaten gute Geschäfte, weisen aber jede Verantwortung für ihre Produkte zurück,“ sagt Adriana Edmeades von Privacy International. „Es wird Zeit, dass auch Unternehmen für ihre Beteiligung an massiven Menschenrechtsverletzungen juristisch belangt werden.“