BKA-Deal mit FinFinisher Hier ist der Vertrag zum Staatstrojaner

Das Bundeskriminalamt wollte nur stark geschwärzte Unterlagen zu seiner Überwachungssoftware herausgegeben. Wir haben mit netzpolitik.org dagegen geklagt – und gewonnen.

 

- Andre Meister
Hü und Hott mit dem BKA –

Das Bundeskriminalamt besitzt eine Reihe verschiedener Staatstrojaner zum Hacken von IT-Geräten, neben der Eigenentwicklung RCIS auch NSO Pegasus und FinFisher FinSpy. Seitdem netzpolitik.org den Deal mit FinFisher 2013 enthüllt hat, kämpfen wir gemeinsam um Einblick in die Verträge. Die Vergabeunterlagen der Ausscheibung hat wir 2014 veröffentlicht, den ersten Vertrag 2015. Bereits damals mussten wir das BKA verklagen.

Vor drei Jahren haben wir mögliche Änderungen des Vertrags angefordert. Nachdem uns das BKA wieder nur eine extrem geschwärzte Version gegeben hat, hat netzpolitik.org die Polizeibehörde erneut verklagt, gemeinsam mit FragDenStaat und Anwalt Nico Sander. Und wir haben gewonnen.

Das Verwaltungsgericht Wiesbaden stellt in seinem Urteil fest, dass viele Schwärzungen rechtswidrig sind und unsere Rechte verletzen. Nach Informationsfreiheitsgesetz haben wir „einen Anspruch auf die Herausgabe der Informationen“. Das BKA und die Staatstrojaner-Firma Elaman müssen die Gerichtskosten und unsere außergerichtlichen Kosten bezahlen. Jetzt veröffentlichen wir den freigeklagten Vertrag.

Arne Semsrott, Projektleiter von FragDenStaat kommentiert: „In der Schule habe ich gelernt, dass die Polizei Recht und Gesetz durchsetzt. Hier hat sie es gebrochen. Und wir haben Recht und Gesetz gegen die Polizei durchgesetzt.“

Elaman bekommt 273.000 Euro für FinSpy PC

Das BKA hat den Staatstrojaner FinFisher von der Firma Elaman gekauft. Den Namen der Firma und des Geschäftsführers hatte das BKA im Vertrags-Update zunächst geschwärzt, obwohl er im Original-Vertrag und in einer Nachricht des BKA stand. Elaman war Vertriebs-Partner von FinFisher, beide teilten sich bis zur Auflösung von FinFisher eine Büro-Etage in München. Nach dem Auszug von FinFisher ist Elaman umgezogen.

Für FinFisher gab das BKA laut Original-Vertrag 2013 fast 150.000 Euro aus, genau 123.669 Euro netto. Das Vertrags-Update umfasst weitere 150.000 Euro netto. Auch diese Summe wollte das BKA verheimlichen. Doch dieser Pauschalfestpreis ist laut Gericht kein Betriebs- und Geschäftsgeheimnis, „es fehlt hier am berechtigten Geheimhaltungsinteresse“. Die Öffentlichkeit darf wissen, dass das BKA mit Steuern 325.666 Euro für FinFisher ausgegeben hat.

Der Vertrag hat 14 Anlagen, deren Bezeichnung wollte das BKA teilweise auch verschweigen. Dazu findet das Gericht deutliche Worte: „Auch in der mündlichen Verhandlung konnte die Beklagte nicht in für das Gericht nachvollziehbarer Weise darlegen, inwieweit durch eine Kenntnis der bloßen Anlagenbezeichnung (von deren Inhalt ist nicht die Rede) bereits eine Gefährdung der Funktionsfähigkeit der Software bzw. der Tätigkeit des BKA in diesem Bereich erfolgen kann.“

Tatsächlich sind die entschwärzten Namen der Vertragsanhänge weder sensibel noch überraschend. Dazu zählen die Anlagen des Original-Vertrags, eine Aufstellung der Leistungen und Anforderungen zur IT-Sicherheit. Der Produktname „FinSpy PC“ ist interessant, aber nicht neu. Professionelle Staatstrojaner sind komplexe Bausätze aus vielen Teilen, FinFisher bewirbt seine Produktfamilie als „komplettes IT Intrusion Portfolio“. FinSpy bezeichnet die installierte Überwachungssoftware auf dem gehackten Zielgerät.

Transparenz „könnte Trojaner-Einsatz verhindern“

Regelrecht absurd ist, dass das BKA auch die Kopfzeile „Verschlusssache – Nur für den Dienstgebrauch“ auf jeder Seite geschwärzt hat. In der Gerichtsverhandlung hatte das BKA „ein Geheimhaltungsbedürfnis […] auch nicht mehr behauptet“. Dennoch weist das Gericht im Urteil darauf hin, „dass die bloße Kennzeichnung des Vertrags als Verschlusssache nicht ausreichend […] ist“, die Herausgabe zu verweigern. Das BKA muss die Geheimhaltung auch inhaltlich begründen.

In einem Punkt haben wir uns nicht durchsetzen können. Auf der letzten Seite des Vertrags ist ein kleines schwarzes Feld über den Unterschriften. Wir gingen davon aus, dass da ein Datum steht und wollten auch das entschwärzt. Dort steht jedoch der Name des unterschreibenden BKA-Beamten, der bleibt weiterhin geschwärzt. Das ist jedoch nur eine Kleinigkeit, betont das Gericht: „Das Unterliegen des Klägers hinsichtlich des geschwärzten Namens am Ende des Vertrags ist gering.“

Leider müssen wir einige Schwärzungen hinnehmen, darunter die einzelnen Leistungen, Kosten und Termine sowie Angaben zum Quellcode. Die Entschwärzung dieser Angaben hatte das Gericht bereits im ersten Urteil verwehrt, weil damit angeblich „der Einsatz der Software und damit eine Quellen-TKÜ verhindert werden könnte“. Wir glauben nicht, dass die Nennung der einzelnen Soft- und Hardwarekomponenten den Einsatz des Statstrojaners gefährdet. Dennoch wäre es wenig erfolgversprechend gewesen, diese Informationen erneut einzufordern.

Kontrolle nicht Firmen und Behörden überlassen

Das BKA hat FinFisher zwar schon 2013 gekauft. Der Hersteller musste das Produkt jedoch fünf Jahre lang überarbeiten, um geltende Gesetze einzuhalten. Das BKA durfte FinFisher erst 2018 einsetzen. Im selben Jahr wurde FinFisher in der Türkei gefunden, wenige Monate danach wurde der Vertrag wieder gekündigt. Mittlerweile ist FinFisher insolvent und wird aufgelöst.

Unsere gewonnene Klage bleibt trotzdem wichtig. Letzte Woche haben wir beim BKA den Vertrag über den Staatstrojaner „Pegasus“ des israelischen Unternehmens NSO Group angefragt – und die bisherigen Gerichtsurteile direkt in der Anfrage referenziert. Wir hoffen, dass sich das BKA diesmal von Anfang an an Recht und Gesetz hält. Immerhin will auch die neue Bundesregierung „durch mehr Transparenz unsere Demokratie stärken“. Wir helfen gerne – und klagen notfalls wieder.

Unsere Klagen sind spendenfinanziert. Unterstütze uns hier.

→  zur Anfrage und Klage

→  zum Vertrag

/ 9
PDF herunterladen
VS-NUR FÜR DEN DIENSTGEBRAUCH Ergänzungsvereinbarung zum „Vertrag über die Erstellung eines Gesamtsystems" vom 13./14.03.2013 Inhalt 1  Gegenstand, Vergütung und Bestandteile dieses Ergänzungsvertrages                        2 1.1     Vertragsgegenstand                                                                2 1.2     Vergütung                                                                         2 1.3     Vertragsbestandteile*                                                             3 1.3.1   dieser Vertragstext und die folgenden Anlagen:                                 3 2  Übersicht über die vereinbarten Leistungen                                               4 2.1    Leistungen bis zur Abnahme                                                         4 3  Leistungen der Auftragnehmerin zur Erstellung der Software                               6 3.1    Überlassung von angepasster Standardsoftware* auf Zeit                             6 3.1.1    Leistungsumfang                                                                6 3.1.2    Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene           6 3.1.3    Bereitstellung der angepassten Standardsoftware*                               6 3.2    Sonstige Leistungen zur Softwareerstellung                                         7 3.2.1    Leistungsumfang                                                                7 3.2.2    Vergütung                                                                      7 4  Weitere Leistungen nach der Abnahme                                                      7 Weiterentwicklung und Anpassung der Software nach der Abnahme                             7 5  Termin- und Leistungsplan                                                                8 6  Weitere Pflichten der Auftragnehmerin                                                    8 Allgemeine Sicherheitsanforderungen                                                       8 7  Abnahme                                                                                  8 7.1    Gegenstand der Abnahme                                                             8 7.2    Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme 9 8  Weitere Vereinbarungen                                                                   9 8.1    Offenlegung des Quellcodes*                                                        9 8.2    Datenschutz, Geheimhaltung und Sicherheit                                          9
1

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 VS-NUR FÜR DEN DIENSTGEBRAUCH zwischen der Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, dieses vertreten durch das Beschaffungsamt des Bundesministeriums des Innern, Brühler Straße 3, 53119 Bonn — im Folgenden „Auftraggeberin" genannt — und der Elaman GmbH. vertreten durch den Geschäftsführer Holger Rumscheidt, Baierbrunner Straße 15, 81379 München — im Folgenden „Auftragnehmerin" genannt — wird folgender Ergänzungsvertrag geschlossen: i Gegenstand, Vergütung und                                Bestandteile dieses                 Ergän­ zungsvertrages 1.1      Vertragsgegenstand Mit diesem Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13714.03.2013 (nachstehend: Erstellungsvertrag) sollen Leistungserweiterungen, -anpassungen und -ergänzungen entgelt­ lich gemäß Angebot der Auftragnehmerin vom 09.07.15 (siehe auch Anlage 7) vereinbart sowie Präzisie­ rungen hinsichtlich der Leistungsbestandteile getroffen werden. Soweit die Parteien hier nicht ausdrücklich Abweichendes vereinbart haben, gelten die Bestimmungen, Bedingungen und Vereinbarungen aus dem Vergabeverfahren, Az. B3.10 - 1839/12, nebst Erstellungsvertrag sowie allen Anlagen und Nebenabreden unverändert fort. Art und Umfang der Leistungen ergeben sich aus diesem Vertrag, insbesondere aus den in Nummer 1.3 genannten Dokumenten. 1.2      Vergütung Kl       Der Pauschalfestpreis* beträgt 150.000,000 EUR netto. Die einzelnen Anteile am Pauschalfestpreis* werden nachfolgend nicht gesondert ausgewiesen. •        Ausgenommen vom Pauschalfestpreis* sind einzelne Leistungen, die gesondert vergütet werden. •        Der Pauschalfestpreis* beträgt       . Die einzelnen Anteile am Pauschalfestpreis* werden nachfol­ gend gesondert ausgewiesen. •        Ausgenommen vom Pauschalfestpreis* sind einzelne Leistungen, die gesondert vergütet werden. •        Es wird kein Pauschalfestpreis* vereinbart. Die Vergütungen werden nachfolgend gesondert ausge- Böl
2

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 VS-NUR FÜR DEN DIENSTGEBRAUCH wiesen. EX]      Der Zahlungsplan ergibt sich aus nachfolgender Übersicht. Termin                       Art der Zahlung            Betrag                    Bemerkung •••• •" •• £3       Einzelheiten zur Vergütung ergeben sich darüber hinaus aus der Vergütungszusammenstellung in Anlage Nr.     7 . Für alle in diesem Vertrag genannten Beträge gilt einheitlich der Euro als Währung. Die vereinbarte Vergütung versteht sich zuzüglich der gesetzlichen Umsatzsteuer. 1.3      Vertragsbestandteile* Es gelten als Vertragsbestandteile: 1.3.1    dieser Vertragstext und die folgenden Anlagen: Beil
3

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 VS-NUR FÜR DEN DIENSTGEBRAUCH Anlagen zum Ergänzungsvertrag Anlage                                           Bezeichnung Nr. 1-6        Siehe Erstellungsvertrag, Ziff.1.3 7          Angebot Elaman vom 28.01.15 8          Standardisierende Leistungsbeschreibung (SLB) vom 02.10.2012 9          Mustervereinbarung Auftragsdatenverarbeitung BMI 10         FinSpy PC - BKA Änderungsanforderung, Bedingungen in der letztgültigen Fassung, zuletzt übermittelt am 28.01.2015 11         Aufstellung bereits erbrachter, noch zu erbringender oder erbrachter, noch nicht prüffähi­ ger Leistungen nach Erstellungsvertrag 12         Anforderungen BKA zur IT-Sicherheit/Softwareprüfung vom 01.10.2012 13         EVB-IT System-AGB Vers. 2.0 v. 19.09.2012 14         VOL/B Fassung 2003 1.3.2   die Ergänzenden Vertragsbedingungen für die Erstellung eines Gesamtsystems (EVB-IT Sys­ tem-AGB) in der bei Vertragszeichnung geltenden Fassung, 1.3.3   die Allgemeinen Vertragsbedingungen für die Ausführung von Leistungen (VOL/B) in der bei Vertragszeichnung geltenden Fassung. Die EVB-IT System-AGB Vers. 2.0 i.d.F.v. 19.09,2012 (Anl. 13) und die VOL/B (Anl. 14) werden in der bei Vertragsschluss geltenden Fassung vereinbart und als Anlagen beigefügt. Die aktuell jeweils gültigen Fas­ sungen können unter http://www.cio.bund.de und die VOL/B unter http://www.bmwi.de eingesehen werden. Soweit Allgemeine Geschäftsbedingungen im Sinne von § 305 BGB in den hier referenzierten Dokumenten der Auftragnehmerin bzw. den sonstigen von der Auftragnehmerin beigefügten Anlagen zu diesem Vertrag Regelungen in den EVB-IT System-AGB widersprechen, sind sie ausgeschlossen, soweit nicht eine ander­ weitige Vereinbarung in den EVB-IT System-AGB zugelassen ist. Weitere Geschäftsbedingungen sind ausgeschlossen, soweit in diesem Vertrag nichts anderes vereinbart ist. 2 Übersicht über die vereinbarten Leistungen 2.i     Leistungen bis zur Abnahme Kl      Überlassung von angepasster Standardsoftware* auf Zeit K       Sonstige Leistungen gemäß nachfolgender tabellarischer Übersicht Lfd. Nummer    Beschreibung                                        Realisierungszeitpunkt BS
4

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 Seil
5

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 VS-NUR FÜR DEN DIENSTGEBRAUCH 3 Leistungen der Auftragnehmerin zur Erstellung der Software 3.1        Überlassung von angepasster Standards oftware* auf Zeit 3.1.1      Leistungsumfang Die Auftragnehmerin überlässt der Auftraggeberin die nachstehend aufgeführte angepasste Standardsoft- ware*mmund räumt ein nicht ausschließliches NutzungsrechtHMnach erfolgter Abnahme ein. Optional kann eine Verlängerung                                                                werden. Nach Ablauf der Vertragslaufzeit erfolgt auf Wunsch der Auftragnehmerin die vollständige Deinstallation der Software auf allen Systemen der Auftraggeberin. Bis zur Lieferung der mmmimmilist die d'6 Auftragnehmerin bereitzustellen. Eine operative kostenpflichtige Nutzung der Software durch die Auftraggeberin erfolgt erst nach Abnahme der| Lfd.    Produktbezeichnung       Menge      Zu liefernde Version1   Mindestvertragsdauer in Monaten    Automatische Verlängerung Nr.     und -beschreibung,                                                                                um Anzahl Monate2 Produkt-Nr, 1 l H            A A = Überlassung der bei Abnahme aktuellen Version, anderenfalls Versionsnummer eintragen Das Mietverhältnis verlängert sich um die vereinbarten Monate, wenn es nicht mit einer Frist von drei Monaten zum Ende der Mietdauer gekündigt wird. 3.1.2      Mitteilung über Anpassungen der Standardsoftware*auf Quellcodeebene H          Die Standardsoftware* aus Nummer 3.1.1 lfd. Nr. 1 wird im Sinne von Ziffer 2.3.1.3 EVB-IT System- AGB auf Quellcodeebene angepasst. Die Auftragnehmerin erklärt, dass sie die Anpassungen nicht in den Standard aufnehmen wird. ^1              Die Auftragnehmerin erklärt, dass sie | sämtliche Anpassungen in die Standardsoftware* aufnehmen wird. | die Anpassungen gemäß Anlage Nr. min die Standardsoftware* aufnehmen wird. 3.1.3      Bereitstellung der angepassten Standardsoftware* Die Auftragnehmerin stellt der Auftraggeberin die angepasste Standardsoftware* wie folgt zur Verfügung: •          gemäß Nummer 3.1.1 lfd. Nr.                      auf Datenträger: Typ:                , Kennzeichnung: ö          gemäß Nummer 3.1.1 lfd. Nr.                      in folgender Form:               l [3         gemäß Nummer 3.1.1 lfd. Nr. 1 wie in Anlage Nr. 1, 2, 7 und 10 Ziff. 2.10 beschrieben. EV&Ü
6

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 VS-NUR FÜR DEN DIENSTGEBRAUCH 3.2   Sonstige Leistungen zur Softwareerstellung 3.2.1 Leistungsumfang 13    Der Umfang der sonstigen Leistungen zur Softwareerstellung ergibt sich aus Anlage Nr. 1, 2, 7 u. 11. Darüber hinaus verpflichtet sich die Auftragnehmerin zur Mitwirkung in erforderlichem Umfang bei der gemäß Ziff. 16.8.2 des Erstellungsvertrages und Ziff. 1.2 Anlage 8 (SLB) vereinbarten Software­ prüfung. 3.2.2 Vergütung 4 Weitere Leistungen nach der Abnahme Weiterentwicklung und Anpassung der Software nach der Abnahme 13    Die Auftragnehmerin verpflichtet sich, die Software regelmäßig an sich ändernde Gegebenheiten und Bedürfnisse zur Aufrechterhaltung der bestimmungsgemäßen Verwendbarkeit anzupassen so­ wie entsprechend Anlage Nr. 11 weiterzuentwickeln und zu optimieren. Es besteht Einigkeit dahingehend, dass die in Anlage 11 näher bezeichneten Leistungen auf Basis der bisherigen vertraglichen Vereinbarungen zu erbringen sind, soweit sie in der Anlage 11 nicht als bereits erledigt beschrieben werden und technisch realisierbar sind. EÜBiT
7

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 VS-NUR FÜR DEN DIENSTGEBRAUCH s       Termin- und Leistungsplan 13      Der Termin- und Leistungsplan ergibt sich aus folgender Tabelle: Lfd. Bezeichnung der zu erbringenden         Art des       Leistungszeit      Leistungsort Nr.                Leistung                 Termins     (Datum oder Zeit­    (einschließlich MS1, BB2,      punkt nach Zu­        Anschrift) BBTA3,      schlagserteilung) TA4, VE5 1                                        1 • 1 1                                           • •                                          • L_| MS = Meilenstein I 2     BB = Termin der Betriebsbereitschaftserklärung 3     BBTA = Termin der Betriebsbereitschaftserklärung zur Teilabnahme 4     TA = Teilabnahmetermin 5     VE = Vertragserfüllungstermin* 6 Weitere Pflichten der Auftragnehmerin Die Auftragnehmerin hat folgende weitere Pflichten: Allgemeine Sicherheitsanforderungen Die Auftragnehmerin verpflichtet sich, für die Laufzeit des Vertrages: 3       bei der Erbringung der vertraglichen Leistungen die Regelungen zur IT-Sicherheit gemäß Ziff. 16.8.1 Erstellungsvertrag zu beachten; 3       sich der Geheimschutztjetreuung gemäß Anlage Nr. 1 zu unterstellen; 3       folgende weitere Regelungen aus den Anlagen 1, 3 und 9 einzuhalten. 7       Abnahme 7 i     Gegenstand der Abnahme Der Abnahmegegenstand ist die Software im Sinne dieses Vertrages und, soweit in Ziff. 5 vereinbart, die
8

Ergänzungsvertrag zum Vertrag über die Erstellung eines Gesamtsystems vom 13./14.03.2013 VS-NUR FÜR DEN DIENSTGEBRAUCH einer Teilabnahme unterliegenden, in sich abgeschlossenen und funktional nutzbaren Teile der Software. lEI      Ergänzende Vereinbarungen zum Gegenstand der Abnahme gemäß Anlage Nr. 1, 6, 8 und Ziff. 16.8.2 Erstellungsvertrag. Kl       Das Gesamtsystem beinhaltet jeweils die aktuellste Version der vereinbarten Software* zum Zeit­ punkt des Beginns der Erklärung der Betriebsbereitschaft*. 72       Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme K        Die Regelungen zur Durchführung der Funktionsprüfung und der Abnahme ergeben sich aus Anlage Nr. 1, 6, 8 und Ziff. 16.8.2 Erstellungsvertrag (abweichend von Ziffer 12 EVB-IT System-AGB). Die Parteien sind hinsichtlich der Anlagen 8 (SLB) und 10 (Änderungsanforderungen) darüber einig, dass die Änderungsanforderungen die entsprechenden SLB Regelungen abschließend konkretisie­ ren. Bei Erfüllung der in den Änderungsanforderungen benannten technischen Spezifikationen gelten die entsprechenden Anforderungen der SLB als erfüllt. Die Feststellung der SLB-Konformität nach durchgeführter Softwareprüfung entsprechend Ziff. 16.8.2 Erstellungsvertrag durch eine externe unabhängige Stelle flHHB            ist für beide Parteien abschließend. s    Weitere Vereinbarungen 8.1      Offenlegung des Quellcodes* 8.2      Datenschutz, Geheimhaltung und Sicherheit K        Ergänzend zu bzw. abweichend von Ziffer 21 EVB-IT System-AGB ergeben sich Regelungen zur Geheimhaltung bzw. zur Sicherheit aus Anlage Nr. 1, 3, 8, 9 und Ziff. 16.8.1 Erstellungsvertrag. Ort                             Datum                          Ort                              Datum Auftragnehmerin                                                Auftraggeberin Unterschrift Auftragnehmerin (Name in Druckschrift)            Unterschrift Auftraggeberin (Name in Druckschrift) B/BiT
9

Für eine informierte Zivilgesellschaft spenden

Unsere Recherchen, Klagen und Kampagnen sind essentiell, um unsere Politik und Verwaltung transparenter zu machen! So können wir unsere Demokratie stärken. Daraus schlagen wir kein Profit. Im Gegenteil: Als gemeinnütziges Projekt sind wir auf Spenden angewiesen.

Bitte unterstützen Sie unsere Arbeit!

Jetzt spenden

Hausprojekt „Rigaer 94“ Polizei will Durchsuchungsbeschluss geheim halten

Die Berliner Polizei weigert sich, Unterlagen zu einem Großeinsatz öffentlich zu machen – und findet dafür eine absurde Begründung. Wir klagen.