Anklageerhebung wegen gewerbsmäßigen Verstoßes gegen das Außenwirtschaftsgesetz durch den nicht genehmigten Verkauf von Überwachungssoftware an Nicht-EU-Länder

Die Staatsanwaltschaft München I hat mit Anklageschrift vom 03.05.2023 wegen gewerbsmäßigen Verstoßes gegen das Außenwirtschaftsgesetz in drei tateinheitlichen Fällen in Mittäterschaft zum Landgericht München I – Große Strafkammer – gegen insgesamt vier Angeschuldigte erhoben. Ihnen wird vorgeworfen, als Verantwortliche der FinFisher-Unternehmensgruppe durch den Verkauf von Überwachungssoftware an Nicht-EU-Länder vorsätzlich gegen Genehmigungspflichten für Dual-Use-Güter verstoßen und sich damit strafbar gemacht zu haben.

Die spezialisierte Abteilung für politische Strafsachen der Staatsanwaltschaft München I hat in dem Themenkomplex umfangreiche und aufwändige Ermittlungen durchgeführt. Ermittlungsinitiierend für das Verfahren gegen die Angeschuldigten war eine gemeinsame vom 05.07.2019 von vier Nichtregierungsorganisationen, die sich für und Menschenrechte einsetzen. Mit ihrer Strafanzeige legten sie Analysen von IT-Experten vor, welche zu dem Schluss kamen, dass die Überwachungssoftware FinSpy im Jahr 2017 über eine gefälschte Webseite der türkischen Oppositionsbewegung unter Vorspiegelung falscher Tatsachen zum Download angeboten wurde, um diese auszuspähen. 

In Zusammenarbeit mit dem Zollkriminalamt und unter Unterstützung weiterer Strafverfolgungsbehörden hat die Staatsanwaltschaft München I am 06.10.2020 insgesamt 15 Objekte (Geschäftsräume und Privatwohnungen) rund um München und ein Unternehmen aus der Unternehmensgruppe in Rumänien durchsucht. Im Laufe der Ermittlungen wurden Rechtshilfeersuchen an Schweden, Zypern, Malaysia, Bulgarien und Rumänien gerichtet.

Die Staatsanwaltschaft geht in ihrer Anklage von folgendem, vor Gericht noch zu beweisenden Sachverhalt aus: Der Hauptgeschäftszweck der FinFisher Gruppe bestand in der Entwicklung und dem weltweiten Vertrieb von Software zum Einsatz durch Strafverfolgungsbehörden und Nachrichtendienste. In diesem Bereich zählte die Gruppe weltweit zu einem der führenden Unternehmen. Hauptprodukt war die als „FinSpy“ bezeichnete kommerzielle Spähsoftware, mit deren Hilfe es möglich war, die volle Kontrolle über PCs und Smartphones zu erlangen und dabei auch die laufende Kommunikation zu überwachen. Abnehmer waren Staaten in der EU, aber auch sog. „EU001“-Staaten (für die durch die EU eine Allgemeine Ausfuhrgenehmigung erteilt wurde: Australien, Island, Japan, Kanada, Neuseeland, Norwegen, Schweiz, Liechtenstein, UK, USA) und insbesondere sog. „Nicht-EU001“-Staaten, mit denen der wesentliche Teil des Umsatzes der FinFisher Gruppe erzielt wurde.
Mit der zum 01.01.2015 in Kraft getretenen Änderung der Verordnung (EG) Nr. 428/2009 (sog. ) wurde die Ausfuhr von Überwachungstechnologien aus der EU der Genehmigungspflichtigkeit unterstellt, was für die FinFisher Gruppe eine existentielle Gefährdung bedeutete, da hierunter auch die von ihr entwickelte und verkaufte Überwachungssoftware fiel. Durch eine global verzweigte Firmenstruktur sollte der Anschein erweckt werden, dass auch nach Inkrafttreten der gesetzlichen Beschränkungen zum 01.01.2015 der Vertrieb der Überwachungssoftware in Ländern außerhalb der EU rechtskonform fortgeführt werde. Tatsächlich wurden alle geschäftlichen Aktivitäten der verschiedenen Unternehmen fortwährend von München aus gesteuert, geleitet und koordiniert. Die Angeschuldigten G., H., T und D. waren jeweils von GmbHs der FinFisher-Gruppe. D. war zudem der Finanzchef und Verantwortlicher der Exportkontrolle der Firmengruppe.
Um dennoch weiterhin Verträge mit sog. Nicht-EU001-Ländern abwickeln zu können, beschlossen die Angeschuldigten, die Ausfuhr der Überwachungssoftware auf dem Papier fortan ohne Genehmigung über eine in Bulgarien sitzende Gesellschaft R. abzuwickeln. Nach außen, d.h. durch Schaffen einer entsprechenden Papierlage, sollte der Eindruck entstehen, dass Verträge mit Kunden aus dem Länderkreis Nicht-EU001 mit Änderung der Rechtslage nicht mehr über die in München sitzenden Gesellschaften bedient wurden. Die Entwicklung der Überwachungssoftware fand tatsächlich aber weiterhin durch das Entwicklungsteam der FinFisher Labs , federführend in Person des Angeschuldigten H. in München, unterstützt durch in Rumänien tätige Entwickler, statt. 
Ende Januar 2015 wurde ein Vertrag über die Lieferung von Überwachungssoftware, Hardware, technischer Unterstützung, Schulungen etc. in die Türkei im Wert von 5,04 Mio. EUR geschlossen. Zur Verschleierung, dass die vertraglich vereinbarten Lieferungen tatsächlich von den Angeschuldigten aus München bestimmt wurden und Leistungsempfänger der türkische Geheimdienst MIT war, waren in dem Vertragsdokument als Verkäuferin die bulgarische Gesellschaft R. und als Empfängerin der Lieferung eine tatsächlich nichtexistierende „Generaldirektion für Zollkontrolle“ in Ankara benannt. 
In der Folge kam es ab dem 01.03.2015 zu drei Tathandlungen durch die jeweilige Übermittlung eines Links für den Download an den türkischen Geheimdienst MIT. Zugunsten der Angeschuldigten werden diese rechtlich als tateinheitlich begangen gewertet, da alle drei Tathandlungen auf dem einheitlichen Vertragsschluss beruhten. Die Software wurde in der Türkei auf zuvor breitgestellte Hardware heruntergeladen und aufgespielt, im Anschluss daran wurden Schulungen zur Anwendung durchgeführt.
Wie allen Angeschuldigten bewusst war, wurde die für die Ausfuhr der Überwachungssoftware erforderliche Exportgenehmigung bis zur des Geschäftsbetriebs der FinFisher Gruppe zu keinem Zeitpunkt erteilt, und zwar auch nicht durch die bulgarischen Exportbehörden. In Deutschland wurde eine Exportgenehmigung nicht einmal beantragt. Den Angeschuldigten war ebenfalls bewusst, dass Geschäfte mit Ländern der Ländergruppe Nicht-EU001 der FinFisher Unternehmensgruppe und damit mittelbar auch ihnen selbst erhebliche Einnahmen brachten, sie handelten in der Absicht, sich durch diese Geschäfte eine fortlaufende Einnahmequelle von erheblichem Umfang zu verschaffen.

Über die Eröffnung des Hauptverfahren und damit über eine mögliche Terminierung der wird die zuständige Große Strafkammer des Landgerichtes München I entscheiden.

Allgemeiner Hinweis zum Zeitraum zwischen dem Datum der Anklageerhebungen und der Veröffentlichung der Pressemitteilung: Nach den Richtlinien für das Straf- und Bußgeldverfahren (Nr. 23 Abs. 2 RiStBV) darf eine Anklageerhebung der Presse erst dann bekannt gegeben werden, wenn die Anklageschrift einem Angeschuldigten bzw. dessen Verteidigung nachweislich zugegangen ist. (Quelle: Pressemitteilung der Staatsanwaltschaft)

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.