netzpolitik.org

Ist Werbe-Targeting auf Social-Media-Plattformen eigentlich legal? Die Berliner Datenschutzbeauftragte ist skeptisch und ermahnt die Parteien, im EU-Wahlkampf darauf zu verzichten. Daran halten wird sich wohl niemand, auch wenn mehrere Parteien nicht darüber sprechen wollen.

Die deutschen Parteien wollen nicht auf Targeted Advertising in Sozialen Medien verzichten – Public Domain Midjourney / a digital election campaign, pop art style, add flag of european union

Mehr als 700.000 Euro haben deutsche Parteien seit Beginn des Jahres für gezielte Werbung auf Instagram und Facebook ausgegeben. Geht es nach der Berliner Datenschutzbeauftragten, sind das mehr als 700.000 Euro zu viel. In einem Brief fordert Meike Kamp Anfang der Woche die großen deutschen Parteien auf, im anstehenden EU-Wahlkampf auf das umstrittene Microtargeting auf Social-Media-Plattformen zu verzichten.

Um ihren Werbekunden die Auswahl kleinteiliger Zielgruppen zu ermöglichen, sammeln die Plattformkonzerne Unmengen an Daten aus zahlreichen Quellen, nicht nur auf der eigenen Plattform, und führen sie in Profilen zusammen. Die Datenschützerin betont: Insbesondere die Verwendung besonders geschützter Datenarten, zum Beispiel über die politische Einstellung oder Religion, darf nach Datenschutzgrundverordnung nur mit expliziter Einwilligung der Betroffenen erfolgen. Doch nicht nur das Targeting mit sensiblen Daten sei problematisch, so Kamp weiter. Jegliche Form der Selektion von Personen auf der Grundlage von umfangreichen Nutzungsprofilen berge Risiken für Datenschutz und Demokratie.

Das inzwischen von der Datenschutzbehörde veröffentlichte Schreiben ging an alle Parteien, die derzeit im Bundestag vertreten sind und ihren Hauptsitz in Berlin haben, also an AfD, BSW, CDU, FDP, Grüne, Linke und SPD. Wir haben nachgefragt, ob sie dem Appell der Datenschutzbeauftragten folgen wollen. Die Reaktionen sind auffallend schmallippig. Klar ist jedoch, dass keine der genannten Parteien auf Social-Media-Targeting verzichten wird.

Nur Targeting, kein Micro

Die SPD beispielsweise antwortet, dass Microtargeting – die Betonung liegt auf der ersten Silbe – die Praxis beschreibe, „extrem zugespitzte Zielgruppen zu erstellen, die nur wenige User*innen erreichen sollen“. Mit solchen Methoden arbeite die SPD nicht. Heißt auch: Mit weniger eng gefasstem Targeting will die Partei fortfahren. Bei welcher Größte sie die Grenze zieht, erfahren wir nicht.

Dafür offenbart die SPD noch die folgende Rechtsauffassung: „Targeting fällt dann unter die DSGVO, wenn aus den Daten die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.“ Das klingt, als würde nach Meinung der SPD die Nutzung anderer personenbezogener Daten für Targeting nicht der DSGVO unterliegen.

Auch Linkspartei und Grüne betonen, dass sie beim Targeting in Sozialen Medien nur mit gröberen Kategorien arbeiten. Ein solcher Ansatz ermögliche es, „Nutzer*innen in Deutschland, die das Wahlmindestalter erreicht haben, über Kernmerkmale wie Alter oder Region mit unserer Werbung zu erreichen“ und sei eine „gängige Methode der Zielgruppenansprache“, schreiben uns die Grünen. Microtargeting auf Basis von Interessengebieten, mit dem man „kleinste Profilgruppen“ erreichen könne, setze man nicht ein. Von der Linkspartei heißt es noch ergänzend, dass sie Meta und anderen Plattformen keine eigenen Daten zur Verfügung stelle.

Gar keine Antwort erhielten wir vom Bündnis Sarah Wagenknecht, von der CDU und der AfD. Die beiden letztgenannten fallen schon seit Jahren durch besondere Intransparenz beim Thema auf und ignorieren Presseanfragen von netzpolitik.org zu ihrer Online-Werbung regelmäßig. Auch die Pressestelle der FDP liefert keine Antworten zum Thema. Allerdings hat die Partei allein in dieser Woche mehr als zehn neue Werbeanzeigen auf Facebook geschaltet.

Datenschutzbehörde führt Verfahren gegen Parteien

Das Thema des politischen Targetings sorgt seit Jahren für Zündstoff, denn seit dem Skandal um Facebook und Cambridge Analytica im Jahr 2018 kam es immer wieder zu Regelverstößen bei politischer Online-Werbung, auch in Deutschland. So hatte netzpolitik.org aufgedeckt, dass beispielsweise der damalige CDU-Politiker Max Otte Twitters Verbot politischer Werbung verletzte, als er sich selbst als Kandidat der AfD für das Amt des Bundespräsidenten promotete. SPD und AfD wiederum setzen sich erst jüngst über das Verbot politischer Werbung auf TikTok hinweg.

Mutmaßlich sogar gegen die Grundsätze der Verfassung verstießen das Bundesarbeitsministerium von Hubertus Heil (SPD) und das rheinland-pfälzische Klimaministerium von Anne Spiegel (Grüne). Beide Ministerien wählten bei Facebook-Werbung zu Wahlkampfzeiten gezielt Anhänger:innen der Parteien der beiden Minister:innen als Zielgruppe aus – ein Verstoß gegen das Neutralitätsgebot. Aufgedeckt hatten dies das ZDF Magazin Royale und die NGO Who Targets Me. Im Zuge der gleichen Recherche konnten sie zeigen, dass die FDP im Bundestagswahlkampf unterschiedliche Gruppen mit widersprüchlichen Botschaften zum Klimaschutz ansprach.

Im Nachgang dieser Recherche reichte die Datenschutzorganisation NOYB gemeinsam mit Betroffenen Beschwerden gegen alle damals im Bundestag vertretenen Parteien ein. Auch in diesem Fall ist die Berliner Datenschutzbeauftragte zuständig, das Verfahren läuft noch.

Zudem steht immer noch in Frage, ob man offizielle Profile auf Social-Media-Plattformen überhaupt datenschutzkonform betreiben kann. Gegen Meta, den größten Social-Media-Konzern der Welt, laufen zahlreiche Gerichtsverfahren, auch die europäischen Datenschutzbehörden ringen seit Jahren mit dem Unternehmen.

Einem Gerichtsurteil zufolge sind die Seitenbetreiber und Facebook zudem datenschutzrechtlich gemeinsam verantwortlich für die Datensammlung des Konzerns. Der Bundesdatenschutzbeauftragte hat deshalb die Bundesregierung aufgefordert, alle offiziellen Kanäle auf der Plattform einzustellen, aktuell streiten sie vor Gericht.

Grundsätzliche Sorge um Demokratie und Diskurs

In ihrer Kritik am politisch genutzten Social-Media-Targeting wird Meike Kamp grundsätzlich: „Für die betroffenen Personen sind die genauen Vorgänge der Datenverarbeitung häufig nicht transparent und das Informationsgefälle zwischen Plattform/Werbendem und Adressat:in kann dazu führen, dass es für die Adressat:innen schwer einschätzbar wird, was die Werbenden veranlasst hat, speziell sie mit dem spezifisch zugeschnittenen Inhalt anzusprechen.“

Darüber hinaus sei zu befürchten, dass politisches Targeting den Diskurs fragmentiert und polarisiert, so der Brief weiter. „Letztlich kann die starke Fokussierung auf die Interessensprofile der Nutzer:innen dazu führen, dass die Adressat:innen nur noch mit dem konfrontiert werden, was sie vermeintlich hören möchten, und dass die Bandbreite von Positionen eines Werbenden zu verschiedenen Themen sie nicht mehr erreicht.“ Wahlwerbung, die zu stark individualisiert und manipulierend ist, widerspreche der zentralen Aufgabe der Parteien, „den öffentlichen Diskurs anzuregen, die vielfältigen Meinungen zu bündeln und zu Kompromissen zu führen“, so Kamp.

Auch die Europäische Union sieht Gefahren im politischen Targeting und hat deshalb 2023 eine neue Verordnung verabschiedet, die erstmals Regeln für digitale Wahlkämpfe und maßgeschneiderte Werbekampagnen bringt. Auch sie enthält kein grundsätzliches Verbot des Targetings, schränkt die politische Nutzung aber deutlich ein. Allerdings hatten die Debatten um das umstrittene Thema die Verabschiedung so lange aufgehalten, dass die Verordnung erst nach der EU-Wahl am 9. Juni wirksam wird.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die USA bekommen wieder Regeln zur Netzneutralität. Die lange Zeit blockierte Regulierungsbehörde FCC verpflichtet Internetanbieter, alle Daten im Netz gleich zu behandeln. Sorgen bereiten aber neue Technologien, die womöglich doch noch „Überholspuren“ schaffen könnten – auch in Europa.

Die demokratische FCC-Vorsitzende Jessica Rosenworcel, hier bei einer Anhörung im US-Kongress, setzt sich für Netzneutralität ein. – Alle Rechte vorbehalten IMAGO / SOPA Images

US-Internetnutzer:innen können sich wieder über Regeln zur Netzneutralität freuen. Heute hat die US-Regulierungsbehörde Federal Communications Commission (FCC) erneut Richtlinien erlassen, die unter Ex-Präsident Barack Obama eingeführt und von seinem Nachfolger Donald Trump wieder zurückgenommen wurden.

Die Corona-Pandemie habe ein für alle Mal gezeigt, dass Breitband „essenziell“ ist, sagte die demokratische FCC-Vorsitzende Jessica Rosenworcel im Vorfeld. Doch ohne entsprechende Regeln habe die FCC nicht sicherstellen können, dass Verbraucher:innen von einem „schnellen, offenen und fairen“ Internet profitieren könnten. „Eine Rückkehr zum überwältigend beliebten Standard der Netzneutralität wird es der FCC ermöglichen, erneut als starke Anwältin für ein offenes Internet aufzutreten.“

Das Prinzip der Netzneutralität schreibt fest, dass alle Datenströme im Internet gleich behandelt werden müssen, unabhängig vom Absender oder Empfänger. Es genießt breite Unterstützung, Umfragen in den USA zeigen immer wieder, dass Verletzungen der Netzneutralität wie künstlich gedrosselte oder blockierte Internetverbindungen ausgesprochen unbeliebt sind.

Dennoch hat es mehr als drei Jahre nach dem Amtsantritt von US-Präsident Joe Biden gedauert, bis die Demokraten die Regeln wieder erlassen konnten. Schuld war eine politisch motivierte Blockade der FCC, mit der die Republikaner die Behörde bis zuletzt lahmgelegt hatten.

Netzbetreiber erbringen grundlegende Dienste

Erst im vergangenen Oktober konnte eine vollständig besetzte FCC unter Mehrheit der Demokraten einen ersten Vorschlag beschließen und zur Debatte stellen. Im Kern gleicht das Regelwerk der Open Internet Order aus dem Jahr 2015. Demnach gelten Netzbetreiber als „Common Carrier“, erbringen also eine grundlegende Dienstleistung wie die Versorgung mit Wasser und sind entsprechend streng zu regulieren.

Ihnen ist es grundsätzlich verboten, den Zugang zu Online-Diensten zu drosseln oder zu sperren. Netzbetreiberverbände haben bereits angekündigt, die Regeln vor Gericht zu zerren. Vergleichbare juristische Auseinandersetzungen haben sie in der Vergangenheit jedoch verloren.

Selbst ohne bundesweite Auflagen scheuten sich Betreiber in den letzten Jahren vor krassen Verletzungen der Netzneutralität. Zum einen waren die Augen der Öffentlichkeit auf sie gerichtet, zum anderen hatte eine Reihe an Bundesstaaten, darunter Kalifornien und Washington, zwischenzeitlich eigene Gesetze erlassen.

Diese haben etwa den Mobilfunkriesen AT&T dazu gebracht, ein sogenanntes „Zero Rating“-Produkt einzustellen – nicht nur in diesen Bundesstaaten, sondern landesweit. Solche Angebote nehmen den Zugriff auf ausgewählte Partnerdienste vom monatlichen Datenvolumen aus, behandeln sie also notwendigerweise unterschiedlich.

Vom Experimentieren hat das die Betreiber indes nicht abgehalten. Manche lassen sich etwa den Zugriff auf hochaufgelöste Videos extra bezahlen, während sie alle anderen Videos künstlich in einer schlechteren Auflösung ausliefern. Solche Praktiken könnten künftig zunehmen, auch weil sie technisch leichter umsetzbar werden.

Überholspuren im Fokus

Der neue 5G-Mobilfunkstandard sieht sogenannte „Network Slices“ vor, mit denen sich Netze in Scheibchen schneiden und unterschiedlich gut behandeln lassen. Weltweit schielen Netzbetreiber auf diese Technik, die Deutsche Telekom sieht sie etwa als „Schlüssel zu 5G“. Nur damit seien industrielle Anwendungen umsetzbar, etwa Industrieroboter oder selbstfahrende Autos, gibt der Konzern an.

Genau solche Überholspuren erfassen die neuen FCC-Regeln jedoch nicht vollständig. Zwar dürfen sich Netzbetreiber von den jeweiligen Online-Anbietern für eine Vorfahrt nicht bezahlen lassen. Außerdem beteuert die FCC, solche Angebote einzeln prüfen zu wollen. Dennoch könnte dies letztlich dazu führen, dass Netzbetreiber bestimmten Online-Diensten Vorfahrt gestatten, während sich die restlichen Internet-Dienste samt ihrer Nutzer:innen mit zunehmend verstopften Straßen begnügen müssten. Davor warnt etwa die Stanford-Professorin Barbara van Schewick.

So könnte ein Angebot eines fiktiven Netzbetreibers aussehen, sollten schwach regulierte Überholspuren zur Normalität werden. - CC-BY 3.0 Elaine Adolfo

Mit der Netzneutralität kompatibel wäre hingegen eine Ausgestaltung, mit der Netzbetreiber Überholspuren nicht nutzen könnten, um den Wettbewerb zu verzerren, erklärt die Expertin gegenüber netzpolitik.org. Dabei müsste gesichert sein, dass die Überholspur offen ist für alle Anwendungen; die Nutzer:innen entscheiden, ob, wenn, und für welche Anwendungen sie die Überholspur verwenden; keine Gebühren für den Dienste-Anbieter selbst entstehen; und die Überholspur die Qualität des regulären Internets nicht verschlechtert.

Zu strenger Kontrolle ruft deshalb auch die Nichtregierungsorganisation Public Knowledge auf, die sich für ein offenes Internet einsetzt. Es sei zu erwarten, dass Netzbetreiber ihre alten Tarife in neuem Gewand auf den Markt bringen und weiterhin versuchen werden, das Internet in langsame und schnelle Spuren aufzuteilen, schreibt John Bergmayer nach der FCC-Abstimmung. Dabei müsse die FCC sicherstellen, dass Breitbandanbieter nicht einfach Allerwelts-Apps nehmen und sie als separaten „Nicht-Breitband“-Dienst bündeln.

Gefahr eines Zwei-Klassen-Internets

Auch in Europa weckt die Technik Begehrlichkeiten. Einem „5G-Manifest“ der Industrie war vor Jahren etwa die Unterstützung des damaligen Digital-Kommissars Günther Oettinger gewiss. Darin warb die Branche unter anderem für vertikal integrierte Dienste, die Vorschläge reichen von autonomem Fahren bis hin zu virtueller Realität. Dies trage nicht nur zu besseren Anwendungen bei, sondern helfe auch bei der Finanzierung der Netze, so das Lobbypapier.

Bislang haben solche Vorstöße jedoch kaum gefruchtet, weil die EU-Regeln zur Netzneutralität eklatante Verstöße untersagen und solche Spezialdienste nur unter strengen Auflagen möglich sind. Insbesondere dürfen Spezialdienste nicht zu Lasten anderer Nutzer:innen gehen und damit das offene Internet einschränken. Auch EU-Regulierer hatten wiederholt klargestellt, dass sich damit kein Zwei-Klassen-Internet durch die Hintertür schaffen lässt.

Allerdings zeichnet sich kein Ende der Debatte ab. Zuletzt forderte der italienische Ex-Ministerpräsident Enrico Letta in einem Bericht über den EU-Binnenmarkt eine umfassende Überarbeitung der europäischen Regeln. Betreiber sollen demnach einfacher Überholspuren für bestimmte Dienste anbieten können, denkbar seien beispielsweise „KI-gestützte Anwendungen wie autonomes Fahren“.

Auf eine grundlegende Reform des Telekommunikationssektors drängt auch der amtierende Binnenmarktkommissar Thierry Breton. Er will Netzbetreibern künftig einträgliche, aber bislang verbotene oder fragwürdige Zusatzgeschäfte ermöglichen, etwa mittels einer Datenmaut für Online-Dienste.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Entwurf des Bundespolizeigesetzes sieht weitere Überwachungsbefugnisse vor. Sachverständige haben das kritisiert, da die geplante Reform verfassungsrechtliche Fragen aufwerfe, anstatt Probleme zu lösen.

Nicht immer sind Einsätze der Polizei nur sichtbar, wenn die Polizei vor Ort ist. – CC0 generiert mit Stable Diffusion Image Generator

Im Dezember 2023 hat das Bundeskabinett einen Entwurf zur Reform des Bundespolizeigesetzes beschlossen. Nun berät der Bundestag über die geplante Neustrukturierung. Am 22. April wurden der Gesetzentwurf und die Befugnisse der Bundespolizei in einer öffentlichen Anhörung im Ausschuss für Inneres und Heimat mit Sachverständigen besprochen.

Die Bundespolizei hat mehrere Aufgaben: Sie soll die Grenzen schützen, den Bahn- und Luftverkehr sicher machen, aber auch staatliche Einrichtungen vor Gefahren schützen. Neben präventiven Maßnahmen übernimmt die Bundespolizei auch Strafverfolgungsaufgaben. So verfolgt sie beispielsweise Verstöße gegen die Vorschriften des Pass- oder Aufenthaltsgesetzes.

Nun soll die gesetzliche Grundlage für ihre Arbeit, das Bundespolizeigesetz (BPolG), erneuert werden. Die Bundesregierung fürchtet, dass das 30 Jahre alte Bundespolizeigesetz nicht so aktuell sei, dass die Bundespolizei ihre Aufgaben entsprechend den technischen und sicherheitspolitischen Entwicklungen durchführen könne. Sie erhofft sich von der Neustrukturierung, das Gesetz wieder auf die Höhe der Zeit zu bringen.

Mehr Befugnisse, weniger unabhängige Kontrolle

Im BPolG gibt es derzeit eine sogenannte allgemeine Befugnisnorm. Sie ermöglicht es der Bundespolizei schon jetzt, weitreichende Maßnahmen zur Gefahrenabwehr einzusetzen. Sie darf die „notwendigen Maßnahmen treffen, um eine Gefahr abzuwehren“, wenn es nicht speziell geregelt ist. Eine solche Regelung bleibt in der geplanten Neuregelung bestehen.

Mehrere Vorschriften des Entwurfs zeigen aber: Etwa bei Überwachungsmaßnahmen will die Regierung der Bundespolizei mehr Befugnisse geben. Die Bereiche betreffen Abfragen von Daten bei den Telekommunikationsanbietern bis hin zur erleichterten Ausstellung von Meldeauflagen, also die Verpflichtung, sich innerhalb eines bestimmten Zeitraums zur Kontrolle bei der Polizei zu melden.

Auch bei der Telekommunikationsüberwachung sind Erweiterungen geplant. Eine Befugnis zur Überwachung von Kommunikation mit Staatstrojanern, also Quellen-Telekommunikationsüberwachung oder Onlinedurchsuchung, ist nicht vorgesehen.

Keine zusätzliche Rechtssicherheit

Nahezu alle Sachverständige äußerten Kritik am Inhalt und an den Formulierungen im Gesetz. Etwa dass Situationen, in denen die Polizei eine Maßnahme ergreifen kann, zu unkonkret blieben. Die Gesetzgeberin habe entscheidende Gefahrensituationen nicht konkret genug definiert. Dies sei aus Sicht des angehörten Juristen Felix Ruppert von der Ludwig-Maximilians-Universität Münchenaber wichtig. Beamt:innen könnten sonst den Anwendungsbereich von besonders eingriffsintensiven Maßnahmen ausdehnen.

Dieses Problem betreffe unter anderem die Regelungen zur Erhebung von Verkehrs- und Nutzungsdaten und zur Telekommunikationsüberwachung. Bei ersterem kann die Polizeibehörde bei Telekommunikationsanbietern und Netzwerkbetreibern beispielsweise abfragen, wer wann an einem Anrufbeteiligt ist oder war.

Der Entwurf des Bundespolizeigesetzes würde solche Abfragen zur Abwehr einer dringenden Gefahr erlauben, ohne Wissen der Betroffenen. Genauso verhält es sich auch mit dem neuen Paragrafen zur Überwachung der Telekommunikation. Das würde bedeuten, dass in Situationen eingegriffen werden könne, in denen üblicherweise noch kein Tatverdacht begründet ist, schreibt der Sachverständige Ruppert in seiner Stellungnahme.

In der Entwurfsbegründung zur Überwachung der Telekommunikation heißt es dazu, dass damit eine Erkenntnislücke geschlossen werden solle. Vorgesehen sei die Überwachung von weiteren Beteiligten, die eine im Vergleich dazu strengere Regelung aus der Strafprozessordnung noch nicht zulasse.

Die Definition aus dem Entwurf regele dagegen nicht konkret genug, wann eine dringende Gefahr vorliege, kritisiert Ruppert. Gefahrensituationen werden daran festgemacht, ob „bedeutende Rechtsgüter wie Leben, Gesundheit und Freiheit“ oder „wesentliche Vermögenswerte“ gefährdet sind oder es wahrscheinlich ist, dass sie gefährdet werden.

Auf verfassungsrechtlich dünnem Eis

Dass neue Bundespolizeigesetz soll nicht nur die alte Rechtsgrundlage modernisieren, es soll auch verfassungsrechtliche Bedenken aus dem Weg schaffen. Hintergrund ist, dass das Bundesverfassungsgericht im April 2016 Teile des Bundeskriminalamtsgesetzes (BKA-Gesetz) für verfassungswidrig erklärte.

Die Richter:innen haben in ihrem Urteil neue Anforderungen an die Durchführung von besonders eingriffsintensiven Überwachungsmaßnahmen aufgestellt, die sich so auch im Bundespolizeigesetz wiederfänden. Auf sie seien die verfassungsrechtlichen Entscheidungen des Bundesverfassungsgerichtes anzuwenden. Das gelingt nach Ansicht des Sachverständigen Ruppert aber nicht vollständig.

Manche Anforderungen an eingriffsintensive Maßnahmen der Telekommunikationsüberwachung seien sogar herabgesetzt worden. In sämtlichen Normen brauche es keine konkrete Gefahr mehr, sondern nur noch eine „unbestimmte drohende Gefahr“. Der vorliegende Gesetzentwurf begebe sich so auf „verfassungsrechtlich bestenfalls dünnes Eis“.

Nach negativen bundes- und landesverfassungsrechtlichen Entscheidungen über ausgeweitete Überwachungsbefugnisse der Landespolizeien und des BKA hält Ruppert es für möglich, dass das Bundesverfassungsgericht auch das BPolG in ein paar Monaten für verfassungswidrig erklären könnte. Neben dem BKA-Gesetz wurden auch Überwachungsbefugnisse des mecklenburg-vorpommerschen Sicherheits- und Ordnungsgesetzes und einige sächsische Überwachungsbefugnisse für verfassungswidrig erklärt.

Nicht alles, was technisch möglich ist, ist rechtlich geboten

Immerhin: Außerhalb der Strafprozessordnung und des BKA-Gesetzes wird es vorerst keine weitere nationale Rechtsgrundlage für den Einsatz der Quellen-Telekommunikationsüberwachung, der Online-Durchsuchung und der Wohnraumüberwachung im BPolG geben.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßte diese Entscheidung. Einmal geschaffene Überwachungsbefugnisse würden im Regelfall nicht mehr zurückgenommen, sondern eher noch ausgeweitet.

Polizeivertreter:innen, die im Ausschuss ebenfalls als Sachverständige sprachen, haben das Gesetz ebenfalls kritisiert. Sie sprachen sich jedoch grundsätzlich für mehr Befugnisse aus, etwa für automatisierte Gesichtserkennung an Bahnhöfen und Flughäfen. Außerdem äußerten sie den Wunsch nach einer gesetzlichen Regelung für den Einsatz von Gummigeschossen, von Tasern und dem sogenannten finalen Rettungsschuss.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Internet-Diensten, die besonders sicher sind, könnte schnell eine Anordnung zur Chatkontrolle blühen. Das geht aus Vorschlägen der belgischen Ratspräsidentschaft hervor, die wir veröffentlichen. Verschlüsselung und Anonymität werden darin zum Risiko für Straftaten erklärt.

Wer nicht identifiziert ist, wird kontrolliert. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Thales Antonio

Während die EU-Staaten sich weiterhin über die Chatkontrolle streiten, versucht die belgische Ratspräsidentschaft weiter an Details zur geplanten EU-Verordnung zu arbeiten. So sandte sie in den letzten Wochen Vorschläge zu einer Risikoeinstufung für Online-Dienste an die Ratsarbeitsgruppe Strafverfolgung, in der die EU-Mitgliedstaaten zum Thema verhandeln. Wir veröffentlichen die beiden aufeinander aufbauenden Vorschläge aus dem März und dem April.

Bei der Chatkontrolle, wie sie die EU-Kommission vor etwa zwei Jahren vorgeschlagen hat, sollen Anbieter von Kommunikations- und Hostingdiensten auf Anordnung die Inhalte ihrer Nutzenden scannen, um Hinweise auf sexualisierte Gewalt gegen Kinder oder Anbahnungsversuche von Erwachsenen an Minderjährige zu suchen. Ob ein Diensteanbieter eine solche Anordnung bekommt, soll wesentlich vom Risiko abhängen, das von dem entsprechenden Dienst ausgeht.

Das Risiko entscheidet

Doch wie soll dieses Risiko bestimmt werden?

In einem frühen Entwurf der Einstufungskriterien wurde deutlich, dass die belgische Ratspräsidentschaft es als besonderes Risiko einstuft, wenn Dienste verschlüsselte Kommunikation oder eine anonyme Nutzung ermöglichen. Dieser Tenor bleibt in den Folgeversionen des Entwurfs bestehen. In einer Fußnote heißt es dazu:

In dieser Rangliste sind Aktivitäten mit direkter Echtzeitkommunikation (Livestreaming, Messaging) aufgrund ihrer unmittelbaren und potenziell ungefilterten Natur am stärksten gefährdet. Verschlüsselte Nachrichten folgen dicht dahinter, aufgrund von Bedenken hinsichtlich der Privatsphäre und des Missbrauchspotenzials.

Neben dieser Einordnung gibt es jedoch noch weitere vorgeschlagene Kriterien. Darunter sind: Wie viele Menschen nutzen den Dienst? Ist er auch für Kinder zugänglich? Kann ein Hosting-Dienst Inhalte mit Strafverfolgungsbehörden teilen? Können Nutzende Inhalte speichern oder Screenshots erstellen? Hat ein Anbieter klare und leicht auffindbare Regeln und Funktionalitäten, wie er mit potenziellen Missbrauchsinhalten umgeht?

Wer nicht freiwillig scannt, ist ein Risiko

Unter den erwähnten Funktionalitäten sind auch explizit Technologien zum Scannen nach bekannten Missbrauchsdarstellungen erwähnt. Solche Technologien nutzen bereits Anbieter wie Meta. Sie gleichen etwa Bilder auf ihren Plattformen über Hashwerte mit Datenbanken ab, in denen bekannte Missbrauchsdarstellungen gesammelt sind. Das geschieht in der Regel bereits beim Upload eines Bildes, um seine weitere Verbreitung zu verhindern.

Sollte ein Anbieter eine solche Technologie nicht nutzen, gebe das „Anlass zu Bedenken, ob die Plattform in der Lage ist, die Verbreitung von schädlichem Material wirksam einzudämmen“. Das heißt: Wer nicht schon scannt, hat ein höheres Risiko. Und könnte zum Scannen gezwungen werden.

Einen konkreten und umsetzbaren Vorschlag, wie aus den vielen Einzelaspekten ein Gesamtrisiko ermittelt werden soll, gibt es noch nicht. Während sich manche der Kriterien durch Ja-Nein-Fragen einstufen lassen, befinden sich andere eher auf einem Spektrum von Möglichkeiten. Bedenken äußerten auch die Vertretungen der Mitgliedstaaten in einem Treffen der zugehörigen Ratsarbeitsgruppe sowie die EU-Kommission.

Vor den Details müssen grundlegendere Fragen geklärt werden

Während es in den Vorschlägen zur Risikobewertung bereits um konkrete Umsetzungsaspekte der EU-Verordnung geht, stecken die Verhandlungen an einer viel tieferen Stelle fest: Seit zwei Jahren können sich die Mitgliedstaaten nicht einigen.

Zentrale Fragen hierbei sind: Sollen Inhalte anlasslos und massenhaft gescannt werden, ohne dass es gegen die betroffenen Nutzenden je einen Verdacht gab? Soll das auch verschlüsselte Kommunikation und Inhalte betreffen und wie soll das technisch möglich sein, ohne Verschlüsselung zu brechen oder zu umgehen? Wie soll die Altersbestimmung der Nutzenden ablaufen?

Wie eine Einigung aussehen könnte und ob es dazu kommt, ist derzeit nicht absehbar. Die belgische Ratspräsidentschaft ist noch bis Juli am Zug, danach geht der Vorsitz an Ungarn über.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Videospielhersteller löschen öfter Spiele aus ihren Bibliotheken und von ihren Servern, wenn diese in die Jahre kommen. Bei Gamer*innen stößt das zunehmend auf Kritik. Sie fordern mit einer internationalen Initiative einen gesetzlichen Rahmen, der das Kulturgut Computerspiel schützt.

Löschen von Videospielen schadet der Kultur – Gemeinfrei-ähnlich freigegeben durch unsplash.com Lorenzo Herrera

Anfang März hat die Spielefirma Ubisoft das Spiel „The Crew“ aus ihrer Spiele-Mediathek entfernt. Die „Game-Launcher“ genannten Mediatheken dienen dazu, Spiele zu verwalten. Das bekannteste Beispiel ist Steam, aber die meisten Spielefirmen besitzen oft einen eigenen. Die meisten Spiele existieren heute nur noch digital in den Game-Launchern, da selbst in den Spiele-DVD-Boxen nur noch ein Code für dieses digitale Angebot enthalten ist. Kauft man sich also ein Spiel, ist es als digitaler Wert im Game-Launcher. Oft ist es auch so, dass die Spiele eine Internetverbindung nötig ist, damit sie auf einem Server laufen.

Das führt zu Abhängigkeiten: Verliert der für den Launcher Verantwortliche die Lizenz eines Spiels oder nimmt er das Spiel heraus, hat niemand mehr Zugriff auf dieses Spiel.

Das passierte unlängst bei „The Crew“. Das Autorennspiel, das auf einem Server läuft, damit man mit anderen zusammen Rennen fahren kann, ist in die Jahre gekommen. Bei Ubisoft gibt es zwei Nachfolger für das Spiel und vermutlich sind die Umsätze nicht mehr groß genug, was den Hersteller offenbar veranlasste, nicht länger die Kosten für den Server zu tragen. Dadurch verschwand das Spiel aus den Spielbibliotheken der immerhin noch bis zu zwölf Millionen Spieler*innen und ist auch im Launcher nicht mehr zu finden. Laut den Nutzungsregeln des Ubisoft-Launchers ist das auch so erlaubt.

Ubisoft löst Proteste aus

Viele der noch aktiven „The Crew“-Spieler*innen  waren damit überhaupt nicht einverstanden, da ihnen nicht einmal eine Entscheidung zum Verlust des digitalen Werts angeboten wurde. Ubisoft weigerte sich bei „The Crew“ auch, Alternativen zum Weiterbetrieb anzubieten. Als Reaktion auf das plötzliche Ende von „The Crew“ gründete sich „StopKillingGames“.

Die internationale Initiative setzt sich unter anderem dafür ein, dass Videospiele wie auch Musik, Fotos oder Literatur nach Ablauf einer bestimmten Frist gemeinfrei werden oder dass die Unternehmen für Spiele, die sich wirtschaftlich nicht mehr rentieren, den Code zur Verfügung stellen. Dann könnten Menschen, die das Spiel immer noch spielen wollen, die Chance bekommen, selbst Gaming-Server zu hosten. Grundsätzlich verweist die Initiative auch auf ältere Spiele, wo die Multiplayer-Server nicht in der Hand des Herstellers lagen und damit unabhängig von diesem sind.

„StopKillingGames“ stellt jetzt Petitionen im Vereinigten Königreich, Kanada und Australien. Auch für die Europäische Union ist eine geplant. Im Europaparlament haben sich die Piraten zu der Sache geäußert: Patrick Breyer, Abgeordneter im Europaparlament, hat eine offizielle Anfrage an die Kommission der Europäischen Union gestellt, ob das Löschen von Spielern überhaupt dem EU-Recht entspricht und welche Grenzen dabei für Spielehersteller gelten. In Australien gibt es sogar schon eine Gesetzesinitiative. Die Petition im Vereinigten Königreich kann man mittlerweile auf der Parlamentsseite finden.

Schutz digitaler Kulturen in Zukunft

Unklar ist aber, ob und wann das Thema in den verschiedenen Parlamenten besprochen wird. Mit großer Wahrscheinlichkeit wird es noch eine Weile dauern. Weil Gaming nicht an Ländergrenzen gebunden ist, spricht sich Stopkillinggames nun im Namen von vielen Gamer*innen für eine global geltende Regelung aus. Wichtig sei dabei auch, dass es eine für Videospiele geltende Regelung gibt, die nicht zu allgemein gehalten wird. Sonst könnten die Spielehersteller Lücken ausnutzen.

StopkillingGames zieht beim Schutz des Kulturgutes Computerspiel den Vergleich zu anderen Kulturgütern:

Das Konzept, jede vorhandene Kopie eines Buches, eines Liedes, eines Films etc. zu zerstören, würde als kultureller Verlust für die Gesellschaft angesehen werden. Obwohl es sich um ein weniger anerkanntes Medium handelt, verdienen Videospiele grundlegende Schutzmaßnahmen gegen die vollständige und willentliche Zerstörung vieler ihrer Werke.

Die Gründung von Initiativen wie „StopKillingGames“ zeigt, dass das Bewusstsein für dieses Thema wächst und die Forderung nach Lösungen lauter wird. Wann es zu einer Lösung kommt, weiß niemand. Viele Spiele werden bis dahin verloren gegangen sein.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Seit der Terrorserie des NSU gab es in Deutschland schon 50 weitere rechtsterroristische Bestrebungen und Taten. Diese hat die Nichtregierungsorganisation CeMAS nun in einer Datenbank verschlagwortet und kategorisiert.

Cover des Reports von CeMAS. – Alle Rechte vorbehalten CeMAS

Das Center für Monitoring, Analyse & Strategie (CeMAS) erfasst in einem neuen Projekt „Rechtsterrorismus seit dem NSU“ und zeigt dabei, wie sich der Rechtsterrorismus in Deutschland seit 2011 entwickelt hat.

Der NSU und die rechtsterroristischen Anschläge der letzten Jahre wie in Halle oder Hanau stünden exemplarisch für die gegenwärtige Entwicklung im deutschen Rechtsterrorismus, der seit 1945 immer wieder von strategischen Neuorientierungen und der Weiterentwicklung nationaler und internationaler Netzwerke geprägt sei, heißt es bei CeMAS über das Projekt.

Teil des Projektes ist eine Publikation (PDF), Kernstück jedoch eine neue Datenbank, in der CeMAS 50 rechtsterroristische Fälle systematisch erfasst und kategorisiert hat.

Die Datenbank nimmt dabei vor allem drei Strömungen in den Blick, die sich laut CeMAS in den letzten Jahren verstärkt herausgebildet hätten: „Einzeltäter“ aus dem Bereich des militanten Akzelerationismus, „Reichsbürger“ aus dem verschwörungsideologischen Souveränismus und „Bürgerwehren“ aus dem vigilantistischen Terrorismus.

In den erweiterten Daten gibt es zudem Hinweise darauf, wo die jeweiligen Gruppen und Aktionen aktiv waren, wie der Stand der Ermittlungen und Strafverfolgung ist und auf welche Ideologie sich die Rechtsterrorist:innen berufen. Die Daten sind mit interaktiven Grafiken versehen.

„Oft auf Halle und Hanau reduziert“

„Rechtsterrorismus in Deutschland wird oft auf die Fälle in Hanau und Halle reduziert“, sagt Miro Dittrich von CeMAS. „Unsere Datenbank zeigt jedoch, dass das Problem deutlich größer ist und die Gefahr von Anschlägen über die letzten Jahre zugenommen hat.“ Für Dittrich liegt das auch daran, dass die Ermittlungsbehörden „digitale Räume“ nicht ausreichend ernst nehmen würden.

CeMAS warnt auch vor zunehmend minderjährigen Tätern im Bereich des Rechtsterrorismus. Der größte Teil des Rechtsterrorismus gehe von Männern aus, Frauen seien eher in Vernetzung und Organisation wichtig.

Die Datenbank soll fortlaufend aktualisiert werden, um der Öffentlichkeit weitergehende Analysen zu ermöglichen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

A data broker is offering sensitive passport data of thousands of people for sale – and publishing some of it openly online. Our investigation leads to an airline as a possible source. Data protection authorities are alarmed.

– Public Domain DALL-E-4 („a plane and a personal ID, bauhaus style reduced minimalist geometric shape“); Bearbeitung: netzpolitik.org

The document lists more than 60 names and is publicly available on the site of a data broker. Most of those names are said to belong to German citizens. Their date of birth, passport number and expiration date is also listed. Such data is considered particularly sensitive because it can be used for identity theft. Selling and publishing it online is a disaster from a data protection perspective.

The list was uploaded to the site of a data broker in the EU, that allows others to buy or sell data. We are not naming the site here because the list is still online. The document listing more than 60 names is apparently a free sample. Interested parties can use such samples to get an impression of the data – before buying more of it. The data broker makes money from each sale: according to its own information, it keeps part of the sales price as a fee.

netzpolitik.org was able to identify several people on the list. They live in Bavaria or Lower Saxony and confirm that their data and ID numbers are genuine. Some were shocked to learn their data was public. One person tells us on the phone: „Data protection, you often hear about it. But it’s a different feeling when you see your own data openly on the Internet.“

ID data is one of the most sensitive forms of data, because people use it to prove their identity. That makes it particularly interesting for criminals. They use the stolen data for paid subscriptions or make purchases under a false name. According to a recent survey, one in ten Germans has already been affected by identity theft.

Data trader shrouds itself in silence

Our research into the exact origin of the sensitive data did not yield any clear results. The company behind the site did not respond to our inquiries via several channels. The offer page for the purchase of the data disappeared from the website after we contacted them. However, the document with the sample data is still online.

The company is registered in the EU and is also listed in the marketplace’s privacy policy. The two founders are active on LinkedIn. One of them runs his own podcast. Should they or other representatives of the company respond, we will amend the article.

There are indications that the ID data may have found its way onto the internet via airlines. An account with a name hinting at Wizz Air appeared as the seller. Wizz Air is the name of a Hungarian low-cost airline. However, people can also give their accounts misleading names on the platform. All you need to register is a working e-mail address. Wizz Air has not yet responded to our inquiries.

The trail leads to low-cost airlines

We contacted the account offering the data using a form on the site. We wanted to know where the data came from, how big the data collection was and how much it would cost.

A new name appeared in the chat that opened: Suddenly it no longer said Wizzair but a man’s name. However, the name is very common; an online search for a person with this name produced countless hits. Shortly after, the offer with the ID data had disappeared from the site, and the name of the provider in the chat was changed to: „aaaa bbbb“.

It is therefore possible that Wizz Air has nothing to do with the offer. None of the affected persons we contacted stated that they had flown with Wizz Air. However, at least four of those affected said they had traveled with another low-cost airline: Corendon.

Anyone searching for Wizz Air on the platform last week found another offer with the Corendon logo. Data from more than 20,000 passengers from other EU countries was allegedly offered for sale. But even in this case, the airline’s logo could have been uploaded by anyone. Corendon has not responded to our attempts to contact them.

Airline in trouble

Corendon is a Turkish low-cost airline based in Antalya. The airline has been flying to vacation destinations from Germany since 2005 and for a while was a sponsor of the soccer club 1. FC Nuremberg. In recent years, there have been reports of payment difficulties at Corendon.

When we created our own account on the data brokers’s platform as a test, we were able to name it freely. All we needed to register was an e-mail address. It is therefore possible that the names of Wizz Air and Corendon were used by an uninvolved person and that the airlines themselves have nothing to do with the data being offered.

Even if the origin of the ID data remains unclear, one thing is certain: the data is apparently genuine. And it was openly offered for sale by a data broker in the EU – including a free sample available online. Offering such sample data sets to potential customers is widespread in the industry, but they are usually protected with a password.

„Probably unlawful“

The incident is yet another example of the shady business of data traders. An opaque network of thousands of companies buys and sells personal data like normal goods. It is mainly used for advertising and consumer scoring, but secret services and criminals also make use of this data source. Where exactly people’s data ends up and what it is used for is not clear to anyone in this system, not even the retailers themselves.

Whether the industry’s business model can even be operated in accordance with the European Union’s data protection rules, called General Data Protection Regulation (GDPR), is controversial. If at all, then the sale of data is only possible with the consent of the data subjects. The requirements for valid consent are high. Does the described offer with the ID card data violate the law?

„The sale of such data records is probably unlawful,“ writes Elisabeth Niekrenz, a lawyer specializing in data protection, when asked for an assessment. In theory those responsible could have obtained consent for the sale of customer data to third parties. However, consent must be informed, voluntary, given for the specific use case and unambiguous. „Under no circumstances is a note in the small print sufficient,“ says the lawyer. „I doubt that data subjects will consent to the sale of such sensitive data if they are informed about the details.“

Data protection authorities are alarmed

We asked the supervisory authorities in Bavaria and Lower Saxony, among others, for their assessments, as we were able to identify people from both federal states in the sample data set. Both authorities emphasize that they can only comment in principle, not on the specific case.

The Bavarian State Office for Data Protection Supervision states: „In a constellation such as the one described – customer data is passed on to a data trader who in turn offers it for sale – we cannot recognize per se what could justify this.“

The supervisory authority from Lower Saxony, on the other hand, emphasizes that at least certain data can be passed on if the data subjects have given their consent. It is interesting to see whether the data broker has proof of such consent, it says. „If this is not the case, it would be reasonable to suspect that the data broker may have obtained the data in an inexplicable, possibly even unlawful manner.“

We also informed the supervisory authority in the EU country in which the data broker is based. They could not comment on the specific case because they are not allowed to comment publicly on „ongoing or potential proceedings“. According to the GDPR, failure to comply with consent requirements can result in penalties of up to four percent of annual turnover or 20 million euros.

„Legal use by third parties hardly conceivable“

Particularly strict rules apply to ID card and passport data. „Additional restrictions apply to ID card or passport numbers, so it is doubtful whether consent to the sale of such data would be effective at all,“ says lawyer Elisabeth Niekrenz. The law in question only provides for a few purposes for which the data from ID cards may be used at all. „Legal use of ID card or passport numbers and expiration dates by third parties is hardly conceivable,“ says the lawyer. „These details are most likely to be used for identity fraud.“

Viennese surveillance researcher Wolfie Christl agrees: „Passport numbers are highly sensitive data with a high potential for misuse for identity theft and other criminal purposes.“ Christl doubts that the companies involved had a legal basis for passing on and selling the data. He hopes that the supervisory authorities will quickly launch an investigation.

If the authorities were to start an investigation, the data broker would have to prove the lawful consent of the data subjects. When we asked, none of the people we found in the data set could remember having consented to the sale of their data. On the contrary, those affected reacted with surprise or even shock that we found their data openly online. Several of those affected said they plan to lodge a complaint with the relevant data protection authorities.

Data subjects are probably entitled to compensation

Companies face severe penalties in the event of a GDPR breach. If an airline has illegally sold such data, this also applies to them. However, it is conceivable that the data could have ended up in the hands of data brokers by other means, such as through a leak. Criminals could possibly have accessed the data though a hack or employees could have sold it.

As ID card data is so sensitive, Elisabeth Niekrenz says that not only the data protection authorities, but also those affected should have been informed in such a case. The lawyer points out that those affected are probably entitled to compensation – both from the data broker and the data source. The Bavarian State Office for Data Protection Supervision also emphasizes that those affected could sue the companies for damages.

Anyone who finds their own ID data online – or has the impression that other personal data has been processed without consent – can lodge a complaint with a data protection authority. For German citizens the first place to contact is the data protection authority in their own federal state.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Polizei in Deutschland nutzt Staatstrojaner immer öfter. Im Jahr 2022 durfte sie 109 mal Geräte hacken und ausspionieren, 56 mal war sie damit erfolgreich. Das sind doppelt so viele Einsätze wie im Vorjahr. Das geht aus der offiziellen Justizstatistik hervor. Anlass sind wie immer vor allem Drogendelikte.

Trotz Legalisierung Hauptgrund für Staatstrojaner: Drogen. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Bihlmayerfotografie

Im Jahr 2022 durften Polizei und Ermittlungsbehörden in Deutschland 109 mal IT-Geräte mit Staatstrojanern hacken und haben es 56 mal getan, wie das Bundesjustizamt heute mitteilt. Das sind fast doppelt so viele Einsätze wie im Vorjahr. Das Bundesjustizamt veröffentlicht jedes Jahr Statistiken zur Telekommunikationsüberwachung, die wir regelmäßig aufbereiten.

Anlass für den Einsatz von Staatstrojanern waren wie immer vor allem Drogen, so das Justizamt in der Pressemitteilung: „Wie in den vergangenen Jahren, begründete vor allem der Verdacht einer Straftat nach dem Betäubungsmittelgesetz die Überwachungsmaßnahmen.“

49 kleine und sieben große Trojaner

Laut den offiziellen Angaben ergingen 94 Anordnungen, den kleinen Staatstrojaner „Quellen-Telekommunikationsüberwachung“ einzusetzen, um laufende Kommunikation abzuhören. Davon wurden „49 tatsächlich durchgeführt“.

Spitzenreiter ist die Nordrhein-Westfalen, dort haben Ermittler 22 Mal gehackt. Danach folgt Niedersachen, dort kamen Staatstrojaner in sechs Verfahren zum Einsatz. Berlin, Hessen und Mecklenburg-Vorpommern haben je viermal Geräte infiziert. Der Generalbundesanwalt hackte in drei Verfahren. Sachsen und Sachsen-Anhalt haben je zweimal Staatstrojaner genutzt, Hamburg und Baden-Württemberg je einmal. Damit hackt mittlerweile die Mehrzahl der Bundesländer.

Der große Staatstrojaner „Online-Durchsuchung“ wurde 15 mal angeordnet, um alle Daten auf dem gehackten Gerät auszuleiten. Sieben mal wurde der Einsatz „tatsächlich durchgeführt“.

Der Generalbundesanwalt hat sechs Anordnungen bekommen, aber nur ein mal gehackt, wegen krimineller oder terroristischer Vereinigungen. Das könnten Rechtsterroristen wie die Patriotische Union sein, oder auch die Klimaaktivist:innen der Letzten Generation.

Hessen hat einmal gehackt, wegen Straftaten gegen die persönliche Freiheit. Rheinland-Pfalz hat einmal gehackt, wegen Drogen und Umgehung von Sanktionen. Sachsen hat wollte viermal wegen Drogen hacken, war aber nur einmal erfolgreich.

Trojaner für und gegen innere Sicherheit

Politisch werden Staatstrojaner meist mit Terrorismus, Mord und Totschlag oder Straftaten gegen die sexuelle Selbstbestimmung begründet. Spitzenreiter sind jedoch auch weiterhin Drogendelikte. Damit verhindert der Staat, dass Sicherheitslücken geschlossen werden, um ein paar Drogen-Dealer zu bekämpfen.

Die Polizeibehörden besitzen mehrere Staatstrojaner, die sie einsetzen können. Das BKA hat selbst einen Trojaner „Remote Communication Interception Software“ (RCIS) programmiert. Seit 2013 hat das BKA den Trojaner FinSpy von FinFisher. Seit 2019 hat und nutzt das BKA auch Pegasus von NSO. Welche weiteren Trojaner Polizei und Geheimdienste besitzen, will die Ampel-Regierung nicht öffentlich sagen.

Erst seit vier Jahren gibt es offizielle Statistiken, wie oft die deutsche Polizei Staatstrojaner einsetzt. Seitdem steigen die Zahlen Jahr für Jahr.

Die Ampel-Regierung hat im Koalitionsvertrag vereinbart, die Eingriffsschwellen für Staatstrojaner hochzusetzen. Justizminister Buschmann hat kürzlich einen Gesetzentwurf vorgelegt, mit dem die Polizei Staatstrojaner etwas seltener nutzen dürfen soll. Ob und wie das Gesetz tatsächlich verabschiedet wird, ist derzeit noch nicht abzusehen – SPD-Innenministerin Faeser blockiert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die USA setzen TikTok ein Ultimatum: Entweder trennt sich der chinesische Mutterkonzern Bytedance von der App oder sie wird in den Vereinigten Staaten verboten. Kritiker:innen fürchten, der Fall könnte nun auch andere Staaten zu mehr Internet-Zensur verleiten.

US-Präsident Joe Biden hat heute das Nationale Sicherheitspaket unterzeichnet, das auch Bestimmungen zu TikTok enthält – Alle Rechte vorbehalten IMAGO / ZUMA Wire

Der Druck hat ein neues Hoch erreicht. Am Dienstagabend hat der US-Senat – die zweite Kammer des Kongresses – einen Gesetzentwurf aus dem Repräsentantenhaus gebilligt. Demnach muss sich die TikTok-Mutterfirma ByteDance entweder von der App trennen oder sie wird in den Vereinigten Staaten verboten.

Das Gesetz hat US-Präsident Joe Biden heute unterzeichnet. Damit beginnt für TikTok das Ultimatum: Innerhalb von neun Monaten muss ByteDance einen Käufer für seine Video-App finden, um maximal drei Monate kann Biden die Frist verlängern. Gelingt der Verkauf nicht, müsste die App aus den US-amerikanischen Stores von Apple und Google verschwinden.

Damit soll die Bedrohung eingehegt werden, als die TikTok in den USA inzwischen parteiübergreifend wahrgenommen wird. Ob die drastische Maßnahme am Ende aber zum erwünschten Erfolg führt, ist fraglich. TikTok hat bereits angekündigt, vor Gericht gegen das Gesetz vorzugehen. Und auch zahlreiche Bürgerrechtsorganisationen sehen das Vorhaben kritisch. Eine derart beliebte App zu verbieten, das wäre ein tiefer Eingriff in die Meinungsfreiheit und die ist in den USA in die Verfassung eingemeißelt.

Zwangsverkauf für „mehr Sicherheit“

Es ist nicht der erste Versuch, TikTok in den Vereinigten Staaten unter Druck zu setzen. Schon Donald Trump hatte im Jahr 2020 versucht, erst einen Verkauf zu erzwingen, dann die App verbieten zu lassen. Beides scheiterte an Gerichten.

Nun soll ein Zwangsverkauf von TikTok die US-Amerikaner:innen schützen. „Protecting Americans from Foreign Adversary Controlled Applications Act“, lautet der sperrige Titel, zu Deutsch: „Gesetz zum Schutz der Amerikaner vor von ausländischen Gegnern kontrollierten Anwendungen“.

Vor allem zwei Szenarien sorgen dafür, dass TikTok in der Wahrnehmung der US-Gesetzgeber:innen als Gefahr gilt. Sie fürchten zum einen, die chinesische Regierung könne via TikTok massenweise die Daten US-amerikanischer Bürger:innen in die Hände bekommen. Zum anderen geht es um drohende politische Einflussnahme. TikTok gibt an, mehr als 170 Millionen Nutzer:innen in den USA zu haben. Was sie in der App zu sehen bekommen, wird von TikToks Algorithmen bestimmt.

Die hinter dem Gesetz stehende Frage fasste Bidens Sicherheitsberater Jake Sullivan kürzlich so zusammen: „Wollen wir, dass TikTok als Plattform im Besitz eines amerikanischen Unternehmens ist – oder China gehört?“

Sorgen berechtigt, Lösungsansatz fraglich

Das Hauptquartier von ByteDance ist in Beijing, registriert ist das Unternehmen jedoch auf den Cayman Islands. Das Unternehmen behauptet, nicht unter dem Einfluss der chinesischen Regierung zu stehen. Entgegen aller Beteuerungen war es aber offenbar nach wie vor möglich, auch von China aus auf Nutzer:innen-Daten zuzugreifen.

Die Sorgen, dass die Daten auch bei chinesischen Behörden landen könnten, sind also durchaus berechtigt. Die Frage ist nur: Eignet sich der Ansatz „Verkauf oder Verbot“, um die erklärten Ziele zu erreichen?

Denn während die Entscheidung über einen Zwangsverkauf getroffen wird, erlaubt die Gesetzeslage in den USA weiterhin einen kaum regulierten Handel mit Nutzer:innen-Daten. Darauf weisen Bürgerrechtsorganisationen wie die Electronic Frontier Foundation (EFF) schon lange hin. Demnach brauche die Kommunistische Partei Chinas TikTok nicht, um an Daten zu gelangen. Stattdessen könne sie etwa Bewegungsprofile von US-Bürger:innen völlig legal bei Datenhändlern einkaufen.

Statt derart massiv gegen TikTok vorzugehen, sei es sinnvoller, „die Art und Weise einzuschränken, wie alle Unternehmen hier personenbezogene Daten sammeln“, schreibt die EFF. „Dies würde die Menge der Daten reduzieren, die ein Angreifer erhalten könnte.“

Politische Einflussnahme nicht nur auf TikTok

Wenn es hingegen darum geht, politische Einflussnahme zu unterbinden, dann stellt sich die Frage: Warum vor allem auf TikTok? Denn erstens ist TikTok bei weitem nicht die einzige Plattform, auf der das geschieht, und zweitens China nicht der einzige Staat, der im Fokus stehen sollte. Wie massiv etwa die russische Regierung Facebook und Twitter genutzt hat, um die US-Wahlen 2016 zu beeinflussen, ist gut dokumentiert.

Um diese Probleme zu bekämpfen, könnte die US-Regierung Regeln erlassen – etwa wie Plattformen mit Propaganda und Desinformation umgehen sollen, wie sie Inhalte moderieren und solche Risiken für demokratische Prozesse zu mindern gedenken.

Genau das hat die EU erst jüngst mit einem umfangreichen Gesetz getan, das vor allem großen Plattformen viele Vorgaben macht: das Digitale-Dienste-Gesetz. Auch TikTok fällt darunter, weil die App eine kritische Zahl an Nutzer:innen in der EU überschreitet. Entscheidend aber ist, dass daneben auch Amazon, Instagram und Snapchat im Fokus der EU stehen.

Geopolitischer Schlagabtausch

Mit einer Internetregulierung, wie es sie in der EU gibt, hat das Vorhaben der USA jedoch nur wenig gemein. Das nun verabschiedete Gesetz will nicht Unternehmen oder ihre Plattformen regulieren. Es schreibt keine Regeln vor, wie sie etwa Inhalte moderieren oder Werbung überprüfen sollen. Stattdessen will es einen geopolitischen Schlagabtausch über das Internet austragen. Und dazu eine der beliebtesten Plattformen der USA aus dem Land drängen.

„Wir sind zutiefst enttäuscht, dass unsere Politiker wieder einmal versuchen, unsere Rechte aus dem ersten Verfassungszusatz gegen billige politische Punkte in einem Wahljahr einzutauschen“, sagt daher Jenna Leventoff, Senior Policy Counsel bei der American Civil Liberties Union (ACLU). Und Patrick Toomey, stellvertretender Direktor des National Security Project bei der ACLU, befürchtet, dass das Gesetz nicht zuletzt China in die Hände spielen wird.

Vor allem aber kritisieren die Bürgerrechtsorganisationen, dass der Kongress im Kampf gegen TikTok bereitwillig jenes Ziel opfere, dem sich die USA eigentlich seit Jahrzehnten verschrieben haben: ein offenes Internet, in dem keine Regierung darüber entscheidet, welche Seiten und Informationen frei zugänglich sind.

US-Gesetz droht weltweit Schule zu machen

Nun aber könnten Staaten weltweit das US-Gesetz dankbar zum Anlass nehmen, um eigene Restriktionen zu verstärken.

„Es würde definitiv nicht ihre eigenen Argumente zur Förderung eines freien und sicheren, stabilen und interoperablen Internets stärken“, sagt Juan Carlos Lara, Geschäftsführer von Derechos Digitales, einer lateinamerikanischen Gruppe für digitale Rechte mit Sitz in Chile.

In Venezuela und Nicaragua übten die jeweiligen Regierungen schon jetzt erheblichen Einfluss auf das Internet aus. Ein US-Gesetz, das sich gezielt gegen TikTok richte, könnte diese Kontrollbestrebungen noch verstärken. Es sei eine „verlockende Idee“, die „wirklich Gefahr läuft, sich zu verwirklichen, wenn so etwas in Ländern wie den USA gesehen wird“, so Lara gegenüber der New York Times.

Der russische Blogger Aleksandr Grobunov befürchtet, dass auch Russland nun seine Zensur ausweiten und etwa YouTube verbieten könnte: „Ich glaube nicht, dass das Offensichtliche laut gesagt werden muss: nämlich dass Russland, wenn es YouTube sperrt, dies mit genau dieser Entscheidung der Vereinigten Staaten begründen wird“, so Gorbunov.

Mishi Choudhary, Anwältin und Gründerin des in Neu-Delhi ansässigen Software Freedom Law Center, sorgt sich ebenfalls, dass die indische Regierung ein US-Verbot zur Rechtfertigung weiterer Zensur und Razzien nutzen könnte. In Indien ist TikTok bereits seit dem Jahr 2020 verboten. Das US-Gesetz helfe der Modi-Regierung, ihr bisheriges Handeln zu rechtfertigen. „Und es ermutigt sie auch, in Zukunft ähnlich zu handeln“, sagt Choudhary.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ein Datenhändler bietet Ausweisdaten von tausenden Menschen zum Verkauf und veröffentlicht einen Teil davon ungeschützt im Netz. Unsere Recherchen führen zu einer Billigflug-Linie als mögliche Quelle. Datenschutzbehörden sind alarmiert.

– Public Domain DALL-E-4 („a plane and a personal ID, bauhaus style reduced minimalist geometric shape“); Bearbeitung: netzpolitik.org

Mehr als 60 Namen stehen auf der Liste, die öffentlich im Netz verfügbar ist. Die meisten davon sollen zu Deutschen gehören. Daneben jeweils: das Geburtsdatum sowie die Nummer und das Ablaufdatum von Pass oder Personalausweis. Solche Daten gelten als besonders sensibel, weil sie sich für Identitätsdiebstahl einsetzen lassen. Sie zu verkaufen und online zu veröffentlichen, wo alle darauf zugreifen können, ist aus Sicht des Datenschutzes eine Katastrophe.

Hochgeladen wurde die Liste auf dem Portal eines Datenhändlers in der EU. Wir nennen Namen und Standort des Unternehmens hier nicht, weil die Liste nach wie vor ungeschützt im Netz steht. Es ist ein Marktplatz, mit dessen Hilfe andere Daten kaufen oder verkaufen können. Das Dokument mit den mehr als 60 Namen ist offenbar eine Art Gratis-Probe. Mit solchen Proben können sich Interessierte einen Eindruck von den Daten verschaffen – bevor sie mehr davon kaufen. Der Datenhändler verdient an jedem solchen Verkauf mit: einen Teil des Verkaufspreises behält er nach eigenen Angaben als Gebühr.

netzpolitik.org konnte mehrere Personen auf der Liste ausfindig machen. Sie leben etwa in Bayern oder Niedersachsen und bestätigen, dass ihre Daten und Ausweisnummern echt sind. Einige reagieren auf unsere Anfrage geschockt. Am Telefon sagt uns eine Betroffene: „Datenschutz, man hört schon öfter davon. Aber wenn man mal die eigenen Daten offen im Internet vor sich sieht, dann ist das ein anderes Gefühl.“

Ausweisdaten gehören zu den sensibelsten überhaupt, weil Menschen damit ihre Identität nachweisen. Interessant sind sie besonders für Kriminelle: Sie nutzen die erbeuteten Daten, um unter falschem Namen etwa kostenpflichtige Abos abzuschließen oder einzukaufen. Einer aktuellen Umfrage zufolge ist jede:r Zehnte Deutsche schon mal von Identitätsdiebstahl betroffen gewesen.

Datenhändler hüllt sich in Schweigen

Unsere Recherchen über die genaue Herkunft der sensiblen Daten kamen zu keinem eindeutigen Ergebnis. Das Unternehmen hinter der Plattform hat auf unsere über mehrere Wege gestellten Anfragen tagelang nicht reagiert. Die Angebotsseite für den Kauf der Daten ist zwar von der Website verschwunden, nachdem wir uns gemeldet haben. Das Dokument mit den Probedaten steht jedoch bis heute online.

Hinter der Plattform steht ein in der EU registriertes Unternehmen, das auch in der Datenschutzerklärung des Marktplatzes verzeichnet ist. Die beiden Gründer sind auch an anderen Stellen im Netz aktiv, etwa auf LinkedIn. Einer von ihnen betreibt einen eigenen Podcast. Falls wir von ihnen oder anderen Vertreter:innen des Unternehmens eine Antwort erhalten, werden wir den Artikel ergänzen.

Es gibt Hinweise, dass die Ausweisdaten über Fluggesellschaften ihren Weg ins Internet gefunden haben könnten. Als Verkäufer trat etwa ein Account mit dem Namen „Wizzair airlines“ auf. Wizz Air ist der Name einer ungarischen Billigflug-Gesellschaft. Allerdings können Menschen auf der Plattform ihren Accounts auch irreführende Namen geben. Lediglich eine funktionierende E-Mail-Adresse braucht man, um sich dort anzumelden. Auf unsere Anfragen hat Wizz Air bisher nicht reagiert.

Die Spur führt zu Billigfliegern

Man kann die Händler auf der Plattform direkt anschreiben, etwa um Fragen zu den Daten zu stellen. Das haben wir getan und den Account über ein Formular auf der Seite kontaktiert. Wir wollten etwa wissen, woher die Daten stammen, wie groß die Datensammlung ist und wie viel sie kosten soll.

Im Chat, der sich daraufhin öffnete, tauchte ein neuer Name auf: Plötzlich stand dort nicht mehr „Wizzair airlines“ sondern ein Männername. Der Name ist allerdings sehr häufig; eine Online-Suche nach einer Person mit diesem Namen ergab zahllose Treffer. Kurze Zeit später war das Angebot mit den Ausweisdaten von der Seite verschwunden, und der Name des Anbieters im Chat lautete nur noch: „aaaa bbbb“.

Es ist also möglich, dass Wizz Air nichts mit dem Angebot zu tun hat. Keine der von uns kontaktierten betroffenen Personen gab an, mit Wizz Air geflogen zu sein. Mindestens vier betroffene Personen sind nach eigenen Angaben jedoch mit einer anderen Billigflug-Linie gereist, und zwar der türkischen Linie Corendon.

Wer vergangene Woche auf der Plattform nach Wizz Air suchte, fand dort ein weiteres Angebot mit dem Logo von Corendon. Daten von mehr als 20.000 Passagier:innen aus anderen Ländern der EU stünden demnach zum Verkauf. Doch auch in diesem Fall gilt: Das Logo der Fluglinie hätte von einer beliebigen Person bei dem Datenhändler hochgeladen worden sein können. Corendon hat auf unsere Kontaktversuche bisher nicht reagiert. Wir werden die Antwort ergänzen, wenn wir eine erhalten.

Fluglinie in Schwierigkeiten

Corendon ist eine türkische Billigflug-Gesellschaft mit Sitz in Antalya. Die Linie fliegt seit 2005 Urlaubsziele auch von Deutschland aus an und war etwa Sponsor des 1. FC Nürnberg. In den vergangenen Jahren gab es Berichte über Zahlungsschwierigkeiten bei Corendon.

Als wir testweise einen eigenen Account auf der Plattform des Datenhändlers anlegten, konnten wir ihn frei benennen. Zur Anmeldung brauchten wir lediglich eine E-Mail-Adresse. Es kann also sein, dass die Namen der Fluglinien Wizz Air und Corendon von einer unbeteiligten Person verwendet wurden und dass die Fluglinien selbst nichts mit dem Angebot der Daten zu tun haben.

Auch wenn die Herkunft der Ausweisdaten weiterhin unklar ist, steht eines fest: Die Daten sind offenbar echt. Und sie wurden von einem Datenbroker in der EU offen zum Verkauf angeboten – inklusive einer frei im Netz verfügbaren Gratis-Probe. Potenziellen Kund:innen solche Sample-Datensätze anzubieten, ist in der Branche weit verbreitet, doch üblicherweise werden sie mit einem Passwort geschützt.

„Wahrscheinlich rechtswidrig“

Der Vorfall ist ein weiterer Einblick in das zwielichtige Geschäft von Datenhändlern. Ein undurchsichtiges Netzwerk aus tausenden Firmen kauft und verkauft personenbezogene Daten wie ganz normale Waren. Genutzt werden sie hauptsächlich für Werbung und das Scoring von Verbraucher:innen, doch auch Geheimdienste und Kriminelle bedienen sich der praktischen Datenquelle. Wo genau die Daten von Menschen landen und wofür sie eingesetzt werden, kann in diesem System niemand überblicken, auch nicht die Händler selbst.

Ob das Geschäftsmodell der Branche überhaupt in Einklang mit der Datenschutzgrundverordnung betrieben werden kann, ist umstritten. Falls überhaupt, dann ist der Verkauf von Daten nur mit der Einwilligung der Betroffenen möglich. Die Anforderungen an gültige Einwilligungen sind hoch. Verstößt das beschriebene Angebot mit den Ausweisdaten also gegen Gesetze?

„Der Verkauf solcher Datensätze ist wahrscheinlich rechtswidrig“, schreibt uns die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz, die wir um eine Einschätzung gebeten haben. Zwar sei theoretisch denkbar, dass die Verantwortlichen Einwilligungen in den Verkauf der Kundendaten an Dritte eingeholt hätten. Allerdings müsse die Einwilligung informiert, freiwillig, für den bestimmten Fall und unmissverständlich abgegeben werden. „Dazu reicht auf keinen Fall ein Hinweis im Kleingedruckten“, so die Juristin von der Kanzlei Spirit Legal. „Ich bezweifle, dass Betroffene in den Verkauf derart sensibler Daten einwilligen, wenn sie über die Details informiert werden.“

Datenschutzbehörden sind alarmiert

Wir haben unter auch anderem die Aufsichtsbehörden in Bayern und Niedersachsen nach ihren Einschätzungen gefragt, weil wir Betroffene aus beiden Bundesländern im Probedatensatz identifizieren konnten. Beide Behörden betonen, dass sie sich ohne Prüfung nur grundsätzlich äußern können, nicht zum konkreten Fall.

Das Bayerische Landesamt für Datenschutzaufsicht teilt mit: „In einer Konstellation, wie der geschilderten – Kundendaten werden an einen Datenhändler weitergegeben, der diese wiederum zum Verkauf anbietet – können wir per se nicht erkennen, wodurch diese gerechtfertigt sein kann.“

Die Aufsichtsbehörde aus Niedersachsen wiederum betont, zumindest bestimmte Daten könnten weitergegeben werden, wenn die Betroffenen eingewilligt haben. Interessant sei, ob der Datenhändler über Nachweise für solche Einwilligungen verfügt. „Sollte das nicht der Fall sein, läge der Verdacht nahe, dass der Datenhändler die Daten auf unerklärliche, gegebenenfalls sogar auf unrechtmäßige Weise erlangt haben könnte.“

Wir haben auch die Aufsichtsbehörde in dem EU-Land informiert, in dem der Datenhändler seinen Sitz hat. Diese bedankte sich für den Hinweis, könne sich aber zu dem konkreten Fall nicht äußern, weil man „zu laufenden oder potenziellen Verfahren“ nicht öffentlich Stellung nehmen dürfe. Die Missachtung von Anforderungen an die Einwilligung können laut DSGVO Strafen von bis zu vier Prozent des jährlichen Umsatzes oder 20 Millionen Euro nach sich ziehen.

„Legale Verwendung durch Dritte kaum denkbar“

Für Ausweis- und Passdaten gelten zudem besonders strenge Regeln. „Mit Blick auf die Personalausweis- oder Reisepassnummern gelten zusätzliche Beschränkungen, sodass zweifelhaft ist, ob eine Einwilligung in den Verkauf solcher Daten überhaupt wirksam wäre“, sagt Rechtsanwältin Elisabeth Niekrenz. Das Personalausweisgesetz sehe nur wenige Zwecke vor, zu denen die Daten aus Personalausweisen überhaupt genutzt werden dürfen. „Legale Verwendungen der Personalausweis- oder Passnummern und Ablaufdaten durch Dritte sind kaum denkbar“, so die Juristin. „Am ehesten lassen sich diese Angaben zu Identitätsmissbräuchen nutzen.“

Das sieht auch der Wiener Überwachungsforscher Wolfie Christl so: „Reisepassnummern sind höchst sensible Daten mit hohem Missbrauchspotenzial für Identitätsdiebstahl und andere kriminelle Zwecke.“ Christl bezweifelt, dass die beteiligten Firmen eine Rechtsgrundlage für Weitergabe und Verkauf hatten. Er hofft, dass die die Datenschutz-Aufsichtsbehörden schnell eine Untersuchung einleiten.

Sollten die Behörden Ermittlungen aufnehmen, müsste der Datenhändler die rechtmäßigen Einwilligungen der Betroffenen nachweisen. Auf unsere Nachfragen kann sich keine der Personen, die wir im Datensatz gefunden haben, daran erinnern, in den Verkauf ihrer Daten eingewilligt zu haben. Im Gegenteil reagierten die Betroffenen überrascht bis geschockt, dass wir ihre Daten offen im Netz fanden. Mehrere Betroffene haben bereits angekündigt, Beschwerde bei ihren zuständigen Datenschutzbehörden einlegen zu wollen.

Betroffene haben vermutlich Anspruch auf Schadenersatz

Bei einem DSGVO-Verstoß drohen Unternehmen empfindliche Strafen. Sollte etwa eine Fluggesellschaft solche Daten selbst widerrechtlich verkauft haben, gilt das auch für sie. Denkbar wäre aber auch, dass die Daten auf anderem Wege – etwa durch ein Leck – in die Hände von Datenhändler:innen gelangt sind. Kriminelle könnten möglicherweise die Daten erbeutet oder Angestellte sie verkauft haben.

Da Ausweisdaten so sensibel sind, hätten in so einem Fall nicht nur die Datenschutzbehörden, sondern auch die Betroffenen informiert werden müssen, sagt Elisabeth Niekrenz. Die Anwältin weist darauf hin, dass Betroffene vermutlich Anspruch auf Schadenersatz haben – sowohl gegenüber dem Datenhändler als auch gegenüber der Datenquelle. Auch das Bayerische Landesamt für Datenschutzaufsicht betont, dass die Betroffenen die Firmen auf Schadenersatz verklagen könnten.

Wer seine eigenen Ausweisdaten im Netz findet – oder den Eindruck hat, dass andere personenbezogene Daten ohne Einwilligung verarbeitet wurden – kann sich bei einer Datenschutzbehörde beschweren. Erste Anlaufstelle ist jeweils die Datenschutzbehörde des eigenen Bundeslandes.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bewaffnete Konflikte, Geschlechterungerechtigkeiten und die Auswirkungen von Krisen auf marginalisierte Gruppen kritisiert Amnesty in seinem diesjährigen Bericht. Außerdem im Fokus: die Gefahren, die neue Technologien mit sich bringen.

Die Amnesty-Generalsekretärin Agnès Callamard erinnert an Back To The Future: Eine Welt, die universelle Menschenrechte hinter sich lässt, während sie von unregulierter Technologie überholt wird. – CC-BY-SA 2.0 Ministerie van Buitenlandse Zaken

Amnesty International veröffentlichte heute seinen Bericht für das Jahr 2023 über die Lage der Menschenrechte weltweit. Darin hebt die Nichtregierungsorganisation auch zunehmende Bedrohungen durch neue und bestehende Technologien hervor. Zentrale Themen sind der Einsatz Künstlicher Intelligenz (KI), der anhaltende Handel mit Spionagesoftware sowie die Machenschaften der großen Tech-Unternehmen.

Wichtige Anliegen sind der Menschenrechtsorganisation auch die Rechte auf Privatsphäre und freie Meinungsäußerung. Durch den Bericht wird deutlich: In beunruhigend vielen Teilen der Welt hat es im vergangenen Jahr Angriffe auf diese Grundrechte gegeben. Die Gesetzeslage hat sich vielerorts verschlechtert, nur in wenigen Bereichen gab es Fortschritte.

Verfügbar ist der Bericht in mehr als 40 Sprachen. Die Analysen über die 155 untersuchten Länder können auf der Website auch einzeln abgerufen werden.

KI verschärft Ungleichheiten

Spätestens die Einführung des Chatbots ChatGPT-4 hat die Debatte darüber entfacht, wie generative KI die Arbeitswelt und die Plattformen im Internet verändern wird. Während diese Technologie zweifellos Chancen biete, bestehe ohne angemessene Regulierung allerdings die Gefahr, dass sie die Risiken für die Menschenrechte verstärke, merkt Amnesty an. Insbesondere Bereiche wie Sozialhilfe, Bildung und Datenschutz könnten davon betroffen sein.

Bereits bestehende KI-Systeme haben laut dem Report Ungleichheiten gefördert und marginalisierte Gruppen in Bereichen wie dem Zugang zu staatlichen Dienstleistungen, Polizeiarbeit, Sicherheit und Migration beeinträchtigt.

So führte beispielsweise ein teilautomatisiertes Sozialhilfesystem in Serbien möglicherweise dazu, dass Tausende von Menschen ungerechtfertigt den Zugang zu wichtigen Sozialleistungen verloren haben, wobei Roma und Menschen mit Behinderungen überproportional betroffen waren. In den USA habe die New Yorker Polizei Technologien wie Gesichtserkennung eingesetzt, um Black-Lives-Matter-Proteste zu überwachen, kritisiert die Menschenrechtsorganisation.

Überwachungssoftware wird nicht ausreichend reguliert

Ein weiterer Schwerpunkt des Berichts liegt auf dem globalen Handel mit Spionagesoftware. Amnesty International und andere Organisationen stellten fest, wie die Spionagesoftware Pegasus gegen Journalist:innen und zivilgesellschaftliche Gruppen eingesetzt wurde. Zudem hat eine „Predator Files“-Untersuchung der Menschenrechtsorganisation aufgedeckt, wie der europäische Staatstrojaner frei in der ganzen Welt verkauft wurde.

Laut Amnesty International haben Staaten es versäumt, diesen Handel einzudämmen. Die EU hat nun erste, wenn auch nur zaghafte Schritte unternommen: Im November 2023 verabschiedete das Europäische Parlament eine unverbindliche Resolution, in der es Missbrauch durch die Spyware-Industrie kritisierte. Für Amnesty reicht das nicht aus – weitere Maßnahmen seien dringend erforderlich.

Big Tech fördert Hass und Desinformation

Der Report verurteilt auch Geschäftspraktiken der großen Tech-Unternehmen. Ihre überwachungsbasierten Geschäftsmodelle gefährdeten nicht nur die Privatsphäre allgemein, sondern auch die Rechte von Kindern und Jugendlichen. Plattformen wie TikTok und X würden depressive und suizidale Inhalte verstärken und Hassrede gegen beispielsweise LGBTQ-Personen ermöglichen. Zudem begünstigten diese Unternehmen die Verbreitung von politischer Fehlinformation. Insbesondere vor dem Hintergrund vieler bevorstehender Wahlen im Jahr 2024 sei dies besorgniserregend, so der Bericht.

Positiv hebt Amnesty die Bemühungen mancher Gerichte und Regulierungsbehörden hervor, Missbräuche zu bekämpfen. Ein Beispiel sei das Urteil des Europäischen Gerichtshofs gegen die Verarbeitung sensibler Daten durch Meta sowie die Maßnahmen norwegischer Behörden gegen personalisierte Werbung auf den Plattformen des Konzerns. Auch der Digital Services Act der EU zielt darauf ab, die Macht von Big Tech zu regulieren – geht jedoch nach den Maßstäben von Amnesty nicht weit genug.

Um die Meinungsfreiheit steht es schlecht

In großen Teilen der Welt wurden auch die Meinungs- und Pressefreiheit eingeschränkt oder verletzt. 
Die Regierungen verstärkten ihre Angriffe auf Medien, Menschenrechtsverteidiger:innen und Oppositionsparteien, berichtet die Menschenrechtsorganisation.

Im von den Taliban regierten Afghanistan wurden etwa Medienschaffende Opfer von Belästigung und willkürlicher Inhaftierung, während die Militärjunta in Myanmar Journalist:innen in unfairen Prozessen zu langen Haftstrafen verurteilte. Die kommunistische Regierung von Nordkorea behielt ihre totale Kontrolle über den öffentlichen Raum bei und verhängte harte Strafen gegen jene, die die Regierung kritisierten.

In Bangladesch nutzte die Regierung den sogenannten „Digital Security Act“, um Menschenrechtsverteidiger:innen zu bedrohen und zum Schweigen zu bringen, während in China die nationale Sicherheit als Vorwand diente, um die Ausübung von Meinungs-, Vereinigungs- und Versammlungsfreiheit zu verhindern. Die Regierung setzte sowohl online als auch offline strenge Zensurmaßnahmen ein und griff zudem auf biometrische Überwachungssysteme zurück, um die Bevölkerung zu überwachen und zu kontrollieren.

Auch im Iran herrschte weiterhin die Zensur: Die Behörden blockierten Satellitenfernsehkanäle und viele mobile Apps und Social-Media-Plattformen. Repressive Maßnahmen – wie die Unterbrechung von Internet- und Mobilfunknetzen während und im Vorfeld erwarteter Proteste – sollten landesweite Aufstände verhindern.

Russland setzte seinen Angriffskrieg gegen die Ukraine fort und beging dort zahlreiche Verbrechen gegen die Menschenrechte. Auch im eigenen Land verschlechterte sich die Lage unterdes – das Recht auf freie Meinungsäußerung wurde weiter eingeschränkt. Regierungskritiker:innen sahen sich willkürlicher Verfolgung und langen Haftstrafen ausgesetzt. Medien und Einzelpersonen mussten mit Geldstrafen, Sperrungen oder strafrechtlicher Verfolgung rechnen. Zum Teil wurden Meinungsäußerungen als „Verbreitung falscher Informationen”, „Diskreditierung“ oder „Aufstachelung zum Hass“ diffamiert. Menschen, die sich im Land gegen den Einmarsch in die Ukraine aussprachen, wurden besonders hart verfolgt.

Das Recht auf Privatsphäre

Der Report gibt ein paar Lichtblicke beim Thema Privatsphäre: Mehrere Städte und Kantone in der Schweiz haben Verbote für die Gesichtserkennung im öffentlichen Raum erlassen. In Polen urteilte eine Kommission des Senats immerhin im Nachgang, dass der Einsatz von Pegasus-Spähsoftware gegen Oppositionelle und Regierungskritiker:innen unrechtmäßig war und die Parlamentswahlen im Jahr 2019 deshalb unfair verliefen. Hierzulande legte das Bundesverfassungsgericht hohe Schwellenwerte für den Einsatz automatisierter Datenanalysen bei Polizeieinsätzen fest.

In Frankreich hingegen erlaubt ein neues Gesetz die massenhafte und KI-gestützte Videoüberwachung der Olympischen Spiele 2024. Die moldawische Regierung verabschiedete Gesetze zur Sicherheits- und Geheimdiensttätigkeit, die die zwar einige Verbesserungen mit sich bringen – aber immer noch Raum für Missbrauch und Überwachung bieten. Außerdem steht Spanien im Fokus der Kritik, nachdem öffentlich wurde, dass mindestens 65 Personen, darunter Journalist:innen und Politiker:innen, mit der Pegasus-Spionagesoftware ins Visier genommen wurden. Indes wurden laufende Gerichtsverfahren gegen den Einsatz der Software aufgrund mangelnder Kooperation der israelischen Behörden vorerst eingestellt.

In der kenianischen Bevölkerung haben die Digitalisierung von Regierungsdiensten und eine darauf folgende Cyberattacke Bedenken hinsichtlich des Datenschutzes verstärkt. In Lesotho wurde aufgedeckt, wie die Regierung verfassungswidrig Mobiltelefone von Oppositionspolitiker:innen beschlagnahmte.

Es bleibt ein Appell

Amnesty International fordert von Regierungen, invasive Software und Gesichtserkennungstechnologien sofort zu verbieten. Es seien solide gesetzgeberische und regulatorische Maßnahmen nötig, um die durch Künstliche Intelligenz bestehenden Risiken anzugehen. Staaten müssen zudem Big Tech mehr in die Schranken weisen – insbesondere im Kontext ihrer Überwachungpraktiken.

Agnès Callamard, Generalsekretärin von Amnesty International, reflektiert über den Zustand der Menschenrechte im Jahr 2023. Für sie sind vor allem die Rückkehr zu autoritären Praktiken und die Erosion grundlegender Rechte besorgniserregend – sowohl historisch als auch im Kontext moderner Technologien. Callamard hebt jedoch auch die globale Solidarität hervor, betont die Bedeutung des Widerstands und ruft zum gemeinsamen Einsatz für unsere Menschlichkeit auf.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kämpfen um Chatkontrolle: EU-Kommissarin Johansson und Belgiens Innenministerin Verlinden. – Alle Rechte vorbehalten IMAGO / Belga

Die Chatkontrolle spaltet die EU. Die Kommission will Internetdienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten streiten seit zwei Jahren und können sich nicht einigen. Manche Länder unterstützen den Vorschlag der Kommission, andere eher die Position des Parlaments. Letzte Woche hat der Rat erneut in der Arbeitsgruppe Strafverfolgung verhandelt. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.

spanische Ratspräsidentschaft gescheitert, eine gemeinsame Position der EU-Staaten zu finden. Die aktuelle belgische Präsidentschaft hat vor zwei Monaten einen "neuen Ansatz" vorgeschlagen, den wir als Quadratur des Kreises bezeichnet haben. Trotzdem hielt Belgien an seinem Weg fest und formulierte den Vorschlag immer weiter aus: von fünf Seiten Eckpunkten über 24 Seiten Änderungen auf jetzt 203 Seiten Gesetzentwurf. Doch die EU-Staaten können dem Vorschlag nicht zustimmen, da er die wesentlichen Probleme nicht löst. -->

Anlasslos und massenhaft

Die EU-Kommission will Internetdienste verpflichten, sämtliche Nutzer anlasslos zu durchsuchen. Der Juristische Dienst des Rats hält diese allgemeine und unterschiedslose Chatkontrolle für illegal. Das EU-Parlament will einen Anfangsverdacht voraussetzen.

Die belgische Ratspräsidentschaft schlägt vor, weiterhin alle Nutzer zu überwachen und bekannte strafbare Kinderpornografie sofort an ein EU-Zentrum zu leiten. Unbekannte Kinderpornografie und Grooming sollen jedoch erst ab einem Grenzwert ausgeleitet werden. Die Niederlande kritisieren in jeder Verhandlungsrunde, dass diese Inhalte nicht präzise genug erkannt werden können.

Laut dem Vorschlag sollen Diensteanbieter Inhalte erkennen und ab dem zweiten Hit ausleiten, aber vom ersten Hit nichts erfahren. Wie das technisch funktionieren soll, hat Belgien nicht erklärt. Jetzt hat die Ratspräsidentschaft diese Geheimhaltung wieder gestrichen, „aus technischen Gründen“. Laut Frankreich widerspricht es jedoch dem Digitale-Dienste Gesetz, wenn Anbieter von Straftaten wissen, diese aber nicht melden.

Der aktuelle Vorschlag findet unter den EU-Staaten keine Mehrheit. Einige Staaten fordern, alle Nutzer zu scannen und Inhalte ab dem ersten Verdacht auszuleiten, darunter Bulgarien, Irland und Estland. Andere Staaten lehnen eine anlasslose und massenhafte Chatkontrolle aller Nutzer ab, darunter Österreich.

Verschlüsselt oder nicht

Die EU-Kommission will, dass Internetdienste auch verschlüsselte Inhalte ihrer Nutzer durchsuchen, zum Beispiel mit Client-Side-Scanning. Hunderte Wissenschaftler kritisieren das als unsicher und gefährlich. Das EU-Parlament will verschlüsselte Inhalte von der Chatkontrolle ausnehmen.

Die Ratspräsidentschaft liefert keine konkrete Antwort auf diese zentrale Frage. Sie will Verschlüsselung gleichzeitig schützen und brechen. Wie das technisch funktionieren soll, fragen sowohl Chatkontrolle-Befürworter Italien als auch Chatkontrolle-Gegner Polen. Eine Antwort ist nicht vermerkt. In bisherigen Sitzungen hatte sich Belgien für Client-Side-Scanning ausgesprochen.

Im aktuellen Vorschlag hat Belgien eine Definition von Ende-zu-Ende-Verschlüsselung wieder gestrichen. Die Niederlande kritisierten das, für das Land muss „zwingend eine Definition enthalten sein“. Belgien lehnt das ab: „Dies würde dazu führen, dass man ‚Federn lasse‘.“

Letzten Sommer hat die EU-Kommission eine Arbeitsgruppe Zugang zu Daten für eine wirksame Strafverfolgung gegründet. Dort fordern Polizei und Geheimdienste regelmäßig einen Stopp von oder sogar Verbot von wirksamer Ende-zu-Ende-Verschlüsselung. Auf Nachfrage von Italien bestätigte Belgien, „dass die Verhandlungen in der [Arbeitsgruppe] andauerten, es bestehe ständiger Austausch“.

Beim Streit um Verschlüsselung ist also weiterhin keine Einigung in Sicht. Einige Staaten wollen verschlüsselte Inhalte scannen, darunter Spanien, Rumänien und Irland. Andere Staaten wollen verschlüsselte Inhalte schützen, darunter Deutschland, Polen und Österreich. Einige Staaten verweisen einfach auf ihre bereits bekannte Kritik.

Alter und Ausnahmen

Auch in anderen Bereichen machen die Verhandlungen keine Fortschritte. Um Grooming zu erkennen, müssen Anbieter das Alter ihrer Nutzer wissen. Frankreich weist darauf hin, „dass noch keine ausgereiften Technologien zur Verfügung stünden“. Belgien verweist auch dieses Problem nur in andere Arbeitsgruppen, die Lösungen finden sollen.

Dafür schlägt die Ratspräsidentschaft vor, Geheimdienste, Polizei und Militär von der Chatkontrolle auszunehmen. Diese Idee hatten die Staaten bereits letztes Jahr erst aufgenommen und dann wieder gestrichen. Frankreich hat „zahlreiche Fragen zur praktischen Umsetzung“ des Vorschlags.

Jetzt schlägt Belgien sogar vor, „vertrauliche Informationen, einschließlich Verschlusssachen, unter das Berufsgeheimnis fallende Informationen und Geschäftsgeheimnisse“ von der Chatkontrolle auszunehmen. Dieser Vorschlag verdeutlicht, dass Chatkontrolle und Client-Side-Scanning vertrauliche Kommunikation gefährden. Ob sich die Staaten auf diese Ausnahmen einigen können, ist nicht bekannt.

Belgien bald gescheitert

Es ist nicht erkennbar, wie überhaupt eine Einigung aussehen soll. Die Fronten sind verhärtet. Einige Staaten wollen eine möglichst umfassende Chatkontrolle, andere eine möglichst begrenzte Chatkontrolle. Manche Staaten bezweifeln wohl bereits, ob Belgien überhaupt noch eine Einigung herbeiführen kann.

Bereits am Tag nach der Verhandlung haben wir berichtet:

Die EU-Staaten haben gestern über die Chatkontrolle verhandelt. Eine Einigung ist weiterhin nicht in Sicht. Eine qualifizierte Mehrheit der Staaten kann dem letzten Kompromiss-Vorschlag nicht zustimmen. Die belgische Ratspräsidentschaft muss sich etwas Neues überlegen. Die nächste Sitzung ist wohl erst in drei Wochen.

Das Protokoll bestätigt diese Einschätzung. Die EU-Staaten haben immer noch keine der wesentlichen Fragen gelöst. In den Worten der Ratspräsidentschaft: „Insgesamt gibt es derzeit noch keine ausreichende Unterstützung für eine allgemeine Ausrichtung.“

Wie es aussieht, muss sich Belgien nach vier Monaten etwas Neues einfallen lassen. Zwei Monate haben sie noch, dann geht die Präsidentschaft an Ungarn. Am 8. Mai verhandelt die Arbeitsgruppe erneut.

Hier das Dokument in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 16.04.2024
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJ, BMWK, BMDV, BMFSFJ, BMF, BKAmt
• Betreff: Sitzung der RAGS am 15.04.2024
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80
• Kompromissvorschläge: ST 8579 2024 INIT

Sitzung der RAGS am 15.04.2024 I. Zusammenfassung und Wertung

Unter TOP 1 (Informationen der Präsidentschaft) berichtete Vorsitz über verschiedene Termine und Ereignisse im Zuständigkeitsbereich der RAGS.

Der Schwerpunkt der Sitzung lag bei TOP 2 (Entwurf der CSA–VO). RAGS erörterte die vom Vorsitz unterbreiteten neuen Textvorschläge. Vorsitz schlussfolgerte, dass es insgesamt derzeit noch keine ausreichende Unterstützung für eine allgemeine Ausrichtung gebe. Er werde aber weiter daran arbeiten und einen neuen Ansatz vorlegen, der in der Sitzung der RAGS am 08.05.2024 beraten werden solle.

Unter TOP 3 stellte KOM die wesentlichen Elemente ihres staff working document zum VO-Entwurf Migrant Smuggling vor.

Unter TOP 4 berichtete der Vorsitzende der European Firearms Experts über die Aktivitäten dieser Gruppe.

II. Im Einzelnen TOP 1: Information by the presidency

[…]

Zur Verlängerung der Interims-VO: Das EP stimmte der Verlängerung mit 469 „ja“, 112 „nein“ Stimmen und 37 Enthaltungen zugestimmt; die Zustimmung des Rates solle könnte am 29.04.2024 im AGRIFISH-Rat erfolgen (A-Punkt). Eine Einigung der dauerhaften CSA–VO müsse in 2025 erfolgen, damit sie vor dem Auslaufen der Interims-VO im April 2026 in Kraft treten könne.

TOP 2: Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse

Vorsitz begann mit der Aussprache zur Methodologie. Kommentare der MS seien bei der Überarbeitung aufgenommen worden.

DEU trug zu allen Punkten anhand der abgestimmten Weisung vor. Es werden im Folgenden daher die relevanten Wortmeldungen der anderen MS dargestellt.

FRA wies daraufhin, dass sehr große Dienste (VLOPs und VLOSEs) miteinander sprechen müssten, um mehrere Konten eines Nutzers (Pseudonyme) zu erkennen und zusammenzuführen. SWE legte PV ein, begrüßte Vorschläge aber grundsätzlich. ITA legte PV ein. HUN legte ebenfalls PV ein, eine erste Prüfung habe aber keine Kritikpunkte ergeben. EST begrüßte die Vorschläge der Präsidentschaft insgesamt, sie entsprächen im Wesentlichen den EST-Forderungen. Auch die Kategorisierung werde grds. begrüßt. Sie bedeute gewisse Aufwände für Dienste, die aus EST-Sicht aber erforderlich und angemessen seien. Es stellten sich Fragen zur Überprüfbarkeit von Ergebnissen der Altersverifikation. Auch sei für kleine und mittlere Dienste nicht sichergestellt, dass diese die Aufwände tragen könnten. Die Rolle von INHOPE solle weiter gestärkt werden. KOM kritisierte vorgeschlagenen Risikokategorien als ungeeignet. Es stehe im Raum, Anbieter als weniger sicher einzustufen, wenn sie den Anforderungen an „Safety by Design“ nicht gerecht würden. Diese Prüfung solle nicht gedoppelt werden. Aus SWE Sicht seien die Vorgaben in Abschnitt 5 der vorgeschlagenen Methodologie teilweise umfangreich. Anbieter sollten in diesem Prozess konsultiert werden, ggf. könnten die Vorgaben verschlankt werden.

Vorsitz wies erneut daraufhin, dass Details durch KOM im Komitologieverfahren festgelegt werden sollten. FRA sprach die Taskforce Altersverifikation an, die sich im Wesentlichen mit der Digitalen Wallet befasse. Diese werde allerdings erst im Jahre 2026 zur Verfügung stehen. „Zero Knowledge“ Technologien stünden noch später zur Verfügung. Ggf. müsste man jedenfalls hinweisen, dass noch keine ausgereiften Technologien zur Verfügung stünden. Vorsitz wies auf Arbeiten – auch des EP – zur Ausgestaltung von Altersverifikationen hin. Ggf. gelte es, einen Übergangszeitraum zu überbrücken, was auch schriftlich festgehalten werden könne. KOM offen, Hinweis auf technologische Voraussetzungen – auch zum Erlass von Aufdeckungsanordnungen – im VO–E zu ergänzen.

ESP wies darauf hin, dass weitere Änderungen komplizierte und kleinteilige Regelungen umfassten. Da Einigung nicht absehbar sei, weil sich einige MS nicht bewegten, stelle sich die Frage, ob das Vorgehen richtig sei. Vorsitz erwiderte, ohne weitere Vorschläge werde auch keine Einigung gefunden.

Artikel 1: Gegenstand und Anwendungsbereich

FRA fragte nach einer Definition von „government accounts“. Es stellten sich zahlreiche Fragen zur praktischen Umsetzung von Absatz 2a. Vorsitz will Möglichkeit einer ergänzenden Definition aufgreifen. POL begrüßte Aufnahme von Absatz 2a, er schütze u.a. Arbeit der Strafverfolgungsbehörden. CZE begrüßte, dass die Regelunge der Absätze 2a und 2b aus den EG zurück in den verfügenden Teil gezogen wurden und wiederholte Forderung zur alten Fassung von Absatz 5 zurückzukehren.

ITA verwies zunächst allgemein auf JD-Rat. Europäische Rechtsprechung weise eine gewisse Spannung mit dem vorgeschlagenen Umgang mit Verschlüsselung auf. Absatz 5 spreche davon, dass keine Pflicht zur Entschlüsselung bestehe. Es bedürfe auch Schutzstandards von Verschlüsselung. ITA fragte weiter zum Fortschritt der Verhandlungen in der HLWG. Vorsitz wurde auch um Erläuterung der Inhalte von Absätzen 2a und 2b gebeten.

Auf Nachfrage erläuterte KOM zum Zusammenhang zwischen der Neufassung der CSA–RL (COPEN-Zuständigkeit) und der CSA–VO: die CSA–RL sei ein strafrechtliches Instrument mit einer eigenen Rechtsgrundlage. Es harmonisiere Definitionen und Strafrahmen. Verkürzt stelle es sich wie folgt dar: Die RL lege Pflichten für MS fest, während die VO Pflichten für Diensteanbieter vorsehe. Beide Vorhaben ergänzten sich gegenseitig. Die CSA–RL greife die Positionen einiger MS auf, die Aufgaben des EU-Zentrums im Bereich der Prävention zu stärken.

Vorsitz bestätigte, dass die Verhandlungen in der HLWG andauerten, es bestehe ständiger Austausch. Die weiteren ITA Verständnisfragen seien im Wesentlichen bereits beantwortet worden.

EST bat um eine Definition von „Geschäftsgeheimnissen“ i.S.d. Absatz 2b.

NLD bedauerte, dass die Definition in EG 26 verkürzt wurde. Eine Definition von E2EE müsse für NLD zwingend enthalten sein. Vorsitz sprach sich dafür aus, keine detaillierte Definition von E2EE aufzunehmen. Dies würde dazu führen, dass man „Federn lasse“. Ohne klare Definition werde Vorsitz von der Aufnahme einer solchen absehen. Unter CZE-Präsidentschaft habe sich eine Mehrheit für die Einbeziehung von E2EE ausgesprochen.

HUN mit PV.

Artikel 3 und 4: Risikobewertung und Risikominderung

POL unterstützte Änderungen in Zusammenhang mit EG 16a. Insgesamt bedürfe es weiterer Änderungen mit Blick auf den Umgang mit Verschlüsselung.

LVA fragte nach parallelen Fristen; Aufdeckungsanordnungen unterliegen langen Anordnungsfristen während derer evtl. erneute Risikobewertung erforderlich werden könnte. Es bedürfe Klarheit, welche Anforderungen in diesem Zusammenhang an die Dienste gestellt werden.

Vorsitz stellte die Klärung dieser Frage, die sich auf Artikel 3 Abs. 4 beziehe, zurück.

Artikel 5: Risikoberichte und -kategorisierung

Vorsitz erläuterte, dass die Inhalte des Annex 14 weiteren Änderungen unterliegen könnten. Wesentliche Inhalte sollten im VO-Text (abschließend) geregelt werden.

EST fragte nach der Umsetzbarkeit der Erhebung der Daten durch die Anbieter sowie deren Überprüfbarkeit. Vorsitz erläuterte, dass die Überprüfung durch die nationalen Koordinierungsbehörden in den MS erfolge.

Für POL gehe Absatz 2a in die richtige Richtung. Die Prüfung dauere an und sollte ggf. durch den EU-Datenschutzbeauftragten ergänzt werden.

FRA hinterfragte, dass in Absatz 2a lit. g Prozentsätze festgeschrieben werden. Das sei sehr kleinteilig. Vorsitz widersprach, dass eine solche Detailtiefe für erforderlich gehalten werde.

Artikel 7: Erlass von Aufdeckungsanordnungen

FRA kritisierte, dass in Absatz 10 zwischen neuem CSAM und Grooming unterschieden werde. Die Speicherdauer sei noch unklar. Die Streichung von „without the provider beeing notified“ führe dazu, dass der Anbieter Kenntnis von allen Hits erhalte, dies stehe allerdings in Widerspruch zu Artikel 18 DSA sowie zu US-amerikanischen Vorgaben. Vorsitz erwiderte, dass Artikel 18 DSA Pflichten von der Kenntnis abhängig mache. Die Streichung in Absatz 10 sei aus technischen Gründen erfolgt.

KOM erläuterte auf FRA Nachfrage, KOM-Entwurf sehe vor, das EU-Zentrum über CSAM zu informieren. Es gelten die Möglichkeiten des „redress“ des Artikel 9.

SWE begrüßte die Verschärfung von Absatz 10 grds. Es sollte klargestellt werden, dass beim Umgang mit bekanntem CSAM bereits ein Treffer ausreiche.

BGR – unterstützt durch IRL – kritisierte das in Absatz 10 vorgeschlagene Verfahren, das ggf. dazu führe, dass Anbieter die Verbreitung von CSAM wissentlich hinnehme. Bei einem Upload von neuem CSAM bedürfe es umgehender Reaktion, damit sich dieses nicht weiterverbreite. Bei mehreren erforderlichen Hits müsse sichergestellt sein, dass CSAM nicht aus technischen Gründen „verloren“ gehe.

Für EST sei Absatz 10 ein „gutes Negativbeispiel“. Aus Sicht der Kinder stelle Absatz 10 keine Verbesserung dar.

Für ITA wie POL sei technische Umsetzung von Aufdeckungen in verschlüsselten Diensten ohne Verschlüsselung zu brechen offen. Vorsitz regte die Befassung nationaler technischer Experten in der RAGS an.

SVN und AUT mit PV.

AUT verwies auf bekannte Kritik am Vorschlag.

POL fragte nach der Verhältnismäßigkeit bei der Festlegung auf bestimmte Nutzerinnen und Nutzer. Neben dem Schutz von Privatsphäre müsse der Schutz von Kindern bedacht werden.

NLD wiederholte Kritik an Aufdeckung von neuem CSAM und Grooming.

IRL stimmte Änderungen in Absatz 4 zu.

ESP erinnerte daran, dass die Eingrenzung von Artikel 7 auf Dienste mit hohem Risiko Hintertüren für Dienste lasse. Dienste könnten sich dadurch in eine niedrigere Kategorie „retten“, die Schlagkraft des Vorschlags werde reduziert.

ESP fragte weiter, was mit „hits“, die während einer Aufdeckungsanordnung auffielen passiere, wenn erst unter einer weiteren Anordnung weitere „hits“ hinzukämen. Es sei nicht vertretbar, dass diese „hits“ im Ergebnis keine Konsequenzen nach sich zögen.

PRT wie NLD wiesen auf Verfassungskonflikt hin, wenn Anordnungen nicht durch Justizbehörden erlassen werden.

DNK mit PV und grds. Kritik an den vorgeschlagenen Begrenzungen, die Anbieter zu einem Abwarten zwingen könne.

Für HUN zeige die Diskussion, dass Absatz 10 weiterer Konkretisierung bedürfe.

Artikel 10: Technologien und Schutzvorkehrungen

FRA und NLD baten JD-Rat um Stellungnahme, ob die in Abs. 2 vorgesehenen Durchführungsrechtakte der KOM zulässig seien. JD-Rat machte geltend, dies noch nicht abschließend beurteilen können. Es bedürfe noch näherer Klärung, was der Begriff Technologie bedeute und ob auch CSS davon erfasst sei. JD-Rat wies allgemein auf die sog. Meroni-Doktrin des EuGH aus dem Jahr 1958 hin.

Auf Bitte mehrerer MS sagte Vorsitz zu, die Ergänzung in Abs. 4 (a) (iii) noch näher zu substantiieren.

POL legte einen PV ein.

Artikel 43, 47a, 53a, 66

Auf Nachfrage von FRA erläuterte KOM, dass eine Stellungnahme des Technologieausschusses rein konsultativen Charakter habe und keine Bindungswirkung entfalten könne.

Erwägungsgründe

Keine Anmerkungen der Delegationen zu den in Dok. 8579/24 vorgeschlagenen Änderungen in den Erwägungsgründen.

Vorsitz schlussfolgerte wie folgt:

• Zu Artikel 1 müsse man noch weitere Klarstellungen in den Absätzen 2a und 2b vornehmen. Vorsitz werde diese entsprechend umarbeiten. Zu Absatz 5 gebe es derzeit keinen Konsens.
• Zu den Artikeln 3 und 4 gebe es keine größeren Widersprüche seitens der MS.
• Zu Artikel 5 seien die Delegationen eher positiv eingestellt, der Feinschliff fehle aber noch. In Absatz 2a müsse man die Kriterien noch „en detail“ ausarbeiten, Vorsitz werde einen Textvorschlag vorlegen.
• Zu Artikel 7 gebe es geteilte Meinungen, insbesondere zu Absatz 10. Hier müsse man noch Änderungen vornehmen.
• In Artikel 10 müsse die Rolle des Technologieausschusses noch näher geklärt werden.
• Insgesamt gebe es derzeit noch keine ausreichende Unterstützung für eine allgemeine Ausrichtung. Vorsitz werde aber weiter daran arbeiten und sich einen neuen Ansatz überlegen, über den er die Delegationen schnellstmöglich informieren werde.
• Delegationen wurden gebeten, schriftliche Anmerkungen bis 18.04.2024, DS, zu übermitteln.
• Die Sitzung der RAGS am 08.05.2024 werde sich zu einem großen Teil mit der CSA–VO befassen. Vorsitz wolle in dieser Sitzung seinen neuen Ansatz beraten lassen.

[…]

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Jetzt ist wirklich Schluss: Wir verlassen als Redaktion das zur Plattform für Rechtsradikale verkommene Twitter – und freuen uns, wenn ihr uns woanders folgt.

Das Kacke-Emoji, das Twitter bei Presseanfragen an uns verschickt hat, möchten wir an dieser Stelle zurückgeben.

Wir haben uns heute als Redaktion mit großer Mehrheit entschieden, dass wir Twitter nicht weiter mit unseren Inhalten bespielen werden. Die Gründe für unsere Entscheidung liegen auf der Hand, in den letzten Monaten haben bereits andere die Plattform deswegen verlassen: Twitter hat sich seit der Übernahme durch Elon Musk zu einem extrem giftigen und unwirtlichen Ort entwickelt.

Der neue Eigentümer tritt selbst als Unterstützer von Rechtsradikalen in Erscheinung. Er hofiert Hetzer wie Martin Sellner und Björn Höcke und befeuert extrem rechte und verschwörungsideologische Diskurse. Musks technische und inhaltliche Entscheidungen sowie der Exodus vieler demokratischer Accounts haben dazu geführt, dass ein pluraler und offener Diskurs auf der Plattform nicht mehr möglich ist – und stattdessen vorrangig Hass und Hetze stattfinden und verbreitet werden. Auch unter den Inhalten, die wir dort posteten. Wir wissen, dass unsere Follower:innen nicht so sind wie der jetzt vorherrschende Diskurs, aber dennoch ist klar: Es ist vorbei.

Der rapide Fall von der Diskursplattform zum antidemokratischen Spielzeug eines Milliardärs hat gezeigt, wie fragil solche privatisierten Öffentlichkeiten sind – und dass kein Mensch soviel Macht wie Elon Musk haben sollte. Glücklicherweise sehen wir durch Niedergang der Plattform auch offene und freie Alternativen wie das Fediverse deutlicher. Wir hoffen, dass sich dort neue Diskursräume und Öffentlichkeiten noch viel weiter entwickeln als bisher – und freuen uns, Teil davon zu sein.

Ihr könnt uns natürlich weiter abonnieren per RSS-Feed oder auf unterschiedlichen sozialen Medien folgen:

• Mastodon
• Bluesky
• Instagram
• Facebook
• Youtube
• Telegram

Der Account @netzpolitik_org wird als Archiv weiter bestehen bleiben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Ampel will bei der Reform des Bundesdatenschutzgesetzes bei den Auskunftsrechten Geschäftsgeheimnisse explizit ausnehmen. Die Zusammenarbeit von Datenschutzbehörden der Länder und des Bundes soll nicht weiter institutionalisiert werden. Von diesen kommt jetzt Kritik.

(Symbolbild) – Alle Rechte vorbehalten IMAGO / Jürgen Eis

Die geplanten Änderungen im Bundesdatenschutzgesetz (PDF) stehen weiter in der Kritik der Datenschutzbehörden. Die Datenschutzkonferenz (DSK), das informelle Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, hat in einer Stellungnahme (PDF) seine Kritik erneuert.

So bleibe eines der Hauptziele der Reform bislang nicht umgesetzt. Angedacht war ursprünglich eine bessere Zusammenarbeit der Datenschutzbehörden in der Datenschutzkonferenz (DSK). Durch eine Institutionalisierung des bisher informellen Gremiums wollte die Ampel dafür sorgen, dass die deutschen Datenschutzbehörden schneller und einheitlicher zu Beschlüssen kommen. Dass die Regierung dieses Versprechen aus dem Koalitionsvertrag nicht einlösen würde, deutete sich schon im September an, als das Bundesinnenministerium (BMI) einen ersten Entwurf veröffentlichte. Bislang hat die Datenschutzkonferenz eine Geschäftsordnung, aber keine ständige Geschäftststelle, welche die Arbeit des Gremiums koordinieren könnte.

Ausnahmeregelung für Geschäftsgeheimnisse

Kritik hat die DSK auch an den Ausnahmeregelungen für Geschäftsgeheimnisse, die im geänderten Bundesdatenschutzgesetz festgeschrieben werden sollen. Laut dem Gesetz sollen Datenschutz-Auskunftsrechte wegen Geschäftsgeheimnissen verweigert werden können. Zwar bestand diese Möglichkeit auch bisher schon, die explizite Erwähnung könnte aber Unternehmen motivieren, hiervon mehr Gebrauch zu machen. Nach Informationen von netzpolitik.org soll sich das Bundesinnenministerium (BMI) für die explizite Nennung der Ausnahmeregelung stark gemacht haben.

Die DSK hält diesen Passus für zu weit gefasst: „Der deutsche Gesetzgeber würde ansonsten eine weitergehende Beschränkung schaffen als der europäische Gesetzgeber im Verordnungstext“, heißt es in der Stellungnahme. Die DSK fordert die Streichung der Ausnahme, das hatte zuletzt auch der Verbraucherzentrale Bundesverband (vzbv) gefordert.

Das neue Bundesdatenschutzgesetz enthält auch Regelungen zum Scoring, beispielsweise für Auskunfteien wie die Schufa. Hier verweist die DSK auf „zahlreiche Unklarheiten in den Regeln“ und regt Nachbesserungen an. Um eine rechtssichere Regelung von Kreditwürdigkeitsprüfungen durch Scoring-Verfahren zu erreichen, empfiehlt die DSK, das Thema in einer Sachverständigenanhörung zu behandeln.

Die DSK wendet sich außerdem dagegen, dass Behörden im Gegensatz zu Unternehmen von Bußgeldern ausgenommen sind. „In der Praxis hat sich gezeigt, dass ein Bedarf für Geldbußen auch im öffentlichen Bereich besteht, um die Schwere eines Verstoßes gegenüber der beaufsichtigten Stelle hinreichend deutlich zu machen und um als Anreiz zu dienen, Datenschutzverstößen aktiv vorzubeugen“, so die DSK in einer Pressemitteilung.

Das Gesetz, das Anfang des Jahres im Kabinett beschlossen wurde, hat noch immer keinen Termin für eine 1. Lesung im Bundestag. Ebenso fand noch keine Sachverständigenanhörung statt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eigentlich wollte die Union im Innenausschuss des Bundestags darauf hinwirken, dass die Palantir-Polizei-Software dem bayerischen Vorbild folgend auch im Bund eingesetzt wird. Doch außer den Polizeivertretern sprach sich niemand dafür aus. Es gibt auch keine Rechtsgrundlage. Stattdessen wurde darüber diskutiert, welche Alternativen zur Verfügung stünden.

Mit der Polizei-Palantir-Software hat dieses Symbolbild wenig zu tun, sie soll eher aussehen wie ein Windows 95. – Public Domain generiert mit Midjourney

Der Innenausschuss des Bundestags behandelte heute in einer öffentlichen Anhörung von Sachverständigen das Thema polizeiliche Analysesoftware. Grund war ein Antrag der oppositionellen Fraktion CDU/CSU (pdf), in dem gefordert wird, dass dem Bundeskriminalamt und der Bundespolizei „schnellstmöglich die Nutzung der verfahrensübergreifenden Recherche- und Analyseplattform ‚Bundes-VeRA‘ zu genehmigen“ sei. Die Entscheidung des Bundesinnenministeriums vom Juli 2023 solle revidiert werden. Sie untersagt dem Bundeskriminalamt und der Bundespolizei die Nutzung von „Bundes-VeRA“.

Es geht dabei um eine Software des umstrittenen US-amerikanischen Überwachungskonzerns Palantir, dessen deutsche Tochter ihre Dienste den hiesigen Polizeibehörden für ein „Verfahrensübergreifendes Recherche- und Analysesystem“ (VeRA) anbietet. Die Software verbindet die verschiedenen Datenbanken der Polizei miteinander. Die Unionsfraktion fordert in ihrem Antrag, dass auch die Voraussetzungen geschaffen werden sollen, damit die Bundesländer und ihre Landespolizeien diese polizeiliche Analysesoftware „VeRA“ abrufen können. Eine entsprechende Gesetzesänderung solle auf den Weg gebracht werden.

Palantir steht nicht nur in der Kritik, weil der Konzern eng mit ausländischen Geheimdiensten und Militärs zusammenarbeitet, sondern auch, weil die Software technische und erhebliche rechtliche Probleme aufwirft. Letztes Jahr wurde die Polizei-Palantir-Kooperation daher durch ein Urteil des Bundesverfassungsgerichts deutlich beschränkt.

Noch mehr Verfassungsbeschwerden

Seither gelten detailreiche verfassungsrechtliche Anforderungen mit quantitativen und qualitativen Grenzen in Bezug auf die Art der Daten, mit der die Software gefüttert werden darf. Daran müssen sich sowohl die Gesetzgeber als auch die Polizeien halten. Zudem dürfte sich das Gericht in naher Zukunft erneut mit Fragen der automatisierten Datenanalyse bei der Polizei beschäftigen, denn weitere Verfassungsbeschwerden mit Palantir-Bezug liegen in Karlsruhe schon vor, so etwa seit Oktober 2023 eine Beschwerde gegen das NRW-Polizeigesetz.

Die geladene Sachverständige Simone Ruf von der Gesellschaft für Freiheitsrechte (GFF), deren erfolgreiche Verfassungsbeschwerde bereits zu dem letztjährigen Karlsruher Urteil geführt hatte, erläuterte in der Anhörung, dass auch die Neuregelung in Hessen kritikwürdig sei. Der hessische Gesetzgeber hatte bereits auf das höchstrichterliche Urteil reagiert und eine neue Rechtsgrundlage geschaffen. Ruf erklärte dazu, diese sehe „nicht verfassungskonform aus“. Sie kritisiert an der neuen hessischen Regelung, dass wiederum riesige Datentöpfe in die Analysesoftware integriert seien und zudem die Polizei selbst Fragen der Verhältnismäßigkeit austariert. Auch die Kontrolle sei nicht hinreichend.

Ruf betonte, dass eine Rechtsgrundlage für den Einsatz der Palantir-Software im Bund fehle, die aber zwingend geschaffen werden müsse. Auch der geladene Bundesdatenschutzbeauftragte Ulrich Kelber betonte, dass eine „spezielle rechtliche Grundlage nötig“ sei. Aktuelle könne die Palantir-Software im Bund nicht zum Einsatz kommen, da diese Rechtsgrundlage erst geschaffen werden müsse.

Generell rate die GFF von einem Einsatz von „Bundes-VeRA“ ab, so Ruf. Grund sei die „enorme Streubreite“ dieser Software und das „hohe Risiko falscher Verdächtigungen“. Auch seien bloße „Anekdoten“ über die angebliche Effizienz der Palantir-Software nicht hinreichend, denn der Einsatz sei durch große Intransparenz geprägt.

Palantir Wir berichten mehr über den Streit um Palantir als uns lieb wäre. Unterstütze unsere Arbeit!

Jetzt Spenden

Die Juristin von der GFF kritisierte auch, dass „VeRA“ zwar getestet wurde, die Berichte aber nicht öffentlich seien. Im Jahr 2023 hatte das Fraunhofer-Institut für Sichere Informationstechnologie eine Quellcode-Überprüfung des in Bayern eingesetzten Systems durchgeführt, die Ergebnisse blieben aber geheim. Zudem müssten solche Tests fortlaufend wiederholt werden, so Ruf. Es genüge nicht, die Software einmalig zu prüfen.

Polizei braucht Datenanalyse-Werkzeuge

Einig waren sich alle geladenen Sachverständigen und Verbandsvertreter darin, dass die Polizeien Datenanalyse-Werkzeuge benötigen, um ihre verschiedenen Datenbanken in angemessener Zeit durchforsten zu können. Für die rechtliche und technische Ausgestaltung gab es hingegen verschiedene Vorschläge. Der Sachverständige Markus Löffelmann schlug beispielsweise vor, ein Stufensystem gesetzlich festzuschreiben, das die Polizeidaten kategorisiere, um sie qualitativ zu bewerten und damit Zugriffsschwellen ausgestalten zu können.

Das bayerische Landeskriminalamt beschreibt in seiner kurzen Stellungnahme kursorisch die Notwendigkeit von polizeilichen Datenanalysen. In der Anhörung verweist der bayerische Polizeivertreter auf das Vertragskonstrukt und den Mantelrahmenvertrag mit der Palantir Technologies GmbH, der nach einer europaweiten Ausschreibung für das Analyseprogramm im Jahr 2022 geschlossen wurde.

NRW, Hessen und Bayern sind aktuell Palantir-Kunden. Hamburg und Berlin prüfen derzeit die Optionen zur Nutzung solcher Software zur automatisierten Datenanalyse.

Die Verträge seien mit dem Bundesinnenministerium „extra so gewählt und abgestimmt“ worden, um den Einsatz sowohl in Bayern als auch als „Bundes-VeRA“ zu ermöglichen. Der Rahmenvertrag, den Bayern mit Palantir geschlossen hat, erlaubt es theoretisch allen anderen Polizeibehörden der Länder und des Bundes, die Software zu nutzen.

Die meisten Bundesländer haben aber noch keine Entscheidung gefällt, ob sie ebenfalls die Palantir-Software nutzen wollen. Der Idee konkret zugeneigt sind bisher nur wenige Länder. Das mag laut dem innenpolitischen Sprecher der SPD-Bundestagsfraktion, Sebastian Hartmann, auch daran liegen, dass man in Bayern schon jahrelang Lizenzgebühren zahle, aber noch immer keine funktionierende Lösung zur Verfügung stünde.

Keine Erwähnung findet in der Stellungnahme des bayerischen Landeskriminalamts der Streit um den rechtswidrigen Testbetrieb im Freistaat.

Wann kann die Konkurrenz liefern?

Der Vertreter des Bundes Deutscher Kriminalbeamter betonte, dass die polizeilichen Praktiker bereits seit 2016 auf eine technische Lösung warten würden. Eine gemeinsame Verwendung der Palantir-Software würde die polizeiliche Zusammenarbeit erheblich erleichtern, argumentiert auch das bayerische Landeskriminalamt. Es „wäre schlicht auch finanziell deutlich günstiger“, wird in der Stellungnahme behauptet. Offen bleibt allerdings, auf welchen Kostenvergleich sich das bayerische Landeskriminalamt hier bezieht.

So sehr sich die zwei geladenen Polizeivertreter bemühten, die Palantir-Software in gutem Lichte darzustellen und auf ihren baldigen bundesweiten Einsatz zu dringen, so sehr hielten die Verbands- und Unternehmensvertreter dagegen. Sie vertraten auch Unternehmen, die in direktem Wettbewerb zu Palantir stehen. Der US-Konzern selbst war aber nicht vertreten. So drehte sich ein Großteil der Anhörung um die Frage, welche alternativen, am liebsten deutschen Anbieter denn in welchem Zeitrahmen Lösungen für die in angeblich lauter Daten ertrinkenden Polizisten liefern könnten.

Christine Skropke, die Leiterin Public Affairs beim deutschen Palantir-Konkurrenten Secunet, antwortete nach mehrmaligem Drängen dann auf die Frage, wann denn eine Alternative fertig sei, mit der Angabe, dass ein deutsches Konsortium von Unternehmen in sechs bis zwölf Monaten eine vergleichbare Software liefern könne. Sie ließ aber auch gleich wissen, dass es dazu eine ordentliche „Anschubfinanzierung“ geben müsse.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

US-Geheimdienste dürfen weiterhin fast uneingeschränkt weltweit Datenströme anzapfen. Das hat am Wochenende der US-Kongress beschlossen. Aber auch innerhalb der Vereinigten Staaten haben Ermittlungsbehörden weitreichende Befugnisse. Manche davon wurden nun sogar ausgeweitet.

Die Überwachung durch Geheimdienste genießt in den USA breite parteiübergreifende Zustimmung. (Symbolbild) – Alle Rechte vorbehalten IMAGO / ABACAPRESS

US-Geheimdienste dürfen weiterhin das Internet großflächig überwachen. Mit breiter Mehrheit hat der US-Senat am frühen Samstagmorgen den „Reforming Intelligence and Securing America Act“ (RISAA) beschlossen. Das Repräsentantenhaus hatte bereits eine Woche zuvor zugestimmt, US-Präsident Joe Biden setzte am Wochenende seine Unterschrift darunter.

Das Gesetz verlängert die umstrittene Section 702 des „Foreign Intelligence Surveillance Act“ (FISA) um zwei Jahre. Diese Bestimmung erlaubt US-Diensten wie der National Security Agency (NSA), die elektronische Kommunikation außerhalb der USA praktisch ohne Einschränkungen zu überwachen.

Für heftige Debatten sorgte in den Vereinigten Staaten jedoch vor allem die Tatsache, dass dabei auch Daten von US-Bürger:innen im Inland in den Datenbanken landen – wenn sie beispielsweise mit ausländischen Nutzer:innen kommunizieren oder ihre Daten sonstwie die Landesgrenze überschreiten. Diese Daten dürfen Behörden wie das FBI etwa für strafrechtliche Ermittlungen nutzen, ohne zuvor einen von unabhängigen Richter:innen genehmigten Durchsuchungsbefehl einzuholen.

Massenhaft illegale Abfragen

Im Vorjahr hatte ein Bericht der zuständigen Aufsichtsbehörde enthüllt, dass sich das FBI großzügig an den Datenbergen bedient hatte. Über Jahre hinweg kam es millionenfach zu missbräuchlichen Abfragen der Datenbank, das belegen auch Gerichtsdokumente. Ins Visier gerieten unter anderem Black-Lives-Matter-Demonstrant:innen, Spender:innen politischer Kandidat:innen oder auch Protestierende, die im Jahr 2020 am Sturm des Kapitolgebäudes teilgenommen hatten.

Trotz aller Rufe nach Reformen, die unter anderem vom Vorsitzenden des Rechtsausschusses im Senat, dem einflussreichen Demokraten Dick Durbin, unterstützt worden waren, fehlten dafür letztlich ausreichend viele Stimmen. Dass das FBI inzwischen interne Prozesse geändert hat und stärker als zuvor kontrolliert wird, stimmte Durbin nicht zufrieden. „Wenn die Regierung meine private Kommunikation oder die von US-Bürger:innen überwachen will, dann sollte es für sie notwendig sein, sich das von einem Richter genehmigen zu lassen“, sagte Durbin.

Ausweitung auf mehr Anbieter

Abgesegnet wurde zudem eine weitere umstrittene Bestimmung. Zuvor hatte das Gesetz lediglich Betreiber von elektronischen Kommunikationsdiensten („electronic communication service provider“) verpflichtet, gegebenenfalls Daten an US-Behörden weiterzugeben. Jedoch wurde dies sehr weit ausgelegt und etwa auch auf Betreiber von Rechenzentren angewandt. Diese Praxis schränkte ein Gericht im Jahr 2022 ein.

Nun weitet das Gesetz die Klausel auf beliebige andere Betreiber aus („any other service provider“), die daran beteiligt sind, elektronische Kommunikation zu übermitteln oder zu speichern. Während Befürworter:innen davon sprechen, damit eine Regelungslücke geschlossen zu haben, halten sich zivilgesellschaftliche Gruppen mit ihrer Kritik nicht zurück. „Diese Bestimmung erlaubt es der Regierung, fast jedes Unternehmen in diesem Land dazu zu zwingen, bei der Erhebung gemäß Abschnitt 702 zu helfen, indem sie der NSA Zugriff auf ihre Telefone, Computer und WLAN-Router gewährt“, warnt etwa Elizabeth Goitein vom Brennan Center for Justice.

Kommerzielle Überwachungsdaten

Nicht ins überarbeitete Gesetz hat es hingegen ein Vorstoß geschafft, der US-Behörden verbieten sollte, weiter ohne Einschränkungen Daten bei sogenannten Databrokern einzukaufen und sie für ihre Arbeit zu nutzen. Dabei geht es um Daten, die üblicherweise für kommerzielle Zwecke gesammelt, verkauft und verwertet werden. Doch hat die Praxis, aus Smartphone-Apps oder sonstigem Online-Verhalten gewonnene Daten in staatliche Überwachungssysteme einfließen zu lassen, in den USA zuletzt stark zugenommen, ohne begleitend reguliert zu werden.

Schon seit längerem zirkuliert der „Fourth Amendment Is Not For Sale Act“ im US-Kongress, vergangene Woche wurde ein Entwurf im Repräsentantenhaus beschlossen. Demnach sollen US-Behörden solche Daten nicht einkaufen dürfen, wenn sie dafür sonst einen Durchsuchungsbefehl brauchen würden. „Die parteiübergreifende Verabschiedung des Gesetzentwurfs ist ein Alarmsignal für die Regierung, dass sie einen Durchsuchungsbefehl braucht, wenn sie unsere Daten will“, sagte Kia Hamadanchy von der Grundrechteorganisation American Civil Liberties Union (ACLU).

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Chef:innen europäischer Polizeibehörden attackieren gemeinsam die Ende-zu-Ende-Verschlüsselung, die der Meta-Konzern einführt. Sie erwecken dabei den Eindruck, von der Politik alleine gelassen zu werden – doch das genaue Gegenteil ist der Fall, wie Berichte von netzpolitik.org zeigen.

Europäische Polizeichefs warnen vor Verschlüsselung (Symbolbild) – Alle Rechte vorbehalten IMAGO / United Archives

Europas Polizeichefs und die Polizei Europol betätigen sich mal wieder als politische Akteure. Sie haben sich mit einer gemeinsamen Erklärung zu Wort gemeldet, in der sie beklagen, dass der Meta-Konzern die Privatsphäre-Standards für Millionen Bürger:innen auf seiner Plattform verbessert. Meta rollt derzeit mit einiger Verspätung Ende-zu-Ende-Verschlüsselung für die Kommunikation auf Instagram und Facebook aus.

In diesem Vorgang sehen die Polizeien die Gefahr von rechtsfreien Räumen, oder wie sie es ausdrücken: „Räumen außerhalb der Reichweite der Strafverfolgungsbehörden“. Dieses Argumentationsmuster des „Going Dark“ und auch der Adressat Facebook sind alles andere als neu, die Worte der europäischen Polizeichefs dafür umso alarmistischer. Europol-Chefin Catherine De Bolle lässt sich folgendermaßen zitieren:

Unsere Wohnungen werden gefährlicher als unsere Straßen, da sich die Kriminalität ins Internet verlagert. Um die Sicherheit unserer Gesellschaft und der Menschen zu gewährleisten, muss dieses digitale Umfeld gesichert werden. Technologieunternehmen haben eine soziale Verantwortung, ein sichereres Umfeld zu schaffen, in dem Strafverfolgung und Justiz ihre Arbeit tun können. Wenn die Polizei nicht mehr in der Lage ist, Beweise zu sammeln, wird unsere Gesellschaft nicht in der Lage sein, die Menschen davor zu schützen, Opfer von Verbrechen zu werden.

„Schädliche und strafbare Inhalte“ erkennen

In einer gemeinsamen Erklärung (PDF), die offenbar bei einem Treffen europäischer Polizeichefs in London beschlossen wurde, heißt es, dass die bei Meta derzeit eingeführte Verschlüsselung die Strafverfolgungsbehörden daran hindern würde, Beweise zur Verhinderung und Verfolgung schwerster Straftaten wie sexuellem Kindesmissbrauch, Menschenhandel, Drogenschmuggel, Morden, Wirtschaftskriminalität und terroristischen Straftaten zu erlangen.

Den Technologieunternehmen kommt nach Ansicht der Polizeichefs die Rolle zu, einerseits „schädliche und strafbare Inhalte“ auf ihren Plattformen zu erkennen und zu melden und andererseits Beweise im Rahmen der Strafverfolgung zur Verfügung zu stellen. Unsere Gesellschaften hätten bisher keine Räume geduldet, die außerhalb der Reichweite der Strafverfolgung seien und in denen Kriminelle gefahrlos kommunizieren könnten, so die Erklärung.

Bricht man diese Forderung etwas herunter, müsste man auch Kneipen verpflichten, die Gespräche ihrer Gäste präventiv mitzuschneiden, nach bestimmten Inhalten zu suchen und die Aufnahmen für die Polizei vorzuhalten. Interessant dabei auch: Für die europäischen Polizeichefs geht es ganz offensichtlich nicht nur um strafbare Inhalte, die sie erkannt und gemeldet sehen wollen, sondern auch um „schädliche“ Inhalte – für die Strafverfolgungsbehörden aber gar nicht zuständig sind, zumal unklar ist, was das überhaupt ist.

„Security-by-Design“

Im Bezug auf Verschlüsselung schreiben die Polizeichefs: Man akzeptiere nicht, „dass es eine binäre Wahl geben muss zwischen Cybersicherheit oder Datenschutz einerseits und öffentlicher Sicherheit andererseits“ – und schlägt deswegen den allerdings schon besetzten Terminus „Security by Design“ vor. Während der ursprüngliche Begriff IT-Sicherheit meint, setzen die Polizeichefs nun die „öffentliche Sicherheit“ als höchstes Ziel ein und grenzen sich begrifflich zum etablierten Konzept „Privacy by Design“ ab. „Security by Design“ würde demnach sicherzustellen, dass die Technologieunternehmen in der Lage seien, „schädliche und illegale Aktivitäten“ zu erkennen und zu melden.

Die Technologie dafür existiere, es brauche nur Flexibilität der Unternehmen und der Regierungen. Um was für eine existierende Technologie es sich dabei handeln solle – beispielsweise Client-Side-Scanning, Geister-User, Hintertüren und Generalschlüssel oder schwache Verschlüsselung – verschweigt die gemeinsame Erklärung allerdings. Generell bleibt der Text technisch vage, vermengt an einer Stelle Verschlüsselung mit Anonymität, um Metas Verschlüsselungsinitiative mit dem Darknet zu vergleichen.

Am Ende ihrer Erklärung fordern die Behörden neue Befugnisse von den Gesetzgebern: „Wir fordern unsere demokratischen Regierungen auf, Rahmenbedingungen zu schaffen, die uns die Informationen geben, die wir brauchen, um unsere Bürger zu schützen.“

Das kritisiert Linus Neumann, Sprecher des Chaos Computer Clubs, mit Verweis auf früheres Five-Eyes-Lobbying gegen Facebook: „Es ist faszinierend, wie durchsichtig und dreist sich die Polizeibehörden just nach einem Besuch in London als öffentliche Lobby-Gruppe der Five Eyes engagieren.“ Üblicherweise brauchten Sicherheitsbehörden ja keine offenen Briefe, um bei ihren jeweiligen Ministerien Gehör zu finden. „Hier betreiben Sicherheitsbehörden Meinungsmache zum Abbau von Freiheitsrechten“, so Neumann weiter.

EU-Arbeitsgruppe sägt schon an Verschlüsselung

Während der offene Brief den Eindruck hinterlässt, dass die Polizei quasi als Opfer ohne politischen Rückhalt dasteht, hat die Europäische Union schon im letzten Jahr eine High-Level-Arbeitsgruppe (HLEG) gegen Verschlüsselung und Anonymität eingesetzt, die das Prinzip des „Security by Design“ postulierte. Unter weitgehenden Ausschluss der Öffentlichkeit blieb der Sicherheitsapparat in den ersten Sitzungen vor allem unter sich, wie wir berichteten.

Dementsprechend waren dann auch die Forderungen der Arbeitsgruppe: Sie wünscht sich etwa eigene Zugänge für Ermittlungsbehörden in IT-Geräten und -Anwendungen, am besten gleich abgesegnet von Standardisierungsgremien und verkauft das als „Security by Design“. Zudem will sie die Vorratsdatenspeicherung wieder europaweit einführen und mehr Daten von Messengern wie Signal, die auf Datensparsamkeit und Verschlüsselung setzen.

Bei den vier Treffen, zu denen geschwärzte Teilnehmerlisten vorliegen, waren neben den EU-Institutionen und Polizeien der EU-Länder fast nur Abgesandte der Polizeibehörde Europol, der Justizbehörde Eurojust oder der Koordinator für die Terrorismusbekämpfung zugegen. Nichtregierungsorganisationen hingegen wurden quasi ausgeladen, beschwerten sich dann – und wurden dann erstmals angehört.

Auch schon bei der Entwicklung der Chatkontrolle-Gesetzgebung hatten Sicherheitsbehörden eine zentrale Rolle eingenommen. So waren Geheimdienstvertreter:innen und Polizeien verschiedener Länder frühzeitig eingebunden, wie Recherchen von netzpolitik.org belegt haben. Herausgekommen sind deswegen immer Ansätze, welche auf die Schwächung und Umgehung von Verschlüsselung abzielten.

Die Mär vom Going Dark

Das Postulat des „Going Dark“ wegen Verschlüsselung ist wissenschaftlich umstritten. Eine Studie der Harvard Universität kam 2016 zum Schluss: Auch wenn einzelne Kanäle in Zukunft schwieriger zu überwachen sein werden, tun sich gleichzeitig neue Wege der Überwachung auf. Die fortschreitende Digitalisierung eröffnet den Ermittlungsbehörden eben auch zahlreiche weitere Ermittlungsansätze, die sie davor noch gar nicht hatten. Dies bestätigte auch eine Studie des niederländischen Justizministeriums aus dem Jahr 2023. Dort hieß es, die Polizei habe sich immer schon Alternativen überlegen müssen, um trotzdem an die relevanten Informationen zu kommen.

Polizeibehörden haben in den letzten Jahren bewiesen, dass sie trotz der Existenz von Verschlüsselung immer wieder mit klassischen und kreativen Ermittlungsansätzen Fahndungserfolge gegen alle möglichen Formen der Kriminalität vorweisen konnten. Sogar im jetzt wieder beschworenen Darknet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Doctolib ist hierzulande die führende Plattform für Online-Arzttermine. Trotz wachsender Kritik von Datenschützer:innen ist das Unternehmen seit Jahren auf Erfolgskurs – und auf bestem Wege, die Datenverarbeitung im Gesundheitswesen von ethischen Prinzipien zu befreien. Ein Kommentar.

Wer hierzulande einen Arzttermin benötigt, kommt an diesem Unternehmen kaum noch vorbei. – Alle Rechte vorbehalten IMAGO / ABACAPRESS

Einer Patientin des Universitäts-Schlaflabors in Mannheim ist nach eigenen Angaben eine Behandlung verweigert worden, weil sie ihre Termine nicht über den IT-Dienstleister Doctolib abwickeln wollte. Ein angestellter Arzt befürchtet, sich strafbar zu machen, weil seine Praxis Termine über den Dienst vermittelt. Und Patienten, die Termine mündlich und fernmündlich bei ihrem Arzt verabredet haben, erhalten überraschend von Doctolib per SMS oder E-Mail eine Terminbestätigung und fragen sich, wie das Unternehmen an ihre vertraulichen Daten gekommen ist.

Die Zahl solcher Anfragen und Beschwerden, die bei Datenschutzaufsichtsbehörden und Ärztekammern zu Doctolib eingehen, wächst. Dessen ungeachtet ist das Unternehmen seit Jahren auf Erfolgskurs und auf bestem Wege, die Datenverarbeitung im Gesundheitswesen von ethischen Prinzipien zu befreien.

Vom Start-up zum Unicorn

Doctolib wurde 2013 in Frankreich gegründet. Drei Jahre später verfügte das Unternehmen landesweit schon über mehrere Dutzend Standorte und rund 230 Beschäftigte. Im Jahr 2016 expandierte es nach Deutschland, und bereits 2019 wurde Doctolibs Marktwert mit mehr als einer Milliarde Euro bemessen. Das Unternehmen war damit in nur sechs Jahren zum „Unicorn“ aufgestiegen.

Nach etlichen Finanzierungsrunden und weiteren Expansionen nach Italien und in die Niederlande erreichte Doctolib vor zwei Jahren einen Marktwert von rund 5,8 Milliarden Euro. Zum Vergleich: Der mit Blick auf den Umsatz weitaus größere Konkurrent CompuGroup Medical (CGM) wurde im vergangenen Jahr mit „nur“ zwei Milliarden Euro bewertet.

Doctolib agiert in einer Doppelrolle, nämlich als externer Auftragsverarbeiter und als eigenständiger Dienstleister. Zum einen ist Doctolib ein Terminmanager für Ärzte und weitere Gesundheitseinrichtungen. Sie zahlen für den Dienst jeweils knapp 140 Euro im Monat. Zum anderen ist Doctolib ein Dienstleister für Patienten. Für sie ist der Dienst kostenfrei, allerdings können sie Doctolib nur dann nutzen, wenn sie sich bei dem Dienst registrieren. Das Unternehmen erhält die Nutzerdaten damit unabhängig vom direkten Arztkontakt.

Doctolib leitet aus der Doppelfunktion das Recht ab, diese Daten auch zu weiteren Zwecken nutzen zu dürfen. Sie unterlägen demnach nicht dem besonderen Schutz des Patientengeheimnisses. Das Unternehmen bestreitet zugleich, Zugriff auf die Patientendaten zu haben oder diese zu anderen Zwecken zu verwenden. Überprüfen lässt sich das jedoch kaum.

Marktanteil von 60 Prozent

Gegenüber den Gesundheitseinrichtungen erklärt das Unternehmen, dass es die Stammdaten der Patienten benötige, um das Terminmanagement zu betreiben. Dazu gehören Namen, Geschlecht, Geburtsdatum, Telefonnummer, Patientennummer, Versichertenstatus sowie die Notizen und Termindaten der Ärzte, zu denen auch der „Besuchsgrund“ zählt.

Für viele Gesundheitseinrichtungen ist das Angebot bequem. Zugleich zwingen sie ihre Patienten faktisch dazu, bei Doctolib ein Konto zu eröffnen, um mit ihrer Arztpraxis zu kommunizieren. Auf diese Weise sammelt Doctolib seit Jahren die Daten von Patientinnen und Patienten – und erhielt dafür im Jahr 2021 den Big Brother Award.

Bei der Terminvermittlung von Ärzten erreichte das Unternehmen im November 2023 bundesweit einen Marktanteil von 60 Prozent. In Frankreich liegt er mutmaßlich noch höher.

Nach eigenen Angaben hat das Unternehmen aktuell insgesamt rund 80 Millionen Personen in seinen Datenbanken erfasst. Europaweit nutzen etwa 900.000 Angehörige von Heilberufen den Dienst, hierzulande sind es etwa 70.000 niedergelassene Ärzte und Therapeuten sowie 400 Kliniken. Zu Letzteren zählen Einrichtungen des Sana-Konzerns, der St. Augustinus Gruppe, der Atos-Kliniken und viele weitere. Jeden Monat kommen nach Unternehmensangaben rund 300.000 Kunden hinzu.

Steter Ausbau des Angebots

Das Unternehmen erweitert kontinuierlich seine IT-Angebote für Gesundheitseinrichtungen. Dazu gehören Dienste für Arztsuche und Videosprechstunden, zur Dokumentation von Gesundheitsunterlagen sowie zur Kommunikation zwischen Patienten und Gesundheitseinrichtung. Und mitunter kommt es dabei auch zu ungewöhnlichen Kooperationen wie etwa mit dem größten Verkehrsklub hierzulande.

So bietet etwa das Angebot Doctolib Hospital nicht nur die Vermittlung von Terminen, sondern auch eine „Optimierung des Zuweismanagements und eine intersektorale Vernetzung“ an. Unternehmen, die das Angebot nutzen, werden „vollständig mit Ihrem Krankenhausinformationssystem (KIS) verbunden“, wodurch etwa Dokumente „vom Patientenportal ins KIS und zurück sowie in die elektronische Patientenakte (ePA) übertragen werden“ können.

Anfang 2023 kaufte Doctolib das Unternehmen „Siilo“. Der bis dahin größte Anbieter für Gesundheitsmessenger in Europa vernetzte nach eigenen Angaben rund 450.000 Gesundheitsanbieter miteinander.

Und am 14. März dieses Jahres gab Doctolib bekannt, dass es die Ausschreibung der Charité gewonnen hat. Die europaweit größte Universitätsklink mit Sitz in Berlin plant die Einführung eines Patientenportals, das gemäß dem Krankenhauszukunftsgesetz gefördert wird. Die Charité hat an vier Standorten mehr als 100 Kliniken und Institute.

Bereits im Januar verkündete Doctolib eine Kooperation mit dem ADAC. Konkret geht es dabei um einen gemeinsamen „niederschwelligen Zugang zur gesundheitlichen Versorgung“. Ermöglichen soll dies die Integration von Doctolibs Arztterminbuchung in die „ADAC Medical App“. Nutzer können damit „von unterwegs oder bequem zu Hause sowie rund um die Uhr Termine vereinbaren und behalten dank aller relevanten Informationen jederzeit den Überblick“.

Zweifelhafte Zertifikate

In der Vergangenheit versicherte das Unternehmen, mit jenen Behörden zusammenzuarbeiten, „die für den Schutz von personenbezogenen Daten zuständig sind“. Wie diese „Zusammenarbeit“ aussieht, lässt sich den Jahresberichten der Berliner Datenschutzaufsicht aus den Jahren 2019 bis 2022 entnehmen: Demnach ignoriert Doctolib vor allem deren Kritik.

Gleichzeitig schmückt sich das Unternehmen gerne mit einer Vielzahl an Zertifikaten. Schaut man aber auch hier genauer hin, erweist sich deren Qualität mitunter als zweifelhaft.

So stammt etwa die Zertifizierung ISO/IEC 27001/27701 durch die BSI-Group – anders als man auf den ersten Blick vermuten könnte – nicht vom Bundesamt für die Sicherheit in der Informationstechnik (BSI), sondern von einer British Standards Institution, ohne dass Doctolib für die Vergabe auf Nachfrage vertiefte Nachweise vorlegte. Nach der Intervention des Netzwerks Datenschutzexpertise änderte das Unternehmen die entsprechende Presseerklärung nachträglich.

Darüber hinaus wirbt Doctolib mit einem deutschen C5-Testat, das tatsächlich auf einen Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik zurückgeht und Mindestanforderungen an sicheres Cloud Computing spezifiziert. Allerdings wird dieses Testat durch eine Selbstzertifizierung etwa gegenüber einem Wirtschaftsprüfer vergeben. Zudem ist das Zertifikat – zumindest hinsichtlich des Einsatzes des Terminmanagements – mutmaßlich ungültig. Denn es gilt nur für Auftragsverarbeiter, Doctolib verarbeitet jedoch eigenverantwortlich Daten.

Mehrere Datenschutz-Gutachten kritisieren Doctolib

Die Zertifikate können somit nicht über Zweifel daran hinwegtäuschen, dass Doctolibs Angebote durchweg datenschutzkonform sind. Das untermauern auch mehrere Gutachten des Netzwerks Datenschutzexpertise, an denen der Autor maßgeblich mitgewirkt hat.

Bereits das erste von bislang drei Gutachten aus dem Jahr 2021 kommt zu dem Schluss, dass Doctolib entgegen seiner eigenen Darstellung nicht als Auftragsverarbeiter, sondern als verantwortlicher Dienstleister tätig sei. Das aber verletzt nicht nur den Datenschutz, sondern auch das Patientengeheimnis.

Nach § 203 StGB machen sich Personen, die Heilberufe ausüben, und an der ärztlichen Berufstätigkeit Mitwirkende – zu denen auch Doctolib zählt – strafbar, wenn sie Patientengeheimnisse offenbaren oder dazu Beihilfe und Anstiftung leisten. Der Vorwurf der Strafbarkeit trifft nicht nur den Dienstleister selbst, sondern auch Ärzte und sonstige Gesundheitsfachkräfte, die das Terminmanagement von Doctolib verwenden.

Im Juli 2022 folgte ein aktualisiertes Datenschutz-Gutachten. Der Veröffentlichung waren zwar einige Änderungen in den Allgemeinen Geschäftsbedingungen von Doctolib vorausgegangen. Dessen ungeachtet kommt auch das zweite Gutachten zu dem Schluss, dass Doctolibs Angebot nicht datenschutzkonform sei.

Ein mageres Gesprächsangebot

Nach der Veröffentlichung des zweiten Gutachtens unterbreitete das Netzwerk dem Unternehmen das Angebot, miteinander ins Gespräch zu kommen. Auf entsprechende Anfragen reagierte Doctolib jedoch damals nicht.

Konkurrierenden Unternehmen, die sich auf die Gutachten des Netzwerks Datenschutzexpertise beriefen, mahnte Doctolib wegen unlauteren Wettbewerbs ab. Dabei forderte das Unternehmen zum Teil Schadenersatz in Höhe von rund 50.000 Euro. Diese Abmahnungen veranlassten das Netzwerk Datenschutzexpertise dazu, Ende Oktober vergangenen Jahres ein drittes Gutachten zu veröffentlichen, in dem es darlegte, warum die Abmahnungen unberechtigt seien.

Wenige Wochen nach der Veröffentlichung erklärte sich der Geschäftsführer von Doctolib Deutschland, Nikolay Kolev, zu einem Gespräch mit dem Netzwerk Datenschutzexpertise bereit. Kolev versicherte bei dieser Gelegenheit zwar, dass sein Unternehmen dem Datenschutz eine hohe Bedeutung einräume. Der Forderung des Netzwerks Datenschutzexpertise, von weiteren Abmahnungen abzusehen, wollte er aber nicht explizit entsprechen. Seitdem sind aber immerhin keine weiteren Abmahnungen öffentlich bekannt geworden.

Doctolib ignoriert weitgehend Kritik von Datenschutzaufsicht

Auch die Kritik der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) ließ Doctolib weitgehend an sich abprallen.

So beauftragte die Berliner Senatsverwaltung für Gesundheit das Unternehmen Ende 2020 damit, die Corona-Impftermine für Bewohner der Bundeshauptstadt zu vermitteln. Dafür mussten sich die Impfwilligen auf dem Webportal von Doctolib ein Konto einrichten, über das die Impftermine vergeben wurden. Mehr als zwei Millionen Berlinerinnen und Berliner haben sich daraufhin bei dem Unternehmen registriert.

Für die Stadt war dies eine kostengünstige Lösung. Es fielen lediglich 0,16 Cent pro Terminerinnerung an. Für Doctolib war es hingegen eine wirksame Werbemaßnahme, mit dem es nicht nur seine Nutzerbasis, sondern auch seinen Bekanntheitsgrad vergrößerte.

Dass die BlnBDI die Sammlung der sensiblen Gesundheitsdaten während der Pandemie als rechtswidrig kritisierte, störte offenbar weder die Gesundheitsverwaltung noch das Unternehmen. Bereits in ihrem Tätigkeitsbericht für das Jahr 2019 hatte die BlnBDI die unzulässige Datenverarbeitung bei Ärzten angeprangert. In den Tätigkeitsberichten zu 2021 und 2022 bekräftigte die Berliner Datenschutzaufsicht ihre Kritik.

Gänzlich folgenlos blieb die anhaltende Kritik nicht. Anfang 2022 änderte Doctolib immerhin seine Allgemeinen Geschäftsbedingungen. Offenbar versuchte das Unternehmen einige mutmaßliche Rechtsverstöße, die der BlnBDI angemahnt hatte, zu beheben, ohne das zugrundeliegende Geschäftsmodell zu ändern. So wurde etwa die Cookie-Übermittlung an Google gestoppt und wohl auch bei der Datensicherheit nachgebessert.

Zu weitergehenden Schritten zeigt sich das Unternehmen indes nicht bereit, auch weil es die BlnBDI in seinem Fall als nicht zuständig erachtet. Nach eigenen Angaben unterliege Doctolib, da die Konzernmutter ihren Sitz in Frankreich hat, der Aufsicht der „Commission Nationale de l’Informatique et des Libertés“ (CNIL).

Eine solche Argumentation ist juristisch zumindest fragwürdig, da laut DSGVO ausschlaggebend ist, an welchem Ort die Entscheidungen über die Datenverarbeitung getroffen werden – und das ist mutmaßlich die Doctolib GmbH in Berlin.

Doctolib endlich in die Schranken weisen

Es geht hier aber nicht „nur“ um Datenschutz, sondern auch um das Patientengeheimnis. Dieses dient dem Vertrauen der Patienten in die Heilberufler und in das gesamte Gesundheitssystem. Doctolib ist somit auf dem besten Weg, die Datenverarbeitung im Gesundheitswesen von ethischen Prinzipien zu „befreien“.

Zudem erinnert die Expansion des Unternehmens an den Aufstieg der Unternehmen des Silicon Valleys in den zurückliegenden Jahrzehnten. Auch sie sicherten sich ihre informationstechnische Dominanz und ihren Profit zulasten der digitalen Grundrechte. All das verdeutlicht, dass Doctolibs Angebote endlich entschiedener kontrolliert und reguliert werden müssen.

Ein Patient sollte sich weigern können, die Dienste von Doctolib zu nutzen, ohne dass er deshalb bei einem Arzt oder einer Gesundheitseinrichtung Nachteile erleidet. Ist dies nicht der Fall, sollten sich Betroffene bei der zuständigen Datenschutzaufsichtsbehörde des Bundeslandes oder bei der Heilberufekammer der jeweiligen Region beschweren.

Außerdem kann ein Patient einen Antrag bei Doctolib stellen, um gemäß Art. 15 Datenschutzgrundverordnung (DSGVO) Auskunft darüber zu erhalten, welche Daten das Unternehmen über sie gespeichert hat. Einen umfassenden Einblick in den Datenschatz sollten einzelne Nutzer allerdings nicht erwarten. Denn Doctolib wird ihnen voraussichtlich nicht mitteilen, welche Daten es als vermeintlicher „Auftragsverarbeiter“ vom behandelnden Arzt erhalten hat.

Wer über ein Konto bei Doctolib verfügt und möchte, dass die dort gespeicherten Daten gelöscht werden, kann seinen Account kündigen. Doctolib ist verpflichtet, dem Ersuchen nachzukommen. Sicherheitshalber sollten Nutzerinnen und Nutzer das Unternehmen auch noch explizit zur Löschung der eigenen Daten auffordern.

Einzelne Kündigungen werden aber nicht ausreichen, damit das Unternehmen sein Geschäftsgebaren auch nachhaltig ändert. Es ist daher an den Aufsichtsbehörden, aber auch an den Heilberufekammern, dem Verbraucherschutz, den Standes- und den Patientenvertretungen den datenschutzrechtlichen Verstößen von Doctolib endlich Einhalt zu gebieten.

Thilo Weichert, Jurist und Politologe, ist Vorstandsmitglied der Deutschen Vereinigung für Datenschutz e. V. (DVD) und Mitglied des Netzwerks Datenschutzexpertise. Von 2004 bis Juli 2015 war er Datenschutzbeauftragter von Schleswig-Holstein und damit Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) in Kiel.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Schaden digitale Lernmittel mehr, als dass sie nutzen? Schweden und Dänemark wollen eine Kehrtwende in der Schuldigitalisierung vollziehen. Und auch hierzulande fragt man sich: Müssen unsere Klassenzimmer wieder analoger werden? Doch ganz so einfach ist es dann doch nicht.

Tablet oder Kreidetafel – womit lernt es sich besser? – Alle Rechte vorbehalten IMAGO / Funke Foto Services

Nicht erst seit der Corona-Pandemie wird gefordert: Die Schulen müssen digitaler werden! Tablets statt Schulbücher in alle Klassenzimmer!

Zuletzt kamen jedoch Zweifel an dieser Forderung auf. Nutzen Schüler:innen digitale Geräte, lernen sie angeblich schlechter. Mancherorts haben diese Bedenken nun zu einer drastischen Umkehr in der Bildungspolitik geführt. Schweden und Dänemark galten bislang als strahlende Vorbilder in der Schuldigitalisierung. Nun aber wollen beide Länder ihre Schulen wieder analoger machen.

Diese Kehrtwende facht auch in Deutschland die Diskussion wieder an: Schadet die Schuldigitalisierung den Schüler:innen mehr, als dass sie ihnen nutzt?

Kehrtwende in Schweden und Dänemark

Der Grund für die Kehrtwende in Schweden und Dänemark ist eine Stellungnahme des renommierten Karolinska-Instituts vor knapp einem Jahr. Die Forschenden aus Medizin und Psychologie kommen darin zu einem erstaunlichen Urteil: „Die Digitalisierung der Schulen [hat] große negative Auswirkungen auf den Wissenserwerb der Schüler“.

Bis vor Kurzem hatte die schwedische Bildungsbehörde noch ganz andere Töne verlauten lassen: Man wolle die Schulen noch digitaler machen, von der Vorschule an. So hatte es die Behörde in ihrem Vorschlag zur „nationalen Digitalisierungsstrategie für das Schulsystem 2023-2027“ vorgestellt. Ebendiese Empfehlung hatten die Verfasser:innen der Stellungnahme nun überprüft. Ihr Fazit: Das schwedische Bildungsministerium solle den Vorschlag der Bildungsbehörde rundweg ablehnen.

Schwedens Bildungsministerin Lotta Edholm kündigte daraufhin an, die Digitalisierung von Lernmitteln auszubremsen: „Wir wissen, dass Lesen am besten durch Bücher gefördert wird und dass wir ein großes Problem in schwedischen Schulen haben, mit zu vielen Bildschirmen und zu wenigen Büchern“, so Edholm.

Dänische Schüler beklagen Mangel an Medienkompetenz

Die Wellen der schwedischen Kehrtwende schlugen bis nach Dänemark. Bislang galt das Nachbarland als europäischer Vorreiter in Sachen Schuldigitalisierung. Doch selbst Schüler:innen beklagen dort inzwischen, in der Schule nicht genügend über den Umgang mit neuen Technologien unterrichtet zu werden: „Das dänische Bildungssystem versagt noch immer darin, uns auf die digitale Welt vorzubereiten“, erklärt Asger Kjær Sørensen auf Anfrage auf Englisch. Sørensen ist der Vorsitzende der Danske Gymnasieelevers Sammenslutning – der Vereinigung von Schüler:innen der höheren Oberschulen (vergleichbar mit deutschen Oberstufen) in Dänemark.

Und auch Dänemarks Bildungsminister Tesfaye schlägt inzwischen reumütige Töne an: Er entschuldigte sich, die Schüler:innen zu „Versuchskaninchen in einem digitalen Experiment“ gemacht zu haben.

Sørensen wird hier konkreter: „Aktuell würde ich sagen, dienen wir in einer anderen Hinsicht als Versuchskaninchen: Denn wir verlassen das Schulsystem ohne die nötigen Kompetenzen zu besitzen“, so der Schüler, „um durch die digitalisierte Welt zu navigieren und ohne ein Verständnis für die Technologien entwickelt zu haben, die entscheidend für die Reste unserer Leben und Karrieren sein werden.“. Die neuen Geräte seien an Schulen eingeführt worden, ohne darüber zu reflektieren, wie sie genutzt werden sollten und wie sie sich auf das Lernen auswirken. Eine bessere Schuldigitalisierung würde bedeuten, die bestehenden Technologien auf eine Weise in den Unterricht einzubeziehen, die die Schüler:innen dazu anregt, sich kritisch und konstruktiv mit ihnen auseinanderzusetzen, meint Asger Sørensen.

Das dänische Bildungsministerium will nun ein Gleichgewicht zwischen analogem und digitalem Unterricht herstellen, wie es in einer Pressemittelung des dänischen Bildungsministeriums heißt. Bildschirme sollen in Klassenzimmern nur noch dann eingesetzt werden, wenn es pädagogisch und didaktisch sinnvoll ist. So lautet eine von zwölf Empfehlungen, die ab sofort an dänischen Schulen umgesetzt werden sollen.

Droht „Digitale Demenz“?

Auch in Deutschland wird die Debatte um die Schuldigitaliserung derzeit wieder intensiver geführt – auch unter dem Eindruck der Maßnahmen der Corona-Jahre, die nun rückblickend bewertet werden sollen. Über Monate waren damals die Schulen geschlossen und etliche Kinder wurden vorwiegend mit digitalen Mitteln unterrichtet. Seitdem haben die Kompetenzen der Schüler:innen abgenommen – auch wenn Bildungsforschende dies nur zum Teil auf die damaligen Maßnahmen zurückführen.

Die aktuelle Debatte ist auch Wasser auf die Mühlen jener Mahner, die seit Jahren vor der Digitalisierung warnen. Dazu zählt unter anderem der Neurowissenschaftler Manfred Spitzer. Er argumentierte bereits 2012 in seinem umstrittenen Buch „Digitale Demenz“, dass digitale Medien die Entwicklung des Gehirns beeinträchtigten. In mitunter alarmistischen Tönen kritisiert er auch politische Initiativen, die vorsahen, „alle Schüler mit Notebooks auszustatten und die Computerspiel-Pädagogik zu fördern“.

Kritik des Karolinska-Instituts an schwedischer Strategie

Auf den ersten Blick scheint das Karolinska-Institut Spitzers Behauptungen recht zu geben. So kommt dessen Stellungnahme unter anderem zu dem Schluss, dass Schüler:innen, die Texte auf Tablets lesen, in der Entwicklung zurück hingen. Es sei schwieriger, sich an Informationen zu erinnern, die auf einem Bildschirm statt in einem Buch gelesen wurden, so die Forschenden. Das Entwicklungsdefizit in der Lesekompetenz jener Schüler:innen, die auf einem Bildschirm lesen, betrüge etwa zwei Jahre gegenüber solchen, die auf Papier lesen.

Der Einsatz digitaler Medien führe zudem zu mehr Multitasking und dies wiederum zu schlechterem Lernen. Unser Gehirn sei jedoch nur begrenzt in der Lage, relevante Informationen im Arbeitsgedächtnis zu speichern, so die Forschenden. Auch personalisierte Online-Werbung würde immer wieder dafür sorgen, dass wir abschweifen.

Kinder unter zwei Jahren sollten digitale Werkzeuge überhaupt nicht nutzen, das empfehle auch die Weltgesundheitsorganisation (WHO). Kinder unter sechs Jahre sollten täglich weniger als eine Stunde vor einem Bildschirm verbringen. Auch das steht im Widerspruch zur Strategie der schwedischen Bildungsbehörde, die auch an Vorschulen den Einsatz digitaler Lernmittel verstärken wollte.

Bedingte Aussagekraft der Stellungnahme

Eine „Digitale Demenz“, wie von Spitzer heraufbeschworen, befürchten die Forschenden indes nicht: „Wir möchten darauf hinweisen, dass es trotz der eindeutigen Risiken der Digitalisierung von Schulen auch Belege dafür gibt, dass sich bestimmte digitale Lernmaterialien positiv auf das Lernen auswirken können“. Deshalb sei es dringend notwendig, dass verschiedene Akteure zusammen daran arbeiten, wirksame digitale Lernmaterialien zu entwickeln.

Die Studie erntet jedoch auch Widerspruch. Kritiker:innen bemängeln etwa, dass sich die Verfasser:innen lediglich mit digitalen Lehrbüchern befasst hätten, nicht aber mit den zahlreichen anderen Lernmitteln, für die digitale Geräte eingesetzt werden können.

Die Verfasser:innen selbst räumen ein, ausschließlich medizinische und psychologische Folgen des Einsatzes digitaler Lernmittel betrachtet zu haben. Unter anderem pädagogische und soziologische Aspekte seien zu kurz gekommen, weil die Nationale Agentur für Bildung keine heterogenere Forschungsgruppe zusammengestellt hatte. Um die Auswirkungen der unterschiedlichen Maßnahmen auf den Wissenserwerb und die digitale Kompetenz umfassend zu bewerten, brauche es daher Folgestudien, so die Forschenden.

Mehr Medienkompetenz statt mehr digitale Geräte

Vor allem aber liege das Problem, so die Wissenschaftler:innen, nicht grundsätzlich in der Nutzung digitaler Lernendgeräte begründet, sondern vielmehr darin, wie diese eingesetzt werden. Statt die Klassenräume mit Tablets zu fluten, sollte der Fokus stattdessen stärker darauf gelegt werden, wie Medienkompetenz vermittelt wird.

So habe die schwedische Digitalstrategie an Schulen bisher hauptsächlich darin bestanden, analoge durch digitale Lernmittel zu ersetzen. Die nötigen Kompetenzen seien dabei kaum vermittelt worden. Auch deshalb habe sich der Wissenserwerb der Schüler:innen verschlechtert.

Damit die Digitalisierungsstrategie erfolgreich ist, so die Empfehlung der schwedischen Wissenschaftler:innen, müssten Lehrkräfte wie Schüler:innen gezielt hinsichtlich ihrer digitalen Fähigkeiten und Medienkompetenzen weitergebildet werden.

Zum Teil nur „Klicken und Wischen“

Mehr Medienerziehung, wie das Karolinska-Institut fordert, wäre auch für deutsche Schüler:innen dringend notwendig. Das verdeutlicht bereits die International Computer and Information Literacy Study (ICILS) aus dem Jahr 2018. Die Studie vergleicht international die Medienkompetenz von Achtklässler:innen. Auch die Ausstattung von Schulen mit digitalen Lern-Endgeräten wird dabei erfasst.

Demnach erreichte damals ein Drittel der Schüler:innen in Deutschland nur die unteren beiden Kompetenzstufen. „Damit konnten diese Schüler:innen eigentlich nur ‚Klicken und Wischen‘“, stellt Birgit Eickelmann auf Anfrage fest. Sie ist Professorin an der Universität Paderborn und wissenschaftliche Leiterin der ICIL-Studie in Deutschland. Insgesamt lag die Bundesrepublik 2018 in der ICIL-Studie im internationalen Vergleich im Mittelfeld. Große Defizite zeigten sich damals auch in der Ausstattung der Schulen hierzulande – etwa mit WLAN, Endgeräten und Lernplattformen.

Die Studienergebnisse von 2018 sind aus heutiger Sicht mit Vorsicht zu genießen. Der Digitalpakt Schule ist erst seit 2019 in Kraft, und auch die Corona-Pandemie hat den digitalen Schulalltag nachhaltig verändert. Die Auswirkungen der vergangenen Jahre werden sich daher erst in den Ergebnissen der ICIL-Studie 2023 niederschlagen, die Ende dieses Jahres veröffentlicht wird.

Im vergangenen Jahr nahm Schweden erstmals an der ICILS teil. Gerade mit Blick auf die aktuelle Debatte werden die Ergebnisse dort mit Spannung erwartet.

Die Digitalisierung pausieren?

Dass sich die Lage hierzulande in den vergangenen Jahren erheblich verbessert habe, glaubt der deutsche Digitalexperte Ralf Lankau indes nicht. Lankau ist Professor für Medientheorie und Mediengestaltung an der Hochschule Offenburg. Er kritisiert, dass Kinder und Jugendliche durch Streamingdienste, TikTok und Co. zu „suchtgesteuerten Konsumäffchen“ gemacht werden, statt dass die Potenziale der Techniken und Dienste genutzt würden.

Lankau meint, dass die Kompetenz im Gebrauch darüber entscheidet, ob digitale Lernmittel den Lernenden eher nutzen oder schaden. Die qualifizierte Lehrkraft müsse entscheiden, wann der Einsatz von digitalen Medien den Unterricht voranbringt. Relevant dafür seien unter anderem das Alter der Schüler:innen, das jeweilige Fach sowie die Schulform.

Damit ihr Einsatz möglich ist, müssten deutsche Schulen aber genauso gut mit Endgeräten wie Tablets, Laptops und PCs ausgestattet werden wie Schulen in skandinavischen Ländern. Außerdem müssten flächendeckend Bildungsserver zur Verfügung stehen.

Der Forscher war im November 2023 einer der Unterzeichner eines Papiers, das ein Moratorium der Digitalisierung an deutschen Schulen fordert. Mehr als 40 Forschende verschiedener wissenschaftlicher Disziplinen aus ganz Deutschland haben es unterzeichnet.

Sie fordern eine Pause in der Schuldigitalisierung sowie eine interdisziplinäre Überprüfung der Schuldigitalisierung und ihrer möglichen Folgen. „Die Wirkungen und Nebenwirkungen digitaler Medien auf Entwicklungs-, Lern- und Bildungsprozesse [sind] wissenschaftlich oft ungeklärt“, so der Brief. „Vielmehr verdichten sich die wissenschaftlichen Hinweise auf enorme Nachteile und Schäden für die Entwicklungs- und Bildungsprozesse von Kindern und Jugendlichen durch digitale Medien.“

Für ein „Primat der Pädagogik“

Dass digitale Geräte allein noch keine Digitalisierung bedeuten, darüber ist man sich im deutschen Diskurs offenbar weitgehend einig. Auch im Digitalpakt ist das „Primat der Pädagogik“ verankert. Demnach seien technische Hilfsmittel kein Selbstzweck, sondern sollten dazu genutzt werden, um pädagogische Ziele zu erreichen.

„Die Anschaffung von Whiteboards und Laptops allein ist kein Garant für pädagogische Qualität – dies gilt im Übrigen auch für das Buch, das Schreibheft und die Kreidetafel“, schreibt das Bundesministerium für Bildung und Forschung (BMBF) auf digitalpaktschule.de. „Es sind immer die pädagogischen Konzepte, die aus der Vielfalt an Angeboten gute Bildung machen“.

2021 erarbeitete die Kultusministerkonferenz (KMK) eine ergänzende Empfehlung zur Strategie „Bildung in der digitalen Welt“. Darin konkretisieren die Bildungsminister:innen der Länder die Strategie zur pädagogischen Umsetzung des Digitalpakts. Sie erachten es als notwendig, unter anderem die Lehrkräftebildung in Sachen Digitales auszubauen, Prüfungskriterien anzupassen und Inhalte für den Einsatz digitaler Unterrichtstechnologien forschungsbasiert zu entwickeln.

GEW sieht deutliche Unterschiede zu skandinavischen Ländern

Für ein „Primat der Pädagogik“ plädiert auch die Gewerkschaft für Erziehung und Wissenschaft (GEW). Digitale Lernmittel sollten allen Schüler:innen und Lehrkräften gleichermaßen zur Verfügung stehen, teilt ein GEW-Sprecher  auf Anfrage mit. Die Geräte sollten demnach nur dann genutzt werden, wenn es pädagogisch und didaktisch sinnvoll sei.

Gleichzeitig brauche es eine stärkere Förderung der Medienkompetenz bei Lernenden und Lehrenden. Medienkompetenz bedeute etwa das Erlernen eines kritischen, mündigen und kreativen Gebrauchs digitaler Medien – und auch die Fähigkeit „abschalten“ zu können. Dazu seien auch mehr Fortbildungen für Lehrkräfte notwendig.

Dieser Ansatz entspricht den Empfehlungen des Karolinska-Instituts sowie verschiedener Expert:innenen für digitale Bildung. Allerdings sei die Situation in Deutschland kaum mit der in Schweden und Dänemark zu vergleichen, sagt der GEW-Sprecher. Hierzulande sei die digitale Infrastruktur an Schulen noch immer nicht flächendeckend eingeführt. Zudem klaffe eine Kluft zwischen sehr gut und kaum ausgestatteten Schulen in Deutschland. „Manche Schulen haben noch immer kein WLAN, andere wiederum arbeiten wie selbstverständlich mit Tablets und Co.“, sagt der Sprecher der GEW.

Die GEW fordert „eine nachhaltige und sinnvolle digitale Infrastruktur an Schulen, eine sozial gerechte Mittelverteilung der Digitalisierung an Schulen sowie eine gute Qualität der Arbeits- und Lernbedingungen“. Zukünftig müsse die Qualität im Zentrum der Schuldigitalisierung stehen.

Keine Rückkehr zur Kreidetafel

Die Debatte lässt sich somit – im Sinne Manfred Spitzers – nicht darauf verkürzen, dass digitale Geräte Kinder „dümmer“ machen. Vielmehr braucht es für deren schulischen Einsatz bessere pädagogische Konzepte und mehr Medienbildung – und zwar sowohl für die Schüler:innen als auch für die Lehrkräfte.

An eben diesem Punkt muss auch die Bildungspolitik hierzulande ansetzen. Und zwar so schnell wie möglich: Denn die Ergebnisse der jüngsten PISA-Studie lassen kaum Zeit für Aufschub. Deutsche Schüler:innen schnitten in der Vergleichsstudie zuletzt so schlecht ab wie noch nie zuvor.

Dabei wäre es fatal, in den Schulen zu Kreidetafel und zum Overheadprojektor zurückzukehren. Stattdessen ist es erforderlich, an allen Schulen flächendeckend digitale Endgeräte zur Verfügung zu stellen. Erst dann können Lehrer:innen überhaupt erst qualifizierte Entscheidung darüber treffen, wann es pädagogisch und didaktisch wertvoll ist, diese auch einzusetzen.

Alle Schüler:innen haben das Recht, bestmöglich auf das Leben in einer digitalen Welt vorbereitet zu werden. Nichts Geringeres sollte auch der Anspruch der deutschen Bildungspolitik sein.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 16. Kalenderwoche geht zu Ende. Wir haben 18 neue Texte mit insgesamt 113.491 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Liebe Leser:innen,

dass es dieses Jahr im September wieder eine Konferenz von uns geben wird, haben wir euch ja schon verraten. In dieser Woche konnten wir euch endlich mehr dazu sagen: Wir werden am 13. September in der Alten Münze in Berlin sein. Dort wollen wir diskutieren, zuhören, alte und neue Weggefährt:innen wiedersehen und kennenlernen, gemeinsam in den Pausen quatschen und am Ende des Tages natürlich auch feiern. Das ganze steht in diesem Jahr unter dem Motto „Bildet Netze!“.

Bildet Netze, das ist für mich mehr als eine Wortspiel-Adaption des 70er-Jahre-Slogans „Bildet Banden!“, oft illustriert mit dem Konterfei von Pippi Langstrumpf. Sondern auch eine Gelegenheit, mal nachzudenken, was das für uns bedeutet.

Wir wollen „das Netz“ gestalten – und meinen dabei nicht die zentralisierten Strukturen, die in den Händen weniger, riesiger Konzerne liegen. Wir wollen viele Netze im Netz, so wie sie uns gefallen. Und so, wie sie gut für uns sind und unser aller Leben besser, schöner und gerechter machen. Mit Teilhabe für alle, mit einer gemeinwohlorientierten Ausrichtung, abseits von rein wirtschaftlichen und staatlichen Interessen.

Aber damit wir das schaffen, brauchen wir auch Netze untereinander und müssen uns ver-netzen. In der digitalen Zivilgesellschaft, aber ganz besonders auch darüber hinaus. Wir müssen zusammenkommen und voneinander lernen. Zum Beispiel von denen, die sich vielleicht noch vor allem in der analogen Welt mit sozialer Gerechtigkeit beschäftigen, dem Abbau von Barrieren oder sich der Diskriminierung marginalisierter Gruppen entgegenstellen.

Und am Ende brauchen wir alle auch Netze, die uns halten, wenn es mal schwierig wird. Wenn Faschist:innen in die Parlamente drängen und der braune Sumpf immer größer zu werden scheint. Wenn eine:r nicht mehr kann und sich klein fühlt. Dann brauchen wir ein Netz aus Solidarität, das uns auffängt, ohne dass wir uns verheddern. Damit wir gemeinsam weitermachen können.

Netze gibt es in vielen Formen und genauso wollen wir auch viele Aspekte davon auf unserer Konferenz betrachten. Das machen wir nicht allein, dafür freuen wir uns auch über eure Ideen und Beiträge. Deshalb haben wir diese Woche auch einen Call for Participation gestartet, bei dem ihr noch bis zum 16. Juni etwas einreichen könnt. Wovon könnt ihr uns erzählen? Wie wollt ihr euch vernetzen? Welche Netze müssen wir spannen, um das Netz gemeinsam voranzubringen?

Wir sind gespannt wie ein Tennisnetz, was euch dazu einfällt. Aber egal, ob auf der Bühne, am Workshop-Tisch oder im Publikum: Wir freuen uns vor allem, wenn ihr im September dabei seid.

Ein gutes Wochenende wünscht euch
anna

Degitalisierung: Infinite Money Glitch

Immer mehr Geld für sogenannte Künstliche Intelligenz, ohne Rücksicht auf die Konsequenzen. Dazu absurdes Marketing mit Warnungen vor Gefahren. Das ist kein Spiel, das betrifft uns am Ende alle. Von Bianca Kastl –
Artikel lesen

Bundesinnenministerium: Pseudo-Beteiligung beim Digitalen Wallet

Geht es nach der Bundesregierung, sind die Jahre des Personalausweises als Plastikkarte gezählt. An seine Stelle soll eine digitale Brieftasche treten. Wie diese konkret aussehen wird, soll ein Innovationswettbewerb entscheiden. Die Zivilgesellschaft sieht sich dabei außen vor. Von Daniel Leisegang –
Artikel lesen

Werbearchive der großen Plattformen: Zu wenig Daten, kaum vergleichbar und schlecht zu bedienen

Wie setzen große Plattformen die neuen EU-Vorgaben für Transparenz bei Online-Werbung um? Schlecht, sagt eine Analyse der Mozilla Foundation. Die Plattformen würden Zivilgesellschaft, Journalismus und Forschung weiter Steine in den Weg legen. Von Markus Reuter –
Artikel lesen

Konferenz von netzpolitik.org: Call for Participation – Bildet Netze!

Am 13. September findet in der Alten Münze in Berlin unsere Konferenz statt. Heute startet der Call for Participation – und wir freuen uns auf Eure Einreichungen! Von netzpolitik.org –
Artikel lesen

Louisa Specht-Riemenschneider: Einigung auf neue Bundesdatenschutzbeauftragte

Nach langem Hin und Her und einem vielkritisierten Auswahlprozess soll die Bonner Professorin Specht-Riemenschneider neue Bundesdatenschutzbeauftragte werden. Sie folgt auf Ulrich Kelber. Von Markus Reuter –
Artikel lesen

EU-Migrationspakt: Kritik an der digitalen Überwachung von Migrant:innen

Der jüngst vom Europäischen Parlament beschlossene „Neue Migrationspakt“ erweitert Überwachungstechnologien und KI-Anwendungen an den EU-Außengrenzen – und erfährt Gegenwind. Von Lea Binsfeld –
Artikel lesen

Transparenzbericht Dezember 2023: Unsere Einnahmen und Ausgaben und eine Menge Spaß

Unser Rezept fürs Jahresende: Verrühre den Stress mit einer großen Packung Humor und einer wohldosierten Prise Selbstironie aus den 80ern. Heraus kommt etwas, das uns allen viel Spaß gemacht hat. Von netzpolitik.org –
Artikel lesen

Chatkontrolle: Verschlüsselte Dienste sollen als erstes durchleuchtet werden

Internet-Dienste, die Anonymität und Verschlüsselung anbieten, sollen als erste eine Chatkontrolle durchführen. Das geht aus Dokumenten der belgischen Ratspräsidentschaft hervor, die wir veröffentlichen. Bürgerrechtsorganisationen aus ganz Europa fordern die Ablehnung des Vorschlags. Von Markus Reuter, Andre Meister –
Artikel lesen

Polnische Untersuchung: Knapp 600 Menschen mit Pegasus gehackt

Ein Zwischenbericht des polnischen Justizministeriums gibt erstmals Einblick in in die weitflächige Überwachung in Polen während der Amtszeit der PiS-Regierung. 578 Personen sollen mit der Spionage-Software Pegasus gehackt worden sein. Von Tomas Rudl –
Artikel lesen

„Künstliche Intelligenz“: Automatisierte Kriegsführung und die Genfer Konvention

Die Kriegsführung wird zunehmend digitalisiert und automatisiert. Damit verändert sich auch die Rolle der Bürger:innen innerhalb der Genfer Konventionen. Um dieser Entwicklung zu begegnen, brauchen wir dringend neue internationale Vereinbarungen. Von Gastbeitrag, Cathy Mulligan –
Artikel lesen

„Artificial Intelligence“: Automated Warfare and the Geneva Convention

Warfare is becoming digitalized and automated. This is shifting the role of citizens within the Geneva Conventions. We urgently require new solutions and international agreements. Von Gastbeitrag, Cathy Mulligan –
Artikel lesen

Link auf Linksunten: Freiburger Journalist muss sich vor Gericht verantworten

Am heutigen Donnerstag beginnt der Strafprozess gegen einen Redakteur von Radio Dreyeckland – wegen eines Links auf die Archivseite des verbotenen Portals Indymedia Linksunten. Journalismus-Verbände sehen die Pressefreiheit in Gefahr. Von Sebastian Meineck –
Artikel lesen

Deutscher Computerspielpreis: Es hat sich ausgespielt für die deutsche Gaming-Industrie

Der Computerspielpreis ist eines der großen Events in der Gamingszene in Deutschland. Doch um die heimische Spieleindustrie steht es schlecht und ihre Zukunft bleibt durch fehlende Förderung ungewiss. Ein Kommentar. Von Nora Nemitz –
Artikel lesen

Abonnieren oder akzeptieren: EU-Datenschützer*innen watschen Abo-Modelle ab

Jeden Monat mehrere Euro abdrücken oder sich individuell überwachen lassen – vor dieser Wahl stehen derzeit etwa Nutzer*innen von Facebook und Instagram. Das ist nicht fair, sagt nun der Europäische Datenschutzausschuss. Von Sebastian Meineck –
Artikel lesen

Rechte Anschlagsserie: Erschwerte Einsicht in die Ermittlungsakten

Informationen zum Mord an Burak Bektaş habe die Polizei den Angehörigen lange vorenthalten, wirft ein Anwalt den Ermittlungsbehörden und der Staatsanwaltschaft vor. Im parlamentarischen Untersuchungsausschuss weisen die eine Schuld von sich. Von hekta –
Artikel lesen

Vorratsdatenspeicherung: Schäbige Verkürzung auf Kosten der Grundrechte

Mit einem altbekannten Fehlschluss aus der Kriminalstatistik holt die Innenministerkonferenz den Zombie „Vorratsdatenspeicherung“ aus dem Keller. Doch die Angstmache vor Kindesmissbrauch ist schäbig, um damit mehr Überwachung zu rechtfertigen. Ein Kommentar. Von Markus Reuter –
Artikel lesen

Telekommunikation: EU bereitet sich auf Marktliberalisierung vor

Die EU muss den gemeinsamen Binnenmarkt radikal neu denken, fordert der italienische Ex-Ministerpräsident Enrico Letta. Trotzdem strotzt der umfangreiche Bericht im Auftrag der EU-Länder vor lauter alten Ideen: mehr Markt, weniger Regulierung und Abbau der Netzneutralität. Von Tomas Rudl –
Artikel lesen

Digitale-Dienste-Gesetz: Unsicherheit für kleine Anbieter

Das Internet besteht nicht nur aus Google und Meta, sondern auch aus Hobby-Foren und Back-Blogs mit Kommentarspalte. Doch welche Regeln des europäischen Digitale-Dienste-Gesetzes für sie gelten, ist nicht vollständig klar. Dabei ist das Gesetz bereits seit Februar in Kraft. Von Anna Biselli –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.