netzpolitik.org

Aktualisiert: vor 8 Minuten 5 Sekunden

Medien auf X: Im permanenten Shitstorm

2. Februar 2026 - 14:33

Sie wollen Qualitätsjournalismus hochhalten und einen Gegenpol auf der Plattform X bieten. Doch Tagesschau, ZDFheute, Spiegel und Zeit erreichen weder viele Views noch positive Interaktionen mit dem Publikum. Was ihnen vor allem entgegenschlägt, ist Hass. Warum bleiben sie trotzdem da? Eine Analyse.

Große Nachrichtensendungen wie die Tagesschau und ZDFheute, aber auch Online-Medien wie Tagesspiegel, Die Zeit und Spiegel sowie Fachmedien wie Legal Tribune Online betreiben weiterhin Accounts auf der Plattform X des rechtsradikalen US-Milliardärs Elon Musk und posten dort aktuelle Inhalte. Sie alle wissen um die Probleme auf der Plattform. Doch sie begründen ihre Aktivität damit, dass sie ihren Qualitätsjournalismus gegen die Desinformation auf X setzen und das Publikum dort abholen wollen, wo es sich aufhält.

Wir haben anhand einer Stichprobe analysiert, wie sich diese Medien auf X schlagen: Wie oft werden die Tweets angesehen, wie oft retweetet, wie interagieren die Nutzer:innen mit den Medien und ihren Inhalten?

Bei der beispielhaften Untersuchung wird klar: Die auf X verbliebenen seriösen Medien befinden sich in feindlichem Terrain. Teils haben sie zwar hohe Followerzahlen, ihre Inhalte werden aber verhältnismäßig wenig Nutzer:innen angezeigt. Wohlwollende Interaktionen wie Retweets können sie kaum generieren. Dafür bläst ihnen in Kommentaren der Wind eisig ins Gesicht.

Gezielter Umbau nach rechts

Für das unwirtliche Klima ist nicht zuletzt Elon Musk selbst mitverantwortlich. Kurz nach dem 44 Millarden US-Dollar schweren Kauf des Online-Dienstes im Jahr 2022 entließ er ganze Moderationsteams und holte im Namen der Meinungsfreiheit zuvor gesperrte Rechtsextremisten, Trolle und professionelle Lügner:innen auf den Dienst zurück. Werbekunden sprangen ab, da sie offenbar ihre Anzeigen ungern neben Nazi-Inhalten sehen wollten. Musk akzeptierte das nicht und überzog die Abtrünnigen mit Klagen.

In diese länger werdende und unvollständige Liste an Kontroversen reiht sich nun der jüngste Skandal um den KI-Chatbot Grok ein. Die ebenfalls zum Firmenimperium Musks gehörende KI-Anwendung ist in X integriert und spuckt auf Anweisung alles mögliche aus – darunter zuletzt auch sexualisierte Deepfakes von Nutzer:innen, in aller Regel von Frauen und sogar von Minderjährigen. Neu ist das Phänomen zwar nicht, aber Grok machte es leicht, bis X doch noch technische Einschränkungen implementierte: Noch nie ließen sich solche Inhalte derart einfach erstellen und an ein globales Publikum ausliefern.

Der Umbau von X zu einer offen rassistischen und sexistischen Plattform geht Hand in Hand mit Musks Unterstützung für rechtsradikale und antidemokratische Bewegungen, hierzulande die AfD. Der Unternehmer macht kein Geheimnis daraus, sein soziales Netzwerk in den Dienst einer rechtsradikalen Revolution zu stellen.

Im Vorjahr zeigte eine Untersuchung von ZDF Frontal, dass die Empfehlungsalgorithmen von X rechte Parteiinhalte überproportional bevorzugen. Bei rassistisch motivierten Ausschreitungen im Sommer 2024 in England hat laut einer Studie von Amnesty International das Empfehlungssystem von X „eine zentrale Rolle“ gespielt. Auch die EU-Kommission vermutet, dass von den algorithmischen Empfehlungen systemische Risiken ausgehen könnten, hat ihre Untersuchungen aber noch nicht abgeschlossen.

Viele haben X verlassen – doch manche sind geblieben

Viele Nutzer:innen, aber auch Medienhäuser und sonstige Organisationen haben deshalb in den vergangenen Jahren die Online-Dienste des rechtsradikalen US-Milliardärs verlassen. Ob Niedersächsischer Landtag, das Jüdische Museum München oder netzpolitik.org, die Gründe für den Rückzug ähneln sich: X sei ein Ort der Zensur, des Rassismus, Antisemitismus und des rechten Agendasettings geworden, begründeten Dutzende Abgeordnete, Wissenschaftler:innen und Journalist:innen im Winter 2024 ihren Abgang. Zwar nutzen in Deutschland immer noch rund sieben Millionen Menschen monatlich die Plattform, ihre Reichweite geht jedoch europaweit kontinuierlich zurück.

Warum also bleiben weiterhin manche Medien auf X und versorgen das soziale Netzwerk mit Inhalten, die wiederum dessen Attraktivität steigern?

Auch hier ähneln sich die Gründe: So betont etwa Markus Sehl, stellvertretender Chefredakteur von Legal Tribune Online (LTO), Beiträge über zahlreiche Social-Media-Kanäle auszuspielen, darunter Instagram, LinkedIn, Bluesky, Facebook – und eben auch X. „Wir verbinden mit unserer Präsenz auf allen diesen Plattformen das Ziel, mit unseren Inhalten dort ein seriöses Inhaltsangebot zu machen. Eines, das Filterblasen durchdringt, für konstruktive Irritation sorgt und schließlich einen demokratischen Diskurs ermöglicht“, so Sehl auf Anfrage von netzpolitik.org.

Bescheidene Reichweite, bescheidene Debatten

Wir haben dieses hehre Ziel einem Realitäts-Check unterzogen. In unserem Beobachtungszeitraum wurden Tweets des juristischen Fachmediums, allesamt mit Links zu LTO-Artikeln, laut der Statistikanzeige von X am Tag der Postings durchschnittlich nur 1.329 Mal von Nutzer:innen gesehen. Derzeit folgen mehr als 28.000 Accounts dem X-Auftritt von LTO. Sonderlich viel Aufmerksamkeit oder gar „demokratischen Diskurs“ konnten die Postings nicht entfachen. Im Schnitt wurden die Tweets knapp mehr als fünf Mal retweetet und zwölf Mal mit einem Herzchen versehen („geliked“). Die Hälfte der untersuchten Postings erhielt keine Antwort, im Schnitt waren es 2,2 Antworten („replys“) pro Tweet.

Und wie sieht es mit der Qualität der Antworten aus? Nennenswerte Diskussionen lösten LTO-Tweets über die Sabotage der russischen Öl-Pipeline Nord Stream aus, über das ungarische Gerichtsverfahren gegen die non-binäre Aktivist:in Maja T. oder ein Beitrag zur Mediendebatte über Inhaltemoderation und Algorithmenregulierung.

Dass solche Themen besonders viel Aufmerksamkeit auf X nach sich ziehen, ist so erwartbar wie viele der Antworten darunter: „Das sind Taschenspielertricks um unliebsame Meinungen kleinzumachen und das weiß auch der Autor der polarisieriende Ausagen mit Desinformationen vermengt“, polterte etwa ein gewisser Leo gegen Schleswig-Holsteins Ministerpräsidenten Daniel Günther (CDU) sowie den Autor des LTO-Artikels.

Schnittstellen-lose Stichprobe

Eine massenhafte Auswertung der jeweiligen X-Auftritte deutscher Medien ist nicht mehr ohne Weiteres möglich, seit Elon Musk die dazu notwendigen Schnittstellen hinter eine Bezahlschranke gepackt hat. Für unsere kleinere Untersuchung haben wir deshalb am 19. Januar 2026 jeden zweiten Tweet eines Mediums erfasst, bis insgesamt zehn erfasste Postings zusammengekommen waren. Diese zehn Tweets pro Medium haben wir hinsichtlich Views, Replys, Retweets und Likes ausgewertet. Außerdem haben wir uns angesehen, ob die Medien selbst in den Replys angegriffen werden und haben die Reaktionen auf die Tweets qualitativ bewertet.

Aufgrund des kleinen Ausschnitts können die erhobenen Daten nur als Stichprobe gelten, die aber deutliche Muster aufzeigt. Diese konnten wir auch bei Tweets außerhalb des Untersuchungszeitraums finden.

Grundsätzlich sind die Zahlen mit Skepsis zu betrachten, nicht nur wegen der kleinen Stichprobe. Manipulationsversuche sind seit Jahren nicht mehr aus dem Internet wegzudenken. Doch wozu noch vor nicht allzu langer Zeit umfangreiche Troll-Farmen notwendig waren, lassen sich Aufruf- und Engagement-Metriken in Zeiten von ChatGPT, Grok und anderen KI-Chatbots mit deutlich weniger Aufwand und raffinierter verfälschen.

Ganze Schwärme von KI-Bots, die etwa über Online-Dienste hinweg authentisches Handeln und konsistente Persönlichkeiten vortäuschen können, überfluten derzeit soziale Medien, warnten zuletzt mehrere Studien. Oft ist nur schwer erkennbar, ob hinter Postings echte Menschen oder Propagandabots stecken. „Die Verschmelzung von agentenbasierter KI und LLMs markiert eine neue Grenze im Informationskrieg“, führt eine der Studien aus.

Ähnliche Vorsicht ist auch bei der Anzeige der Views oder der Followerzahlen angebracht. Nicht einmal X dürfte einigermaßen verlässlich über verdächtige Aktivitäten auf dem eigenen Dienst Bescheid wissen, seit Musk die dafür zuständigen Teams dramatisch reduziert und zugleich die Moderationsregeln gelockert hat – wenn die Manipulationsversuche nicht gleich aus dem eigenen Haus kommen.

Konzentrierter brauner Sumpf

Das bei LTO beobachtete Phänomen lässt sich auch bei anderen noch auf X aktiven Medien feststellen. Kaum Reichweite, wenig Engagement von Nutzer:innen, und wenn es Antworten unter den Tweets gibt, enthalten diese nur selten erhellende Einsichten. Im Gegenteil: Oft genug besetzen reaktionäre Trolle den Platz, den es ohne die Tweets der Medien-Accounts so nicht gegeben hätte. Dabei kapern sie die Debatte und posten gerne auch themenfremde und beliebige Links zu rechtsradikalen Aufregerthemen. Außer einem braunen Sumpf bleibt oft nicht viel übrig unter den Tweets der Medien.

So folgen dem X-Account von Die Zeit derzeit rund 2,3 Millionen Accounts. Einzelne Postings wurden im Beobachtungszeitraum trotz dieser auf dem Papier großen Zahl durchschnittlich nur knapp 2.900 Mal angesehen, 2,1 Mal retweetet, 5,1 Mal geliked und 4,1 Mal beantwortet. Mehrere Tweets erhielten zum Zeitpunkt der Auswertung gar keine Reaktion, die meisten Antworten (17) liefen bei einem Tweet über ein internes Papier der Grünen zur EU-Außenpolitik auf. Ein gefundenes Fressen für selbsternannte „Parodieaccounts“, die die Schuld für jedwedes Problem bei den Grünen verorten.

Bemerkenswert ist, was passiert, wenn der Zeit-Account zuweilen gezielt ein bestimmtes Publikum anzusprechen scheint. Ein Tweet über die Fußballbundesliga erwähnt etwa den rechtsextremen AfD-Spitzenpolitiker Tino Chrupalla. Wie auch im Anreißer des Originalartikels steht dort, der AfD-Politiker habe „nicht viel verpasst“. Dafür gab es Kritik: „Warum wird dieser Faschist hier einfach so erwähnt?“, fragte immerhin ein:e Nutzer:in mit einer EU-Flagge im Profilbild. Wenig später wird der Account selbst als Faschist beschimpft.

In einem anderen Tweet schien die Zeit-Redaktion Gratis-Werbung für die österreichische FPÖ zu machen: Ein von der Rechtsaußen-Partei neu gestarteter Radiosender sei „sehr langweilig (…) und gerade deshalb interessant – besonders für deutsche Hörer“. Was auch immer die Motivation hinter diesen anbiedernden Anreißern war, der Erfolg hielt sich in Grenzen. Beide Tweets erhielten insgesamt nicht einmal zehn Antworten – zusammengerechnet. Als Reibebaum, der Engagement und Klicks lostritt, eignet sich diese Form der Ansprache offenbar nicht.

Gegengewicht oder Zielscheibe?

Auch Zeit Online begründet ihren Verbleib auf X damit, ein Korrektiv sein zu wollen. „Unser Ziel ist es, verlässliche Informationen und unabhängigen Journalismus möglichst vielen Menschen zugänglich zu machen“, teilt eine Verlagssprecherin mit. Die Zeit sei „ein Gegengewicht zur aggressiven, wenig produktiven Diskussionskultur und der Zunahme von Desinformation auf X, weshalb wir unseren Account mit 2,3 Millionen Followern zum jetzigen Zeitpunkt weiterhin betreiben. Neben X sind wir auf Plattformen wie Bluesky, Threads und WhatsApp aktiv und bauen diese Kanäle weiter aus“, heißt es aus dem Verlag.

Ein Stückchen erfolgreicher ist der X-Account des Spiegel. Im Untersuchungszeitraum abgesetzte Tweets huschten im Schnitt rund 4.200 Mal über die Bildschirme der Nutzer:innen. Unterm Strich erhielten sie je knapp elf Antworten, 3,6 Retweets und rund 9 Likes. Allerdings verzerrt ein Ausreißer das Bild: Ungewöhnlich viel Resonanz erhielt ein Retweet des @SPIEGEL_EIL-Accounts, der staatliche Förderung von Elektroautos zum Thema hatte. Zum Zeitpunkt der Erfassung konnte der Tweet über 12.000 Views verzeichnen, rund eine Woche später ist die Zahl auf 22.000 angestiegen. Rechnet man diesen Tweet heraus, sinkt die Anzahl der durchschnittlichen Views auf rund 3.000. Für ein angebliches Millionenpublikum – @derspiegel hat über 3 Millionen Follower, @SPIEGEL_EIL über 1,5 Millionen – ist das eine magere Ausbeute.

Der rechte Influencer holt unter dem Spiegel-Tweet die Likes. - Screenshot / Twitter Präsenz schafft Diskursräume für Rechtsradikale

Welche Diskursräume die Tweets erst schaffen, zeigt erneut ein Blick in die Antworten unter diesen. Bei besagtem E-Auto-Tweet spülte das Empfehlungssystem von X den rechten Influencer Miró Wolsfeld ganz nach oben. „Steuerzahler zahlen den Müll, nicht der Bund“, wetterte der auch als Unblogd bekannte Aktivist. Während der Tweet des Spiegels gerade mal 8 Retweets und 31 Likes bekommt, holt sich Wolsfeld 51 Retweets und 1.654 Likes mit seinem Kommentar ab. Auch solche Phänomene sind ein klares Zeichen, wer das Sagen auf der Plattform hat.

Ein solches Auftreten lässt sich auf X inzwischen monetarisieren. Dem Account kann man freiwillig für 3,33 Euro im Monat folgen, den zahlenden Followern verspricht Wolsfeld als Bonus „Demnächst Podcasts vorab“. Gekoppelt an Empfehlungsalgorithmen, die umstrittene Inhalte bevorzugen, um damit Nutzer:innen länger auf dem Dienst zu halten, entsteht ein perverses Anreizsystem: Es belohnt diejenigen, die mit reißerischen Inhalten möglichst viel Aufmerksamkeit erregen.

Mit Spott und Hohn wird dabei oft nicht gespart. „SPIEGEL, STERN, SZ, usw. haben auf X einfach so gut wie nichts mehr zu melden“, tönte der rechte Influencer vor wenigen Tagen. „Bei der üblich hohlen Propaganda gibt es so gut wie keine Likes auf deren Posts, dafür aber etliche Kommentare, die den Nonsens zerlegen. Der Wind hat sich hier definitiv gedreht.“

„Wichtige Kontaktpunkte“ zu wem?

Für seriöse Medien, die weiterhin auf X bleiben und der Plattform Inhalte zuliefern, steigt tatsächlich der Druck. „Wenn wir mit den redaktionellen Inhalten unserer Medienmarken neue Nutzerinnen und Nutzer erreichen wollen, müssen wir dorthin gehen, wo sie sich informieren, und das sind eben oft Plattformen, die weniger offen und verantwortungsvoll sind, als wir uns das wünschen“, teilt eine Spiegel-Sprecherin mit.

„Wenn sich unabhängige Medien von diesen Plattformen selbst ausschließen, verlieren wir wichtige Kontaktpunkte zu unseren Zielgruppen. Und an der Nutzung der Plattformen würde sich durch den Rückzug der Qualitätsmedien nichts ändern“, sagt die Sprecherin.

Doch dass sich der Wind gedreht hat, ist auf X kaum von der Hand zu weisen. Die Plattform ist unter den Tweets der Accounts großer deutscher Medien fest in der Hand von Rechtsextremen, Zynikern, Rassisten und Menschen, die einfach nur ihrem Hass auf klassische Medien und die Welt freien Lauf lassen.

Hohes Vertrauen in öffentlich-rechtliche Medien

Diese Wut trifft insbesondere öffentlich-rechtliche Medien. Im öffentlichen Auftrag sollen sie dazu beitragen, die Menschen in Deutschland umfassend und ausgewogen zu informieren. Deshalb landen sie immer wieder im Visier von Rechtsextremen wie dem AfD-Politiker Björn Höcke, der etwa die Medien-Staatsverträge aufkündigen will. Von ganz rechts bis in die Bundesregierung hinein wird am öffentlich-rechtlichen Rundfunk gesägt.

Trotz aller Versuche, die Glaubwürdigkeit öffentlich-rechtlicher Medien zu untergraben, genießen die Sender bis heute verhältnismäßig viel Vertrauen in der Bevölkerung, mehr als private Tageszeitungen oder Sender. Zwei Drittel der Befragten hielten den öffentlich-rechtlichen Rundfunk (ÖRR) für „unverzichtbar“, wie eine repräsentative Studie im Vorjahr ergab. Den parteiübergreifenden Konsens durchbrechen lediglich Anhänger:innen der Kleinpartei BSW sowie der AfD, die den sogenannten Systemmedien überwiegend nicht vertrauen.

Viele Follower, wenige Ansichten

Unsere Auswertung zeigt, dass sich die Bedeutung der Öffentlich-Rechtlichen auch im Internet abbildet. So wurden die Tweets der großen Kanäle @tagesschau (5,1 Millionen Follower) und @ZDFheute (1,3 Millionen Follower) deutlich mehr Menschen in der App und auf der Seite von X angezeigt als die Postings privater Medien. Im Beobachtungszeitraum sahen im Schnitt rund 24.000 Nutzer:innen Tweets der Tagesschau, bei ZDFheute waren es rund 23.000. Angesichts der hohen Followerzahlen der Kanäle sind diese Zahlen jedoch mehr als ernüchternd.

Wie viele der Nutzer:innen tatsächlich auf einen Link in einem Tweet klickten, verrät X nicht. Und auch die sogenannten Referrer-Zahlen von tagesschau.de und ZDFheute, die mehr über die Herkunft der Besucher:innen verraten, liegen uns nicht vor. Schätzungen von Marketing-Firmen gehen bei X von einer Klickrate von etwa einem Prozent auf externe Links aus.

Warum die beiden Kanäle der Öffentlich-Rechtlichen laut der nicht notwendigerweise zuverlässigen Views-Anzeige von X derart besser abschneiden als Spiegel oder Die Zeit, geht aus den Daten nicht hervor. Klar ist aber, dass X seit der Übernahme von Musk Tweets mit Links benachteiligt werden, dafür sprechen unterschiedliche Untersuchungen und Berichte.

Zudem hat X schon im Jahr 2023 durch das Design der Tweets Links in die Außenwelt unattraktiver gestaltet, indem nicht mehr die Vorschau eines Artikels eingebettet wird. Hintergrund ist, dass X wie auch andere Big-Tech-Plattformen versucht, die Nutzer:innen auf der Plattform zu halten und dort „Engagement“ und damit Werbeabspielungen zu erreichen. Nutzer:innen über einen Klick auf andere Seiten im Netz zu schicken, widerspricht diesem Ziel.

Tagesschau und ZDFheute sehen sich als Gegenpol

Laut einem Sprecher der ARD geht es der Tagesschau darum, „seriöse und verifizierte Nachrichteninhalte Nutzenden auf Social-Media-Plattformen zur Verfügung zu stellen und damit einen Gegenpol zu Desinformationen und Verschwörungsmythen zu setzen.“ Dies gelinge mit Blick auf die Zugriffszahlen, die die Artikellinks der Tagesschau auf X erzielten, „weiterhin in relevanter Größenordnung“.

Angesichts der relativ zur hohen Followeranzahl wenigen Views und der geschätzten Klickrate von einem Prozent dürfte sich der Anteil von X bei den 50 bis 80 Millionen monatlichen Seitenbesuchen auf tagesschau.de in Grenzen halten. Zur Einordnung: Auch vor Elon Musks Übernahme erreichte beispielsweise netzpolitik.org mit seiner damals Twitter-affinen Leser:innenschaft nie mehr als ein bis zwei Prozent aller Seitenabrufe über die Plattform. Diese Zahlen umfassen sowohl Klicks auf Links in Tweets des eigenen Accounts als auch in Tweets anderer.

ZDF schreibt gegenüber netzpolitik.org, dass alle Social-Media-Aktivitäten einem „kontinuierlichen Controlling mit Blick beispielsweise auf Zielgruppe, Performance und Entwicklung der jeweiligen Plattform“ unterliegen würden. „Sollten Accounts entsprechende Ziele nicht erreichen bzw. genannte Kriterien nicht erfüllen, werden diese eingestellt.“

Was für Ziele das sind, gibt das ZDF nicht preis, führt jedoch aus, warum man weiter auf der Plattform poste: „Das Nachrichtenangebot ZDFheute veröffentlicht aktuelle Informationen weiterhin auf X, um Qualitätsjournalismus auch dort möglichst vielen Menschen einfach zugänglich zu machen.“

Doch die Versuche der Tagesschau und von ZDFheute werden von den Nutzenden auf der Plattform X wenig honoriert. Das Gegenteil ist der Fall. Dementsprechend heiß geht es in den Kommentaren unter den Tweets zu: Durchschnittlich liefen bei der Tagesschau 77 Kommentare auf, bei ZDF Heute sogar 100.

Dort findet eine Schlacht um die Deutungshoheit statt. Mit 173 Kommentaren besonders umkämpft war ein Tweet zu einer Eilmeldung, dass der Begriff „Sondervermögen“ zum Unwort des Jahres 2025 gewählt wurde. Die Debatte lenkten dem rechten Milieu zuordnenbare Accounts, etwa der des rechten Magazins Krautzone. Eine der Top-Antworten wollte etwas ganz anderes diskutieren: „Für mich ist ‚ÖRR‘ das Unwort des Jahrhunderts.“

Öffentlich-rechtliche Medien im Dauer-Shitstorm

Die grundsätzliche Feindseligkeit der Rezipient:innen auf X ist bei den untersuchten Medien am Verhältnis von Antworten zu Retweets erkennbar, der „Reply Retweet Ratio“. Tweets mit vielen Replys und wenigen Retweets zeigen in der Regel eine Kontroverse oder eine Ablehnung der Nutzer:innen an. Diese kann sich auf den Inhalt des Tweets oder auf den Postenden selbst beziehen.

Es ist ganz normal, dass einzelne Tweets bisweilen mehr Replys erhalten als Retweets. Ungewöhnlich ist aber, dass bei den öffentlich-rechtlichen Nachrichten-Accounts von Tagesschau und ZDFheute mehr Replys als Retweets der Regelfall sind. Die Tagesschau erhielt im Untersuchungzeitraum drei Mal so viele Replys wie Retweets, ZDF gar fast vier Mal soviele. Auch der Spiegel erhielt drei mal so viele Replys wie Retweets, bei der Zeit waren es immer noch doppelt so viele. Einzig LTO war als Medium nicht so negativ im Fokus – es erreichte mehr Retweets als Replys.

Bei ZDFheute und Tagesschau gab es in den untersuchten Tweets bis auf eine Ausnahme unter jedem Tweet direkte Angriffe auf die Sendungen oder die Sender selbst, oft auch mehrfach. Dabei ging es in den Kommentaren nicht um sachliche oder inhaltliche Kritik an Nachrichteninhalt oder dessen Aufbereitung.

So findet man unter Tweets regelmäßig die Forderung, die Pflicht zum Rundfunkbeitrag abzuschaffen. Die Tagesschau wird unter anderem als „Terrorpropaganda“, „Propagandascheisse“ oder „Schundfunk“ diffamiert, das ZDF als „Schrottsender“ und die ZDFheute-Redaktion sieht ein User als heroinabhängig. Das ist nur ein kleiner Ausschnitt dutzender Beschimpfungen, die wir als Reaktion auf das kleine Set an untersuchten Tweets identifizieren konnten.

netzpolitik.org holt auf Bluesky mehr Retweets als Tagesschau, heute, Spiegel und Zeit zusammen

Wir haben uns zum Vergleich angesehen, wie die Interaktion beim Account von netzpolitik.org auf Bluesky aussieht. Im gleichen Untersuchungszeitraum erhielt netzpolitik.org auf Bluesky eine deutlich umgekehrte Reply-Repost-Ratio: Fast neun Mal mehr Accounts klickten auf den Repost-Button als auf Reply. Mehr Reposts als Replys sind der eigentliche Normalzustand bei Diensten wie X, Bluesky oder Mastodon.

Spannend war auch die Anzahl der Reposts insgesamt beim Account unserer Redaktion auf Bluesky. Der Account von netzpolitik.org mit seinen etwa 35.000 Followern erreichte im Untersuchungszeitraum am 19. Januar mit 755 Reposts mehr Verstärkung als Tagesschau, Heute, Spiegel, Zeit und LTO auf X mit ihren fast 12 Millionen Followern. Insgesamt kamen diese Accounts auf 615 Reposts. Und das, obwohl den untersuchten Medien auf X mehr als 300 Mal mehr Accounts folgen.

Weder Tagesschau noch ZDFheute betreiben einen offiziellen Kanal auf Bluesky. Die Sender ARD und ZDF sind jedoch auf Mastodon vertreten und betreiben dort jeweils eigene Server.

Überprüfen, bis das Fass überläuft

Ein Abschied von X fällt offenkundig nicht leicht. Das Bleiben aber auch nicht. „Die Entwicklung und die gesellschaftlichen Auswirkungen von X beobachten wir kritisch und diskutieren regelmäßig, ob und wie wir dort weiterhin präsent sein sollten“, heißt es von Die Zeit. „Fehlentwicklungen auf Plattformen nehmen wir ernst, selbstverständlich behalten wir die Entwicklungen gerade bei X kritisch im Blick“, beteuert LTO. Auch der Spiegel befasse sich im Lichte der neuen Erkenntnisse „erneut mit unserer Präsenz auf der Plattform“, sagt eine Sprecherin. Die Antworten ähneln denen der EU-Kommission, der Bundesregierung, Parteien im Bundestag und Ministerien, die weiterhin der Plattform treu sind und immer schwerer Argumente dafür finden.

Es bleibt also spannend, wann der Punkt erreicht ist, an dem es auch für die letzten Verbliebenen nicht mehr weiter geht. Die Erfahrungen der letzten Jahre zeigen: Der Skandal mit sexualisierten Deepfakes realer Personen rund um den X-Chatbot Grok wird nicht der letzte bleiben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Externe Ticker

Trugbild: Altersvorsorge mit Amazon

1. Februar 2026 - 8:37

Deutschlands Bürger müssen ihre Altersvorsorge selbst in die Hand nehmen. Viele entscheiden sich deshalb für das Sparen mit ETFs. Damit setzen sie stark auf Tech-Unternehmen aus dem Silicon Valley. Ist das moralisch fragwürdig?

Können wir uns bereichern am Reicherwerden der Reichen? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Annie Spratt

Nach etwa einem Jahr Bedenkzeit, dutzenden Gesprächen über „ethisches Investieren“ und einer albtraumgeplagten Nacht ist der erste Schritt zur Altersvorsorge vollbracht: Der ETF-Sparplan steht. Erst auf Nachfrage erfahre ich, dass die überwältigende Mehrheit meines besserbezahlten Bekanntenkreises schon lange dabei ist: „Ob ich spare? Klar – ETF, Habibi!“, erzählt mir ein Systemadministrator in der Szene-Kneipe am Kottbusser Tor.

ETF steht für Exchange-Traded Fund. Die Indexfonds werden wie Aktien an der Börse gehandelt und bilden die Wertentwicklung eines Marktindex nach. Anstatt in ein einzelnes Unternehmen zu investieren, ermöglicht ein ETF eine breite Streuung über viele Unternehmen gleichzeitig. Im beliebten „iShares Core MSCI World ETF“ der Investmentfirma BlackRock sind etwa 1.300 Unternehmensaktien aus 23 „entwickelten Märkten“ enthalten.

US-amerikanische Unternehmen machen darin den mit Abstand größten Anteil aus. Unter den Top 10 befinden sich Microsoft, Amazon, Google, Meta und Tesla. Auf den hinteren Plätzen folgt sogar noch Palantir. Aufgrund ihres Erfolgs sorgen die Unternehmen von Bezos, Musk und Co. für einen saftigen Teil der Rendite im Sparplan.

Die befreundete Sparschickeria nimmt das locker: „Wenn du ein MacBook nutzt, dann kannst du auch in Apple investieren“, schlussfolgert der Arzt. „Mit ETFs bereichere ich mich am Reicherwerden der Reichen“, argumentiert der Wohnungsbesitzer. Und auch der Systemadministrator nimmt‘s gelassen: „Friedrich Merz war ja lange bei BlackRock, der MSCI World ist also sicher“.

Keine guten Alternativen

Was soll man auch anderes machen? Hierzulande muss sich der Bürger nun einmal selbst um die Altersvorsorge kümmern. Das deutsche Rentensystem ist marode und reformbedürftig. Mit den Zinsen aus Staatsanleihen und Tages- bzw. Festgeldkonten lässt sich gerade so die Inflation ausgleichen. Mehr ist mit den privaten, staatlich geförderten Riester- und Rürup-Renten auch nicht drin.

Der Handel mit Einzelaktien ist derweil mit erheblichen Risiken verbunden. Aktiv gemanagte Fonds verursachen in der Regel hohe Kosten, ohne entsprechend höhere Erträge zu liefern. Und Immobilien, besonders in Großstädten, liegen durch die immensen Preise weit außerhalb der Reichweite von Normalverdienern.

Damit bleiben für Sparer oft nur ETFs übrig, die gemessen am Wachstum der Weltwirtschaft ein relativ geringes Risiko und höhere Renditen als andere Anlageoptionen versprechen – vorausgesetzt, der Anleger ist bereit, sein Geld über einen langen Zeitraum zu investieren.

Widersprüche akzeptieren

Spare ich mit dem iShares Core MSCI World ETF, setze ich mit meinem Geld indirekt auf ein Land, das sich offensichtlich im kulturellen, ästhetischen und politischen Niedergang befindet. Ökonomisch sind die USA aber als größte Volkswirtschaft der Welt nach wie vor führend. Wer mit den Standard-ETFs effizient sparen will, hat leider keine andere Wahl, als auch diesen Widerspruch zu akzeptieren.

Der gedankliche Spagat zwischen politischer Realität und Rendite bleibt damit anspruchsvoll – vor allem für jene, die von Haus aus nie mit Geldanlage in Berührung gekommen sind. Die Auseinandersetzung erfordert eine gewisse Offenheit gegenüber der befremdlichen Finanzwelt und natürlich auch Ressourcen. Leider fehlt es jenen, die Finanzbildung am nötigsten hätten, oft an allem.

Blinder Fleck Finanzbildung

Suche ich nach „Geld anlegen“ bei YouTube, werden mir direkt zwei Krypto-Influencer angezeigt. In nur wenigen Sekunden legt mir einer der selbsternannten Finanzexperten dar, dass der Handel mit Kryptowährungen wohl kein Glücksspiel, sondern ein nachhaltiges Business ist: „Aber das dauert halt dann ein paar Jahre, bis man von 10.000 € auf 100.000 € oder eine Million kommt“.

Im breiten Feld der sogenannten Finfluencer ist von Clickbait-Clowns („ICH WURDE REICH ALS ICH DAS VERSTANDEN HABE“) bis hin zu sachlichen und besser recherchierten Formaten wie „Finanzfluss“ alles dabei. Letztere beantworten zwar zuverlässig Fragen rund um die Geldanlage, sprechen dafür aber selten über politische Aspekte.

An Universitäten, insofern sie keinen wirtschaftlichen Schwerpunkt haben, spielt Finanzbildung dagegen eine untergeordnete bis keine Rolle. Das liegt auch daran, dass sich viele Studenten in einem einseitigen Generationenvertrag mit ihren Eltern befinden, die sich um die finanziellen Angelegenheiten kümmern.

Auch vermeintlich linke Meinungsmacher klammern das Thema gerne aus. Die feurige Erregung über identitätspolitische Trendthemen nimmt der Finanzbildung die Luft weg. „Börse“, „Aktien“ und „Anlage“ gelten als reaktionäre oder bisweilen rechts interpretierte Begriffe eines über Jahre kultivierten Feindbildes. Manch ein Journalist beschwert sich gar über das eigene Erbe. Dabei wird oft vergessen, dass jene, denen die Kohle zum Heizen fehlt, sich nicht an den „Hot Takes“ privilegierter Medienmenschen wärmen können.

Mitunter kommt es zu erstaunlichen Kehrtwenden. Noch 2019 bezeichneten Wolfgang M. Schmitt und Ole Nymoen in ihrem Wirtschaftspodcast „Wohlstand für alle“ die Beteiligung am Aktienmarkt als „Unfug“. Fünf Jahre später befürworten die beiden dann das Sparen mit ETFs. „Als Selbstständiger muss ich Rücklagen bilden, so habe ich auch kürzlich begonnen mit ETF-Sparen“, sagt Schmitt.

Notwendiges Übel

Was am Ende bleibt, ist eine bittersüße Erkenntnis. Die Beteiligung am Kapitalmarkt ändert nichts an Chancenungleichheit, Preissteigerungen und Niedriglöhnen. Das größte Risiko bei kleinstmöglichem Gewinn tragen die, die am wenigsten haben. Ein Grund auf die Altersvorsorge zu verzichten, ist das nicht.

Wo der Sozialstaat zu kurz greift, muss der Bürger Verantwortung übernehmen. Und wer etwas sparen möchte, kann sich allzu strenge Erwägungen bei der Geldanlage im gegenwärtigen System schlicht und einfach nicht leisten.

Für die Altersvorsorge sind ETFs offenbar also die beste unter vielen schlechten Optionen. Zähneknirschend reihe auch ich mich in den Kreis der Sparschickeria ein. Es ist eine alte Weisheit von Bertolt Brecht, die mir die Sache leichter macht: „Nur wer im Wohlstand lebt, lebt angenehm.“

Kategorien: Externe Ticker

Polizeirechtsnovelle in Sachsen: BSW auf Zustimmungskurs zu massiver Verschärfung

31. Januar 2026 - 13:09

Bei der Verschärfung des Polizeigesetzes in Sachsen könnte das Bündnis Sahra Wagenknecht der Minderheitskoalition zur Mehrheit verhelfen. Die BSW-Fraktion hat nur wenige Einwände gegen den Ausbau der Überwachung der sächsischen Bürger:innen. Das zeigt die Stellungnahme der Fraktion, die wir veröffentlichen.

Stell dir vor, Du machst ein Polizeigesetz – und keiner macht mit. Vor diesem Szenario, so schien es auf den ersten Blick, stand die sächsische Regierung im vergangenen Herbst. Damals stellte sie ihren Entwurf für die Novelle des Polizeivollzugsdienstgesetzes (SächsPVDG) vor, der die Polizeibefugnisse auf Kosten der Grundrechte erheblich erweitern würde.

Die Liste der geplanten Maßnahmen ist lang und enthält unter anderem:

Verhaltensscanner,
automatisierte Datenanalyse durch eine Plattform wie Palantir,
Staatstrojaner zur Gefahrenabwehr (Quellen-TKÜ),
der Abgleich von Gesichtern und Stimmen mit dem Internet,
die Ausweitung der automatisierten Kennzeichenerfassung,
das Filmen in Autos (auch mit Drohnen), um gegen „Handy-Sünder:innen“ am Steuer vorzugehen.

Da die schwarz-rote Regierung in Sachsen keine eigene Mehrheit hat, ist sie auf Stimmen aus der Opposition angewiesen. Dafür hat die sächsische Regierung einen sogenannten Konsultationsmechanismus etabliert. In diesem Verfahren schicken die Fraktionen sowie einige Interessengruppen ihre Position zu einem geplanten Gesetz an die Regierung. Diese überlegt dann, was sie davon übernimmt – auch mit Blick auf die Mehrheitssuche im Landtag.

Das Bündnis Sahra Wagenknecht (BSW) in Sachsen hat kaum Einwände gegen die deutliche Verschärfung des SächsPVDG. Das geht aus einer Stellungnahme der Fraktion hervor, die netzpolitik.org durch des Sächsische Transparenzgesetzes erhalten hat. Damit wird immer wahrscheinlicher, dass das BSW der sächsischen Minderheitskoalition zur Mehrheit verhilft.

Bisher schwieg das BSW zu seiner Position

Über das Sächsische Transparenzgesetz haben wir 24 der 26 abgegebenen Stellungnahmen erhalten. Wir veröffentlichen die Dokumente auf der Plattform FragDenStaat.

Enthalten sind alle Stellungnahmen fast aller Fraktionen im Landtag. Die AFD-Fraktion hat keine Stellungnahme abgegeben; sie hat sich öffentlich gegen den Konsultationsmechanismus ausgesprochen. Bei zwei Stellungnahmen verweigerten laut Bescheid die Urheber:innen „aus dem Bereich der wissenschaftlichen Forschung“ die Veröffentlichung zum „Schutz ihres geistigen Eigentums“.

Die Stellungnahme der BSW-Fraktion zeigt erstmals öffentlich die Position des Bündnisses zur SächsPVDG-Novelle. Nachdem Grüne und Linke frühzeitig harsche Kritik an dem Entwurf der Staatsregierung geübt hatten – und bereits gegen das bisher geltende SächsPVDG geklagt hatten –, rückten Beobachter:innen das BSW als potenzielle Mehrheitsbeschafferin in den Fokus.

Was das BSW Sachsen über den Entwurf denkt, war bisher allerdings unklar. In der Vergangenheit kündigte das Bündnis lediglich an, den Entwurf zu prüfen. Inhaltliche Nachfragen von netzpolitik.org beantwortete das BSW in der Vergangenheit nicht. Seine Stellungnahme bestätigt jetzt, dass es zwischen Schwarz-Rot und den Wagenknecht-Anhänger:innen erhebliche Schnittmengen gibt.

Im Unterschied zu anderen Fraktionen hat das Bündnis Sahra Wagenknecht eine eher kurze Stellungnahme abgegeben. Auf nicht mal vier vollen Seiten kritisiert die BSW-Fraktion lediglich sieben Punkte des weitreichenden Vorschlags des Sächsischen Innenministeriums. Sie bleibt damit nicht nur hinter den ebenfalls oppositionellen Grünen und Linken zurück, sondern sieht den Gesetzentwurf sogar weniger kritisch als die mitregierende SPD-Fraktion.

BSW kritisiert „Vorfeldstraftat“

Doch welche Punkte will das BSW abändern? In ihrer Stellungnahme wendet sich die Fraktion gegen das Konzept der „Vorfeldstraftat“, die in der SächsPVDG-Novelle eingeführt wurde. Eine Vorfeldstraftat ist laut Gesetzentwurf ein Straftatbestand,

der Verhaltensweisen erfasst, die vom Gesetzgeber als generell gefährlich für Individualrechtsgüter oder Kollektivrechtsgüter bewertet werden, aber als einzelne Handlungen in räumlicher oder zeitlicher Hinsicht noch vor einer konkreten oder konkretisierten Gefährdung oder gar Verletzung solcher Rechtsgüter liegen können und damit strafbewehrte Vorbereitungshandlungen darstellen.

Der Begriff ist wichtig, weil an ihn eine Vielzahl alter und neuer Polizeibefugnisse im SächsPVDG-Entwurf geknüpft ist.

Das BSW sieht in der „Vorfeldstraftat“ eine „fragwürdige Vorverlagerung polizeilicher Eingriffsbefugnisse“. Es drohe „eine Kriminalisierung von bloßen Verdachtsmomenten oder sozial auffälligem Verhalten sowie die Verwischung der Grenze zwischen Gefahrenabwehr und Strafverfolgung“. Nicht nur das BSW hatte hier Bedenken, selbst die Deutsche Polizeigewerkschaft (DPolG) sieht die entworfene Definition als zu weit gefasst an.

Nein zur Echtzeit-Identifizierung, Ja zum Verhaltensscanner

Das BSW lehnt auch einen Teil der KI-gestützten Videoüberwachung ab, die sogenannte biometrische Echtzeit-Fernidentifizierung. Dabei sollen Polizist:innen unter bestimmten Voraussetzungen einen Echtzeitabgleich von „live“ gefilmten Menschen mit ihren eigenen Datenbeständen vornehmen. Das ist laut BSW ein „besonders schwerwiegender Eingriff in die Grundrechte“ und „eröffnet die Gefahr einer faktischen Massenüberwachung im öffentlichen Raum“.

Die im gleichen Paragrafen eingeführten Verhaltensscanner begrüßt die BSW-Fraktion hingegen. Man erkenne die „Notwendigkeit und Sinnhaftigkeit“ dieser Regelung an und teile sie, heißt es in der Stellungnahme.

Nur anonyme Polizeidaten fürs KI-Training

Dass KI-Modelle mit Daten der Polizei trainiert werden können, will das BSW nur dann erlauben, wenn diese Daten anonymisiert sind. Der Entwurf hatte auch personenbezogene Daten für das KI-Training freigegeben, wenn eine Pseudonymisierung oder Anonymisierung nicht möglich gewesen wäre.

Außerdem möchte das BSW die Schwelle für Öffentlichkeitsfahndungen erhöhen (von einer „Gefahr“ zu einer „dringenden Gefahr“ für Leib, Leben oder Freiheit eines Menschen) sowie die automatisierte Erfassung von Nummernschildern auf die Verhinderung von Straftaten mit Grenzbezug beschränken.

Nach dem Willen der BSW-Abgeordneten soll das Filmen von Bodycams in Wohnungen auf drei Jahre befristet und umfassend evaluiert werden. Ebenfalls evaluiert werden soll der Einsatz von Tasern. Hier spricht sich das BSW gegen einen flächendeckenden Roll-out aus. Stattdessen sollen Polizist*innen zunächst nur in einem Revier im ländlichen Raum sowie in einem „Großstadtrevier“ Taser bekommen. Auch die SPD-Fraktion hatte sich für eine Erprobung in lediglich zwei Polizeidirektionen ausgesprochen, bevor alle Polizist:innen im Land Taser erhalten.

Kein Änderungsbedarf bei Palantir-Paragrafen

Spannender als die Punkte, die das BSW abgeändert sehen will, sind jene Teile des Entwurfs, auf die das BSW nicht eingeht. Bei diesen sehe man keinen Änderungsbedarf, bestätigt die Pressesprecherin der Fraktion auf Anfrage von netzpolitik.org. Die Stellungnahme sei auch heute noch aktuell, so die Sprecherin.

Ein Streitpunkt ist Palantir. Der Entwurf der SächsPVDG-Novelle sieht die Einführung einer Plattform zur automatisierten Datenanalyse vor. Baden-Württemberg, Bayern, Hessen und NRW setzen hier auf Produkte der Firma Palantir.

Während eine solche Plattform für automatisierte Datenanalyse für grundsätzliche Kritik von Datenschützer:innen sorgt – der IT-Sicherheitsexperte Manuel Atug spricht von „Rasterfahndung by design“ – richtet sich die Kritik auch konkret gegen Palantir.

So hilft die Firma der Abschiebehörde ICE in den USA bei der Jagd auf Migrant*innen. Laut einem Bericht der Schweizer Armee ist es zudem möglich, dass die US-Regierung und die Geheimdienste die Daten einsehen können. Außerdem ist Palantir Mit-Gründer Peter Thiel ein Unterstützer Donald Trumps und glaubt nach eigener Aussage nicht daran, „dass Demokratie und Freiheit noch kompatibel sind“.

Die SPD in Sachsen hat sich mehrfach gegen die Beschaffung einer Palantir-Software ausgesprochen, zuletzt in ihrer Stellungnahme zum Konsultationsverfahren. Das BSW springt den Sozialdemokrat:innen hier offenbar nicht bei, sie müssen sich also in den Verhandlungen selbst durchsetzen.

Mit Drohnen auf Spatzen schießen

Ebenso ignoriert das BSW die Kritik an der Videoüberwachung von Autofahrer:innen. Nach dem Entwurf der SächsPVDG-Novelle soll die Polizei auch in Autos filmen dürfen, um Handy-Nutzer:innen am Steuer zu erwischen. Dafür sollen auch Drohnen eingesetzt werden können. Die Nutzung eines Handys beim Fahren ist eine Ordnungswidrigkeit, dementsprechend unverhältnismäßig ist der Einsatz von Drohnen und anderen Videokameras.

Nicht nur die SPD kritisiert diesen Teil des Gesetzentwurfs, auch die sächsische Datenschutzbeauftragte Juliane Hundert äußert sich deutlich: „Angesichts der auf der Hand liegenden Unverhältnismäßigkeit der Befugnis sei nur am Rande erwähnt, dass die vorgesehene Offenheit, also Erkennbarkeit der Videoüberwachung des fließenden Straßenverkehrs dann kaum umzusetzen wäre, wenn sie mittels Drohnen erfolgen soll.“ Die Vorschrift sei „offensichtlich verfassungswidrig und sollte ersatzlos gestrichen werden“, schreibt Hundert in ihrer Stellungnahme.

Kein kritisches Wort zu Staatstrojanern

Ebenfalls keine Probleme hat das BSW mit dem erweiterten Einsatz von Staatstrojanern. Die sächsische Regierung will die Quellen-TKÜ auch zur Gefahrenabwehr ermöglichen. Ginge es nach der CDU, soll das gleiche auch für die Online-Durchsuchung gehen.

Auch zur Erkennung von Gesichtern und Stimmen mit Internet-Daten formuliert das BSW keine Position, obwohl es Zweifel daran gibt, dass diese Befugnis rechtlich haltbar wäre. Laut einem Gutachten von AlgorithmWatch ist es technisch nicht umsetzbar, frei verfügbare Bilder aus dem Internet für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank dieser Bilder zu erstellen. Das wiederum verbietet die KI-Verordnung der EU.

Wie es weitergeht

Was heißt das alles für das finale Gesetz? Zwar sieht das BSW ebenfalls Änderungsbedarf bei einzelnen problematischen Paragrafen, es positioniert sich aber etwas weniger kritisch als die mitregierende SPD-Fraktion und ist noch weiter entfernt von der umfassenden Kritik von Grünen und Linken. Das erleichtert die Kompromissfindung mit der CDU und dem von ihr geführten Innenministerium, macht allerdings ein SächsPVDG unwahrscheinlicher, das die Grundrechte schont.

Inwiefern das Innenministerium auf die Wünsche des BSW, aber auch der Regierungsfraktionen eingehen wird, ist aktuell unklar. Daher verspricht das BSW auch noch keine Zustimmung zum Gesetz. „Es hängt davon ab, ob wir uns hinsichtlich der abweichenden Auffassungen annähern können“, schreibt eine Pressesprecherin der BSW-Fraktion gegenüber netzpolitik.org.

Das sächsische Innenministerium erklärt auf Anfrage, dass das Konsultationsverfahren abgeschlossen sei. Bisher wurde der überarbeitete Entwurf dem Parlament aber noch nicht übermittelt. „Voraussetzung für die Zuleitung des Gesetzesentwurfs an den Sächsischen Landtag ist die zweite Kabinettsbefassung“, teilt das Innenministerium auf Anfrage von netzpolitik.org mit.

Die nächste reguläre Sitzung des Innenausschusses ist am 12. März. Dann könnten die Abgeordneten eine Sachverständigenanhörung im Landtag ansetzen. Insgesamt haben Regierung und Parlament bis Ende Juni Zeit, dass SächsPVDG abzuändern. Andernfalls verliert die Polizei einige ihrer Befugnisse, weil der sächsische Verfassungsgerichtshof das aktuelle Polizeigesetz an einigen Stellen für verfassungswidrig erklärt hatte.

Kategorien: Externe Ticker

KW 5: Die Woche, als die Regierung sich an Automatisierung berauschte

31. Januar 2026 - 9:10

Die 5. Kalenderwoche geht zu Ende. Wir haben 16 neue Texte mit insgesamt 117.090 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Liebe Leser:innen,

eine Kommission hat in dieser Woche Arbeitsministerin Bärbel Bas Empfehlungen übergeben, wie der Sozialstaat „modernisiert“ werden könnte.

Digitalisierung spielt darin eine zentrale Rolle: Behörden sollen untereinander mehr Daten austauschen, dafür soll der komplexe Datenschutz weg und eine Personenkennziffer her. Verfassungsrechtlich ist das höchst fragwürdig.

Außerdem schlägt die Kommission vor, Verwaltungsvorgänge mit sogenannter Künstlicher Intelligenz zu automatisieren. Auch bei Ermessensspielräumen – also wenn es etwa darum geht, wie viel Unterstützung eine Person vom Amt bekommt. Und weil bei „KI“ bekanntlich immer Wahres, Schönes, Gutes rauskommt, sollen die Ergebnisse weniger gegengeprüft werden. Die Wohlfahrtsverbände halten davon herzlich wenig, sondern befürchten zusätzliche Diskriminierung.

Auch Bundesdigitalminister Karsten Wildberger sieht es buchstäblich als seine Mission an, tausende „outdated“ Fachverfahren in der Verwaltung zu automatisieren. Helfen soll dabei Agentische Künstliche Intelligenz, die so eine Art KI-Heinzelmännchen für Behördenprozesse antreiben soll.

Dafür brachte das Digitalministerium in dieser Woche den Agentic AI Hub an den Start. Man habe „eine große Tasche“, versicherte Wildberger den anwesenden „Start-up- und Scale-up-Vertreter:innen“ bei der Auftaktveranstaltung. Und man wolle Pilotprojekte möglichst schnell skalieren, sekundierte sein Staatssekretär Thomas Jarzombek.

Bei allem Automatisierungsrausch fehlte auch hier der Raum, um über Risiken, Kontrolle und – ja – Ethik zu sprechen. Dabei haben andere Länder KI-Systemen bereits das Steuer in der Verwaltung überlassen und sind damit alles andere als gut gefahren. Vielleicht skalieren wir das mal.

Habt ein schönes Wochenende!

Daniel

Breakpoint: Grundrechte sind nicht FSK 16

Kinder und Jugendliche haben ein Recht auf Information und Teilhabe – auch auf sozialen Medien. Wenn Erwachsene sie per Social-Media-Verbot von solchen Orten der Meinungsbildung ausschließen, werden sie ihrer Verpflichtung nicht gerecht. Von Carla Siepmann –
Artikel lesen

Deepfake-Skandal: EU-Kommission leitet Untersuchung gegen Grok und X ein

Nach einer Flut sexualisierter Grok-Deepfakes auf X prüft nun die EU-Kommission, ob Elon Musks Unternehmen gegen den Digital Services Act verstoßen haben. Erste Studien liefern derweil Details über das Ausmaß der produzierten sexualisierten Bilder. Von Laura Jaruszewski –
Artikel lesen

ADINT: Überwachungsfirmen können Menschen mit „anonymen“ Werbe-IDs ausspionieren

Meist im Verborgenen bereiten Unternehmen Daten aus der Online-Werbung für Geheimdienste auf. Manche prahlen damit, praktisch jedes Handy verfolgen zu können. Eine Recherche von Le Monde gewährt seltene Einblicke in eine Branche, die auch europäische Sicherheitsbehörden umwirbt. Von Ingo Dachwitz –
Artikel lesen

Anhörung zum Gesetzentwurf: Bundespolizei soll Staatstrojaner nutzen dürfen

Der neue Anlauf zur Reform des Bundespolizeigesetzes traf im Innenausschuss des Bundestags auf Kritik. Die Bundespolizei soll künftig Staatstrojaner nutzen dürfen, ohne dass für diese Hacking-Werkzeuge ein IT-Schwachstellenmanagement existiert. Von Constanze –
Artikel lesen

Hinweise gesucht: „Wir wollen die Verbreitung sexualisierter Deepfakes einschränken“

Per Mausklick lassen sich Fotos bekleideter Personen in Nacktbilder verwandeln. Die Organisation AlgorithmWatch bittet nun um Hinweise auf solche Apps und Websites, um systematisch dagegen vorzugehen. Wie das klappen soll, erklärt Forschungsleiter Oliver Marsh im Interview. Von Sebastian Meineck –
Artikel lesen

Österreichische Datenschutzbehörde: Microsoft hat illegal Minderjährige getrackt

Microsoft hat auf dem Rechner einer österreichischen Schülerin ohne deren Zustimmung Tracking-Cookies installiert und so persönliche Daten abgegriffen. Die österreichische Datenschutzbehörde hat nun festgestellt, dass der Datenabfluss illlegal war. Auch andere Microsoft-Nutzende können von illegalen Microsoft-Cookies betroffen sein. Von Martin Schwarzbeck, Ben Kumi –
Artikel lesen

Phishing-Angriff: Zahlreiche Journalist:innen im Visier bei Attacke über Signal-Messenger

Mit einem Phishing-Angriff versucht ein bislang unbekannter Akteur, offenbar gezielt Zugriff auf die Signal-Konten von Journalist:innen und Aktivist:innen zu bekommen. Wir erklären, wie der Angriff funktioniert und wie man sich vor ihm schützen kann. Von Markus Reuter –
Artikel lesen

Kehrtwende in UK: Pornhub widersetzt sich britischen Alterskontrollen

Ein halbes Jahr lang hat sich Pornhub den britischen Alterskontrollen gebeugt und massenhaft Nutzer*innen überprüft. Jetzt macht der Konzern eine Kehrtwende und kündigt seinen Rückzug aus dem Vereinigten Königreich an. Dahinter steckt ein geschickter PR-Stunt. Die Analyse. Von Sebastian Meineck –
Artikel lesen

Phishing attack: Numerous journalists targeted in attack via Signal Messenger

In a phishing attack, unknown actors are apparently attempting to gain access to accounts of journalists and activists on the Signal messaging service. We explain how the attack works and how you can protect yourself against it. Von Markus Reuter –
Artikel lesen

Diskussionspapier: Tech-Unternehmen sollen legalen Extremismus suchen

Internet-Dienste sollen nicht nur sexuellen Kindesmissbrauch suchen, sondern auch andere Inhalte wie Extremismus. Das fordern Deutschland, Frankreich und die Niederlande in einem Diskussionspapier. Tech-Unternehmen lehnen es ab, ihr System zum Datenaustausch auf solche Inhalte auszuweiten. Von Andre Meister –
Artikel lesen

ChatGPT: Polizeigewerkschaft bebildert Pressemitteilung mit generiertem Schockerfoto

Der sächsische Landesverband der Gewerkschaft der Polizei nutzt ein KI-generiertes Bild mit einem blutenden Polizisten, um eine Pressemitteilung zu illustrieren. Begründet wird dies mit Persönlichkeitsrechten und laufenden Ermittlungen, das Bild sei eine „symbolische Illustration“. Von Markus Reuter –
Artikel lesen

Sozialstaatsreform: Kommission empfiehlt Abbau von Grundrechten

Eine Fachkommission der Bundesregierung hat Empfehlungen vorgelegt, die den Sozialstaat bürgernäher und digitaler machen sollen. Dafür will sie den Datenschutz aufweichen und Verfahren mit Hilfe sogenannter Künstlicher Intelligenz automatisieren. Wohlfahrtsverbände warnen vor zusätzlicher Diskriminierung. Von Daniel Leisegang –
Artikel lesen

Berlin: Undurchsichtige Gesundheitsdatenbank-Pläne nach Brandbrief vorerst gestoppt

CDU und SPD wollen in Berlin eine zentrale Gesundheitsdatenbank an der Charité aufbauen. Doch die Berliner Datenschutzbeauftragte kritisierte das Vorhaben der Koalition scharf und fordert Nachbesserungen. Wir veröffentlichen ihren Brandbrief. Von Laura Jaruszewski –
Artikel lesen

Digitaler Omnibus: „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“

Die EU-Kommission will pseudonymisierte Daten teilweise von der Datenschutzgrundverordnung ausnehmen. Jetzt äußert sich erstmals eine deutsche Datenschutzbeauftragte. Meike Kamp übt deutliche Kritik an den Plänen und glaubt, die Kommission habe ein Urteil des Europäischen Gerichtshofes missverstanden. Von Ingo Dachwitz –
Artikel lesen

EUDI-Wallet: Digitale Brieftasche geht in Testphase

Anfang 2027 soll in Deutschland eine staatliche EUDI-Wallet bereitstehen. In einer Testumgebung können Behörden und Unternehmen deren Funktionen nun testen. Parallel dazu läuft ein Pilotprojekt in Sachsen. Von Daniel Leisegang –
Artikel lesen

Trilog zu Alterskontrollen: Warnung vor „Ausweispflicht für weite Teile des Internets“

Sowohl der Rat als auch das EU-Parlament haben Nein gesagt zur verpflichtenden Chatkontrolle. Aber die umstrittene Verordnung birgt weitere Risiken für digitale Grundrechte – und zwar flächendeckende Alterskontrollen. Worüber Kommission, Parlament und Rat jetzt verhandeln. Von Sebastian Meineck, Chris Köver –
Artikel lesen

Kategorien: Externe Ticker

Trilog zu Alterskontrollen: Warnung vor „Ausweispflicht für weite Teile des Internets“

30. Januar 2026 - 10:04

Die EU will neue Barrieren schaffen (Symbolbild) – Schild: Efrem Efre / Free Pexels Licence; Hintergrund: IMAGO/ Breuel-Bild

Es war ein merkliches Aufatmen Ende vergangenen Jahres. Nach mehr als drei Jahren Verhandlungen hatten sich Vertreter*innen der EU-Staaten im Rat auf eine gemeinsame Position zur sogenannten Chatkontrolle geeinigt, einem der weitreichendsten Überwachungsprojekte der EU.

Hinter der Chatkontrolle stecken Pläne der EU-Kommission, Anbieter von Messengern wie Signal oder WhatsApp auf Anordnung dazu verpflichten zu können, die Kommunikation von Nutzer*innen zu durchleuchten. Vertrauliche Nachrichten müssten sie dann in großem Stil nach sogenannten Missbrauchsdarstellungen durchsuchen – ein fundamentaler Angriff auf sicher verschlüsselte Kommunikation. Anlass ist der Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO.

Fachleute aus unter anderem Kinderschutz, Wissenschaft, Zivilgesellschaft sind gegen das Vorhaben Sturm gelaufen. Mit dem Nein von Rat und EU-Parlament dürfte die Chatkontrolle vom Tisch sein. Kaum beachtet geblieben ist dabei jedoch ein weiteres Überwachungsvorhaben im Vorschlag der Kommission, und zwar die Einführung von Alterskontrollen.

Die EU-Kommission möchte Anbieter nämlich auch dazu verpflichten dürfen, das Alter ihrer Nutzer*innen zu überprüfen. Betroffen sind Dienste, die Erwachsene nutzen können, um sexuelle Kontakte zu Minderjährigen anzubahnen. Das nennt sich Grooming.

Alterskontrollen laufen oftmals auf invasive Maßnahmen heraus. Nutzer*innen müssten dann zum Beispiel ihr Gesicht biometrisch vermessen lassen, damit eine Software ihr Alter schätzt, oder mithilfe von Dokumenten wie dem Ausweis belegen, dass sie erwachsen sind. Mindestens würde es damit für Millionen Nutzer*innen schwerer, sich frei im Netz zu bewegen. Wenn es nicht gelingt, solche Kontrollen sicher zu gestalten, drohen Datenschutz-Verletzungen und massenhafte Überwachung.

Kommission, Rat und Parlament haben teils widersprüchliche Positionen zu den Alterskontrollen. Aktuell verhandeln sie im sogenannten Trilog über die Verordnung – und damit auch über die Zukunft von Alterskontrollen in der EU. Wir liefern die Übersicht über die zentralen Positionen und die Risiken dahinter.

Das will die EU-Kommission
Das will der Rat der EU
Das will das EU-Parlament
Das steht auf dem Spiel
So geht es jetzt weiter

Das will die EU-Kommission

Der Vorschlag der EU-Kommission sieht eine Verpflichtung zu Alterskontrollen bei „interpersonellen Kommunikationsdiensten“ vor, einfach ausgedrückt: Anbietern mit Chatfunktion.

Sie sollen zunächst selbst das Risiko für Grooming einschätzen, also ob ihre Dienste zum Zweck des „sexuellen Kindesmissbrauchs“ eingesetzt werden könnten. Dabei spielt etwa eine Rolle, wie viele Kinder den Dienst überhaupt verwenden, wie leicht sie von Erwachsenen auf der Plattform kontaktiert werden können und welche Möglichkeiten es gibt, solche Kontakte zu melden.

Potenziell von Grooming betroffene Anbieter sollen dann das Alter ihrer Nutzer*innen überprüfen, um Minderjährige „zuverlässig“ zu identifizieren. Die Konsequenz sollen Maßnahmen zur Risikominderung sein. Zwar nennt der entsprechende Artikel im Entwurf kein konkretes Beispiel – denkbar wären aber zum Beispiel eingeschränkte Chat-Funktionen, die keine Gespräche mit Fremden erlauben.

Vergangene Recherchen über Grooming legen nahe: Diese Regelung könnte viele populäre Plattformen treffen, etwa TikTok, Instagram und Roblox oder das unter Gamer*innen beliebte Discord. Auch Messenger wie WhatsApp oder Signal könnten dazu verpflichtet werden, das Alter ihrer Nutzer*innen zu prüfen.

Entscheidend sind hier die Worte „zuverlässig identifizieren“. Eine schlichte Altersabfrage dürfte kaum genügen. Es geht auch nicht bloß darum, dass Anbieter Schutzfunktionen für Minderjährige bereithalten müssen, damit betroffene Minderjährige (oder ihre Aufsichtspersonen) sie einsetzen können. Stattdessen könnte es sein, dass Nutzer*innen in großem Stil beweisen sollen, dass sie schon erwachsen sind.

Zusätzlich sieht die Kommission eine weitere Altersschranke vor, die noch einen Schritt früher ansetzt, und zwar bei „Stores für Software-Anwendungen“. Darunter dürften mindestens der Google Play Store und Apples App Store fallen, je nach Auslegung auch Spiele-Marktplätze wie Steam. Auch dort müssten Nutzer*innen demnach ihr Alter nachweisen, bevor sie Zugang bekommen.

Das will der Rat der EU

Der Rat der EU vertritt die Regierungen der Mitgliedstaaten. Geht es um Alterskontrollen, deckt sich die Ratsposition weitgehend mit dem Vorschlag der Kommission. Auch der Rat will, dass Anbieter, die ein Risiko zur Kontaktaufnahme mit Kindern bei sich feststellen, das Alter ihrer Nutzer*innen kontrollieren. Das Gleiche will der Rat für App Stores.

Für die Ausgestaltung dieser Kontrollen stellt der Rat weitere Anforderungen auf. Demnach sollen die Maßnahmen Privatsphäre und Datenschutz wahren, transparent, akkurat und dabei auch zugänglich und diskriminierungsfrei sein. Der Rat spricht damit Aspekte an, die sich auch an anderer Stelle in EU-Regeln finden, etwa in den Leitlinien zum Jugendschutz im Netz auf Grundlage des Gesetzes über digitale Dienste (DSA).

Der Knackpunkt: Keine Technologie wird all diesen Anforderungen gerecht. Um den Anspruch zu erfüllen, akkurat zu sein, müssten Prüfungen wohl invasiv sein – sonst lassen sie sich täuschen. Typisch sind Kontrollen mit biometrischen Daten oder auf Basis von Dokumenten wie Ausweispapieren. Erstere können Menschen diskriminieren, die nicht ausreichend in den Trainingsdaten eines KI-Systems repräsentiert sind, etwa Women of Color. Letztere können Menschen ausschließen, die keine Papiere haben.

Das will das EU-Parlament

Das EU-Parlament will bei Alterskontrollen einen anderen Weg einschlagen, wie dessen Position zeigt. Streichen will das Parlament demnach die Pflichten für Alterskontrollen auf der Ebene von App-Stores.

Die Marktplätze sollen demnach bloß deutlich ausweisen, wenn Apps erst ab einem bestimmten Alter vorgesehen sind. Zudem sollen sie bei Apps, die das verlangen, die Zustimmung von Erziehungsberechtigten sicherstellen. Diese Maßnahmen könnten etwa Apple und Google bereits umgesetzt haben: Dort gibt es entsprechende Vorkehrungen für Accounts von Minderjährigen, die an Eltern-Accounts gekoppelt sind.

Für die Anbieter von Kommunikationsdiensten will das Parlament im Gegensatz zu Rat und Kommission keine verpflichtenden Alterskontrollen, sondern optionale. Risiken mindern müssen betroffene Anbieter dennoch; sie hätten allerdings die Wahl, auf welche Weise sie das tun.

Weniger invasive Methoden zur Altersprüfung haben einige Plattformen bereits heute im Einsatz. So will TikTok das Verhalten von Nutzer*innen auf Signale untersuchen, die auf ein zu geringes Alter hindeuten, etwa, mit welchen Accounts sie interagieren.

Das Parlament fordert zudem eine Reihe von Auflagen für Alterskontrollsysteme und wird dabei konkreter als der Rat. Demnach soll es für Nutzer*innen weiterhin möglich sein, anonyme Accounts einzurichten, und es sollen keine biometrischen Daten verarbeitet werden dürfen. Zudem sollen Kontrollen nach dem Zero-Knowledge-Prinzip erfolgen. Praktisch heißt das: Anbieter, bei denen man das eigene Alter nachweist, sollen nichts weiter erfahren, außer ob man die nötige Altersschwelle überschreitet. Ein mögliches Werkzeug dafür ist die von der EU in Auftrag gegebene Alterskontroll-App, die künftig Teil der digitalen Brieftasche (EUDI-Wallet) werden soll.

Für Dienste, die sich an Kinder unter 13 Jahren richten, fordert das Parlament zusätzlich, dass sie standardmäßig in ihren Funktionen hohe Sicherheitsstandards wählen. Sie sollen etwa verhindern, dass Nutzer*innen persönliche Daten teilen oder Screenshots machen können.

Gesondert verlangt das Parlament außerdem Regeln für Pornoplattformen. Diese besondere Gruppe von Anbietern soll verpflichtend das Alter von Nutzer*innen kontrollieren. Das entspräche jedoch im Tenor den Anforderungen aus bereits bestehenden EU-Gesetzen wie der Richtlinie über audiovisuelle Mediendienste und dem DSA.

Das steht auf dem Spiel

Alterskontrollen sind nicht nur ein Thema für Kinder und Jugendliche – es geht nämlich darum, alle Nutzer*innen zu kontrollieren, um Minderjährige herauszufiltern. Die deutsche Europa-Abgeordnete Birgit Sippel (SPD) warnt: „Eine verpflichtende Altersverifikation würde eine Ausweispflicht für weite Teile des Internets bedeuten, und zwar vor allem auch für Erwachsene.“ Diese Warnung würde jedoch voraussetzen, dass die EU eine Pflicht zu Alterskontrollen sehr streng auslegt.

Wenn bei Alterskontrollen die Plattformen zum Türsteher werden und Daten auch für andere Zwecken nutzen können, wäre das „höchst problematisch“, so Sippel weiter. Deshalb brauche es Safeguards wie das Zero-Knowledge-Prinzip. „Schließlich darf die Anonymität und Nutzung von Pseudonymen nicht gefährdet werden.“ Außerdem warnt die Abgeordnete davor, Alterskontrollen als Allheilmittel zu betrachten. „Um Kinder effektiv zu schützen, braucht es eine strukturelle Reform der Plattformen, damit Profit nicht mehr aus dem Geschäft mit missbräuchlichen Inhalten geschlagen werden kann.“ Abgeordnete aus anderen Fraktionen haben sich auf Anfrage von netzpolitik.org nicht geäußert.

Für European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte, beobachtet Politikberater Simeon de Brouwer das Gesetzesvorhaben. „Verpflichtende Altersverifikation bei Diensten für zwischenmenschliche Kommunikation ist gefährlich, weil sie die freie Rede unterdrückt“, warnt er. Je nach Art der Kontrollen könnten ganze Gesellschaftsgruppen ausgeschlossen werden – etwa Menschen ohne Papiere. Außerdem warnt er vor Einschüchterung („chilling effects“), wenn der Zugang zu sicherer Kommunikation hinter verpflichtenden Kontrollen steht.

Auch Alterskontrollen auf App-Marktplätzen lehnt de Brouwer ab. „Ein derartiges Maß an Kontrolle und aufdringlicher Datenverarbeitung sollte nicht normalisiert werden – besonders nicht an einem solchen Nadelöhr.“ Es entstehe keine Sicherheit, sondern Kontrolle, wenn der Zugang zu digitalen Werkzeugen vom Überwinden zentraler Prüfsysteme abhängig gemacht wird.

Svea Windwehr ist Co-Vorsitzende des Vereins für progressive Digitalpolitik D64. „Alle bekannten Technologien zur Altersbestimmung im Netz weisen signifikante Schwächen auf“, schreibt sie auf Anfrage. So seien etwa KI-gestützte Altersschätzungen häufig ungenau und „bergen massive Diskriminierungspotenziale, da ihre Leistung stark von Geschlecht, Alter, Hautfarbe und anderen Merkmalen abhängt“. Verifikation anhand von Ausweisdokumenten wiederum könne „eine signifikante Barriere für gesellschaftliche Teilhabe darstellen“.

Unterm Strich würden neue Pflichten zur Altersverifikation „einen Bärendienst für die Privatsphäre von jungen Menschen im Netz“ darstellen, warnt Windwehr. Vor allem würden sie nichts an den strukturellen Problemen ändern, die Plattformen zu unsicheren Räumen für Kinder machen können. „Der politische Anspruch sollte darin bestehen, an der Wurzel des Problems anzusetzen und Plattformen für ihre Produkte zur Verantwortung zu ziehen, statt vulnerable Nutzende auszuschließen.“

So geht es jetzt weiter

Beim Gesetz steht die EU unter gewissem Zeitdruck. Obwohl viele Dienstleister wie etwa Meta bereits jetzt eine freiwillige Chatkontrolle durchführen, fehlt dafür eine dauerhafte Rechtsgrundlage. Möglich ist die Maßnahme nur durch eine vorübergehende Ausnahmeregelung mit Blick auf die Datenschutz-Richtlinie für elektronische Kommunikation. Die Frist dafür endet jedoch im April 2026. Zumindest Kommission und Rat wollen sie um zwei Jahre verlängern; das Parlament müsste dem noch zustimmen.

Weil der Rat sich jahrelang nicht auf eine Position zur Chatkontrolle einigen konnte, war das ganze Gesetzesvorhaben für lange Zeit blockiert. Erst mit der Einigung auf die Ratsposition Ende November wurde der Weg frei für die informellen Trilog-Verhandlungen zwischen Kommission, Rat und Parlament. Beim Trilog versuchen die drei EU-Organe einen Kompromiss zu finden. Verhandelt wird hinter verschlossenen Türen. Dauer: ungewiss; ein Ergebnis ist nicht garantiert.

„Trotz der Differenzen zeigen das Europäische Parlament und der Rat die feste Absicht, intensiv an dem Vorschlag zu arbeiten und so schnell wie möglich eine Einigung zu erzielen“, sagte jüngst der spanische Abgeordnete Javier Zarzalejos (EVP) während einer Ausschuss-Sitzung am 27. Januar. Er ist der zuständige Berichterstatter der konservativen Fraktion im Parlament.

Nach dem ersten Verhandlungstermin am 9. Dezember sollen Verhandlungen auf technischer Ebene am 15. Januar begonnen haben. Aus diesen bis dato zwei Terminen könne Zarzalejos von „guter Atmosphäre und beachtlichem Fortschritt“ berichten. Diskutiert habe man bisher insbesondere das neue EU-Zentrum – das ist die geplante zentrale Anlaufstelle zur Umsetzung der Verordnung. Der nächste Trilog-Termin soll der 26. Februar sein.

Kategorien: Externe Ticker

EUDI-Wallet: Digitale Brieftasche geht in Testphase

29. Januar 2026 - 16:47

Im Sandkasten lässt sich auch Software testen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Markus Spiske

Im eigenen Portemonnaie haben die meisten von uns nicht nur Bargeld, sondern auch etliche Plastikkarten von Banken, der Krankenkasse oder der städtischen Bibliothek. Das Bundesdigitalministerium (BMDS) arbeitet daran, diese Karten nach und nach um digitale Nachweise zu ergänzen.

Im Januar 2027 soll bundesweit eine digitale Brieftasche an den Start gehen. Die sogenannte EUDI-Wallet wird dann allen Bürger:innen kostenlos zur Verfügung stehen, ihre Nutzung ist freiwillig.

Zum Start der Wallet braucht es nicht nur eine Smartphone-App, sondern auch eine digitale Infrastruktur. Vor wenigen Tagen hat das BMDS gemeinsam mit der Agentur für Sprunginnovationen (Sprind) eine Testumgebung gestartet. Unternehmen und Behörden können hier Anwendungen der geplanten Wallet testen. Digitalminister Karsten Wildberger (CDU) spricht von einem „Meilenstein“.

Staatliche Wallet zuerst

Zum Start der Wallet im Januar sollen sich Bürger:innen zunächst gegenüber der Verwaltung und Unternehmen digital ausweisen können. Erst später sollen dann weitere Nachweise wie Führerschein und Versicherungskarten hinzukommen.

Damit Unternehmen, Behörden und Organisationen die geplanten Funktionen in der sogenannten Sandbox testen können, müssen sie sich zunächst als Relying Party registrieren. Als solche werden Einrichtungen bezeichnet, die digitale Berechtigungsnachweise prüfen, die Nutzende in ihrer EUDI-Wallet haben.

Die Ergebnisse der Testläufe sollen dann in die weitere Entwicklung der staatlichen Wallet einfließen. Voraussichtlich 12 Monate nach deren Start können auch private Anbieter eigene Wallets anbieten, die sie dann mit eigenen Zusatzdiensten anreichern können.

Pilotprojekt in Sachsen

Bereits im Oktober vergangenen Jahres startete das Bundesdigitalministerium zusammen mit der Sächsischen Staatskanzlei und der Landeshauptstadt Dresden ein größeres Pilotprojekt in Sachsen.

Ab Mitte 2026 sollen Dresdner:innen den Dresden-Pass und die Sächsische Ehrenamtskarte in der Wallet hinterlegen können. Beide Nachweise berechtigen unter anderem zu ermäßigten Preisen für Kultur- und Freizeitangebote. Dresden testet damit als erste Kommune Deutschlands die Wallet.

Außerdem wird das zentrale digitale Bürgerkonto, die Bund-ID, in die Wallet eingebunden. Bürger:innen können die Wallet dann dazu nutzen, um sich gegenüber Behörden auszuweisen, etwa wenn sie online Bescheide abrufen möchten. In Kooperation mit der Hochschule für Technik und Wirtschaft Dresden wird zudem ein konkreter Anwendungsfall entwickelt, bei dem Studierende einen Bafög-Antrag mit der Wallet vollständig digital beantragen und den Bescheid dann in der Wallet hinterlegen können.

Viele EU-Staaten liegen hinter dem Zeitplan

Die EUDI-Wallet basiert auf einem EU-Gesetz, das im Mai 2024 in Kraft trat. Die EU-Mitgliedstaaten müssen die Verordnung in nationale Gesetze gießen. Außerdem müssen sie bis Anfang 2027 eigene Wallets anbieten.

Ob dies EU-weit gelingt, ist allerdings fraglich. Der norwegische Identifizierungsdienstleister Signicat hat im vergangenen Dezember ermittelt, dass die Mehrheit der EU-Staaten hinter dem Zeitplan liegt. Nur zwölf Staaten werden demnach bis Ende 2026 wahrscheinlich eine fertige Wallet anbieten können, darunter Frankreich, Deutschland, Österreich, Griechenland und Italien.

Kategorien: Externe Ticker

Digitaler Omnibus: „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“

29. Januar 2026 - 15:11

Wenn die Person dahinter nicht mehr erkannt werden kann, sollen Daten künftig nicht mehr von der DSGVO geschützt sein – Gemeinfrei-ähnlich freigegeben durch unsplash.com Oscar Keys

Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.

Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.

Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.

Wann gelten pseudonymisierte Daten als personenbezogen?

In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen.
Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.

Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.

Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.

Ringen um EuGH-Urteil

Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.

Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.

Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.

Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.

Auch Alexander Roßnagel übt Kritik

Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.

Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.

Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.

Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.

Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen

Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.

Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.

Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“

Kategorien: Externe Ticker

Berlin: Undurchsichtige Gesundheitsdatenbank-Pläne nach Brandbrief vorerst gestoppt

29. Januar 2026 - 14:19

Die rot-schwarze Koalition in Berlin wollte die Charité dazu befähigen, auf Basis eines reformierten Universitätsmedizingesetzes eine neue Gesundheitsdatenbank aufzubauen. Ziel ist es, den Standort Berlin als Zentrum für Wissenschaft, Forschung, Lehre und Innovation zwischen Hochschulen und Instituten zu fördern. Wie sensible personenbezogene Daten geschützt werden, bleibt in dem Vorhaben jedoch unklar, kritisiert die Berliner Datenschutzbeauftragte Meike Kamp.

Als dringliche Beschlussempfehlung hatten CDU und SPD am 15. Januar eine Änderungsvorlage ins Abgeordnetenhaus eingebracht, bevor sich Kamp am 20. Januar einschaltete. Nach scharfer Kritik in einem Brandbrief, den wir veröffentlichen, teilte der Sprecher für Inneres der SPD-Fraktion, Martin Matz, nun die vorläufige Verfahrenseinstellung mit.

Matz zeigte sich Kamps Kritik gegenüber offen. Die Datenbank-Pläne erachte er aber weiterhin als wichtig und will das Vorhaben bis 2029 verwirklichen. Wie es mit dem Vorhaben weitergeht, ist derzeit allerdings offen: In der heutigen Plenarsitzung stand das Thema auf der Tagesordnung, wurde dann aber kurzfristig vertagt.

Senat verstößt gegen Berliner Datenschutzgesetz

Betreffen neue Gesetzesvorhaben den sensiblen Bereich der personenbezogenen Datenverarbeitung – wie in diesem Fall von Gesundheitsdaten – schreibt das Berliner Datenschutzgesetz vor, die Datenschutzbeauftragte verpflichtend zu konsultieren.

Den Kontakt hatten in diesem Fall aber weder Senat noch Abgeordnetenhaus gesucht. Laut des Brandbriefs hatte die Koalition das vor dem parlamentarischen Beschluss auch nicht mehr vor. Schließlich hatten offenbar Teile der Opposition die Datenschutzbehörde auf den Änderungsentwurf hingewiesen.

Unklar ist bisher auch, warum die Charité als weitere betroffene Partei nicht in das Vorhaben einbezogen wurde. Schließlich wäre sie das ausführende Organ gewesen. Nach Angaben eines Sprechers der Charité war sie weder Initiator noch auf andere Weise in die Formulierung des Änderungsentwurfs eingebunden.

Zweck der Datenbank nicht ersichtlich

Kritisch beurteilte Kamp den Änderungsentwurf außerdem hinsichtlich unklarer und unverständlicher Inhalte. Die Datenbank soll mit nicht personenbezogenen Daten gefüttert werden, heißt es im ersten Absatz des neuen Paragraphen. Jedoch würden die folgenden Absätze dann nur Regelungen für den Umgang mit personenbezogenen Daten behandeln.

Es sei daher anzunehmen, dass an der Charité erhobene personenbezogene Daten in nicht personenbezogene Daten umgewandelt werden. Dafür wären dann Vorgaben für Anonymisierungsverfahren notwendig. Angaben, um welche Daten es konkret gehe, wer sie erheben soll und wie sie anonymisiert und in die Datenbank eingespeist werden sollen, fehlen jedoch.

Die jetzige Fassung sehe außerdem eine „staatenübergreifende Nutzung“ vor. Daten könnten somit auch an Dritte außerhalb der EU übermittelt werden. Handele es sich dann doch um personenbezogene Daten, greifen für diesen Fall bestehende Regelungen, unter anderem die Datenschutzgrundverordnung.

Die Notwendigkeit einer neuen Vorschrift bleibt unklar, urteilt Kamp. Erst einmal müsse der Zweck einer neuen Gesundheitsdatenbank verdeutlicht werden. Dann könne geprüft werden, ob dafür eine Erweiterung der bestehenden Gesetzeslage nötig wäre.

Datenschutz zuerst

Tobias Schulze, Fraktionsvorsitzender für die Linke im Berliner Abgeordnetenhaus, schließt sich der geäußerten Kritik an: „Solche Nachlässigkeiten können wir uns besonders in dem sensiblen Bereich von Gesundheitsdaten nicht leisten. Forschung mit Gesundheitsdaten kann sinnvolle Dienste leisten. Gerade damit dieser Mehrwert nicht delegitimiert wird, ist wirkungsvoller Datenschutz besonders wichtig.“

Anonymisierung und Pseudonymisierung sind entscheidende Schritte auf dem Weg dahin, da sie „wichtige Maßnahmen für eine datenschutzkonforme und datensparsame Datenverarbeitung“ darstellen, betont Simon Rebiger, Pressesprecher der Berliner Datenschutzbeauftragten gegenüber netzpolitik.org.

Alles netzpolitisch Relevante Drei Mal pro Woche als Newsletter in deiner Inbox. Jetzt abonnieren

Anonymisierte Daten dürfen nicht mit verfügbaren Zusatzinformationen auf eine betroffene Person zurückzuführen sein, betont Rebiger. Bei vielen Methoden verbleiben jedoch Restrisiken. Schätzen Verantwortliche diese nach allgemeinem Ermessen als unbeachtlich ein, gelten Daten als anonym und unterliegen nicht mehr dem Datenschutzrecht.

Im Unterschied dazu müsse bei der Pseudonymisierung nur sichergestellt sein, dass eine bestimmte Personengruppe, der die Daten zugänglich gemacht wird, Betroffene in keinem Fall identifizieren kann, so Rebiger. In solchen Fällen können pseudonymisierte Daten unter bestimmten Umständen als anonym gelten. Ansonsten bleiben die Daten personenbezogen und sind datenschutzrechtlich beschränkt.

Derzeit erarbeitet die Datenschutzkonferenz praktische Hilfestellungen für auf Einzelfälle zugeschnittene Verfahren. Sensible Gesundheitsdaten werden zum Beispiel bei der Übermittlung von Daten aus dem Krebsregister erfasst oder wenn KI-Modelle mit radiometrischen Aufnahmen trainiert werden.

Hier das Dokument in Volltext:

Viertes Gesetz zur Änderung des Berliner Universitätsmedizingesetzes (Drucksache 19/2763)

Änderungsantrag der Fraktion der CDU und der Fraktion der SPD
Dringliche Beschlussempfehlung des Ausschusses für Wissenschaft und Forschung vom 12. Januar 2026
Hier: § 38 Zentrale Gesundheitsdatenbank

Sehr geehrte Frau Präsidentin,
sehr geehrte Vorsitzende der Ausschüsse des Abgeordnetenhauses von Berlin,

ich nehme Bezug auf einen Änderungsantrag zum Vierten Gesetz zur Änderung des Berliner Universitätsmedizingesetzes der Fraktion der CDU und der Fraktion der SPD, der im Ausschuss für Wissenschaft und Forschung am 12. Januar 2026 angenommen und zur dringlichen Beschlussfassung in die 78. Plenarsitzung am 15. Januar 2026 eingebracht wurde.

Die dringliche Beschlussempfehlung sieht durch Einfügung eines neuen § 38 in das Berliner Universitätsmedizingesetz die Errichtung einer zentralen Gesundheitsdatenbank durch die Charité vor, die entsprechend mit Verarbeitungen von Gesundheitsdaten einhergeht. Ich bin entgegen der Vorgaben aus § 11 Abs. 2 Satz 2 Berliner Datenschutzgesetz bisher nicht zu diesem Gesetzesentwurf beteiligt bzw. angehört worden, obwohl die mit der Vorschrift vorgesehenen Errichtung einer zentralen Gesundheitsdatenbank auch die Verarbeitung von personenbezogenen Gesundheitsdaten und damit besonders sensible Bereiche der personenbezogenen Datenverarbeitung betrifft. Irritierend ist insbesondere, dass – wie die Erörterung in der Sitzung des Ausschusses für Wissenschaft und Forschung zeigte – die Beteiligung meiner Behörde auch vor Beschlussfassung im Parlament bewusst nicht mehr vorgesehen ist.

Auch inhaltlich ist die vorgeschlagene Regelung zu kritisieren: Abgesehen davon, dass die Beschlussempfehlung und der Änderungsantrag keine Begründung enthalten, aus welchen Grün- den aus Sicht des Gesetzgebers die Errichtung einer Gesundheitsdatenbank notwendig erscheint, ist der Gesetzesentwurf in seiner derzeitigen Form unklar und unverständlich. Meinen für den Bereich Wissenschaft und Forschung zuständigen Mitarbeiter:innen, die eine besondere Expertise in Bezug auf die Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Gesundheitsdaten haben, erschließt sich der konkrete Regelungsgehalt des § 38 des Entwurfs nicht. Ich habe daher erhebliche Zweifel, ob den Rechtsanwender:innen, insbesondere in der Charité und unter den Forschenden, die Voraussetzungen der Norm in der derzeitigen Fassung verständlich werden wird.

Dies möchte ich im Einzelnen erläutern:

Nach Abs. 1 soll eine zentrale Datenbank mit „nicht personenbezogenen Gesundheitsdaten“ errichtet werden. Aus der Vorschrift wird nicht klar, was hierunter zu verstehen ist und woher diese Daten stammen. Es ist davon auszugehen, dass es sich um die Gesundheitsdaten handelt, die die Charité im Rahmen der Behandlung und Versorgung ihrer Patient:innen erhoben hat. Damit diese personenbezogenen Daten nicht mehr personenbezogen sind, muss zunächst eine Anonymisierung durch die Charité erfolgen. Dies setzt eine Regelung voraus, die die Verarbeitung der Daten zum Zweck der Anonymisierung zum Gegenstand hat. Eine solche enthält die Vorschrift jedoch nicht.
Abs. 3 legt fest, dass eine „staatenübergreifende Nutzung“ der Datenbank zulässig sein soll, sofern die „Vorgaben des Datenschutzes“ eingehalten werden. Fragen wirft an dieser Stelle bereits auf, dass in Absatz 1 der Vorschrift von einer Datenbank mit nicht personenbezogenen Daten die Rede ist, hier jedoch auf die Vor- gaben des Datenschutzes hingewiesen wird. Zudem ist die Vorschrift unbestimmt und zeigt keinen klaren Regelungsinhalt auf. Eine „staatenübergreifende Nutzung“ ist nichts anderes als eine Übermittlung oder eine Offenlegung der entsprechenden Daten an Dritte außerhalb Deutschlands oder der EU. Entsprechende Regelungen finden sich bereits in § 25 LKG bzw. in § 6 Abs. 3 GDNG sowie bei möglicher Drittstaatenübermittlung in Kapitel V der DSGVO.
Abs. 4 S. 1 regelt sodann, dass auch personenbezogene Daten „im Rahmen einer Nutzungsvereinbarung“ zu erheben sind. Gänzlich unklar bleibt, was unter einer solchen Nutzungsvereinbarung verstanden und zwischen wem eine solche Nutzungsvereinbarung geschlossen werden soll. Ferner bleibt unklar, durch wen hier- bei welche Stellen personenbezogenen Daten erhoben werden sollen, und ob und inwieweit diese in die Gesundheitsdatenbank aufzunehmen sind
Ferner sind nach Abs. 4 S. 2 „anderweitig erhobene und für Forschung und Lehre relevante Daten unter den Voraussetzungen des § 17 BlnDSG […] in die Gesundheitsdatenbank aufzunehmen“. Diese Vorschrift ist ebenfalls unbestimmt und erfüllt den verfassungsgemäßen Grundsatz der Bestimmtheit des Gesetzes nicht. Zunächst ist unklar, welche Daten in die Gesundheitsdatenbank aufgenommen werden sollen. Aus der Formulierung „anderweitig erhoben“ wird nicht deutlich, wer diese Daten erhoben haben soll (ggf. die Charité). Ferner ist unklar, in welchen Kontexten die Daten erhoben worden sein sollen. Darüber hinaus ist nicht klar, ob es sich um Gesundheitsdaten handeln soll, was ausdrücklich im Gesetzestext zu benennen wäre. Um dem verfassungsrechtlichen Bestimmtheitsgebot gerecht zu werden, müsste explizit beschrieben werden, in welchem Zusammenhang von wem welche personenbezogenen Daten erhoben worden sind.
Die Formulierung, dass „für Forschung Lehre relevante Daten“ aufzunehmen sind, ist ebenfalls zu unbestimmt. Unklar bleibt, was unter „Relevanz“ zu verstehen ist und wer über diese Relevanz entscheidet.
Auch der Verweis auf § 17 BlnDSG ist nicht verständlich. Zunächst ist anzumerken, dass das BlnDSG nach § 2 Abs. 1 BlnDSG für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes Berlin gilt. Sollte hiermit die Charité angesprochen werden, ist § 25 LKG eine speziellere Norm, die vorrangig anzuwenden wäre. Für Forschende, Studierende oder sonstige Nutzende kann § 17 BlnDSG keine Anwendung finden, weil es sich bei diesem Personenkreis um keine öffentlichen Stellen des Landes Berlin handelt, für die das BlnDSG ausschließlich Anwendung findet (§ 2 Abs. 1 BlnDSG).
Ferner enthält Abs. 4 S. 2 eigene Voraussetzungen, die vor Aufnahme der Daten in die Gesundheitsdatenbank zu beachten sind. Gänzlich unklar bleibt das Verhältnis dieser Voraussetzungen zu den in § 17 BlnDSG und § 25 LKG formulierten Voraussetzungen, die die Verarbeitung von (Gesundheits-)Daten zu wissenschaftlichen Forschungszwecken zum Gegenstand haben. Es wird nicht deutlich, welche Regelungen des § 17 BlnDSG und § 25 LKG entsprechend gelten sollen und in welchem Verhältnis diese Rechtsgrundlagen zur Verarbeitung der Daten in der Gesundheitsdatenbank stehen. Hierbei ist ebenfalls nicht nachvollziehbar, wie diese Voraussetzungen erfüllt werden können oder welche Voraussetzungen konkret zu erfüllen sind.
Abs. 4 S. 2 regelt ausdrücklich die Aufnahme der Daten in die Gesundheitsdatenbank, nicht die erst nachgelagerte Nutzung durch Forschende oder Studierende. Abs. 4 S. 2 Nr. 2 regelt jedoch beispielsweise als Voraussetzung, dass „der Forschungszweck die Möglichkeit der Zuordnung erfordert, die betroffene Person zu diesem Zweck eingewilligt hat“. Diese Voraussetzung kann jedoch erst dann geprüft werden und erfüllt sein, wenn eine Nutzung der Datenbank für ein Forschungsvorhaben erfolgen soll. Der Forschungszweck ergibt sich nämlich erst aus einem konkreten Forschungsvorhaben, für das eine Nutzung der in der Gesundheitsdatenbank aufgenommenen Daten beantragt wird. Für die vorgelagerte und hier ausschließlich geregelte Aufnahme der Daten in die Gesundheitsdatenbank kann die Voraussetzung des Nr. 2 daher nicht geprüft werden. Dasselbe gilt für die Voraussetzung Nr. 3, nach der das öffentliche Interesse an der Durchführung eines konkreten Forschungsvorhabens überwiegen muss und der konkrete Forschungszweck nicht auf andere Weise zu erreichen ist.
Gänzlich unbeachtet bleibt bei Abs. 4 S. 2 auch, dass die Datenbank nach Abs. 2 nicht nur zu wissenschaftlichen und forschungsbezogenen, sondern auch zu lehrbezogenen und innovationsorientierten Zwecken genutzt werden soll, über die Nutzung zu (wissenschaftlichen) Forschungszwecken also hinausgeht.
Ferner enthält Abs. 4 S. 3 die Regelung, dass personenbezogene Daten, soweit dies nach dem Forschungszweck erforderlich ist, zu anonymisieren sind. Auch hier stellt sich das Problem, dass auf einen konkreten Forschungszweck abgestellt wird, und nicht auf die grundsätzliche Aufnahme / Verarbeitung der personenbezogenen Daten in der Datenbank.
Schließlich sei insgesamt anzumerken, dass zwar Abs. 1 ausdrücklich regelt, dass eine zentrale Datenbank mit nicht personenbezogenen Daten errichtet werden soll, die weiteren Absätze jedoch nur Regelungen zu personenbezogenen Daten enthalten. Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.

Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.

Kategorien: Externe Ticker

Sozialstaatsreform: Kommission empfiehlt Abbau von Grundrechten

28. Januar 2026 - 18:03

Der Sozialstaat stehe vor einem „digitalen Neustart“. Das verkündete Bundesarbeitsministerin Bärbel Bas (SPD), als sie am Dienstag den Abschlussbericht der „Kommission zur Sozialstaatsreform“ entgegennahm.

Die Kommission empfiehlt insgesamt 26 Maßnahmen, um den Sozialstaat zu „modernisieren“. Sie sollen das Sozialleistungssystem vereinheitlichen, mehr „Erwerbsanreize“ für Leistungsbeziehende schaffen und rechtliche Vorgaben vereinfachen.

Das Schutzniveau des Sozialstaats werde dadurch nicht gesenkt, betonte Bas. Stattdessen zielten die Empfehlungen darauf ab, den Leistungsvollzug effizienter zu machen. Vor allem die Empfehlungen zur Verwaltungsdigitalisierung wertet die Ministerin dahingehend als „Quantensprung“.

Tatsächlich droht aber gerade hier ein Abbau elementarer Schutzvorkehrungen. Denn die Kommission will unter anderem den Datenschutz aufweichen und Verfahren weitgehend automatisiert „auch unter Nutzung von Künstlicher Intelligenz“ beschleunigen. Wohlfahrtsverbände befürchten, dass ohnehin benachteiligte Menschengruppen zusätzlich diskriminiert werden.

Plattformbasierte Modernisierung mit Sozialportal

Der Kommission gehörten Vertreter:innen des Bundes, der Länder und der Kommunen an. Vertreter:innen aus der Wissenschaft oder der Zivilgesellschaft waren in dem Gremium nicht vertreten. Es führte aber Gespräche mit insgesamt 90 Expert:innen und Interessenvertreter:innen unterschiedlicher Verbände und Sozialpartner.

Für eine „konsequente Ende-zu-Ende-Digitalisierung“ strebt die Kommission quasi im Backend eine „technisch sichere und souveräne Technologieplattform für Bund, Länder und Kommunen“ mit einheitlichen Standards und Schnittstellen an. Die Basiskomponenten dafür soll der Deutschland-Stack liefern, das Prestigeprojekt des Bundesdigitalministeriums.

Im Frontend sollen Bürger:innen alle Leistungen gebündelt über ein zentrales „Sozialportal“ einsehen sowie Anträge stellen und Bescheide abrufen können. Der Sozialstaat soll für sie so „transparenter und leichter zugänglich“ werden.

Behördenübergreifender Datenaustausch

Damit Verwaltungen leichter untereinander Daten austauschen können, sollen sie behördenübergreifend die steuerliche Identifikationsnummer nutzen. Diese lebenslang gültige Personenkennziffer erhalten alle Bürger:innen vom Bundeszentralamt für Steuern bei Geburt.

Schon die Ampel-Regierung hatte geplant, die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Jurist:innen und Datenschützer:innen kritisieren die Einführung einer solchen Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteils des Bundesverfassungsgerichts als verfassungswidrig.

Darüber hinaus spricht sich die Kommission dafür aus, das sogenannte Once-Only-Prinzip konsequent umzusetzen. Es sieht vor, dass Bürger:innen ihre Antragsdaten nur noch einer Behörde mitteilen, die diese dann an andere Behörden weitergeben kann.

Der „komplexe“ Sozialdatenschutz

Dafür müsse der Gesetzgeber aber zum einen den „komplexen Sozialdatenschutz“ aufweichen. Konkret empfiehlt die Kommission, entsprechende Regelungen im Ersten und im Zehnten Buch Sozialgesetzbuch zusammenzuführen. Zum anderen müsse dafür der Ersterhebungsgrundsatz reformiert oder gar gestrichen werden – sofern dies „mit dem verfassungsrechtlich verankerten Recht auf informationelle Selbstbestimmung vereinbar wäre“.

Der Ersterhebungsgrundsatz sieht vor, dass personenbezogene Sozialdaten grundsätzlich direkt bei der betroffenen Person selbst erhoben werden müssen und nicht etwa beim Arbeitgeber. Betroffene Person können so derzeit selbst darüber entscheiden, ob und wie ihre Daten preis- und weitergegeben werden.

Mehr KI, weniger Kontrolle

Darüber hinaus will die Kommission Verwaltungsverfahren mit dem Einsatz sogenannter Künstlicher Intelligenz beschleunigen. Auf diese Weise will sie auch den „sich verschärfenden Fachkräfteengpässen“ begegnen.

So sollen „rein regelgebundene Prozesse ohne Ermessens- und Beurteilungsspielraum“ künftig „weitgehend automatisiert ablaufen“. Damit sind Verwaltungsprozesse gemeint, bei denen ein Sachverhalt formal auf klare Voraussetzungen geprüft wird – also etwa ob eine Frist eingehalten wurde oder ein:e Antragssteller:in ein bestimmtes Alter erreicht hat.

Aber auch bei Ermessensentscheidungen soll KI verstärkt zum Einsatz kommen – allerdings nur „unterstützend“, wie der Bericht betont. Die Entscheidungen müssten „in menschlicher Hand“ verbleiben. Zugleich spricht sich die Kommission dafür aus, das sogenannte Vier-Augen-Prinzip einzuschränken. Es sieht vor, dass mindestens zwei Behördenmitarbeitende gemeinsam einen Sachverhalt prüfen.

Wohlfahrtsverbände warnen vor KI-Einsatz

Der Paritätische Wohlfahrtsverband sieht diese Empfehlungen „überaus kritisch“. „Auch ‚unterstützende‘ KI kann systematische Benachteiligung verstärken“, schreibt der Verband auf Anfrage von netzpolitik.org. „Besonders gravierend ist die fehlende Transparenz vieler KI‑Modelle und die Gefahr, soziale Feinheiten auszublenden.“ Das Vier-Augen-Prinzip sei „ein unverzichtbarer Schutzmechanismus im Sozialstaat“ und insbesondere bei KI-gestützten Verfahren wichtig. „Hier brauchen wir mehr Kontrolle, nicht weniger“, so der Verband.

„Nachvollziehbarkeit und Transparenz müssen zu jeder Zeit gewährleistet sein“, mahnt auch der Arbeiterwohlfahrt Bundesverband. Er verweist auf Forschungsergebnisse, wonach Algorithmen dazu neigen, ohnehin benachteiligte Menschengruppen weiter zu diskriminieren. „Sofern der Ermessensspielraum nicht zugunsten der Bürgerinnen und Bürger genutzt wird, muss deshalb immer durch eine qualifizierte Person entschieden werden“, schreibt die Arbeiterwohlfahrt.

Selbst dann seien die Risiken aber noch immer hoch, sagt die Bundestagsabgeordnete Sonja Lemke (Die Linke). Diverse Studien und Umfragen hätten gezeigt, dass Menschen KI-Ergebnissen recht blind vertrauten. „Daher besteht die Gefahr, dass Ermessensentscheidungen, die von der KI unterstützt werden, am Ende faktisch allein von der KI getroffen werden – mit allem Bias, rassistischen und sexistischen Vorurteilen, die in ihr stecken“, so Lemke gegenüber netzpolitik.org. „Das ist Politik auf Kosten derjenigen, die existenziell von Sozialleistungen abhängig sind.“

„Commitment“ oder Grundgesetzänderung

Die Kommission drängt auf eine rasche und einheitliche Umsetzung ihrer Empfehlungen. Bund, Länder und Kommunen müssten bundesweit geltende Vorgaben festlegen. Dazu zählen einheitliche Datenformate, Schnittstellen und IT-Dienste.

Dafür brauche es insbesondere ein „Commitment“ der Kommunen, betonte die Arbeitsministerin am Dienstag im ARD-Morgenmagazin. Nicht jede Kommune könne künftig ihre eigene Software behalten, so Bas.

Gelingt eine solche Einigung nicht, spricht sich die Kommission dafür aus, Artikel 91c des Grundgesetzes so anzupassen, dass „durch zustimmungspflichtige Bundesgesetze Standards, Sicherheitsanforderungen und Komponenten verbindlich festgelegt werden können“. Dafür braucht die schwarz-rote Koalition allerdings mindestens eine Zwei-Drittel-Mehrheit im Bundestag – und damit die Unterstützung der Linkspartei oder der AfD.

Kategorien: Externe Ticker

ChatGPT: Polizeigewerkschaft bebildert Pressemitteilung mit generiertem Schockerfoto

28. Januar 2026 - 17:41

Der sächsiche Landesverband der Gewerkschaft der Polizei nutzt ein KI-generiertes Bild mit einem blutenden Polizisten, um eine Pressemitteilung zu illustrieren. Begründet wird dies mit Persönlichkeitsrechten und laufenden Ermittlungen, das Bild sei eine „symbolische Illustration“.

Wieviel sind Bilder wert, wenn sie nicht die Realität zeigen? Das Bild hier ist eine verpixelte Version des generierten Bildes der Polizeigewerkschaft. – Public Domain CVatGPT / GdP Sachsen / netzpolitik.org

Beim einem Zweitligaspiel der Fußball-Männerteams des 1. FC Magdeburg und Dynamo Dresden am vergangenen Samstag gab es Ausschreitungen. Nach Polizeiangaben soll es 70 verletzte Polizisten gegeben haben. Der sächsische Landesverband der Gewerkschaft der Polizei (GdP) gab dazu eine Pressemitteilung heraus und bebilderte sie mit einem KI-generierten fotorealistischen Bild. Darauf zu sehen: ein blutender Polizist, der von zwei Kollegen gestützt wird.

Dieses Bild war klein mit dem Hinweis „KI: ChatGPT“ gekennzeichnet, erweckt aber auf den ersten Blick den Eindruck, dass dies ein echtes Bild sei. In sozialen Medien sorgte die Bebilderung für Empörung. So kritisierte der Forscher Daniel Mullis auf Bluesky: „Es ist das erste Mal, dass ich solche Bilder von seriösen Stellen sehe, die Ereignisse so darstellen, dass sie besser ins eigene Bild passen.“ Das sei nicht gut, der Deutsche Gewerkschaftsbund, in dem die Gewerkschaft Mitglied ist, dürfe hier nicht schweigen.

Polizeigewerkschaft: „Symbolische Illustration“

Auf Nachfrage, warum die Gewerkschaft hier ein solches Bild einsetze, hat der GdP-Landesvorsitzende Jan Krumlovsky netzpolitik.org geantwortet, dass das KI-generierte Bild als „symbolische Illustration“ eingesetzt worden sei. „Diese Entscheidung erfolgte bewusst, um auf das Thema Gewalt gegen Einsatzkräfte im Zusammenhang mit dem Fußballspiel aufmerksam zu machen, ohne reale Einsatzkräfte, Beteiligte oder konkrete Einsatzsituationen abzubilden“, so Krumlovsky weiter. Als Begründungen nennt der Polizeigewerkschafter den Schutz von Persönlichkeitsrechten, laufende Ermittlungen sowie den respektvollen Umgang mit betroffenen Kolleginnen und Kollegen.

So präsentiert die GdP ihre Pressemitteilung - Screenshot GdP Sachsen

Krumlovsky betont, dass das Bild als KI-generiert gekennzeichnet ist. „Es sollte keine dokumentarische Abbildung eines realen Ereignisses darstellen, sondern der thematischen Einordnung dienen“, so der Gewerkschafter weiter. Für die Gewerkschaft sei entscheidend, dass der Einsatz von Illustrationen – unabhängig davon, ob sie KI-generiert oder auf andere Weise erstellt sind – transparent erfolge und keinen dokumentarischen Anspruch erheben würde.

DJV: „Immer ein Grund, hellhörig zu werden“

Unabhängig davon würde die GdP Sachsen die internen Abläufe im Umgang mit KI-generierten Inhalten „weiter präzisieren“, insbesondere bezüglich Kennzeichnung und Kontextualisierung. Nach unserer Presseanfrage hat die Polizeigewerkschaft noch einen weiteren Hinweis auf das generierte Foto unter dem Text angebracht und expliziter in der Quellenangabe den Zusatz „KI-generiert“ ergänzt. Das Bild selbst nutzt sie weiter.

Alles netzpolitisch Relevante Drei Mal pro Woche als Newsletter in deiner Inbox. Jetzt abonnieren

Der Bundesvorsitzende des Deutschen Journalisten-Verbands Mika Beuster kommentiert gegenüber netzpolitik.org: „KI-Fotos sind immer ein Grund, hellhörig zu werden.“ Journalist:innen, aber auch die Öffentlichkeit, sollten sich immer kritisch fragen, warum auf KI-Material zurückgegriffen wird, so Beuster weiter. Der Verband spreche sich zudem bei der Nutzung von KI-generierten Bildern für größtmögliche Transparenz aus.

Der Fotojournalist Kai Schwerdt kritisierte bei Bluesky: „Auch wenn das Bild als KI-generiert gekennzeichnet ist, finde ich es bedenklich, wenn die Gewerkschaft der Polizei (GdP) solche Bilder zu dramaturgischen Zwecken einsetzt. Es ist eine bewusste Abkehr von der Realität. Als wäre die nicht schon übel genug.“

Kategorien: Externe Ticker

Diskussionspapier: Tech-Unternehmen sollen legalen Extremismus suchen

28. Januar 2026 - 16:12

Die Bundesregierung will Online-Radikalisierung und gewalttätigen Extremismus stärker bekämpfen. Deutschland hat zusammen mit Frankreich und den Niederlanden ein Diskussionspapier mit möglichen Maßnahmen erstellt.

Die Verordnung gegen terroristische Online-Inhalte und das Gesetz über digitale Dienste regeln viele Inhalte bereits. Den Staaten reichen diese Gesetze nicht, denn sie helfen nur gegen terroristische Inhalte, die immer illegal sind. „Gewalttätige extremistische Inhalte“ sind jedoch nicht illegal. Deshalb fordern die Staaten weitere Maßnahmen gegen „schädliche, aber legale“ Inhalte.

Ausweitung auf Terror und Extremismus

Deutschland, Frankreich und die Niederlande fordern einen Verhaltenskodex mit „strengeren Maßnahmen“ für Online-Plattformen. Die Staaten wollen die Unternehmen beispielsweise „ermutigen“, Warnsignale über extremistische Inhalte „an die zuständigen nationalen Behörden weiterzuleiten“.

Die Regierungen „empfehlen“, ein bestehendes Projekt zum Informations-Austausch auszuweiten, „von seinem Schwerpunkt auf Material über sexuellen Kindesmissbrauch auf terroristische und gewalttätige extremistische Inhalte“.

Projekt Laterne gegen Kindesmissbrauch

Vor 20 Jahren haben sich einige Tech-Unternehmen in einer Koalition zusammen geschlossen, um „sexuelle Ausbeutung von Kindern im Internet zu bekämpfen“. Das Bündnis war ursprünglich Teil der Organisation „Nationales Zentrum für vermisste und ausgebeutete Kinder“. Heute hat die „Tech-Koalition“ dutzende Mitglieder, darunter Google, Meta und Microsoft in „führender Rolle“.

Ende 2023 hat die Koalition das Projekt „Laterne“ verkündet. Die beteiligten Unternehmen teilen über das Programm Informationen über Kindesmissbrauch. Sie wollen insbesondere Plattform-übergreifende Versuche vom Missbrauch und Grooming aufdecken.

Die ausgetauschten Informationen können auf Inhalten basieren, wie URLs oder Hashwerte von Fotos und Videos. Sie können aber auch auf Ereignissen basieren. Wenn Accounts Kinderporngrafie konsumieren oder verbreiten, teilen die Unternehmen E-Mail-Adressen oder andere Account-Informationen von Tätern und Opfern.

Zweckbindung gegen übermäßige Eingriffe

Das Bündnis Tech-Koalition und das Produkt Laterne haben Sorgfaltspflichten für Menschenrechte entwickelt. Der erste Punkt ist eine Zweckbindung: „Der Anwendungsbereich von Lantern beschränkt sich ausschließlich auf die Bekämpfung sexueller Ausbeutung und Missbrauch von Kindern im Internet, um Datenschutz zu gewährleisten und übermäßige Eingriffe zu minimieren“.

Dieses Grundprinzip will die Bundesregierung gemeinsam mit Frankreich und den Niederlanden kippen. Die Unternehmen sollen mit Laterne nicht nur Missbrauch bekämpfen, sondern auch Extremismus und legale Inhalte.

Beschränkung als Schutzmaßnahme

Auf Anfrage von netzpolitik.org zeigt sich die Tech-Koalition verwundert über den Vorschlag. Eine Sprecherin bestätigt, dass Lantern nicht für andere Inhalte bestimmt ist. „Lantern ist bewusst auf sexuelle Ausbeutung und Missbrauch von Kindern im Internet beschränkt. Das geht aus unserer Mission hervor und dient als Maßnahme zum Schutz von Privatsphäre und Datenschutz.“

Wir haben die Tech-Koalition auch gefragt, ob die Staaten ihren Vorschlag mit dem Bündnis diskutiert haben. Die Antwort: Nein, haben sie nicht.

Wir haben dem Bundesinnenministerium eine Reihe an Fragen gestellt. Eine Sprecherin „bittet um Verständnis, dass wir uns dazu nicht äußern“. Die Vorschläge sind schließlich ein sogenanntes „Non-Paper“ – und damit nicht offiziell zitierfähig.

Von Kinderschutz zu anderen Inhalten

Immer wieder werden staatliche Eingriffe zunächst mit Terrorismus oder Kindesmissbrauch begründet und nach der Einführung auf andere Inhalte ausgeweitet.

Das derzeit verhandelte EU-Gesetz zur Chatkontrolle begründet die Maßnahme mit sexuellem Missbrauch von Kindern. Europol und Abgeordnete fordern eine Ausweitung auf andere Inhalte wie Pornografie und Drogen.

Ein deutsches Gesetz begründete Netz-Sperren mit strafbarer Kinderpornografie. Bundeskriminalamt und Abgeordnete forderten eine Ausweitung auf Killerspiele und Glücksspiele. Heute sperren deutsche Provider Webseiten vor allem wegen Urheberrecht und Jugendschutz.

Die Bundesregierung begründet die Vorratsdatenspeicherung vor allem mit Kinderpornografie. Tatsächlich werden diese Daten schon heute vor allem wegen mutmaßlicher Urheberrechtsverletzungen abgefragt.

Die Tech-Unternehmen haben das Projekt Laterne explizit gegen Kindesmissbrauch gegründet und darauf beschränkt. Jetzt will die Bundesregierung dieses System auf Extremismus ausweiten – selbst wenn der legal ist.

Kategorien: Externe Ticker

Phishing attack: Numerous journalists targeted in attack via Signal Messenger

28. Januar 2026 - 15:51

Journalists and activists on Signal in the crosshairs. – Gemeinfrei-ähnlich freigegeben durch unsplash.com George Pagan III

Journalists have increasingly been targeted by a well-known phishing attack on the Signal messenger service in recent days and weeks, according to reporting by netzpolitik.org. Dozens of (investigative) journalists, some of them prominent, at public television stations and several large and small media outlets, including Die Zeit, Correctiv, and netzpolitik.org, have been affected. Furthermore, individual high-profile representatives of civil society, including lawyers, were hit by the attack.

Netzpolitik.org has not yet been able to find any victims of the attack outside of these categories. This suggests a targeted phishing attack on specific phone numbers, but is not proof of such an attack.

“We have seen early indications that journalists, politicians, and civil society members in Germany and across Europe have been targeted.” Donncha Ó Cearbhaill, head of the Security Lab at Amnesty International, confirmed to netzpolitik.org.

“This Signal phishing campaign appears to be highly active,” Ó Cearbhaill said. According to the security expert, it is unclear how often the attacks were successful, but the spread of the campaign appears to be fueled by stolen address book entries collected from previous victims.

How does the attack work?

In the campaign, attackers send a Signal message, pretending to be “Signal Support” and claiming that there has been suspicious activity on the mobile phone and an attempt to access private data. For this reason, those affected must go through the Signal verification process again and send the verification code to a “Signal Security Support ChatBot”, the fraudulent messages claim. The earliest victims of the attack identified by netzpolitik.org were contacted in November. The first publicly known reports of the attempted attacks were published in October by Citizen Lab researcher John Scott-Railton.

The request from the fake support account reads as follows:

Dear User, this is Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.

If this chat request is accepted, victims receive a text message containing a verification code on their cell phone, as one victim confirmed to netzpolitik.org. This is apparently a genuine verification code from Signal. It indicates that immediately after accepting the chat request, the attackers attempt to re-register an account with the cell phone number.

If this verification code is passed on to the fraudulent “Signal Support”, the attackers may register a new account. Additionally, Signal accounts are protected with a Signal PIN, which is a second security layer in addition to the verification code delivered by SMS. If the attackers do not know this PIN, they cannot see contacts, groups, or content.

However, if the Signal PIN is passed on to the attackers, they can gain access to the user’s profile and contacts. Although they cannot see past chats, they can lock out the legitimate user by changing the Signal PIN and then activating the registration lock. This would allow attackers to take over the account permanently – other users in chats or groups would only notice that the security number has changed.

Possible target: Spying on political networks and sources

Afterwards, chat groups can be accessed, and the contacts and networks of those affected can be identified. In the case of journalists, for example, this could reveal sources who communicate with journalists in a confidential and encrypted manner. In the case of activists, political networks and contacts could be exposed. In the course of a permanent account takeover, the attacker can also read all communication content accumulated since the takeover.

None of the victims known to netzpolitik.org went further than accepting the chat and receiving the verification SMS.

However, an attacker with internal access to the operator’s mobile network infrastructure could intercept the verification codes sent by SMS and would not need to request them. To gain full access to the account, they would also have to request the Signal PIN. Netzpolitik.org was not able to identify who is behind the attack, based on the information available.

How can you protect yourself?

“These attacks do not exploit a vulnerability in the Signal application itself. Signal remains one of the most secure and widely used encrypted messaging apps,” said Donncha Ó Cearbhaill, the Amnesty International security expert.

A Signal spokesperson told netzpolitik.org: “Signal will never contact you in any way via a two-way chat within the app.” In addition, users should activate the registration lock. This can be done under “Settings” -> ‘Account’ and then activating the slider for “Registration lock.” Signal also stresses: “Never share your Signal PIN or registration lock with anyone else.”

Users who receive a message from a previously unknown account with the content described above or similar content, should report the incoming message and then click “report and block.” Under no circumstances should users follow the instructions: Signal would never contact users in this manner.

If a message appears in chats stating that a contact’s security number has changed, this often just means that they bought a new cell phone. Nevertheless, in such situations, users should always ask the contact in question why their security number has changed using a channel other than the Signal text chat.

A phone call or, even better, a video call is usually suitable to verify a changed security number. It is also advisable to display all devices connected to Signal and delete those that are no longer needed.

If you have been the target of this attack, have lost access to your Signal account in this way, or have further information and clues about this attack, please contact us confidentially for further investigation and research.

Kategorien: Externe Ticker

Kehrtwende in UK: Pornhub widersetzt sich britischen Alterskontrollen

28. Januar 2026 - 13:12

In UK legt Pornhub eine 180-Grad-Wende hin. – Bildschirm: IMAGO/ZumaPress; Karte: Wikimedia / Mete Ölçer / CCO; Montage: netzpolitik.org

Seit dem 25. Juli vergangenen Jahres müssen im Vereinigten Königreich Apps und Websites das Alter ihrer Nutzer*innen kontrollieren, falls es dort pornografische Inhalte zu sehen gibt. So verlangt es der Online Safety Act, den die britische Medienaufsicht Ofcom durchsetzt.

Ein halbes Jahr lang ist Pornhub, eine der meistbesuchten Websites der Welt, diesen Regeln gefolgt. Um zu beweisen, dass sie schon erwachsen sind, mussten sich britische Nutzer*innen etwa über eine Kreditkarte oder ihren Mobilfunkanbieter verifizieren lassen. Doch damit soll bald Schluss sein.

Wie Pornhubs Mutterkonzern Aylo nun bekanntgab, wird die Plattform am 2. Februar für britische Nutzer*innen dichtmachen. Die Ausnahme sind diejenigen, die vor dem Stichtag bereits einen Account angelegt hatten. Das gleiche gilt für die kleineren Schwesterseiten Redtube und YouPorn.

Zur Begründung schreibt der Konzern, das britische Gesetz habe sein Ziel verfehlt, den Zugang Minderjähriger zu Inhalten für Erwachsene einzuschränken. Die Erfahrung nach sechs Monaten habe das gezeigt. Weiter heißt es auf Englisch:

Wir können innerhalb eines Systems, das unserer Ansicht nach sein Versprechen des Jugendschutzes nicht einlöst und sogar gegenteilige Auswirkungen hatte, nicht weiter operieren. Wir sind der Auffassung, dass dieses Regelwerk in der Praxis den Datenverkehr in dunklere, unregulierte Bereiche des Internets verlagert und zudem die Privatsphäre sowie die persönlichen Daten von Bürger:innen des Vereinigten Königreichs gefährdet hat.

Pornhub spielt damit auf gleich drei Punkte an, die Kritiker*innen von Alterskontrollen häufig ins Feld führen.

Erstens, dass neugierige Kinder und Jugendliche ihre Recherche nach sexuellen Inhalten nicht beenden, wenn sie bei populären Pornoseiten auf eine Alterskontrolle stoßen – sondern diese Hürde entweder mit Tools wie VPN-Diensten überwinden oder auf andere Seiten ausweichen.
Zweitens, dass strenge Alterskontrollen generell Nutzer*innen zu weniger regulierten Angeboten mit möglicherweise weniger Inhaltsmoderation locken.
Und drittens, dass sich durch Alterskontrollen Berge sensibler Daten anhäufen können; verlockend sowohl für Kriminelle als auch für staatliche Überwachung.

Künstliche Verknappung

Neu ist diese Kritik nicht, auch nicht für Pornhub. Auf Grundlage dieser Argumente hätte die Plattform von Anfang an die Alterskontrollen im Vereinigten Königreich zurückweisen können. Zum Vergleich: In mehreren US-Bundesstaaten hat die Plattform ihre Geschäfte eingestellt statt Kontrollen einzuführen.

Die jetzige Kehrtwende nach sechs Monaten britischer Alterskontrollen legt nahe, dass Aylo einen PR-Stunt hinlegt. Besonders ins Auge fällt die Ankündigung, dass Brit*innen die Plattform weiter nutzen können, sofern sie bis 2. Februar einen Account anlegen. Diese von Aylo selbst gewählte Frist ist künstliche Verknappung – also eine bewährte Marketing-Strategie. Droht ein landesweiter Aufnahme-Stopp neuer Nutzer*innen, dürften sich viele vorher noch schnell einen Account anlegen, für alle Fälle.

Was Aylo nicht weiter ausführt: Auch ohne Account dürften britische Nutzer*innen künftig Pornhub erreichen können, wenn sie ihre britische IP-Adresse verschleiern, zum Beispiel per VPN oder Tor-Netzwerk.

Mehrfach verknüpft Aylo in seinem Blogbeitrag valide Argumente mit eigenen Konzerninteressen. So warnt Aylo ausdrücklich vor Pornoseiten, die keine Alterskontrollen durchführen, Uploader*innen nicht verifizieren, Inhalte nicht moderieren – und dennoch auftauchen, wenn Brit*innen nach „free porn“ googeln. Im Kontrast dazu kann sich Pornhub selbst als vorbildlich inszenieren und schreibt in polierter PR-Prosa von seiner „Bibliothek vollständig moderierter, einvernehmlicher Erwachsenen-Unterhaltung“.

In der Tat hat die Plattform inzwischen umfassende Richtlinien eingeführt, um Uploader*innen und Inhalte zu prüfen. Geschehen ist das allerdings erst nach jahrelangen Skandalen zu laxen Kontrollen und nicht-einvernehmlichen Aufnahmen auf der Plattform – was Aylo an dieser Stelle unerwähnt lässt. Früher hatte sich Pornhub mit diesen Maßnahmen mühsam aus einer internationalen Image-Krise herausgearbeitet; heute verkauft die Plattform es als Alleinstellungsmerkmal.

Inzwischen wählt Pornhub wiederholt die Flucht nach vorn als Strategie. Klar erkennbar ist das spätestens seit 2023, als Pornhub die eigenen Krisen in der Netflix-Doku „Money Shot“ aufarbeiten ließ – und sich dabei fast nebenbei als Stellvertreter der gesamten Branche überhöhte.

Während Regierungen und Aufsichtsbehörden weltweit Druck mit verschärften Alterskontrollen machen, erprobt Pornhub-Mutter Aylo unterschiedliche Reaktionen. Augenscheinlich lotet der Konzern dabei die eigenen Optionen aus. So hatte Pornhub auch in Frankreich feierlich eine freiwillige Selbst-Sperre verkündet; das war im Juni 2025.

Derweil sind Sperren in Deutschland kein Thema, wobei es hierzulande ähnlich strenge Pflichten für Alterskontrollen gibt. Stattdessen streitet sich Pornhub seit Jahren mit der deutschen Medienaufsicht vor Gericht. Noch vor wenigen Monaten hatte Pornhub auf Anfrage von netzpolitik.org zumindest Bereitschaft signalisiert, in der EU Ausweise zu kontrollieren.

Ruf nach Jugendschutz auf Geräte-Ebene

Den prominenten Appell für einen strategischen Umgang von Pornoseiten mit kommender Regulierung gab es bereits im Jahr 2022, und zwar durch den Unternehmer Fabian Thylmann. Er ist ehemaliger Geschäftsführer des Aylo-Vorgängers Manwin. Im Gespräch mit dem Bayerischen Rundfunk sagte Thylmann damals, es brauche strenge Gesetze für Pornoseiten und der Pornhub-Mutterkonzern solle mitwirken. Dahinter steckt ein simples Kalkül: Wenn eine Regulierung nicht mehr zu vermeiden ist, dann können sich große Plattformen ihre Vormachtstellung sichern, indem sie aktiv mitmachen und mitbestimmen.

Genau das versucht Aylo offenbar heute. So betont Aylo: „Wir bleiben der Zusammenarbeit mit dem Vereinigten Königreich, der Europäischen Kommission und anderen internationalen Partnern verpflichtet.“ Den geplanten Rückzug aus dem Vereinigten Königreich verbindet der Konzern mit einer klaren netzpolitischen Forderung. Demnach sollten alle Smartphones, Tablets und Computer zuerst in einem Kinderschutz-Modus ausgehändigt werden, der bekannte Websites für Erwachsene ab Werk blockiert.

Diese Forderung nach Jugendschutz auf Geräte-Ebene anstelle von Alterskontrollen hat Aylo bereits wiederholt vorgebracht. Auf etwaige Bedenken zu den Fallstricken von Filtersystemen für Jugendliche geht der Konzern an dieser Stelle nicht ein.

Der Kurs, den nicht zuletzt die Europäische Union etwa mit der Richtlinie für audiovisuelle Mediendienste (AVMD-RL) und dem Gesetz über digitale Dienste (DSA) beim Jugendschutz einschlägt, geht ohnehin in eine andere Richtung. Großflächige Ausweiskontrollen scheinen vor allem politisch gewollt zu sein. Statt Pornoseiten stehen in der aktuellen Debatte derzeit insbesondere Social-Media-Seiten im Fokus, während Kinder und Jugendliche auch jenseits davon eine Vielzahl an Risiken im Netz erleben.

Kategorien: Externe Ticker

Phishing-Angriff: Zahlreiche Journalist:innen im Visier bei Attacke über Signal-Messenger

28. Januar 2026 - 7:57

Mit einem Phishing-Angriff versucht ein bislang unbekannter Akteur offenbar gezielt Zugriff auf die Signal-Konten von Journalist:innen und Aktivist:innen zu bekommen. Wir erklären, wie der Angriff funktioniert und wie man sich vor ihm schützen kann.

Nach bisherigen Erkenntnissen werden Personen gezielt ins Visier genommen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com George Pagan III

In den letzten Tagen und Wochen wurden nach Informationen von netzpolitik.org vermehrt Journalist:innen mit einer bekannten Phishing-Attacke auf dem Messenger Signal angegriffen. Betroffen sind nach Kenntnis von netzpolitik.org dutzende (investigative) und teilweise prominente Journalist:innen bei öffentlich-rechtlichen Fernsehsendern sowie mehreren großen und kleinen Medienhäusern, darunter die Zeit, Correctiv und netzpolitik.org. Hinzu kommen einzelne bekannte Vertreter:innen der Zivilgesellschaft, darunter auch Rechtsanwälte.

Netzpolitik.org hat im Zusammenhang mit dem Angriff bislang keine Betroffenen gefunden, die nicht diesen Kategorien zuzuordnen sind. Das deutet auf einen gezielten Phishing-Angriff auf bestimmte Telefonnummern hin, ist aber kein Beweis für einen solchen.

„Wir haben erste Anzeichen dafür gesehen, dass Journalist:innen, Politiker:innen und Mitglieder der Zivilgesellschaft in Deutschland und ganz Europa ins Visier genommen wurden“, bestätigt Donncha Ó Cearbhaill, Leiter des Security Labs von Amnesty International gegenüber netzpolitik.org.

„Diese Signal-Phishing-Kampagne scheint sehr aktiv zu sein“, so Ó Cearbhaill weiter. Es sei unklar, wie oft die Angriffe erfolgreich seien, aber die Ausbreitung der Kampagne würde wahrscheinlich durch die Kontaktlisten auf Signal angeheizt, die von früheren Opfern gesammelt würden.

Wie geht der Angriff?

Bei dem Angriff verschicken die Angreifer eine Nachricht über den Messenger Signal, bei der sie sich als „Signal Support“ ausgeben und behaupten, dass es verdächtige Aktivitäten auf dem Handy sowie den Versuch gegeben habe, auf private Daten zuzugreifen. Deswegen müssten die Betroffenen den Verifikationsprozess von Signal erneut durchlaufen und den Verifikationscode dem vermeintlichen „Signal Security Support ChatBot“ übermitteln. Die ersten netzpolitik.org bekannten Betroffenen des Angriffs wurden im November kontaktiert, erste Berichte über die Angriffsversuche gab es im Oktober von Citizen-Lab-Forscher John Scott-Railton.

In der Anfrage des gefälschten Support-Accounts heißt es auf englisch:

Wird diese Chatanfrage angenommen, bekommt der Angegriffene eine SMS mit einem Verifikationscode auf sein Handy geschickt, wie ein Betroffener gegenüber netzpolitik.org bestätigte. Das ist offenbar ein echter Verifikationscode von Signal. Das weist darauf hin, dass sofort nach Annahme der Chatanfrage von den Angreifenden versucht wird, einen Account unter der Handynummer neu zu registrieren.

Alles netzpolitisch Relevante Drei Mal pro Woche als Newsletter in deiner Inbox. Jetzt abonnieren Diese Nachricht erschient bei den Betroffenen. - Screenshot

Gibt man diesen Code an den falschen „Signal Support“ weiter, können die Angreifer einen neuen Account registrieren. Signal-Accounts sind zusätzlich mit einer Signal-PIN geschützt, die neben der SMS ein zweiter Sicherheitsfaktor ist. Wenn die Angreifer diese PIN nicht kennen, sehen sie weder Kontakte, noch Gruppen oder Inhalte.

Würde man jedoch die Signal-PIN an die Angreifer weitergeben, können sie Profil und Kontakte sehen. Sie sehen zwar nicht die vergangenen Chats, können aber dann den ehemaligen Nutzer aus seinem Account ausschließen, indem sie die Signal-PIN ändern und dann die Registrierungssperre aktivieren. Damit wäre es Angreifenden möglich, den Account dauerhaft zu übernehmen – andere Nutzer:innen in Chats oder Gruppen bekommen maximal mit, dass sich die Sicherheitsnummer geändert hat.

Mögliches Ziel: Politische Netzwerke und Quellen ausspähen

Es lassen sich dann Chatgruppen mitlesen und die Kontakte und Netzwerke der Betroffenen ermitteln. Im Falle von Journalist:innen könnten dadurch zum Beispiel Quellen offengelegt werden, die verschlüsselt mit den Journalist:innen kommunizieren. Bei Aktivist:innen könnten politische Netzwerke und Kontakte offenbart werden. Im Zuge einer dauerhaften Account-Übernahme kann der Angreifer zudem alle ab der Übernahme auflaufenden Kommunikationsinhalte mitlesen.

Keiner der netzpolitik.org bekannten Betroffenen ist weiter gegangen, als den Chat anzunehmen und die Verifikations-SMS geschickt zu bekommen.

Wer hinter dem Angriff steckt, lässt sich mit den vorliegenden Informationen nicht sagen. Ein Angreifer mit Überwachungszugriff auf Mobilfunknetze könnte jedoch die per SMS verschickten Verifizierungscodes selbst auslesen und müsste sie nicht erfragen. Um vollen Zugriff auf den Account zu erlangen, müsste auch er die Signal-PIN abfragen.

Wie kann man sich schützen?

„Diese Angriffe nutzen keine Schwachstelle in der Signal-Anwendung selbst aus. Signal ist nach wie vor eine der sichersten und am weitesten verbreiteten verschlüsselten Messaging-Apps“, sagt Donncha Ó Cearbhaill, Leiter des Security Lab bei Amnesty International.

Von Signal selbst heißt es gegenüber netzpolitik.org: „Signal wird Sie niemals in irgendeiner Form über einen Zwei-Wege-Chat innerhalb der App kontaktieren.“ Zudem sollten die Nutzer:innen die Registrierungssperre aktivieren. Das geht unter „Einstellungen“ –> „Konto“ und dann den Schieberegler bei „Registrierungssperre“ aktivieren. Zudem sagt Signal: „Geben Sie Ihre Signal-PIN oder Registrierungssperre niemals an Dritte weiter.“

Wenn eine Nachricht eines bislang unbekannten Account mit dem beschriebenen oder einem ähnlichen Inhalt ankommt, sollte man die ankommende Nachricht „melden“ und und dann „melden und blockieren“ klicken. In keinem Fall sollte man den Anweisungen folgen, weil Signal niemals Nutzer:innen auf einem solchen Weg kontaktieren würde.

Sollte in Chats die Nachricht auftauchen, dass sich die Sicherheitsnummer eines Kontakts geändert hat, bedeutet das häufig nur, dass dieser ein neues Handy hat. Dennoch sollte man immer in solchen Situationen auf einem anderen Kanal als dem Signal-Textchat bei dem betreffenden Kontakt nachfragen, warum sich dessen Sicherheitsnummer geändert hat.

Für die Überprüfung eignet sich in der Regel ein Telefonat oder noch besser ein Videotelefonat. Ratsam ist zudem, sich alle mit Signal verbundenen Devices anzeigen zu lassen und nicht mehr benötigte zu löschen.

Wenn du Ziel dieses Angriffs geworden bist, Zugriff auf deinen Signal-Account auf diese Weise verloren hast oder weitergehende Informationen und Hinweise zu diesem Angriff hast, wende Dich vertrauensvoll an uns für weitere Nachforschungen und Recherchen.

Kategorien: Externe Ticker

Österreichische Datenschutzbehörde: Microsoft hat illegal Minderjährige getrackt

27. Januar 2026 - 16:52

In vielen Schulen arbeiten Schüler*innen mit dem Softwarepaket Microsoft 365 Education. Doch das spielt scheinbar rechtswidrig Tracking-Cookies aus. Damit steht die Nutzung von Microsoft 365 Education – womöglich sogar aller Microsoft-365-Produkte – in der EU generell in Frage.

Die österreichische Datenschutzbehörde entschied im Fall einer Schülerin, die Microsoft 365 Education über einen Browser nutzte. Dabei installierte Microsoft ohne Wissen und Zustimmung der Schülerin fünf Tracking-Cookies auf deren Gerät. Wie ein Netzwerk-Mitschnitt belegt, wurden nachfolgend persönliche Informationen der Schülerin an Microsoft gesendet. Und das obwohl die Schülerin zuvor in den Datenschutzeinstellungen wo immer möglich die Datenübermittlung abgelehnt hatte.

Die Datenschutzbehörde hat Microsoft nun aufgefordert, das Tracking der Beschwerdeführerin innerhalb von vier Wochen einzustellen. Sollte Microsoft nicht einlenken, sind Geldstrafen möglich. Die Verbraucherschutzorganisation noyb, die die zugrundeliegende Beschwerde bei der Datenschutzbehörde eingereicht hatte, geht allerdings davon aus, dass Microsoft vor das österreichische Bundesverwaltungsgericht zieht.

Max Schrems von noyb sagt: „Unternehmen und Behörden in der EU sollten konforme Software verwenden. Microsoft hat es erneut versäumt, die gesetzlichen Vorschriften einzuhalten.“

Die Verantwortung von Microsoft

Die Cookies wurden 2023 gefunden. 2024 hat die Schülerin gemeinsam mit der NGO noyb Beschwerden darüber bei der Schule, der Schulbehörde und bei Microsoft eingereicht. Microsoft erklärte laut noyb daraufhin, dass die Schulen, die Microsoft 365 Education einsetzen, selbst für den Datenschutz zuständig seien.

In der zugrundeliegenden Beschwerde schreibt noyb, dass es problematisch sei, wie die Verantwortung für die Datenverarbeitung in den Microsoft-Verträgen geregelt sei: „Für die betroffenen Personen führt dies zu Situationen, in denen der vermeintliche ‚Auftragsverarbeiter‘ (hier: Microsoft) nicht auf die Ausübung der Rechte aus der DSGVO reagiert, während der vermeintliche ‚Verantwortliche‘ (hier: die Schule) nicht in der Lage ist, solchen Anfragen nachzukommen.“

2025 hatte die Datenschutzbehörde sich schon einmal mit dem Fall beschäftigt und festgestellt, dass Schule, Schulbehörde und Microsoft die Schülerin über die Datenerhebung hätten informieren und umfassend auf eine Anfrage der Schülerin nach den erhobenen Daten antworten müssen.

Microsoft-Cookies auch bei Erwachsenen problematisch

Der aktuelle Beschluss beschäftigt sich nun konkret mit den Tracking-Cookies, die Microsoft auf dem Gerät der Schülerin installierte. Solche Cookies schneiden das Nutzungsverhalten mit, identifizieren Nutzende eindeutig und werden oft zum Ausspielen von Werbung genutzt.

Laut noyb hat Microsoft gegenüber der österreichischen Datenschutzbehörde versucht, die EU-Tochtergesellschaft in Irland für zuständig zu erklären. Dort werden EU-Datenschutzbestimmungen kaum durchgesetzt. Doch die Datenschutzbehörde stellte fest, dass die relevanten Entscheidungen in den USA getroffen werden.

Weil das unautorisierte Tracking nicht nur bei Minderjährigen illegal ist, geht noyb davon aus, dass die Nutzung von Microsoft 365 auch bei erwachsenen EU-Usern juristische Probleme aufwirft. Tracking erscheine auch in Microsoft 365, also der gewöhnlichen Office Suite, wahrscheinlich, wenn dies selbst bei Minderjährigen in Microsoft 365 Education stattfinde. Die deutschen Datenschutzbehörden hatten bereits 2022 festgestellt, dass Microsoft 365 nicht DSGVO-konform betrieben werden kann.

Kategorien: Externe Ticker

Hinweise gesucht: „Wir wollen die Verbreitung sexualisierter Deepfakes einschränken“

27. Januar 2026 - 16:16

Per Mausklick lassen sich Fotos bekleideter Personen in Nacktbilder verwandeln. Die Organisation Algorithm Watch bittet nun um Hinweise auf solche Apps und Websites, um systematisch dagegen vorzugehen. Wie das klappen soll, erklärt Forschungsleiter Oliver Marsh im Interview.

Aus der Nische in die Newsfeeds: nicht-einvernehmliche, sexualisierte Deepfakes verbreiten sich zunehmend, nicht nur durch den kaum regulierten Chatbot Grok des rechtsradikalen Multi-Milliardärs Elon Musk.

Bereits im Jahr 2022 berichteten wir über teils populäre Apps, mit denen sich beliebige Gesichter auf die Körper von Pornodarsteller*innen montieren ließen. Nur wenige Jahre später waren die technischen Möglichkeiten ausgereifter, und offen zugängliche Shops boten an, Kleider in beliebigen Fotos durch nackte Haut zu ersetzen.

Wer solche Aufnahmen ohne Einvernehmen erstellt, übt digitale Gewalt aus. Jüngst hat die Debatte besonders Fahrt aufgenommen, weil massenhaft nicht-einvernehmliche, sexualisierte Deepfakes von Grok über den Twitter-Nachfolger X ein breites Publikum fanden.

Mithilfe von EU-Gesetzen will die gemeinnützige Organisation Algorithm Watch nun etwas gegen das Phänomen unternehmen – und bittet Interessierte um Unterstützung. Was genau der NGO helfen würde, erklärt Tech-Forschungsleiter Oliver Marsh. Das Interview wurde aus dem Englischen übersetzt.

Internationale Netzwerke aus Deepfake-Anbietern

netzpolitik.org: Oliver, Warnungen vor der Gefahr durch nicht-einvernehmliche, sexualisierte Deepfakes gibt es schon länger. Welche Bedeutung hat das Phänomen heute?

Oliver Marsh: Eine große. Es ist bedauerlich, dass es erst ein Ereignis wie die aktuellen Vorfälle rund um Grok geben musste, bevor auch Aufsichtsbehörden und Regierungen das Problem als „dringend“ einstufen. Hoffentlich führt diese Dringlichkeit auch zu ernsthaftem Handeln, nicht nur auf Social-Media-Plattformen. Wir sollten uns fragen, was geschehen muss, um die Vielzahl der beteiligten Unternehmen in die Pflicht zu nehmen, darunter auch Anbieter großer Sprachmodelle. Sie müssen das Problem gemeinsam mit Regulierungsbehörden und Fachleuten angehen.

netzpolitik.org: Welche Unternehmen spielen eine Schlüsselrolle bei den Deepfakes?

Oliver Marsh: Dahinter steckt ein internationales Netzwerk aus Anbietern für Deepfake-Tools. Das Ökosystem betrifft auch große Plattformen. Auch ohne Grok hatte X bereits große Probleme mit nicht-einvernehmlicher Sexualisierung, etwa durch Netzwerke von Accounts, die dort Deepfake-Werkzeuge bewerben. Weitere Recherchen haben solche Probleme auch bei den Meta-Plattformen Facebook und Instagram gefunden, auf den App-Marktplätzen von Google und Apple und in der Google-Suche.

Auch Plattformen wie Reddit, Telegram und Discord werden genutzt, um Werkzeuge für Deepfakes zu verbreiten. Dort kursieren auch Tipps, wie Nutzende die Schutzmechanismen von weit verbreiteten Chatbots umgehen können, um solche Inhalte zu generieren. Und natürlich treiben Konzerne wie OpenAI, Google, Meta und Microsoft mit ihren KI-Anwendungen die Technologie voran, mit der sich nicht-einvernehmliche Inhalte einfacher erstellen lassen.

netzpolitik.org: Wie würde es konkret aussehen, wenn große Tech-Unternehmen erfolgreich gegen solche Deepfakes vorgehen?

Oliver Marsh: Die Plattformen würden sich zum Beispiel gegenseitig über entdeckte Accounts informieren, die solche Werkzeuge bewerben. Außerdem würden sie Aufsichtsbehörden und Fachleuten Informationen zur Verfügung stellen, damit sie das Problem weiter erforschen und etwas dagegen tun können. Genau so etwas ist bereits vor rund zehn Jahren geschehen, als Plattformen gemeinsam gegen Desinformation durch Accounts vorgegangen sind, die sich mit hoher Wahrscheinlichkeit der russischen Propaganda-Agentur „Internet Research Agency“ zuordnen ließen. In jüngerer Zeit ergreifen Plattformen jedoch weniger Initiative für solche Vorhaben.

Bisher nur wenige Hinweise eingegangen

netzpolitik.org: Per Online-Formular bittet ihr gerade die Öffentlichkeit um Hinweise auf Apps und Websites, mit denen sich nicht-einvernehmliche Deepfakes erstellen lassen. Warum?

Oliver Marsh: Über das Formular möchten wir jegliche Informationen sammeln, die uns dabei helfen, Posts, Accounts und Apps zu finden, die Menschen zu Werkzeugen für nicht-einvernehmliche Sexualisierung führen. Unser Fokus liegt auf den Meta-Plattformen Facebook und Instagram, auf X, dem Google Play Store und dem Apple App Store. Nützliche Hinweise sind zum Beispiel Stichwörter und Accounts, die wir auf den Plattformen suchen können.

netzpolitik.org: Wie gut klappt das mit den Hinweisen?

Oliver Marsh: Das Formular ist bereits seit Mitte vergangenen Jahres online. Bisher haben wir nur eine Handvoll Einreichungen erhalten; einige davon enthielten Hinweise auf mehrere Apps und Websites. Wir machen uns aber auch selbst auf die Suche und haben – was am meisten hilft – Partner in Journalismus und Forschung, mit deren Unterstützung wir unsere Datenbank erweitern können.

netzpolitik.org: Was genau macht ihr am Ende mit den entdeckten Posts, Accounts und Apps?

Oliver Marsh: Es ist äußerst schwierig, dafür zu sorgen, dass solche Inhalte ganz aus dem Netz verschwinden. Wir wollen die Verbreitung nicht-einvernehmlicher, sexualisierter Deepfakes jedoch einschränken. Unser Projekt soll vor allem prüfen, ob wir sehr große-Online Plattformen (VLOPs) mithilfe des Gesetzes über digitale Dienste (DSA) dazu bringen können, das Problem effektiv anzugehen.

netzpolitik.org: Der DSA verpflichtet Plattformen nicht nur dazu, einzelne gemeldete Inhalte zu prüfen. Sehr große Plattformen müssen auch generell einschätzen, welche systemischen Risiken von ihnen ausgehen und dagegen Maßnahmen ergreifen.

Oliver Marsh: Ja, unsere Hoffnung ist, dass sehr große Online-Plattformen selbst aktiv werden, und Posts über solche Werkzeuge sowie nicht-einvernehmlich erzeugte Bilder eindämmen. Immerhin sind sie es, die ein riesiges Publikum haben und neue Nutzende damit in Kontakt bringen könnten.

Hoffnung auf Durchsetzungswillen der EU

netzpolitik.org: Seit der Machtübernahme der rechtsradikalen Trump-Regierung stößt Tech-Reglierung aus der EU bei US-Anbietern auf vehemente Gegenwehr. Andererseits hat Donald Trump selbst mit dem Take It Down Act ein Gesetz gegen Deepfakes unterzeichnet. Müsste die US-Regierung es also nicht begrüßen, wenn man auch auf Basis des europäischen DSA gegen sexualisierte Deepfakes vorgeht?

Oliver Marsh: Ich bezweifle, dass die Trump-Regierung diesen Zusammenhang erkennen wird. Egal, was die EU tut, die US-Regierung wird deren Regulierung attackieren, verzerrt darstellen und allein US-Gesetze als brillant bezeichnen. Aber ich hoffe, dass die EU dennoch gezielte und entschiedene Maßnahmen gegen nicht-einvernehmliche sexualisierte Inhalte ergreift und gegen alle Widerstände klar kommuniziert, dass es ihr nicht um Zensur oder Machtpolitik geht.

netzpolitik.org: Wenn Leser*innen euch Hinweise auf bedenkliche Deepfake-Angebote schicken möchten, was sollten sie beachten? Immerhin handelt es sich um potentiell illegale Inhalte.

Oliver Marsh: Menschen sollten illegale Inhalte nicht weiterverbreiten, selbst wenn sie dabei helfen möchten, Belege zu sammeln. Tipps zum Umgang gibt es bei der Internet-Beschwerdestelle, zum Beispiel: keine Inhalte speichern, nicht selbst weiter recherchieren.

Was wir suchen, sind Eckdaten, die uns dabei helfen, unsere textbasierte Suche zu erweitern. Das sind zum Beispiel die Namen von Firmen und Apps oder auch Begriffe, mit denen Menschen verschleiern, wofür ihre Anwendung da ist, zum Beispiel „undress“. Auch der Kontext eines Fundes ist hilfreich, etwa, dass er auf einer bestimmten Plattform beworben wurde.

netzpolitik.org: Vielen Dank für das Interview!

Kategorien: Externe Ticker

Anhörung zum Gesetzentwurf: Bundespolizei soll Staatstrojaner nutzen dürfen

27. Januar 2026 - 13:25

Im Innenausschuss des Bundestags wurde gestern in einer Sachverständigen-Anhörung die Reform des Bundespolizeigesetzes (BPolG) diskutiert. Die Bundesregierung hatte dazu im Dezember einen umfangreichen Gesetzentwurf vorgelegt, der die Befugnisse der Bundespolizei ausbauen soll.

Künftig soll nun auch die Bundespolizei hacken dürfen. Dafür könnten Polizeibeamte Computer oder Smartphones mit Schadsoftware infiltrieren, um laufende Kommunikation und einige weitere Daten auszuleiten.

Neu sind im Gesetzentwurf auch die verdachtsunabhängigen Kontrollen in sogenannten „Waffenverbotszonen“, die von der Ampel-Vorgängerregierung für die Bundespolizei bereits beschlossen worden waren, aber im Bundesrat scheiterten. Diese Kontrollen stehen in der Kritik, weil die Diskriminierung von bestimmten Personengruppen befürchtet wird. Die früher geplanten Kontrollquittungen, die von Polizeibeamten nach solchen Kontrollen ausgehändigt werden sollten, fehlen im Gesetzentwurf.

Weggefallen im Vergleich zum Entwurf der Ampel ist auch die Kennzeichnungspflicht für Polizisten. Uli Grötsch, SPD-Politiker und der Polizeibeauftragte des Bundes beim Deutschen Bundestag, nannte den Streit darum eine „rein ideologische Debatte“. Es gäbe keine schlechten Erfahrungen damit auf Polizeiseite. Er bedauerte die fehlende Kennzeichnungspflicht, die polizeiliches Handeln nachvollziehbarer und transparenter gemacht hätte.

Kritische Anmerkungen von einigen geladenen Sachverständigen betrafen auch die neuen Regelungen zu V-Personen. Das sind polizeiliche Informationszuträger, die aber keine Polizeibeamten sind. Zwar sei der Kernbereichsschutz der Überwachten – also der Schutz ihrer Intimsphäre – im Gesetzentwurf enthalten, damit die V-Personen nicht etwa enge Beziehungen zu Ausgehorchten aufnehmen. Was aber darin fehle, seien zeitliche Vorgaben und ein Katalog, der vorgibt, welche Personen ungeeignet sind. Der war im Vorgängerentwurf der Ampel-Regierung noch enthalten. Er sollte dafür sorgen, dass keine Menschen als V-Personen in Frage kommen, die beispielsweise geschäftsunfähig oder minderjährig sind oder ihr Einkommen wesentlich über Polizeizahlungen beziehen.

Staatstrojaner gegen WhatsApp

Das Bundespolizeigesetz ist ein umfängliches Regelwerk mit zahlreichen Neuerungen. Der Deutsche Anwaltverein (DAV) hatte schon in seiner ersten Stellungnahme zum Referentenentwurf die „äußerst kurze Stellungnahmefrist“ bemängelt, die der umfassenden Reform nicht gerecht werden könne. Der DAV konzentrierte sich daher auf besonders Kritikwürdiges. Dazu gehört die neue Regelung zu einer Version des Staatstrojaners, die im Amtsdeutsch „Quellen-Telekommunikationsüberwachung“ heißt. Diese Form des Staatstrojaners wird durch den Gesetzentwurf erstmals für die Bundespolizei zur Abwehr von Gefahren eingeführt.

Die „Quellen-TKÜ“ lehnt zwar ihren Namen an die Überwachung laufender Telekommunikation an, ist aber praktisch ein Hacking-Werkzeug. Die dafür notwendige Schadsoftware wird unter Ausnutzung von Sicherheitslücken heimlich auf einem Endgerät aufgebracht und zeichnet die gewünschten Inhalte unbemerkt vom Nutzer auf.

Im Gesetzentwurf heißt es, dass die Überwachung und Aufzeichnung von Telekommunikation „ohne Wissen der betroffenen Person auch in der Weise erfolgen [darf], dass mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme eingegriffen wird“, um an verschlüsselte Gespräche oder Messenger-Nachrichten zu kommen. Die Gesetzesbegründung erwähnt beispielsweise konkret den Messenger WhatsApp, der sich allerdings auch ohne Staatstrojaner als abhörbar erwies.

„Nicht zu Ende gedacht“

Neben der laufenden Telekommunikation sollen mit dem Staatstrojaner auch weitere Kommunikationsinhalte überwacht werden dürfen, „deren Übertragung zum Zeitpunkt der Überwachung bereits abgeschlossen ist“. Praktisch wären das beim Beispiel WhatsApp etwa gespeicherte Chat-Verläufe, die ebenfalls heimlich von der Schadsoftware aufgezeichnet werden dürften. Der Zeitpunkt der Anordnung des Staatstrojaners soll maßgeblich dafür sein, wie weit in die Vergangenheit die Schadsoftware gespeicherte Kommunikationsinhalte überwachen darf.

Die Sachverständige Lea Voigt, Juristin und Vorsitzende des Ausschusses Recht der Inneren Sicherheit im DAV, sieht die Hacking-Befugnisse in ihrer Stellungnahme kritisch. Sie seien auch „nicht zu Ende gedacht“, sagte sie im Ausschuss. Denn laut der Begründung des Gesetzes sind sie für sofortige Interventionen vorgesehen, um Gefahren schnell abzuwehren. Staatstrojaner seien jedoch gar nicht sofort einsetzbar, sondern bräuchten eine gewisse Vorlaufzeit, um die Schadsoftware an Hard- und Software anzupassen, die sie heimlich ausspionieren soll. Die Begründung überzeuge also nicht.

Heiko Teggatz, stellvertretender Bundesvorsitzender der Deutschen Polizeigewerkschaft, wurde in der Anhörung nach einem Beispiel für den Staatstrojanereinsatz gefragt. Er betonte, dass nur die Gefahrenabwehr im Vordergrund stünde, etwa bei Schleusungen. Es „komme nicht selten vor“, dass Polizisten beispielsweise „Handynummern bei geschleusten Personen“ fänden. Keiner wisse, ob es sich dabei um Nummern von Kontaktpersonen, Schleusern oder Angehörigen handele. Dann könne es um die abzuwendende Gefahr gehen, dass an unbekanntem Ort „irgendwo in Europa“ ein LKW führe, in dem Menschen zu ersticken drohten. Ein Staatstrojaner müsse dann „schnell zur Gefahrenabwehr“ genutzt werden.

Es herrscht offenkundig nicht nur bei Teggatz die Vorstellung, dass eine Spionagesoftware ein geeignetes Werkzeug sei, um in kürzester Zeit eine laufende Kommunikation abhören zu können. Denn auch in der Gesetzesbegründung ist der Staatstrojaner als „gefahrenabwehrende Sofortintervention“ charakterisiert.

Die Sachverständige Voigt weist in ihrer Stellungnahme diese Vorstellung ins Reich der Phantasie und zitiert den Generalbundesanwalt. Der hatte aus praktischen Erfahrungen berichtet, dass die Umsetzung der „Quellen-Telekommunikationsüberwachung“ einige Zeit brauche: „In der Regel“ würden „zwischen Anordnung und Umsetzung jedenfalls einige Tage vergehen“.

Staatstrojaner sind Sicherheitsrisiken

Eine „Quellen-TKÜ“ birgt unvermeidlich verschiedene Risiken. Denn ein Staatstrojaner lässt sich nur heimlich einschleusen, wenn IT-Sicherheitslücken bei den gehackten Geräten offenstehen. Und dass sie offengelassen und eben nicht geschlossen werden, ist eine aktive Entscheidung und ein Sicherheitsrisiko für alle Computernutzer.

Zudem hat sich in den letzten Jahren ein wachsender Markt an kommerziellen Staatstrojaner-Anbietern etabliert, der eine zunehmende Bedrohung für die IT-Sicherheit, aber auch für die Achtung der Grund- und Menschenrechte ist. Wird eine Polizeibehörde Kunde eines solchen Anbieters, finanziert sie diesen gefährlichen Markt.

Der Sachverständige Kai Dittmann von der Gesellschaft für Freiheitsrechte (GFF) kritisierte, dass die „Quellen-TKÜ“ der Bundespolizei erlaubt werden soll, obgleich noch immer Vorschriften zum Schwachstellenmanagement fehlen. Denn in Deutschland gibt es bisher keine Regelungen, die IT-Sicherheitslücken hinsichtlich ihrer Risiken bewerten und vorschreiben, wie diese Schwachstellen jeweils zu behandeln sind. Dittmann verwies auf Millionenschäden für die Wirtschaft in Deutschland, die durch offene IT-Sicherheitslücken und Schadsoftware entstünden. Er forderte, ein staatliches Schwachstellenmanagement gesetzlich vorzuschreiben. Die „Quellen-TKÜ“ dürfe erst danach eingeführt werden.

Der Sachverständige erntete damit bei der grünen Innenexpertin und Polizeibeamtin Irene Mihalic Zustimmung. Sie nannt eine Staatstrojanerbefugnis für die Bundespolizei ohne ein vorgeschriebenes Schwachstellenmanagement „unverantwortlich“.

Staatshacker Wir berichten seit mehr als achtzehn Jahren über Staatstrojaner. Unterstütze uns! Jetzt Spenden

Auch Amnesty International hatte die Staatstrojaner-Befugnis kritisiert und die Besorgnis geäußert, dass die „Quellen-TKÜ“ auch gegen Personen zum Einsatz kommen könnte, die friedliche Proteste planen: Denn der Staatstrojaner „soll bezüglich Straftaten erlaubt werden, die etwa die Störung von öffentlichen Betrieben oder bestimmte Eingriffe in den Straßenverkehr erfassen, und zum Schutz von Einrichtungen des Bahn- und Luftverkehrs – Orten, an denen oft Proteste etwa für mehr Klimaschutz oder gegen Abschiebungen stattfinden“, wie Amnesty International schrieb. In einem Klima zunehmender Repression von friedlichem Protest forderte die Menschenrechtsorganisation „entsprechende Klarstellungen, die einen solchen Missbrauch ausschließen“.

Der Sachverständige Marc Wagner von der Hochschule des Bundes für öffentliche Verwaltung verwies hingegen darauf, dass die „Quellen-TKÜ“ beim Bundeskriminalamt und in einigen Landespolizeigesetzen doch „längst Standard“ wäre. Das sei „nicht anderes als ein Update“. Doch selbst Wagner sieht wie die Sachverständigen Voigt und Dittmann die Eingriffsschwellen für den Staatstrojanereinsatz als zu niedrig.

Dittmann von der GFF bescheinigte dem Gesetzentwurf bei der Staatstrojanerbefugnis zudem „handwerkliche Fehler“. Insgesamt seien die Regelungen bei dieser sehr eingriffsintensiven Maßnahme nicht überzeugend.

Auch gute Nachrichten

Es gibt aus bürgerrechtlicher Sicht auch gute Nachrichten: Sowohl der Ausbau der Gesichtserkennung als auch Regelungen, die eine automatisierte Big-Data-Analyse nach Art von Palantir ermöglichen, sind nicht unter den neuen Befugnissen. Auch findet sich keine „KI“ im ganzen Gesetzentwurf.

Vielleicht ist das auch aus Kostengründen eine gute Nachricht, denn technisierte Überwachung ist ein teures Unterfangen. Der Polizeibeauftragte Grötsch wies in der Anhörung darauf hin, dass Bundespolizisten auch mit lange verschleppten Baumaßnahmen und schlechten Bedingungen an ihren Arbeitsplätzen zu kämpfen hätten, die er „teilweise desolat“ nannte. Die hohen Geldsummen für ohnehin fragwürdige Staatstrojaner-Anbieter könnten vielleicht woanders in der Bundespolizei sinnvoller investiert werden.

Kategorien: Externe Ticker

ADINT: Überwachungsfirmen können Menschen mit „anonymen“ Werbe-IDs ausspionieren

27. Januar 2026 - 11:38

Mit angeblich nur zu Werbezwecken erhobenen pseudonymen Daten wollen Überwachungsfirmen Personen identifizieren und verfolgen können. – Grundbild: IMAGO/phototek; Fadenkreuz, Steckbriefe: Pixabay; Montage: netzpolitik.org

Überwachungsfirmen, die auf Daten aus der Online-Werbeindustrie zurückgreifen, umwerben offenbar offensiv europäische Sicherheitsbehörden. Das geht aus einer am 22. Januar veröffentlichten Recherche von Le Monde (€) hervor. Die französische Zeitung konnte mehreren vertraulichen Werbe-Präsentationen unterschiedlicher Hersteller beiwohnen und Gespräche mit französischem Sicherheitspersonal führen.

Die Recherche zeigt, wie aktiv mehrere sogenannte ADINT-Firmen auch in Europa für ihre Dienste werben. Die Abkürzung steht für advertising-based Intelligence, werbebasierte Erkenntnisse. Es geht um einen anscheinend wachsenden Zweig der globalen Überwachungsindustrie, der sich darauf spezialisiert hat, Daten aus dem Ökosystem der Online-Werbung für staatliche Akteure aufzubereiten. Insbesondere für Handy-Standortdaten ist die Online-Werbebranche wohl eine Goldgrube, wie nicht zuletzt unsere Databroker-Files-Recherchen gezeigt haben.

Le Monde gibt nun neue Einblicke in die Selbstvermarktung einer sonst verschlossenen Branche. „Jedes Gerät, jederzeit, überall“, so lautet beispielsweise der Slogan einer ADINT-Firma. „Wir sammeln permanent Daten“, rühmt sich der Vertreter einer anderen. Mindestens eine Person aus französischen Sicherheitsbehörden hat das dem Bericht zufolge beeindruckt.

Von wegen anonym: Daten sammeln, Menschen finden

Für ADINT machen sich Firmen und Behörden zunutze, dass die Online-Werbeindustrie in den vergangenen Jahrzehnten den wohl größten Überwachungsapparat der Menschheitsgeschichte aufgebaut hat. Im Mittelpunkt stehen populäre Handy-Apps. Von dort fließen Standortdaten und andere Informationen in einem unübersichtlichen Ökosystem aus hunderten bis tausenden Firmen, für die Betroffenen weitgehend unkontrolliert. Tracking-Unternehmen, Datenhändler und ADINT-Dienstleister sammeln diese Daten auf unterschiedlichen Wegen ein und gründen darauf ihr Geschäft.

Insgesamt habe LeMonde um die 15 Firmen gezählt, die ADINT-Dienstleistungen anbieten. Darunter mehrere Anbieter mit Sitz in Israel oder den USA wie Penlink, Rayzone, Cognyte und Wave Guard. Doch auch das italienische RCS Lab biete mit seinem Produkt Ubiqo laut Bericht ADINT-Services an. Die genannten Anbieter ließen eine Presseanfrage von netzpolitik.org unbeantwortet.

Eine Vertriebsperson von RCS Lab soll dem Bericht zufolge in einer vertraulichen Präsentation damit geprahlt haben, man könne mit hoher Trefferquote Personen hinter pseudonymen Werbe-IDs identifizieren. Das sind einzigartige Kennungen, die mobile Betriebssysteme von Apple und Google ihren Nutzer*innen verpassen. Apps schicken diese Kennungen ins Werbe-Ökosystem, oftmals gemeinsam mit Standortdaten. Gelegentlich werden solche IDs als „anonym“ bezeichnet.

Laut Le Monde wolle RCS Lab mithilfe von Werbedaten angeblich 95 Prozent der italienischen Handys de-anonymisieren können. Die Zeitung bezieht sich dabei auf Aussagen eines Verkäufers. Auf offizielle Anfrage habe das Unternehmen das gegenüber Le Monde jedoch „vehement“ bestritten.

Durchwachsene Datenqualität

Wie leicht es möglich ist, konkrete Personen mithilfe von Standortdaten aus der Werbe-Industrie zu identifizieren, zeigen die Databroker-Files-Recherchen von netzpolitik.org, dem Bayerischem Rundfunk und Partnermedien. Mit verhältnismäßig einfachen Mitteln und kostenlosen Vorschaudatensätzen ist das mehrfach gelungen. Welcher Aufwand notwendig wäre, um dies im großen Stil zu machen, lässt sich nur schätzen.

Laut Le Monde haben jedoch auch andere Firmen mit ihren Fähigkeiten geworben, Personen gezielt zu identifizieren. Auf der Fachmesse für innere Sicherheit Milipol habe etwa das Unternehmen Wave Guard im Jahr 2025 seine „ADINT-Deanonymisierungsplattform“ vorgestellt. Auch Rayzone und Cognyte hätten demnach ähnliche Fähigkeiten versprochen. Penlink wiederum solle Ermittlern gesagt haben, es nutze gehackte und geleakte Daten aus dem Internet, um Standortdaten und Werbe-IDs echten Personen zuzuordnen.

Im Widerspruch zu vollmundigen Marketing-Versprechen der Branche steht die mangelhafte Qualität der Daten aus der Online-Werbeindustrie. Einer Studie des NATO-Forschungszentrums Stratcom aus 2021 zufolge könnten wohl nur 50 bis 60 Prozent der kursierenden Werbe-Daten als präzise angesehen werden. Die Vertriebsperson eines israelischen Unternehmens habe gegenüber Le Monde geschätzt, dass sogar 80 bis 85 Prozent der Daten, die sie sammeln, unbrauchbar seien.

Realistischerweise könne man weltweit etwa zehn oder 15 Prozent der Handys mit ADINT überwachen, soll eine andere anonyme Quelle geschätzt haben, wie Le Monde berichtet. Für Strafverfolgung eigne sich das weniger, für Geheimdienste jedoch mehr.

Zur Zielgruppe zählt offenbar auch der private Sektor „Adtech-Daten in verwertbare Erkenntnisse verwandeln“, schreibt die Firma Wave Guard auf einer Marketing-Folie - Alle Rechte vorbehalten Screenshot: Werbe-Präsentation von Wave Guard Technologies

Beworben werden solche Überwachungsprodukte offenbar auch als Werkzeuge, um Migrant:innen ins Visier zu nehmen. So berichtet Le Monde aus einer vertrauliche Präsentation des Unternehmens Rayzone, das sein ADINT-Produkt als Waffe im „Kampf gegen illegale Migration“ angepriesen haben soll. Durch das gezielte Sammeln von Werbe-IDs an bekannten Grenzübergängen für Geflüchtete sollen Behörden demnach in die Lage versetzt werden, Telefone zu identifizieren, die dort regelmäßig auftauchen. So könnten etwa Schleuser gefunden werden. Gegenüber Le Monde habe Rayzone mitgeteilt, Kund:innen streng zu prüfen. Das Produkt könne nur für bestimmte Zwecke eingesetzt werden, etwa um Kriminalität oder Terror zu verhindern.

Bekannt ist, dass in den USA die paramilitärische ICE-Truppe bereits ADINT-Dienstleister nutzt, um Menschen für die Deportation aufzuspüren. Neu ist hingegen, dass ADINT-Firmen ihre Produkte offenbar nicht nur an staatliche Abnehmer verkaufen. Dem Bericht von Le Monde zufolge soll beispielsweise Wave Guard seine Dienste auch als Werkzeug für Finanzinstitute vermarkten – für „verbesserte Sicherheit und Betrugsprävention“.

Ob auch deutsche Behörden ADINT-Produkte beziehen, ist nicht öffentlich bekannt. Expert:innen halten das für wahrscheinlich, da diese Praxis in anderen europäischen Ländern wie Norwegen und den Niederlanden bereits belegt ist. Erst im Dezember verweigerte die Bundesregierung jedoch der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke) eine Antwort auf diese Frage.

Kategorien: Externe Ticker

Deepfake-Skandal: EU-Kommission leitet Untersuchung gegen Grok und X ein

26. Januar 2026 - 19:04

Am Montagmittag hat die EU-Kommission ein weiteres Verfahren gegen den Kurznachrichtendienst X eingeleitet. Dabei will sie prüfen, ob das eng mit dem KI-Chatbot Grok verzahnte soziale Netzwerk gegen den Digital Services Act (DSA) verstoßen hat. Der Kommission zufolge ist unklar, ob der Online-Dienst vor dem Ausrollen des Produkts damit verbundene Risiken untersucht hat.

Musks Plattform X ist mit dem integrierten KI-Chatbot zuletzt stark in die Kritik geraten, nachdem dieser auf Nachfrage von Nutzer*innen ungefiltert sexualisierte Bilder von Frauen und Kindern auf X veröffentlicht hat.

Nachdem X lange untätig blieb, hatte das Unternehmen am 9. Januar angekündigt, die Funktion zahlenden Nutzer*innen vorzubehalten. Am 14. Januar kündigte X dann weitere technische Maßnahmen an und schränkte die pornografische Bildgenerierungsfunktion nach eigenen Angaben für alle Nutzer*innen ein. Für andere Zwecke soll das Bildfeature jetzt nur noch zahlenden X-Nutzer*innen offen stehen.

Erst am vergangenen Dienstag hatte das EU-Parlament über KI-Deepfakes in sozialen Medien debattiert. Kurz danach haben mehr als fünfzig Abgeordnete in einem Brief die EU-Kommission zu konsequenterem Vorgehen im Falle Grok aufgefordert.

X muss Nachweise liefern

Nun muss die Plattform vor der EU-Kommission Rechenschaft ablegen, ob es der gesetzlich vorgeschriebenen Risikobewertung und -minderung nachgekommen ist. Solche Berichte sollen potenzielle „systemische Risiken“ aufdecken, die von Online-Diensten ausgehen können. Sollte X vor der Integration von Grok keine Folgenabschätzung vorgenommen haben, könnten auf X hohe Geldbußen zukommen.

Dass der Schaden bereits eingetreten ist, führte EU-Digitalkommissarin Henna Virkkunen aus: „Sexualisierte Deepfakes von Frauen und Kindern sind eine gewalttätige, inakzeptable Form der Entwürdigung. Mit dieser Untersuchung werden wir feststellen, ob X seinen gesetzlichen Verpflichtungen gemäß dem DSA nachgekommen ist oder ob es die Rechte europäischer Bürger – einschließlich der Rechte von Frauen und Kindern – als Kollateralschaden seines Dienstes behandelt hat.“

Die Einleitung solch eines Verfahrens ist noch kein Nachweis für einen Verstoß gegen den DSA. Allerdings befähigt es die Kommission zu weiteren Maßnahmen. Sie kann beispielsweise Unterlagen betroffener Unternehmen anfordern, Durchsuchungen vornehmen oder Mitarbeiter*innen befragen.

Neben dem neuen Verfahren hat die EU-Kommission angekündigt, eine seit Dezember 2023 laufende Untersuchung zu verlängern, die sich unter anderem auf die Moderationsfunktion, Maßnahmen gegen illegale Inhalte und Risiken des Empfehlungssystems bezieht. Das Verfahren umfasst zusätzlich die mangelnde Werbetransparenz von X. Dafür verhängte die EU-Kommission Anfang Dezember eine 120-Millionen-Euro-Geldbuße, da die Plattform Vorschriften nicht eingehalten hatte.

Sexualisierte Deepfakes im Millionenfachen

Inzwischen haben mehrere Organisationen die Tragweite der Vorfälle untersucht. Die britische NGO Center for Countering Digital Hate (CCDH) schätzt etwa, dass im Zeitraum vom 29. Dezember bis 8. Januar über 4 Millionen Bilder generiert wurden. Davon sollen rund 3 Millionen sexualisierter Art gewesen sein, auf rund 23.000 Bildern sollen Kinder dargestellt worden sein.

Die NGO AI Forensics kommt zu ähnlichen Ergebnissen. Bis zum 1. Januar waren mehr als die Hälfte der generierten Bilder sexualisierte Deepfakes. Nachdem X am 14. Januar technische Einschränkungen vorgenommen hatte, sei der Anteil sexualisierter Bilder auf unter 10 Prozent gefallen.

Kategorien: Externe Ticker

Breakpoint: Grundrechte sind nicht FSK 16

25. Januar 2026 - 9:51

Wer Kinder und Jugendliche von sozialen Medien ausschließen möchte, um sie zu schützen, der könnte ihnen ebenso die Teilnahme an Demonstrationen verbieten. Schließlich könnte man sich dabei verletzen, manchmal werden Steine geschmissen und viele Demo-Parolen sind sehr polemisch. Auch die Mitgliedschaft in einer Partei könnte eine Altersgrenze bekommen; der Politikbetrieb ist alles andere als harmlos. Und bei all den Horrornachrichten wäre es besser, wenn junge Menschen nicht länger die Tagesschau sehen dürften.

Solche Forderung stellt derzeit zwar keiner. Sie machen aber deutlich, was hinter dem vielfach geforderten Social-Media-Verbot steckt: Im Namen des Schutzes für Minderjährige wird mehr eingeschränkt, als nötig wäre. Das Recht junger Menschen auf politische Teilhabe und die Pflicht des Staats, sie dazu zu befähigen, fallen unter den Tisch.

Seit die australische Regierung Ende des vergangenen Jahres ein Social-Media-Verbot für Menschen unter 16 Jahren eingeführt hat, findet die Regelung auch in Deutschland immer mehr Zuspruch. Hierzulande drehen sich große Teile der Debatte darum, ob ein Verbot für bestimmte Altersgruppen juristisch umsetzbar wäre, welche technischen Mittel wie datensicher wären und wie hoch die Altersgrenze sein sollte. Doch egal, welche Methode zur Durchsetzung eines Social Media-Verbots für Kinder und Jugendliche herangezogen würde: Der Ausschluss einer ganzen Bevölkerungsgruppe von relevanten Orten der politischen Teilhabe ist nicht mit ihren Teilhaberechten vereinbar.

Es darf nicht nur Hürden geben

Besonders düster sind die Bilder, die Befürworter eines Social-Media-Verbots für Jugendliche malen. Soziale Medien würden junge Menschen demnach regelrecht vergiften. Es drängt sich der Eindruck auf, Reels zu schauen sei ungefähr genauso schädlich, wie Crack zu nehmen, und gehöre selbstredend verboten.

Oft ins Feld geführt wird außerdem, Jugendliche seien besonders empfänglich für politischen Populismus in sozialen Medien, der eine der Hauptursachen für die Zunahme radikal rechter Tendenzen bei jungen Menschen wäre. Um das zu verhindern, solle man deswegen für antidemokratische Inhalte empfängliche Menschen von bestimmten Plattformen ausschließen.

Oft vernachlässigt wird in der Debatte jedoch, dass Kinder und Jugendliche nicht nur das Recht haben, vor jugendgefährdenden Inhalten geschützt zu werden. Kinder und Jugendliche haben all die Grundrechte, die auch Erwachsene haben. Nicht ihre Freiheit muss begründet werden, sondern die Begrenzung ihrer Freiheitsrechte.

Für Kinder und Jugendliche bedeutet das: Es darf nicht nur Hürden geben, sondern es muss auch Freiheiten geben – etwa die, sich zunehmend selbstständig aus einer Vielzahl öffentlicher Quellen zu informieren, Medien selbst zu wählen und Informationen mit anderen zu teilen. Eine Beschränkung dieser Freiheit wäre ein starker Eingriff in die Grundrechte einer Bevölkerungsgruppe, die über zwölf Millionen Menschen umfasst.

Instagram ist kein Psychothriller

Auch für Filme, Spiele und Bücher gibt es Altersgrenzen – aber soziale Medien sind kein einzelnes Medium wie ein Film, sondern große, vielfältige Räume des öffentlichen Lebens. Sie sind der Ort, an dem Kinder und Jugendliche in großer Zahl etwa Nachrichten konsumieren, politische Geschehnisse verfolgen und sich eine Meinung bilden.

Junge Menschen informieren sich zunehmend weniger über klassische Nachrichtenmedien wie den Rundfunk oder Tageszeitungen. Dass 12- bis 15-Jährige nach einem Social-Media-Verbot verstärkt damit anfangen würden, die FAZ zu lesen oder das Heute Journal zu schauen, ist lebensfremd. Was ein solches Verbot also bewirken würde, ist, Jugendliche von Information auszuschließen und ihre Informiertheit zu verringern.

Das Recht, sich ungehindert zu informieren und eine eigene Meinung zu bilden, unterscheidet sich in seiner Relevanz für die Gestaltung des eigenen Lebensentwurfs junger Menschen fundamental von der grundsätzlichen Freiheit, einen Psychothriller zu schauen oder einen Ego-Shooter zu spielen.

Wer Kinder und Jugendliche vor den schädlichen Aspekten sozialer Medien schützen möchte, müsste also spezifischer vorgehen, je nach konkretem Risiko. Um Jugendliche vor Horrorfilmen zu schützen, gibt es schließlich auch kein pauschales Kinoverbot, sondern eine Altersgrenze pro Film. Entsprechend bräuchte es zum Beispiel eher Einschränkungen für die potenziell radikalisierende Sogwirkung algorithmisch sortierter Feeds auf sozialen Medien – aber kein pauschales Social-Media-Verbot.

Auf sozialen Medien geht es um Austausch

Was soziale Medien ebenso fundamental von Büchern oder Filmen unterscheidet, ist, dass sie nicht nur konsumiert werden, sondern auch Plattform für Austausch sind. Menschen teilen eigene Informationen über soziale Medien, etwa explizit politische Meinungen oder bloße Dokumentationen ihres Alltags, und geben sie an andere weiter, die diese Inhalte wiederum selbst konsumieren und weitergeben können. Dazu gehört auch etwa das Liken und Kommentieren von Beiträgen.

Das bedeutet, dass soziale Medien nicht nur Räume sind, an denen Informationen und Meinungen passiv wahrgenommen werden – etwa, wenn man sich die Tagesschau ansieht –, sondern auch aktiv geteilt und verbreitet werden – wie wenn man ein Flugblatt verteilt oder eine Demo-Rede hält.

Politische Teilhaben stärken statt schwächen

Erwachsene sollten Möglichkeiten zur politischen Teilhabe von Kindern und Jugendlichen stärken, statt sie durch ein Social-Media-Verbot zu schwächen. Minderjährige von sozialen Medien auszuschließen würde Misstrauen in eine gesamte Generation ausdrücken und könnte den Eindruck erwecken, man würde sich vor der Politisierung junger Menschen fürchten.

Vielmehr müssen junge Menschen stärker in die öffentliche Meinungsbildung mit einbezogen werden. Soziale Medien sind dazu besonders gut geeignet, weil Jugendliche sich dort austauschen, vernetzen und organisieren können. Bewegungen wie etwa Fridays for Future, #MeToo, Black Lives Matter, „Frau, Leben, Freiheit“ oder die Proteste um Lützerath hätten wohl nicht dieselbe Resonanz gefunden, wenn insbesondere junge Menschen nicht über etwa Instagram oder Twitter davon erfahren und daran teilgenommen hätten. Wäre der Demokratisierung junger Menschen geholfen, sie von diesen Teilhabemöglichkeiten auszuschließen?

Würde jetzt ein Social-Media-Verbot für Kinder und Jugendliche eingeführt werden, würden bestehende demokratiekritische Tendenzen bei jungen Menschen nicht einfach verschwinden. Wahrscheinlicher ist, dass viele junge Menschen das Verbot als Beeinträchtigung ihrer Informations- und Meinungsfreiheit erkennen und darüber – auch politisch – frustriert wären.

BzKJ sieht Verstoß gegen UN-Kinderrechtskonvention

Ablehnung für das Social-Media-Verbot gibt es nicht nur von Kindern und Jugendlichen, die sich ihre digitalen Räume nicht wegnehmen lassen möchten. Die Bundeszentrale für Kinder- und Jugendmedienschutz sieht in einem Social-Media-Verbot für unter 16-Jährige gar einen Verstoß gegen den 17. Artikel der UN-Kinderrechtskonvention. Demnach müssen die Vertragsstaaten sicherstellen, dass Kinder „Zugang [haben] zu Informationen und Material aus einer Vielfalt nationaler und internationaler Quellen“.

Das Internet und die Plattformen, die es bereithält, gehören zur Lebenswelt von Kindern und Jugendlichen und sind ein wesentlicher Ort, an dem sie Informationen erlangen. Gerade deshalb muss ihnen ein sicherer Zugang dazu ermöglicht werden. Um das zu erreichen, sieht das EU-Gesetz über digitale Dienste (DSA) je nach Dienst und Risiko zahlreiche mögliche Maßnahmen vor: Neben Datenschutz-wahrender Altersverifikation sind das etwa ein Verbot suchtförderder Funktionen oder verstärkte Anforderungen an Inhaltsmoderation.

Plattformen für alle sicherer machen

Es stimmt, dass soziale Medien diverse Gefahren bereithalten. Sexuelle Übergriffe, Bedrohungen, Desinformation, manipulative Designs, Gewaltdarstellungen oder demokratiefeindliche Inhalte sind nur einige davon. Das sind jedoch nicht nur Gefahren für Kinder und Jugendliche, sondern für alle. Besonders angreifbar sind dabei vulnerable Gruppen – nicht alle haben die hohe Medienkompetenz oder die ausgefeilten Recherche-Kenntnisse, die dabei helfen, sich vor Übergriffen zu schützen.

Es gibt auf sozialen Medien auch Inhalte, die niemand sehen sollte, weder Kinder noch Erwachsene. Etwa weil sie in extremem Maße gewaltverherrlichend, volksverhetzend oder ehrverletzend sind. Vor der Verbreitung solcher Inhalten müssen mehr Menschen als nur Kinder und Jugendliche geschützt werden – sowohl diejenigen, die als Opfer in diesen Darstellungen abgebildet werden als auch die Vielzahl von Menschen, die durch den Konsum solchen Materials gefährdet werden kann. Gegenüber all diesen Menschen hat der Staat eine Schutzpflicht.

Wenn der Staat sich hier aber nicht imstande sieht, seinen Schutzpflichten gegenüber der gesamten Bevölkerung gerecht zu werden, entscheidet er sich stattdessen für einen unverhältnismäßigen Eingriff in die Rechte einer Bevölkerungsgruppe.

Statt Kinder und Jugendliche von potenziell gefährlichen Orten auszuschließen, sollten die Gefahren selbst entschärft werden. Das muss insbesondere durch konsequente Plattformregulierung und eine politische Weiterentwicklung des DSA geschehen. Das Ziel sollte sein, Plattformen für alle Menschen sicherer zu machen.

Kategorien: Externe Ticker

1
2
3
4
5
next
last