netzpolitik.org

Aktualisiert: vor 35 Minuten 32 Sekunden

Ampel-Bilanz: Ein verbarrikadiertes Gelegenheitsfenster

30. Januar 2025 - 17:13

In der Bilanz der Ampel steht eine Reihe von gescheiterten progressiven Projekten. Aber das ist nicht das Tragischste an dem Ende der Koalition. Denn es geht um mehr als ein paar Vorhaben aus dem Koalitionsvertrag. Ein Kommentar.

Dass es überhaupt eine Regierung geben würde, die nicht von der Union angeführt wird, schien vor der letzten Bundestagswahl lange unrealistisch. Doch im Sommer 2021 begannen die Umfragewerte der Union zu sinken, CDU-Spitzenkandidat Armin Laschet konnte sich nicht mehr von seinem vielkritisierten Auftritt in den Hochwassergebieten erholen.

Am Abend des 26. September 2021 stand irgendwann fest: Die SPD war an der Union vorbeigezogen, eine Koalition ohne CDU und CSU wurde möglich. Und die bildete sich daraufhin vergleichsweise schnell und ohne viel Aufregung. Die selbsternannte Fortschritts- oder auch Zukunftskoalition trat an, um nach vielen Jahren unionsschwarzer Dominanz progressivere Politik zu machen. Für ein bisschen mehr Klimaschutz, für ein bisschen mehr Fokus aufs Soziale und auch gegen das ewige Geseier vom Supergrundrecht auf (gefühlte) Sicherheit, hinter das jedes Sachargument zurücktreten musste.

„Deshalb sorgen wir dafür, dass die Innenpolitik endlich im 21. Jahrhundert ankommt und nicht verbleibt, wo Sie sie hinterlassen haben“, richtete sich der FDP-Abgeordnete Manuel Höferlin im Januar 2022 an die Unionskolleg:innen. In seiner Rede zählte er auf, was die neuen Koalitionäre vorhatten. Ganz an den Anfang stellte er: Überwachungsgesamtrechnung, Schwachstellenmanagement, Freiheitskommission und ein Recht auf Verschlüsselung. Nichts davon ist abgeschlossen.

Zugeknallt und verbarrikadiert

Höferlins denkbar schlecht gealterte Rede steht exemplarisch für das größte Problem der gescheiterten Regierung: Es gab ein Gelegenheitsfenster, das die Koalitionäre weitgehend ungenutzt zuknallten und das Teile von ihnen nach dem Aus behände mit Brettern und Nägeln verbarrikadierten.

Dabei war dieses Fenster nicht nur die Gelegenheit für viele Vorhaben, die Grundrechte stärken sollten und von denen es zumindest im Netzpolitischen nur wenige am Ende durch den Bundestag schafften, wie unsere Auswertung zeigt. Es war auch die Gelegenheit zu zeigen, dass die Gesellschaft nicht im Chaos versinkt, wenn man anders als mit größtmöglicher Repression und autoritärer Durchgriffsperformance auf Probleme reagiert. Sondern mit Lösungen, die vielleicht erst langsam Wirkung zeigen. Die dafür aber jenseits ihrer symbolpolitischen Signalwirkung wirklich etwas zum Besseren verändern können.

Und es war die Gelegenheit zu zeigen, dass es etwas anderes geben kann, als sich immer mehr den rechten Brandstifter:innen anzubiedern, aus purer Angst vor ihrer Demagogie vorauseilend ihre Argumente und ihre Politik zu umarmen und ihnen damit einen fruchtbaren Boden zu bereiten.

Bauchschmerzen und Streit

Aber schnell zeigte sich, dass sich auch die Ampelparteien von populistischen Forderungen treiben ließen und in der Innen- und Migrationspolitik dem früheren CSU-Innenminister Horst Seehofer in nichts nachstanden. Da halfen auch abwechselnd die Bauchschmerzen der grünen Koalitionspartner und die häufigen Streitigkeiten mit dem FDP-Justizministerium nicht viel. Während auf der einen Seite menschenunwürdige Gesetze beschlossen wurden, schafften es auf der anderen progressive Vorhaben nie am Kabinett vorbei in die Parlamentsdebatte.

Doch eigentlich geht es gar nicht um die konkreten gescheiterten Projekte aus dem Koalitionsvertrag der Ampel. Es geht vor allem darum, dass sie in einer künftigen Regierung nicht mehr vorstellbar sind. Dass es sogar wahrscheinlicher ist, dass hart erkämpfte und immer noch unzureichende Errungenschaften wie das Selbstbestimmungsgesetz wieder von den Abendlanduntergangsverkündiger:innen zurückgedreht werden, wie sie es bereits versprochen haben.

Das Scheitern der Ampel ist mehr als nur das Versagen einer Regierung. Es ist das Versagen, einer Gesellschaft die Angst vor Offenheit zu nehmen. Es ist das Versagen, durch klare Haltungen den autoritären Marktschreiern, die in weit mehr als einer Partei auftreten, nicht mal einen Zeh breit Boden zu bereiten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Externe Ticker

Europäischer Datenschutzbeauftragter: Protest gegen Kandidaten aus der EU-Kommission

30. Januar 2025 - 14:26

Bei der Ernennung des Europäischen Datenschutzbeauftragten gibt es ein Patt. Der Rat stimmte für den kritischen Amtsinhaber, das Parlament für einen Kandidaten, der bislang bei der Kommission arbeitet. Datenschützer:innen wittern Interessenskonflikte.

Der Europäische Datenschutzbeauftragte (EDPS) wird durch das EU-Parlament und den Rat der Mitgliedsländer bestimmt. Zuletzt kam es erstmals zur Situation, dass die beiden sich nicht einig waren: Der Innenausschuss des Parlaments stimmte für Bruno Gencarelli, der Rat für den Amtsinhaber Wojciech Wiewiórowski. Die beiden Institutionen müssen sich nun einigen, wen sie als europäischen Datenschutzbeauftragten einsetzen wollen, denn das Gesetz schreibt vor, dass die Ernennung im gegenseitigen Einvernehmen geschehen muss.

Gegen Gencarelli formiert sich nun Widerstand. Zahlreiche Universitätsprofessor:innen und Datenschützer:innen aus unterschiedlichen Ländern kritisieren in einem offenen Brief, dass Gencarelli „zwölf Jahre lang in leitenden Positionen im Bereich des Datenschutzes“ bei der EU-Kommission gearbeitet habe. Also bei der Institution, die er in Zukunft beaufsichtigen müsste. Sie sehen darin einen „klaren Interessenkonflikt“, der die Mission und die Legitimität des Europäischen Datenschutzbeauftragten untergraben würde.

„Verstoß gegen Unabhängigkeit“

Im offenen Brief heißt es, die Ernennung Gencarellis wäre ein Verstoß gegen die verfassungsrechtlich geschützte vollständige Unabhängigkeit des Europäischen Datenschutzbeauftragten und gegen den Grundsatz der guten Verwaltungspraxis:

Dies würde auch das europäische System der gegenseitigen Kontrolle zugunsten der Kommission untergraben. Am Tag des Datenschutzes möchten wir daran erinnern, dass der Datenschutz im digitalen Zeitalter Ausdruck unserer Grundwerte und ein wesentlicher Schutz für unsere Rechte und Freiheiten ist. Eine unabhängige Aufsicht und Durchsetzung ist unerlässlich, um sicherzustellen, dass unsere Rechte und die damit verbundenen Pflichten in der Praxis auch tatsächlich umgesetzt werden.

Der bisherige Datenschutzbeauftragte Wiewiórowski gilt als kritisch, mehrfach hatte er der Kommission die Zähne gezeigt. So wies er etwa im vergangenen Jahr die EU-Kommission an, dass sie mit Microsofts Office-Suite keine Daten mehr in die USA übertragen dürfte. Doch das ist nicht alles, berichtet Heise.de:

Wiewiórowski verteidigte das Prinzip der Datenminimierung selbst im Zeitalter von Künstlicher Intelligenz (KI) und monierte schwerwiegende Mängel bei der geplanten Chatkontrolle. Erst im Dezember rüffelte er die Kommission, weil sie zielgerichtete Werbung unter Nutzung besonders sensibler persönlicher Daten für das umstrittene Überwachungsinstrument machte. 2020 rügte der gebürtige Pole, dass Europol-Ermittler mit dem Sammeln und Analysieren nicht mehr überschaubarer Datenmengen ihre Befugnisse überschritten und rechtswidrig gehandelt hätten. 2022 klagte er gegen die Lizenz der EU-Polizeibehörde zur Massenüberwachung und scheute auch sonst nicht vor Rechtsstreitigkeiten zurück.

Der EU-Innenausschuss hat nun angekündigt, an einer Einigung zu arbeiten. Der Europäische Datenschutzbeauftragte wird für eine Amtszeit von fünf Jahren ernannt.

Dokument: Offener Brief

On Data Protection Day, Digihumanism, together with other experts in the field of data protection, artificial intelligence, EU law, fundamental rights, democracy and the rule of law, are calling EU institutions to safeguard the independence of the European Data Protection Supervisor (EDPS), in the framework of the appointment of a new Supervisor.

To:
Mr Adam BODNAR
Presidency of the Council of the European Union – Polish Ministry of Justice

Ms Roberta METSOLA President
European Parliament

Ms Ursula von der Leyen
President – European Commission

cc:

Ms Thérèse BLANCHET, Secretary-General – Council of the European Union; Mr Alessandro CHIOCCHETTI, Secretary-General – European Parliament; Ms Ilze JUHANSONE, Secretary-General – European Commission;

Mr Javier ZARZALEJOS, Chair – LIBE Committee – European Parliament

Subject: Appointment of the European Data Protection Supervisor

Dear Presidents and Minister,

We, the undersigned, would like to bring to your attention the existence of a serious risk that the European Data Protection Supervisor (EDPS) may no longer be in a position to fulfil properly their mission to supervise the compliance of EU institutions with the EU personal data protection legal regime.

The appointment as European Data Protection Supervisor of a candidate who has spent “12 years working in managerial roles in the area of data protection”[1] at the European Commission, an institution EDPS is supposed to monitor, would raise a clear case of conflict of interest and undermine EDPS’ mission and legitimacy.

This would be a violation of the constitutionally protected complete independence of EDPS[2] and of the principle of good administration. This would also undermine the European system of checks and balances, in favour of the Commission.

On Data Protection Day, we would like to recall that data protection is an expression in the digital age of our fundamental values and an essential safeguard for our rights and freedoms. Independent supervision and enforcement is indispensable to ensure that our rights, and corresponding obligations, are a practical reality.

We thus urge you to appoint as European Data Protection Supervisor a candidate whose independence is beyond doubt.

Thank you for your attention and swift action,

Please find in annex:

State of EDPS appointment procedure
Legal requirement_EDPS independence
Examples of files illustrating conflict of interests EDPS / European Commission

Yours sincerely:

Automatische Übersetzung des offenen Briefes vom 28.1.25 mit deepl.com durch netzpolitik.org

Betreff: Ernennung des Europäischen Datenschutzbeauftragten

Sehr geehrte Präsidenten und Minister,

wir, die Unterzeichnenden, möchten Sie darauf aufmerksam machen, dass die ernste Gefahr besteht, dass der Europäische Datenschutzbeauftragte (EDSB) nicht mehr in der Lage sein könnte, seinen Auftrag, die Einhaltung der EU-Rechtsvorschriften zum Schutz personenbezogener Daten durch die EU-Institutionen zu überwachen, ordnungsgemäß zu erfüllen.

Die Ernennung eines Kandidaten zum Europäischen Datenschutzbeauftragten, der „zwölf Jahre lang in leitenden Positionen im Bereich des Datenschutzes“ bei der Europäischen Kommission gearbeitet hat, einer Institution, die der EDSB eigentlich überwachen soll, würde einen klaren Interessenkonflikt darstellen und die Mission und Legitimität des EDSB untergraben.

Dies wäre ein Verstoß gegen die verfassungsrechtlich geschützte vollständige Unabhängigkeit des EDSB und gegen den Grundsatz der guten Verwaltungspraxis. Dies würde auch das europäische System der gegenseitigen Kontrolle zugunsten der Kommission untergraben.
Am Tag des Datenschutzes möchten wir daran erinnern, dass der Datenschutz im digitalen Zeitalter Ausdruck unserer Grundwerte und ein wesentlicher Schutz für unsere Rechte und Freiheiten ist. Eine unabhängige Aufsicht und Durchsetzung ist unerlässlich, um sicherzustellen, dass unsere Rechte und die damit verbundenen Pflichten in der Praxis auch tatsächlich umgesetzt werden.

Wir fordern Sie daher nachdrücklich auf, einen Kandidaten zum Europäischen Datenschutzbeauftragten zu ernennen, dessen Unabhängigkeit über jeden Zweifel erhaben ist.

Vielen Dank für Ihre Aufmerksamkeit und Ihr schnelles Handeln,

die Unterzeichnenden

Kategorien: Externe Ticker

Künstliche Intelligenz: Marktplatz statt Transparenzregister

29. Januar 2025 - 19:08

Sogenannte Künstliche Intelligenz spielt eine immer wichtigere Rolle, auch in der öffentlichen Verwaltung. Um die Gefahren automatisierter Entscheidungssysteme abzuschwächen, können etwa Transparenzregister helfen. Nun hat der Bund eines aufgesetzt – mit deutlichen Schwächen.

In die öffentliche Verwaltung zieht in großem Stil sogenannte Künstliche Intelligenz (KI) ein. Dazu gehören Chatbots wie ChatBMUV, Tools für maschinelles Übersetzen im Auswärtigen Amt und eine Bildddatenbank des Bundespresseamts, die bei offiziellen Terminen Personen öffentlichen Interesses identifiziert und automatisch ihre Metadaten hinterlegt.

175 solcher KI-Systeme sind in Deutschland derzeit in Entwicklung oder bereits im Einsatz. Das lässt sich dem jüngst online gestellten KI-Transparenzregister entnehmen. Betrieben vom Bundesministerium des Innern und für Heimat (BMI) soll es vorzeitig die Vorgaben aus der KI-Verordnung (AI Act) umsetzen und sogar darüber hinausgehen.

Dem Register zufolge hat das Umweltbundesamt Stand heute die Nase vorn. Dort sind knapp 50 KI-Systeme registriert, dahinter folgen die Bundesagentur für Arbeit mit 15 und das Bundesamt für Verbraucherschutz und Lebensmittelsicherheit mit 14 solcher Systeme. Thematisch dominieren die Bereiche „Energie und Umwelt“ und „Forschung“, gut im Rennen sind zudem „Arbeit und Soziales“ sowie „Öffentliche Verwaltung“.

Marktplatz der KI-Möglichkeiten

Das Transparenzregister soll erstmals eine Übersicht über bestehende und geplante KI-Systeme der Bundesverwaltung bieten. Das BMI will einen „Marktplatz der KI-Möglichkeiten“ (MaKI) entstehen lassen, wie das Register offiziell heißt. Insgesamt soll das nicht nur Vertrauen in der Bevölkerung sowie Verwaltung schaffen, sondern auch die Grundlage für Kooperationen und Nachnutzung von KI-Tools bilden.

Schon seit Jahren machen sich KI-Tools in der öffentlichen Verwaltung breit. Sie sollen den Staat effizienter, schneller und unbürokratischer machen, sagte etwa Bundesinnenministerin Nancy Faeser (SPD) anlässlich des Marktplatz-Starts. Wie umfänglich sich diese Versprechen erfüllen lassen, bleibt indes vorerst offen.

Bislang hatte eine aktuell gehaltene Übersicht der Tools und ihrer Einsatzzwecke gefehlt. Einen Einblick in das, was deutsche Behörden und Ministerien mit der Technik anstellen, hatten bestenfalls sporadisch gestellte parlamentarische Anfragen geboten – verpackt in unhandliche PDFs, die sich nur schwer auswerten lassen.

Langjährige Forderung

Das soll das neue KI-Transparenzregister ändern. Zivilgesellschaftliche Gruppen hatten so etwas seit vielen Jahren gefordert, insbesondere dann, wenn automatisierte Systeme in staatlicher Hand über Schicksale von Menschen entscheiden. Als Allheilmittel gilt es zwar nicht, könne aber die „Rechte der Betroffenen stärken und den Verwaltungen helfen, aus den Fehlern und Erfolgen anderer Projekte zu lernen“, schrieb etwa die Nichtregierungsorganisation AlgorithmWatch.

Ein solches Transparenzregister hatten die Niederlande bereits vor Jahren eingeführt. Dort war es zur sogenannten Kindergeldaffäre gekommen, bei der mit diskriminierenden Kriterien gefütterte Algorithmen tausende Familien ungerechtfertigt in den finanziellen Ruin getrieben haben. Unter anderem soll das Transparenzregister künftig dafür sorgen, dass automatisierte Entscheidungssysteme nicht völlige Black Boxen bleiben.

„Das BMI hat unser Konzept umgedreht“

Genau das leiste der KI-Marktplatz in seiner derzeitigen Form jedoch nicht, sagt Kilian Vieth-Ditlmann von AlgorithmWatch. Nicht zuletzt am Namen lasse sich ablesen, dass die Hauptzielsetzung weniger das Schaffen von Transparenz gewesen sei, sondern dass die Datenbank eher als „Schaufenster für die Bundesverwaltung“ dienen soll, sagt Vieth-Ditlmann.

Grundsätzlich handele es sich um einen guten ersten Schritt, allerdings „hat das BMI unser Konzept umgedreht“, so Vieth-Ditlmann. Gesteigerte Effizienz etwa, die das BMI wiederholt hervorhebt, könne ein positives Nebenprodukt einer echten Transparenzdatenbank sein, aber nicht das Hauptziel. Transparenz gegenüber der Bevölkerung stehe beim KI-Marktplatz „offenbar nicht an erster Stelle“, sagt der KI-Experte.

Problematisch sei zudem, dass die Veröffentlichung von Projekten auf dem Marktplatz bis auf Weiteres freiwillig sei. Im Unterschied zu parlamentarischen Anfragen, die vollständig beantwortet werden müssten, gebe MaKi nur ein „lückenhaftes Bild“ wieder. Ohne gesetzliche Grundlage ließen sich die Daten kaum aktuell halten, auch fehle eine Qualitätskontrolle und Aufsicht. „Es braucht Verbindlichkeit“, fordert Vieth-Ditlmann – auch von den Ländern.

Zwar will der IT-Planungsrat, der als politisches Steuerungsgremium für die Digitalisierung der öffentlichen Verwaltung den Prozess begleiten soll, auch die Länder und Kommunen einbinden. Um das rechtlich sauber umzusetzen, wäre aber wohl ein eigener Staatsvertrag zwischen Bund und Ländern notwendig, sagt Vieth-Ditlmann. Eine Regelung brauche es auch für als geheim eingestufte Systeme. Mit Verweis auf die nationale Sicherheit blieben diese sonst ausgeklammert, obwohl gerade in diesem Bereich mitunter die größten Gefahren für Grundrechte lauern.

Von den Niederlanden lernen

Vor allem aber müsse der Marktplatz seine Ausrichtung ändern und sich dabei vom niederländischen Ansatz inspirieren lassen. Nicht nur werde dort deutlich besser erklärt, was einzelne KI-Anwendungen tatsächlich machen, auch potenzielle Folgen für Grundrechte hängt das niederländische Transparenzregister sichtlich höher.

Angelehnt an die KI-Verordnung der EU weist MaKi auch eine Risikokategorie auf. Darin findet sich jedoch nur eine einzige Anwendung, der ein „Hohes Risiko“ zugeschrieben wird – ein KI-System, welches die Sicherheit von Tunneln und Tunnelleitzentralen (KITT) verbessern soll.

Von der umstrittenen Dialektanalyse, mit der das Bundesamt für Migration und Flüchtlinge (BAMF) automatisiert Hinweise auf die mutmaßliche Muttersprache einer Person finden will, geht laut MaKi hingegen nur ein „Begrenztes Risiko“ aus. Dabei räumt selbst das BAMF ein, weit entfernt von Zuverlässigkeit zu sein. Beispielsweise hatte das Amt im ersten Halbjahr 2022 knapp 8.000 solcher Dialektanalysen durchgeführt, in rund 1.500 Fällen die Sprache jedoch nicht erfolgreich erkannt. Das Ergebnis dieser Analyse fließt in die Entscheidung über die Schicksale von Menschen ein – und Fehler können für die Betroffenen gravierende Folgen haben.

Kategorien: Externe Ticker

Real-O-Mat: Taten zählen mehr als Worte

29. Januar 2025 - 11:05

Seit heute ist der Real-O-Mat online. Das Tool vergleicht die eigene Position bei relevanten Fragen mit denen der Fraktionen im Bundestag. Grundlage dafür sind keine Wahlkampfversprechen, sondern das Abstimmungsverhalten.

Der Real-O-Mat schaut, wie die Fraktionen abgestimmt haben.

Der Wahlkampf für die Bundestagswahl am 23. Februar ist in vollem Gange. Die Debatte ist aufgeheizt und unübersichtlich, zudem bleibt von einem Wahlkampfversprechen nach dem Ringen um die Gunst der Wählenden oft wenig übrig. Der Real-O-Mat ist ein Tool, das Taten statt Worte miteinander vergleicht und so die eigene Wahlentscheidung unterstützen soll.

Wie funktioniert der Real-O-Mat?

Mit Hilfe von 20 Fragen, die von der Digital- bis zur Finanzpolitik reichen, kann die eigene Position mit denen der antretenden Parteien verglichen werden. Die Grundlage für den Vergleich sind Abstimmungen zu Anträgen und Gesetzesentwürfen während der zurückliegenden Legislaturperiode, nicht aber Wahlkampfforderungen oder eigene Antworten der Parteien.

Entwickelt wurde der Real-O-Mat von der Transparenzplattform FragDenStaat, als Partner:innen sind unter anderem abgeordnetenwatch.de, Wikimedia Deutschland und Sea-Watch dabei.

Wer hat eigentlich für härtere Sanktionen beim Bürgergeld oder für einen höheren gesetzlichen Mindestlohn gestimmt – und warum? Wer stimmte für eine Verschärfung des Asylrechts, wer für das Selbstbestimmungsgesetz? Wie halten es die Fraktionen mit der Vorratsdatenspeicherung?

Wer den Real-O-Mat nutzt, erkennt schnell, welche Partei die eigene Position tatsächlich am besten vertritt. Nicht nur im Wahlkampf, sondern auch im Bundestag. Zudem liefert das Tool ausführliche Informationen und Begründungen für das Abstimmungsverhalten der Fraktionen.

Kategorien: Externe Ticker

„Intimes Überwachungsinstrument“: Das wissen Autohersteller über Dich und Dein Fahrzeug

28. Januar 2025 - 12:10

Im Rahmen einer Crowd-Recherche haben wir uns Datensätze von Mercedes, VW und BMW angeschaut. Die Fülle der gesammelten Informationen lässt Rückschlüsse auf das Privatleben der Autobesitzer:innen zu. Gespeichert wird viel und lange – die Besitzer:innen haben keinen Überblick darüber, was genau.

Moderne Autos eröffnen vollkommen neue Möglichkeiten der Überwachung. – Public Domain generiert mit Midjourney

Christophe Holzmann* fährt einen Mercedes-Benz der V-Klasse mit Elektroantrieb. Wir wissen, wo Herr Holzmann wohnt und dass er morgens meist um 5:30 Uhr zu arbeiten beginnt. Wir kennen seinen Arbeitgeber und wissen, wann er abends wieder nach Hause fährt. Herr Holzmann hat uns das nicht erzählt, sondern bei Mercedes-Benz nach sämtlichen Daten gefragt, die der Autohersteller über ihn abgespeichert hat. Und diese Daten hat er uns im Rahmen einer Crowd-Recherche zur Verfügung gestellt.

In den Daten unseres Lesers konnten wir noch weit mehr sehen: Wir konnten seine Autowerkstatt lokalisieren, und wir wissen, in welchen Supermärkten Herr Holzmann einkauft. Wir erfuhren durch die Daten auch, dass er wohl ein Tierhalter ist, weil er regelmäßig bei einem Tierfuttergeschäft vorfährt.

„Sie haben einen Hund, oder?“

Außerdem fährt Herr Holzmann regelmäßig morgens und mittags zu einem Parkplatz nahe eines Kanals. Dort bleibt er meist etwa eine halbe Stunde. Auf Anfrage bestätigte uns Herr Holzmann, dass er an dem Kanal seinen Hund ausführt. Der Parkplatz am Kanal gehört außerdem zum Kindergarten seines Kindes.

Herr Holzmann hat beim Kauf seines Fahrzeugs im Jahr 2021 den Nutzungsbedingungen zugestimmt. Er möchte die digitalen Annehmlichkeiten wie die individuelle Verbrauchsanzeige, Fernabfrage oder Fernsteuerung seines Automobils nutzen. „Nicht zustimmen bedeutet, keine App mehr nutzen zu können“, sagt Herr Holzmann. Doch die Entscheidung hat weitreichende Folgen: Die netzpolitik.org vorliegenden Daten von Mercedes-Benz lassen darauf schließen, dass der schwäbische Hersteller bei unserem Leser ein komplettes auf GPS-Daten gestütztes Fahrtenbuch für die Dauer von drei Monaten speichert. Die Positionsdaten im Fahrtenbuch sind offenbar bis auf wenige Meter genau.

Um die Orte genauer zu bestimmen, kann man zunächst Annahmen treffen, wie das Standortprofil eines Menschen üblicherweise aussieht. So steht das Auto in der Regel über Nacht vor der eigenen Wohnung oder dem Wohnhaus der Besitzer. Unter der Woche parkt es tagsüber meist nahe ihrer Arbeitsstelle.

Mit einer digitalen Karte und einer Suchmaschine lassen sich weitere Positionen ermitteln. In der Gesamtschau erlauben sie detaillierte Rückschlüsse auf eine Person – und oftmals auch eine Identifizierung, wenn deren Name im Vorfeld nicht bekannt ist.

Christophe Holzmann fragt sich, warum Mercedes es für notwendig erachtet, derart viele Details über sein Leben zu erfassen und abzuspeichern. Was hat der Konzern damit vor? Herr Holzmann fürchtet unter anderem, dass die Daten bei einem Hackerangriff oder einem Leak an die Öffentlichkeit gelangen. Solche Sorgen sind nicht unbegründet, wie ein gewaltiges Datenleck beim VW-Konzern unlängst gezeigt hat. Doch dazu später mehr.

Was Daten aussagen können

Im Rahmen einer Crowd-Recherche hat netzpolitik.org insgesamt fünf Datensätze von Mercedes-Benz, Volkswagen und BMW erhalten und ausgewertet. Wir wollten wissen, welche Daten an die Automobilhersteller fließen, wie oft diese übermittelt und gespeichert werden.

Dabei haben wir uns auf Datensätze aus Deutschland, Österreich und der Schweiz gestützt, die uns Leser:innen auf unsere Bitte hin im Sommer und Herbst 2023 zugeschickt haben. Die Leser:innen erhielten die Datensätze wiederum von den Herstellern, nachdem sie zuvor Datenschutzanfragen gestellt hatten. Aufgrund der geringen Anzahl von Datensätzen können wir die Ergebnisse nicht auf die gesamte Flotte der einzelnen Hersteller übertragen. Dennoch geben sie Anhaltspunkte darüber, in welcher Fülle und Vielfalt die Konzerne Daten sammeln und was sich daraus im Einzelfall ableiten lässt.

Klar wird im Verlauf der Recherche: Die Automobilkonzerne speichern sehr viele Daten, sie bewahren sie teilweise sehr lange auf und versuchen über die Nutzung der Daten exklusiv zu bestimmen. Hinzu kommt, dass sie den Kund:innen keinen guten Überblick geben, welche Datenarten genau gespeichert werden und die Daten teilweise nicht aufgrund von informierter Einwilligung, sondern aufgrund von „berechtigtem Interesse“ speichern.

Schon ein erster Blick auf die uns zugesandten Daten zeigt ein grundsätzliches Problem moderner Autos: Was einst eine simple Gurtwarnleuchte war, gibt einem Hersteller heute Auskunft darüber, wie das Auto genutzt wird und wie viele Personen mitfahren. Denn bei den Gurtwarnleuchten steckt nicht nur ein Sensor im Gurtverschluss, sondern auch im Sitz. Und dieser Sensor lässt zum Beispiel Rückschlüsse auf die Anzahl der Beifahrer:innen zu.

Solche Sensorik gibt es an verschiedenen Stellen im Fahrzeug. Speichert das Auto etwa die Position und Neigung des Fahrersitzes, lässt sich daraus ableiten, wie viele unterschiedliche Personen das Auto nutzen und wie groß diese sind. Das Speichern dieser Einstellung ist bequem, bedeutet aber zugleich, dass private Daten über die Fahrenden an die Automobilhersteller übermittelt werden.

Etwa 100 Datenarten bei Mercedes

Beim Mercedes von Herrn Holzmann haben wir etwa 100 verschiedene Datenarten identifiziert. Sie geben unter anderem Auskunft über den Stand des Scheibenwischertanks, den Druck der Reifen oder dem Status der Handbremse. Diese Informationen können Fahrenden nützlich sein und etwa Hinweise darauf geben, ob sie die Reifen aufpumpen sollten. Einst genügte dafür ein Lämpchen im Wageninneren. Heute aber werden diese Informationen, sofern die Nutzer:innen dem zustimmen, an die Server der Hersteller übermittelt – und das erstaunlich häufig. Etwa achtzig Prozent der von uns analysierten Daten, die Mercedes-Benz über sein Auto und den Kunden speicherte, waren keine 90 Minuten alt.

Viele Sensoren erheben Daten, mit deren Hilfe weitgehende Rückschlüsse auf die Fahrenden möglich sind. So kann die Drehzahl ebenso Auskunft über den Fahrstil geben wie die Nutzung der Bremsen oder die Angabe, wie oft ein Gurt gestrafft wurde.

Daten zum Fahrstil fließen bei den Herstellern zusammen. Sie ermitteln dann sogenannte Scores. Bei Mercedes gibt es im uns vorliegenden Datensatz beispielsweise gleich vier dieser Scores namens „Bonus range (km)“, „Constancy“, „Acceleration“ und „Freewheel“. In dem vorliegenden BMW-Datensatz finden sich zwei Scores zum Fahrstil.

Für solche Datentypen interessieren sich auch Kfz-Versicherungen. Sie bieten sogenannte Telematik-Tarife an. Autofahrende, die der Versicherung gegenüber ihre Fahrdaten offenlegen, erhalten geringe Kostenersparnisse bei der Versicherung, wenn sie nachgewiesenermaßen risikoarm fahren. Die Daten kommen aber nicht von den Herstellern, sondern etwa von einem Telematikgerät, das die Kunden von den Versicherungen erhalten und in ihr Fahrzeug einbauen.

Echtzeit-Status der Flotte

Während bei Mercedes die Mehrheit der Daten alle 90 Minuten beim Hersteller aktualisiert wird, fanden wir bei BMW viele Datenarten, die etwa einmal in der Stunde hochgeladen wurden. Bei VW waren die meisten Datenarten auf den Servern sogar noch frischer. Ein uns vorliegender Datensatz wurde etwa alle zehn Minuten auf den Servern aktualisiert. Er gibt Auskunft darüber, wann ein Fenster geöffnet und die Heckklappe geschlossen wurde, ob der Tankdeckel verschlossen ist und wie viele Kilometer das Auto zurückgelegt hat. Einige wenige Datenarten, wie die nächste anstehende Inspektion des Fahrzeugs, werden seltener übermittelt.

Auch in einem uns vorliegenden VW-Datensatz wird ein Fahrtenbuch gespeichert, allerdings nur für die Dauer von zehn Tagen. Zudem wird bei VW – wenn man Online-Dienste wie VW Connect benutzt – zusätzlich gespeichert, wann welche:r Nutzer:in das Auto verwendet. Damit wäre es möglich, für unterschiedliche Fahrer:innen individuelle Profile zu erstellen.

Weder VW noch Mercedes oder BMW haben unsere Frage beantwortet, welche Datenarten konkret in den Autos erhoben und wie oft diese an die Server gesendet und für wie lange sie dort jeweils standardmäßig gespeichert werden. Alle drei Unternehmen verweisen auf ihre Datenschutzbestimmungen sowie auf die Möglichkeit der Kund:innen, diese Daten einzusehen und über die Privatsphäre-Einstellungen zu steuern, welche Daten erhoben werden.

Laut unseren Recherchen haben Mercedes und VW bei modernen Autos quasi den Echtzeit-Status des Fahrzeugs samt Positionsdaten vorliegen – sofern die Eigentümer:innen der Datenübermittlung zugestimmt haben. In den zugesandten Datensätzen, die nicht an VW Connect angeschlossen waren, gab es deutlich weniger Daten. Beim vorliegenden BMW-Datensatz gab es kein komplettes Fahrtenbuch, dafür speicherte der bayerische Hersteller in diesem Fall, wo der Akku des Autos geladen wurde sowie Einträge aus dem Navigationssystem.

VW preist über die Webseite fleet-interface.de, die sich gezielt an Unternehmen richtet, an, dass diese per Schnittstelle Zugriff auf die Fahrzeuge erhalten können – ohne dass die Dienstwagen dafür technisch aufgerüstet werden müssen. Die Autos bieten die Voraussetzungen dafür ab Werk: „Fleet Interface ermöglicht Ihnen den Zugriff auf Ihre Fahrzeugdaten direkt aus dem Flottenmanagementsystem Ihrer Wahl. Sie müssen keine Telematiklösung nachrüsten.“ Über eine Datenschnittstelle können die Unternehmen hier Positionsdaten, Kilometerstand, Tankfüllstände, Reichweite, Warnlampen, Bremsverschleiß, Wischwasserstand, Ölwechsel und Service-Intervalle abrufen, heißt es auf der Webseite.

Werbeseite für das Flottenmanagement des VW-Konzerns. (Screenshot) - Screenshot „Kein Eigentümer weiß genau, was gesammelt wird“

Der Automobilverband ADAC kritisiert, wie viele Daten moderne Autos für die Hersteller sammeln. ADAC-Sprecher Micha Gebhardt sagt gegenüber netzpolitik.org: „Eine Vielzahl von Daten, die ein modernes Autos sammelt, wird weder technisch gebraucht, noch sind sie sicherheitsrelevant.“ Aus datenschutzrechtlicher Sicht seien jene Daten bedenklich, die personenbezogen sind oder Rückschlüsse auf Einzelpersonen zulassen.

Auch beim Automobilclub von Deutschland (AvD) sieht man die Datenpraxis der Hersteller kritisch: „Kein Fahrer, Halter oder Eigentümer eines Fahrzeuges weiß derzeit genau, welche Daten in seinem Auto gesammelt, verarbeitet und weitergegeben werden“, sagt AvD-Sprecher Herbert Engelmohr.

„So haben wir uns die Datenautobahn nicht vorgestellt“, kommentiert Konstantin Macher von der Digitalen Gesellschaft. Eine solche Datensammlung müsse für Kund:innen optional und klar erkennbar sein. „Wenn Daten erhoben werden, sind Grundsätze wie Datenminimierung und Datensicherheit zu beachten“, sagt Macher, „zum Beispiel indem Daten lokal gespeichert und verarbeitet werden und nur mit expliziter Zustimmung abgerufen werden können.“

Schwammige Datenschutzvereinbarungen

Aus den Datenschutzvereinbarungen aller drei untersuchten Automobilhersteller geht nicht hervor, welche Datenarten und Daten sie konkret erheben und auf ihren Servern speichern. Bei VW verstecken sich in der Datenschutzerklärung zu We Connect (PDF) und zur Volkswagen ID etwa hinter den Bezeichnungen „Kfz-Nutzungsdaten“ und „Daten zum Fahrzeug-Gesundheitszustand“ zahlreiche weitere konkrete Datenarten, die der Konzern an dieser Stelle nicht explizit benennt. Zur Verbesserung von Produkten kann VW auch „Standortdaten (z.B. gekürzte GPS Daten)“ speichern. Die Daten werden laut VW pseudonymisiert und bis zu sieben Jahre gespeichert.

Die beschriebene Datenverarbeitung erfolgt laut VW „aufgrund des berechtigten Interesses der Volkswagen AG ihren Kunden neu entwickelte und verbesserte Produkte und Dienste anzubieten.“ Die Rechtsgrundlage „berechtigtes Interesse“ ist im Datenschutz regelmäßig umstritten, sie erfordert keine explizite Zustimmung auf Basis einer informierten Einwilligung. Auf Anfrage sagt VW, dass alle Fahrzeuge mit Online-Funktionen die Möglichkeit böten, die Datenspeicherung jederzeit zu deaktivieren. Dies ist jedoch damit verbunden, dass bestimmte Dienste nicht mehr funktionieren.

Ähnlich unkonkret ist die Datenschutzvereinbarung von BMW. Der Automobilkonzern nennt einige Datenarten wie etwa „Fahrzeug Wartungsdaten (Fälligkeit nächster Service, Ölstand, Bremsenverschleiß, etc.)“ – sagt aber nicht, welche weiteren Datenarten unter „etc.“ fallen. Auch BMW macht für die Verarbeitung und Speicherung der erhobenen Daten ein „berechtigtes Interesse“ geltend. Laut der Datenschutzerklärung werden die „verarbeiteten personenbezogenen Daten“ automatisch nach vier Wochen gelöscht, „sofern Sie nicht für die Erbringung des speziellen Dienstes länger benötigt werden.“

Laut BMW können die Kunden ihre Einstellungen zur Privatsphäre im Datenschutzmenü im Fahrzeug, in der „My BMW App“ oder in ihrem BMW-Profil im Internet „granular anpassen“. Sofern Kunden nur das gesetzlich vorgeschrieben Minimum an Datenübertragung wünschten, könnten sie auch dies entsprechend festlegen, heißt es seitens eines Unternehmenssprechers. Auch bei BMW führen restriktive Datenschutzeinstellungen dazu, dass bestimmte Dienste und Funktionen nicht mehr benutzt werden können.

Bei Mercedes-Benz gibt es ausführlichere Datenschutzbestimmungen, die bislang nur im Kundenbereich verfügbar waren und die wir veröffentlichen (PDF). Zwar listen die Datenschutzbestimmungen viele einzelne Datenarten auf. Allerdings bleibt auch bei Mercedes unklar, welche weiteren Datenarten sich etwa hinter dem Begriff „Fahrzeugdaten“ verbergen. Für „Fahrzeugdaten“ und „Nutzungsdaten“ macht Mercedes ein „berechtigtes Interesse“ geltend. Mercedes-Benz speichert grundsätzlich „personenbezogene Daten der Kunden und Mitnutzer solange dies für die Erfüllung unserer vertraglichen Pflichten – Bereitstellung der Digitalen Extras – erforderlich ist.“

Für einzelne Datenarten kann es wiederum eine individuelle Speicherdauer geben. Der Konzern sagt, dass die Kund:innen entscheiden könnten, welche sogenannten „Digital Extras“ sie nutzen und welche Daten sie weitergeben möchten. Die Übermittlung von Geopositionsdaten können Kund:innen laut Mercedes-Benz in den Einstellungen des Infotainmentsystems vollständig deaktivieren.

Verbände fordern Transparenz und informierte Einwilligung

Alle Hersteller sagen auf Anfrage von netzpolitik.org, dass sie personenbezogene Daten nur im Rahmen gesetzlicher Vorschriften nutzen und verarbeiten. Automobilverbände wie der ADAC und der AvD kritisieren aber die Praxis des berechtigten Interesses. So tritt der AvD dafür ein, „dass der Fahrer, Halter oder Eigentümer nur nach informierter Einwilligung der Weitergabe zustimmt“, so AvD-Sprecher Herbert Engelmohr. Der ADAC sieht das genauso: Die Verarbeitung der Daten sollte „nur nach vorheriger, detaillierter Information der Verbraucherinnen und Verbraucher sowie nur mit ausdrücklicher Zustimmung erfolgen – und nicht mit allgemeinen „Nutzungsverträgen“ oder AGBs, die pauschal alles einschließen“, sagt ADAC-Sprecher Gebhardt.

Der ADAC fordert schon seit längerem (PDF), dass die Hersteller eine detaillierte „Auto-Daten-Liste“ zu jedem Fahrzeug veröffentlichen müssen. Nur so könnten die Kunden Kenntnis darüber erlangen, welche Daten ihr Auto erhebt und an die Unternehmen weitergibt. Es lasse sich derzeit nicht sagen, welche Datenerhebung und -weitergabe als kritisch betrachtet werden müsse, weil die Unternehmen keine Transparenz über die gesammelten Daten herstellen, sagt ADAC-Sprecher Micha Gebhardt: „Die langjährige ADAC-Forderung einer Liste aller erfassten und verarbeiteten Daten für jedes Modell wurde von den Herstellern bis heute nicht erfüllt.“

Ein noch recht neues europäisches Gesetz verspricht in naher Zukunft ein wenig Besserung. Den EU Data Act, der vor gut einem Jahr in Kraft trat, muss die Bundesrepublik bis September 2025 umsetzen. Er sieht eine solch detaillierte Auto-Daten-Liste, wie sie dem ADAC vorschwebt, allerdings nicht verpflichtend vor, da das Gesetz das Thema Auto nicht gesondert abdeckt. Aber immerhin verlangt der Data Act deutlich mehr Transparenz seitens der Unternehmen gegenüber den Kunden, als es bisher der Fall ist. Dem ADAC reicht diese gesetzliche Regelung nicht aus.

Wir haben bei Mercedes, VW und BMW nachgefragt, welche weiteren Informationen sie ab September mit ihren Kund:innen teilen werden. Doch keines der drei Unternehmen hat diese Frage beantwortet oder uns gar eine solche Auto-Datenliste geschickt, sondern nurmehr auf die bestehenden Datenschutzbestimmungen verwiesen.

Die Autohersteller sitzen wie Glucken auf den Daten, die sie von ihren Kund:innen erhalten. Sie entscheiden, wer diese Daten einsehen kann und wer auf diese Zugriff hat. Damit üben sie zum Beispiel auch Einfluss auf den Wettbewerb aus, kritisiert der ADAC.

Laut dem Automobilclub erhalten etwa freie Werkstätten nicht immer den vollen Zugriff auf die Daten, selbst der klassische OBD-Diagnosezugang werde beschränkt. Auch Unternehmen, die herstellerunabhängige Apps bauen wollen, haben damit das Nachsehen. Kund:innenfreundlich sei das nicht: „Konzepte, nach denen die Hersteller als exklusive Gatekeeper fungieren, dienen nicht den Interessen der Verbraucher:innen“, so ADAC-Sprecher Gebhardt.

Das datengetriebene Geschäftsmodell erschwert laut dem Verband den Kund:innen eine freie Wahl von Dienstleistern. Dieser Lock-in-Effekt ist etwa bei Betriebssystemen gang und gäbe: Ähnlich wie Microsoft oder Apple, die ihre Systeme an bestimmte Produkte und Dienstleistungen koppeln, gehen auch die Autohersteller vor: „In den Herstellerkonzepten können Verbraucherinnen und Verbraucher lediglich vom Hersteller vorgefilterte Angebote und Anbieter nutzen“, so ADAC-Sprecher Gebhardt. Damit aber verfügen ihre Kund:innen nur über eine eingeschränkte Wahlfreiheit.

Daten von 800.000 Autos abgeflossen

Wenn Autokonzerne große Datenmengen ihrer Kund:innen sammeln, birgt dies die Gefahr, dass Daten durch Hacker oder Pannen abfließen können. Das Risiko wächst zusätzlich, wenn die Automobilhersteller die Daten mit Unterfirmen, Dienstleistern und Partnerfirmen in großem Umfang teilen. Ebendies ist der VW-Gruppe jüngst passiert. Cariad, eine Unterfirma des Wolfsburger Unternehmens, hatte rund 9,5 Terabyte an Daten weitgehend ungeschützt und unverschlüsselt auf einem Amazon-Cloudspeicher abgelegt. Das entspricht mehr als 2.000 Single-Layer-DVDs mit je 4,7 Gigabyte oder mehr als 60 Millionen ausgedruckten Dokumentenseiten.

Hacker des Chaos Computer Clubs erhielten so Daten von rund 800.000 Autos der VW-Gruppe, zu der Volkswagen, Audi, Skoda und Seat gehören. Die Ergebnisse ihrer Recherche mit dem Titel „Wir wissen, wo Dein Auto steht“ stellten Michael Kreil and Flüpke im vergangenen Dezember auf dem CCC-Kongress (Video) sowie im Spiegel vor.

Die Datensätze enthalten präzise Standortdaten von mehr als 460.000 VW- und Seat-Fahrzeugen. In seinen Datenschutzbestimmungen behauptet VW, nur vergleichsweise ungenaue Standortdaten zu erheben – sogenannte gekürzte GPS-Daten. Doch gekürzt waren die auf den Amazon-Servern vorgefundenen Daten nicht. Daher erlaubten sie eine Ortung der Fahrzeuge mit einer Genauigkeit von zehn Zentimetern, so Kreil und Flüpke.

Mit dem Datensatz konnten Flüpke und Kreil die Standortdaten von Fahrzeugen in ganz Europa einsehen. - CC-BY 4.0 Michael Kreil

Aus den Daten geht außerdem nicht nur hervor, welche Fahrzeugidentifikationsnumme (FIN) das Auto hat, sondern – neben zahlreichen technischen Statusdaten des Autos – auch, wem es gehört und welche E-Mail-Adresse der oder die Besitzer:in hat.

Mit Hilfe der Daten konnten Flüpke und Michael Kreil unter anderem Angestellte deutscher Geheimdienste sowie mutmaßliche Regierungsfahrzeuge in Großbritannien identifizieren. Sie konnten einsehen, welche Fahrzeuge zu Bordellen fuhren, welche Autos auf die Polizei zugelassen sind und welche Einsätze Polizeifahrzeuge durchführten. Zu sehen war auch, welche Fahrzeughalter mutmaßlich bei einer bestimmten Redaktion arbeiten oder wer regelmäßig werktags zum Bundespräsidialamt fuhr.

Welche Gefahr von Standortdaten ausgeht

Die Daten der Autokonzerne können – ähnlich wie die Werbedaten (ADINT) der Databroker Files – auch für ausländische Geheimdienste im Rahmen von MOBINT (Mobility Intelligence) von Interesse sein: Geht ein Mitarbeiter des BND in ein Bordell oder Freizeitaktivitäten nach, die ihn erpressbar machen? Wo kann ich einen Mitarbeiter des Militärs abpassen, um mittels Social Engineering Zugang zu gesicherten Orten zu bekommen?

Auch kriminelle Organisationen könnten derlei Daten für ihre Zwecke nutzen: Welche Lebensgewohnheiten hat eine Multimillionärin? Wo spielen ihre Angehörigen Golf? Wo hat die Familie weitere Anwesen oder Wochenendhäuser? Je detaillierter die Informationen sind, desto besser könnten Personen ausgeforscht, unter Druck gesetzt oder Opfer von Straftaten werden.

Doch es geht nicht nur um nationale Sicherheit und Kriminalität: Warum parkt das Auto meines Partners immer bei diesem Privathaus, wenn er doch angeblich auf Geschäftsreise ist? Wieso parkt der Wagen von Frau Schmidt mehrfach in der Woche nahe einer Suchtklinik? Wer sind die Kund:innen eines Konkurrenzunternehmens? Warum fährt Frau Schneider regelmäßig zum Gefängnis? Die Daten, die Automobilhersteller erheben, sind hochsensibel, denn sie geben viel über Menschen und ihr Umfeld preis.

Databroker Files

„Eine beängstigende Entwicklung“

Automobilverbände wie der ADAC und der AvD, aber auch Datenschutzorganisationen wie die Digitale Gesellschaft fordern deutlich mehr Rechte für die Fahrzeughalter:innen. Es müsse transparenter werden, welche Daten die Hersteller genau speichern. Eine Zustimmung zur Datenerhebung und Weitergabe müsse, entgegen der heutigen Praxis, nur nach informierter Einwilligung und ausdrücklicher Zustimmung erfolgen – „und nicht mit allgemeinen Nutzungsverträgen oder AGBs, die pauschal alles einschließen“, sagt ADAC-Sprecher Gebhardt.

Neben der Transparenz durch „Auto-Daten-Listen“ müsse auch die Eigentumsfrage an den Daten geklärt werden. „Die erzeugten Daten gehören klar den Verbraucherinnen und Verbrauchern. Sie erzeugen diese durch ihre Nutzung der Fahrzeuge und sollten souverän über die Verwendung entscheiden können“, so Gebhardt. Der ADAC fordert zudem, dass es einen „neutralen Datentreuhänder“ brauche. „Wer Zugang zu den Daten erhält, sollte der Fahrzeughalter entscheiden. Nur so wird die Datenhoheit des Verbrauchers ebenso gewährleistet wie der faire Wettbewerb.“ Der AvD sieht das ähnlich: „Die Fahrer, Halter, Eigentümer sollten das Recht haben, ihren bevorzugten Dienstleister zu wählen und der Datenübertragung durch ihr Fahrzeug frei zuzustimmen“, sagt AvD-Sprecher Engelmohr gegenüber netzpolitik.org.

Unser Leser Christophe Holzmann findet es „eine sehr traurige und beängstigende Entwicklung, dass das Auto zu einem überaus intimen Überwachungsinstrument“ geworden ist. Er wünscht sich, dass die Automobilhersteller nur das sammeln, was sie auch wirklich benötigen. Holzmann möchte nicht mit „shady Nutzungsbedingungen“ dazu gebracht werden, im Kleingedruckten pauschal alles zu erlauben. Aus seiner Sicht wäre es bereits eine Verbesserung, wenn die Konzerne besser darüber informieren würden, was sie mit seinen Daten anstellen. Gerade nach der Datenpanne von VW stellt sich für Holzmann die Frage, ob die deutschen Hersteller den Datenschutz überhaupt noch ernst nehmen: „Da kann ich mir ja gleich ein günstigeres chinesisches Auto zulegen“.

Recherche-Hintergründe

I. Datenarten

Beispiel: Mercedes-Benz, V-Klasse, Elektrisch, Erstzulassung 2021

positionHeadingPermanent
positionHeadingPermanent_ts
positionLat
positionLat_ts
precondError
precondError_ts
consumptionCorrelationRollingResistance
consumptionCorrelationRollingResistance_ts
serviceintervaldays
serviceintervaldays_ts
electricconsumptionreset
electricconsumptionreset_ts
otarDates
otarDates_ts
chargingstatus
chargingstatus_ts
engineCoolantTemperature
engineCoolantTemperature_ts
positionLongPermanent
positionLongPermanent_ts
windowstatusfrontleft
windowstatusfrontleft_ts
doorlockstatusvehicle
doorlockstatusvehicle_ts
tireMarkerFrontLeft
tireMarkerFrontLeft_ts
temperaturePoints
temperaturePoints_ts
remoteStartTemperature
remoteStartTemperature_ts
keylineActivationState
keylineActivationState_ts
doorlockstatusfrontleft
doorlockstatusfrontleft_ts
chargingErrorDetails
chargingErrorDetails_ts
serviceWarning
serviceWarning_ts
precondActive
precondActive_ts
chargingPower
chargingPower_ts
hvBatteryReferenceCapacity
hvBatteryReferenceCapacity_ts
consumptionCorrelationEffectiveMass
consumptionCorrelationEffectiveMass_ts
parkbrakestatus
parkbrakestatus_ts
tireMarkerFrontRight
tireMarkerFrontRight_ts
kmatrixver
kmatrixver_ts
positionLong
positionLong_ts
doorstatusrearleft
doorstatusrearleft_ts
odo
odo_ts
tirewarninglamp
tirewarninglamp_ts
precondatdeparture
precondatdeparture_ts
doorstatusfrontright
doorstatusfrontright_ts
outsideTemperature
outsideTemperature_ts
doorstatusfrontleft
doorstatusfrontleft_ts
tireSensorAvailable
tireSensorAvailable_ts
doorstatusrearright
doorstatusrearright_ts
tirepressscope
tirepressscope_ts
hvBatteryEnergyMax
hvBatteryEnergyMax_ts
precondSeatFrontRight
precondSeatFrontRight_ts
soc
soc_ts
warningbrakefluid
warningbrakefluid_ts
tirepressureFrontRight
tirepressureFrontRight_ts
vehicleDataConnectionState
vehicleDataConnectionState_ts
positionHeading
positionHeading_ts
tankCapOpenLamp
tankCapOpenLamp_ts
distanceReset
distanceReset_ts
trackingStateHU
trackingStateHU_ts
tireMarkerRearLeft
tireMarkerRearLeft_ts
doorlockstatusrearleft
doorlockstatusrearleft_ts
consumptionCorrelationRecuperationEfficiency
consumptionCorrelationRecuperationEfficiency_ts
distanceStart
distanceStart_ts
maxSoc
maxSoc_ts
tireMarkerRearRight
tireMarkerRearRight_ts
tirewarningsrdk
tirewarningsrdk_ts
distanceElectricalReset
distanceElectricalReset_ts
NCDKMatrix
NCDKMatrix_ts
doorlockstatusrearright
doorlockstatusrearright_ts
selectedChargeProgram
selectedChargeProgram_ts
consumptionCorrelationAirDrag
consumptionCorrelationAirDrag_ts
consumptionCorrelationAuxiliaryPower
consumptionCorrelationAuxiliaryPower_ts
ecoscorebonusrange
ecoscorebonusrange_ts
windowstatusfrontright
windowstatusfrontright_ts
electricconsumptionstart
electricconsumptionstart_ts
climateComfortMode
climateComfortMode_ts
warningwashwater
warningwashwater_ts
evRangeAssistDriveOnSOC
evRangeAssistDriveOnSOC_ts
precondState
precondState_ts
flipWindowStatus
flipWindowStatus_ts
chargingactive
chargingactive_ts
warningcoolantlevellow
warningcoolantlevellow_ts
ecoscoreaccel
ecoscoreaccel_ts
decklidstatus
decklidstatus_ts
externalTesterPresent
externalTesterPresent_ts
vtime
vtime_ts
doorlockstatusdecklid
doorlockstatusdecklid_ts
maxrange
maxrange_ts
distanceElectricalStart
distanceElectricalStart_ts
doorlockstatusfrontright
doorlockstatusfrontright_ts
icA14
icA14_ts
tcuConnectionStateLowChannel
tcuConnectionStateLowChannel_ts
languageHU
languageHU_ts
icA13
icA13_ts
electricalRangeSkipIndication
electricalRangeSkipIndication_ts
rangeelectric
rangeelectric_ts
keyActivationState
keyActivationState_ts
ecoscoreconst
ecoscoreconst_ts
socHighResolution
socHighResolution_ts
warningbrakeliningwear
warningbrakeliningwear_ts
tirepressureRearLeft
tirepressureRearLeft_ts
ecoscorefreewhl
ecoscorefreewhl_ts
tiremarker
tiremarker_ts
maintenanceTransmissionStatus
maintenanceTransmissionStatus_ts
positionLatPermanent
positionLatPermanent_ts
precondSeatFrontLeft
precondSeatFrontLeft_ts
tirepressureFrontLeft
tirepressureFrontLeft_ts
ignitionstate
ignitionstate_ts
serviceContent
serviceContent_ts
departureTimeMode
departureTimeMode_ts
tirepressureRearRight
tirepressureRearRight_ts
departuretime
departuretime_ts
temperatureUnitHU
temperatureUnitHU_ts

II. Was passiert, wenn Kunden nach den Daten fragen?

Unsere Recherche basiert auf der Grundlage der Datenschutzgrundverordnung, nach der alle Unternehmen und Stellen verpflichtet sind, bei einer Anfrage einer Person zu übermitteln, was sie über diese speichern. Fragt man beim Datenschutzbeauftragten eines Automobilherstellers an, was er über mich und mein Auto gespeichert hat, so muss er diese Informationen teilen. Manche Hersteller bieten diese Datenauskunft auch direkt in ihren Kundenbereichen an.

Die uns zugesandten Datensätze weisen mitunter selbst bei einzelnen Herstellern eine unterschiedliche Qualität und Detailtiefe auf. Das war etwa bei VW der Fall. Hier erhielten wir verschiedene Datensätze, die unterschiedlich viele Datenarten enthielten. Dies kann mit den Datenschutzeinstellungen der Fahrzeugbesitzer zusammenhängen oder damit, dass VW bei der Datenschutzanfrage unterschiedlich viele Daten zurückgeschickt hat. Da wir die Datenschutzeinstellungen der Menschen, die Daten einreichten, nicht ausgewertet haben, können wir das nicht beantworten.

Bei VW gibt es wenig aussagekräftige Dateinamen. Wir erhielten verschiedene Dokumentformate, einzelne Dokumente enthalten nur einen einzigen Datenpunkt; ein Zip-Archiv enthält nur ein paar HTML-Seiten, über die sich lokale JSON-files öffnen lassen. Eine JSON-Datei speichert in der Regel einfache Datenstrukturen und Objekte im Format JavaScript Object Notation. JSON ist Standardformat für den Datenaustausch. Die von der Datenschutzabteilung an uns übermittelten Datensätze waren aus unserer Sicht unzureichend strukturiert. Fahrzeughalter:innen ohne technisches Wissen können diese Daten im besten Fall wohl nur in Teilen verstehen und auswerten.

BMW schickte keinen Datensatz, sondern rund 50 Seiten Papier unter anderem mit ausgedruckten JSON-Dateien. Da wir die Inhalte dieser Dateien allerdings ausgedruckt erhielten, wurde uns eine maschinelle Auswertung immens erschwert. Für die meisten Kund:innen ist diese Form der Datenübermittlung wohl wenig hilfreich. Wir haben BMW gefragt, ob es übliche Praxis ist, die Daten ausgedruckt zu schicken. Das Unternehmen begründete den Papierversand damit, dass auch die Anfrage in postalischer Form erfolgt sei. Kund:innen könnten ihre Daten auch digital über das Mein BMW Kundenportal anfordern und herunterladen.

Deutlich besser sieht es bei Mercedes aus: Die relevanten Daten liegen in einer einzigen großen Excel-Datei vor. Aus unserer Sicht wären mehre Einzeltabellen mit ausführlicheren Beschreibungen sinnvoller. Aber immerhin sind die Daten einheitlich und unserer Einschätzung nach vollständig gewesen. Insgesamt war es bei Mercedes am einfachsten, die Daten zu sichten und zu bearbeiten.

Kategorien: Externe Ticker

Massenüberwachungspläne der Union: Trump geleckt

27. Januar 2025 - 13:02

Die Union fordert in einem parlamentarischen Antrag die Vorratsdatenspeicherung von Telekommunikationsdaten, eine Ausweitung der automatisierten Gesichtserkennung, mehr Staatstrojanereinsätze und mehr Befugnisse für die Polizei. Zugleich will sie die Geheimdienste aufrüsten.

Friedrich Merz (CDU) mit Markus Söder (CSU). – CC-BY 2.0 European People’s Party

Der Antragsentwurf der Christenunion hat es in sich: In Deutschland soll nicht nur bei Fragen der Einreise und des Asyls eine Politik im Stile Donald Trumps mit massiven Verschärfungen beginnen. Auch ein ganzer Überwachungskatalog soll Wirklichkeit werden. Neben mehreren Vorhaben von technisierter Massenüberwachung ist auch der Ausbau staatlichen Hackings vorgesehen, dazu mehr Befugnisse für Polizei und Geheimdienste.

Die Fülle an Vorhaben begründet die Union mit den zurückliegenden Morden von Tätern mit psychischen Auffälligkeiten in Magdeburg und Aschaffenburg und mit der „ernüchternden innenpolitischen Bilanz nach drei Jahren Regierung Scholz“, wie es im Antrag heißt. Das „gesellschaftliche Miteinander“ sei bedroht, denn: „Viele Menschen führen (sic) sich in ihrem Alltag oder in bestimmten Gegenden nicht mehr sicher.“ Der Staat müsse daher nun „entschlossener handeln“, schreibt die Union. Offenbar ist das Mittel dafür eine bisher ungekannte technische Überwachungsorgie.

Anlasslose Massenüberwachung

Der Klassiker bei CDU-Politikern darf nicht fehlen: die Forderung nach einer anlasslosen Vorratsdatenspeicherung von Telekommunikationsdaten. Sie wird seit mehr als fünfzehn Jahren als Allheilmittel in Fragen der Kriminalitätsbekämpfung gepriesen und ist nun wieder Teil des Forderungskatalogs. Das jüngste Urteil des Europäischen Gerichtshofs aus dem Jahr 2024 hat allerdings auch für die von der Union nun vorgesehene massenhafte Vorratsdatenspeicherung von IP-Adressen und Port-Nummern klare Begrenzungen eingebaut, die vor allem einer Profilierung des Surfverhaltens vorbeugen sollen.

Aber mit juristischen Feinheiten hält sich die Union in dem Antrag nicht auf. Stattdessen holzt sie gegen das Grundrecht auf informationelle Selbstbestimmung, das der anlasslosen Massenüberwachung im Weg stehe. Das alte Feindbild Datenschutz wird wieder bemüht: „Datenschutz darf nicht Täterschutz sein“.

Um die Inhalte der mannigfaltigen polizeilichen Datenbanken zusammenzuführen, drängt die Union schon länger auf ein spezielles Produkt von Palantir. Der riesige Überwachungskonzern, öffentlich wenig auskunftsfreudig und bisher ein kaum bekanntes Phantom, soll diese Software liefern.

Im Amtsdeutsch heißt das Palantir-Produkt „Bundes-VeRA“ und soll nach dem Willen der Union künftig vom Bundeskriminalamt und von der Bundespolizei genutzt werden. Auch Massendaten von Unbescholtenen wie etwa bei der Funkzellenabfrage, die von der Union ebenfalls wiederhergestellt werden soll, lassen sich damit auf Knopfdruck verarbeiten.

Mehr Gesichtserkennung und mehr Staatstrojaner

Die Union fordert außerdem eine Ausweitung der automatisierten Gesichtserkennung, bei der massenhaft die Gesichter Unbescholtener gescannt und analysiert würden. Die Maßnahme war schon Teil des sogenannten „Sicherheitspaketes“ der Ampel-Koalition, war vom Bundesrat aber abgelehnt worden. Jetzt soll das automatisierte Auswerten der menschlichen Körperdaten ausgeweitet werden, auch „in Echtzeit“.

Zudem kann die Union auch vom Staatstrojaner nicht lassen: Trotz der hinlänglich bekannten Gefahren für die Sicherheit möchte die Union die staatliche Nutzung dieser Spionagewerkzeuge ausbauen. Das betrifft nach dem Wortlaut des Antrags beide Arten des staatlichen Hackens, die sich technisch kaum unterscheiden, da sie nach dem Infiltrieren des Geräts Zugriff auf die Daten darauf nehmen: die „Online-Durchsuchung“ und auch die „Quellen-TKÜ“.

Dass bereits jetzt in Deutschland geltendes Recht ist, dass Staatstrojaner bei zahlreichen Straftaten genutzt werden dürfen, genügt der Union offenbar nicht. Sie möchte gern „wirksame und praktikable Kompetenzen“ schaffen. Da es in deutschen Behörden an diesen Kompetenzen mangelt, kann das nur heißen: Die Union möchte sich beim nach wie vor prosperierenden Markt von Staatstrojaner-Anbietern bedienen und ihn mit Steuergeldern päppeln.

Staatshacker Wir berichten seit mehr als sechzehn Jahren über Staatstrojaner. Unterstütze uns!

Jetzt Spenden

Geheimdienst-Aufwuchs

Auch bei den Geheimdienste plant die Union einen Aufwuchs: Deren Befugnisse müssten „verbessert und ausgeweitet werden“, was praktisch vor allem noch mehr Geld und mehr Personal bedeuten dürfte, da bestehende Befugnisse zur heimlichen, auch massenhaften Überwachung bereits sehr weitgehend sind. Die heute schon üppige technische Ausstattung würde weiter wachsen. Zudem sollen nach den Unionsplänen „unverhältnismäßige rechtliche Auflagen zurückgeführt werden“, also die wenigen bestehenden Einschränkungen auch noch fallen.

Die wenigen Abgeordneten des Bundestags, die in Überwachungsfragen der Geheimdienste Einblick bekommen, sollte das beunruhigen. Denn die Kontrolle durch das Parlament ist schon heute unterentwickelt und kaum praktikabel. Parlamentarische Untersuchungsausschüsse des Bundestags, die wegen Geheimdienstskandalen immer wieder bemüht werden mussten, haben gezeigt: Das Stochern im Nebel hat System. Wenn nun noch mehr Auflagen „zurückgeführt werden“, läuft die Geheimdienstkontrolle ins Leere.

Geheimdienste raus aus dem Schatten

Das Bild einer Zukunft unter Kanzler Merz

Die lange Liste führt Forderungen nach mehr Überwachung aus den Wahlprogramm zusammen, die von der Union teilweise seit Jahren erhoben und vielfach vor Höchstgerichten behandelt und abgewiesen wurden. In der Zusammenschau ergibt sich das Bild einer Zukunft, in der technisierte massenhafte Überwachung allgegenwärtig wird.

Doch gerade die Möglichkeit einer Zusammenschau will die Union aktiv verhindern: Eine Überwachungsgesamtrechnung soll „umgehend“ aufgegeben werden, obwohl sie noch nicht einmal vorliegt, sondern erst geplant war. Eine solche Bestandsaufnahme von Überwachungsbefugnissen sollte künftigen Gesetzgebern bei der Bewertung neuer Vorhaben helfen und durch eine Freiheitskommission aus unabhängigen Experten unterstützt werden. Unter einem Kanzler Friedrich Merz wäre das undenkbar.

Parlamentarisch ist der Überwachungskatalog übrigens kaum praktikabel, da der Bundestag vor der Neuwahl nur noch begrenzt handlungsfähig ist. Das Parlament müsste ein beschleunigtes Verfahren bejahen, um die Ideen der Union im Schnelldurchgang und ohne eine Befassung durch die Ausschüsse durchzusetzen. Dafür jedoch ist eine Zweidrittelmehrheit nötig, die kaum wahrscheinlich ist.

Es ist Wahlkampfgetöse der Union. Doch das Getöse macht überdeutlich, wohin die Reise gehen wird, wenn sie die Kanzlerschaft erringt.

Kategorien: Externe Ticker

mSpy-Leak: So stoppt man Spionage-Apps

27. Januar 2025 - 5:00

Mit Überwachungs-Programmen wie mSpy können Privatpersonen einander ausspionieren. Wir erklären, wie man solche Angriffe aufdecken und abwehren kann.

Selbst gut versteckte Spionage-Apps lassen sich mit ein paar Tricks finden. – Public Domain Midjourney

Viele Spionage-App-Anbieter versprechen, dass ihre Programme nicht gefunden werden können. So soll es möglich sein, andere ohne deren Wissen auszuspähen. Die Anbieter werben damit, dass man mit ihren Produkten fremde Telefone orten kann. Dass man Nachrichten und Kalender einsehen und teilweise sogar aus der Ferne auf Mikrofon und Kamera zugreifen kann.

„Sie bleiben unsichtbar. Es gibt kein App-Symbol, das sie (die Opfer, Anm. d. Red.) sehen können, so dass sie nicht wissen, dass Sie die App verwenden.“ So wirbt die App mSpy, offiziell ein Kinderüberwachungswerkzeug, auf ihrer Website. Tatsächlich wird sie häufig auch zur Kontrolle von Partner*innen benutzt.

Eva-Maria Maier hat sich für eine Forschungsarbeit an der österreichischen Fachhochschule St. Pölten Apps heruntergeladen, die sich als Kinderüberwachungssoftware ausgeben. Von 20 Apps, die nicht in offiziellen App-Stores erhältlich waren, versuchten 17 ihre Installation zu verschleiern, indem sie unverfängliche Icons und Tarnnamen benutzten und zum Teil schwerer für den User zu finden waren. „Vielen ist nicht bewusst, wie einfach das theoretisch ist, andere mit solchen Apps zu überwachen“, sagt Maier.

Vom Partner verwanzt

In Zukunft werde das Problem eher noch größer, so Maier. Bislang war die Installation von Spionage-Apps auf Apple-Geräten ein komplexer Prozess, der erforderte, das Betriebssystem zu modifizieren. Seit vergangenem Jahr aber müssen aktuelle Apple-Betriebssysteme auch die Installation von Apps erlauben, die nicht aus dem eigenen App Store stammen. „Das könnte den Markt nochmal zum Aufblühen bringen“, sagt Maier.

Erst Risiko prüfen

Doch es ist möglich, Spionage-Apps auf dem Handy zu erkennen. Zudem gibt es Wege, deren Installation von vornherein zu verhindern. Und den Zugriff solcher Apps auf die Daten eines Telefons zu stoppen, ist sogar ganz leicht.

Doch bevor man technische Maßnahmen ergreift, sollte erst ein anderer Schritt kommen. Bei Verdacht von Cyberstalking, so Cordelia Moore, Beraterin für Digitale Gewalt, ist es zunächst wichtig, eine Risikoanalyse zu machen: „also einzuschätzen, ob es ein Risiko gibt, dass die Gewalt eskaliert.“ Andernfalls könnte zum Beispiel die überwachende Person die Deinstallation einer Überwachungsapp bemerken und darauf mit erweiterter Gewaltanwendung reagieren.

In solchen Bedrohungslagen sollte man über ein sicheres Gerät eine Beratungsstelle kontaktieren und mit dieser die nächsten Schritte planen, rät Moore. Dort könne man zum Beispiel entscheiden, ob man die Spionage-App loswerden oder lieber als Beweismittel der Polizei zukommen lassen will.

So entdeckt man Spyware auf dem Telefon

Dass man überwacht werde, sagt Eva-Maria Maier, die die Apps auf einem Testgerät installierte, merke man zum Beispiel am höheren Datenverbrauch und der schnelleren Akkuleerung. Doch laut der Coalition Against Stalkerware gibt es auch Apps, die ohne diese offensichtlichen Nebenwirkungen laufen.

Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen empfiehlt, bei einem Android-Gerät in den Datenschutzeinstellungen zu prüfen, welche Apps welche Berechtigungen haben, zum Beispiel Zugriff auf Kamera oder Mikrofon. Besonders interessant seien dabei die Accessibility Services oder deutsch: Barrierefreiheitseinstellungen.

Sie sind eigentlich dazu gedacht, Menschen mit Behinderungen zu unterstützen. Apps können damit zum Beispiel Text aus anderen Apps vorlesen, falls man nicht oder schlecht sehen kann. „Das wird von Stalkerware missbraucht, um Nachrichten an die Überwacher zu schicken“, sagt Besendorf.

Bei der Prüfung, welche Apps die Berechtigung haben, „muss man vorsichtig sein, weil die App normalerweise nicht Stalkerware oder Überwachungsprogramm heißt“, so Besendorf. Im Zweifelsfall solle man jeder App, die nicht aktiv für Barrierefreiheit genutzt wird, diese Berechtigung entziehen.

Kundenservice gibt Tipps für Straftaten

Manipulation erkennen via Banking-App

Neben dem Zugriff über die Barrierefreiheitseinstellungen gibt es für Spionage-Apps weitere Wege, persönliche Daten zu erhalten. Der weitreichendste wird auf iOS Jailbreak und auf Android Rooten genannt. Dabei erhält das Telefon eine Konfiguration, mit der sich ein Angreifer erweiterte Rechte auf dem Gerät verschaffen kann.

Ob das eigene Gerät betroffen ist, findet man laut Besendorf heraus, indem man eine Banking-App installiert und benutzt. „Die stellt den Betrieb ein, wenn das Telefon gejailbreakt oder gerootet wurde“, sagt er. Für Android-Geräte sei auch die App Root Checker zu diesem Zweck einsetzbar.

Bei iPhones mit dem aktuellen Betriebssystem ist laut Besendorf ein Jailbreak nicht möglich. Ein Update würde die Installation einer Spionage-App entsprechend verhindern. Wer befürchtet, dass ein älteres iPhone infiziert ist, könne das Gerät, wie auch bei Android, auf Werkseinstellung zurücksetzen. „Dann ist alles so wie du es gekauft hast“, sagt Besendorf. Spionage-Apps, die ohne Manipulation des Betriebssystems auskommen, lassen sich laut Besendorf wie jede andere App deinstallieren – sobald man herausgefunden hat, unter welchem Namen sie sich verstecken.

„Wer das Passwort kennt, kann das Gerät manipulieren“

Auf iOS-Geräten bleibt Überwacher:innen eine weitere Möglichkeit für den Zugriff. Wenn die spionierende Person das iCloud-Passwort des Opfers kennt, kann sie einer Spionage-App erlauben, sich in deren Cloud anzumelden. Die App kann dann Standort, Bilder, Videos und eventuell sogar Chatnachrichten mit eigenen Servern synchronisieren.

„Das auszuschließen ist ganz einfach“, sagt Besendorf. Dafür müsse man in den Einstellungen des Apple-Accounts die verknüpften Geräte überprüfen. „Wenn das ausschließlich deine Geräte sind, bist du auf der sicheren Seite.“ Wer besonders sichergehen will, kann zusätzlich in den iCloud-Einstellungen „Über das Internet auf iCloud-Daten zugreifen“ deaktivieren.

„Grundsätzlich sollte man sein Gerät nicht aus der Hand geben und auch nicht in der Familie oder der Partnerschaft die PIN-Codes oder Entsperrmuster teilen. Wenn man sein Gerät einer Person überlässt, die das Passwort kennt, kann die das Telefon manipulieren“, sagt Besendorf. Außerdem solle man darauf achten, dass man Geräte nutzt, die noch Sicherheitsupdates erhalten.

Wie eine Spionage-App Kund:innen abzockt

Mit Software nach Spionage-Apps suchen

Es gibt neben diesen Hausmitteln auch eine ganze Reihe von Software-Instrumenten zur Bekämpfung von Spionagesoftware. Das vom Amnesty International Security Lab entwickelte Mobile Verification Toolkit findet nicht nur Spionage-Apps, sondern auch Spuren längst gelöschter Staatstrojaner.

Die französische NGO Echap sammelt in einem Verzeichnis Indikatoren für eine Infektion mit einer von 168 verschiedenen Spionage-Apps, Entwickler:innen können es für die Konstruktion von Detektoren nutzen.

Auf dem Verzeichnis basiert etwa das Projekt spytrap-wifi eines Teams um die Beraterin Cordelia Moore. Die Hotspot-Anwendung durchsucht den Datenstrom gekoppelter Geräte nach Kommunikation mit Stalkerware-Servern. Ein weiteres Tool desselben Entwicklerteams, spytrap-adb, scannt die Software auf einem Telefon nach bekannten Spionage-Apps und sucht nach verdächtigen Berechtigungen.

Als Analyse-Hotspot funktioniert ebenfalls das von Kaspersky-Entwickler:innen geschriebene Open-Source-Programm TinyCheck für den Raspberry Pi. Kaspersky wird aufgrund seiner Herkunft aus Russland kritisiert, doch das Programm liefert laut Janik Besendorf gute Ergebnisse.

Beratungsstellen zu digitaler Gewalt

Inga Pötings Organisation Ein Team gegen digitale Gewalt berät unter anderem Frauenhausmitarbeiterinnen in digitaler Selbstverteidigung. Das Team hat gute Erfahrungen mit der App G DATA Mobile Security Light gemacht. „mSpy wurde damit in unserem Test verlässlich gefunden. Das Problem ist natürlich immer: Wenn das Programm Apps noch nicht kennt, findet es sie vielleicht nicht“, sagt Pöting.

Überwachungswillige könnten auch das heimische WLAN manipulieren und darüber Daten ableiten, sagt Cordelia Moore. Dagegen hilft die Verwendung eines vertrauenswürdigen VPN oder die Einstellung Private DNS in Android oder Private Relay in iOS.

Weitere Anleitungen zur Verteidigung gegen Cyberstalking bieten die Haecksen, Hacker*innen aus dem Umfeld des Chaos Computer Clubs. Auf Englisch gibt es Informationen der Clinic to End Tech Abuse. Der Bundesverband Frauenberatungsstellen und Frauennotrufe hat auch ein Team, das zu digitaler Gewalt arbeitet. Auf der Website www.aktiv-gegen-digitale-Gewalt.de gibt es eine Suchmaske, in der Betroffene die nächste Beratungsstelle zum Thema digitale Gewalt finden können.

Wie man Spionage-Software erkennt, beschreibt auch die Schweizer Hackerin Maia Arson Crimew. Hilfe für Opfer von Gewalt bietet der Weisse Ring. Fragen zur IT-Security können auf CryptoPartys beantwortet werden. Mehr Tipps zur digitalen Selbstverteidigung bieten wir hier.

Kategorien: Externe Ticker

mSpy-Leak: Wie eine Spionage-App Kund:innen abzockt

27. Januar 2025 - 5:00

Mit mSpy soll man fremde Handys rundum überwachen können. Das Unternehmen ermöglicht damit nicht nur Straftaten – es zieht auch Menschen über den Tisch. Oft hält die Spionage-App nicht, was sie verspricht.

Achtung: die Nutzung von mSpy kann schlechte Laune produzieren. – Public Domain Midjourney

Sie sind jetzt auf dem Weg, genau die Antworten zu finden, die Sie suchen. Wir glauben, dass Sie lieben werden, was Sie mit mSpy tun können.

Das schreibt der Kundenservice der Spionage-App mSpy einer Person, die gerade eine Lizenz erworben hat.

Die App kann laut mSpy-Website Bildschirmfotos machen, Standorte tracken, sogar Tastenanschläge protokollieren. Mit ihr soll man Social-Media-Nachrichten mitlesen können, auch gelöschte, außerdem Browserverlauf, Kontakte, Kalender, Fotos, Videos, die Anrufliste sowie die Liste installierter Apps einsehen können. Kund:innen sollen aus der Ferne Websites und Apps blockieren, sowie das Mikrofon und die Kamera aktivieren können.

41,99 Euro kostet die Nutzung laut Website für einen Monat. Bei zwölf Monaten sollen es nur noch 9,92 Euro monatlich sein. Ein vergleichsweise günstiger Preis für die vermeintlich volle Einsicht in das digitale Leben einer anderen Person.

Eltern sollen mit mSpy ihren Nachwuchs überwachen. Das ist die vordergründige Botschaft auf der Website der App. Tatsächlich nutzen viele mSpy aus anderen Gründen – etwa um heimlich und damit illegal Partner:innen auszuspähen.

Nutzer:innen wollen ihr Geld zurück

Viele Nutzer:innen sind mit dem Leistungsumfang äußerst unzufrieden. Das zeigen geleakte Nachrichten an den Kundenservice von mSpy, die netzpolitik.org und der SWR ausgewertet haben.

Einen großen Teil der Nachrichten schrieben Nutzer:innen, die ihr Geld zurückfordern. Die App halte nicht, was sie verspricht, heißt es oft. Laut der mSpy-Website sollte eine Rückerstattung kein Problem sein. Dort steht, mSpy gewähre 14 Tage Rückerstattungsgarantie.

In den Nachrichten fanden wir keinen Fall, in dem mSpy Geld zurückerstattete. Als größtes Entgegenkommen bot der Support an, die Lizenz zu pausieren, bis Kund:innen die App-Probleme gelöst hatten. Es ist allerdings möglich, dass mSpy Geld erstattet hat, ohne zu antworten, oder dass Kund:innen mit der Rechnungsabteilung eine Erstattung ausgehandelt haben.

Wir haben mSpy und die Firmen, die möglicherweise dahinterstehen, um eine Stellungnahme gebeten zu den Vorwürfen, die im Laufe der Recherche zutage traten. Wir erhielten keine Antwort.

Kundenservice gibt Tipps für Straftaten

Eine weitere verbreitete Beschwerde von Nutzer:innen, die den Support kontaktieren, betrifft die Voraussetzungen für die App-Nutzung. Viele schreiben, dass sie die App gar nicht erst zum Laufen bekommen. Sie haben keinen Zugriff auf das Gerät oder kennen das erforderliche Passwort nicht.

Dass beides notwendig ist, um mSpy auf einem fremden Mobiltelefon zu installieren, erwähnt mSpy auf seiner Website. Viele Kund*innen übersehen dies aber offenbar. Bis sie verstehen, dass sie mSpy nicht wie erwünscht einsetzen können, hängen sie oft schon in den Abos fest.

Versteckt im Kleingedruckten

Viele Nutzer:innen klagen über wiederholte Kreditkartenabbuchungen, obwohl sie das Abo sofort gekündigt oder nur für einen Monat abgeschlossen hätten. Einige berichten, die Beträge seien höher als angekündigt.

Im Buchungsprozess von mSpy steht unter der Auswahl der Abo-Dauer ein kaum sichtbarer Hinweis in grauer Schrift: „Der Preis ist rabattiert. Ab der nächsten Abonnementverlängerung berechnen wir den vollen Preis.“ Laut der untersuchten Nachrichten ist die automatische Verlängerung offenbar voreingestellt.

Im Datensatz fanden wir auch mehrere Anfragen von Ermittlungsbehörden aus Deutschland, die Kreditkartenbetrug und falsche Abbuchungen untersuchen. Sie ermitteln gegen Unbekannte, die mit den Kreditkarten der Betroffenen Abos für mSpy bezahlt haben sollen. Unternehmen müssen in solchen Fällen den Behörden Auskunft geben.

mSpy antwortet mit einem standardisierten Textblock, den auch unzufriedene Kund:innen erhalten: „Lieber Kunde, Danke für Ihre Rückmeldung. Bitte senden Sie uns einen Screenshot der Zahlung, auf dem die Erläuterungen sowie das Datum und der Betrag, der Ihnen in Rechnung gestellt wurde, angezeigt werden.“

Vom Partner verwanzt

„Der letzte Scheiß, ganz miserabel“

Manuel* fällt uns im mSpy-Datensatz auf, weil er bemängelt, dass der Zugriff auf WhatsApp gar nicht und auf die Foto-Galerie nur eingeschränkt möglich sei.

Manuel hatte mSpy etwa ein Jahr lang auf seinem Smartphone. Er wurde von seiner damaligen Partnerin überwacht – allerdings mit seinem Einverständnis. Unter den Fällen von Partnerüberwachung, die wir während der Recherche fanden, ein Ausnahmefall. „Meine damalige Partnerin hat dann auf ihrem Telefon geguckt, was ich mache und mir gelegentlich auch mal eine App gesperrt. Das war eine spezielle Beziehung“, sagt der Mittfünfziger. Sie sei dominant, er devot. Die Partnerin habe sich die Überwachung gewünscht.

Die App habe nie wie erhofft funktioniert. „Der letzte Scheiß, ganz miserabel“, sagt Manuel heute. Ständig habe sich das Telefon aufgehängt. Die Einrichtung auf seinem Galaxy s10 sei nur mit kostenpflichtiger Unterstützung von mSpy möglich gewesen.

Zuerst buchten er und seine Partnerin das „Basispaket“. Dann merkten sie, was alles nicht funktionierte, und zahlten nochmal drauf, um auch Mikrofon und Kamera aus der Ferne steuern zu können. Dafür braucht man laut Website das erweiterte Abonnement „Extreme“. Doch selbst damit blieb der Funktionsumfang stets begrenzt. Über 500 Euro habe Manuel in dem Jahr der Überwachung insgesamt für die App ausgegeben.

Mutmaßlich meistverkauft

mSpy wirbt mit unbelegten Behauptungen. Auf der Startseite steht „Wahl Nr. 1 in Deutschland*“. Das Land, in dem mSpy angeblich die meistverkaufte Spy-App sei, ändert sich, je nachdem, von wo man die Seite aufruft. Ganz unten auf der Seite, steht in kleiner, blasser Schrift dann noch: „*Die Aussage „Wahl Nr. 1 in Deutschland“ beruht ausschließlich auf unserer subjektiven Meinung und ist nicht durch Marktforschung untermauert.“

„87 Prozent unserer Kunden sind vollkommen zufrieden“ schreibt mSpy auf der Website. Auf der Rezensionsplattform Trustpilot sieht das anders aus. Dort erhält die App im Schnitt drei von fünf Sternen.

Rund ein Drittel der Nutzer:innen ist absolut unzufrieden und gibt einen Stern. Weniger geht nicht. Die Bewertungen tragen Titel wie: „Sie werden dich scammen!“ oder „Unter allen Umständen vermeiden“. Rezensionen mit zwei bis vier Sternen gibt es kaum, dafür 62 Prozent Fünf-Sterne-Bewertungen. In vielen davon werden mSpy-Supportmitarbeiter:innen namentlich gelobt. Das Fehlen von ausgewogenen Bewertungen kann auf ein schlechtes Produkt hinweisen, das sich gute Bewertungen einkauft.

„Das ist nur Abzocke“

Dimitri* ist Mitte 40 und hat im Mai 2024 eine Spionage-App heruntergeladen, die ebenfalls vom mSpy-Kundenservice betreut wird: Eyezy. Er wollte das Smartphone seines Teenagers überwachen. „Damit der sich nicht Pornographie anschaut oder mit Drogen beschäftigt.“ Drei Monate lang habe Dimitri jeden Monat rund 50 Euro gezahlt, obwohl die App nie auch nur ansatzweise nutzbar gewesen sei, erzählt er am Telefon.

„Die Firma ist total unseriös. Das ist nur Abzocke. Die buchen das einfach von der Karte ab, aber die App funktioniert überhaupt nicht. Die wird automatisch von Android blockiert und ist völlig unbrauchbar“, sagt Dimitri. Nach dem Ausfall forderte er sein Geld zurück, der Support habe aber nie darauf geantwortet. Seinem Sohn habe er dann ein Handy ohne Spyware gegeben.

Versprochene Funktionen nur mit Jailbreak

Kolleginnen von SWR Data installierten mSpy zu Testzwecken auf einem Android-Telefon. Die ersten Schwierigkeiten traten schon beim Bestellprozess auf: Eine kostenpflichtige Installationsunterstützung ließ sich nur mit Mühe abwählen. Bei der installierten App haben dann die Bildschirmaufnahmen nicht funktioniert und auch der Zugriff auf Kamera und Mikrofon blieb verwehrt, obwohl SWR Data dafür ein teures Zusatzangebot gebucht hatte.

120 Euro für drei Monate kostete das Abo, mit Rabattcode. Eine kürzere Laufzeit war nicht wählbar. Zur Kündigung waren zwölf Arbeitsschritte nötig, darunter der Upload einer bestimmten Datei, die Auswahl aus sieben kryptischen Themengebieten, von denen keines Kündigung heißt, und die Bestätigung mit einem Code.

So stoppt man Spionage-Apps

Viktor Schlüter berät am Digital Security Lab von Reporter ohne Grenzen Journalist:innen zur Sicherheit von Geräten. Er sagt, dass eine App mit dem versprochenen enormen Funktionsumfang von mSpy auf einem gewöhnlichen Mobiltelefon nicht laufen kann. Die „Hausregeln“ der Betriebssysteme würden solch tiefgreifende Eingriffe in die Privatsphäre unmöglich machen.

Um die umfassenden Überwachungsmöglichkeiten zu nutzen, müsse man das Betriebssystem rooten oder jailbreaken, also so verändern, dass die Hausregeln außer Kraft gesetzt werden. Eine solche Manipulation des Betriebssystems ließe sich für Betroffene leicht feststellen, so Schlüter, damit sei die App nicht unsichtbar, wie auf der Website des Anbieters versprochen.

„Ein Schrottprogramm“

Inga Pöting leitet Ein Team gegen digitale Gewalt, eine Gruppe von Freiberufler:innen, die Frauenhäuser und Beratungsstellen technisch unterstützt. Das Team hat ebenfalls zu Testzwecken eine mSpy-Lizenz gekauft und die Software ausprobiert. „Das Ding ist ein Schrottprogramm, das wahnsinnig hakelig läuft“, sagt Pöting.

Die Synchronisation der Standortdaten mit den Servern von mSpy habe mitunter einen halben Tag gedauert, berichtet Pöting. „Dann ist die Person aber glücklicherweise schon ganz woanders“, sagt sie.

Auf Android-Geräten seien viele Funktionen nur verfügbar, wenn das Gerät gerootet ist. Der Prozess des Rootens sei allerdings so kompliziert, dass Menschen ohne Programmierkenntnisse das nicht hinbekämen.

Dafür braucht man kein mSpy

Und der Jailbreak auf älteren Apple-Geräten verschwinde, sobald das Gerät neu gestartet würde. Für die Alternative, den Zugang über die iCloud, brauche man kein mSpy. Wer diese Zugangsdaten kennt, kann sich auch einfach so in die Cloud einloggen und im dort gespeicherten Backup Daten wie das Adressbuch und den Standort sehen.

Das Versprechen von mSpy, auf Messenger und Apps wie WhatsApp, Snapchat und Tinder zugreifen zu können, habe sich in den Tests als Unfug erwiesen, sagt Pöting. „Technisch hat das gar keinen Zugriff auf diese anderen Apps.“ Nur mit Hilfe von Aufnahmen, die mSpy vom Bildschirm des betroffenen Gerätes mache, würde man mit Glück Ausschnitte aus den Nachrichten sehen.

Teils habe mSpy auch mit einer systeminternen Funktion die Inhalte des Bildschirms geteilt. In solchen Fällen sei auf dem Telefon aber ein gut sichtbarer Hinweis zu sehen gewesen, dass der Bildschirm an eine andere Stelle gesendet wird. Drückte die betroffene Person auf einen Stopp-Button, endete die Übertragung. Erst nach einer Neuinstallation von mSpy lief die Spionage dann wieder.

„Der Markt ist anfällig für Scams“

Eva-Maria Maier hat mSpy und andere Überwachungsapps für Android in einer Studie an der österreichischen Fachhochschule St. Pölten getestet. Sie sagt: „Da die Apps nur selten aktualisiert werden und teilweise schlecht programmiert sind, ist es möglich, dass je nach Handymodell oder Android-Version Dinge nicht funktionieren. Eine Rückerstattung bekommt man aber in der Regel nicht.“

Manchmal sei der Funktionsumfang sogar gleich null gewesen. „Der Markt ist sehr anfällig für Scams, die nur dein Geld kassieren“, sagt Maier. Das wisse wohl auch ihre Bank, die für fragwürdige Services eine „Grey-List“ führt. Mehrfach seien beim Versuch, die Apps zu bezahlen, Zahlungen verweigert worden.

Diese Recherche entstand in Kooperation mit dem SWR. Mitarbeit bei der Datenauswertung: Matthias Mehldau. Mit * markierte Namen haben wir geändert.

Kategorien: Externe Ticker

mSpy-Leak: Kundenservice gibt Tipps für Straftaten

27. Januar 2025 - 5:00

Die Spionage-App mSpy vermarktet sich als Werkzeug für besorgte Eltern. Aber geleakte Nachrichten belegen: Kund:innen, die ihre Partner:innen illegal überwachen wollen, bekommen nicht Ärger, sondern Ratschläge. Die Profiteure verstecken sich hinter einem Netz aus Tarnfirmen.

Der mSpy-Kundendienst unterstützt engagiert bei der Überwachung. – Public Domain Midjourney

ICH MÖCHTE DEN AACOUNT MEINER Freundin HACKEN

Das schreibt ein Interessent. Ein Mitarbeiter antwortet nur wenige Sekunden später:

Werden wir machen. Folgen Sie einfach meinen Anweisungen.

Die Chat-Nachrichten sind Teil eines geleakten Datensatzes aus dem Kundenservice der Spionage-App mSpy. netzpolitik.org und SWR haben ihn untersucht und darin zahlreiche Beispiele von Menschen gefunden, die heimlich und damit illegal ihre Partner:innen überwachen wollen. Und der Kundenservice hilft engagiert dabei.

Zugriff auf Anrufe, E-Mails, Chats, Kontakte, Kalender, Bilder, Videos, die Browser-Historie, den Standort, dazu Fernsteuerung von Kamera und Mikrofon – all das verspricht mSpy Kund:innen, die mit der Spionage-App ein Smartphone überwachen wollen. Ein paar Minuten alleine mit dem Handy reichen aus, um die App zu installieren.

Eine App zur Kinderüberwachung?

mSpy vermarktet sich heute als App für Eltern, die wissen wollen, was ihr Kind auf WhatsApp macht oder ob es sicher in der Schule angekommen ist. Anfangs richtete sich mSpy jedoch noch offen an eifersüchtige Partner:innen.

„Entdecken Sie, ob Ihr Lebensgefährte Sie betrügt“, hieß es 2012 auf der Webseite zu den möglichen Einsatzgebieten, und: „Finden Sie ein für alle Mal heraus, ob Ihr Verdacht begründet ist, indem Sie mSpy auf dem Mobiltelefon Ihres Partners installieren.“

Dabei ist dieses Ausspionieren erwachsener Personen nach deutschem Recht illegal, wenn es heimlich und ohne die Zustimmung der überwachten Person erfolgt. Rufen Unternehmen öffentlich zu Straftaten auf, sind auch polizeiliche Ermittlungen etwa gegen deren Geschäftsführer:innen möglich.

Spätestens seit 2014 ist auf der Webseite kein Hinweis mehr auf Ausspähen in Partnerschaften zu lesen. Sicherheitsforscher:innen des kanadischen Citizen Lab hatten 2019 jedoch entdeckt, dass mSpy einen Textblock im HTML-Code seiner Seite versteckt hatte. Der Text war im Browser nicht sichtbar, konnte aber von Suchmaschinen gefunden werden. Darin warb die Spionage-App: „Obwohl dieser Tracker für Eltern entwickelt wurde, die ihre rebellischen Teenager kontrollieren wollen, kann er auch von Ehepartnern verwendet werden, die ihre Partner ausspionieren wollen.“

Vom Partner verwanzt

Technologie zur verdeckten Spionage

Eva-Maria Maier hat als Teil der Forschungsgruppe „Gender and Tech“ mehrere Spionage-Apps technisch untersucht und auch Marketinganalysen durchgeführt. Sie fand heraus, dass nach mSpy mehrere Hersteller für kommerzielle Spionage-Apps ihre Marketingbotschaft neu ausrichteten. Hin zu: Wir sind eine App für Kindersicherheit und zur Überwachung von Mitarbeiter:innen.

Laut Maier ist das ein Ablenkungsmanöver. Tatsächliche Apps für Eltern hätten häufig bestimmte Features wie einen Panik-Knopf, den das Kind im Notfall drücken kann, oder digitale Stundenpläne. Gäbe es so etwas nicht, „ist das ein Indiz, dass Eltern eigentlich nicht die Zielgruppe sind“.

Gegenüber Menschen, die ihre E-Mail-Adresse bei mSpy hinterlassen, wirbt mSpy auch heute noch ganz offen für den Einsatz aus Eifersucht, der wohl kaum offen, also legal ablaufen wird. In einer Mail von Mitte Januar heißt es: „Finde heraus, ob sie dir das Herz brechen…“ Und weiter: „Etwa 20 % der Ehepaare gehen fremd. Und während sich das Fremdgehen gestern noch auf billige Motels beschränkte, geschieht es heute digital, direkt am Telefon.“

Der Kundenservice hilft beim Ausspähen

Die Nachrichten an den Kundenservice von mSpy, die netzpolitik.org gemeinsam mit dem SWR ausgewertet hat, zeigen: Den Mitarbeiter:innen ist durchaus bewusst, wer das Produkt einsetzt und dass es dabei auch um strafbare Handlungen geht. Mehr noch: Sie unterstützen die Kund:innen aktiv bei ihren Straftaten.

ich möchte gerne heimlich die whats App Nachrichten meiner freundin mit lesen ohne dass sie was davon weiß.

schreibt ein Interessent. Der Kundendienst verweist auf die Lizenzvereinbarung, in der steht, das dürfe nur mit Zustimmung der überwachten Person passieren. Und schreibt dann:

Sie können die Apple ID und das Passwort des Ziel-iCloud-Kontos für die Fernüberwachung verwenden.

Im deutschsprachigen Teil des Datensatzes haben wir mit Hilfe von Suchbegriffen wie „Freundin“ oder „Ehefrau“ viele solche Konversationen mit Kund:innen oder Interessent:innen gefunden.

„Ich schicke dir 1000000 Rosen, Babe!“

Ein Kunde schreibt, er wolle das Handy seiner Ehefrau überwachen. Zwei Stunden später bekommt er Zugangsdaten zur App geschickt, dazu die Aufforderung: „Schnappen Sie sich das Telefon, das Sie überwachen möchten.“

Ein anderer Kunde beschwert sich, die Datenverbindung zu einem überwachten Handy sei abgebrochen. Der Kundenservice fordert ihn auf, eine SMS an das Telefon zu senden, um die Verbindung wieder herzustellen. „Die Nachricht sollte diese Symbole enthalten: 1000000.“ Und gibt dann den Tipp: „Sie können sie auch innerhalb einer SMS senden (z. B. „Ich schicke dir 1000000 Rosen, Babe!“).“ Eine Nachricht, die wohl kaum jemand an sein Kind schicken würde.

Auch dem Rechercheteam boten Service-Mitarbeiter:innen ihre Hilfe bei der heimlichen Überwachung einer fiktiven Ehefrau an.

Die Inszenierung von mSpy als App für besorgte Eltern scheint als Fassade zu dienen. Die Mitarbeiter:innen im Kundenservice verweisen routiniert mit Textbausteinen auf die Nutzungsbedingungen. Anschließend unterstützen sie bereitwillig beim Ausspähen – selbst wenn Kund:innen klar sagen, dass sie heimlich Partner:innen überwachen wollen.

Ein verzweigtes Firmennetz

Wer etwas über die Firmen hinter mSpy herausfinden will, steht vor einem undurchsichtigen Netzwerk. Die Website verweist auf eine Firma namens Altercon Group in Tschechien. Die Adresse führt zu einem Mietbüro-Komplex in Prag. Doch der Datensatz, den netzpolitik.org gemeinsam mit dem SWR analysiert hat, zeigt in eine andere Richtung: eine IT-Firma namens Brainstack mit Sitz in der Ukraine.

In den Daten finden sich mehrere Personen mit Brainstack-E-Mail-Adressen. Sie betreuen unter Decknamen die Kund:innen von mSpy, beantworten Fragen oder bearbeiten Abo-Kündigungen.

Im Portfolio von Brainstack: „Lifestyle-Apps“, „Crypto & Blockchain“ und „Parental Control“. Einen Verweis auf mSpy findet man hier nicht. Dafür viele Bilder von jungen Menschen in Freizeitkleidung, in einem Großraumbüro, das auch nach Berlin oder Brooklyn passen würde.

Eine Holding in den Emiraten

Als Inhaber von mSpy tritt öffentlich ein anderes Unternehmen auf: Virtuoso Holding, vor kurzem registriert in den Arabischen Emiraten. Neben mSpy führt die Holding noch die App Detectico im Portfolio, mit der man angeblich Telefone anhand ihrer Nummer lokalisieren kann. Auch diese App taucht im Datensatz auf. Die Brainstack-Mitarbeiter:innen im Kundenservice betreuen offenbar mSpy und Detectico, außerdem die Spionage-Apps Eyezy, mLite und Scannero.io.

Laut Unterlagen im US-Patentamt hält Virtuoso die Rechte an der Marke und dem Logo von mSpy. Der vorherige Eigentümer Bitex Group übertrug sie im Juli 2023 an die Holding. Vergangenes Jahr hat die Holding außerdem eine Beschwerde gegen einen italienischen Nachahmer von mSpy eingelegt – und bekam daraufhin dessen Domain mspyitaly.com zugesprochen.

Gründerin und Geschäftsführerin von Virtuoso Holding ist Viktoriia Adamchuk. Ende 2024 wird sie in mehreren Blog-Einträgen als neue Eigentümerin von mSpy genannt. Tatsächlich arbeitet die angebliche Firmenchefin als Zahnärztin in Luzk in der Westukraine. Am Telefon gibt sie sich zunächst freundlich, doch als eine SWR-Reporterin nach der Virtuoso Holding und mSpy fragt, sagt Adamchuk, dass sie mit Journalist:innen nicht darüber sprechen wolle.

Es gibt weitere Hinweise darauf, dass die Holding nur die wahren Hintermänner hinter mSpy verschleiern soll. Eine Beschwerde, die im vergangenen Jahr beim Hosting-Anbieter FlokiNET einging, deutet zurück zu Brainstack in die Ukraine. FlokiNET hostet die Server der Organisation DDosSecrets, die im Mai 2024 die geleakten Daten aus dem Kundenservice von mSpy öffentlich machte.

In der Beschwerde heißt es, auf der Website von DDoSecrets würden „gestohlene Daten gehostet, darunter persönliche Informationen von Nutzern und vertrauliche Unternehmensdaten, die mSpy, einer Marke unseres Unternehmens, gehören.“ Der Absender: pr@brainstack.team.

https://netzpolitik.org/2025/mspy-leak-wie-eine-spionage-app-kundinnen-abzockt

Auf Beihilfe stehen bis zu 27 Monate Haft

„Das Verhalten der Kundenservice-Mitarbeiter:innen deutet stark darauf hin, dass das eine vorsätzliche Beihilfehandlung war, eine Teilnahme an der Haupttat“, sagt Nico Kuhlmann, Anwalt bei der Kanzlei Hogan Lovells International LLP. „So ein pseudomäßiger Verweis auf die AGBs reicht da natürlich nicht.“

In den vorliegenden Fällen sei es mehr oder weniger klar, dass die geplante Überwachung nicht einvernehmlich erfolgte. „Und das werden auch nicht einzelne Vergehen von Mitarbeiter:innen sein, sondern das scheint System zu haben“, sagt Kuhlmann.

Für das Ausspähen von Daten drohen bis zu drei Jahre Haft. Die Beihilfe dazu ist mit bis zu zwei Jahren und drei Monaten Haft strafbewehrt. Bei mehreren Beihilfehandlungen für verschiedene Kunden kann sich der Strafrahmen zusätzlich erhöhen.

Die Grenzen des Rechts

Auch Vorgesetzte, die illegaler Überwachung autorisieren oder gar anordnen, könnten von der Strafandrohung erfasst sein, sagt Kuhlmann. Wenn deutsche Täter:innen deutsche Opfer überwachten, sei die Beihilfe auch in Deutschland justiziabel, egal wo die Supportmitarbeiter:innen sitzen.

Die Rechtsdurchsetzung bei Straftaten, die vom Nicht-EU-Ausland aus begangen werden, kann allerdings äußerst schwierig sein. Und das Unternehmen selbst ist in diesen Fällen ohnehin nicht bedroht, da das Strafrecht nicht für Firmen gilt. mSpy drohen maximal Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung der EU. Rechtlich gesehen sind das Ordnungswidrigkeiten.

„Derzeit sind die rechtlichen Möglichkeiten, gegen die Hersteller solcher Apps vorzugehen, beschränkt bis kaum vorhanden“, sagt auch der Datenschutzbeauftragte von Baden-Württemberg Tobias Keber. Da es einen möglichen legalen Einsatzbereich gibt, sei ein Vorgehen seitens staatlicher Behörden kaum möglich. Die Grenze zur Strafbarkeit könnte aber überschritten sein, wenn sich ein Anbieter „widersprüchlich zu den Angaben in den Nutzungsbedingungen“ verhält.

In Deutschland verbietet die Bundesnetzagentur immer wieder Produkte, die heimlich Bild oder Ton aufzeichnen können. Doch die Rechtsgrundlage gilt ausschließlich für Hardware. Apps wie mSpy, die ein Mobiltelefon zur Wanze machen, fallen durch die Maschen des Gesetzes.

https://netzpolitik.org/2025/mspy-leak-so-stoppt-man-spionage-apps

Cyber-Staatsanwaltschaften nicht zuständig

Bei den von uns angefragten Cyber-Staatsanwaltschaften waren einige Ermittlungen im Zusammenhang mit mSpy bekannt. In dem uns vorliegenden Datensatz finden sich auch Ermittlungsanfragen. Allerdings ermittelten die Behörden nicht gegen das Unternehmen, sondern stets gegen einzelne Beschuldigte, die mit mSpy überwachten.

Mehrere Cyber-Staatsanwaltschaften antworteten, sie seien erst zuständig, wenn es sich um organisierte Kriminalität handele. Die Landeszentralstelle Cybercrime Rheinland-Pfalz schreibt: „Unsere Zuständigkeit könnte allenfalls dann gegeben sein, wenn ein derartiges Verfahren gegen Betreiber einer Software geführt würde, die systematisch zum Zwecke der illegalen Überwachung hergestellt würde.“

Die Zentralstelle Cybercrime Bayern schreibt allerdings auch: „Sollte aktiv und mit Kenntnis des kriminellen Zwecks Hilfe zu einem Ausspähen von Daten geleistet werden, wäre sicherlich ein Anfangsverdacht gegeben.“

In den USA gehen Behörden immer wieder gegen Anbieter von kommerziellen Spionage-Apps vor. So hat etwa die Wettbewerbsaufsicht FTC dem Hersteller Retina-X strenge Auflagen erteilt. Auch dessen Apps liefen heimlich im Hintergrund. Zwei Jahre später hat die FTC es einem anderen Hersteller verboten, seine App SpyFone weiter zu verkaufen.

In den USA und auch in Australien sind Verkäufer von Spionage-Apps in der Vergangenheit auch verhaftet worden. Erstmals geschah dies im Jahr 2014. Damals ging das US-Justizministerium gegen die App StealthGenie vor und verhaftete den Entwickler.

Diese Recherche entstand in Kooperation mit dem SWR. Mitarbeit bei der Datenauswertung: Matthias Mehldau. Mit * markierte Namen haben wir geändert.

Kategorien: Externe Ticker

mSpy-Leak: Vom Partner verwanzt

27. Januar 2025 - 5:00

Mit der Spionage-App mSpy überwachen Menschen heimlich die Handys ihrer Partner:innen. Das ist illegal. Jetzt gibt ein Leak Einblick in die Kommunikation mit Kund:innen. Die zeigt, wie skrupellos die Täter:innen ihre engsten Bezugspersonen ins Visier nehmen – auch in Deutschland.

Opfer von Spionagesoftware stehen unter ständiger Beobachtung. – Public Domain Midjourney

Ich vertraue meiner Freundin nicht, ich muss unbedingt ihr snapchat sehen.

Wir möchten gerne Zugriff auf Whatsapp (unseres Sohnes) erhalten.

Gerne möchte ich das Telefon von meiner Freundin checken, Android. Sie wird davon gar nichts mitbekommen.

Diese Nachrichten sollten niemals öffentlich werden. Menschen aus Deutschland haben sie an mSpy geschrieben, ein Unternehmen, das Spionagesoftware an Privatpersonen verkauft. Sie wollen mit mSpy ihre Partner:innen oder Kinder überwachen.

Nicht nur Sicherheitsbehörden beäugen unseren Datenverkehr. Auch viele Privatpersonen nutzen digitale Spionage-Tools. Das belegen geleakte Nachrichten aus dem Kundensupport-System des Unternehmens, die netzpolitik.org gemeinsam mit dem SWR ausgewertet hat.

Anrufe, E-Mails, Chats, Kontakte, Kalender, Bilder, Videos, die Browser-Historie, der Standort, die Tastenanschläge: All das soll sich mit mSpy verfolgen lassen. Sogar das Mikrofon und die Kamera können aus der Ferne aktiviert werden, verspricht mSpy.

Die Überwachten sollen davon nichts mitbekommen. Die App läuft im Hintergrund und bleibt auf dem Handy für sie unsichtbar, wirbt das Unternehmen. Das Telefon wird zur Wanze.

Tausende Anfragen aus Deutschland

Auf den ersten Blick ist mSpy eine App für Eltern, die das Handy ihres Kindes im Blick behalten wollen. Und solange erwachsene Zielpersonen der Überwachung zustimmten, sei mSpy auch „völlig legal“. So steht es zumindest auf der Website des Unternehmens.

Doch aus den Nachrichten wird schnell klar: Viele Nutzer:innen wollen mit der App Partner:innen unbemerkt überwachen. Das ist in Deutschland illegal.

3,6 Millionen Supportickets mit E-Mails und Chatnachrichten an den Kundenservice umfasst der Datensatz, den wir ausgewertet haben. Dazu zahlreiche angehängte Dateien. Die Schweizer Hackerin Maia Arson Crimew übergab das Paket der Organisation DDoSecrets, die es im Mai 2024 veröffentlichte. Sie sagt, die Daten wurden ihr zugespielt. Das Rechercheteam hat mit mehreren Personen Kontakt aufgenommen, deren Nachrichten sich darin fanden. Sie haben bestätigt, dass die Daten echt sind.

Die ältesten Nachrichten stammen aus dem Jahr 2014, die jüngsten von Mai 2024. Darunter sind mehr als 24.000 Mailwechsel mit Menschen mit einer .de-Mailadresse. Insgesamt mehr als 42.000 Nachrichten sind in deutscher Sprache verfasst.

Die Nutzer:innen bitten um Hilfe bei der Installation, erkundigen sich, wie man mit mSpy andere verdeckt ausspähen kann, beschweren sich, wenn mal die Verbindung zu einem überwachten Gerät ausfällt. Und der Kundendienst hilft engagiert.

Vom Taxifahrer bis zur Staatsanwältin

Die Menschen, die sich für Spionagesoftware interessieren, kommen aus der gesamten Gesellschaft. Anwält:innen für Strafrecht sind darunter ebenso wie Fitness-Trainer oder Taxifahrer. Ein Versicherungsmakler. Ein BMW-Händler. Ein Maurermeister. Ein Airbus-Ingenieur. Der Betreiber einer Reinigungsfirma. Ein Polizist. Eine Staatsanwältin.

In den Nachrichten stehen auch Kontaktdaten von Menschen, die glauben, mit mSpy überwacht zu werden, so wie Ulla*. Sie hatte Anzeige gegen ihren damaligen Mann erstattet, weil er sie ausgespäht haben soll. Ein Ermittler schrieb daraufhin an mSpy.

Ulla ist Mitte 50, trägt Designerbrille und einen eleganten Kurzhaarschnitt. Im Videotelefonat wirkt sie ruhig, wenn sie über die Ereignisse spricht. Vielleicht liegt es daran, dass ihre Geschichte schon Jahre zurückliegt, sagt sie. Sie lebt inzwischen getrennt von ihrem Ex-Mann, hat neu geheiratet.

Angefangen habe die Überwachung im Jahr 2014. Ihr Ex-Mann war schon immer kontrollierend, berichtet Ulla. Arbeiten durfte sie nicht, sie sollte zu Hause bleiben bei den Kindern. Sie hatte kein eigenes Konto. Zu Arztterminen durfte sie nur in seiner Begleitung. „Er hat mit Gewalt versucht, mich klein zu halten“, sagt sie.

Nachdem Ulla ausgesprochen hatte, sich trennen zu wollen, sei die Kontrollwut des Mannes eskaliert. „Er wusste von Arztterminen, von Verabredungen mit Freunden und von Telefonaten, die ich geführt hatte.“ Dabei sei er beruflich viel unterwegs gewesen. „Ich dachte: Der ist doch gerade gar nicht in der Stadt. Woher weiß der das?“

„Ich mache das für dich, kein Ding“

Ulla fragt ihren Bruder. Der warnt, dass ihr Mann eine Spionage-App auf ihrem Handy installiert haben könnte. Ulla fällt ein, dass ihr Mann stundenlang ihr neues Samsung-Handy eingerichtet hatte, nachdem sie daran gescheitert war. „Er hat gesagt: Komm, ich mach das für dich, kein Ding.“ Sie habe sich damals nichts dabei gedacht.

Später wird Ulla jedoch misstrauisch. Sie kauft sich ein zweites Gerät, „so ein Prepaid-Ding, ohne Schnickschnack“, und versteckt es. „Um mit meiner Mutter zu telefonieren oder mit dem Anwalt.“ In dieser Zeit schläft sie mit dem Handy unter dem Kopfkissen. Die Tür zum Zimmer schließt sie ab.

Als Ulla mit ihren Kindern in eine eigene Wohnung zieht, legt sie sich ein neues Telefon mit einer neuen Nummer zu. Sie fährt auf einen Autobahnrastplatz und wirft das alte Handy dort in den Müll.

Ulla weiß nicht, ob ihr Ex-Mann tatsächlich mSpy auf ihrem Handy installiert hat. Die Polizei, bei der sie damals Anzeige erstattete, fand auf ihrem Gerät keine Spuren der App. Ullas Vermutung basiert auf ihrer eigenen Netzrecherche zu Handyspionage. mSpy ist dabei stets der erste Treffer.

Der Mann verwaltet die Geräte

Dass der Mann die Geräte und Accounts verwaltet, sei typisch für eine heterosexuelle Beziehung, obwohl sich die Männer gar nicht zwangsläufig besser auskennen, sagt Leonie Tanczer. Sie ist Professorin am University College in London und erforscht dort den Zusammenhang zwischen Geschlecht und Technologie.

So wie auch Ulla denken sich die Betroffenen meist nichts dabei. Sie freuen sich über die Hilfestellung. „So können Täter, und manchmal Täterinnen, das ausnutzen“, sagt Tanczer.

Guten Tag, ich will meinen Mann überwachen.

Könnte er das herausfinden das ich ihn beobachte?

In den Daten finden sich auch Nachrichten von Männern, die befürchten, ausspioniert zu werden. Eine dieser Nachrichten schrieb Dieter. Er hatte 2016 in Unterhaltungen mit seiner damaligen Frau das Gefühl, dass sie mehr über ihn weiß, als sie sollte. Sie erwähnte Details aus Telefonaten, wusste, wann er wo war, kannte Inhalte seiner Mails, sagt der heute 67-Jährige.

Ein Bekannter mit technischem Sachverstand untersuchte daraufhin sein Telefon und fand ein Schadprogramm. „Das war schon ein Hammer. Und wir kriegten das Programm auch nicht von dem Handy runter, das ließ sich nicht deinstallieren.“ Ein großer Schreck für Dieter. „Aber dann auch erlösend, weil mir klar wurde, warum meine Frau so viele Dinge wusste“.

„Werde ich immer noch abgefiltert?“

Dieter hat nach der Entdeckung den Hersteller angeschrieben, dessen Spionagesoftware sein Bekannter auf seinem Telefon vermutete: mSpy. Mit einer neuen E-Mail-Adresse, damit seine Frau nichts davon mitbekommt. mSpy möge ihm bitte helfen, den Betrieb der App auf seinen Geräten zu unterbinden.

„Die Situation ist so verfahren, dass auch Deinstallationsversuche mich nicht weitergebracht haben, da meine Frau wiederholt in der Lage ist, sich meines Handys zu bemächtigen, um dann erneut Spyware zu installieren“, schreibt er. Mit dieser Nachricht haben wir ihn im Datenleak des mSpy-Kundenservices gefunden. mSpy hat, so Dieter, nicht darauf reagiert.

Dieter hat sich letztlich einen neuen Computer, ein neues Handy und eine neue SIM-Karte organisiert. Um zu vermeiden, dass er beim Umzug auf die neuen Geräte die Schadsoftware mitnimmt, hat er die Telefonnummern seiner Kontakte einzeln abgetippt, erzählt er.

Von der Frau ist er inzwischen geschieden. Aber selbst jetzt, acht Jahre später, hat Dieter immer noch ein ungutes Gefühl. „Ist mein Handy wirklich sauber oder werde ich immer noch abgefiltert?“, fragt er sich. Er sei durch den Vorfall „in einer Phobie gelandet“.

https://netzpolitik.org/2025/mspy-leak-so-stoppt-man-spionage-apps

Der Spion im eigenen Haushalt

Fachleute bezeichnen die heimliche Überwachung, wie mSpy sie ermöglicht, als digitale Gewalt. Programme wie mSpy nennen sie Spyware oder Stalkerware: Software für Stalking. mSpy ist nur eines von vielen Produkten auf diesem Markt. Sicherheitsforscher:innen sprechen von einer ganzen Industrie.

In den meisten Fällen werden solche Apps zur Überwachung in der Familie oder in der Beziehung eingesetzt. Gerade bei Paaren, die in einem Haushalt leben, sind die Voraussetzungen für den Zugriff ideal, sagt Forscherin Leonie Tanczer. Denn die App lässt sich nicht aus der Ferne installieren. Man muss das Handy in der Regel selbst in der Hand haben – zumindest für einige Minuten. „Wenn man zusammen wohnt, ist es viel einfacher, so ein Programm zu installieren, als wenn man nur datet“, sagt Tanczer.

Auch Passwörter würden in einer Beziehung viel eher miteinander geteilt. Aus praktischen Gründen, sagt Tanczer. Problematisch werde es, wenn das Vertrauensverhältnis missbraucht wird. Erst teilen sich die Partner:innen bestimmte Accounts, dann wird dieses Wissen eingesetzt, um den anderen heimlich zu überwachen.

Spionage als digitale Beziehungsgewalt

„Ich glaube, wir brauchen eine große Diskussion über Zustimmung“, sagt Tanczer und zieht eine Parallele zu den Debatten, die in vergangen Jahren um Einvernehmlichkeit beim Sex geführt wurden. Wie beim Sex jedes Mal neu die Zustimmung des anderen abgefragt werden müsse, bedeute auch ein weitergegebenes Passwort nicht, dass man es ein weiteres Mal verwenden dürfe.

In den Beziehungen, die sie untersucht hat, sei digitale Gewalt nie allein aufgetreten, sagt Tanczer. „Sie ist immer Teil eines größeren Gewaltzirkels“. In allen Fällen fand sie die technische Überwachung gemeinsam mit Faktoren wie physischer, sexueller oder psychischer Gewalt. „Wir reden von Tech Abuse oder digitaler Gewalt nicht als separates Phänomen. Es ist nur eine Ausweitung in eine andere Sphäre.“

„Wie eine Vergewaltigung“

Um Einvernehmlichkeit ging es auch Manuel*, der sich etwa ein Jahr lang mit mSpy ausspionieren ließ. Als submissiver Part einer BDSM-Beziehung hat er seiner Partnerin erlaubt, ihn zu überwachen. In den Fällen, die das Rechercheteam in den Nachrichten an den Kundenservice findet, ist diese offene und besprochene Überwachung ein Einzelfall.

„Es war ein Kick, solange ich das Gefühl hatte, die Person, die mich überwacht, geht gut mit mir um“, sagt Manuel, aber: „Hätte ich eine stinknormale Beziehung gehabt und hintenraus festgestellt, die hat mir so eine App draufgeladen, das wäre ein massiver Vertrauensbruch gewesen.“

Es sei vergleichbar mit Bondage und anderen BDSM-Spielen: „Im Fall von Einvernehmen kann sich das gut anfühlen. Aber wenn das Gegenüber nicht zustimmt, ist das wie eine Vergewaltigung.“

Anfragen von Ermittler:innen

Die Person installierte Ihr Produkt auf einem fremden Handy und kontrollierte den Handybesitzer und stalkte die Person.

Hier liegt eine Strafanzeige wegen des Ausspähens von Daten vor. Es wurde bekannt, dass der Mann eines Ehepaares seine Frau mithilfe Ihrer Software mSpy ausspionierte.

Wir möchten Sie daran erinnern, dass mSpy eine völlig legale Anwendung ist und dass alle unsere Kunden die Zustimmung der Zielpersonen haben müssen, um mSpy zu installieren. Sollten Sie den Verdacht haben, dass jemand Ihr Gerät illegal überwacht, empfehlen wir Ihnen dringend, sich direkt mit der Person in Verbindung zu setzen, die eine solche Anwendung gegen Sie verwenden könnte. Wir ermutigen unsere Kunden nicht, unsere Software illegal zu nutzen.
– Antwort des Kundensupports auf eine Ermittlungsanfrage wegen Betrug und Stalking

Dass mSpy regelmäßig zur nicht-einvernehmlichen Überwachung in Beziehungen eingesetzt wird, geht auch aus den Anfragen hervor, die deutsche Polizeibehörden an den Kundenservice schickten. In mindestens fünf Fällen ermittelten Behörden wegen Stalking und des Ausspähens von Daten. Immer ging es dabei um Beziehungsgewalt: Frauen, die angaben, von ihrem Partner oder Ex-Partner überwacht zu werden.

Die Ermittler:innen schildern die Fälle und bitten mSpy um Informationen zu den Beschuldigten. Unternehmen sind in solchen Fällen laut Strafprozessordnung dazu verpflichtet, Auskunft zu geben.

In einem Fall kann der Ermittler die Kundennummer angeben, mSpy nennt daraufhin Details zum Nutzerkonto der beschuldigten Personen und des Telefons, das überwacht wurde – etwa das Gerätemodell und die Seriennummer.

In der Regel folgt aber eine Standardabsage: Man möge bitte genauere Informationen schicken. mSpy schütze die Privatsphäre seiner Nutzer:innen. Ohne die Kundennummer, die Bestellnummer, das Bestelldatum und die Registrierungs-Email könne mSpy keine Information zu einzelnen Konten erteilen. Es ist allerdings möglich, dass mSpy den Behörden auf Wegen geantwortet hat, die sich im Datensatz nicht nachvollziehen lassen.

netzpolitik.org hat die Unternehmen hinter mSpy um Stellungnahme gebeten – auch zur Frage, wie mSpy mit Anfragen von Ermittlungsbehörden umgeht. Eine Antwort haben wir nicht erhalten.

Kundenservice gibt Tipps für Straftaten

Überwachung verpackt als Fürsorge

Wir haben viele Personen angeschrieben, die sich in den Nachrichten als Kund:innen oder Interessenten für mSpy zu erkennen geben. Wir wollten wissen: Warum wollten sie andere heimlich überwachen? Ist ihnen klar, dass sie sich damit womöglich strafbar machen?

Geantwortet hat uns nur Dimitri*. Er wollte sicherstellen, dass sein Teenager auf dem Handy nicht nach Pornografie und Drogen sucht, sagt er. Er schloss ein Abo ab, habe die Spionage-App jedoch am Ende nicht einsetzen können. Das Android-Handy seines Kindes habe die Installation verhindert.

Leonie Tanczer spricht für ein aktuelles Forschungsprojekt auch mit Täter:innen, die in Großbritannien wegen Partnerschaftsgewalt an einem Rehabilitationsprogramm teilnehmen müssen. „Interessant fand ich die Ähnlichkeit in der Erklärungshaltung von Täter:innen und Eltern, warum sie überwachen“, sagt sie. „In beiden Kontexten wird die Sicherheit hervorgehoben.“

In ihrer Selbstwahrnehmung tun die Menschen, die Partner:innen überwachen, nichts Falsches, sagt Tanczer. „‚Ich will für dich da sein.‘ Oder: ‚Ich will nur sicher sein, dass du sicher bist.‘ So wird das häufig von den Tätern verpackt.“

Misstrauen und Eifersucht

In ihren Anfragen an den Kundenservice schildern die Nutzer:innen allerdings weniger das Bedürfnis nach Fürsorge. Stattdessen dominiert vor allem ein Motiv: Eifersucht. Viele fürchten, betrogen zu werden, wollen Partner:innen überführen, hoffen auf „Klarheit“ oder „Antworten“.

Ihre Nachrichten formulieren sie mit einer großen Dringlichkeit. Eine Frau schreibt zum Beispiel: „Ich will, dass bitte jetzt alles funktioniert, weil ich das unbedingt brauche.“ Wir haben einige derart getriebene Menschen im Datensatz gefunden.

Viele kommunizieren mit den Supportmitarbeiter:innen, als seien diese engste Vertraute: völlig distanzlos. Ein Mann schreibt, seine Frau habe wahrscheinlich ein Verhältnis mit ihrem Kollegen. „Ich habe keine Beweise, mein Gefühl sagt mir, dass sie mich betrügt.“

Ein Strauß an Straftaten

Egal wie Nutzer:innen selbst ihre Tat bewerten: Wer heimlich eine Spionage-App auf dem Gerät eines Partners installiert, macht sich in Deutschland in der Regel strafbar, erklärt Nico Kuhlmann, Rechtsanwalt bei der Hamburger Kanzlei Hogan Lovells International.

Gleich mehrere Staftaten könnten hier zusammenkommen. Zunächst einmal müsse man sich unbefugt Zugang zu einem in der Regel passwortgeschützten Gerät verschaffen – nach deutschem Recht gilt das als Ausspähen von Daten. Außerdem kann die heimliche Überwachung als Stalking strafbar sein.

Werden dann aus der Ferne zusätzlich noch das Mikrofon oder die Kamera aktiviert, kommen laut Kuhlmann weitere Straftatbestände dazu wie die Verletzung der Vertraulichkeit des Wortes oder des höchstpersönlichen Lebensbereichs durch Bildaufnahmen. Je nach Vorstrafen und Kontext drohen dann bis zu drei Jahre Haft.

Eine Ausnahme davon gäbe es nur, wenn die Zielperson der Überwachung zugestimmt hat. Allerdings sagt Kuhlmann: „Die erste Frage, die ich mir dann stellen würde: War die Zustimmung freiwillig oder wurde sie erzwungen?“ Eine Zustimmung, die aus einer Zwangslage erfolgt – etwa, weil jemand die Partnerin sonst nicht aus dem Haus lässt –, sei rechtlich wertlos.

Wer ein Handy überwacht, überwacht viele Personen

Kuhlmann gibt noch einen weiteren Punkt zu bedenken: Selbst wer ein Handy mit der Zustimmung der Zielperson ausspäht, wie im Fall von Manuel geschehen, bekommt stets auch die Nachrichten und Bilder von Dritten zu sehen. Diese hätten in der Regel nicht zugestimmt, sagt Kuhlmann. Womit deren Überwachung wiederum strafbar wird. Das heißt: Auch Manuels Partnerin hat sich strafbar gemacht, wenn sie seine Kommunikationspartner:innen ausspähte.

Die Anfragen von deutschen Ermittlungsbehörden zeigen, dass zumindest einige der Betroffenen Anzeige erstatten. Viele Betroffene tun dies aber nicht, weil sie es als belastend empfinden und eine Anzeige auch nicht immer erfolgreich ist, sagt Elizabeth Ávila González vom Bundesverband der Frauenberatungsstellen. Zudem würden Betroffene oft davor zurückscheuen, ihr Telefon bei der Polizei zur Analyse abzugeben, weil sie dann keinen Kontakt mehr zu ihrem Unterstützungsnetzwerk hätten.

Zum Tracking von Kindern ungeeignet

Und was ist mit der Überwachung eigener minderjähriger Kinder: dem legalen Anwendungsfall, den mSpy bewirbt? Im Datensatz finden sich viele Anfragen von Eltern, die mit mSpy die Geräte ihrer Kinder heimlich überwachen wollen oder das bereits tun.

Juristisch ist das ein Graubereich, denn auch Kinder haben ein Recht auf Privatsphäre, betont Anwalt Nico Kuhlmann. Außerdem sei auch in so einem Fall immer die Kommunikation von Dritten als Beifang mit dabei.

Die Anwältin Olivia Alig weist in ihren Handreichungen für Eltern auf dieses Spannungsverhältnis hin: Im Zweifel müssten Eltern ihre rechtlich verankerte Aufsichtspflicht gegen die Rechte des Kindes abwiegen. Diese ergeben sich aus der UN-Kinderrechtskonvention, etwa das Recht auf informationelle Selbstbestimmung.

Ein massiver Vertrauensbruch

Die Schweizer Hackerin Maia Arson Crimew beschäftigt sich seit Jahren mit Spionage-Apps und warnt: „Auch die Überwachung von eigenen Kindern mit Tools wie mSpy ist ein weitreichender Eingriff in die Privatsphäre und meist ein massiver Vertrauensbruch.“

Spionage-Apps seien zudem nicht gut gesichert, so dass die Daten regelmäßig nicht nur bei den Kund:innen landeten, sondern offen im Internet. Laut einer Recherche von TechCrunch wurden seit 2017 mehr als 20 solcher Anbieter gehackt oder sie haben aufgrund von Nachlässigkeit selbst die Daten ihrer Kund:innen öffentlich gemacht.

Allein mSpy wurde bereits dreimal gehackt. Das erste Mal landeten 2015 Daten von Nutzer:innen im Darknet. Die größte Panne wurde 2018 bekannt: Ein Sicherheitsforscher hatte damals Einsicht in Nachrichten und Standortdaten der Überwachten. Im Mai 2024 folgte der dritte Leak: der Datensatz, den netzpolitik.org gemeinsam mit dem SWR für diese Recherche untersucht hat.

Forscherin Leonie Tanczer ist noch aus einem weiteren Grund besorgt. „Ich verstehe natürlich, dass viele Eltern Unsicherheiten haben, was die Kinder online machen. Aber ich glaube, als Gesellschaft haben wir nicht wirklich eine Diskussion darüber geführt, wo die Grenzen für eine Überwachung liegen sollten.“

Eine technologische Lösung würde das Vertrauensproblem nicht beheben, sagt Tanczer. „Wenn man der Meinung ist, man muss das hinterrücks installieren, dann ist schon von vornherein irgendwas nicht richtig, oder?“

Diese Recherche entstand in Kooperation mit dem SWR. Mitarbeit bei der Datenauswertung: Matthias Mehldau. Mit * markierte Namen haben wir geändert.

Kategorien: Externe Ticker

„Aus der Truppe“: Zu Besuch im KI-Labor der Bundeswehr

26. Januar 2025 - 12:26

Wenn es um KI-Anwendungen geht, lässt sich die Bundeswehr ungerne in die Karten schauen. Im KI-Labor gibt es einen begrenzten Einblick – und den Verweis auf den Grundsatz: „erst befolgen – dann beschweren“.

Vergangenes Jahr fragte sich die Bundeswehr auf Youtube, ob sogenannte Künstliche Intelligenz die „Waffe der Zukunft“ sei. KI ist vor allem ein Hype-Begriff für Anwendungen, die man noch vor wenigen Jahren für unwahrscheinlich hielt. Aktuell bekommen Text-, Bild- und Audio-Generatoren das Label „KI“ – oder Software, die mit hoher Wahrscheinlichkeit Objekte oder Gesichter wiedererkennt.

Im Youtube-Video der Bundeswehr sagt Michael Volkmer, Kommandeur des Zentrums Digitalisierung, mit Blick auf KI: „So richtig beschäftigen wir uns damit erst seit gut zwei Jahren“. Worin genau diese Beschäftigung besteht, wollte Mitte 2023 etwa die Bundestagsabgeordnete Anke Domscheit-Berg aus der Linksfraktion wissen, zunächst mit Blick auf die gesamte Bundesregierung.

Die Antwort auf ihre Kleine Anfrage war jedoch gerade in Bezug aufs Militär dünn: Welche KI-Anwendungen im Geschäftsbereich des Verteidigungsministeriums genutzt werden, wollte die Bundesregierung teils gar nicht offenlegen, teils nur unter Ausschluss der Öffentlichkeit. Die Abgeordnete kritisierte das Militär als „besonders finstere Blackbox“.

Zumindest inzwischen nennt die Bundeswehr im Netz eine Reihe von Anwendungen, die sie erprobt oder einsetzt, und die gemeinhin als KI bezeichnet werden. Dazu gehören verschiedene Anwendungen mit Sprachmodellen, also eine Technologie, die durch ChatGPT berühmt wurde, oder Bild-Erkennung gegen Desinformation. Eine wichtige Rolle spielt dabei die BWI GmbH, nach eigenen Angaben das „IT-Systemhaus der Bundeswehr“.

In Folge einer Presseanfrage zu KI bei der Bundeswehr erhielt netzpolitik.org eine Einladung ins KI-Labor beim sogenannten Bataillon für elektronische Kampfführung 912 in Niedersachsen. Die Reise geht also nach Nienburg/Weser, knapp eine Stunde von Hannover entfernt. Laut den Verantwortlichen seien dort seit 2018 testweise Soldaten im Labor aktiv, 2020 folgte dann die offizielle Eröffnung.

Aus Gründen der Sicherheit wolle die Pressestelle jedoch nicht offenlegen, wie viele Soldat:innen dort aktiv seien. Zumindest in einem Interview mit dem verantwortlichen Truppenführer Yannick Z. aus dem Jahr 2022 war die Rede von elf Soldat:innen. Diese Zahl wollte die Pressestelle weder bestätigen noch verneinen. Sie hätte sich allerdings auch nicht grundlegend verändert. Um ein sehr großes KI-Labor kann es sich also nicht handeln, gerade im Vergleich zum militärischen Personal von 13.800 Menschen, die laut Bundeswehr insgesamt im Bereich „Cyber- und Informationsraum“ arbeiten.

Mit KI fürs Militär Millionen verdienen

Bei unserem Besuch zeigt sich Nienburg/Weser umgeben von nebelverhangenen Feldern. Aus der Ferne sind Schüsse zu hören. Zur Begrüßung wartet die Bundeswehr mit mehreren uniformierten Personen auf: vier Pressemenschen und ein an KI-Themen interessierter Fregattenkapitän der Marine. Wenig später kommt der Kommandeur des Bataillons, Oberstleutnant Stefan Oehler, hinzu.

Beim KI-Labor gehe es um Dinge wie Flexibilität und Unabhängigkeit, wie die Bundeswehr-Vertreter erklären. Verbindungen zur freien Wirtschaft gebe es aber auch. So sehe sich der „Cyber Innovation Hub“ der Bundeswehr als „Brücke zwischen Bundeswehr und Start-up-Ökosystem“.

Ein Beispiel für die Verbindungen zwischen Industrie und Militär ist der Mitgründer und CEO des Anbieters für militärische KI-Anwendungen „Helsing“, Gundbert Scherf. Auf seiner Vita stehen die Beratungsfirma McKinsey, das Verteidigungsministerium – und die Gründung von Helsing. Das Unternehmen erhielt etwa 100 Millionen Euro von Spotify-Gründer Daniel Ek und Rüstungsaufträge vom Verteidigungsministerium. Die Wirtschaftswoche nannte Helsing einen führenden Anbieter für KI in der Rüstung.

Manche Soldat:innen finden die Privatwirtschaft offenbar ebenso attraktiv und gründen nach ihrer Laufzeit Militär-Start-ups. Zu nennen wäre hier etwa die Münchner Firma „Arx Robotics“, die von drei ehemaligen Offizieren gegründet wurde und selbstfahrende Fahrzeuge entwickelt.

Auf den kurzen Weg von der Bundeswehr in die Wirtschaft angesprochen, beschreibt Oehler zwei Optionen, die Soldat:innen nach ihrer herkömmlichen Laufbahn haben: Entweder man verpflichte sich weiterhin im Bund oder man gehe in die Privatwirtschaft. Letzteres sei verlockend, aber Oehler appelliere an die „Ehre“ der Soldat:innen, sich nicht für den persönlichen Reichtum einzusetzen.

„Leichte Verstöße gegen das Völkerrecht“

Forschende wie Thomas Reinhold, der am Leibniz-Institut für Friedens- und Konfliktforschung in Frankfurt am Main zur Militarisierung des „Cyberspace“ und „KI“ arbeitet, sehen den Einsatz von KI-Anwendungen beim Militär kritisch. Die Kritik dreht sich um die Auslagerung der Verantwortung und die potenziell beschleunigte Kriegsführung.

Beim Besuch im KI-Labor betonen die Soldat.innen: Befehle könnten und sollten im Zweifel auch hinterfragt werden. Zwar müssen Soldat:innen laut Soldatengesetz Befehle „vollständig, gewissenhaft und unverzüglich“ ausführen. Dort steht aber auch: „Ungehorsam liegt nicht vor, wenn ein Befehl nicht befolgt wird, der die Menschenwürde verletzt.“

Zur Veranschaulichung lässt ein Presseoffizier der Redaktion aktuelles Lehrmaterial über „Befehl und Gehorsam“ aus der Grundausbildung zukommen. Beachtlich ist die Passage, wonach „leichte Verstöße gegen das Völkerrecht“ befolgt werden müssen. Darunter steht der Grundsatz „Erst befolgen, dann beschweren“.

Etwa hier setzt inhaltlich die Kritik an militärischen KI-Anwendungen an. Sie würden schnellere Entscheidungen ermöglichen und somit „für eine Beschleunigung der Kriegsführung“ sorgen, wie Konfliktforscher Thomas Reinhold argumentiert. Reflexionsprozesse könnten bei der Geschwindigkeiten zu kurz kommen: „Da wird man möglicherweise Opfer der eigenen Technologie“.

Anwendung entfernt Störgeräusche

Im KI-Labor präsentiert die Bundeswehr der Presse jedoch eher unauffällige Technologien. Das Labor ist ein einstöckiges Flachdach-Haus mit mehreren Räumen, die an den IT-Unterricht in der Schule erinnern. In einem dieser Räume zeigt Hauptfeldwebel Tobias R. eine Anwendung, die automatisiert Störgeräusche aus dem Funkverkehr herausfiltern soll: Der „Voice-Activity-Detector“. Auf diese Weise lassen sich in kurzer Zeit relevante Passagen mit gesprochenen Worten finden.

Für die Entwicklung selbst hätten Tobias R. und sein Team nur wenige Wochen benötigt; die Akkreditierung für den Einsatz habe dann allerdings zwei Jahre gedauert. Offenbar ein vergleichsweise kurzer Zeitraum, wie Tobias R. einordnet. Seit 2022 sei das System im Einsatz. Der Hauptfeldwebel nennt seine Entwicklung „ein Produkt aus der Truppe für die Truppe“.

Vorher-Nachher: Die Anwendung filtert Störgeräusche aus dem Audiomaterial.

Sein Alltag im KI-Labor bestehe aus Recherche und Experimentieren, wie Tobias R. erklärt. Aber auch Schießen, Marschieren und in Einsätze gehörten zum Alltag – „da kommen wir nicht drumherum“.

Was sagt der KI-begeisterte Hauptfeldwebel zu autonomen Waffensystemen? „Ich würde niemals so weit gehen, für ein System zu sorgen, das automatisiert Menschen tötet“, erklärt Tobias R., „das hat für mich einfach keinen ethischen Wert.“ Was mit seinen Entwicklungen allerdings später passiert, darüber werde er nicht informiert. „Wenn in 20 Jahren jemand auf die Idee kommt, das zweckzuentfremden, dann kann ich mich auch nicht mehr dagegen wehren“.

Normalisierung von autonomen Waffensystemen

Tobias R.s Vorgesetzte im Raum unterstreichen mit Blick auf den Einsatz von KI die Wichtigkeit des „Human in the Loop“. So nennt man den Grundsatz, dass immer noch ein Mensch die Entscheidungen treffen müsste. Ausgeblendet wird dabei oft, dass es in diesem Fall eine Software ist, die oft innerhalb kurzer Zeit vorgibt, worüber es überhaupt zu entscheiden gilt. Als „Automation bias“ bezeichnet man es, wenn Menschen dem Vorschlag einer Maschine vertrauen, einfach weil er von der Maschine kommt.

Konfliktforscher Thomas Reinhold kritisiert die zunehmende Normalisierung von autonomen Waffensystemen: „Diese Perspektive, dass der Mensch oft als Hindernis in der Entscheidungsfindung wahrgenommen wird, sieht man bereits.“ Die Bundeswehr sei zudem der „tragischen Logik des Militärs“ unterworfen: „In dem Moment, wo die einen Kräfte etablieren, steht man selbst unter Druck, solche Kräfte aufzubauen, um Schritt halten zu können“. Mit Blick auf die globalen militärischen Mächte, würde man sehen, dass KI ein „großer Aufrüstungstreiber“ sei.

Kategorien: Externe Ticker

KW 4: Die Woche, in der wir fassungslos auf einen Überbietungswettbewerb schauten

25. Januar 2025 - 11:19

Die 4. Kalenderwoche geht zu Ende. Wir haben 10 neue Texte mit insgesamt 71.229 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Liebe Leser:innen,

der Messerangriff in Aschaffenburg beschäftigt mich sehr. Zuallererst ist da tiefes Mitgefühl für die Opfer, für die körperlich und seelisch Verletzten und ihre Zu- und Angehörigen. Aber dann ist da auch viel Wut über den unwürdigen Umgang mit den Ereignissen.

Die Tat nur wenige Stunden nach ihrem Bekanntwerden – während viele in großer Trauer und geschockt sind – dafür zu nutzen, sich im Wahlkampf zu profilieren, ist ekelhaft. Damit meine ich nicht nur den Berufspopulisten Friedrich Merz, der am Tag nach dem Anschlag mit einem 5-Punkte-Plan um die Ecke kommt und das Recht aus Asyl vermutlich am liebsten ganz abschaffen würde.

Damit meine ich auch den Noch-Kanzler Olaf Scholz, der sofort von einer Terror-Tat fabuliert, obwohl nichts auf Terrorismus hinweist. Der „falsch verstandene Toleranz“ heranzieht, ohne genau zu sagen, was er damit meint.

Damit kann dann jeder seine eigene Intoleranz in die Worte hineinlesen: gegenüber Geflüchteten, gegenüber Menschen mit psychischen Erkrankungen, gegenüber Menschen mit Suchtproblemen. Schluss mit der Toleranz, jawohl! Weg mit allen, die nicht passen. Hinter Gittern, in Psychiatrien oder gleich raus aus dem Land.

Der ekelhafte Überbietungswettbewerb im Durchgreifen wird uns vermutlich noch bis mindestens zur Bundestagswahl begleiten. Probleme löst er nicht. Für einen Text haben mein Kollege Martin und ich mit Fachleuten für psychische Gesundheit gesprochen, die wenig von repressiven Maßnahmen halten. Dafür haben sie andere Ideen und sehen in ihrem täglichen Berufsleben, an welchen Ecken sich etwas ändern muss. Wir sollten mehr auf sie hören als auf diejenigen, die möglichst laut schreien und sich durch ihre Forderungsperformance in einem Monat ein paar Nachkommastellen mehr Stimmen erhoffen.

Habt ein gutes Wochenende!
anna

Bundeswehr, Hertha BSC und The Cure einig: Bloß raus bei der Hetz-Plattform von Musk

Der Exodus vom ehemaligen Twitter lässt nicht nach: Immer mehr Städte, Medien, Vereine, Verbände und auch staatliche Institutionen kehren Musks Plattform X den Rücken. Derzeit profitiert Bluesky am meisten von der Wanderbewegung. Von Markus Reuter –
Artikel lesen

Make America TikTok again: Das TikTok-Theater macht Trump noch stärker

Kaum ein US-Thema hat die letzten Tage so dominiert wie das mögliche Ende von TikTok. Klar ist: Trump wird die Auseinandersetzung nutzen, um seine Macht mit der Video-Plattform zu stärken. Ein Kommentar. Von Markus Reuter –
Artikel lesen

Offener Brief: EU-Kommission soll „Schlupflöcher“ bei digitaler Brieftasche schließen

In Brüssel wird derzeit ausgehandelt, wie die europäische digitale Brieftasche künftig funktioniert. Entsprechende Vorlagen der EU-Kommission hat die Zivilgesellschaft wiederholt scharf kritisiert. 15 Organisationen fordern die Kommission nun dazu auf, die rechtlichen Vorgaben einzuhalten und den Verbraucher:innenschutz zu stärken. Von Daniel Leisegang –
Artikel lesen

Donald Trump: Mit Vollgas in eine dunkle Zukunft

An seinem ersten Tag als US-Präsident legte Donald Trump die Latte hoch. Ein Schwall an Verfügungen gibt die Richtung vor, in die er das Land lenken will – ob nun bei der Zukunft von TikTok oder dem Umgang mit der Moderation auf Online-Diensten. Von Tomas Rudl –
Artikel lesen

AI Act: Wie die Ausnahmen in der KI-Verordnung landeten

Anfang Februar 2025 gelten die ersten Regel aus dem AI Act. Das Gesetz soll die Gefahren sogenannter Künstlicher Intelligenz eindämmen. Tatsächlich enthält es zahlreiche Ausnahmen. Vor allem Frankreich verhandelte Schlupflöcher mit potenziell weitreichenden Folgen für Europas Grundrechte. Von Gastbeitrag, Maria Maggiore, Leila Minano, Nico Schmidt, Harald Schumann –
Artikel lesen

Crypto Wars: Europol-Chefin fordert wieder mal Zugang zu verschlüsselten Nachrichten

Europol-Chefin Catherine De Bolle will beim Weltwirtschaftsforum in Davos auf Tech-Unternehmen einwirken, Ermittlungsbehörden Zugang zu verschlüsselten Nachrichten zu verschaffen. Die Unternehmen müssten ihrer „sozialen Verantwortung“ nachkommen, sonst sei die Demokratie gefährdet, so De Bolle. Dem widerspricht der Chaos Computer Club. Von Tomas Rudl –
Artikel lesen

Wahlsoftware: Alle Wege führen nach Aachen

Bei der Wahlsoftware gibt es in Deutschland einen relevanten Hersteller: die votegroup GmbH. Ihre Eigentümerstruktur offenbart ein Geflecht aus Kommunen, kommunalen Beteiligungen und regionalen IT-Dienstleistern. Von Leonhard Pitz –
Artikel lesen

Nach Amtsantritt von Trump: Transatlantisches Datenabkommen bekommt erste Risse

Die EU-Kommission verspricht, dass Daten von EU-Bürger:innen in den USA ähnlich geschützt sind wie in der EU. Diese Zusage hatten ihr Fachleute nie so recht abgenommen. Nun stellt Donald Trump die rechtliche Grundlage für den transatlantischen Datenaustausch schon in seinen ersten Tagen als US-Präsident auf die Probe. Von Tomas Rudl –
Artikel lesen

Neue Datenschutzhinweise: Doctolib will KI-Modelle mit Gesundheitsdaten trainieren

Ab Ende Februar will der IT-Dienstleister Doctolib die Daten seiner Nutzer:innen für das Training sogenannter Künstlicher Intelligenz einsetzen. Wenn sie einwilligen, sollen auch ihre Gesundheitsdaten dafür genutzt werden. Das geht aus den aktualisierten Datenschutzhinweisen hervor. Von Tomas Rudl, Anna Biselli –
Artikel lesen

Psychische Erkrankungen: Polizeiliche Erfassung bringt Stigmatisierung statt Schutz

Nach den Anschlägen in Magdeburg und Aschaffenburg fordern Politiker:innen, psychisch erkrankte Gewalttäter:innen in Registern zu erfassen. Diese Idee ist nicht neu, tatsächlich werden bereits Daten zur psychischen Verfassung bei der Polizei erfasst. Doch statt Sicherheit bringt das Stigmatisierung. Von Anna Biselli, Martin Schwarzbeck –
Artikel lesen

Kategorien: Externe Ticker

Psychische Erkrankungen: Polizeiliche Erfassung bringt Stigmatisierung statt Schutz

24. Januar 2025 - 16:23

Viele Menschen haben psychische Erkrankungen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com davide ragusa, Bearbeitung: netzpolitik.org

Mehr als 40 Prozent der gesetzlich versicherten Erwachsenen bekamen im Jahr 2023 in Deutschland eine Diagnose für eine psychische Erkrankung. Das ist mehr als jede dritte Person. Der Anteil der betroffenen Personen steigt seit Jahren, wie aus Zahlen des Robert Koch-Instituts hervorgeht. Das heißt nicht unbedingt, dass mehr Menschen erkranken. Es kann ebenso bedeuten, dass mehr Leute sich Hilfe suchen, wenn sie Suchtprobleme oder Depressionen haben oder wenn sie psychotische Symptome erleben. Was die Zahlen aber zeigen: Psychische Erkrankungen können alle betreffen.

Als der CDU-Generalsekretär Carsten Linnemann nach dem Anschlag auf den Magdeburger Weihnachtsmarkt im Dezember forderte, ein Zentralregister für „psychisch kranke Gewalttäter“ einzurichten, weil es Berichte darüber gab, dass der mutmaßliche Täter psychisch auffällig war, gab es viel Empörung. Auch nach dem Messerangriff in Aschaffenburg diese Woche gibt es Spekulationen, ob die Tat mit einer psychischen Erkrankung des Festgenommenen zusammenhängen könnte. Von der Tat bis zu den ersten Forderungen nach einem Register dauerte es dieses Mal nur wenige Stunden.

Was dabei kaum jemand erwähnte: Bereits seit langem gibt es polizeiliche Datensammlungen, in denen psychische Erkrankungen vermerkt sind.

Hinweis auf „Psychische und Verhaltensstörung“

Die Grundlage dafür sind sogenannte „personengebundene Hinweise“, kurz: PHWs. Man kann sich das als eine Zusatzinformation zu einem Eintrag in einer Polizeidatenbank vorstellen. Laut dem BKA-Gesetz dürfen solche Zusätze gespeichert werden, wenn sie für den Schutz der betroffenen Person oder zur Eigensicherung der Polizist:innen notwendig sind.

Für die vernetze Polizeidatenbank INPOL etwa gibt es verschiedene PHWs wie „bewaffnet“, „gewalttätig“, „Ausbrecher“, „Ansteckungsgefahr“, „Betäubungsmittelkonsument“ oder „Explosivstoffgefahr“. Zur psychischen Verfassung der in INPOL erfassten Personen gibt es beispielsweise die PHWs „Psychische und Verhaltensstörung (PSYV)“ und „Freitodgefahr (FREI)“.

INPOL besteht aus verschiedenen Dateien, in einer sind Daten zu Personen gespeichert, nach denen gefahndet wird. In einer anderen befinden sich Personen, die erkennungsdienstlich behandelt oder deren DNA erfasst wurde. Polizist:innen können Daten aus INPOL abfragen, zum Beispiel bei einer Verkehrskontrolle.

Bundesländer haben teilweise zudem weitere PHWs in eigenen Datensammlungen. So nutzt die Polizei Berlin etwa den PHW „Konsument harter Drogen“. In Bremen gibt es die Kategorisierung „Schwellen-Täter“, die sich vor allem auf Kinder und Jugendliche bezieht, bei denen sich eine Zukunft als Intensivstraftäter:innen abzeichnen soll.

Auf unsere Anfrage schreibt das Bundeskriminalamt, derzeit liege in INPOL zu 15.724 Personen der PHW „Psychische und Verhaltensstörungen“ vor und zu 3.593 Personen der PHW „Freitodgefahr“.

Wer bestimmt, was eine „Störung“ ist?

Laut einem Leitfaden des BKA können diese Hinweise aber nicht ungeprüft vergeben werden. So heißt es zum PHW „Psychische und Verhaltensstörungen“:

Der PHW „Psychische und Verhaltensstörung“ darf nur vergeben werden, wenn ärztlich festgestellt ist, dass der Betroffene an einer psychischen Erkrankung leidet und daraus Gefahren für ihn selbst oder andere, insbesondere für Polizeibedienstete, resultieren können.

Diese Feststellung soll schriftlich, beispielsweise in Form eines Gutachtens vorliegen. Bei einer vermerkten Suizidgefahr liegen die Voraussetzungen niedriger, hier reichen „Anhaltspunkte“, etwa wenn es zurückliegende Suizidversuche gegeben hat.

Offenbar wurden diese Voraussetzungen jedoch nicht immer beachtet. Im Tätigkeitsbericht des damaligen Bundesdatenschutzbeauftragten Ulrich Kelber für das Jahr 2023 schreibt er, er sei auf „mindestens 3.035 Fälle gestoßen“, bei denen das BKA personengebundene Hinweise aus mehreren Kategorien ohne die notwendigen Belege und Prüfungen vergeben habe. Sie waren laut dem Bericht durch den Text „ALTBESTAND BESITZER NICHT GEPRÜFT“ gekennzeichnet. Außerdem bemängelte Kelber die Dokumentation in Zusammenhang mit den Vermerken. Nach der Beanstandung seien die Bestände vom BKA bereinigt worden.

Doch nicht nur das BKA trägt personengebundene Hinweise ein, auch die Landespolizeien nutzen die Vermerke – in sehr unterschiedlichem Umfang. Wir haben in allen Bundesländern nachgefragt, wie viele PHWs mit Bezug zur psychischen Gesundheit von ihnen derzeit eingetragen sind. Die meisten nutzen Bayern (4.436 Mal PHW PSYV und 2.035 PHW FREI) und Baden-Württemberg (5.237 Mal PHW PSYV und 2.632 PHW FREI). Während die Polizei Bremen bei 2.179 Datensätzen den PHW „PSYV“ nutzt und bei 2.035 Hinweise auf „Suizidgefahr“ eingetragen sind, gibt es vom einwohnerstärkeren Hamburg nur 175 Datensätze mit dem Hinweis „PSYV“. Der PHW „FREI“ werde in Hamburg überhaupt nicht angewendet, heißt es auf unsere Anfrage.

„Wie viele Datensätze mit den PHWs "Psychische und Verhaltensstörung" und "Freitod-Gefahr" nutzen die Bundesländer?“ von Datawrapper anzeigen

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„Wie viele Datensätze mit den PHWs „Psychische und Verhaltensstörung“ und „Freitod-Gefahr“ nutzen die Bundesländer?“ direkt öffnen

„Erfassung reduziert das Risiko nicht“

Fachleute kritisieren eine Speicherung zu psychischer Gesundheit und zweifeln ihren Sinn an. Elisabeth Dallüge ist psychologische Psychotherapeutin und Mitglied des Bundesvorstandes der Deutschen Psychotherapeuten-Vereinigung (DPtV). Sie hat viel mit psychisch erkrankten Straftäter:innen im Maßregelvollzug gearbeitet, bei denen Erkrankung und Straftat in einem Zusammenhang stehen.

Dallüge sagt: „Wenn psychisch erkrankte Personen Straftaten begehen, besteht in den meisten Fällen überhaupt kein Zusammenhang zwischen der Erkrankung und der Tat. Es ist nur ein sehr kleiner Prozentsatz, wo von Menschen mit psychischen Erkrankungen wegen dieser Erkrankung ein Selbst- oder Fremdgefährdungspotenzial ausgeht.“ Auch deshalb fragt sie sich, was der Nutzen einer solchen Erfassung – sei es in Registern oder PHWs – sein soll. „Das Risiko reduziert sich nicht, indem ich eine Person erfasse“, so Dallüge.

Das betont auch Prof. Dr. Euphrosyne Gouzoulis-Mayfrank. Sie ist Präsidentin der Deutschen Gesellschaft für Psychiatrie und Psychotherapie, Psychosomatik und Nervenheilkunde (DGPPN) und arbeitet als ärztliche Direktorin der LVR-Klinik Köln. Gouzoulis-Mayfrank kann nachvollziehen, dass es nützlich sein kann, wenn die Polizei weiß, dass Menschen sich in der Vergangenheit auffällig oder aggressiv gezeigt haben. „Ob im Rahmen einer psychischen Erkrankung oder aus anderen Gründen ist dabei aber eher zweitrangig“, sagt sie im Interview. „Manche Menschen sind niemals auffällig, aber erkrankt. Bei anderen ist es umgekehrt. Da besteht in der Regel keine direkte Verbindung, diese ist nur in wenigen Fällen sichtbar.“

Es fehlt an Mindeststandards

Aus ihrer eigenen Berufserfahrung weiß Psychiaterin und Neurologin Gouzoulis-Mayfrank, dass Polizeibeamt:innen für den Umgang mit Menschen in psychischen Ausnahmesituationen ganz unterschiedlich gewappnet sind. Sowohl, was das Erkennen einer möglichen Erkrankung angeht, als auch in Bezug auf das Verhalten in einer Situation, bei der die Erkrankung bekannt ist: „Ich habe Situationen erlebt, wo die Polizisten gut vorbereitet waren. In anderen war noch viel Luft nach oben.“ Aus ihrer Sicht fehlt ein Mindeststandard für die Vermittlung eines sinnvollen Umgangs mit psychisch erkrankten Menschen in der Aus- und Fortbildung der Beamt:innen.

Um die Polizei zu unterstützen, gibt es in der DGPPN mittlerweile eine spezielle Arbeitsgruppe, die einen Werkzeugkasten mit Methoden für die polizeiliche Aus- und Fortbildung erarbeitet. Diese soll sowohl mehr Wissen bezüglich unterschiedlicher Arten psychischer Erkrankungen schaffen als auch auf den Umgang mit Menschen in akuten psychischen Ausnahmesituationen vorbereiten.

Während das Thema zwar in der Polizeiausbildung einen festen Platz hat, gibt es noch nicht überall regelmäßige, verpflichtende Fortbildungen dazu. Diese Kritik wird auch immer wieder laut, wenn Polizeibeamt:innen Menschen in psychischen Krisen erschießen oder Taser einsetzen.

Dallüge sagt: Wenn die Polizei nur wisse, dass eine Person als psychisch erkrankt gekennzeichnet ist, helfe das nicht weiter. „Die Polizei braucht Schulungen und Weiterbildungen für einen besseren Umgang mit psychischen Erkrankungen und in psychischen Ausnahmesituationen“, sagt sie. „Es ist beispielsweise überhaupt nicht hilfreich, falls eine Person gerade sehr agitiert ist und dadurch vielleicht aggressiv wirkt, dass dann die Polizei als Antwort ebenfalls aggressiv auftritt. Was in einer solchen Situation die größte Sicherheit schafft, ist ein guter Umgang mit den betroffenen Menschen.“

Was bringen die Hinweise?

Einige der angefragten Länderpolizeien betonen in ihren Antworten auf unsere Frage, welche praktische Bedeutung die PHWs in der Polizeiarbeit haben, dass dieser Umgang für sie ein Thema ist. So schreibt etwa Baden-Württemberg, wo derzeit 5.237 Hinweise zum PHW PSYV und 2.632 Hinweise zum PHW FREI im Datenbestand sind, die Bedeutung der PHWs richte sich nach dem Einzelfall.

„Wie viele Datensätze mit den PHWs "Psychische und Verhaltensstörung" und "Freitod-Gefahr" nutzen die Bundesländer?“ von Datawrapper anzeigen

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„Wie viele Datensätze mit den PHWs „Psychische und Verhaltensstörung“ und „Freitod-Gefahr“ nutzen die Bundesländer?“ direkt öffnen

„Psychische Auffälligkeiten zu erkennen und adäquat auf Betroffene, die sich in einem Ausnahmezustand befinden, zu reagieren, setzt ein aufmerksames Gespür und eine hohe Sensibilität voraus“, heißt es aus Baden-Württemberg. Die Einsatzkräfte müssten darauf in der Regel ad hoc reagieren. „Der frühzeitige Hinweis auf psychische Störungen und Verhaltensstörungen bzw. eine Freitodgefahr – beispielsweise über PHW – ermöglicht es den Einsatzkräften, sich auf das polizeiliche Gegenüber einzustellen und möglichst angemessen auf die Person einzugehen.“

Die Polizei Bremen weist selbst auf kritische Punkte im Umgang mit den PHW hin: „Sie dürfen nicht zu einer Vorverurteilung oder Stigmatisierung der betroffenen Person führen. Personengebundene Hinweise sind als Hilfsmittel zu betrachten, die in Kombination mit einer professionellen, einzelfallbezogenen Einschätzung eingesetzt werden.“ Die anderen Länderpolizeien ähneln sich in ihren Antworten und verweisen vor allem darauf, dass die PHWs zur Eigen- und Fremdsicherung genutzt werden.

Prävention statt Stigmatisierung

Am wichtigsten ist für Gouzoulis-Mayfrank der Aspekt der Prävention: „Der Schlüssel liegt nicht in Registern oder Datenspeicherung – wir müssen die Behandlungsmöglichkeiten optimieren.“ Das betont auch Elisabeth Dallüge. In ihrer Arbeit im Maßregelvollzug kam sie vor allem mit Patient:innen in Kontakt, die nicht freiwillig einen Weg zur Behandlung gefunden haben und daher oft erst therapeutisch begleitet werden, wenn bereits etwas passiert ist.

Das kann die Erfassung von erkrankten Personen nicht ändern. Stattdessen bringt sie Dallüges Ansicht nach noch mehr Stigmatisierung und Datenschutzprobleme: „Viel wichtiger wäre es, Prävention und Früherkennung zu stärken, Betroffenen den Zugang zu Behandlungsmöglichkeiten zu geben und auch durch Sozialarbeit Ansprechpartner zu bieten.“

Kategorien: Externe Ticker

Neue Datenschutzhinweise: Doctolib will KI-Modelle mit Gesundheitsdaten trainieren

24. Januar 2025 - 9:57

Der IT-Dienstleister Doctolib will künftig Daten seiner Nutzer:innen für das Trainieren von KI-Modellen verwenden. So steht es in den aktualisierten Datenschutzhinweisen des Anbieters, die ab dem 22. Februar wirksam werden. Doctolib beruft sich auf sein berechtigtes Interesse bei Daten wie Geschlecht, Geburtmonat und -jahr oder Antworten auf freiwillige Umfragen. Ob auch Gesundheitsdaten verwendet werden, dürfen die Nutzer:innen entscheiden.

Laut einer E-Mail, die an Account-Inhaber:innen verschickt wurde, entwickle Doctolib „fortlaufend neue daten- und KI-gestützte Produkte“. Als Beispiele nennt das Unternehmen „Erinnerungen an erforderliche Rezepterneuerungen und neue Funktionen bei den Patientennachrichten“. Nutzer:innen sollen zeitnah weitere Informationen in ihren Accounts angezeigt bekommen. „Dort haben Sie auch die Möglichkeit, Ihre Einwilligung zu erteilen. Selbstverständlich entscheiden Sie frei, ob Sie uns Ihre Einwilligung geben möchten. Diese können Sie jederzeit in Ihren Einstellungen anpassen.“

In den künftigen Datenschutzhinweisen wird klarer, um welche Art von Gesundheitsdaten es gehen könnte. In einer Liste sind etwa „Suchdaten, Terminhistorie, Dokumente, medizinische Notizen, vom Nutzer auf der Plattform eingegebene medizinische Informationen“ angeführt. Aber auch Informationen, die von den Praxen erhoben und bei Doctolib eingespeist werden, sollen dazuzählen.

Doctolibs KI-Strategie

Doctolib hatte im vergangenen Jahr einen immer größeren Fokus auf KI-Entwicklung gelegt. Im Mai verkündete das Unternehmen die Übernahme von Aaron.ai, einem KI-gestützten Telefonassistenten und bietet seitdem eine automatisierte Anrufentgegennahme als Produkt an. Nur einen Monat später übernahm Doctolib auch Typeless, das auf Spracherkennung im medizinischen Kontext spezialisiert ist. Bis Ende 2024 wollte Doctolib dann eigentlich einen „medizinischen Assistenten“ vorstellen.

Das aus Frankreich stammende Start-up Doctolib gilt als sogenanntes „Unicorn“ und ist die weitverbreiteteste Plattform für Online-Arzttermine in Deutschland. Laut eigener Aussage nutzen hierzulande 20 Millionen Patient:innen den Dienst, zudem bediene es über 100.000 Gesundheitsfachkräfte.

Doctolib war in der Vergangenheit wiederholt in die Kritik geraten. So hatte es laut einer Recherche von mobilsicher.de zeitweise sensible Gesundheitsdaten an Facebook und die Werbeplattform Outbrain übertragen. Auch sammelte es bei der Vermittlung von Arztterminen unnötig viele Daten und nutzte sie für Marketingzwecke.

Ein weiteres Problem kommt durch die Praxen, die Doctolib nutzen: Es gibt immer wieder Beschwerden von Patient:innen über Praxen, die eine Terminbuchung via Doctolib voraussetzen. In diesen Fällen werden diese praktisch von einer Behandlung ausgeschlossen, wenn sie das Portal nicht nutzen wollen.

Kategorien: Externe Ticker

Nach Amtsantritt von Trump: Transatlantisches Datenabkommen bekommt erste Risse

23. Januar 2025 - 17:14

Eine entscheidende rechtliche Stütze für den transatlantischen Datenverkehr gerät ins Wanken. Die in den USA dafür zuständige Aufsichtsbehörde, das „Privacy and Civil Liberties Oversight Board“, droht mit Ende der Woche handlungsunfähig zu werden, wie die New York Times berichtet. Das könnte der erste Schritt dazu sein, die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA bereits zum dritten Mal zum Einsturz zu bringen.

US-Geheimdienste haben noch weitreichendere Zugriffsmöglichkeiten auf Daten als solche in Ländern der Europäischen Union. Das gilt insbesondere für Daten von Nicht-US-Bürger:innen. Das betrifft etwa Daten, die von sozialen Netzwerken oder Mailanbietern in den USA gespeichert werden, faktisch also weite Teile der Digitalwirtschaft. Im Anschluss an die Enthüllungen des NSA-Whistleblowers Edward Snowden hat dieses Ungleichgewicht zu Grundsatzurteilen des Europäischen Gerichtshofs (EuGH) geführt, die der österreichische Jurist und Datenschutzaktivist Max Schrems angestrengt hatte.

Ringen um rechtskonformen Datenaustausch

Grundsätzlich ist es weitgehend untersagt, personenbezogene Daten von EU-Bürger:innen ins EU-Ausland zu transferieren – es sei denn, dort besteht ein mit EU-Gesetzen vergleichbares Datenschutzniveau. Dies ist in den USA allerdings nicht der Fall, entschied der EuGH mittlerweile zwei Mal und kippte die jeweiligen Angemessenheitsbeschlüsse der EU-Kommission. Mit solchen Beschlüssen legalisiert die Kommission den Datenaustausch, indem sie offiziell festhält, dass das Datenschutzniveau in dem anderen Land EU-Standards entspricht.

Nach dem letzten einschlägigen EuGH-Urteil im Jahr 2020 setzte sich die EU-Kommission erneut daran, gemeinsam mit der US-Regierung endlich eine tragfähige Basis für den wirtschaftspolitisch wichtigen Datenaustausch zu finden. Die Verhandlungen mündeten in das sogenannte EU-U.S. Data Privacy Framework, welches den Datenschutzrahmen vorgibt. Dieses war flankiert von einer präsidentiellen Verfügung (Executive Order) des damaligen US-Präsidenten Joe Biden. Darin waren eine erweiterte und mehrstufige Aufsicht über die US-Geheimdienste sowie Beschwerdemöglichkeiten für EU-Büger:innen festgeschrieben.

Unabhängige Aufsicht ausgehebelt

Zu einem der Sicherungsmechanismen zählt besagtes „Privacy and Civil Liberties Oversight Board“ (PCLOB). Das aus fünf Mitgliedern bestehende Aufsichtsgremium soll eigentlich unabhängig agieren können und unter anderem jährlich bestätigen, dass US-Geheimdienste rechtskonform mit sensiblen Daten aus der EU umgehen. Die Behörde ist zwar gesetzlich abgesichert, die Kontrollbefugnisse für den Datenschutzrahmen erteilte ihr Joe Biden allerdings erst nachträglich.

Der New York Times zufolge haben nun die drei der PCLOB-Mitglieder, die von den Demokraten in das Gremium entsandt wurden, einen Brief der Trump-Administration erhalten. Demnach sollen sie bis Ende der Woche von ihrem Amt zurücktreten, sonst werden sie entlassen. Unvollständig besetzt kann das PCLOB allerdings seinen Aufgaben nicht nachkommen, genauso wie sich Fragen nach dessen Unabhängigkeit stellen, wenn Trump so einfach ein Schlupfloch im entsprechenden Gesetz nutzen kann.

Dass Executive Orders ohnehin ein schwaches Instrument sind, weil sie im Unterschied zu vom Kongress verabschiedeten Gesetzen von Nachfolgeregierungen leicht außer Kraft gesetzt werden können, hatte auf europäischer Seite schon vor Jahren zu Kritik geführt. EU-Abgeordnete sprachen anlässlich des damals von EU-Kommissionspräsidentin Ursula von der Leyen erreichten Deals von „Augenwischerei“ und „leeren Worten“.

Möglicher Startschuss für Erosion

Die Warnungen scheinen sich nun zu bewahrheiten. „Dieses Abkommen war schon immer auf Sand gebaut, aber die EU-Wirtschaftslobby und die Europäische Kommission wollten es trotzdem“, sagt Max Schrems in einem Blogbeitrag seiner Datenschutz-NGO noyb (None Of Your Business). Statt eines stabilen rechtlichen Rahmens habe sich die EU auf die Versprechen des damaligen Präsidenten verlassen, die in Sekundenschnelle ausgehebelt werden können.

Zwar sei das PCLOB nur ein „Puzzleteil“ des Datenschutzrahmens, argumentiert Schrems, vollständig aufgelöst sei er noch nicht. Mit der Abberufung von Mitgliedern könnte jedoch der Startschuss für die Erosion des gesamten rechtlichen Konstrukts gefallen sein. So genieße der ebenfalls wichtige, wenngleich schwache „Data Protection Review Court“ eine noch schlechtere rechtliche Verankerung als das PCLOB. Zudem habe Trump angekündigt, binnen 45 Tagen sämtliche Verfügungen von Joe Biden zu prüfen und gegebenenfalls zu widerrufen.

„Es gab lange Diskussionen über die Funktionsfähigkeit und Unabhängigkeit dieser Kontrollmechanismen“, sagt Schrems. Nun sehe es danach aus, als würden sie nicht einmal den ersten Tagen einer Trump-Präsidentschaft standhalten. „Das ist der Unterschied zwischen solidem Rechtsschutz und Wunschdenken – die Europäische Kommission hat sich ausschließlich auf Wunschdenken verlassen“, warnt der Datenschützer.

Kategorien: Externe Ticker

Wahlsoftware: Alle Wege führen nach Aachen

23. Januar 2025 - 10:26

Deutschland wählt analog. Das gilt auch für die Bundestagswahl am 23. Februar. Doch neben Stift, Papier und Briefumschlägen kommt in Deutschland auch Software zum Einsatz. Am Wahltag selbst werden damit etwa sogenannte Schnellmeldungen erstellt, diese bilden die Basis des vorläufigen Ergebnisses für einzelne Wahlkreise, Bundesländer und die Bundesrepublik als Ganzes.

Doch wem gehören diese Softwareprodukte eigentlich? Warum ist der Quellcode nicht öffentlich? Und was hat das alles mit Aachen zu tun?

Qualitätsmängel und Fehler in der Vergangenheit

An den eingesetzten Software-Produkten gibt es immer wieder Kritik. Im September berechnete die Wahlsoftware in Sachsen die Sitzverteilung des vorläufigen Ergebnisses zunächst falsch. Dadurch sah es so aus, als würde die AfD eine Sperrminorität im Landtag bekommen. Das musste später korrigiert werden. Auch wenn die Korrektheit des eigentlichen Wahlergebnisses dadurch nie gefährdet war: Demokratiefeinde nutzten die Panne für Verschwörungserzählungen.

Sicherheitsforschende innerhalb und außerhalb des CCC fanden zudem immer wieder Sicherheitsmängel. Zuletzt zeigten Linus Neumann und Thorsten Schröder auf dem 38. Chaos Communication Congress, dass auch eine aktuelle Wahlsoftware-Anwendung Qualitätslücken hat. Der zentrale Vorwurf: Die Software signiere die übermittelten Ergebnisse nicht nach gängigen und etablierten BSI-Anforderungen.

Wer stellt die Wahlsoftware her?

Der Hersteller der kritisierten Wahlsoftware, die votegroup GmbH, schreibt dazu auf Anfrage von netzpolitik.org: Die im Vortrag dargestellte Software habe keinerlei Bezüge zur Bundestagswahl. „Dieses Softwaremodul wird ausschließlich in Rheinland-Pfalz zu den Kommunalwahlen verwendet, um die Stimmen einzelner Stimmzettel zu erfassen. Die angesprochene Signierung der Konfiguration, Transportmedien und Ergebnisse können verbessert werden. Auch könnten sicherere (digitale) Transportwege eingerichtet werden.“ Dies scheitere aber oft an dem Nichtvorhandensein einer dafür notwendigen Infrastruktur und sicherer Netzanbindungen.

Die votegroup GmbH ist nicht nur Herstellerin dieser einen Software. Sie ist der Platzhirsch unter den Wahlsoftware-Herstellern in Deutschland. Seinen Sitz hat das Unternehmen in Aachen, entwickelt wird an den Standorten in Berlin und Gütersloh. Die votegroup GmbH ist der Nachfolger der vote iT GmbH. Nach den Angaben von Geschäftsführer Dieter Rehfeld setzen über 90 Prozent der Kommunen Wahlsoftware der votegroup ein, ebenso die Bundeswahlleiterin und sieben Landeswahlleitungen.

Wir haben alle Landeswahlleiter:innen angefragt, welche Software sie verwenden und welche die Kommunen in ihrem Land. Das Ergebnis: Entweder verwenden sie selbst-entwickelte Lösungen – oder Produkte der votegroup. Keine einzige Landeswahlleitung nannte Produkte eines anderen Herstellers. Eine Online-Übersicht der votegroup nennt alleine für die Software „votemanager“ 3.161 Gemeinden, Städte und Verwaltungsgemeinschaften.

„Verwendete Software der Landeswahlleitungen“ von Datawrapper anzeigen

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„Verwendete Software der Landeswahlleitungen“ direkt öffnen

Diese marktbeherrschende Stellung hat sich die heutige votegroup in den letzten Jahren durch mehrere Übernahmen erarbeitet. Ihr Mutterkonzern kaufte 2016 den Hersteller von PC-Wahl. 2020 übernahm die votegroup (damals noch vote iT) IVU.elect. Auch die WRS Softwareentwicklung GmbH ist seit Dezember 2019 vollständig im Besitz der votegroup, das zeigen Dokumente aus dem Handelsregister.

Diese Unternehmensgeschichte erklärt auch, warum so viele unterschiedliche Softwareprodukte in Deutschland eingesetzt werden, obwohl sie zum gleichen Hersteller gehören. Auf netzpolitik.org-Anfrage erklärt die votegroup, dass „elect“, „Elect-WAS“, „IVU-elect“, „votemanager“, „Wahlabwicklungssystem (WAS)“ und „Wahlmanager“ eigenständige Produkte sind. Aktuell bestehe das Produktportfolio aus den Softwareprodukten votemanager und elect, schreibt die votegroup.

Wem gehört die votegroup GmbH?

Die votegroup ist vollständig in der Hand kommunaler IT-Dienstleister. 70 Prozent der Anteile hält die regio iT, ein kommunaler IT-Dienstleister für Aachen und die Region. Die Anstalt für Kommunale Datenverarbeitung Bayern (AKDB) hält weitere 20 Prozent der Anteile. Der Rest verteilt sich auf unterschiedliche kommunale IT-Dienstleister sowie den Wahlsoftware-Anwender-Verein.

„Gesellschafter der votegroup GmbH“ von Datawrapper anzeigen

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„Gesellschafter der votegroup GmbH“ direkt öffnen

Die kommunalen IT-Dienstleister wiederum sind mehr oder weniger direkt in der Hand der Kommunen. So ist das auch im Gesellschaftsvertrag der votegroup vorgesehen.

Dabei ist die Beteiligung der Kommunen durchaus unterschiedlich ausgeprägt. An der Regio iT ist beispielsweise die Stadt Aachen stark beteiligt, mit mindestens 47 Prozent. 10 Prozent der Anteile hält sie direkt, den Rest über die Energieversorgungs- und Verkehrsgesellschaft, welcher der Stadt zu 99,99 Prozent gehört.

Die AKDB wiederum wird getragen von den vier kommunalen Spitzenverbänden in Bayern, also den Interessenvertretungen der Kommunen.

Sind dann die Kunden nicht auch gleichzeitig die Eigentümer?

Dass die Kunden mittelbar auch gleichzeitig die Eigentümer der votegroup sind, ist auch im Gesellschaftervertrag geregelt. In diesem heißt es in §3: „Abnehmer der Leistungen können ausschließlich Gesellschafter bzw. die Mitglieder von Gesellschaftern sein. [..]“

Zum Teil kaufen die Kommunen die Software selbst, zum Teil kaufen zuerst die IT-Dienstleister die Software – um sie dann an Kommunen weiterzuverkaufen. Die AKDB beispielsweise bezeichnet sich als „Vertriebspartner“ der votegroup für Bayern. Sie sieht in dieser Doppelrolle keinen Interessenskonflikt. Es ermögliche der AKDB „vielmehr im Sinne ihrer Rolle für die bayerischen Kommunen auch deren Anforderungen an das Wahlprodukt mit in den Entwicklungsprozess einfließen lassen zu können.“

Auch die votegroup sieht in dieser Doppelrolle ihrer Gesellschafter/Kunden keinen Widerspruch: „Im Rahmen der interkommunalen Zusammenarbeit haben sich Kommunen und kommunale Unternehmen zusammengeschlossen, um Wahlsoftware in öffentlicher Hand sicher zu entwickeln und zu betreiben.“

Die Konstruktion mit den IT-Dienstleistern hat für die Kommunen weitere Vorteile: Laut dem Wissenschaftlichen Institut für Infrastruktur und Kommunikationsdienste können die IT-Dienstleister in der Regel „Inhouse-Geschäfte“ mit den Kommunen, die Träger, Mitglieder oder Gesellschafter der Unternehmen sind, abschließen. „Das bedeutet, dass die Kommunen Aufträge an sie direkt vergeben können. Die Aufträge sind mehrwertsteuerfrei und verursachen einen geringeren organisatorischen Aufwand, da keine Vergabeverfahren durchgeführt werden muss.“ Das betrifft nicht nur Wahlsoftware, sondern alle möglichen Arten von Software.

Trotz der Tatsache, dass die (End-)Kunden zumindest zum Teil gleichzeitig die Eigentümer sind, ist das Geschäft der votegroup profitabel. Laut ihren Jahresabschlussberichten erzielte die votegroup GmbH (damals noch unter dem Namen „vote iT“) in den Jahren 2021 und 2022 zusammengerechnet einen Gewinn von etwa 2 Millionen Euro.

Was passiert mit dem Gewinn?

Die votegroup schreibt dazu auf Anfrage: „Die votegroup GmbH muss für die sichere Weiterentwicklung der Software, für die wirtschaftliche Stabilität der Gesellschaft und für das Investment (Zinsen und Tilgung) ihrer Gesellschafter eine auskömmliche Rendite erwirtschaften.“

Wie die votegroup auf Anfrage bestätigt, floss der Gewinn in der Vergangenheit an die Gesellschafter zurück. In wie vielen Jahren das geschah und um welche Summen es insgesamt geht, ist unklar. Allerdings bleibt das Geld nicht nur bei den IT-Dienstleistern, also vor allem der regio iT und der AKDB. Die regio iT schüttet Ihren Gewinn zum Teil auch an ihre Gesellschafter aus.

So steht im Haushaltsplan der Stadt Aachen (2024, S. 3666), dass die Stadt „für Ihren direkten Anteil für das Geschäftsjahr 2022“ eine Nettogewinnausschüttung von 713.000 Euro erhielt. Im Vergleich zur Gesamtgröße des Haushaltsplans ist das ein sehr geringer Posten. Der Haushalt der Stadt Aachen umfasst zwischen 1,2 und 1,3 Milliarden Euro. Auf eine Anfrage von netzpolitik.org reagierte die Stadt Aachen nicht.

Die AKDB wiederum teilt mit, dass sie „als sogenannte ‚Selbsthilfeeinrichtung der Kommunen‘ und als Anstalt des öffentlichen Rechts“ nicht gewinnorientiert arbeite. „Alle Erlöse bleiben im Unternehmen und dienen nicht nur zur Deckung des laufenden Aufwands, sondern insbesondere auch der Neu- und Weiterentwicklung unserer Lösungsangebote.“

Unabhängig der konkreten Gewinnsummen bleibt die Frage: Wie sinnvoll ist die aktuelle Struktur, bei der eine Gesellschaft mit großem Aachener Anteil fast alle Kommunen in Deutschland mit Wahlsoftware beliefert?

Public Money – Secret Code?

So ist fraglich, warum die von der Öffentlichkeit bezahlte und im Besitz staatlicher Unternehmen befindliche Software nicht auch der Öffentlichkeit zur Verfügung steht – getreu dem Grundsatz: „Public Money – Public Code“. Jutta Horstmann, Geschäftsführerin des Zentrums für Digitale Souveränität in der öffentlichen Verwaltung (ZenDis), erklärt auf Anfrage, es gehe um mehr „Public Money – Public Code“. „Bei allen kritischen Systemen muss der Staat höchste Anforderungen an Digitale Souveränität und Transparenz anlegen.“

Im Fall von Wahlsoftware komme verschärfend hinzu, dass eine Wahl nicht einfach ein administrativer Prozess ist, sondern „konstituierend für die Demokratie“. Bürger:innen müssen den Wahlen und den Wahlergebnissen vertrauen. „Das geht nur, wenn der Code der verwendeten Software quelloffen und damit transparent ist“, bekräftigt Horstmann.

Mehrere Landeswahlleiter:innen verweisen darauf, dass das amtliche Endergebnis nicht von Software, sondern den gedruckten Stimmzetteln abhängt. „Alle Wahlunterlagen können und werden im Falle ihrer Entscheidungserheblichkeit bei Anfechtungs- und Wahlprüfungsverfahren auch zur Überprüfung herangezogen“, sagt etwa die Landeswahlleiterin des Saarlands.

Gegen die Veröffentlichung von Wahlsoftware führen Teile der Verwaltung Sicherheitsbedenken an. „Eine Veröffentlichung des Quellcode erfolgt insbesondere nicht, um die Sicherheit des Verfahrens zu gewährleisten“, schreibt etwa die Landeswahlleitung aus Rheinland-Pfalz, die gemeinsam mit Hessen eine Eigenentwicklung nutzt. Der CCC und andere argumentieren hingegen: Sicherheit durch Geheimhaltung funktioniere nicht, stattdessen würden Schwachstellen durch eine Offenlegung schneller bekannt – und die Software somit sicherer.

Wer steht in der Verantwortung?

Aus Sicht der Geschäftsführerin von ZenDis zeigt sich in der Debatte um Wahlsoftware auch ein generelles Problem: „Wir brauchen endlich einen Vorrang für Open-Source-Software im Vergaberecht. Verbunden mit dem klaren Ziel, die Beschaffung bis 2035 vollständig auf Open-Source-Software umzustellen und bis dahin einen schrittweise steigenden Open-Source-Mindestanteil bei Beschaffungsvorgängen und in Rahmenverträgen verpflichtend zu machen“, sagt Horstmann.

Auch viele Wahlleiter:innen aus Bund und Ländern verweisen auf eine fehlende Rechtsgrundlage und sehen keine Notwendigkeit einer Veröffentlichung.

Zudem schreibt uns die Landeswahlleiterin des Saarlands: „Eine Veröffentlichung des Quellcodes einer (Wahl)Software bedürfte der Einwilligung des jeweiligen Softwareherstellers.“ Die votegroup wiederum spielt den Ball zu den Kunden zurück: „Die Software kann nur in Abstimmung mit den jeweiligen Kunden veröffentlicht werden.“

Kategorien: Externe Ticker

Crypto Wars: Europol-Chefin fordert wieder mal Zugang zu verschlüsselten Nachrichten

22. Januar 2025 - 15:10

Tech-Unternehmen müssten Ermittlungsbehörden Zugang zu verschlüsselten Inhalten geben, sonst sei die europäische Demokratie gefährdet, sagte Europol-Chefin Catherine De Bolle gegenüber der Financial Times am Rande des Weltwirtschaftsforums in Davos.

Die Unternehmen hätten eine „soziale Verantwortung“ und müssten der langjährigen Forderung nach Zugriff auf verschlüsselte Nachrichten nachkommen, forderte De Bolle. Diese würden von Kriminellen genutzt, um anonym zu bleiben, so die Direktorin der EU-Polizeibehörde. Im Laufe der Woche werde sie sich in Davos mit Vertreter:innen von Big-Tech-Unternehmen treffen, um die Materie direkt mit ihnen zu diskutieren.

„Anonymität ist kein Grundrecht“, sagte De Bolle. „Wenn wir einen Durchsuchungsbefehl haben und vor einem Haus stehen, die Tür verschlossen ist und wir wissen, dass sich der Verbrecher im Haus befindet, wird die Bevölkerung es nicht akzeptieren, dass wir nicht hineinkommen.“ Polizeien müssten in der Lage sein, bei der Kriminalitätsbekämpfung vertrauliche Nachrichten zu entschlüsseln, sonst ließe sich „Demokratie nicht durchsetzen“.

Jahrzehntealte Debatte

Ermittlungsbehörden ist Verschlüsselung seit Jahrzehnten ein Dorn im Auge. Unter dem Motto „Going Dark“ fürchten sie, blind und taub zu werden, wenn Kriminelle moderne Verschlüsselungsverfahren nutzen. Dabei stehen ihnen inzwischen weit mehr Daten für Polizeiarbeit zur Verfügung als je zuvor. Zudem zählen offensive Methoden wie Staatstrojaner inzwischen zu einem Standard-Werkzeug vieler Ermittlungen. Um den Preis nicht umgehend geschlossener Sicherheitslücken lässt sich damit zielgerichtet auf an sich verschlüsselte Inhalte zugreifen.

Trotz beharrlicher Bemühungen, Hintertüren oder andere Zugänge zu verschlüsselten Inhalten zu schaffen, konnten sich Polizeien und Geheimdienste bislang mit ihrer Forderung nicht durchsetzen. Wie Expert:innen unermüdlich betonen, würde das die IT-Sicherheit des gesamten digitalen Ökosystems gefährden. Schließlich schützt die selbe Technik, die zuweilen von Kriminellen genutzt werden kann, unter anderem die vertrauliche Kommunikation von Bürger:innen oder sichere Verbindungen zu Online-Shops, Banken und kritischer Infrastruktur.

Die IT-Branche selbst ließ sich von dem beständigen Säbelrasseln der Behörden bislang kaum beeindrucken. Um die Privatsphäre ihrer Nutzer:innen zu schützen, zählen etwa verschlüsselte Festplatten inzwischen zur Grundeinstellung vieler Betriebssysteme. Ende-zu-Ende-Verschlüsselung ist bei zahlreichen Messengern nicht mehr wegzudenken, unter anderem bei Apples iMessage, Metas WhatsApp oder beim nicht-kommerziellen Signal-Messenger. Auch der Messenger von Facebook setzt mittlerweile auf die sichere Technik, obwohl das Behörden wie das FBI mit aller Kraft zu verhindert versuchten.

CCC: Verschlüsselung schützt Demokratie

„Es ist Wahnsinn, hier von ’sozialer Verantwortung‘ zu sprechen, wenn gerade an wesentlichen Stellen wie Faktenchecks zurückgerudert wird“, sagt Elina Eickstädt, Sprecherin des Chaos Computer Club (CCC). Zuletzt haben große Online-Anbieter wie Meta und X ihre Moderationsregeln gelockert, was Expert:innen zufolge weltweit dramatische Konsequenzen bis hin zu Förderung von Genoziden haben könnte.

Statt weniger brauche es mehr Maßnahmen zum Schutz der Demokratie, fordert Eickstädt. Vertrauliche und verschlüsselte Kommunikation sei das einzige, was bleibt, um Betroffene vor Repressionen zu schützen, so die CCC-Sprecherin. „Sie liefert eine wichtiges Werkzeug für Solidarität und zivilgesellschaftliches Engagement, das wir in der heutigen Zeit mehr denn je brauchen.“

Initiativen auf EU-Ebene

Europol hatte im Vorjahr in einem Bericht eine „konstruktive Diskussion über Verschlüsselung“ gefordert und dabei auf einen „Zugang zu verschlüsselter Kommunikation und deren Zulässigkeit als Beweismittel in Gerichtsverfahren“ gepocht. Letzteres bezieht sich die weiterhin laufenden juristischen Auseinandersetzungen rund um spektakuläre Hacks von Anbietern wie EncroChat oder Sky ECC. Diese hatten auf Kriminelle zugeschnittene, verschlüsselte Kommunikationsplattformen angeboten, wurden aber letztlich von Ermittlungsbehörden infiltriert und aus dem Verkehr gezogen.

Ebenfalls im Vorjahr hatte eine von der EU eingerichtete Arbeitsgruppe auf den Zugang zu verschlüsselten Inhalten gedrängt. Die fast ausschließlich aus dem Sicherheitsapparat stammenden Fachleute hatten gut zwei Jahre lang darüber beraten, wie sich dem Phänomen des „Going Dark“ begegnen lässt. Im Vergleich zu einem früheren Empfehlungspapier fiel der Abschlussbericht zwar merklich abgeschwächt aus, rückte jedoch nicht von der Kernforderung ab.

Der Bericht der Gruppe dürfte in die Arbeit der im Winter neu bestellten EU-Kommission einfließen. Diese versucht ohnehin seit Jahren, mit der hoch umstrittenen Chatkontrolle indirekt den Zugang auf eigentlich verschlüsselte Inhalte zu ermöglichen. Ihren Gesetzentwurf konnte sie jedoch bis heute nicht durchboxen.

Während das EU-Parlament den Zugriff auf vertrauliche Kommunikation ablehnt, konnten sich die EU-Länder noch nicht auf eine gemeinsame Position verständigen. Derweil hat beispielsweise Apple einen freiwilligen Vorstoß in Richtung Chatkontrolle wieder zurückgenommen. Es sei „praktisch unmöglich“, automatische Scans vertraulicher Nachrichten mit Privatsphäre und Sicherheit zu vereinen, so das Unternehmen.

Kategorien: Externe Ticker

AI Act: Wie die Ausnahmen in der KI-Verordnung landeten

22. Januar 2025 - 9:32

Dieser Artikel wurde von dem Journalistenteam Investigate Europe recherchiert, das aus Reporterinnen und Reportern aus elf europäischen Staaten besteht. Die Recherche wird gemeinsam mit Medienpartnern wie Disclose (Frankreich), EU Observer (Belgien), Il Fatto Quotidiano (Italien), InfoLibre (Spanien), Publico (Portugal) und Efsyn (Griechenland) veröffentlicht.

Ab dem 2. Februar 2025 sind KI-Systeme, die ein unannehmbares Risiko darstellen, in der EU verboten. Das ist im AI Act, der europäischen KI-Verordnung, geregelt. Die ersten dieser Regeln werden bald gültig, bei anderen dauert es noch etwas. Aber der AI Act enthält Ausnahmen und Schlupflöcher. Deshalb dürfen etwa Strafverfolgungsbehörden weiter Gesichtserkennung auf Videoüberwachungsbilder anwenden und an der Grenze dürfen automatisiert die mutmaßlichen Emotionen von Geflüchteten ermittelt werden. Das sind nur einige der Punkte, die die EU-Staaten in den europäischen AI Act hineinverhandelt haben. Dabei sollte das Gesetz eigentlich die zahlreichen Grundrechtsbedenken beim Einsatz von KI-Systemen ausräumen.

Grund für die Ausnahmen ist unter anderem die geheime Lobbyarbeit Frankreichs und anderer EU-Staaten. Das zeigen interne Dokumente aus den Verhandlungen, die Investigate Europe vorliegen. Sie zeichnen ein Bild von Gesprächen, in denen es den Mitgliedstaaten gelang, den Gesetzestext zu verwässern und damit Polizei und Grenzschützern die Möglichkeit zu geben, Bürgerinnen und Bürger heimlich zu überwachen.

Ausnahmen für die „nationale Sicherheit“

„Eine Reihe von bürokratischen Schlupflöchern führt dazu, dass der AI Act nicht das Gesetz zum Schutz der Menschenrechte ist, auf das viele gehofft hatten“, sagt die Direktorin der Brüsseler Nichtregierungsorganisation Equinox, Sarah Chander, die sich gegen rassistische Diskriminierung einsetzt. „In Wirklichkeit ist der AI Act ein industriefreundliches Instrument, das den europäischen KI-Markt schnell voranbringen und den öffentlichen Dienst digitalisieren soll.“

Für die Recherche konnte Investigate Europe mehr als 100 Dokumente aus den Sitzungen des COREPER-Ausschusses sichten, in dem sich die ständigen Vertreter:innen der 27 Mitgliedstaaten treffen. Sie bereiten die Sitzungen des Rats der EU vor. Die Journalistinnen und Journalisten konnten auch mit mehreren Personen sprechen, die an den Verhandlungen beteiligt waren. Sie zeigen, wie Frankreich strategische Änderungen im Gesetzestext durchsetzen konnte.

Das KI-Gesetz verbietet den Einsatz von Gesichtserkennungssystemen im öffentlichen Raum. Ausnahmen, die von der Regierung Macron und ihren Unterstützern in das Gesetz hineinverhandelt wurden, ermöglichen es jedoch, dass Strafverfolgungsbehörden und Grenzschutzbeamte sich nicht immer an dieses Verbot halten müssen. Dies könnte beispielsweise dazu führen, dass Klimademonstrationen oder politische Proteste mit Hilfe von KI überwacht werden, wenn die Behörden eine Gefährdung der „nationalen Sicherheit“ befürchten.

Harter Kampf um Gesichtserkennung

In einer COREPER-Sitzung im November 2022 brachte der französische Verhandlungsführer die Wünsche seiner Regierung unmissverständlich zum Ausdruck. Er habe gefordert, dass „die Ausnahme von Sicherheit und Verteidigung vom Anwendungsbereich unbedingt beibehalten werden muss“, heißt es in einem Protokoll der Sitzung. Damit bezog er sich auf eine Passage im damaligen Gesetzentwurf, laut der nur das Militär Echtzeit-Gesichtserkennung im öffentlichen Raum einsetzen dürfen sollte. In einer späteren Sitzung unterstützten mehrere Staaten die französische Forderung, darunter Italien, Schweden, Finnland, Tschechien, Litauen, Rumänien, Ungarn und Bulgarien.

„Das war einer der härtesten Kämpfe, den wir am Ende verloren haben“, erinnert sich einer der Verhandlungsführer im Gespräch mit Investigate Europe, der seinen Namen nicht in diesem Bericht lesen möchte. Die endgültige Fassung des Gesetzes erlaubt es Staaten, Überwachungstechnologien einzusetzen, wenn es um die nationalen Sicherheit geht.

In der Praxis könnten sich dank dieser Regelung auch private Unternehmen sowie Drittstaaten an der Überwachung von EU-Bürgern beteiligen, wenn sie den Sicherheitsbehörden des Landes KI-Technologie zur Verfügung stellen. Das Gesetz sieht vor, dass die Überwachung zulässig ist – „unabhängig von der Art der Einrichtung, die diese Tätigkeiten ausübt“.

Schlupfloch für private Unternehmen

„Dieser Artikel verstößt gegen jede Verfassung, gegen die Grundrechte und gegen europäisches Recht“, sagt ein Jurist der konservativen EVP-Fraktion im Europäischen Parlament im Gespräch mit Investigate Europe. „Frankreich könnte zum Beispiel die chinesische Regierung bitten, mit ihren Satelliten Fotos zu machen und diese an die französische Regierung zu verkaufen.“

Die Ausnahme widerspreche auch Urteilen des Europäischen Gerichtshofs, sagt die Rechtswissenschaftlerin Plixavra Vogiatzoglou von der Universität Amsterdam. In den Jahren 2020 und 2022 hatten die Luxemburger Richter geurteilt, dass französische Telekommunikationskonzerne gegen EU-Recht verstoßen hätten, weil sie Daten aus Gründen der nationalen Sicherheit gespeichert hätten. Vogiatzoglou: „Der EU-Gerichtshof hat gesagt, dass private Unternehmen nicht vom EU-Recht ausgenommen sind, auch wenn sie in Fragen der nationalen Sicherheit involviert sind.“

Auch außerhalb der Ratsverhandlungen hat Frankreich in den vergangenen Jahren auf den Einsatz von Überwachungstechnologien gedrängt. So genehmigte das Verfassungsgericht des Landes im Mai 2023 den Einsatz von KI-Systemen zur Videoüberwachung während der Olympischen Spiele in Paris. Diese Maßnahme wurde von Amnesty International als „ernsthafte Bedrohung für bürgerliche Freiheiten und demokratische Prinzipien“ kritisiert. In Zukunft könnte diese Ausnahme zur Regel werden.

Emotionserkennung an der Grenze erlaubt

Ab dem 2. Februar außerdem verboten sind KI-Systeme zur Emotionserkennung am Arbeitsplatz, in Schulen und Universitäten. Außerdem dürfen Unternehmen die Technologie nicht nutzen, um das Verhalten potenzieller Kunden in ihren Geschäften zu analysieren. Auch Arbeitgeber dürfen sie nicht einsetzen, um festzustellen, ob ihre Mitarbeiter zufrieden oder traurig sind. Dank des Einsatzes Frankreichs und anderer EU-Länder dürfen Sicherheitsbehörden und Grenzschützer die Systeme künftig jedoch nutzen.

Bei einer Verhandlungssitzung von COREPER am 29. November 2023 betonte der dänische Vertreter, dass ein Verbot „verhältnismäßig sein muss und nur dann gelten darf, wenn die Gefahr einer Diskriminierung besteht“. Die Niederlande, Portugal und die Slowakei vertraten bei dem Treffen eine ähnliche Position und äußerten sich kritisch zu einer Ausweitung des Verbots auf die Strafverfolgung.

Eine weitere umstrittene Anwendung von KI sind biometrische Kategorisierungssysteme. Deren Betreiber versprechen, damit die ethnische Zugehörigkeit oder sogar die sexuelle Orientierung einer Person bestimmen zu können. Das neue EU-Gesetz verbietet zwar ihren Einsatz, aber hier gibt es ebenfalls eine Ausnahme für Strafverfolgungsbehörden: „Dieses Verbot erstreckt sich nicht auf die Kennzeichnung oder Filterung rechtmäßig erworbener biometrischer Datensätze … auf der Grundlage biometrischer Daten oder auf die Kategorisierung biometrischer Daten“.

Auch hier war es Frankreich, das die Beschränkungen des AI Act aufweichte. In einem schriftlichen Kommentar zum Gesetzentwurf schrieben die französischen Verhandlungsführer am 24. November 2023, es sei „sehr wichtig, die Suche nach einer Person zu ermöglichen, … die ihre religiösen oder politischen Ansichten zum Ausdruck bringt und beispielsweise ein Abzeichen trägt, wenn diese Person in gewalttätigen Extremismus verwickelt ist oder ein terroristisches Risiko darstellt“.

Gesichtserkennungssoftware kann in Echtzeit eingesetzt werden, wenn dies für die Strafverfolgungsbehörden „unbedingt erforderlich“ ist. Die Polizei kann die Technologie bei Ermittlungen zu 16 bestimmten Straftaten einsetzen, darunter „Umweltkriminalität“. Mehrere Staaten drängten darauf, die Liste um Dutzende von Straftaten zu erweitern. Aus dem Protokoll einer COREPER-Sitzung vom November 2023 geht hervor, dass Frankreich auf eine Ausweitung des Anwendungsbereichs drängte. Unterstützt wurde es dabei von den Vertreter:innen aus Italien, Zypern, Estland, Lettland, Bulgarien und Ungarn.

In derselben Verhandlungssitzung forderte der griechische Vertreter, dass Gefängnisse und Grenzgebiete ausdrücklich von jeglichem Verbot ausgenommen werden sollten. Vielmehr sollten die Behörden die Möglichkeit haben, Bürger und Geflüchtete mit Echtzeit-Überwachungstechnologie zu überwachen.

„Ende der Anonymität“

Mit biometrischen Systemen könnten Millionen von Gesichtern überwacht und mit nationalen Datenbanken abgeglichen werden, um Personen zu identifizieren. Der Einsatz dieser Technologie im öffentlichen Raum würde „das Ende der Anonymität an diesen Orten“ bedeuten, warnte bereits 2020 European Digital Rights. Zivilgesellschaftliche Organisationen warnen seit langem davor, dass der AI Act die Grundrechte in Europa massiv einschränken könnte.

„Wir leben in einem Klima, in dem unsere Regierungen auf immer mehr Ressourcen, Gesetze und Technologien drängen, um Menschen in ihrem Alltag leichter zu überwachen, zu kontrollieren und zu bestrafen“, sagt die Gründerin der Brüsseler Anti-Rassismus-Organisation Equinox, Sarah Chander. „Wir entfernen uns immer weiter von einer Zukunft, in der die wir unsere Ressourcen für soziale Vorsorge und Schutz ausgeben statt für Überwachungstechnologie.“

Als am 6. Dezember 2023 die letzte Verhandlungsrunde zwischen Rat, Parlament und Kommission über die endgültige Fassung des AI Act begann, drängte die spanische Ratspräsidentschaft darauf, den Gesetzestext noch vor den Europawahlen im Juni 2024 zu verabschieden. Offenbar fürchteten die spanischen Diplomaten das Erstarken rechtsradikaler Parteien. Ein Beamter, der an den Gesprächen teilnahm und um Anonymität bat, berichtete Investigate Europe, dass die Unterhändler eineinhalb Tage lang verhandelten. „Wir waren erschöpft, und erst nach einer durchverhandelten Nacht begannen wir um 6 Uhr morgens, über Verbote zu sprechen“, erinnert er sich heute. „Am Ende haben wir erreicht, dass jedes Produkt von einer unabhängigen nationalen Behörde zugelassen werden muss.“

Selbstzertifizierung möglich

Der Einsatz sogenannter Hochrisikotechnologien wie Echtzeitüberwachung ist an bestimmte Bedingungen geknüpft, darunter ein Gerichtsbeschluss, die Registrierung in einer europäischen Datenbank und eine Folgenabschätzung zur Wahrung der Grundrechte. Doch auch hier wurden die strengen Regeln in den Verhandlungen teilweise aufgeweicht. So fügten die Verhandlungsführer dem Gesetz einen Artikel hinzu, der es Unternehmen erlaubt, eine Selbstzertifizierung auszufüllen und damit zu entscheiden, ob es sich bei ihrem Produkt um eine Hochrisikotechnologie handelt oder nicht.

Investigate Europe liegt ein internes Arbeitspapier des juristischen Dienstes des Europäischen Parlaments vor, das diese Lösung in Frage stellt. „Den Unternehmen wird ein hohes Maß an Subjektivität überlassen, was im Widerspruch zum Ziel des AI Act steht, das Risiko von Hochrisiko-KI-Systemen zu regulieren.“

Tatsächlich dürften die Verhandlungspartner auch von dem Interesse getrieben gewesen sein, ihre eigenen Wirtschaftsunternehmen zu schützen. Die Regierung Macron warnte in einer Verhandlungsrunde am 15. November 2023, dass ohne einen breiten Einsatz von KI-Technologien „die Gefahr besteht, dass Unternehmen ihre Aktivitäten in Regionen verlagern, in denen Grundrechte keine Rolle spielen“.

Konkrete Auswirkungen noch nicht absehbar

Es bleibt abzuwarten, inwieweit die Mitgliedstaaten die Ausnahmen nutzen werden. Der niederländische Anwalt für digitale Rechte, Anton Ekker, glaubt, dass die Ausnahmen in der Praxis kaum Auswirkungen haben werden. „Ich bin sehr kritisch, wenn ein Staat Algorithmen einsetzt. Aber zu sagen, dass alles erlaubt ist, weil es Ausnahmen gibt, ist nicht richtig“, sagte er in einem Interview mit Investigate Europe. „Es gibt viele nationale Verfassungen, die Grundrechte schützen.“

Professorin Rosamunde van Brakel forscht an der Vrije Universiteit Brüssel zu ethischen Fragen rund um den Einsatz von KI. Sie befürchtet, dass das Gesetz Betroffenen kaum helfen wird. „In den meisten Fällen greifen Regulierung und Aufsicht erst, nachdem es zu einem Verstoß gekommen ist. Vorher schützen sie uns nicht“, sagt sie. „Außerdem betreffen KI-Anwendungen im öffentlichen Sektor oft schutzbedürftige Bevölkerungsgruppen, die nicht in der Lage sind, eine Beschwerde einzureichen oder darauf zu vertrauen, dass eine Beschwerde ernst genommen wird.“

Kategorien: Externe Ticker

Donald Trump: Mit Vollgas in eine dunkle Zukunft

21. Januar 2025 - 21:14

Es war ein Amtsantritt mit Ansage: Während der neue US-Präsident mit militärischen Interventionen drohte und sein enger Berater Elon Musk den Hitler-Gruß zeigte, stellten sich gleich mehrere Tech-Oligarchen demonstrativ hinter die neue US-Regierung. Neben Musk lauschten Mark Zuckerberg, Jeff Bezos, Tim Cook, Sundar Pichai und Shou Chew, die Chefs von Meta, Amazon, Apple, Google und TikTok – alle großen Plattformen vereint – der ersten Rede von Donald Trump als frischgebackenem Präsidenten.

Direkt nach dieser folgte der erste Schwall an Maßnahmen, mit denen Trump die Richtung seiner Administration vorgibt. Über 40 Erlasse, sogenannte Executive Orders, hat der US-Präsident an seinem ersten Tag unterzeichnet. Viele, wenn nicht alle davon, werden juristisch angefochten werden. Wie ein Alleinherrscher durchregieren, das kann Trump also nur bedingt.

Praktisch umgehend reichten etwa mehrere NGOs Klagen gegen das schon im Vorfeld angekündigte DOGE (Department of Government Efficiency) ein. Das irreführend als „Ministerium“ bezeichnete Beratungsgremium sollte eigentlich unter der Leitung von Elon Musk und des früheren republikanischen Präsidentschaftskandidaten und Unternehmers Vivek Ramaswamy das Haushaltsbudget der USA sowie Regulierung insgesamt drastisch zusammenkürzen.

Rohrkrepierer DOGE

Kenner:innen der Materie hatten dem Gremium ohnehin nur geringe Erfolgschancen eingeräumt, auch Musk dämpfte zuletzt die selbst geweckten Erwartungen. Nun scheint es sich endgültig zum Rohrkrepierer zu entwickeln: Zum einen hat Ramaswamy inzwischen das Handtuch geworfen und dürfte sich um das Amt des Gouverneurs in Ohio bewerben. Zum anderen versucht Trump das Problem, nicht eigenmächtig echte Ministerien mit echten Befugnissen in die Welt setzen zu können, durch die Umbenennung des bereits bestehenden United States Digital Service zu umschiffen.

Entsprechend ändert sich der Arbeitsauftrag von DOGE. Im Fokus soll nun vor allem stehen, die IT-Systeme des Bundes zu modernisieren. Damit dürfte sich das vollmundige Versprechen, jährlich 500 Milliarden US-Dollar einzusparen, nicht einmal ansatzweise erfüllen lassen. Potenzial für Konflikte lauert zudem in Bundesvorschriften, die Mindestvorgaben an die Transparenz stellen – die Musk und seine Berater:innen nicht erfüllen, wie die Klagen kritisieren.

Rechtlich ebenfalls auf wackligen Beinen steht die Anweisung Trumps an seine designierte Justizministerin Pam Bondi, das am Sonntag in Kraft getretene Verbot des chinesischen Video-Dienstes TikTok für 75 Tage nicht durchzusetzen. Die Debatte rund um das urprünglich von Trump höchstselbst angestoßene Verbot, später vom US-Kongress und Präsident Joe Biden in ein Gesetz gegossen und kürzlich vom Verfassungsgericht bestätigt, geht also weiter. Dass darauf etwa ein effektives Datenschutzgesetz folgt, mit dem sich zumindest ein Teil des Problems an der Wurzel packen ließe, ist jedoch fraglich.

Schattenboxen mit Wirkung

Die angeblich unter Joe Biden eingeschränkte Meinungsfreiheit soll die Erklärung wiederherstellen, Online-Diensten wie Facebook oder Google etwa keine Hinweise mehr auf fragwürdige Inhalte zu liefern. Solche – unverbindlichen – Hinweise hatten staatliche Einrichtungen wie Gesundheits- oder IT-Sicherheitsbehörden in der Vergangenheit tatsächlich gegeben, auch unabhängige Forscher:innen hatten regelmäßig mit sozialen Netzwerken kooperiert. Wahr ist auch, dass die Accounts mancher Hetzer:innen, darunter die von Donald Trump, von großen Online-Diensten zeitweise gesperrt wurden – was deren in der US-Verfassung verankertes Recht ist.

Der Vorwurf, dass es sich dabei um eine beispiellose Welle staatlicher Zensur gehandelt habe, ließ sich freilich nie erhärten, trotz einer breit angelegten Einschüchterungskampagne im US-Kongress oder in rechten Medien. Erfolg hatte die Kampagne trotzdem. In den vergangenen Jahren mussten mehrere prominente Forschungsinstitute ihre Pforten schließen oder Stellen streichen, genauso wie die jüngste Kehrtwende von Meta bei der Inhaltemoderation auf den Druck von Rechts zurückzuführen ist. In diese Kerbe wird auch die Telekom-Aufsicht FCC schlagen, deren künftiger Chef ein „Zensurkartell“ herbeifantasiert.

Den aktuellen Erlass von Trump halten Expert:innen, die sich teils demonstrativ nicht einschüchtern lassen wollen, entsprechend für „bedeutungslos und (wenig überraschend) zynisch“ – nicht zuletzt, weil Trump US-Medien immer wieder beispielsweise mit dem Entzug von Sendelizenzen und sonstigen Repressalien gedroht hatte, sollten sie weiter kritisch über ihn berichten. Auf diesen eklatanten Widerspruch weist unter anderem der ehemalige UN-Sonderberichterstatter zur Meinungsfreiheit, David Kaye, hin und spricht von „Propaganda“. Trump sei „der größte Gegner der freien Meinungsäußerung und keineswegs ihr Retter“, schrieb Kaye.

Rechtsextremisten jubeln

Per Dekret hat Trump zudem über 1.000 Menschen aus dem Gefängnis entlassen, die im Januar 2021 am Sturm des Kapitols beteiligt waren. Viele derer, die damals gewaltsam die Zertifizierung der Wahl Joe Bidens verhindern wollten, sind in der rechtsextremen Szene verwurzelt. Zu den Freigelassenen zählen unter anderem Stewart Rhodes, Chef der Oath Keepers, und Henry „Enrique“ Tarrio, Chef der Proud Boys, beides rechtsextreme Milizen. Sie wurden zu langjährigen Haftstrafen verurteilt, nun wurde ihre Freilassung in einschlägigen und dunklen Ecken des Internets, etwa auf X oder 4chan, laut bejubelt.

Dort macht sich auch Vorfreude auf die angekündigten Repressionen gegen Migrant:innen breit, die ebenfalls Gegenstand mehrerer Trump–Dekrete sind. Bei der Umsetzung dürfte, wenn der neue Kuschelkurs ein Zeichen ist, auch die Tech-Branche kräftig mithelfen.

Kategorien: Externe Ticker

Offener Brief: EU-Kommission soll „Schlupflöcher“ bei digitaler Brieftasche schließen

20. Januar 2025 - 15:56

Ein Schlupfloch unterhöhlt das Vertrauen in die Gesamtstatik. – Gemeinfrei-ähnlich freigegeben durch unsplash.com James Fitzgerald

Bei der Umsetzung von Projekten steckt der Teufel meist im Detail. Diese Erfahrung muss derzeit auch die europäische digitale Brieftasche machen.

Aktuell werden in Brüssel die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet) verhandelt. Mit solchen EUDI-Wallets sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können, zudem lassen sich darin Identitätsdaten und amtliche Dokumente speichern und verwalten. Sensibler geht es also kaum.

Ein Bündnis aus 15 zivilgesellschaftlichen Organisationen warnt nun in einem offenen Brief vor den jüngsten Plänen der EU-Kommission. Diese würden es Unternehmen ermöglichen, mehr Daten aus den Wallets der Bürger:innen abzufragen, als es laut Gesetz erlaubt ist. Das Bündnis fordert die Kommission dazu auf, diese „Schlupflöcher“ zu schließen.

Zu den Organisationen, die den offenen Brief unterzeichnet haben, gehören unter anderem European Digital Rights (EDRi), die Electronic Frontier Foundation, Homo Digitalis, Digitalcourage und die Österreichische Bundesarbeitskammer.

Anhaltende Kritik aus der Zivilgesellschaft

Die EUDI-Wallet ist derzeit eines der größten digitalpolitischen Projekte der Europäischen Union. Ihr liegt die eIDAS-Reform zugrunde, die im Mai vergangenen Jahres in Kraft trat.

Bevor die Wallet wie geplant im Herbst 2026 starten kann, muss die EU-Kommission noch eine Reihe sogenannter Durchführungsrechtsakte erlassen. Insgesamt 40 dieser detaillierten Vorschriften für eine einheitliche Durchführung der eIDAS-Reform sind vorgesehen.

Die erste n fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission i m August vergangenen Jahres vorgelegt. Schon diese hatten für erhebliche Kritik aus der Zivilgesellschaft gesorgt, weil sie nicht den rechtlichen Vorgaben der reformierten eIDAS-Verordnung entsprochen hätten.

Eine ähnliche Kritik entzündet sich auch an der zweiten Charge der Rechtsakte. Anfang Dezember vergangenen Jahres bemängelte epicenter.works unter anderem den Vorschlag der Kommission, die Ausgabe sogenannter Registrierungszertifikate für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional zu machen. Aus Sicht der Bürgerrechtsorganisation droht die Kommission damit „einen zentralen Pfeiler der Schutzmaßnahmen des eIDAS-Ökosystems“ einzureißen.

Die „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Gemäß eIDAS-Verordnung müssen sie sich vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Das soll gewährleisten, dass sie auch grenzüberschreitend nur jene Informationen aus den Wallets abfragen, die sie laut Gesetz erhalten dürfen.

Die Zertifikate sollen dies technisch sicherstellen: Vereinfacht formuliert dienen sie als eine Art Datenausweis, mit dem sich die relying parties gegenüber den Wallets der Nutzer:innen legitimieren und zudem die Abfragekategorien beschränken. Eine Anmeldung über die EUDI-Wallet bei einem sozialen Netzwerk soll dann beispielsweise ausschließen, dass dabei Gesundheitsdaten abgefragt werden.

Nutzende sollten die alleinige Kontrolle haben

An die Kritik aus dem vergangenen Dezember knüpfen die 15 Organisationen an, die den offenen Brief unterzeichnet haben.

Sie kritisieren, dass der von der Kommission vorgelegte Entwurf eine verbindliche Regelung verhindere, weil er es den EU-Ländern überlässt, Registrierungszertifikate zur Pflicht zu machen. Das gehe zulasten der Verbraucher:innen. Denn die Nutzenden müssten dann im Einzelfall entscheiden, ob sie mit einer bestimmten vertrauenswürdigen Partei interagieren oder nicht. Damit würden sie jedoch „anfällig für illegale und möglicherweise betrügerische Anfragen nach ihren Daten“, so der offene Brief.

Darüber hinaus untergrabe die Kommission mit ihrem Entwurf den Europäischen Binnenmarkt sowie das mit der eIDAS-Verordnung angestrebte Vertrauensniveau, das in allen EU-Staaten gleich sein soll.

Die Organisationen fordern die Kommission dazu auf, einen neuen Entwurf für den Durchführungsrechtsakt vorzulegen, der alle vertrauenswürdigen Parteien ausnahmslos dazu verpflichtet, Registrierungszertifikate auszustellen. „Wir sind überzeugt, dass die Aufrechterhaltung des Vertrauens in das eIDAS-Ökosystem enorm wichtig ist“, so die Organisationen.“Nur die Nutzenden sollten die alleinige Kontrolle über ihre Daten haben sowie über die Art und Weise, wie sie die EUDI-Wallet verwenden.“

Der offene Brief im Wortlaut

Dear Executive Vice-President Henna Virkkunen, Director-General Roberto Viola, Acting Director Christiane Kirketerp de Viron,

The undersigned consumer protection and human rights organizations want to thank the Commission for the important work on the eIDAS implementing acts. We welcome the recent adoption for the first batch of implementing acts regarding the provisions in Article 5a of the eIDAS regulation and acknowledge the positive changes to the text which significantly improved the privacy and human rights safeguards of the European Digital Identity Wallet.

The aim of the present letter, however, is to draw your attention to risks we identified in the recently proposed second batch of implementing acts. These concern in particular Article 5b of eIDAS. We are of the opinion that upholding trust in the eIDAS ecosystem is of utmost importance and that only the users are in sole control over their data and the way they use the European Digital Identity Wallet. The eIDAS regulation obliges relying parties to register their intended use of the Wallet and prohibits them from asking information going beyond that registration. (See Article 5b paragraph 1 and 3 of Regulation (EU) 2024/1183.) Protecting users from such illegal requests for information (‘over-asking’) requires providing them with the information if a particular request adheres to the registration of that relying party. This is done via relying party registration certificates.

While these certificates are an essential precondition for the enforcement of the eIDAS regulation, the informed user’s choice and trust into the system, the draft implementing act proposes that Member States can choose not to issue such certificates at all. All European Digital Identity Wallets would be unable to protect their users from over-asking, if the Member State where the relying party is registered has not issued these certificates.

This leaves users vulnerable to illegal and potentially fraudulent requests for their information and puts undue burden on them. In the absence of such certificates a cautions user would have to choose not to interact with relying parties from such EU countries. Thereby, the Commission’s draft would undermine the single market and prevent the harmonized trust level eIDAS aims to achieve.

Furthermore, eIDAS requires Member States to issue a public machine-readable interface to obtain all registered relying parties with the complete information they have provided. The draft implementing acts lack a harmonized specification to access such interfaces, rendering them meaningless for any public watchdog wishing to gain transparency about the eIDAS ecosystem.

To conclude, for the upcoming comitology meeting,3 the undersigned organizations ask you to propose a text that mandates the issuance of relying party registration certificates for all relying parties and to issue a harmonized specification to access the relying party registry of each Member State.

Sincerely,

epicenter.works – for digital rights (Austria)
European Digital Rights (Europe)
Chamber for Workers and Employees (Austria)
D3 – Defesa dos Direitos Digitais (Portugal)
Homo Digitalis (Greece)
IT-Political Association of Denmark (Denmark)
Digital Courage (Germany)
Stichting Vrijschrift (the Netherlands)
Digitale Gesellschaft Switzerland (Switzerland)
Citizen D (Slovenia)
SHARE Foundation (Serbia)
EFN – Electronic Frontier Norway (Norway)
EFF – Electronic Frontier Foundation (International)
ApTI – Asociația pentru Tehnologie și Internet (Romania)
Danes je nov dan (Slovenia)

Link: Der offene Brief bei epicenter.works

Kategorien: Externe Ticker

1
2
3
4
5
6
next
last