netzpolitik.org

Aktualisiert: vor 13 Stunden 56 Minuten

Schweiz: Palantir-Software hat verheerende Risiken

8. Dezember 2025 - 16:44

Nach Risikoprüfung des Einsatzes von Palantir-Software in der Schweiz bekam der US-Konzern eine Absage, trotz jahrelanger Hofierung von Behörden und Armee. Den Eidgenossen sind die Risiken zu groß. Da drängt sich die Frage auf, warum die Palantir-Software für deutsche Polizeien gut genug sein soll. Innenminister Dobrindt wird sie beantworten müssen.

Der CEO von Palantir, Alex Karp, beim World Economic Forum in Davos 2022. – CC-BY-NC-SA 2.0 World Economic Forum

Der Chef von Palantir, Alex Karp, residiert auch in einem Anwesen in der Schweiz. Der US-Tech-Konzern expandiert sein Geschäft mit Analysesoftware schon mehrere Jahre nach Europa. Was liegt da näher, als auch den Eidgenossen die Palantir-Systeme anzudienen? Genau das versuchte das militärnahe Unternehmen über Jahre – aber biss sich die Zähne aus.

Das berichtet das Magazin „Republik“ aus der Schweiz. Die Journalisten haben mit Hilfe von 59 Anfragen nach dem Öffentlichkeitsgesetz in einer lesenswerten Analyse nachvollzogen, wie sich der Konzern an öffentliche Stellen ranwanzte, um seine Software bei den Schweizer Bundesbehörden und beim Militär an den Mann zu bringen. Der Palantir-CEO und Milliardär Karp gab sich höchstselbst die Ehre und empfing den damaligen Bundeskanzler Walter Thurnherr.

Die Analyse enthält auch einen 20-seitigen internen Evaluationsbericht der Armee. Darin werden Vorzüge, aber auch Risiken eines Palantir-Einsatzes beschrieben, die letztlich zur Ablehnung einer Kooperation mit dem Konzern führten. Die Militärexperten kommen zu dem Schluss, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne.

Das jedoch lässt die von polizeilichen Palantir-Nutzern in Deutschland gebetsmühlenartig wiederholte Behauptung, ein Abfluss der polizeiinternen Daten sei technisch gar nicht möglich, unglaubwürdig erscheinen. Sie dürfte sich eher auf bloße Zusicherungen des US-Konzerns, nicht aber auf technische Fakten stützen. Denn die Software ist proprietär, weswegen technische Einblicke darin nur begrenzt möglich sind.

Die vier deutschen Landespolizeien und deren Innenminister, die Verträge mit Palantir eingegangen sind, wirken einmal mehr ignorant gegenüber diesen ernsten Risiken, die eine Kooperation mit dem Konzern mit sich bringen: Nordrhein-Westfalen, Hessen, Bayern und nun auch Baden-Württemberg.

Palantir Wir berichten mehr über Palantir als uns lieb wäre. Unterstütze unsere Arbeit! Jetzt spenden Daumen runter für Palantir

Palantir-Software, wie sie auch von deutschen Polizeien eingesetzt wird, verbindet heterogene Datenbanken und analysiert Verbindungen von Datenpunkten oder Mustern darin. Zuvor fragmentierte Daten werden also zusammengeführt. Damit werden beispielsweise Verbindungen von Menschen sichtbar oder geographische Bewegungen verfolgbar.

Im Evaluationsbericht heißt es zu den Risiken für die in die Palantir-Systeme eingepflegten Daten:

Palantir ist ein Unternehmen mit Sitz in den USA, bei dem die Möglichkeit besteht, dass sensible Daten durch die amerikanische Regierung und Geheimdienste eingesehen werden können.

Die Risikoeinschätzung der Militärs weist auf weitere Problemfelder, die von den polizeilichen Palantir-Vertragspartnern in Deutschland auch gern wegdiskutiert werden. Die Palantir-Software führe zu einer Abhängigkeit vom US-Anbieter, insbesondere „von externem hochqualifizierten Personal“. Ob „für die Implementierung, den Betrieb und die Wartung der Systeme dauerhaft technisches Fachpersonal von Palantir vor Ort benötigt wird“, sei unklar.

Auch drohe der Verlust der Datenhoheit und der „nationalen Souveränität“. Das Kostenrisiko sei außerdem schwer abzuschätzen, da es keine Preislisten gebe. Das betrifft die Implementierung und Anpassung der Software und die Datenmigration, aber auch Lizenzgebühren und Wartungskosten. Man könne „genaue Beträge nur durch direkte Verhandlungen“ ermitteln.

Zudem werden die starken Eingriffe in die Privatsphäre in dem Bericht problematisiert, die durch die umfassende Datensammlung und -analyse entstehe. Auch die Diskriminierung spielt dabei eine Rolle, denn es könne dazu kommen, „dass bestimmte Personen aufgrund statistischer Zusammenhänge ungewollt ins Visier geraten“.

Das Schweizer Bundesamt für Rüstung prüfte den Einsatz von Palantir-Software für ein bestimmtes Softwaresystem, das „Informatiksystem Militärischer Nachrichtendienst“. Dafür lagen vorgegebene Kriterien der Ausschreibung vor. Eines davon erfüllt das Palantir-Angebot nicht. Das Amt gibt den Journalisten aber keine Auskunft, um welches Kriterium es sich handelte. Das dazu veröffentlichte Schreiben besteht fast nur aus Schwärzungen.

Das Problem heißt nicht nur Palantir

Nimmt Dobrindt die Risiken in Kauf?

Die Eidgenossen entschieden sich gegen den Einsatz von Palantir-Produkten. Es war ihnen ein zu großes Risiko. Die Empfehlung lautet knapp: „Die Schweizer Armee sollte Alternativen zu Palantir in Betracht ziehen.“

Der Bericht stammt von Anfang Dezember 2024. Seither hat der 2003 gegründete US-Anbieter seine überaus engen Verbindungen zur Trump-Regierung noch intensiviert und durch Karp-Interviews medial begleitet. Die Software wird zwar in Kriegsgebieten von US-Geheimdiensten und -Militärs schon jahrelang intensiv genutzt. Doch seit dem Börsengang im Jahr 2020 wuchs Palantir zu einem der größten US-Tech-Konzerne heran.

Wenn die Risiken der Zusammenarbeit in Fragen der Datenhoheit und gar dauerhaften Abhängigkeit, der digitalen Souveränität, des Datenabflusses und bei den Grundrechtseingriffen von den Schweizern als so erheblich eingeschätzt werden, drängt sich die Frage auf, warum die deutschen Landespolizeien und Landesinnenminister zu einer anderen Einschätzung kommen. Es bleibt ihr Geheimnis.

Der deutsche Bundesinnenminister Alexander Dobrindt (CSU) weigert sich bisher, diese Fakten anzuerkennen. Denn er schließt nicht aus, Palantir-Produkte bei den Polizeien des Bundes einzuführen. Sein geplantes „Sicherheitspaket“ umfasst auch die sog. automatisierte Datenanalyse, so dass auch die Polizeien des Bundes ihre Datenbanken automatisiert erschließen und auswerten könnten.

Wenn er für die polizeiliche Datenanalysesoftware mit dem US-Konzern kooperieren wollte, würden Millionen Datensätze, auch von völlig unverdächtigen Menschen, diesen nun hinlänglich bekannten Risiken ausgesetzt. Aber eigentlich müsste Palantir als möglicher Vertragspartner schon wegfallen, weil er mit der vielgepriesenen „digitalen Souveränität“ nicht kompatibel ist. Denn selbst bei lockerer Auslegung von „digital souverän“ kann die proprietäre Softwarelösung des US-Konzerns nicht akzeptabel sein.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Externe Ticker

Trugbild: Raue Storys für glatte Zeiten

7. Dezember 2025 - 9:17

Die Sehnsucht nach dem Heroischen ist groß, gerade auch im Silicon Valley. Tech-Unternehmer hängen in ihren Fantasien allzu gerne ruhmreichen Königen und mächtigen Imperien nach. Dabei wird der Ruf nach Stärke immer dort laut, wo die Komplexe am größten sind.

Heldenepen helfen gegen Komplexe. – Public Domain Vincent Först mit ChatGPT

Beim Anblick der die Hollywood-Version von Leonidas und seiner legendären „300“ überkommt mich die Lust nach einem Work-out. Und wenn König Théoden und der Waldläufer Aragorn, beides Charaktere aus „Herr der Ringe“, auf die feindliche Ork-Armee losstürmen, stellen sich Zuschauern die Nackenhaare auf.

Todesverachtenden Heldenmut zeigt auch Achilles in der amerikanischen Adaption der Troja-Sage, als er seinen Myrmidonen vor dem selbstmörderischen Angriff auf die Stadt die „Unsterblichkeit“ verspricht. Etwas feingeistiger, doch nicht weniger archaisch, nimmt Feldherr Julius Cäsar durch seinen viel zitierten Spruch „Ich kam, ich sah, ich siegte“ einen Platz in der Geschichte verwegener Männer ein.

„WARNING: watching this will increase your testosterone level by 300%”, lautet der Top-Kommentar für Leonidas auf YouTube. Auch im Silicon Valley, wo der Bedarf an Testosteron offenbar besonders hoch ist, fallen die Heldenerzählungen auf überaus fruchtbaren Boden. Dort lassen sich Tech-Jünger von ihren Idolen gar zu neuen Unternehmen inspirieren.

Fantasy als Vorbild

Palmer Luckey ist Erfinder der Virtual-Reality-Brille Oculus Rift. Gemeinsam mit Trae Stephens, ehemals Mitarbeiter beim Überwachungsunternehmen Palantir, hat er 2017 das Verteidungs-Start-up „Anduril“ gegründet. Benannt ist es nach Aragorns Schwert Andúril. Übersetzt aus der fiktiven Quenya-Sprache bedeutet der Name „Flamme des Westens“.

Peter Thiel, Mitgründer von Palantir, dessen Name ebenfalls aus dem Herr-der-Ringe-Kosmos stammt, investiert in Technologie für „Unsterblichkeit“, sich selbst stilisiert er zum furchtlosen Kämpfer gegen den „Antichristen“. Curtis Yarvin, ein im Silicon Valley beliebter Blogger, wünscht sich gar einen „neuen Cäsar“ an der Spitze der USA.

Mark Zuckerberg, Leser und Bewunderer von Yarvin, hat seiner Frau Priscilla „nach römischem Brauch“ eine Statue im hauseigenen Garten gewidmet. Die Namen ihrer Kinder – Maxima, August, Aurelia – sind an römische Kaiser angelehnt.

Schwarz-weiße Welt

Fantasy-Epen wie 300 oder Herr der Ringe zeichnen sich durch eine verlässliche Einteilung der Welt in Gut und Böse aus. „Wir lieben die alten Geschichten wegen ihrer Unveränderlichkeit“, stellte die Fantasy-Autorin Ursula K. Le Guin einst fest. Hier finden Menschen Beständigkeit und alte Weisheiten – seltene Schätze in unserer flüchtigen Gegenwart.

Oft sind es gerade jüngere Menschen, die sich an der Vorstellung von glorreichen Königen oder unbezwingbaren Herrschern – und damit auch an antidemokratischen Erzählungen – ergötzen. Schließlich waren es Cäsar und sein Nachfolger Augustus, die das Ende der Republik besiegelten und den Weg zum römischen Kaiserreich ebneten. Und in Sparta, das im Film 300 als „freies Griechenland“ porträtiert wird, herrschte eine kleine Elite über den Großteil der Bevölkerung. Nachdem der Staat im Peloponnesischen Krieg seinen langjährigen Rivalen Athen besiegt, bricht dort umgehend die Oligarchie an.

Im zahlen- und umsatzgetriebenen Silicon Valley können die Unternehmer so ihre vergleichsweise kurze Kulturgeschichte erweitern und dabei etwaige Komplexe ausgleichen. Womöglich suchen sie auch einen passenden ideologischen Rahmen für ihre aggressiven Geschäftsmodelle – oder streben genau danach, was ihre Idole ihnen vorleben: Ruhm, Oligarchie, Sixpack.

Die glatte Tech-Welt sehnt sich offenbar nach den rauen Erfahrungen, die das analoge Leben noch bereithielt. Dafür muss sie „Kämpfe“ inszenieren, die eigentlich keine sind. Elon Musk etwa bekämpft die eigenen Komplexe mit Haartransplantationen, Botox und Wangenknochenverstärkung. Derweil hat Zuckerberg sich zum Kampfsportler hochpäppeln zu lassen. Beim Podcaster Joe Rogan spricht er betont „männlich“ über Jagd, Töten und Mixed Martial Arts.

Widersprüche und Allmachtsfantasien

Führen Heldensagen ins nächste Fitnessstudio, ist das erst mal keine schlechte Sache. Die Weltanschauung und das eigene Unternehmen rund um ambivalenzbefreite Allmachtsfantasien aufzubauen, ist hingegen brandgefährlich.

Dabei ist es Zuckerberg selbst, der mit seinen Unternehmen und „sozialen“ Medien unermüdlich das Fundament einer schönen Welt ruiniert und ihre Bewohner in die digitale Entfremdung treibt. Den Erfolg Zuckerbergs garantiert ein werbe- und effizienzorientiertes System, das sich durch die wachsende Unzufriedenheit seiner Mitglieder und den Ruf nach „alter“ Stärke schließlich gewaltsam selbst abschafft.

Und was passiert, wenn eine kleine Gruppe in Widersprüchen gefangener Männer die Macht übernimmt und die Wut der Menschen für ihre eigenen Zwecke instrumentalisiert, zeigt die Geschichte. Dass ebenjene nur als Karikaturen ihrer verherrlichten antiken Ideale dienen, ist ein kleiner, überaus bitterer Witz. Denn das große Leid tragen später wie üblich die Schwächsten einer Gesellschaft und nicht die Profiteure an der Spitze.

Kategorien: Externe Ticker

KW 49: Die Woche, in der wir zurück ins Jahr 1986 reisten

6. Dezember 2025 - 8:41

Die 49. Kalenderwoche geht zu Ende. Wir haben 14 neue Texte mit insgesamt 95.047 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Liebe Leser:innen,

das Wort des Jahres ist „KI-Ära“. Das Thema Künstliche Intelligenz „ist aus dem Elfenbeinturm der wissenschaftlichen Forschung herausgetreten und hat die Mitte der Gesellschaft erreicht“, begründet die Gesellschaft für deutsche Sprache ihre Wahl.

Die Bundesdruckerei hockt derweil in ihrer ganz eigenen Abgeschiedenheit. Sie setzt den Datenatlas um, der „souveräne Datenkatalog für die Bundesverwaltung“. Mitarbeitende verschiedener Ministerien und Behörden sollen hier nachschlagen können, wo welche Daten liegen.

Eigentlich eine gute Sache. Doch das Projekt ist offenbar Lichtjahre von der technischen Gegenwart, geschweige denn von irgendeiner „KI-Ära“ entfernt. Zu diesem Schluss kommt zumindest der Wissenschaftler David Zellhöfer in einem Gutachten, über das meine Kollegin Esther diese Woche berichtet hat. Demnach biete der Datenatlas weniger Funktionen als Datenbanken aus dem Jahr 1986, so das markige Urteil. Damals war das Wort des Jahres übrigens „Tschernobyl“. So lange ist das her.

Auf Platz 2 kam vor knapp vierzig Jahren das Wort „Havarie“, was so viel wie Fehler oder Schaden bedeutet. Den will die Bundesdruckerei nun offenbar noch vergrößern. Als wir sie mit den Ergebnissen des Gutachtens konfrontieren, schrieb die bundeseigene GmbH zurück, gegebenenfalls rechtliche Schritte gegen Zellhöfer einzuleiten.

Zellhöfer nahm sein Gutachten daraufhin offline, um sich rechtlich abzusichern. „Ich war unmittelbar eingeschüchtert“, sagte er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“

Inzwischen ist das Gutachten wieder abrufbar. Und Zellhöfer kann mit mehr Humor auf die Sache schauen. Positiv gesehen könne der Datenatlas auch „als Projekt eines Retro-Computing-Enthusiasten“ durchgehen, sagt er.

Ein bisschen mehr Humor wünsche ich auch der Bundesdruckerei. Dann trägt sich die Atlas-Last gleich leichter.

Habt ein schönes Wochenende!

Daniel

Breakpoint: Wir alle sollten mehr übereinander wissen

Auf Social Media wird Reichweite massenhaft mit intimen Details erzeugt. Während wir Fremden beim Oversharing zusehen, verlieren wir den Blick für die Menschen, die wirklich zählen. Wir wissen nicht zu viel übereinander, findet unsere Kolumnistin: Wir wissen das Falsche über die falschen Personen. Von Carla Siepmann –
Artikel lesen

Empfängerüberprüfung: IBAN eingeben, Klarnamen bekommen

Eigentlich soll die Empfängerprüfung Fehlüberweisungen verhindern. Doch die praktische Umsetzung zeigt: In vielen Fällen legen Banken den vollständigen Namen der Kund*innen offen. Betroffen sind Millionen. Von Timur Vorkul –
Artikel lesen

Für gemeinwohlorientierten Journalismus: So unterstützt ihr uns mit Spenden aus und von Unternehmen

Ihr macht zu Weihnachten eine Spenden-Aktion in eurer Firma oder im Verein? Du hast Geburtstag oder hast einen anderen Grund zu feiern und möchtest lieber Spenden als Geschenke? Dann erstelle eine eigene Spendensammelaktion und unterstütze so unsere Arbeit. Von netzpolitik.org –
Artikel lesen

Werbeanzeigen: EuGH nimmt Plattformen bei Datenschutzverstößen in die Pflicht

Gegen ihren Willen veröffentlichte jemand im Namen einer Frau eine Online-Anzeige für sexuelle Dienstleistungen, inklusive Fotos und Telefonnummer. Nun sagt der EuGH: Der Marktplatz, wo das passiert ist, trägt eine Mitverantwortung. Die Entscheidung könnte weitreichende Folgen für die Haftung von Plattformen haben. Von Timur Vorkul –
Artikel lesen

Transparenzregister mit Lücken: KI-Nutzung der öffentlichen Verwaltung bleibt undurchsichtig

Seit gut einem Jahr gibt es das nationale KI-Transparenzregister. Der IT-Planungsrat will es nun auf alle Verwaltungsebenen ausweiten. Dennoch bleibt weiterhin unklar, in welchem Umfang die öffentliche Verwaltung sogenannte Künstliche Intelligenz einsetzt – und mit welchem Risiko. Von Esther Menhard –
Artikel lesen

Digitaler Omnibus: So unterschiedlich wollen EU-Staaten die Digitalregulierung verändern

Mit Blick auf das Reformpaket der EU-Kommission zeigen sich die Mitgliedstaaten gespalten. Einige setzen wie die Kommission auf Deregulierung und wollen so die europäische Digitalwirtschaft ankurbeln. Andere wiederum würden lieber die Umsetzung der bestehenden Regeln verbessern. Von Anna Ströbele Romero –
Artikel lesen

Interview mit der Bundesdatenschutzbeauftragten: „Die aktuelle Debatte geht in die falsche Richtung“

Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält. Von Ingo Dachwitz, Daniel Leisegang –
Artikel lesen

Jugendschutz-Streit: Pornhub jetzt offen für Ausweiskontrollen in der EU

Zwar hat ein deutsches Verwaltungsgericht die verhängten Netzsperren gegen Pornhub gekippt. Dennoch will die Plattform anscheinend Alterskontrollen in der EU einführen, wie der Konzern auf Anfrage von netzpolitik.org mitteilt. Hinter dem möglichen Kurswechsel steckt eine Strategie. Von Sebastian Meineck –
Artikel lesen

Pressefreiheit: Polizei behindert Presse bei Protesten in Gießen

Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen kam es mehrfach zu Vorfällen, bei denen die Pressefreiheit eingeschränkt wurde. Betroffen waren Reporter:innen der taz und von freien Radiosendern. Von Markus Reuter –
Artikel lesen

Digital Fights: Digital Knights: Wir kämpfen gegen die Überwachung mit Palantir

Die Software von Palantir soll auf Knopfdruck den Wildwuchs von Polizei-Datenbanken durchforsten. Damit die Polizei schon heute weiß, was du morgen tun wirst. Doch der Einsatz von Palantir-Software verletzt Grund- und Freiheitsrechte. Und er lässt die Rede von der anzustrebenden digitalen Souveränität endgültig unglaubwürdig werden. Von netzpolitik.org –
Artikel lesen

Neues Polizeigesetz: Berlin wirft die Freiheit weg

Heute wurde in Berlin eine Novelle des Polizeigesetzes verabschiedet. Sie erlaubt so ziemlich alles, was an digitaler Überwachung möglich ist: Verhaltensscanner, Gesichtersuche, Palantir-artige Datenanalysen, Staatstrojaner. Ein Kommentar. Von Martin Schwarzbeck –
Artikel lesen

Datenatlas der Bundesdruckerei: Verwaltungsmodernisierung von vorvorgestern

Der Datenatlas soll die Bundesverwaltung effizienter machen. Ein wissenschaftliches Gutachten zeigt nun jedoch, dass er mitunter nicht einmal dem Stand der Technik aus dem Jahr 1986 entspricht. Anstatt den Gutachter zu konsultieren, erwägt die zuständige Bundesdruckerei „rechtliche Schritte“ gegen ihn. Von Esther Menhard –
Artikel lesen

Geheimdienstreform: Der MAD hat ein neues Gesetz bekommen

Der Militärische Abschirmdienst darf künftig deutlich mehr, hat der Bundestag mit einem neuen Geheimdienstgesetz beschlossen. Doch die Reform des kleinsten deutschen Geheimdienstes ist erst der Auftakt für weitere Änderungen am Geheimdienstrecht. Von Anna Biselli –
Artikel lesen

DSA: EU-Kommission verhängt 120-Millionen-Euro-Strafe gegen X

Die EU-Kommission hat gegen die Plattform X, vormals Twitter, wegen Verstößen gegen den Digital Services Act eine Geldstrafe verhängt. Der Konzern hat nun 90 Tage Zeit für Anpassungen. Gleichzeitig drohen X weitere Sanktionen. Von Anna Ströbele Romero –
Artikel lesen

Kategorien: Externe Ticker

DSA: EU-Kommission verhängt 120-Millionen-Euro-Strafe gegen X

5. Dezember 2025 - 15:05

Erstmals hat die EU-Kommission ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei zu dem Ergebnis, dass die Plattform X gegen den DSA verstößt. Zugleich entschied sie, dass TikTok angemessen auf einen bereits Ende Oktober gerügten Mangel reagiert hat und die Anzeigendatenbank der Videoplattform nun gesetzeskonform sei.

Die Entscheidung gegen X betrifft grundsätzlich die fehlende Transparenz der Plattform. Konkret bemängelt die Kommission dreierlei: Erstens stellten die blauen Haken ein täuschendes Design dar, weil sie den Eindruck erwecken würden, dass die so gekennzeichneten Accounts verifiziert seien. Tatsächlich aber können Nutzende die Haken seit einigen Jahren kaufen. Zweitens stellt X nur eine unzureichend funktionierende Datenbank für Anzeigen nach DSA-Kriterien bereit. Der dritte Kritikpunkt bezieht sich auf den Datenzugang für Forschende. Das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, sei nicht DSA-konform.

120 Millionen Euro Strafe

Aus diesem Grund hat die Kommission heute eine Strafe von 120 Millionen Euro gegen X verhängt. Diese Summe orientiere sich nicht prozentual am Umsatz des Unternehmens, sondern entspreche der Schwere der Verstöße.

Da die Verstöße weitreichende gesellschaftliche Auswirkungen hätten, könne die Strafe nicht durch eine einfache „ökonomische Formel“ berechnet werden, heißt es aus der Kommission. Trotzdem seien bei der Berechnung auch wirtschaftliche Elemente wie die Kosten der blauen Haken und die geschätzten Gewinne für X eingeflossen.

Die Strafzahlung setzt sich aus drei Teilstrafen für die jeweiligen Verstöße zusammen: Für die blauen Haken stellt die Kommission 45 Millionen Euro Strafe in Rechnung, für den Datenzugang 40 Millionen und für die Anzeigendatenbank 35 Millionen Euro.

X hat 90 Tage Zeit für Anpassungen

X wurde über die Entscheidung informiert und kann sich nun verteidigen. Das Unternehmen hat Zugang zu allen Untersuchungsdokumenten der Kommission und kann seine Plattform innerhalb von 90 Werktagen anpassen.

Der Kommissionsbeamte betonte, dass von dem Unternehmen keine „dramatischen Änderungen“ erwartet würden; andere Unternehmen hätten ähnliche Anforderungen erfolgreich umgesetzt. Sollte X seine Dienste allerdings nicht anpassen, könnten in Zukunft weitere Strafen verhängt werden. So sieht es das Gesetz vor.

Bereits im Vorfeld der Kommissionsentscheidung hatte sich der US-amerikanische Vizepräsident J.D. Vance geäußert. „Es kursieren Gerüchte, wonach die EU-Kommission gegen X mehrere hundert Millionen Dollar Strafe verhängen wird, weil die Plattform keine Zensur betreibt“, schrieb Vance am Donnerstag auf X. „Die EU sollte die Meinungsfreiheit unterstützen, anstatt amerikanische Unternehmen wegen Unsinn anzugreifen.“

Weitere Verfahren gegen X in der Schwebe

Derzeit laufen noch weitere DSA-Verfahren gegen X. So untersucht die Kommission, ob der Mechanismus zur Meldung von illegalen Inhalten auf X gegen bestehende Regeln verstößt. Diesbezüglich hat die Kommission erst kürzlich einen vorläufigen Verstoß bei Instagram und Facebook festgestellt.

Die Kommission will zudem die Funktionsweise des Algorithmus auf der Plattform X verstehen und hat die Plattform angewiesen, entsprechende Dokumente aufzubewahren. Außerdem geht die Kommission der Frage nach, wie X Desinformation bekämpft und wie erfolgreich die Plattform dabei ist, die Risiken auf den gesellschaftlichen Diskurs und Wahlen zu verringern.

DSA-Umsetzung soll nun schneller vorangehen

Der Jurist Jürgen Bering leitet bei der Gesellschaft für Freiheitsrechte das Center for User Rights und sieht die Strafe als wichtigen Schritt bei der DSA-Durchsetzung. Er kommentiert: „Die Entscheidung zeigt: Die EU meint es ernst mit dem Schutz demokratischer Diskurse und der Plattformverantwortung. Jetzt braucht es ebenso konsequente Durchsetzung bei allen großen Anbietern. Der DSA ist kein Wertebekenntnis, sondern geltendes Recht – und es ist entscheidend, dass er spürbare Verbesserungen für Nutzer*innen in Europa bringt.“

Die Kommission geht davon aus, dass die DSA-Umsetzung jetzt schneller vorangehen wird, wie Digitalkommissarin Henna Virkkunen bereits vor wenigen Wochen in einer Pressekonferenz sagte.

In den vergangenen Jahren habe die Kommission zunächst eine interne Regulierungsstruktur aufbauen müssen, ergänzte ein EU-Beamter heute. Das Verfahren gegen X wurde bereits vor zwei Jahren eröffnet. Die Hoffnung der Kommission ist, dass auch die Unternehmen nun schneller darin werden, die Regeln zu befolgen.

Kategorien: Externe Ticker

Geheimdienstreform: Der MAD hat ein neues Gesetz bekommen

5. Dezember 2025 - 12:06

Es gibt ein neues Geheimdienstgesetz in Deutschland. Weitgehend geräuschlos beschloss am gestrigen Donnerstag der Bundestag das Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr. Es enthält auch ein völlig neues MAD-Gesetz für den Militärischen Abschirmdienst. Der Entwurf der Bundesregierung ging dabei mit wenigen Änderungen aus dem Verteidigungsausschuss durchs Parlament.

Damit bekommt der Militärgeheimdienst fortan deutlich mehr Befugnisse. Der MAD soll etwa künftig auch außerhalb von Militärgelände im Ausland operieren dürfen, eine Aufgabe, die bislang der BND übernahm. Fortan sollen beide Dienste sich bei ihren Aufgabenaufteilungen abstimmen.

Ein unfertiger Befugniskatalog

Der Katalog der sogenannten nachrichtendienstlichen Mittel, mit denen der Militärgeheimdienst seine Informationen sammeln darf, ist lang: von Observationen über den Einsatz von V-Personen off- und online bis zu verdeckten Eingriffen in IT-Systeme. Aber die Liste der Mittel im Gesetz ist nicht final, sondern kann durch Dienstvorschriften erweitert werden.

Dieses geplante Vorgehen sahen Sachverständige in einer Anhörung zum Gesetz teils kritisch, da es unter anderem durch Geheimhaltung entsprechender Dienstvorschriften eine öffentliche Kontrolle der Geheimdienstbefugnisse verhindert. Eine solche „Erweiterung im Verborgenen ist untunlich“, kritisierte beispielsweise Christian Sieh vom Deutschen BundeswehrVerband die nun beschlossene Änderung.

Den neuen Befugnissen gegenüber steht eine neue Kontrollinstanz: eine gerichtliche Überprüfung von besonders eingriffsintensiven Maßnahmen. Dafür soll in Zukunft das Amtsgericht Köln zuständig sein. Das stellt auf der einen Seite eine unabhängige richterliche Kontrolle dar, auf der anderen Seite birgt es jedoch die Gefahr, dass die Geheimdienstkontrolle zersplittert wird und keine der Kontrollinstanzen ein umfassendes Bild über die Gesamttätigkeiten des Dienstes hat.

Politischer und rechtlicher Anlass

Anlass für ein neues MAD-Gesetz war zum einen die geopolitische Lage. Deutschland sei für Russland „Zielfläche Nummer 1 in Europa“, sagte etwa die MAD-Präsidentin Martina Rosenberg. Da künftig 5.000 deutsche Soldat:innen an der NATO-Ostflanke in Litauen stationiert sein sollen, müsse der MAD mehr Möglichkeiten bekommen, unter anderem diese vor Spionage und Sabotage zu schützen.

Einen zweiten, zwingenden Anlass für eine grundlegende Gesetzesreform gaben mehrere Entscheidungen des Bundesverfassungsgerichts. Es forderte beispielsweise in Urteilen zu Landesverfassungsschutzgesetzen eine unabhängige Kontrolle bestimmter Geheimdienstmaßnahmen und konkrete Eingriffsschwellen bei Grundrechtseingriffen – Defizite, die sich gleichermaßen bei Bundesgeheimdiensten finden.

Dass das neue Gesetz den Vorgaben ausreichend gerecht wird, bezweifelt etwa die grüne Bundestagsabgeordnete Agnieszka Brugger. In ihrer Rede im Parlament mahnte sie an, dass Grundrechte im Spannungs- und Verteidigungsfall nach dem Gesetz nicht ausreichend geschützt seien. „Gerade wenn es um den absoluten Ernstfall für unsere Demokratie geht, zeigt sich, wie ernst wir es mit unserem Rechtsstaat nehmen“, so Brugger, die Mitglied für die Grünen im Verteidigungsausschuss ist. Auch die Bundesregierung könne kein Interesse daran haben, „dass in diesen ernsten Zeiten so ein Gesetz in Karlsruhe scheitert und wir wieder zurück auf Los sind“.

Weitere neue Geheimdienstgesetze werden folgen

Das neue MAD-Gesetz ist nur der Auftakt weitreichender Gesetzesänderungen im deutschen Geheimdienstrecht. Auch die Grundlagen von BND und Bundesverfassungsschutz sollen überarbeitet werden. Dass dies nicht gemeinsam passiert, um konsistente Regelungen zu schaffen, kritisierte etwa der grüne Bundestagsabgeordnete Konstantin von Notz zuvor gegenüber netzpolitik.org.

Seine Parteikollegin Brugger fragte zur Gesetzesverabschiedung im Plenum: „Wo sind denn die Gesetze für die anderen Dienste? Wo sind die längst überfälligen Reformen der Sicherstellungsgesetze?“ Sie bezeichnet es als „schlicht unverantwortlich“, wie viel Zeit die Bundesregierung hier verstreichen lasse.

Wie lange es dauert, bis auch die übrigen Geheimdienstgesetze neu beraten werden, ist bisher nicht bekannt. Nach Informationen des WDR soll es jedoch bereits seit November einen ersten Referentenentwurf für ein BND-Gesetz geben, mit einem deutlich größeren Umfang als dem der bisherigen Regelungen.

Kategorien: Externe Ticker

Datenatlas der Bundesdruckerei: Verwaltungsmodernisierung von vorvorgestern

4. Dezember 2025 - 17:12

Schwere Last: der Datenatlas der Bundesdruckerei (Symbolbild)

Die Verwaltung sollte wissen, was die Verwaltung weiß. Doch Informationen liegen mal diesem Ministerium, mal jener Behörde vor. Damit interne Daten innerhalb der Bundesverwaltung besser aufgefunden werden können, setzt die Bundesdruckerei seit dem Jahr 2022 das Projekt Datenatlas Bund um.

Der „souveräne Datenkatalog für die Bundesverwaltung“ soll erstmals ressortübergreifend Metadaten bereitstellen. Metadaten sind Daten über Daten, also Zusatzinformationen wie etwa das Erstellungsdatum, der Dateityp oder der Speicherort. Die Federführung für das Projekt hat das Bundesfinanzministerium, in den jeweiligen Ministerien sind die Datenlabore für den Atlas zuständig. Grundlage dafür bildet die Bundesdatenstrategie aus dem Jahr 2021.

Modern, digital souverän und KI-fähig soll der Datenatlas sein, schreibt die Bundesdruckerei auf ihrer Website. Doch diese Versprechen kann sie nicht einlösen, wie David Zellhöfer in einem wissenschaftlichen Gutachten schreibt, das er pro bono – also eigeninitiativ und unentgeltlich – verfasst hat. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zu Digitale Innovation in der öffentlichen Verwaltung.

Das Projekt basiert laut Gutachten auf proprietärer Software, greift wahrscheinlich nicht auf übliche Standards zurück und auch für die Einbindung von KI-Anwendungen sei es ungeeignet. Denn die Daten seien weder von verlässlicher Qualität noch maschinenlesbar. Damit falle der Datenatlas teilweise hinter den Stand der Technik von 1986 zurück, so Zellhöfers Resümee. „Aufgrund der eklatanten Mängel ist das Software-Entwicklungsprojekt Datenatlas mit sofortiger Wirkung zu stoppen“, so seine Empfehlung, „um nicht weitere Mittel in eine technisch und konzeptionell wenig überzeugende Lösung zu investieren, welche kaum den Stand der Technik erreicht.“

Die Reaktion der Bundesdruckerei auf das Gutachten fällt deutlich aus. Sie zieht die Seriosität Zellhöfers in Zweifel und erwägt, „nach eingehender Prüfung des Gutachtens“ rechtliche Schritte einzuleiten. Als wir David Zellhöfer davon in Kenntnis setzen, nimmt er das Gutachten vorübergehend offline, um die Vorwürfe selbst rechtlich prüfen zu lassen. Inzwischen ist das Gutachten wieder online abrufbar.

Großprojekt für datengetriebene Verwaltung

Der Titan Atlas schultert in der griechischen Mythologie den gesamten Kosmos. Der Datenatlas soll „nur“ die internen Daten der Bundesverwaltung schultern und es der öffentlichen Verwaltung erlauben, ressort- und behördenübergreifend Daten auszutauschen. Dafür nutzt und ergänzt das Projekt bestehende Verwaltungsdatenübersichten wie die Verwaltungsdaten-Informationsplattform (VIP) des Statistischen Bundesamtes, die Registerlandkarte des Bundesverwaltungsamtes oder das Metadatenportal GovData zu offenen Daten von Bund, Ländern und Kommunen.

Auf den Datenatlas kann standardmäßig nur die Bundesverwaltung zugreifen. Laut Bundesdruckerei seien inzwischen die Ressorts des Bundesfinanzministerium, des Bundesinnenministeriums und weitere an den Datenatlas angeschlossen. Nutzen können sie ihn im Intranet des Bundes. Dafür müssen sich die einzelnen Mitarbeiter:innen registrieren. Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft haben damit keinen Einblick in den Datenatlas, wie der Pressesprecher der Bundesdruckerei auf Anfrage unterstreicht.

Bislang hat der Datenatlas laut Zellhöfers Grobschätzung mindestens 2,3 Millionen Euro gekostet. Allerdings lägen die Kosten mutmaßlich deutlich darüber, wie anonyme Quellen Zellhöfer gegenüber sagten. Die tatsächlichen Kosten legt die Bundesdruckerei auf Anfrage von netzpolitik.org nicht offen.

Wie Technik aus dem vergangenen Jahrtausend

Das Stichwort „Stand der Technik“ taucht im Gutachten gut einhundert Mal auf. Ausführlich zeichnet Zellhöfer nach, welche Funktionen der Datenatlas aus informationswissenschaftlicher Sicht im Jahr 2025 haben sollte. Zellhöfer zufolge bleibt der Datenatlas weit hinter den Erwartungen zurück.

Titelwortabfrage im historischen digitalen Katalog der ETH Zürich (15.04.1986) - CC-BY-SA 4.0 ETH Zürich

Besonders deutliche Defizite weisen demnach die Anfragemöglichkeiten auf. So sollen Beschäftigte der Bundesverwaltung in der Datenbank gezielt Metadaten recherchieren können. Für diese Suche sind andernorts verschiedene Hilfsmittel üblich, etwa das Suchen mittels Boolscher Operatoren wie „UND“, „ODER“ oder „NICHT“. Ebenso gängig sind sogenannte Wildcards, Sonderzeichen wie das Sternchen- oder Fragezeichen-Symbol, die als Platzhalter für eine beliebige Zahl an Zeichen dienen.

Nutzer:innen kennen solche Möglichkeiten der gezielten Suche etwa von gewöhnlichen Internetsuchmaschinen. Der Datenatlas verfügt über diese Funktionen allerdings nicht. Damit biete er erheblich weniger Funktionen als vergleichbare Datenbanksysteme aus dem Jahr 1986, konstatiert Zellhöfer.

Gefangen in proprietärer Software

Auch dem Ziel der Bundesdatenstrategie werde der Datenatlas nicht gerecht, nämlich einen „Beitrag zur digitalen Souveränität Europas“ zu leisten.

Vielmehr mache sich die Bundesverwaltung vom IT-Dienstleister abhängig, den die Bundesdruckerei mit dem Projekt des Datenatlas beauftragt hat. Denn der Datenatlas baue auf proprietärer Software auf, obwohl verfügbare Open-Source-Lösungen nach informationswissenschaftlicher Expertise teilweise ausgereifter seien. Als Beispiele nennt Zellhöfer die Open-Source-Lösungen Fedora und Piveau.

Der Bundesdruckerei verpasse damit die Chance, verlässlicher zu wirtschaften. Denn die laufenden Kosten ließen sich mit einer Open-Source-Lösung besser kalkulieren. Auch die Gefahr eines sogenannten Vendor Lock-in ließen sich so vermeiden. Vendor Lock-in bezeichnet die starke Abhängigkeit von einem bestimmten Anbieter, bei der ein Wechsel zu einem anderen Anbieter nur mit unverhältnismäßig hohem Aufwand oder zu hohen Kosten möglich ist.

Es drohen weitere Datensilos

Die Gefahr der Abhängigkeit steige zusätzlich, wenn der Datenatlas keine gebrauchsüblichen Datenstandards oder Schnittstellen nutze. Stattdessen habe der beauftragte IT-Dienstleister auf eigene Entwicklungen zurückgegriffen.

Das aber erschwert es Nutzer:innen aus der Verwaltung, ihre eigenen Datensätze in den Datenatlas zu überführen, weil sie diese zuvor noch anpassen müssen. Und auch der Datenexport wird unnötig behindert, etwa für den Fall, dass Nutzer:innen das System wechseln wollen.

Würde der Einsatz des Datenatlas‘ verpflichtend, „führte dies unmittelbar zu der Bildung eines weiteren, wenig interoperablen Datensilos“, warnt Zellhöfer in seinem Gutachten. Obendrein ein Silo mit Daten von minderer Qualität. Denn die Nutzer:innen können die Metadaten-Felder mit frei wählbaren Beschreibungen belegen. Das mach es zusätzlich kompliziert, einzelne Datensätze wiederzufinden, etwa wenn sich Rechtschreibfehler einschleichen.

Bundesdruckerei erwägt rechtliche Schritte

Auf unsere Anfrage an die Bundesdruckerei, wie sie die Ergebnisse des Gutachtens bewerte, ging die bundeseigene GmbH nicht ein. Stattdessen zweifelt sie in ihrer Antwort die Neutralität des Gutachters an. „Wir können aktuell nur mutmaßen, dass der Autor für sein Werk womöglich unseriöse Quellen benutzt haben könnte“, schreibt die Bundesdruckerei an netzpolitik.org, „und zudem einen unlauteren Zweck verfolgt: die Reputation unseres Unternehmens zu schädigen.“ Und sie kündigt an, gegebenenfalls rechtlich gegen das Gutachten vorzugehen: „Sollten sich nach eingehender Prüfung dieses ‚Gutachtens‘ unsere Mutmaßungen erhärten, werden wir die Einleitung rechtlicher Schritte erwägen“.

Als wir Zellhöfer über die Reaktion der Bundesdruckerei informierten, nimmt er sein Gutachten vorübergehend offline. „Ich war unmittelbar eingeschüchtert“, sagt er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“ Die Reaktion kann er sich nicht erklären. „Der Datenatlas ist ein Nischenthema“, sagt er, „das hätten sie auch einfach aussitzen können.“

„Wenn man es positiv sehen will, könnte der Datenatlas als Projekt eines Retro-Computing-Enthusiasten durchgehen“, sagt Zellhöfer. Aber vermutlich müsse man den Datenatlas in seiner jetzigen Form vielmehr als „einen zynischen Kommentar zur Verwaltungsmodernisierung“ sehen. „Super ist, dass sie methodisch sinnvoll eine Dateninventur gemacht haben.“

Weder das BMF noch das Bundesministerium für Digitales und Staatsmodernisierung wollten das Gutachten auf Anfrage bewerten. Das Bundesdigitalministerium soll die Federführung für den Datenatlas übernehmen.

Kategorien: Externe Ticker

Neues Polizeigesetz: Berlin wirft die Freiheit weg

4. Dezember 2025 - 11:46

Auf Demonstrationen (wie hier am 1. Mai) filmt die Berliner Polizei bereits fleißig mit. Künftig darf sie auch festinstallierte Kameras betreiben, die Bilder per KI auswerten und vieles mehr. – Alle Rechte vorbehalten IMAGO / Achille Abboud

Die Schulen sind marode, die Wohnungen knapp und die Brücken brechen bald zusammen. Um Berlin steht es lausig. Doch statt diese täglich spürbaren Probleme anzugehen, wirft die Berliner Landesregierung ohne Not die legendäre freiheitlich orientierte Ausrichtung der Stadt auf den Müll.

Es wirkt wie hektischer Aktionismus, was die schwarz-rote Koalition sich da ins Polizeigesetz zusammenkopiert hat. Als wolle man anderen Bundesländern, die derartige Maßnahmen bereits erlaubt haben, in nichts nachstehen. Heute hat Berlin eine Sicherheitsarchitektur aufgesetzt, die in dieser Stadt lange undenkbar war. Es ist ein Tabubruch, eine Zeitenwende, was da im Abgeordnetenhaus beschlossen wurde.

Bislang durfte die Berliner Polizei den öffentlichen Raum nicht dauerhaft überwachen – und jetzt sollen in manchen Gebieten nicht nur Kameras aufgestellt, sondern diese auch gleich noch an sogenannte Künstliche Intelligenzen angeschlossen werden. Auch Videoüberwachung mit Drohnen ist für die Berliner Polizei künftig explizit erlaubt.

Verhaltensscanner und Gesichtersuchmaschine

Die geplante Kamera-KI soll automatisch erkennen, was die Überwachten gerade tun. Diese Verhaltensscanner werden aktuell in Mannheim und in Hamburg getestet und sind noch weit von einem sinnvollen Praxiseinsatz entfernt. Die Begehrlichkeiten von sicherheitsfanatischen Politiker*innen haben sie anscheinend bereits geweckt.

Die ersten dieser Kameras werden wohl im und um den Görlitzer Park errichtet. Dieses beliebte Erholungsgebiet, in dem traditionell auch Rauschmittel gehandelt werden, hat von Berlins Ober-Sheriff Kai Wegner, CDU, bereits einen Zaun spendiert bekommen, es ist künftig nur noch tagsüber geöffnet. Sollte die Kamera-KI dann dort jemanden erkennen, der jemand anderem etwas zusteckt, folgt vermutlich der Zugriff durch die Polizei. Auch wenn es sich bei dem klandestin übergebenen Objekt um beispielsweise Verhütungs- oder Hygieneartikel handeln sollte. Das Gefühl von Freiheit, das auch von diesem Park aus einst den Ruhm Berlins begründete, vertrocknet unter dem starren Blick der „intelligenten“ Kameras.

Entdeckt die Berliner Polizei auf den Videobildern einen Menschen, den sie gerne näher begutachten möchte, kann sie künftig zudem das Internet nach Bildern durchsuchen, die dem Menschen ähnlich sind, um ihn zu identifizieren oder mehr über ihn zu erfahren. Dafür muss die Person nicht einmal einer Straftat oder deren Vorbereitung verdächtig sein, es reicht, Kontakt mit jemandem zu haben, der verdächtig ist.

Big-Data-Analyse und Staatstrojaner

Die Informationen, wer mit wem hantierte und welches Insta-Profil zu welchem Gesicht gehört, darf in einer Superdatenbank mit Bewegungsprofilen, Verhaltensmustern und Sozialkontaktanalysen gespeichert werden. Mit den dort beinhalteten Bildern, Videos und anderen personenbezogenen Daten kann dann auch eine kommerzielle KI trainiert werden, wie sie beispielsweise Palantir verkauft.

Und wenn sich eine verdächtige Person besonders undurchsichtig zeigt, gibt es in Berlin künftig immer noch die Möglichkeit, per Staatstrojaner ihren Telefonspeicher und die laufende Kommunikation auszulesen. Um solche Schadsoftware zu installieren, darf die Berliner Polizei dann auch heimlich in Wohnungen einbrechen.

Halleluja. Schöne neue Welt.

Kategorien: Externe Ticker

Digital Fights: Digital Knights: Wir kämpfen gegen die Überwachung mit Palantir

4. Dezember 2025 - 6:52

Wir lassen uns nicht einschüchtern. – CC-BY-NC-SA 4.0 netzpolitik.org

Der Hersteller Palantir gilt vielen als konkurrenzlos. Seine Software soll verstreute, heterogene und teilweise unstrukturierte Daten zusammenbringen, die der Polizei in großer Fülle vorliegen.

Dass dabei weitgehender Zugang zu Daten gewährt werden muss, ist eine technische Notwendigkeit und betrifft unausweichlich zahlreiche personenbezogene Datensätze. Millionen Datenhäppchen über Menschen, die mit der Polizei irgendwann Kontakt hatten, fließen in diese Schattendatenbanken hinein. Diskriminierte Gruppen sind besonders betroffen und selbst Berufsgeheimnisträger:innen wie Anwälte, Medienschaffende oder Ärztinnen werden nicht verschont und können mitgerastert werden.

Dessen ungeachtet ist Palantir-Software schon jetzt in Bayern, Hessen und Nordrhein-Westfalen im Einsatz. Andere Länder ziehen nach. Und das Bundeskriminalamt und die Bundespolizei scharren ebenfalls mit den Hufen.

Als leser:innenfinanziertes Medium halten wir dagegen! Wir kämpfen gegen die dunklen Instrumente der Überwachung und Kontrolle – und für die Grund- und Freiheitsrechte aller.

Dafür brauchen wir deine Unterstützung.

In diesem Jahr fehlen uns noch 313.805 Euro.

Your browser does not support the video tag.

Teile dieses Video: YouTube | YouTube Shorts | Mastodon | Bluesky | Instagram

Kategorien: Externe Ticker

Pressefreiheit: Polizei behindert Presse bei Protesten in Gießen

3. Dezember 2025 - 16:31

Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen ist es an mehreren Stellen zu Einschränkungen der Pressefreiheit, Behinderung der Arbeit von Pressevertretern und einem Angriff auf einen Journalisten gekommen. Während der Fall des Springer-Reporters Paul Ronzheimer, den Demonstrierende aggressiv bedrängten und beschimpften, vielfach berichtet wurde, bleiben Einschränkungen der Pressefreiheit durch Polizeibeamte bislang eher unterberichtet.

So berichtete unter anderem die taz, dass ein Reporter der Zeitung von der Polizei aktiv bei der Arbeit behindert wurde. In einem Video auf Bluesky sieht man, wie sich ein Polizist immer wieder vor den filmenden Reporter stellt und diesem die Sicht versperren will. Auch darf der Reporter nicht näher an die Sitzblockade und die Polizeimaßnahme heran. Eigentlich muss die Polizei die Arbeit der Presse unterstützen und diese auch an Absperrungen vorbei lassen.

Auch der Bundesverband Freier Radios beklagt in einer Pressemitteilung Einschränkungen der Pressefreiheit. Die freien Radiosender hatten in einer gemeinsamen Aktion live aus Gießen gesendet. Während der Proteste seien „fast alle Radioredakteur*innen in ihrer Pressearbeit behindert“ worden, heißt es in der Pressemitteilung.

Trotz Presseausweis nicht durchgelassen

So hätten Einsatzkräfte Presseausweise und Auftragsbestätigungen ignoriert, den Zugang zu wesentlichen Orten des Geschehens erschwert oder gar verhindert. „Im Ergebnis war eine Berichterstattung von bestimmten polizeilichen Maßnahmen unmöglich“, so der Verband.

„Dass Journalist*innen durch die Polizei von der Berichterstattung über Räumungen von Sitzblockaden gehindert werden, ist eine massive Verletzung der Freiheit der Berichterstattung“, schreibt Aljoscha Hartmann aus dem Vorstand des Bundesverbandes Freier Radios. Der Verband berichtet, dass die Polizei einen Journalisten von Radio Corax aus Halle nicht in die Nähe der Räumung einer Sitzblockade gelassen habe – obwohl dieser einen Presseausweis und eine Auftragsbestätigung seines Mediums dabei hatte.

Roman Kalex vom Vorstand des Bundesverbands Freier Radios fordert einen professionellen Umgang der Polizei mit der Presse und keine willkürlichen Einschränkungen. „Anders kann sich die Öffentlichkeit kein eigenes Bild machen über die Verhältnismäßigkeit von Polizeimaßnahmen und auch die Absichten und das Handeln von Demonstrierenden“, so Kalex weiter.

Einschränkungen erlebten auch die Journalist:innen, die aus den Messehallen über die AfD-Veranstaltung berichtet haben. Dort hatte die AfD den Pressebereich laut Ann-Katrin Müller aus dem Spiegel-Hauptstadtbüro mit Bändern eingezäunt, so dass sie sich nicht zwischen den Delegierten bewegen konnten. Ein Wachmann der rechtsradikalen Partei hätte die Journalistin zudem angemeckert, weil sie Fotos gemacht habe.

Kategorien: Externe Ticker

Jugendschutz-Streit: Pornhub jetzt offen für Ausweiskontrollen in der EU

3. Dezember 2025 - 15:22

Lange hat sich Pornhub in Deutschland dagegen gewehrt, das Alter seiner Nutzer*innen zu kontrollieren. Pornhub ist eine der weltgrößten Pornoseiten und zugleich eine der meistbesuchten Websites. Im Namen des Jugendschutzes soll Pornhub etwa die Ausweise aller Besucher*innen prüfen, um Minderjährige fernzuhalten. In Deutschland setzt sich die Medienaufsicht dafür ein. Während sich die Pornoseite seit Jahren vor deutschen Gerichten gegen die Regulierungsbehörde stemmt, kündigt Mutterkonzern Aylo nun einen Kurswechsel an.

„Aylo ist einer der ersten Teilnehmer am Pilotprogramm der Europäischen Kommission zur Einführung der Altersverifikation über die europäische Altersverifikations-App“, schreibt ein Sprecher auf Anfrage von netzpolitik.org.

Die EU ist ein weiterer Player bei der Durchsetzung von Jugendschutz im Netz – und ein größerer als die deutsche Medienaufsicht. Aktuell arbeitet die EU-Kommission an einer App zur Alterskontrolle. Diese App können altersbeschränkte Dienste wie etwa Pornoseiten vorschieben, um ihre Besucher*innen zu filtern. Schon jetzt testen das fünf Mitgliedstaten. Künftig sollen die Funktionen der App in der digitalen Brieftasche (European Identity Wallet, EUDI) aufgehen, die laut Plan im Jahr 2026 kommen soll.

Widersprüchliche Signale von Pornhub-Mutter Aylo

Warum bekennt sich Pornhub plötzlich zum Einsatz dieser Alterskontroll-App – sogar als einer der ersten? Auf Anfrage teilt der Konzern mit, sich schon seit Jahren für effektive und durchsetzbare Alterskontrollen eingesetzt zu haben. „Wir alle wollen die Sicherheit von Minderjährigen im Internet gewährleisten, und wir alle tragen gemeinsam die Verantwortung dafür“, so ein Sprecher auf Englisch.

Noch vor einem Jahr führte die Argumentation von Pornhub allerdings in eine andere Richtung. In ihrem ersten Interview mit einem deutschsprachigen Medium sagte Alex Kekesi, Leiterin für Community- und Markenmanagement bei Pornhub, damals gegenüber netzpolitik.org: Wenn Websites des Alter von Nutzer*innen kontrollieren, berge das „reale Gefahren“. Konkret sagte sie:

Wie viele Websites für Erwachsene gibt es weltweit? Vermutlich Hunderttausende, wenn nicht Millionen. Wie soll eine Regierung all diese Seiten überwachen können? Es ist schlicht unmöglich, überall das Alter zu kontrollieren. Bei Kontrollen auf Website-Ebene werden gerade große Plattformen zur Zielscheibe, weil sie dann gesperrt werden oder schwerer zugänglich sind. Das treibt das Publikum zu kleineren Websites, die oft nicht einmal ihre Inhalte prüfen und sich an keine Altersvorgaben halten.

Stattdessen plädierte die Pornhub-Managerin für Kontrollen auf Ebene von Betriebssystemen. Demnach sollte das Alter direkt bei der Einrichtung eines Geräts geprüft werden. Nun scheint es, dass Pornhub doch klein beigibt und sich den Anforderungen der EU-Kommission beugen will.

Mit Sicherheit sagen lässt sich das derzeit aber nicht. Denn auf konkrete Rückfragen zu den geplanten Alterskontrollen reagierten sowohl die EU-Kommission als auch Aylo nebulös.

„Es gab Aufrufe, Pornos zu verbieten“

Die Pressestelle der EU-Kommission konnte auf Anfrage von netzpolitik.org zunächst nichts Näheres dazu sagen, ob Pornhub überhaupt Teil eines „Pilotprogramms“ ist. Wenn wir eine weitere Antwort erhalten, werden wir den Artikel ergänzen.

Alyo wiederum möchte auf Nachfrage nicht näher benennen, wann genau Pornhub die Alterskontroll-App für EU-Nutzer*innen einführen will. Einerseits schreibt der Sprecher: „Wir sind entschlossen, in allen Ländern, in denen wir geschäftlich tätig sind, stets die gesetzlichen Vorgaben einzuhalten.“ Das deutet auf eine zeitnahe Einführung der Alterskontrollen hin.

Andererseits schreibt der Sprecher: „Wir glauben, dass eine solche Lösung wirksam sein kann, wenn sie branchenweit eingesetzt wird.“ Zudem müsse die Abwanderung von Nutzer*innen zu anderen Websites verhindert werden. Das deutet darauf hin, dass Pornhub den Einsatz der App an Bedingungen knüpft – die auf absehbare Zeit nicht eintreten. Denn technisch lässt sich nicht zuverlässig verhindern, dass Menschen genervt eine Seite ohne Alterskontrollen ansteuern.

Strategie: Testballon

Die Widersprüche ergeben mehr Sinn, wenn man die zugrundeliegende Strategie der Plattform betrachtet. Während Regierungen weltweit den Druck auf Pornoseiten erhöhen, erprobt Pornhub je nach Land verschiedene Reaktionen – wohl um herauszufinden, was dem Konzern am meisten nutzt. Pornhubs Reaktionen lassen sich mit Testballons vergleichen.

In einigen Bundesstaaten der USA hat Pornhub selbst den Zugriff auf die Seite blockiert. Statt sich den dortigen Gesetzen für Alterskontrollen zu beugen, hat Pornhub den Einbruch von Klicks in Kauf genommen.
Im Juni 2025 hat Pornhub dasselbe in Frankreich getan und den Zugang für dortige Nutzer*innen blockiert. „Website-basierte Altersüberprüfung funktioniert nicht. Es schützt keine Kinder und setzt die Daten von Millionen Franzosen Datenschutzverletzungen und Hacking aus“, warnte der Konzern auf Englisch und plädierte einmal mehr für Alterskontrollen auf Ebene von Betriebssystemen. „Ihre Regierung wird Ihnen diesbezüglich nicht die Wahrheit sagen, aber wir werden es tun.“
In Großbritannien wiederum hat Pornhub im Sommer 2025 Alterskontrollen eingeführt, wie es der dortige Online Safety Act verlangt.

Warum also zeigt sich Pornhub neuerdings offen für Alterskontrollen in der EU? Ein Faktor könnte sein, dass Brüssel ein weiteres Druckmittel in der Hand hat. Dort hat die EU-Kommission Pornhub nämlich als „sehr große Plattform“ (VLOP) nach dem Gesetz über digitale Dienste (DSA) eingestuft. Diesen Status haben nur die größten Online-Dienste in der EU. Er geht mit erweiterten Pflichten einher. Betroffene Dienste müssen besonders transparent sein und verstärkt Risiken eindämmen, auch für Minderjährige. Andernfalls drohen Geldbußen. Pornhub wehrt sich gegen die Einstufung als VLOP und beruft sich auf angeblich gesunkene Nutzungszahlen.

Ein weiterer Faktor dürfte sein, dass die geplante Alterskontroll-App der EU zumindest ein Stück weit den Anforderungen von Pornhub entgegenkommt. Zwar bringt die App keine Alterskontrolle auf Ebene des Betriebssystems, wie es der Konzern oftmals gefordert hat. Aber die App verspricht – je nach konkreter Ausgestaltung – Datensparsamkeit. Das könnte verhindern, dass zahlreiche externe Anbieter sensible Ausweisdaten horten, wie es Gutachter*innen jüngst in Australien beobachtet haben.

EU-Kommission gibt klares Jein zu Alterskontrollen

Verwaltungsgericht Düsseldorf kippt Netzsperren

Im Ringen zwischen Pornhub und EU-Kommission ist das letzte Wort also noch lange nicht gesprochen. Zumindest in Deutschland hat die Plattform jüngst einen Etappensieg erzielt. Am 19. November hat das Verwaltungsgericht Düsseldorf die gegen Pornhub und die Schwesterseite YouPorn verhängten Netzsperren wieder gekippt.

Angeordnet wurden die Netzsperren von der Landesanstalt für Medien Nordrhein-Westfalen, nachdem Pornhub in Deutschland keine Alterskontrollen einführen wollte. Sowohl Pornhub als auch betroffene Provider sind deshalb vor Gericht gezogen. Auch wenn sich Netzsperren kinderleicht umgehen lassen, gelten sie als besonders gravierende Maßnahme, das vor allem autoritäre Staaten gerne einsetzen.

Der Rechtsstreit auf Deutschland-Ebene macht anschaulich, wie unterschiedlich Pornhub gemäß seiner Testballon-Strategie handelt. In den USA und Frankreich hatte Pornhub den Zugang zur Website freiwillig blockiert. In Deutschland wiederum ging die Plattform vor Gericht, um nicht blockiert zu werden.

Der Grund für Pornhubs jüngsten Etappensieg in Düsseldorf liegt im Wandel der Zuständigkeiten auf nationaler und EU-Ebene. Die Plattform konnte mit Blick auf die verhängten Netzsperren erfolgreich argumentieren, dass nicht etwa die Anordnungen der deutschen Medienaufsicht Vorrang haben, sondern EU-Recht. Deshalb durften die betroffenen Internet-Provider die Netzsperren wieder aufheben.

Medienaufsicht kämpft um Zuständigkeit

All das ist aber nicht endgültig. Die deutsche Medienaufsicht will die Einschränkung ihrer Kompetenzen nicht hinnehmen und hat bereits Beschwerde gegen die Beschlüsse aus Düsseldorf eingelegt. Das bestätigt die Behörde auf Anfrage von netzpolitik.org. Darüber entscheiden wird das Oberverwaltungsgericht in Münster. Auch das Hauptsacheverfahren läuft weiter. In diesem Verfahren geht es ebenso darum, ob für Pornhub der europäische oder der nationale Rechtsrahmen Vorrang hat.

Vor den deutschen Verwaltungsgerichten werden also noch zwei Konflikte ausgetragen. Für Pornhub geht es darum, mit welcher Regulierungsbehörde sich die Plattform künftig herumschlagen muss. Für die deutsche Medienaufsicht geht es darum, ob sie nach jahrelangem Kampf gegen frei verfügbare Pornografie in Deutschland ihre Zuständigkeit gegenüber Brüssel einbüßt.

„Den betroffenen Kindern ist es vermutlich ziemlich egal, wer sie schützt, nur passieren müsste es“, kommentiert Tobias Schmid, Direktor der Landesanstalt für Medien NRW. Ganz so entspannt, wie das Zitat es nahelegt, dürfte die Haltung seiner Behörde jedoch nicht sein. Denn mit ihrem Vorgehen gegen Pornoseiten konnte die Landesanstalt für Medien über viele Jahre lang öffentliche Aufmerksamkeit für ihre Arbeit gewinnen und sogar ihre Instrumente erweitern.

Jüngst hat die Novelle des Staatsvertrags für Jugendmedienschutz (JMStV) der Medienaufsicht zwei neue mächtige Werkzeuge beschert. Diese Machterweiterung geht direkt auf das Engagement der Behörde gegen Pornoseiten zurück. So soll die Medienaufsicht künftig einfacher Netzsperren anordnen können und widerspenstigen Diensten über Zahlungsdienstleister den Geldhahn abdrehen dürfen. Selbst wenn die Medienaufsicht bald einen Teil ihrer Zuständigkeit für Pornoseiten verlieren sollte – diese Instrumente bleiben.

Kategorien: Externe Ticker

Interview mit der Bundesdatenschutzbeauftragten: „Die aktuelle Debatte geht in die falsche Richtung“

3. Dezember 2025 - 14:35

Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.

Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.

Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.

„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“

netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?

Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.

In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.

netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?

Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.

Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.

netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?

Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.

Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.

„Es gibt im Omnibus auch Aspekte, die ich begrüße“

netzpolitik.org: Mit ihrem „Digitalen Omnibus“ fährt die EU-Kommission aktuell in die andere Richtung. Sie schlägt erstmals weitreichende Änderungen an der DSGVO vor. Verbraucher- und Datenschutzorganisationen sowie Teile des EU-Parlaments sprechen von einem Angriff auf die Grundlagen des europäischen Datenschutzes.

Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.

Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.

netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?

Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.

Was plant die EU-Kommission bei KI und Datenschutz?

„Datenschutz und KI gehen ganz schlecht zusammen“

netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.

Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.

netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?

Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.

Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.

Wo eine Reform ansetzen sollte

netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.

Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.

netzpolitik.org: Was fehlt Ihnen?

Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?

Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.

Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.

netzpolitik.org: Sondern?

Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.

Datenhändler verkaufen metergenaue Standortdaten von EU-Personal

Wie man das Problem der Databroker lösen könnte

netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?

Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.

Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.

Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.

netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.

Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.

Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.

„Eine Verpflichtung wäre eine großer Schritt“

netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?

Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.

Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.

Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.

„Hundertprozentige Sicherheit gibt es nicht“

netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?

Das gebrochene Versprechen

Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.

Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.

Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.

netzpolitik.org: Das war ja mal anders.

Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.

netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?

Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.

Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.

„Für eine patientenztentrierte ePA ist es noch nicht zu spät“

netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?

Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.

Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.

Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.

Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.

„Das würde meine Behörde und mich sehr schmerzen“

netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.

Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.

Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.

netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.

Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.

Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?

netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.

Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.

Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.

Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.

netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?

Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.

netzpolitik.org: Ihre Länderkolleg:innen rechnen mit deutlich höheren Zahlen.

Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.

Kategorien: Externe Ticker

Digitaler Omnibus: So unterschiedlich wollen EU-Staaten die Digitalregulierung verändern

3. Dezember 2025 - 12:10

Die 27 EU-Staaten müssen sich nun einigen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com FORTYTWO

Vor zwei Wochen hat die Europäische Kommission ein Gesetzespaket unter dem Namen „Digitaler Omnibus“ vorgestellt. Damit sollen mehrere bereits beschlossene Gesetze verändert werden, um Unternehmen zu entlasten und Europas Digitalindustrie zu stärken. An dem Vorhaben gibt es von vielen Seiten massive Kritik.

Doch was halten eigentlich die 27 Mitgliedstaaten von den Plänen der Kommission? Neben dem Parlament müssen auch sie dem Vorhaben zustimmen. Anders als aus einigen Parlamentsfraktionen, die sich wiederholt sehr kritisch äußern, hört man aus den Mitgliedstaaten bislang wenige Reaktionen auf die konkreten Vorschläge. Vor ihrer offiziellen Vorstellung übermittelten die Mitgliedstaaten allerdings ihre Positionen an die Kommission. Manche davon konnten wir einsehen. Daraus lässt sich bereits einiges ablesen.

Viele Mitgliedstaaten forderten etwa, die Fristen für Hochrisiko-KI-Systeme aus der KI-Verordnung um mindestens 12 Monate zu verlängern. So positionierten sich unter anderem Deutschland, Polen, Dänemark und Frankreich. Die Kommission plant in ihrem Vorschlag tatsächlich eine Verschiebung von bis zu 16 Monaten.

Frankreichs Regierung äußerte sich auf dem Souveränitätsgipfel in Berlin klar: Die Digitalregeln sollen unbedingt verändert werden, um europäische Innovation zu unterstützen, vor allem im KI-Bereich. In diese Richtung argumentierte auch das deutsche Bundesdigitalministerium.

Mehr Klarheit statt Verzögerung

In seinem Positionspapier meint Lettland ebenfalls, es brauche „realistische“ Umsetzungsfristen für die KI-Verordnung. Eine Verzögerung forderte der baltische Staat aber nicht explizit. Stattdessen sprach sich Lettland für Ersatzmechanismen aus, die bei der Umsetzung der Vorgaben Rechtssicherheit geben sollten, solange die Standards noch fehlen.

Auch die Niederlande erklärten in ihrem Positionspapier, dass es deutlicher sein müsste, wie die KI-Verordnung erfüllt werden kann. Ziel sei, das Vertrauen zu stärken und einen europäischen Markt für menschenzentrierte KI zu schaffen. Dabei hält das Land mehr Klarheit für eine „bevorzugte Strategie“ im Vergleich zur Verlängerung der Fristen, heißt es im Papier.

Im Bereich des Datenschutzes schlugen die Niederlande praktische Instrumente vor, um insbesondere kleinen Organisationen bei der Umsetzung der Regeln zu helfen. In Bezug auf Cookies wollen sie, dass Nutzende im Browser entscheiden können, welche sie akzeptieren. So sollen ihre Grundrechte und Freiheiten geschützt werden. Im Kommissionsvorschlag findet sich eine solche Regelung. Darüber hinaus forderten die Niederlande aber keine Änderungen an der Datenschutz-Grundverordnung (DSGVO).

Kaum einer will die DSGVO ändern

Im Gegensatz dazu plädierte Dänemark in seinem Papier (PDF) für die Überarbeitung der Datenschutzvorschriften, um die „Belastungen für die Unternehmen zu verringern“ und „innovationsfreundlicher“ zu werden. Hier wird der „KI-Wettlauf“ erwähnt, in dem Europa ansonsten schlechte Chancen hätte.

Der nordische Staat würde im Datenschutz außerdem gerne einen stärker risikobasierten Ansatz verfolgen: Die Regularien sollen in einem „angemessenen Verhältnis“ zu den tatsächlichen Risiken der Datenverarbeitung stehen.

Auch Deutschland (PDF) habe maßgeblich auf die Änderungen der DSGVO hingewirkt, sagt die Nichtregierungsorganisation noyb. Sie hat ein Dokument veröffentlicht, in welchem neun Mitgliedstaaten ihre Meinung zu möglichen Änderungen der DSGVO abgeben. Darin zeigt sich auch Tschechien offen gegenüber Änderungen der Verordnung.

Estland, Österreich und Slowenien sehen hingegen keine Notwendigkeit, die DSGVO zu verändern. Finnland, Polen und Schweden sind offen für kleine, technische Anpassungen. Doch auch sie wollen keine Definitionen verändern, so wie es der Kommissionsvorschlag nun vorsieht. Frankreich will die DSGVO aktuell ebenfalls nicht anfassen, verschließt sich der Möglichkeit aber nicht völlig.

Vereinfachung doch nicht so einfach?

Ein weiterer Diskussionspunkt betrifft die gebündelte Meldung von Cybersicherheitsvorfällen über eine zentrale Plattform. Während viele Staaten diese Zusammenfassung begrüßen, darunter Lettland, sind andere skeptisch, ob dadurch tatsächlich die gewünschte Vereinfachung und Kosteneinsparung erreicht würden.

Die Niederlande weisen darauf hin, dass Meldungen nach der NIS-2-Richtlinie und der Richtlinie zur Resilienz kritischer Einrichtungen (CER) ohne Probleme zusammengefasst werden könnten. Bei Meldungen nach dem Cyber Resilience Act (CRA) und der DSGVO sehen sie hingegen Hürden, da sich hier die Häufigkeit der Meldung, der Zweck und die Zuständigkeiten erheblich unterscheiden würden.

Ähnlich äußerte sich auch das österreichische Innenministerium in der Konsultation zum Omnibus-Paket: Konkrete Maßnahmen hinsichtlich der Meldepflichten müssten „wohlüberlegt und technisch ausgereift“ sein, um tatsächlich einen Mehrwert darzustellen. Änderungen der Zuständigkeiten würden schließlich auch eine Änderung der Verwaltungsorganisation bedeuten und „gravierenden Aufwand und hohe Kosten“ verursachen.

Österreich merkte zudem an, dass die Kommission vor der Vereinfachung erst ein „umfassendes Mapping“ erstellen sollte. Es soll übersichtlich zeigen, welche Vorschriften es im Digitalbereich bereits gibt.

Unterschiedliche Prioritäten

Andere Länder formulieren derzeit noch ihre Haltung zum Kommissionsvorschlag. Zum Teil haben sie zu einzelnen Themen auch keine besonders starke Position. Dazu muss man wissen: Jede Regierung setzt für sich Schwerpunkte in der EU-Politik und widmet sich vor allem jenen Themen, die für sie besonders wichtig sind.

Am Freitag, den 5. Dezember, werden die Digitalminister:innen der 27 Mitgliedstaaten zum ersten Mal zu den geplanten Änderungen beraten. Dann trifft sich der Telekommunikations-Rat in Brüssel.

Kategorien: Externe Ticker

Transparenzregister mit Lücken: KI-Nutzung der öffentlichen Verwaltung bleibt undurchsichtig

3. Dezember 2025 - 7:58

KI als Black-Box-Technologie: Verwaltungen sollten zu umfassenden Angaben über entsprechende Tools verpflichtet sein. (Symbolbild) – CC-BY-SA 4.0 Bildelemente generiert mit Gemini; Bearbeitung: netzpolitik.org

Ob zur Grundwasseranalyse oder um den Zustand von Straßen zu erfassen – in der öffentlichen Verwaltung kommen immer mehr Werkzeuge zum Einsatz, die auf sogenannter Künstlicher Intelligenz basieren. Kaum eine Verwaltungswebsite verzichtet noch auf einen Chatbot. Seit einer Woche steht für die Mitarbeiter:innen der Berliner Verwaltung der KI-Assistent BärGPT bereit. Und das Verbraucherportal der Bundesnetzagentur setzt KAI ein.

Geht es nach Digitalminister Karsten Wildberger (CDU), wird der Erfolg der Digitalisierung in der öffentlichen Verwaltung maßgeblich von KI-Systemen abhängen. Daher dürfte es auch immer wichtiger werden, KI-Anwendungen zu erfassen. Seit gut einem Jahr gibt es dafür unter anderem das nationale KI-Transparenzregister. Es ist Teil des Marktplatzes der KI-Möglichkeiten, kurz MaKI. Daneben gibt es ein Dashboard mit Daten über KI-Nutzung in der Verwaltung und Steckbriefen über einzelne KI-Tools.

Für das Transparenzregister ist das Bundesministerium für Digitales und Staatsmodernisierung zuständig. Den Grundstein für MaKI legte eine Pilotinitiative des Beratungszentrums für Künstliche Intelligenz (BeKI) des Bundesinnenministeriums. Das Zentrum ist im Aufbau und soll „eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung“ sein.

Das KI-Transparenzregister soll die Vorgaben der KI-Verordnung umsetzen. Derzeit umfasst die Datenbank gut 240 Einträge zu KI-Anwendungen auf Bundesebene. Die Datensätze dazu liefern die nutzenden Bundesbehörden selbst. Zum 1. Dezember hat das Bund-Länder-Gremium IT-Planungsrat den Roll-out auf alle Verwaltungsebenen begonnen. Anfang 2027 will der IT-Planungsrat den MaKI samt Transparenzregister als eigenständiges Produkt unter seine Fittiche nehmen.

Dass der Rat die anderen Verwaltungsebenen einbeziehen will, sei zu begrüßen, sagt der Jurist Jonas Botta gegenüber netzpolitik.org. Das sei eine wichtige Voraussetzung dafür, um ein umfassendes Bild über den behördlichen KI-Einsatz zu erhalten. Botta leitete ein Drittmittelprojekt zum KI-Transparenzregister, an dem auch die Nichtregierungsorganisation AlgorithmWatch, die gemeinnützige Verwaltungsplattform NExT e. V. und das Deutsche Forschungsinstitut für öffentliche Verwaltung (FÖV) beteiligt waren.

Im KI-Transparenzregister geben Behörden verschiedene Informationen zu ihren KI-Anwendungen an. Etwa dazu, ob diese gerade entwickelt werden oder schon im Einsatz sind. Das Register umfasst außerdem Daten zu nicht länger genutzten KI-Tools und Projektstarts. Daneben können Behörden eine Kontakt-E-Mail-Adresse und das nutzende Ressort angeben oder auch, ob der Auftrag extern oder inhouse vergeben wurde.

Ausschlaggebend ist hier jedoch das Wort „können“. Denn bislang geben Behörden die Angaben zu ihren KI-Tools freiwillig weiter. Damit sei das Register nach wie vor kein „umfassender, grundrechtssichernder Transparenz-Mechanismus“, sagt Jonas Botta.

Das KI-Transparenzregister müsste aber für die öffentliche Verwaltung verpflichtend sein, um den staatlichen KI-Einsatz grundrechtlich abzusichern. Als Vorbild könne ein entsprechendes Register namens Algoritmeregister aus den Niederlanden dienen.

Intransparentes Verwaltungshandeln

Wäre es verpflichtend, würde das Register Verwaltungshandeln verlässlich transparent machen. Das sei „im demokratischen Rechtsstaat nicht nur allgemein von hoher Bedeutung“, sagt Jonas Botta, sondern werde „angesichts des ‚Blackbox‘-Phänomens von KI-Systemen“ immer wichtiger.

Eine große Schwäche des Registers in seiner jetzigen Form sind die Hürden für Bürger:innen. Die zur Verfügung gestellten Daten sind unübersichtlich aufbereitet und in einer schier endlos langen Tabelle aufgeführt. Sie können zwar etwa nach Entwicklungsstatus oder Verwaltungsebene gefiltert werden. Exportieren lassen sie sich dann aber nur in Form einer Excel-Tabelle. Darüber hinaus sind die angegebenen Daten lückenhaft. So gibt es etwa nicht immer eine Angabe zum Lizenztyp oder zum Kooperationspartner.

Auch sind Angaben zu rechtlichen Grundlagen für den Einsatz von KI-Systemen unvollständig oder es fehlen Angaben dazu, welche Daten die Behörden während des Einsatzes erheben und nutzen, kritisiert Pia Sombetzki von AlgorithmWatch. „Wenn hinter der Angabe zur ‚Beschreibung der Verfahren des Betriebs‘ beispielsweise steht ‚vorhanden'“, sei das keine hilfreiche Auskunft, weil diese zu unspezifisch sei.

Risikostatus: unklar

Bürger:innen können kaum nachvollziehen, „wann sie mit welchem KI-System konfrontiert sind, warum die Behörde dieses System verwendet und welche potenzielle Risiken“ sie bergen, sagt Botta. Auch Abwägungsprozesse der jeweiligen Behörde blieben undurchsichtig: Welche KI setzt die Behörde aus welchen Gründen und für welchen Anwendungsfall ein? Welche Risiken spielen dabei eine Rolle? Und wie kann sie Risiken minimieren oder umgehen?

„Von echter Nachvollziehbarkeit über die KI-Einsätze beim Staat sind wir noch meilenweit entfernt“, sagt Sombetzki. Das Register versäume es, eine lückenlose Nachvollziehbarkeit beim Thema Risikobewertung zu schaffen. Hier fehlten klare Vorgaben. Das verdeutliche auch die Antwort der Bundesregierung auf eine Kleine Anfrage der Partei Die Linke. Die dort gemachten Angaben seien nicht mit denen im Transparenzregister deckungsgleich. Gleichzeitig verweise die Bundesregierung auf die Angaben im Register.

Zudem hätten Behörden bei mehr als einem Drittel der KI-Anwendungen keinerlei Risikobewertungen vorgenommen. Obwohl die KI-Verordnung voraussetze, dass die Bundesverwaltung das Risiko ihrer KI-Einsätze abschätzt, wie Pia Sombetzki anmerkt.

An der Verwaltung ausgerichtet

Botta kritisiert zudem die Anbindung des Transparenzregisters an den MaKI. Damit stünden bislang die Behördeninteressen im Fokus, wie die Qualitätssicherung und Nachnutzung von KI-Tools durch die Behörden selbst. Diese Interessen betonte auch Heiko Geue beim Pressegespräch anlässlich der 48. Sitzung des IT-Planungsrats Ende November. Geue ist Finanz- und Digitalisierungsminister Mecklenburg-Vorpommerns sowie Vorsitzender des Rats.

Doch Behördeninteressen bildeten nur eine der Anforderungen an das Transparenzregister ab. Dieses solle, so Bolle, aber auch für Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft KI-Tools und deren Einsatz in der Verwaltung transparent machen. Für sie halte sich der Nutzen aber bislang stark in Grenzen, so der Jurist. Pia Sombetzki sieht derweil die Gefahr, dass das MaKI „zu einem unwirksamen Marktplatz unter vielen“ verkommt und mit ihm das Register.

Kategorien: Externe Ticker

Werbeanzeigen: EuGH nimmt Plattformen bei Datenschutzverstößen in die Pflicht

2. Dezember 2025 - 19:56

Betreiber von Online-Marktplätzen sind unter bestimmten Umständen für datenschutzrechtswidrige Inhalte mitverantwortlich, die von Nutzenden eingestellt wurden. Das hat der Europäische Gerichtshof (EuGH) heute in Luxemburg entschieden. Demzufolge müssen die Betreiber prüfen, ob (Werbe-) Anzeigen auf ihren Plattformen sensible Daten enthalten und ob sie von der Person stammen, die die Anzeige aufgibt.

Im Ausgangsfall ging es um ein Inserat für sexuelle Dienstleistungen auf dem rumänischen Anzeigen-Portal Publi24. Die Plattform ist vergleichbar mit Ebay oder Amazon Marketplace. Eine unbekannte Person hatte dort im August 2018 die Anzeige im Namen einer Frau geschaltet, ohne deren Wissen oder Einverständis.

Die Anzeige enthielt Fotos der Betroffenen, die ohne ihre Einwilligung genutzt wurden, sowie ihre Telefonnummer. Die Frau forderte den Betreiber auf, die Anzeige zu löschen. Dieser sei dem zwar innerhalb einer Stunde nachgekommen, so der EuGH. Allerdings wurde die Anzeige bereits auf anderen Websites verbreitet und blieb dort weiterhin verfügbar.

Welche Verantwortung trägt die Plattform?

Die Betroffene sah nicht nur ihr Recht am eigenen Bild verletzt, sondern beanstandete vor Gericht auch einen Datenschutzverstoß durch das Unternehmen Russmedia Digital, den Betreiber von Publi24.

Während ein Gericht ihr in erster Instanz Recht gab und das Unternehmen zu 7.000 Euro Schadensersatz verurteilte, sah das die Berufungsinstanz anders. Dieses Gericht stufte Russmedia als einen bloßen Hosting-Anbieter ein und sprach ihn von seiner Verantwortung für den Inhalt der Nutzenden frei. Um den Streit zu klären, hatte das Berufungsgericht Cluj den EuGH um Auslegung von EU-Recht gebeten, bevor es dann später im konkreten Rechtsstreit endgültig entscheidet.

Im Kern ging es um die Frage, ob Hosting-Anbieter, die zunächst nur die technische Plattform bereitstellen, für darauf veröffentlichte Inhalte im Sinne der DSGVO verantwortlich sind oder ob sie von der Haftung befreit sind. Russmedia hatte sich nämlich auf das sogenannte Haftungsprivileg berufen, das die E-Commerce-Richtlinie und der Digital Services Act (DSA) Plattformen bei nutzergenerierten Inhalten gewähren.

Die EU-Richter*innen haben sich für die Haftung der Plattform entschieden. Zwar werde die Anzeige von eine*r Nutzer*in erstellt. Im Internet veröffentlicht und im Umlauf gebracht werde sie aber durch den Online-Marktplatz. Das bringe bestimmte grundlegende Pflichten für den Betreiber mit sich, die sich aus der DSGVO ableiten.

In der Pflicht sieht der EuGH Russmedia vor allem deshalb, weil sich das Unternehmen in den Allgemeinen Nutzungsbedingungen das Recht vorbehalten hatte, veröffentlichte Inhalte kommerziell zu eigenen Zwecken zu nutzen.

Anzeigen müssen vorab geprüft werden

Die Entscheidung des Europäischen Gerichtshofes hat weitreichende Konsequenzen.

So legten die Richter*innen fest, dass Online-Markplätze vor der Veröffentlichung einer Anzeige prüfen müssen, ob diese sensible Daten enthält und ob sie tatsächlich zu der Person gehören, die die Anzeige aufgeben will. Ist dies nicht der Fall, müssen sie prüfen, ob die eigentlich betroffene Person in die Veröffentlichung ausdrücklich eingewilligt hat oder ob eine andere Rechtsgrundlage gegeben ist. Sonst dürfe die Anzeige nicht online gehen, erklärte der Gerichtshof.

Außerdem müssten die Betreiber durch technische und organisatorische Maßnahmen sicherstellen, dass solche Anzeigen nicht kopiert und auf anderen Webseiten unrechtmäßig verbreitet werden. Schließlich betont der Gerichtshof explizit, dass sich Betreiber von Online-Marktplätzen diesen Verpflichtungen aus der DSGVO nicht unter Berufung auf die E-Commerce-Richtlinie entziehen können.

Entscheidung mit weitreichenden Folgen

Die unabhängigen Datenschutzbeauftragten von Berlin und Hamburg, Meike Kamp und Thomas Fuchs, sehen in der Entscheidung eine grundsätzliche Weichenstellung für die Verantwortlichkeit von Hosting-Anbietern. Damit sei klargestellt, dass deren Verantwortung nicht erst mit der Meldung eines Verstoßes beginne – wie es das DSA vorsieht – sondern bereits vor der Veröffentlichung der Daten.

„Der EuGH macht unmissverständlich deutlich, dass bestimmte Haftungsprivilegien für Unternehmen nicht gelten, wenn es um die Gewährleistung der Datenschutzrechte der europäischen Bürger*innen geht“, so Thomas Fuchs. Betreiber von Online-Plattformen sollten anhand der vom EuGH aufgestellten Kriterien prüfen, ob sie datenschutzrechtlich verantwortlich sind“, so Meike Kamp. „Wenn das der Fall ist, müssen sie fortlaufend sicherstellen, dass personenbezogene Daten rechtmäßig auf ihrer Plattform verarbeitet werden.“

Auch die Anwältin Elisabeth Niekrenz, Juristin für internationales Datenschutzrecht, betont gegenüber netzpolitik.org, dass das Urteil auch Konsequenzen für viele andere Plattformen haben könnte. „Die meisten kommerziellen Social-Media-Anbieter lassen sich in ihren Nutzungsbedingungen Inhalte von Usern lizenzieren und steuern mittels Empfehlungsalgorithmen die Verbreitung der Inhalte.“ Mit dem EuGH-Urteil könnten nun auch diese Plattformen zur Verantwortung gezogen werden, wenn Dritte datenschutzwidrige Inhalte verbreiten, so Niekrenz.

Zudem könne das Urteil Folgen für aktuell häufig vorkommende Fälle haben, bei denen in Werbeanzeigen mit den Namen Prominenter betrügerische „Anlagetipps“ gegeben werden. Auch hier könnten künftig die Plattformen selbst zur Verantwortung gezogen werden.

Kategorien: Externe Ticker

Für gemeinwohlorientierten Journalismus: So unterstützt ihr uns mit Spenden aus und von Unternehmen

2. Dezember 2025 - 15:47

Ihr macht zu Weihnachten eine Spenden-Sammelaktion in eurer Firma oder Verein? Du hast Geburtstag oder hast einen anderen Grund zu feiern und möchtest lieber Spenden als Geschenke? Dann erstelle eine eigene Spendensammelaktion und unterstütze so unsere Arbeit.

– Gemeinfrei-ähnlich freigegeben durch unsplash.com Claudio Schwarz

Weihnachtszeit ist Spendenzeit. Auch in vielen Unternehmen fragen Menschen, ob sie mit ein wenig Geld noch etwas Gutes tun können. Immer wieder erreichen uns bei netzpolitik.org Anfragen zu diesem Thema. Deshalb rufen wir in diesem Jahr erstmalig zu Spendenaktionen von und in Unternehmen auf und haben dafür auch ein Werkzeug bereitgestellt, das wir euch hier vorstellen wollen. Genauso gut kannst du das Tool dafür benutzen, wenn du dir statt Geschenke lieber Spenden an uns wünschst.

Doch das Wichtigste zuerst:

Warum für netzpolitik.org spenden?

Wir sind das gemeinnützige Medium für die digitale Gesellschaft. Mit preisgekrönten Recherchen decken wir Missstände auf, mit langem Atem begleiten wir wichtige politische Debatten und mit praktischen Tipps unterstützen wir Menschen bei Fragen der digitalen Sicherheit.

Wir sind unabhängig: Unser Finanzierungsmodell besteht fast ausschließlich aus Spenden von Leser:innen und Unterstützer:innen. Werbung, Tracking oder Paywalls gibt es bei uns nicht.
Wir sind gemeinnützig: Getragen wird die Redaktion vom gemeinnützigen Verein netzpolitik.org e. V., Spenden an uns können also von der Steuer abgesetzt werden.
Wir sind transparent: Wie kaum ein anderes Medium legen wir in unseren vierteljährlichen Transparenzberichten unsere Einnahmen und Ausgaben offen.
Wir stehen für Freiheit: Aus Perspektive der Grund- und Freiheitsrechte setzen wir uns mit unserem Journalismus für eine freie und offene Gesellschaft ein.

Das reicht nicht? Hier sind zehn Gründe mehr, für netzpolitik.org zu spenden.

Wie kann man uns als Unternehmen oder aus einem Unternehmen heraus unterstützen?

Viele größere Unternehmen starten zum Ende des Jahres offizielle Sammelaktionen für einen guten Zweck. Wir freuen uns, wenn ihr uns hier vorschlagt.
Manche Unternehmen spenden auch selbst an gemeinnützige Organisationen. Auch hierfür schlagt uns gerne vor.
Für alle, die unter Kolleg:innen oder im Freundkreis eine eigene Sammelaktion starten möchten, haben wir in diesem Jahr erstmalig ein fertiges Werkzeug.

So legt man eine eigene Sammelaktion an

Besucht unsere Kampagnenseite und klickt auf „Spendenaktion starten“
gebt ein paar Daten an
optional: Bild zur Aktion hochladen
optional: Spendenziel festlegen
optional: individuellen Text zur Aktion formulieren, der die Hintergründe der Aktion beschreibt
optional: individuelles Danke an deine Spender:innen schreiben
Entscheiden, ob die Spendenaktion öffentlich sichtbar auf netzpolitik.org ist

Ihr bekommt dann eine Bestätigungsmail mit den folgenden Infos:

Link zur Aktion zum Teilen
Link zur Administration der Aktion
Link teilen und weiterverbreiten

Ab jetzt könnt ihr euch freuen und zuschauen, wie die Spenden reinrieseln.

Bei Fragen, kontaktiert uns gerne

Bei all dem ist wichtig: Redaktionelle Unabhängigkeit ist unser höchstes Gut. Es gibt keine Gegenleistungen für Spenden. Deswegen erfährt die Redaktion erst gar nicht, wer uns mit Spenden unterstützt.

Bei Rückfragen jeglicher Art stehen wir euch gerne zur Verfügung. Schreibt uns eine Mail an spenden@netzpolitik.org. Gerne können wir auch ein Telefonat verabreden.

Kategorien: Externe Ticker

Empfängerüberprüfung: IBAN eingeben, Klarnamen bekommen

1. Dezember 2025 - 12:32

Seit Oktober müssen Banken eine Empfängerüberprüfung („Verification of Payee“, VOP) bei Überweisungen durchführen. Damit ist es nicht nur leichter geworden Fehlüberweisungen zu vermeiden. Leichter ist es gewissermaßen auch, sich ohne große Mühe einen Einblick in Daten der potenziellen Geldempfänger*in zu verschaffen. Denn so wie einige Kreditinstitute diese neue Funktion in Deutschland umsetzen, bekommt man bei der bloßen Absicht, einer Überweisung zu tätigen, schon den vollständigen Passnamen der entsprechenden Person angezeigt. Dafür braucht man häufig nur die IBAN und Teile des Namens.

Mindestens bei einem der beliebtesten Kreditinstitute in Deutschland reicht dafür neben der IBAN bereits der Nachname. Die Bank übermittelt sodann den kompletten im Konto hinterlegten Namen samt aller Vornamen. Wenn ich also „Mustermensch“ eingebe, bekomme ich als Vorschlag „Robin Lou Mustermensch“ zurück.

Das ist eher eine Ausnahme, bei den meisten Banken wird das so nicht funktionieren. Dennoch offenbaren viele Institute den vollständigen Passnamen, wenn man den Anfangsbuchstaben oder Teile eines der Vornamen eingibt. Millionen von Kund*innen sind betroffen.

Sollten auf diese Weise Zweitnamen der eigenen Freund*innen ans Licht kommen, kann es amüsant sein und die Freund*innen finden es eventuell nicht weiter schlimm. Heikler wird es bei Menschen, deren IBAN man aus Rechnungen oder anderweitigen geschäftlichen Beziehungen kennt. Auch bei der monatlichen Gehaltsüberweisung durch die Arbeitgeber*in wird gegebenenfalls eine Meldung mit dem vollständigen Namen aufploppen. Die Übermittlung von geschlechtlich konnotierten Vornamen kann ebenfalls Probleme nach sich ziehen. Das betrifft etwa trans Personen, die ihren Vornamen und Personenstand nicht geändert haben und deren „Deadname“ auf diesem Weg bekannt werden kann.

Bemerkenswert dabei ist: Die betroffene Person kriegt davon nichts mit. Das ist im Hinblick auf Datenschutz und informationelle Selbstbestimmung bedenklich.

Ein wesentliches Element der Empfängerüberprüfung

Seit dem 9. Oktober ist die neue Empfängerprüfung für Standard- und Echtzeitüberweisungen im Europäischen Zahlungsraum Pflicht. Die EU-Verordnung über Sofortzahlungen aus dem Jahr 2024 schreibt vor, dass Banken innerhalb von Sekunden prüfen müssen, ob Name und IBAN der Zahlungsempfänger*innen übereinstimmen. Das soll für mehr Sicherheit im Zahlungsverkehr sorgen und Betrug verhindern, wenn beispielsweise Rechnungen mit plausiblen Namen aber manipulierten IBAN verschickt werden.

Die Prüfung funktioniert folgendermaßen: Die Bank der Zahler*in schickt die angegebenen Daten in einer Anfrage an die Bank der Empfänger*in. Diese prüft, ob die IBAN und der Name mit denen der Kontoinhaber*in identisch sind und gibt eine der drei möglichen Antworten zurück: exakte Übereinstimmung („Match“), nahezu Übereinstimmung („Close Match“) oder keine Übereinstimmung („No Match“). Bei einem Match führt die Bank die Überweisung ohne Weiteres aus. In den letzten beiden Fällen informiert das Kreditinstitut die Zahler*in, sodass diese entscheiden kann, die Eingabe noch zu ändern oder die Überweisung ohne Änderung fortzuführen. In diesen Fällen trägt die Zahler*in das Risiko einer Fehlüberweisung. Die Bank haftet nur bei der exakten Übereinstimmung. Bei einem Close Match schickt die Empfängerbank außerdem den korrekten Namen der Kontoinhaber*in mit.

Die Empfängerüberprüfung passiert in Sekundenschnelle. Screenshot aus einem Erklärvideo des Europäischen Zahlungsverkehrsausschusses.

Das Ziel des „Close Match”-Szenarios ist es also, die Benutzer*innenfreundlichkeit bei Zahlungen zu gewährleisten und zu viele unnötige „No Match”-Antworten zu vermeiden. Das Close Match mit dem Namensabgleich ist damit ein wesentliches Element der Empfängerüberprüfung.

Was die Banken als Close Match werten und ab wann sie keine Übereinstimmung mehr sehen, entscheiden sie oder ihre IT-Dienstleister selbst. In Deutschland haben Kreditinstitute verschiedene Algorithmen entwickelt, sodass die praktische Umsetzung unterschiedlich ausfällt. Eine Eingabe, die eine Bank als No Match bewertet, gibt eine andere als Close Match zurück und umgekehrt. Das führt laut dem Bundesverband der Verbraucherzentrale bei vielen Kund*innen zu Irritationen.

Der Namensabgleich bei einem Close Match

Die EU-Verordnung besagt, dass der Name der Zahlungsempfänger*innen bei einem Close Match übermittelt werden muss. Allerdings ist nicht näher festgelegt, in welchem Umfang.

Der Europäische Zahlungsverkehrausschuss, ein Zusammenschluss von Banken und Bankenverbänden auf EU-Ebene, hat konkrete Szenarien für eine Nahezu-Übereinstimmung erarbeitet. Ein Close Match liegt demnach beispielsweise vor, wenn zwei Buchstaben im Vor- oder Nachnamen vertauscht sind. Oder wenn ein bis zwei Buchstaben durch andere mit derselben Aussprache ersetzt wurden. Auch wenn nur der Anfangsbuchstabe des Vornamens zusammen mit dem Nachnamen eingegeben wird, könnten Banken das als Nahezu-Übereinstimmung werten. Diese Szenarien sind nicht bindend, sondern lediglich Empfehlungen.

Zu dem Namensabgleich schreibt die Organisation dennoch: „Der antwortenden Bank wird dringend empfohlen, in der „Close Match“-Antwort Datenminimierung anzuwenden und nur die Namensinformationen zur Verfügung zu stellen, die in der Anfrage genannt wurden.“

Die meisten Banken oder ihre IT-Dienstleister geben auf Anfrage von netzpolitik.org an, sich bei der Überprüfung an den Empfehlungen des Europäischen Zahlungsverkehrsausschusses zu orientieren. Und trotzdem offenbaren sie mehr Daten bei einem Close Match als bei der Eingabe getätigt wurden.

Lediglich ING-Diba hält sich an dieses Prinzip. „In einem beispielhaften Szenario, in dem jemand mehrere Vornamen trägt, werden nur die Vornamen übermittelt, die in der Überweisung nahezu eingegeben wurden“, schreibt der Pressesprecher auf Anfrage.

Identitätsprüfung oder Betrugsbekämpfung?

David-Jan Janse vom niederländischen Unternehmen SurePay, dem Dienstleister der Empfängerüberprüfung für die Online-Bank Bunq, hat laut eigenen Angaben das Prinzip des „Close Match“ erfunden. Der Schutz personenbezogener Daten nach der Datenschutzgrundverordnung galt in der Fintech-Branche zuvor als Hinderungsgrund für die Empfängerüberprüfung. Zusammen mit seinem Kollegen hat er sich deshalb die Frage gestellt, wie man bei einer Überweisung einen Namen offenbaren kann, ohne ihn gleich zu offenbaren – ähnlich wie bei einem Galgenmännchen-Spiel.

So entwickelte er eine Version der Empfängerüberprüfung, die in den Niederlanden seit etwa acht Jahren implementiert ist. In dieser Umsetzung gilt „Privacy by Design“. Das bedeutet, dass die eingegebenen Daten nur korrigiert werden. Neuen Daten werden nicht offengelegt.

Wenn die Bank den Anfangsbuchstaben des Vornamens und den Nachnamen beispielsweise als Close Match einstufen möchte, wäre laut Janse eine Meldung denkbar: „Der Name ist zu kurz. Bitte geben Sie den vollständigen Namen ein“, ohne unbekannte Teile des Namens gleich zu offenbaren.

Wie die Empfängerprüfung mancherorts in Deutschland umgesetzt ist, erinnert Janse eher an eine Identitätsprüfung. Bei der Empfängerüberprüfung im Zahlungsverkehr müsse im Vordergrund stehen, dass die Überweisung nicht an die falsche Person geht. „Es sollte weniger darum gehen, ob es der korrekte Passname ist oder nicht“, sagt der Unternehmer.

Bei der praktischen Umsetzung sei die Risikobereitschaft der Banken entscheidend. Da sie für die Überweisungen haftbar gemacht werden können, wollten diese sicherstellen, dass die Zahlung an die Empfänger*in mit genau dem richtigen Namen geht, anstatt die Funktion als Instrument zur Betrugsbekämpfung zu nutzen. Auch in Frankreich tendierten Banken eher zu dieser Art von Empfängerprüfung als Identitätsprüfung.

„Die Offenlegung des Namens hat einen Nachteil“, fügt Janse hinzu. „Das hilft letztlich den Betrügern. Und ist daher keine ideale Umsetzung.“

Ist Missbrauch möglich?

Gefragt nach Mechanismen gegen Missbrauch schreiben einige Banken, dass die Geheimhaltung des Matching-Algorithmus ein solcher Mechanismus sei.

Laut dem Bundesverband der Verbraucherzentrale haben Banken Schutzmechanismen eingerichtet, die eine systematische Nutzung für Identitätsrecherchen verhindern sollen. „Wie hoch das Risiko ausfällt, ist davon abhängig, wie gut die Schutzmechanismen ausgestaltet sind und wie stark ein Name abweichen darf, damit der richtige angegeben wird. Das Risiko dürfte sich daher von Bank zu Bank unterscheiden.“

Kategorien: Externe Ticker

Breakpoint: Wir alle sollten mehr übereinander wissen

30. November 2025 - 8:23

Von wem wissen wir was? – Gemeinfrei-ähnlich freigegeben durch unsplash.com sq lim

Es gibt Momente auf sozialen Medien, die man so sonst nicht mit völlig Fremden erlebt: Wenn ein Creator auf TikTok erklärt, welche neue Sexualpraktik sein Leben verändert hat. Wenn eine Instagram-Story intime Beziehungskonflikte mit der Welt teilt. Oder wenn ein Video namens „Get ready with me, während ich erkläre, was es mit meinem veränderten Stuhlgang auf sich hat“ plötzlich auf der eigenen For-You-Page landet. In solchen Momenten taucht ein Meme zuverlässig in den Kommentaren auf: ein Screenshot eines New-York-Times-Artikels mit dem Titel „We should all know less about each other“.

Der Artikel aus dem Jahr 2021 beschäftigte sich eigentlich mit den Polarisierungsmechanismen politischer Internetbubbles. Heute steht der Meme-gewordene Satz hauptsächlich unter Videos, in denen Menschen über ihre Kinks sprechen oder den Streit mit ihrem Partner nachstellen. Solche Inhalte scheinen in den gängigen sozialen Medien immer populärer zu werden und ihre Aufrufzahlen sind oftmals höher als bei anderen Videos desselben Accounts. Intimität ist zur öffentlich handelbaren Ressource geworden.

Aus Tabus wird Reichweite

Besonders persönliche Inhalte klicken sich eben besonders gut. Was früher als Tabuthema galt, ist heute Reichweitenquelle. Je intimer der Inhalt, desto stärker die Reaktion des Publikums. Likes, Shares und Kommentare sind längst Teil einer Aufmerksamkeitsökonomie, in der Selbstöffnung taktisch eingesetzt wird.

Hierbei geht es mir explizit nicht um diejenigen, die über Sex, Verhütungsmethoden, ihre chronische Krankheit oder andere tabuisierte Themen aufklären. Wir sollten nicht aufhören, Themen sichtbar zu machen, nur weil diese angeblich als anstößig wahrgenommen werden könnten. Es geht um das gezielte Verkaufen einer vermeintlich realen eigenen Intimität. Sie ist nicht viel mehr als eine Währung, auf die unserer Voyeurismus einzahlt.

Dabei werden nicht nur einwilligungsfähige Erwachsene zu Protagonist:innen eines digitalen Reality-Formats. Auch Kinder tauchen in viralen Challenges auf, obwohl sie der Veröffentlichung nicht zustimmen können.

Menschen mit Behinderungen werden für emotionalisierte Storytelling-Formate instrumentalisiert. Damit werden sie zum Material für algorithmisch optimierte Erzählungen. Warum manche Accountbetreiber scheinbar alles für die Likes tun und wem das schadet, durfte ich hier bereits vor über zwei Jahren aufschreiben.

Aber nicht nur gesellschaftliche Aspekte machen das ungefilterte Teilen intimster Details fragwürdig: Das massenhafte Sammeln und die zunehmende Verwertung von Daten durch Plattformbetreiber, etwa zum Trainieren ihrer generativen KIs, macht es unklug, allzu viele intime Informationen über sich zu teilen. Gerade gesundheitsbezogene, sexuelle oder reproduktive Inhalte gehören zu den sensibelsten Daten, die nicht leichtfertig in sozialen Medien veröffentlicht werden sollten – und gleichzeitig zu jenen, die oft besonders hohe Klickzahlen hervorrufen.

Inszenierte Intimität

Doch viele dieser „intimen Einblicke“ sind gar nicht intim. Sie sind Inszenierungen. Große Accounts produzieren Erzählungen über ihr Datingleben, ihre Konflikte oder ihre Sexualität, die eher an Mini-Episoden einer Soap erinnern als an Alltagserfahrungen. Professionalisierte Creator-Strukturen entwickeln Drehbücher und konstruieren Geschichten, die in erster Linie Engagement erzeugen sollen. Einem viralen Influencer zu folgen, ist heute das Gleiche wie eine Netflixserie zu schauen.

Wer regelmäßig viral gehen will, erzählt wahrscheinlich nicht mehr oft aus seinem Leben, sondern schreibt ein Drehbuch. Die angebliche Transparenz ist Kulisse. Die Millionen Follower:innen sehen ein ausgeklügeltes Skript und nicht das Leben einer realen Person. Das Ergebnis ist paradox: Wir meinen, viel zu viel von anderen zu wissen: zu intime Details in zu exhibitionistischen Geschichten. Tatsächlich wissen wir aber in Wirklichkeit weniger.

Während wir durch inszenierte Dramen scrollen, verlieren wir den Kontakt zu den Menschen, deren Alltag tatsächlich relevant wäre: Freund:innen, Familie, Kolleg:innen. Zwischen Lohnarbeit und vier, fünf oder sechs Stunden täglichem Doomscrolling lässt sich kaum noch die Zeit finden, reale Personen zu treffen und echte Gespräche zu führen.

Soziale Medien erzeugen eine doppelte Verschiebung: Erstens ersetzt der Konsum pseudointimer Inhalte die echte Auseinandersetzung mit realen Personen. Zweitens verschiebt sich unsere Wahrnehmung dessen, was „normal“ ist. Die dramaturgische Überhöhung sozialer Medien macht reale Erfahrungen unscheinbar. Warum sich für einen ehrlichen Austausch über Gefühle oder Beziehungen interessieren, wenn die Timeline mit Skandalen, Geständnissen und emotionalen Extremzuständen gefüllt ist?

Das Falsche von den Falschen

Vielleicht ist das eigentliche Problem nicht, dass wir „zu viel“ voneinander wissen. Sondern dass wir das Falsche von den falschen Personen wissen. Wir erfahren intime Details, die entweder künstlich produziert sind oder die niemals für die Öffentlichkeit bestimmt waren. Und zugleich wissen wir immer weniger über die Menschen, die unser Leben wirklich ausmachen.

Wenn wir wieder mehr von den Menschen um uns herum wissen wollen, müssen wir uns weniger für die Schauspieler:innen in unseren Feeds interessieren. Und welche Details wir selbst auf Instagram oder TikTok teilen, sollten wir uns auch besser zweimal überlegen: Nicht aus Prüderie, sondern aus Selbstschutz vor Datensammlung, emotionaler Abstumpfung und um die Beziehungen zu pflegen, die nicht algorithmisch optimiert sind.

Es tut gut, mit Freunden über das eigene Datingleben zu quatschen, mit seinem Vater über die Gesundheit und mit der besten Freundin über den letzten Sex – und es stärkt die Beziehung, wenn sie das ebenso tun. Diese Zeit und Kapazität sollten wir einander einräumen. Auch wenn das ab und zu bedeutet, auf den Dopaminrausch via Instafeed zu verzichten.

Wir alle sollten wieder mehr voneinander wissen. Darauf, auf sozialen Medien darüber zu posten, sollten wir hingegen verzichten.

Kategorien: Externe Ticker

KW 48: Die Woche, in der NRW es erlaubte, mit unseren Daten Überwachungs-KI zu trainieren

29. November 2025 - 8:06

Die 48. Kalenderwoche geht zu Ende. Wir haben 16 neue Texte mit insgesamt 92.826 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

diese Woche hat das Parlament des einwohnerstärksten Bundeslandes einen folgenreichen Entschluss gefasst. Mit den Stimmen der schwarz-grünen Koalition verabschiedete Nordrhein-Westfalen eine Novelle des Polizeigesetzes, die es erlaubt, mit eindeutig identifizierenden Informationen wie Klarnamen oder Gesichtsfotos Überwachungs-KI zu trainieren. Die Polizei darf dabei nicht nur die Daten von Täter*innen und Verdächtigen nutzen, sondern auch die von Opfern und Zeug*innen.

Künftig ist es also möglich, dass nordrhein-westfälische Polizist*innen mit unseren Daten kommerzielle Überwachungswerkzeuge wie palantirartige Datenanalysen, Verhaltensscanner oder Gesichtserkennungssoftware füttert. Das liegt gerade im bundesweiten Trend: Hamburg hat vorgelegt, Baden-Württemberg nachgezogen, in Sachsen ist eine derartige Polizeigesetzänderung in der Pipeline, in Berlin soll sie kommende Woche verabschiedet werden.

Viele Bundesländer bereiten sich also gesetzgeberisch auf den Einsatz von KI-gestützten Überwachungstools vor. Die Gesetzestexte dazu sind teils wortgleich. Und die Hemmungen beim Einsatz solcher Tools offenbar weitgehend gefallen. Den waghalsigsten Überwachungsexzess will sich Sachsen ins Polizeigesetz schreiben: Dort sollen Drohnen künftig anlasslos in fahrende Fahrzeuge filmen.

Viel Spaß beim Lesen

Martin

Digital Fights: Digital Bytes: Datenhändler auf die Leiter jagen

Datenhändler verkaufen genaue Standortdaten von potenziell allen Menschen, die ein Handy haben. Seit zwei Jahren recherchieren wir im Dschungel der Databroker und haben dabei schon mehr als 13 Milliarden Standortdaten angehäuft, ohne einen Cent zu zahlen. Wie tief ist der Abgrund der Werbe-Industrie? Von netzpolitik.org –
Artikel lesen

Novelle des Polizeigesetzes: Sachsen will anlasslos mit Drohnen in fahrende Autos filmen

Die sächsische Polizei soll Menschen, die beim Autofahren ihr Handy bedienen, mit Drohnen jagen. Doch das ist nur ein Hammer im Polizeigesetz-Entwurf: Die Polizei soll in Zukunft auch Verhaltensscanner, Palantir-Datenanalyse, Live-Gesichtserkennung, Gesichter-Suchmaschinen und Staatstrojaner nutzen dürfen. Von Martin Schwarzbeck –
Artikel lesen

Digitaler Omnibus: Das EU-Parlament steuert auf den nächsten Konflikt zu

In Brüssel nimmt die Debatte um den „digitalen Omnibus“ an Fahrt auf. Während vier Fraktionen im EU-Parlament die Aufweichung von KI- und Datenschutzregeln kritisieren, begrüßen Konservative das Vorhaben grundsätzlich. Werden sie wieder mit Rechtsaußen-Fraktionen stimmen, um das Vorhaben durchzusetzen? Von Anna Ströbele Romero –
Artikel lesen

Verbotszone in Gießen: „Fatales Zeichen, wenn Protest verhindert werden soll“

Die Stadt Gießen hat mehrere Gegendemos in der Nähe der Gründungsveranstaltung der rechtsradikalen AfD-Jugend verboten. Die Anmelder wehren sich dagegen vor dem Verwaltungsgericht und kritisieren massive Einschränkungen der Versammlungsfreiheit. Von Markus Reuter –
Artikel lesen

Demoverbotszone in Gießen: Die Versammlungsfreiheit darf nicht der Polizeitaktik geopfert werden

Am Wochenende trifft sich die AfD-Jugend in Gießen. Mit einer faktischen Verbotszone in der Nähe der AfD-Veranstaltung beschränken Polizei und Stadt nun massiv das Grundrecht auf Versammlungsfreiheit. Doch Gegenproteste müssen in Hör- und Sichtweite stattfinden können. Ein Kommentar. Von Markus Reuter –
Artikel lesen

Frontex und Europol : Zwei EU-Agenturen sollen bei der Drohnenabwehr helfen

Die EU plant neue Strukturen zur Abwehr unbemannter Fluggeräte. Frontex könnte dazu ein erweitertes Mandat erhalten. Europol warnt vor zunehmender Nutzung durch organisierte und staatliche Akteure. Von Matthias Monroy –
Artikel lesen

EU-Rat einigt sich zur Chatkontrolle: Schlimmster Giftzahn gezogen, aber weiterhin gefährlich

Nach langer Blockade hat sich der EU-Rat bei der Chatkontrolle geeinigt. Zivilgesellschaftliche Organisationen sind erleichtert, dass die verpflichtende Chatkontrolle vom Tisch ist, warnen aber vor anderen problematischen Teilen im Gesetzentwurf. Von Markus Reuter –
Artikel lesen

Datenspende: „Digitaler Omnibus“ könnte Forschung zu Big-Tech erschweren

Weil Tech-Konzerne selten Zugang zu ihren Daten gewähren, ist unabhängige Forschung auf Datenspenden angewiesen. Damit könnte es jedoch bald vorbei sein, denn die EU-Kommission will das Datenauskunftsrecht einschränken. Ein offener Brief aus der Wissenschaft warnt vor schwerwiegenden Folgen für die Plattformforschung. Von Ingo Dachwitz –
Artikel lesen

Demoverbotszone Gießen: DGB legt Beschwerde gegen Beschluss des Verwaltungsgerichts ein

In der juristischen Auseinandersetzung um eine faktische „Demoverbotszone“ in Gießen hat das Verwaltungsgericht in einem Fall die Auflagen der Stadt bestätigt. Die möchte den Protest gegen die rechtsradikale AfD-Jugend auf die andere Seite der Stadt verlegen. Doch die Anmelder der Demos wehren sich weiter. Von Markus Reuter –
Artikel lesen

Lobbyismus: Palantir-Mitarbeiterin saß beim Souveränitätsgipfel mit Macron und Merz am Tisch

Eine hochrangige Palantir-Managerin nahm ausgerechnet am Gipfel zur digitalen Souveränität teil. Palantir gilt als Paradebeispiel für die Gefahren digitaler Abhängigkeiten. Das Bundeskanzleramt wusste offenbar nichts davon. Von Markus Reuter –
Artikel lesen

Interview zu WhatsApp: Von Emojis zum Mega-Datenleck

Forscher*innen aus Österreich entdeckten die freie Verfügbarkeit von 3,5 Milliarden WhatsApp-Profilen. Wie es zu dem spektakulären Fund kam und wie Meta auf ihre Warnung reagierte, erzählt Aljosha Judmayer, Co-Autor der Studie zum Datenleck. Von Paula Clamor –
Artikel lesen

Digitale Souveränität: Wie die EU Freie Software ausblendet

Wenn es nach den EU-Staatschef:innen geht, heißt „digitale Souveränität“, auf Technologie aus Europa zu setzen, so der Tenor auf dem Digitalgipfel Mitte November. Um sich von Big Tech unabhängig zu machen, ist aber weniger relevant, wo Lösungen herkommen, sondern vielmehr dass sie Open Source sind, entgegnen zivilgesellschaftliche Akteure. Von Esther Menhard –
Artikel lesen

Proteste gegen AfD-Jugend: Stadt Gießen will Demoverbotszone vor Gericht durchsetzen

Der Streit um eine von der Stadt Gießen verfügte Demoverbotszone geht nun in die nächste Instanz, vor den Hessischen Verwaltungsgerichtshof. Die Stadt beharrt darauf, die Proteste weit weg von der AfD-Veranstaltung zu verlegen. Von Markus Reuter –
Artikel lesen

Digital Riots: Wie wir alle die verpflichtende Chatkontrolle gestoppt haben

Dank eines jahrelangen Kampfes ist die verpflichtende Chatkontrolle vorerst vom Tisch. Das ist ein Etappensieg für die Grundrechte. Doch die Befürworter von mehr Überwachung werden nicht locker lassen. Wir kämpfen weiter für die private und vertrauliche Kommunikation im Netz. Dafür brauchen wir deine Unterstützung! Von netzpolitik.org –
Artikel lesen

FAQ: Wie geht es weiter mit der Chatkontrolle?

Die verpflichtende Chatkontrolle ist vorerst vom Tisch, doch viele Fragen sind noch offen. Was ist der genaue Stand und welche Gefahren lauern im weiteren Prozess? Von Andre Meister, Anna Biselli, Markus Reuter –
Artikel lesen

Proteste gegen AfD-Jugend: Verwaltungsgerichtshof bestätigt Demoverbotszone in Gießen

Die Stadt Gießen hat sich mit einer versammlungsfeindlichen Demoverbotszone im gesamten Westteil der Stadt durchgesetzt, wo am Samstag der neue Jugendverband der AfD gegründet werden soll. Durch die Entscheidung wird Protest in Hör- und Sichtweite der Rechtsradikalen deutlich erschwert. Die Linke hat dagegen einen Eilantrag beim Bundesverfassungsgericht eingereicht. Von Markus Reuter –
Artikel lesen

Kategorien: Externe Ticker

Proteste gegen AfD-Jugend: Verwaltungsgerichtshof bestätigt Demoverbotszone in Gießen

28. November 2025 - 22:01

Die Stadt Gießen hat sich mit einer versammlungsfeindlichen Demoverbotszone im gesamten Westteil der Stadt durchgesetzt, wo am Samstag der neue Jugendverband der AfD gegründet werden soll. Durch die Entscheidung wird Protest in Hör- und Sichtweite der Rechtsradikalen deutlich erschwert. Ein Bundestagsabgeordneter der Linken hat dagegen einen Eilantrag beim Bundesverfassungsgericht eingereicht.

Mit der Bestätigung der Verfügung der Stadt Gießen sind alle Gegenproteste in den Ostteil verlegt worden, dadurch entsteht faktisch eine Demoverbotszone rund um die AfD-Veranstaltung. – netzpolitik.org / ODbL

Der Hessische Verwaltungsgerichtshof hat am Freitagabend die Demoverbotszone der Stadt Gießen bestätigt – und damit auch Beschlüsse des Verwaltungsgericht Gießens wieder kassiert. Damit darf keine Versammlung – weder Demonstration noch Kundgebung, Mahnwache oder Protestcamp – auf der Westseite der Stadt Gießen und damit in der Nähe der rechtsradikalen AfD-Veranstaltung stattfinden. Einzig und allein der Protest des Adenauer-Busses, der auf einem Privatgelände in der Nähe der Messe steht, ist bislang nicht verboten worden. Zudem ist in der mehr als zwei Kilometer von der Messe entfernten Gemeinde Heuchelheim eine Demonstration weiterhin erlaubt.

Zehntausende Menschen einer breiten politischen und bundesweiten Mobilisierung werden am Samstag zu Protesten gegen die AfD-Jugend in Gießen erwartet. Das Treffen der Rechtsradikalen findet in den privat geführten Messehallen im Westteil der Stadt statt. Gießen wird durch den Fluss Lahn in einen Ost- und Westteil getrennt. Die Stadt hatte am Dienstag die Versammlungen gegen die Rechtsradikalen wegen Sicherheitsbedenken per Verfügung auf die Ostseite verlegt. Dagegen wehrten sich die Anmelder:innen, unter anderem weil ein Protest in Hör- und Sichtweite des AfD-Treffens so nicht möglich sei.

Protest auf die andere Seite des Flusses verschoben

Während das Verwaltungsgericht Gießen am Donnerstag einige Versammlungen wieder am geplanten Ort erlaubte, hat nun die höhere Instanz, der Hessische Verwaltungsgerichtshof, die Auflagen der Stadt und damit eine faktische Demoverbotszone im Westen der Stadt bestätigt.

In einer Pressemitteilung des Gerichts (PDF) heißt es, dass auch auf der gegenüberliegenden Seite der Lahn ein Protest in Hör- und Sichtweite möglich sei. Zudem schreibt das Gericht:

Hinsichtlich der Versammlungen [..] spreche mit Blick auf die Ortsverlegungen ebenfalls Überwiegendes dafür, dass die Gefahrenprognose der Stadt Gießen rechtmäßig sei. Jedenfalls gehe aber eine aufgrund der Kürze der Zeit vorgenommene Folgenabwägung wegen Gefahren für Leib und Leben der Versammlungsteilnehmer, der eingesetzten Polizei- und Rettungskräfte sowie unbeteiligter Dritter zu Gunsten der Verlegung des Versammlungsortes aus.

Gegen den Beschluss kann nur noch vor dem Bundesverfassungsgericht in Karlsruhe ein Eilantrag gestellt werden. Bislang ist nicht bekannt, ob einer der Anmelder:innen dies tut. Eine kurzfristige Presseanfrage an den Anwalt blieb am Abend unbeantwortet.

Update 23 Uhr: Der linke Bundestagsabgeordnete Luke Hoß hat nun einen Eilantrag beim Bundesverfassungsgericht eingereicht, um die Kundgebung der Linken in der Nähe der Messehalle doch noch zu ermöglichen. Er sagt gegenüber netzpolitik.org, dass es Aufgabe von Staat und Polizei sei, Versammlungen zu ermöglichen, nicht Einschränkungen bis ans Limit zu treiben oder gar zu verbieten. „Dass rund um die Hessenhalle nun eine widerspruchsfreie Zone für Rechtsextreme geschaffen werden soll, ist ein fatales Zeichen für unsere Demokratie. Protest darf und soll stören“, so Hoß weiter.

„Widersetzen“ kündigt zivilen Ungehorsam an

Ungeachtet der faktischen Demoverbotszone ist davon auszugehen, dass Menschen versuchen werden, auch im Westteil der Stadt zu protestieren. So hat das Bündnis Widersetzen (Ticker / Mastodon) zu Aktionen des zivilen Ungehorsams und Blockaden der AfD-Veranstaltung aufgerufen.

Gegenüber netzpolitik.org kritisierte Rieka Becker, Sprecherin von Widersetzen, die Kundgebungsverbote scharf: „Die Proteste haben ein Recht auf Sicht- und Hörweite zur Veranstaltung der AfD – es handelt sich um einen verfassungswidrigen Eingriff in die Versammlungsfreiheit, mit dem der unverhältnismäßigen Panikmache der Behörden nachgegeben wird.“ Das Bündnis Widersetzen werde sich aber nicht abhalten lassen, so Becker weiter: „Wir machen von unserem Recht auf zivilen Ungehorsam Gebrauch und werden uns morgen zu Tausenden dem Faschismus widersetzen.“

„Gericht und Stadt treten Grundrechte mit Füßen“

Ein Sprecher des Zentrums für politische Schönheit, das mit dem Adenauer-Bus in der Nähe der Halle steht, sagt gegenüber netzpolitik.org: „Wir sind fassungslos, dass wir jetzt die einzige Kundgebung sind, die überhaupt noch in der Nähe der Nazi-Veranstaltung möglich ist.“ Der Hessische Verfassungsgerichtshof erspare sich eine vernünftige Güterabwägung und folge unkritisch der fragwürdigen Gefahrenprognose der Polizei. „Gericht und Stadt treten die Grundrechte von zehntausenden Demonstranten mit Füßen. Den Schaden hat unsere Demokratie“, so der Sprecher weiter.

Schon am Dienstag hatte David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) die Verfügungen der Stadt Gießen gegenüber netzpolitik.org kritisiert: „Die Versammlungsfreiheit umfasst auch die freie Wahl des Ortes, dem insbesondere bei Gegenprotesten eine besondere Bedeutung zukommt.“ Der kommunikative Zweck einer Versammlung würde nur erreicht, wenn die Proteste in Sicht- und Hörweite ihres Gegenstandes – hier die Gründungsversammlung der AfD-Jugend – stattfinden könnten, so Werdermann. „Versammlungsfreie Zonen mögen zwar aus polizeitaktischer Sicht praktisch sein, sind aber unter Berücksichtigung der Versammlungsfreiheit unverhältnismäßig.“

Alles netzpolitisch Relevante Drei Mal pro Woche als Newsletter in deiner Inbox. Jetzt abonnieren Großeinsatz der Polizei

Zu den Protesten gegen die AfD werden laut Innenministerium und Polizei mehr als 50.000 Menschen erwartet. Gesichert dürfte sein, dass mindestens 10.000 Menschen mit Bussen aus dem ganzen Bundesgebiet anreisen, hinzu kommen die Gießener:innen, die zuletzt im Februar bei einer Demonstration gegen den Rechtsruck alleine 13.000 Menschen auf die Straße gebracht haben. Angekündigt sind neben klassischen Demonstrationen auch Aktionen des zivilen Ungehorsams wie Straßenblockaden. Insgesamt sind laut Polizeiangaben 20 Versammlungen gegen die AfD-Jugend angemeldet.

Die Polizei bereitet sich auf einen Großeinsatz mit laut Medienberichten 6.000 Polizist:innen sowie schwerem Gerät wie Wasserwerfern, Räumpanzern und Spezialfahrzeugen vor. Sie spricht von einem „herausfordernden Wochenende“, von verschiedener Seite wird das Schreckgespenst von Gewalt an die Wand gemalt, obwohl sich alle aufrufenden Bündnisse gegen eine Eskalation ausgesprochen haben.

Karte mit Protestaktionen

(nicht von netzpolitik.org gepflegt, keine Gewähr)

Vollbildanzeige

Kategorien: Externe Ticker

FAQ: Wie geht es weiter mit der Chatkontrolle?

28. November 2025 - 17:10

Die verpflichtende Chatkontrolle ist vorerst vom Tisch, doch viele Fragen sind noch offen. Was ist der genaue Stand und welche Gefahren lauern im weiteren Prozess?

Viele Fragen sind noch offen bei der Chatkontrolle. (Symbolbild) – Public Domain netzpolitik.org / generiert mit Midjourney

Nach mehr als drei Jahren haben sich die Vertreter:innen der EU-Länder im Rat auf eine gemeinsame Position zur „Chatkontrolle“ geeinigt. Nachdem das Parlament schon 2023 eine Position fand, geht die Verordnung nun in den Trilog, die Verhandlungen zwischen Kommission, Parlament und Rat.

Die Verordnung enthielt mit der verpflichtenden Chatkontrolle eines der gefährlichsten Überwachungsprojekte überhaupt, das vertrauliche, private und verschlüsselte Kommunikation aufs Spiel setzt. Bei derzeitigem Stand scheint zumindest diese Gefahr gebannt. Aber die Verordnung enthält weitere Probleme.

Wir erklären, wie es auf dem Weg zum fertigen Gesetz jetzt weiter geht.

Inhalt

Was hat die EU-Kommission vorgeschlagen?
Was ist die Position des EU-Parlaments?
Was ist die Position des Rats?
Was ist der Trilog?
Welche Knackpunkte gibt es bei den Trilog-Verhandlungen?
Kann es sein, dass die verpflichtende Chatkontrolle doch noch kommt?
Was ist eine freiwillige Chatkontrolle?
Was ist das Problem an der freiwilligen Chatkontrolle?
Ist der jetzt erreichte Stand ein Erfolg für die Grundrechte?
Was kann ich als Einzelperson tun, um gegen problematische Vorhaben wie die Chatkontrolle aktiv zu werden?
Wie lassen sich Kinder und Jugendliche vor sexualisierter Gewalt schützen?

Was hat die EU-Kommission vorgeschlagen?

Die EU-Kommission hat im Mai 2022 einen über 130-seitigen Gesetzentwurf vorgelegt. Erklärtes Ziel dessen ist es, Darstellungen sexualisierter Gewalt an Kindern und Jugendlichen zu bekämpfen. Dafür will die Kommission Folgendes:

Anbieter von Hosting- und Kommunikationsdiensten sollen nach einer sogenannten Aufdeckungsanordnung die Kommunikation und Inhalte ihrer Nutzenden nach Darstellungen sexualisierter Gewalt gegen Kinder und Anbahnungsversuchen („Grooming“) scannen müssen.
Wenn sie entsprechende Inhalte finden, müssen sie diese an ein EU-Zentrum melden. Das soll die Fälle prüfen und gegebenenfalls an Strafverfolgungsbehörden und Europol weiterleiten.
Anbieter sollen dabei nicht nur nach bereits bekannten Inhalten suchen, sondern auch nach bisher unbekanntem Missbrauchsmaterial.
Die Anordnungen beziehen sich auch auf verschlüsselte Kommunikation. Die müsste dafür umgangen werden – entweder indem bereits erfolgte Verschlüsselung gebrochen wird oder indem Inhalte auf den Geräten gescannt werden, bevor sie für den Versand verschlüsselt werden. Das nennt man Client-Side-Scanning.
Neben dem als Chatkontrolle bekannten Scannen von Inhalten sieht der Vorschlag auch verstärkte Alterskontrollen vor, mit denen Anbieter ihr „Risiko“ verringern können, dass ihr Dienst etwa für Grooming missbraucht wird. Auch App Stores sollen eine Altersüberprüfung vornehmen.
Wenn bei Hosting-Anbietern Missbrauchsdarstellungen gespeichert sind, soll es außerdem Netzsperren geben können, wenn diese trotz Anordnung nicht gelöscht werden.

Was ist die Position des EU-Parlaments?

Das EU-Parlament hat seine Position bereits im November 2023 festgelegt. Sie richtet sich in wichtigen Punkten gegen den Vorschlag der Kommission:

Das Parlament will keine anlasslosen Aufdeckungsanordnungen für eine Chatkontrolle. Das Scannen soll nur für einzelne Nutzer:innen oder spezifizierte Gruppen erlaubt sein. Vorher muss es einen begründeten Verdacht geben, dass eine Verbindung zu Darstellungen sexualisierter Gewalt besteht. Die Anordnungen sollen außerdem mit einem Richtervorbehalt versehen sein.
Verschlüsselte Kommunikation soll nicht gescannt werden dürfen. Damit lehnt das Parlament auch das sogenannte Client-Side-Scanning ab, bei dem Inhalte vor dem verschlüsselten Versand auf den Geräten der Nutzenden gescannt werden.
Das Parlament will auch die Arten des Materials einschränken, nach denen gesucht werden darf. Eine Grooming-Erkennung, bei der nach Anbahnungsversuchen von Erwachsenen an Kinder gesucht wird, nimmt die Parlamentsposition aus.
Bei der Altersüberprüfung setzt das Parlament auf Freiwilligkeit, außer bei Pornoseiten.
Über den Kommissionsvorschlag hinaus gehen die Abgeordneten bei Schutzmaßnahmen, die Diensteanbieter etwa durch Standardeinstellungen treffen müssen. Nutzende sollen nicht mehr direkt ungewollte Nachrichten von Unbekannten empfangen müssen. Das Teilen von persönlichen Kontaktdaten soll eingeschränkt werden. Dienste sollen ihren Nutzer:innen leicht zugängliche Mechanismen bereitstellen, um andere zu blockieren, stummzuschalten oder mögliches Missbrauchsmaterial zu melden.

Bei der Parlamentsposition ist es wichtig zu wissen, dass sie vor der letzten Europawahl entstand. Seitdem haben sich die Mehrheitsverhältnisse geändert, es gab schon Anzeichen, dass sich die Position des Parlaments ändern könnte.

Was ist die Position des Rats?

Die EU-Staaten haben sich im November 2025 nach jahrelangen Verhandlungen auf ihre Position geeinigt.

Die wichtigste Änderung: Internet-Dienste sollen nicht dazu verpflichtet werden, die Kommunikation ihrer Nutzer zu scannen. Der Rat streicht den ganzen Abschnitt zu „Aufdeckungspflichten“.
Internet-Dienste dürfen die Inhalte ihrer Nutzer jedoch freiwillig scannen, wenn es nach den Mitgliedstaaten geht. Die E-Privacy-Richtlinie von 2002 verbietet das eigentlich. Das neue Gesetz soll die freiwillige Chatkontrolle jedoch dauerhaft erlauben.
Das betrifft nicht nur Bilder und URLs, sondern auch Texte und Videos.
Andere Teile des ursprünglichen Gesetzentwurfs bleiben nur wenig verändert.
Wie im Kommissionsvorschlag sollen App Stores und Dienste für vertrauliche Kommunikation das Alter ihrer Nutzer prüfen und Kinder ausschließen.

Was ist der Trilog?

Bei informellen Trilog verhandeln Kommission, Rat und Parlament der EU. Ziel ist es, sich zwischen den drei EU-Organen auf eine gemeinsame Position zu einem Gesetzesvorhaben zu einigen. In der Regel haben sich Rat und Parlament vorher auf ihre jeweils eigenen Standpunkte zu einem Gesetzesvorschlag der Kommission geeinigt und gehen mit dem entsprechenden Verhandlungsmandat in die Gespräche.

Wichtiger Bestandteil des Trilogs sind die sogenannten Vier-Spalten-Dokumente. In den ersten drei Spalten sind die einzelnen Positionen der EU-Organe verzeichnet, die vierte Spalte enthält die aktuelle Einigung – sie wird beständig aktualisiert.

Bei den informellen Trilog-Verhandlungen gibt es erhebliche Transparenzprobleme, weil sie hinter verschlossenen Türen stattfinden. Die frühere EU-Bürgerbeauftragte Emily O’Reilly rügte etwa nach einer Beschwerde im Jahr 2023 das Parlament, weil es die wichtigen Vier-Spalten-Dokumente auf Anfrage von Nichtregierungsorganisationen viel zu spät herausgab. Sie forderte, dass diese proaktiv veröffentlicht werden müssen, damit Bürger:innen Entscheidungen nachvollziehen und sich beteiligen können.

Welche Knackpunkte gibt es bei den Trilog-Verhandlungen?

Aus einer Grundrechtsperspektive werden folgende Punkte bei den Verhandlungen besonders wichtig sein:

Wird es ein verpflichtendes, freiwilliges oder anlassbezogenes Scannen geben?
Wenn es eine freiwillige Chatkontrolle geben sollte – wie groß sind die Anreize, diese durchzuführen?
Wonach sollen die Anbieter suchen dürfen? Nach bereits bekanntem Material oder mit fehleranfälligen Erkennungsmethoden auch nach unbekannten Darstellungen oder Anbahnungsversuchen?
Bleibt verschlüsselte Kommunikation geschützt?
Soll es Netzsperren für Darstellungen sexualisierter Gewalt geben oder setzt man auf konsequentes Löschen?
Wird es Alterskontrollen geben – und für welche Anbieter oder App Stores?

Alles netzpolitisch Relevante Drei Mal pro Woche als Newsletter in deiner Inbox. Jetzt abonnieren Kann es sein, dass die verpflichtende Chatkontrolle doch noch kommt?

Es gilt der alte Grundsatz: „Nothing is agreed until everything is agreed“. Das heißt, bis alles geklärt ist, ist nichts in Stein gemeißelt. Im Trilog gibt es nun drei verschiedene Positionen: Die EU-Kommission will die verpflichtende Chatkontrolle nach Anordnung. Das EU-Parlament will verpflichtende Chatkontrolle nach richterlichem Beschluss und begrenzt auf verdächtige Nutzer:innen- und -gruppen, ausgenommen sollen verschlüsselte Kommunikationen sein. Der Rat will eine freiwillige Chatkontrolle, die Anbieter durchführen können, um „Risiken zu mindern“.

Was ist eine freiwillige Chatkontrolle?

Bei einer freiwilligen Chatkontrolle können Dienste-Anbieter Inhalte ohne rechtliche Verpflichtung scannen. Ob Dienste eine Chatkontrolle für alle oder nur manche Nutzer:innnen einführen, ist ihnen überlassen. Ob Dienste-Anbieter ihren Nutzer:innen erlauben, die Chatkontrolle an- oder auszuschalten, ist ihnen ebenfalls überlassen.

Bislang haben Anbieter wie Facebook unverschlüsselte Kommunikation gescannt. Sie überprüfen zum Beispiel, ob in einer Datenbank enthaltene Hashes verschickt werden. Die US-Organisation NCMEC etwa sammelt solche Hashes zu bekannten Darstellungen sexualisierter Gewalt. Viele Hinweise zu Besitz oder Verbreitung entsprechender Inhalte, welche die Polizei erhält, stammen aus der freiwilligen Chatkontrolle.

Was ist das Problem an der freiwilligen Chatkontrolle?

Egal ob ein Anbieter die Inhalte seiner Nutzer:innen freiwillig oder nach einer Anordnung scannt: Es verletzt das Recht auf vertrauliche Kommunikation. Das verstößt unter anderem gegen die Regeln aus der ePrivacy-Richtlinie.

Der EU-Datenschutzbeauftragte forderte bei Ausnahmen von diesem Grundsatz „klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme“ sowie Mindesterfordernisse.

Auch bei der freiwilligen Chatkontrolle kann es zu Fehlern kommen. Bekannt wurde der Fall eines Vaters, der eine Mail an den Arzt seines Sohnes schickte, die ein Foto des Genitalbereiches des erkrankten Kindes enthielt. Auf den Google-Servern schlug ein Erkennungsmechanismus an. Ein falscher Verdacht: Die Polizei ermittelte gegen den Vater, sein Google-Account samt aller Daten wurde gelöscht.

Protest kann viele Gesichter haben. - CC-BY 4.0 cven Ist der jetzt erreichte Stand ein Erfolg für die Grundrechte?

Das schlimmste Element des Kommissionsvorschlags, die verpflichtende Chatkontrolle für ganze Dienste, auch für verschlüsselte Kommunikation, wollen weder Parlament noch Rat. Dass diese Form der Chatkontrolle abgewehrt wurde, ist Menschen in Wissenschaft, Wirtschaft, Politik, Medien und Zivilgesellschaft zu verdanken. Sie haben zusammen an unterschiedlichen Stellen die Gefährlichkeit der Chatkontrolle sichtbar gemacht, dabei Bewusstsein geschaffen und einen öffentlichen Aufschrei ausgelöst.

Die Sache ist aber noch lange nicht ausgestanden: Es gibt weiterhin zahlreiche problematische Teile der Verordnung wie Netzsperren, freiwillige Chatkontrolle und Alterskontrollen, welche die Anonymität im Netz gefährden. Und es gibt neue Anläufe, um an verschlüsselte Kommunikation heranzukommen wie „Protect EU“.

Was kann ich als Einzelperson tun, um gegen problematische Vorhaben wie die Chatkontrolle aktiv zu werden?

Ein Schlüssel sind Information und Aufklärung: Erkläre in Deinem Umfeld in möglichst einfachen Worten und Bildern, was genau an diesen komplexen technischen Verfahren und Überwachungsprojekten gefährlich ist. Bei der Chatkontrolle war die Stärke, dass sachlicher Widerspruch in ungeahnter Breite von den unterschiedlichsten Akteur:innen und Allianzen vorgetragen wurde. Das macht Eindruck, wenn nicht nur die üblichen Verdächtigen „Alarm“ rufen. Eine solche gesellschaftliche Breite aufzubauen, liegt an jedem von uns und unseren Netzwerken.

Darüber hinaus kann man sich in Organisationen und Initiativen engagieren oder diesen Geld spenden, Petitionen unterschreiben, offene Briefe initiieren, Infoveranstaltungen machen, Abgeordnete anrufen, Aufkleber drucken oder auf der Straße protestieren gehen. Es gibt unzählige Möglichkeiten.

Sieben Werkzeuge für den Online-Rabatz

Wie lassen sich Kinder und Jugendliche vor sexualisierter Gewalt schützen?

Es ist wichtig, Kinder und Jugendliche vor sexualisierter Gewalt zu schützen. So sind Anlaufstellen für Kinder etwa im Netz möglich, damit sie einfach melden können, wenn sie sich beispielsweise in einem Spiele-Chat unwohl fühlen, weil ein Erwachsener sie bedrängt.

Viele Präventionsmöglichkeiten setzen jedoch in der analogen Welt an, damit es gar nicht erst zu den Taten kommt. Denn ein Großteil sexualisierter Gewalt findet im sozialen Nahfeld statt, also etwa in Familien, Schulen, Sportvereinen und an anderen Orten, wo sich Kinder aufhalten. Hier braucht es Schutzkonzepte, damit Erwachsene ihre Vertrauensverhältnisse zu Kindern nicht so leicht ausnutzen können und diese Ansprechpersonen haben.

Ein wichtiger Pfeiler der Präventionsarbeit sind auch Sozialarbeiter:innen und Jugendämter, damit jemand hinschauen und handeln kann, wenn ein Kind in Not gerät. Die sind jedoch unterbesetzt und nicht ausreichend finanziert.

Falls es zu sexualisierter Gewalt gekommen ist und Darstellungen davon im Netz verbreitet werden, gilt seit Jahren neben der konsequenten Strafverfolgung das Löschen der Inhalte als Erfolgsrezept. Fast alle Hosting-Anbieter sind dabei schnell und kooperativ. Es braucht eine Verpflichtung für Behörden, bei einem Fund von Gewaltdarstellungen immer auf deren Entfernung hinzuwirken, damit sich die Inhalte nicht weiter verbreiten.

Kategorien: Externe Ticker

first
previous
1
2
3
4
5
6
7
next
last