netzpolitik.org

Seit Jahresbeginn hat das Ausländeramt Köln 130 Datenträger von Geflüchteten eingezogen – und gibt sie „bis zur Ausreise“ nicht mehr zurück. Andere Städte sind deutlich zurückhaltender. Das Ministerium in NRW will mit der Praxis nichts zu tun haben.

Kölner Skyline: Das Ausländeramt behält Handys von Geflüchteten teils auf unbestimmte Zeit ein – ein Alleingang in NRW. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Eric Weber / Unsplash

Es ist eine beeindruckende Zahl. 130 „Datenträger“ hat das Ausländeramt der Stadt Köln seit Anfang des Jahres eingezogen, teilt ein Sprecher der Stadt mit. In der Regel handelt es sich um Mobiltelefone von ausreisepflichtigen Menschen. Das Amt darf sie durchsuchen, um nach Hinweisen auf die Identität zu suchen, wenn Menschen sich nicht anderweitig ausweisen können.

Die Besonderheit in Köln: Die Behörde nimmt den Menschen ihre Datenträger nicht nur ab. Sie behält sie auch ein – „bis zur Ausreise“. Die Rechtsgrundlage dafür hatte die Ampelregierung im vergangenen Jahr geschaffen, als sie das Aufenthaltsgesetz verschärfte.

Kölner Amt auf ambitioniertem Alleingang

Eine Anfrage von netzpolitik.org bei anderen Städten und dem zuständigen Fluchtministerium in Nordrhein-Westfalen zeigt: Das Ausländeramt befindet sich mit seiner Praxis auf einem zwar rechtlich gedeckten, aber auffälligen Alleingang. Die Ausländerbehörde in Düsseldorf etwa zieht gar keine Datenträger ein, schreibt eine Sprecherin.

In Dortmund durchsuche die Behörde zwar Datenträger, gebe sie aber unmittelbar nach dem Auslesen der Daten wieder zurück. Die jährlichen Zahlen lägen hier „im höheren einstelligen Bereich“.

In Essen hat die Ausländerbehörde im laufenden Jahr bislang nur einen Datenträger eingezogen. Auch hier teilt die Behörde mit: „Nach der Auswertung des Datenträgers erhalten die betroffenen Personen ihre Datenträger wieder zurück.“

Wir sind ein spendenfinanziertes Medium Unterstütze auch Du unsere Arbeit mit einer Spende. Jetzt spenden Ohne Handy geht heute fast nichts mehr

Warum nimmt ausgerechnet das Ausländeramt in Köln so vielen Menschen ihre Handys ab? Zum Vergleich: In ganz Nordrhein-Westfalen hatten Ausländerbehörden von Jahresbeginn bis Ende Juni nur 344 Datenträger eingezogen.

Und warum behält das Amt in Köln die Datenträger laut der Einzugsbescheinigung „bis zur Ausreise“? Auch im bundesweiten Vergleich ist Köln mit dieser Praxis offenbar alleine. Das Aufenthaltsgesetz erlaubt diese Durchsuchungen bereits seit 2015, sie sind in fast allen Bundesländern inzwischen Standard. Anfragen von netzpolitik.org zeigen jedoch: Weder in München noch in Berlin, Bremen oder Stuttgart behalten die Behörden eingezogene Geräte nach der Auswertung weiter ein.

In der Praxis bedeutet „bis zur Ausreise“: auf unbestimmte Zeit. Denn wie lange ein Abschiebeverfahren dauert, kann sich stark unterscheiden, sagt etwa der Jurist Davy Wang von der Gesellschaft für Freiheitsrechte. „In bestimmten Fällen ist eine Abschiebung faktisch gar nicht möglich, etwa weil Herkunftsstaaten eine Rücknahme verweigern oder gesundheitliche Gründe eine Abschiebung verhindern.“ Die Wirkung des Paragrafen komme damit faktisch einer Enteignung gleich.

Die Betroffenen müssen unterdessen ohne ihr wichtigstes Kommunikationsmittel auskommen und verlieren die wichtigste Verbindung zu ihren Familien. Hinzu kommt: Ohne Handy geht heutzutage auch darüber hinaus fast nichts mehr – vom Online-Banking bis zum Fahrkartenkauf.

Aus technischer Sicht ist die Verschärfung im Aufenthaltsrecht zudem unnötig. Die Behörden fertigen beim Auslesen ohnehin eine digitale Kopie der Daten auf den Geräten an, selbst Daten aus der Cloud dürfen sie dabei mitspeichern. Danach ist es nicht mehr notwendig, das Gerät selbst weiter einzubehalten. „In dieser Reichweite wäre die Norm eine reine Repressionsmaßnahme“, sagt auch der auf Migrationsrecht spezialisierte Rechtsanwalt Matthias Lehnert.

Bis zur Ausreise verwahrt

„Ausländerbehörden entscheiden in eigener Zuständigkeit“

Im zuständigen Ministerium für Familie, Flucht und Integration in NRW, geführt von der Grünen Josefine Paul, will man von einer Weisung, die Datenträger einzubehalten, nichts wissen. „Die Ausländerbehörden entscheiden in eigener Zuständigkeit, ob sie von dieser Möglichkeit Gebrauch machen“, schreibt eine Sprecherin. Es sei also nicht so, dass Datenträger im Land grundsätzlich bis zur Ausreise einbehalten würden.

Dass Mobiltelefone durchsucht und ausgewertet werden, stehe zudem erst als „Ultima Ratio“ am Ende einer Reihe von anderen Maßnahmen, betont die Sprecherin. Es gelte der Grundsatz der Verhältnismäßigkeit. Das Aufenthaltsgesetz erlaubt die Durchsuchung nur, wenn andere „mildere Mittel“ ausgeschöpft sind.

Erst durch einen Hinweis aufgefallen

Das Ausländeramt Köln kümmert sich als zentrale Anlaufstelle um die Belange von Ausländer*innen in der Stadt. Seit 2022 leitet die Juristin Christina Boeck die Behörde.

Dass das Amt die Datenträger nicht nur einzieht, sondern auch einbehält, ist erst durch den Hinweis einer betroffenen Geflüchteten an die Linken-Abgeordnete Clara Bünger aufgefallen. Bünger, die auch im Innenausschuss des Bundestags sitzt, hat daraufhin die Bundesregierung gefragt, wie das Einziehen der Handys mit dem Recht auf Privatsphäre vereinbar sei. Die Antwort war knapp: Der Vollzug des Aufenthaltsrechts sei Ländersache.

Doch zumindest lenkte sie die Aufmerksamkeit auf die neue Gesetzeslage. Auf Nachfrage von netzpolitik.org bestätigte ein Sprecher der Stadt Köln Anfang September, dass das Ausländeramt seit Jahresbeginn 130 Datenträger auf Grundlage der neuen Regelung eingezogen habe. Das Gesetz ist schon seit Februar 2024 in Kraft, aus dem Jahr davor gebe es jedoch keine Zahlen.

Alles netzpolitisch Relevante Drei Mal pro Woche als Newsletter in deiner Inbox. Jetzt abonnieren

„Sobald andere Maßnahmen zur Identitätsfeststellung ausgeschöpft oder nicht erfolgversprechend sind, wird der Person bei ihrer Vorsprache angeboten, den Datenträger freiwillig zur Durchsicht vorzulegen“, schreibt der Sprecher. „Ist die freiwillige Mitwirkung nicht zielführend oder wird sie abgelehnt, wird die Person zur Herausgabe des Datenträgers aufgefordert. Wenn sie dieser Verpflichtung nicht nachkommt und tatsächliche Anhaltspunkte für den Besitz vorliegen, können die Person, die von ihr mitgeführten Sachen und die Wohnung durchsucht werden.“

Die betroffene Frau aus Köln hat ihr Smartphone nach unserer Berichterstattung über den Fall doch noch zurück bekommen – entgegen dem, was auf der Einzugsbescheinigung stand. Sie lebt derzeit mit einer monatlichen Duldung in Köln. An der Gesetzeslage ändert das allerdings nichts. Laut Aufenthaltsgesetz können Ausländerbehörden weiterhin selbst entscheiden, ob sie die eingezogenen Geräte wieder aushändigen oder „bis zur Ausreise“ verwahren.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Europäische Kommission arbeitet an Plänen für einen Kahlschlag bei ihren Regeln für die digitale Welt. Das belegen unter anderem Dokumente, die wir veröffentlicht haben. Im Europäischen Parlament und in der Zivilgesellschaft formiert sich dagegen massiver Widerstand.

Will die EU mit abgeschwächter Regulierung stärker machen: EU-Kommissionspräsidentin von der Leyen. – Alle Rechte vorbehalten IMAGO / Anadolu Agency, Bearbeitung: netzpolitik.org

Das erklärte Ziel von Ursula von der Leyen ist es, die Europäische Union in ihrer zweiten Amtszeit als Präsidentin der EU-Kommission wirtschaftlich und geopolitisch zu stärken. Erreichen will sie das offenbar auch durch einen weitgehenden Rückbau des Regelwerkes für die digitale Welt, welches die EU in den vergangenen zehn Jahren gestrickt hat. Davon zeugen Entwürfe für ein geplantes Gesetzespaket, die wir am vergangenen Freitag veröffentlicht haben.

Vier Regulierungsbereiche stehen im Fokus des sogenannten „digitalen Omnibus“: der Datenschutz, Regeln für die Datennutzung, Cyber-Sicherheit und die KI-Verordnung. Der Begriff Omnibus („für alle“) wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zeitgeich geändert werden. Offizielles Ziel des umfangreichen Reformvorhabens ist die Vereinfachung und Vereinheitlichung unterschiedlicher Digitalgesetze.

Diese stehen derzeit nicht nur durch Tech-Konzerne und die US-Regierung unter Druck. Auch europäische Unternehmen und mächtige Politiker:innen wie der deutsche Bundeskanzler Friedrich Merz fordern lauthals den Abbau vermeintlich überbordender Bürokratie.

Am 19. November sollen die Pläne für den digitalen Omnibus offiziell vorgestellt werden. Nun wenden sich zahlreiche zivilgesellschaftliche Organisationen gegen die geleakten Pläne und auch mehrere Fraktionen im EU-Parlament kündigen Widerstand an.

Zivilgesellschaft warnt vor historischem Rückschritt

„Das wäre der größte Rückschritt für digitale Grundrechte in der Geschichte der EU“, heißt es in einem heute veröffentlichten Brief von mehr als 120 zivilgesellschaftlichen Organisationen. Was als „technische Straffung“ der EU-Digitalgesetze präsentiert werde, sei „in Wirklichkeit ein Versuch, heimlich Europas stärkste Schutzmaßnahmen gegen digitale Bedrohungen abzubauen“.

Zu den Unterzeichner:innen gehören Organisationen der digitalen Zivilgesellschaft, Gewerkschaften und Verbraucherschutzorganisationen aus ganz Europa, darunter European Digital Rights (EDRi), Amnesty International und Access Now. Aus Deutschland haben unter anderem der Chaos Computer Club, AlgorithmWatch, die Digitale Gesellschaft, D64, HateAid, das Zentrum für Digitalrechte und Demokratie, der Berufsverband der Datenschutzbeauftragten, die Deutsche Vereinigung für Datenschutz und Wikimedia Deutschland mitgezeichnet.

Konkret kritisieren sie unter anderem, dass die Kommission die gerade erst verabschiedeten Regeln für Künstliche Intelligenz in der EU aufweichen will. Eine Registrierungspflicht für hochriskante KI-Systeme müsse ebenso beibehalten werden wie Strafen für ihren unautorisierten Vertrieb. Die EU müsse zudem sicherstellen, dass KI sicher und diskriminierungsfrei entwickelt und demokratisch kontrolliert werde.

Ferner kritisieren die NGOs auch die Pläne zum Rückbau der Datenschutzgrundverordnung (DSGVO). Sie sei nicht nur eine der stolzesten Errungenschaften der EU, sondern auch eines der wenigen Gesetze, das allen Menschen die Kontrolle über ihre sensiblen Daten gebe – seien es Arbeiter:innen, Kinder oder Personen ohne gültige Papiere. Der Brief verweist in diesem Zusammenhang auch auf die Databroker Files, in denen netzpolitik.org zusammen mit internationalen Partnern gerade erst aufgedeckt hatte, wie leicht sich mit kommerziell gehandelten Daten auch Spitzenpersonal der EU ausspionieren lässt.

„Überstürzt und undurchsichtig“

Zwar gebe es dringenden Nachholbedarf bei der Durchsetzung der DSGVO, doch die Digitalgesetze der EU seien „die beste Verteidigung, die wir gegen digitale Ausbeutung und Überwachung durch in- und ausländische Akteure haben“. Wenn die Kommission der Wirtschaft das Leben leichter machen wolle, solle sie diese lieber durch konkrete Leitlinien und Werkzeuge bei der Umsetzung der Regeln unterstützen, statt diese über Bord zu werfen.

Das zivilgesellschaftliche Bündnis kritisiert dabei auch das „überstürzte und undurchsichtige Verfahren“, das demokratische Kontrolle umgehen solle. Getarnt als „Vereinfachung“ mit angeblich nur minimalen Änderungen würde nicht nur der digitale Omnibus soziale Rechte und den Umweltschutz abbauen. Ein anderes Vereinfachungspaket droht gerade parallel die neue EU-Lieferkettenrichtlinie auszuhöhlen, welche Konzerne für Menschenrechtsverletzungen im Ausland zur Verantwortung ziehen sollte.

Bereits Anfang der Woche hatte der österreichische Datenschutzaktivist Max Schrems vor einem Kahlschlag für die Grundrechte in Europa gewarnt und das Vorgehen der EU-Kommission mit „Trumpschen Gesetzgebungspraktiken“ verglichen. In einem ersten Brief hatten die von ihm gegründete Organisation noyb, der Irish Council for Civil Liberties und EDRi schon am Montag nicht mit Kritik gespart.

Sozialdemokrat:innen kündigen Widerstand an

Auch im demokratischen und pro-europäischen Lager des EU-Parlaments formiert sich parteiübergreifender Widerstand gegen die Pläne der Kommission. In offenen Briefe lehnen die Fraktionen von Sozialdemokraten, Liberalen und Grünen die Kommissionspläne sehr weitgehend ab.

Am Dienstag wandten sich führende sozialdemokratische Abgeordnete im Namen der Fraktion der Socialists & Democrats (S&D) gegen die Pläne der Kommission. In einem Schreiben an die zuständige Vizepräsidentin Henna Virkkunen heißt es: „Die S&D-Fraktion wird sich entschieden gegen jeden Versuch stellen, das Schutzniveau für unsere Bürger:innen zu senken.“

Auf vier Seiten zerpflücken die sozialdemokratischen Abgeordneten die einzelnen Vorschläge der Kommission, Schwerpunkte bilden auch hier Datenschutz- und KI-Regulierung. „Wir sind zutiefst besorgt über die vorgeschlagene Aushöhlung der Kernprinzipien der DSGVO, insbesondere über die Verwässerung der Definition von personenbezogenen Daten“, so die Parlamentarier:innen. Sie kritisieren zudem den angedachten Rückbau von Betroffenenrechten, einen geschwächten Schutz vor Werbe-Tracking und von sensiblen Daten.

„Zutiefst beunruhigt“ sind die Sozialdemokrat:innen auch über den Plan, die erst kürzlich verabschiedete KI-Verordnung zu schwächen, bevor diese überhaupt Wirkung entfalten könne. „Anstatt das Gesetz wieder zu öffnen, muss die Priorität auf der raschen Fertigstellung harmonisierter Standards und Leitlinien durch das KI-Büro liegen, um die Wechselwirkungen mit anderen Rechtsvorschriften zu klären.“

Die Abgeordneten stellen ihre Kritik zudem in einen geopolitischen Kontext: „Die globale Führungsrolle der EU im Bereich Regulierung“ werde momentan durch große Tech-Konzerne offen herausgefordert. Mit ihren Vorschlägen setze die EU-Kommission die Vorbildfunktion Europas aufs Spiel. Jetzt nachzugeben und auf Deregulierung zu setzen, schwäche die Position der EU. Der digitale Omnibus müsse „die Integrität der digitalen Rechtsordnung stärken und nicht schwächen“.

Liberale: Vereinfachung ja, aber nicht so

Auch die liberale Fraktion Renew Europe äußert sich kritisch zu den geleakten Reformplänen der Kommission. Man unterstütze das Anliegen, die europäische Wettbewerbsfähigkeit durch bessere Regulierung zu erhöhen, heißt es am Mittwochabend in einem Schreiben an Kommissionspräsidentin von der Leyen. „Wir werden uns jedoch entschieden gegen Maßnahmen wehren, die vorgeben, die Rechtslage zu vereinfachen, aber unsere Datenschutzstandards untergraben und den Schutz der Grundrechte schwächen würden.“

Konkret wenden sich die Liberalen gegen einige Maßnahmen, die die Datenschutzgrundverordnung und die KI-Verordnung aushöhlen würden. So etwa den abgeschwächten Schutz für sensible Daten und die Neudefinition personenbezogener Daten, die auf einer falschen Auslegung der Rechtsprechung des Europäischen Gerichtshofes basiere.

„Wir fordern die Kommission auf, dafür zu sorgen, dass wesentliche Änderungen am digitalen Regelwerk der EU evidenzbasiert und auf Basis angemessener Konsultation und Folgenabschätzung beruhen, insbesondere wenn es um Grundrechte geht“, so der Brief weiter. Die Kommission müsse ihren Vorschlag ändern, bevor sie ihn der Öffentlichkeit präsentiere. Europa müsse beides gemeinsam erreichen: eine wirtschaftliche Führungsrolle und die als Vorreiter für Grundrechte.

Grüne sehen Rückschritt für digitale Souveränität

Mit „großer Sorge“ habe man den kürzlich durchgesickerten Ansatz zum Digital Omnibus wahrgenommen, schreibt am Mittwochabend auch die Fraktion der Grünen im EU-Parlament an Vizepräsidentin Virkkunen. Er zeige, dass die Kommission „weit über technische Klarstellungen hinausgehen und stattdessen Gesetze aufweichen will, die den Grundstein der digitalpolitischen Errungenschaften der EU bilden“.

Neben konkreten Forderungen zum Erhalt von KI-Verordnung, DSGVO und weiteren Gesetzen betonen die Grünen, dass die Reformpläne Europas Streben nach digitaler Souveränität konterkarierten. „Durch die Priorisierung von Deregulierung und Wettbewerbsfähigkeit gegenüber strategischer Autonomie birgt der Omnibus die Gefahr, genau die Schutzmaßnahmen zu schwächen, die die EU zu einem globalen Vorreiter in der Digitalpolitik gemacht haben.“ Unter dem Druck von Big Tech und Lobbyismus der USA sowie einiger Mitgliedstaaten drohe die EU, sich in weitere Abhängigkeit zu deregulieren.

Digitale Gesellschaft kritisiert Bundesregierung

Der Verein Digitale Gesellschaft hebt in einer heute veröffentlichten Pressemitteilung auch die negative Rolle hervor, die die deutsche Regierung in der Sache spielt. Sie hatte dem Vernehmen nach mit einem Positionspapier erheblichen Einfluss auf den Anti-Regulierungskurs der EU. „Statt die Probleme der Digitalisierung in Deutschland endlich effektiv anzugehen, wird mal wieder alle Schuld auf den Datenschutz geschoben“, kritisiert Geschäftsführer Tom Jennissen.

Er erinnert daran, dass die Bundesregierung demnächst einen „europäischen Gipfel zur digitalen Souveränität“ veranstalte. „Doch statt sich endlich aus der Abhängigkeit von Big Tech zu lösen, schleift sie hinter den Kulissen den Rechtsrahmen, der genau diese Tech-Unternehmen unter Kontrolle halten soll.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In der kommenden Woche treffen sich in Berlin die Regierungschefs von Deutschland und Frankreich mit der EU-Kommission zu einem Souveränitätsgipfel. Ein neues Bündnis aus der Zivilgesellschaft stellt vier Forderungen auf, um mit offenen sozialen Netzwerken unabhängiger zu werden.

Das Bündnis erwartet sich von offenen Netzwerken wichtige Impulse für die Demokratie. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Alexander Grey

Das neue Bündnis „Offene Netzwerke und demokratische Öffentlichkeit. Dezentral, souverän und fürs Gemeinwohl!” hat heute auf einer Pressekonferenz seine Forderungen für offene Netzwerke vorgestellt. Das zivilgesellschaftliche Bündnis, dem unter anderem die Digitale Gesellschaft, Wikimedia Deutschland und die Mastodon gGmbH angehören, richtet sich mit seinen Forderungen an den „Gipfel zur Europäischen Digitalen Souveränität“, der am 18. November in Berlin stattfindet.

Auf dem Gipfel wollen sich die deutsche Bundesregierung und die französische Staatsregierung gemeinsam mit den anderen EU-Mitgliedstaaten dafür einsetzen, „die digitale Souveränität Europas zu festigen“.

Es sei ein grundsätzliches Problem, dass derzeit nur einige wenige Tech-Konzerne darüber entscheiden, wie wir uns informieren, worüber wir diskutieren und damit auch, wie sich ein großer Teil der Öffentlichkeit konstituiere. „Das ist eine Gefahr für die Demokratie“, sagte Michael Kolain vom Zentrum für Digitalrechte und Demokratie. Es brauche echte Alternativen, nämlich digitale Plattformen, die dem Gemeinwohl statt Profitinteressen dienen.

Nicht nur Großprojekte und Künstliche Intelligenz

Auf der Pressekonferenz äußerten die Bündnisvertreter:innen die Sorge, dass der geplante Gipfel sich auf Großprojekte und sogenannte Künstliche Intelligenz fokussiere, während wirksame Maßnahmen schon mit deutlich weniger Ressourcen möglich wären.

Was es nicht brauche, seien europäische Nachbildungen der Plattformen durch große Industrieanbieter, die mit Milliarden an öffentlichen Steuergeldern finanziert werden. „Wer den europäischen Wirtschaftsstandort absichern möchte, sollte nachhaltige öffentliche Investitionen in digitale Infrastrukturen umsetzen, die von allen europäischen Bürger:innen genutzt werden können“, so Sandra Barthel, die für die Digitale Gesellschaft das Bündnis mit ins Leben gerufen hat.

30 Millionen jährlich fürs Fediverse

Eine Forderung des Bündnisses ist eine jährliche Förderung in Höhe von 30 Millionen Euro für das Fediverse. Unter dem Fediverse versteht man das Netzwerk aller sozialen Netzwerke, die mit dem technischen Protokoll ActivityPub miteinander kommunizieren können. Im Fediverse ist es möglich, unterschiedliche Plattformen zu betreiben, die ähnliche Funktionen haben wie Instagram, Twitter, YouTube, Facebook oder TikTok. Schon heute gibt es Millionen Accounts im Fediverse und eine aktive Community. Mit etwas Wissen und Technik können sich alle mit eigenen Instanzen am Fediverse beteiligen und selbstbestimmt mitmachen.

Für das Fediverse brauche es allerdings staatliche Subventionen. „Offene, dezentrale Netze für diese Gesellschaft können wir nur zusammen mit der Gesellschaft weiterentwickeln“, sagte Björn Staschen von Save Social – Networks For Democracy. Es gebe gute technische Grundlagen, um die vorhandenen Netze zu beleben und zu verbessern, so Staschen weiter. Zusätzlich brauche es einen politischen Rahmen und umfassende Investitionen.

Zu Beginn wolle sich das Bündnis auf die Förderung des Fediverse konzentrieren, weil dies – etwa im Gegensatz zu Bluesky – ein funktionierendes dezentrales Netzwerk sei, das von vielen unterschiedlichen Playern und Communities getragen wird.

Öffentliche Institutionen sollen offene Netzwerke nutzen

Eine weitere Forderung des Bündnisses trägt den Namen „+1-Prinzip“. Es zielt auf die Bundesregierung sowie öffentliche Institutionen ab, die öffentliche Mittel nutzen, um auf kommerziellen Plattformen zu kommunizieren. Sie sollen dazu verpflichtet werden, „mindestens eine freie, digital souveräne Alternative gleichwertig“ mitzudenken und aktiv zu bespielen, beschreibt Ralf Stockmann von Save Social das Anliegen.

Nutzer:innen, die auf dem Laufenden bleiben möchten, wären damit nicht gezwungen, Accounts bei kommerziellen Plattformen zu betreiben. Gleichzeitig würde das „+1-Prinzip“ dezentrale Netzwerke zusätzlich beleben und stärken.

Gemeinnützigkeit für offene Software

Um offene Netzwerke zu fördern, müsse freie und offene Software ohne Gewinnerzielungsabsicht gemeinnützig werden. Software werde häufig ehrenamtlich entwickelt und bilde heute zugleich die Grundlage digitaler Infrastruktur, die Staat, Wirtschaft und Gesellschaft tagtäglich nutzen. „Um dieses digitale Ehrenamt zu würdigen, Rechtssicherheit zu schaffen und die dauerhafte Pflege rechtlich wie finanziell abzusichern, braucht es endlich einen neuen Zweck der Gemeinnützigkeit“, sagt Sabine Grützmacher, ehemalige Abgeordnete der Grünen im Deutschen Bundestag.

Darüber hinaus fordert das Bündnis den Aufbau einer „pan-europäischen, multilingualen Medienplattformen“ im Rahmen der „Apply AI Strategy“ der EU-Kommission. Und hier schließt sich der Kreis: Denn diese Medienplattform müsse dem Bündnis zufolge, auf Grundlage offener Protokolle wie Mastodons ActivityPub errichtet werden. Außerdem sollten dabei zivilgesellschaftliche Akteure sowie bestehende Initiativen wie Display Europe einbezogen werden.

Dokumentation

 

Das Bündnis “Offene Netzwerke und demokratische Öffentlichkeit. Dezentral, souverän und fürs Gemeinwohl!” wird derzeit getragen von:

• Digitale Gesellschaft e.V.
• Save Social – Networks For Democracy
• Zentrum für Digitalrechte und Demokratie
• D64 – Zentrum für digitalen Fortschritt
• Mastodon gGmbH
• Innovationsverbund Öffentliche Gesundheit e. V.
• Cultural Broadcasting Archive – cba.media
• DisplayEurope.eu
• Newsmast Foundation
• IFTAS – federated trust and safety
• Verband Freier Rundfunk Österreich
• Free Software Foundation Europe
• Krytyka Polityczna
• Fairkom
• Wikimedia Deutschland
• Wikimedia Österreich
• Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V. (FIfF)

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Polizeiagentur Europol ist nicht nur an immer mehr Daten interessiert, sondern experimentiert auch mit KI-Tools, um sie zu verarbeiten. Ob automatische Einstufung von Missbrauchsdarstellungen oder Gesichtserkennung – den KI-Ambitionen stehen nur schwache Kontrollmechanismen gegenüber.

Europol hat in den letzten Jahren vermehrt KI-Tools getestet. – Alle Rechte vorbehalten Gebäude: Europol, Platine: lazycreekimages/unsplash.com, Bearbeitung: netzpolitik.org

Kritiker bezeichnen es als Strategie zur Datenbeschaffung und Überwachung. Europol nennt es in seinem Arbeitsprogramm „Strategisches Ziel Nr. 1“: durch eine Strategie der massenhaften Datenbeschaffung zum „Kriminalinformationszentrum“ der EU zu werden.

Die Beamt*innen von Europol haben keinen Hehl daraus gemacht, dass sie Zugang zu so vielen Daten wie möglich bekommen wollen. Im Zentrum von Europols Hunger nach personenbezogenen Daten stehen wachsende KI-Ambitionen.

Diese Ambitionen werden in einem Strategiepapier der Behörde aus dem Jahr 2023 offen beschrieben. Unendlich viele Daten aus EU-Datenbanken, die fast alle Daten über EU-Bürger*innen und Migrant*innen enthalten, gehen Hand in Hand mit der Möglichkeit, KI-Tools zu nutzen.

Seit 2021 hat sich die in Den Haag ansässige EU-Polizeibehörde einer immer ehrgeizigeren, aber weitgehend geheimen Mission verschrieben, automatisierte Modelle zu entwickeln. Sie sollen die Polizeiarbeit in allen EU-Mitgliedstaaten verändern.

Diese Recherche basiert auf internen Dokumenten der Behörde, die Datenschutz- und KI-Experten analysiert haben, und wirft ernsthafte Fragen auf – nicht nur zu den Auswirkungen von Europols KI-Programms auf die Privatsphäre der Bürger*innen. Sondern auch dazu, wie sich automatisierte Prozesse ohne eine angemessene Aufsicht auf den europäischen Polizeialltag auswirken werden.

Europol teilte dem Recherche-Team auf Anfrage mit, dass es „gegenüber allen Beteiligten eine unvoreingenommene Haltung einnimmt, um sein Mandat zu erfüllen – nämlich die nationalen Behörden bei der Bekämpfung von schwerer und organisierter Kriminalität sowie Terrorismus zu unterstützen“ – und dass die Behörde „an der Spitze der Innovation und Forschung im Bereich der Strafverfolgung stehen wird“.

Massendaten bringen neue Möglichkeiten

Europol hat bei drei Hacking-Operationen der letzten Jahre eine entscheidende Rolle gespielt. 2020 und 2021 zerschlug die Behörde gemeinsam mit anderen internationalen Partnern die vermeintlich sicheren, verschlüsselten Kommunikationssysteme EncroChat, SkyECC und ANOM. Das bescherte Europol eine riesige Menge an Daten. In verschiedenen Ländern führte der Hack der Anbieter zu unzähligen Ermittlungsverfahren und Verurteilungen, viele davon wegen Drogenhandels.

Bei den Operationen agierte Europol hauptsächlich als Übergabestelle und Vermittler für Daten: von den Behörden, die diese erhielten, zu den Behörden der betroffenen Länder. Es kopierte ohne großes Aufsehen die Datensätze aus den drei Operationen in seine Datenbestände und beauftragte seine Analysten, das Material zu untersuchen. Bei EncroChat ging es dabei um mehr als 60 Millionen, bei ANOM um mehr als 27 Millionen ausgetauschte Nachrichten – eine schier unmöglich auszuwertende Menge an Material.

Diese Datendimensionen verstärkten das Interesse der Behörde, KI-Tools zu trainieren, um die Arbeit der Analysten zu beschleunigen. Die Motivation war klar: Es ging um flüchtige Kriminelle und um Menschenleben.

Im September 2021 kamen zehn Mitarbeitende der Europäischen Datenschutzbehörde nach Den Haag zum Hauptsitz von Europol. Sie sollten Europols erste Schritte beim Algorithmen-Training untersuchen. Wie sie im Oktober 2020 herausfanden, hatte Europol bereits Pläne, die EncroChat-Daten für maschinelles Lernen zu nutzen. „Das Ziel von Europol war es, sieben Machine-Learning-Modelle zu entwickeln, die einmal über den gesamten EncroChat-Datensatz laufen sollten“. Das sollte Analysten helfen, die Menge der händisch zu prüfenden Nachrichten zu reduzieren.

Bereits im Februar 2021 hatte Europol das ambitionierte Programm wieder eingestellt, als es die EU-Datenschutzbehörde nicht davon überzeugen konnte, dass es nicht notwendig sei, seine Versuche im Bereich des maschinellen Lernens zu überwachen.

Kein Grund zur Beunruhigung

Dennoch brachte die Untersuchung ans Licht, dass Europol Datenschutzvorkehrungen missachtet hatte. Die Behörde versuchte, die Entwicklung eigener KI-Modelle abzukürzen. Fast keine Unterlagen zur Überwachung des Trainings „wurden während der Zeit, in der die Modelle entwickelt wurden, erstellt“. Weiter heißt es, die Dokumente „spiegeln nur teilweise die Entwicklungspraktiken der Abteilung für Daten und KI wider”, stellten die EDSB-Mitarbeitenden fest. Der EDSB erwähnt auch, dass „Risiken im Zusammenhang von Verzerrungen beim Training und der Verwendung von ML-Modellen oder statistischer Genauigkeit nicht berücksichtigt wurden”.

Für die Analysten von Europol schien es jedoch keinen Grund zur Beunruhigung zu geben. Das geht aus Abschnitten des EDBS-Untersuchungsberichtes zu Europols frühen Machine-Learning-Tests aus dem Dezember 2022 hervor. Sie schätzten das Risiko als minimal ein, dass durch die automatisierten Verfahren eine Person fälschlicherweise in den Fokus von strafrechtlichen Ermittlungen gelangen könnte. Die in dieser Zeit entwickelten Modelle wurden aus operativen Gründen nie eingesetzt. Der Rechtsrahmen der Behörde sah kein ausdrückliches Mandat für die Entwicklung und den Einsatz von KI für Ermittlungen vor.

Das änderte sich bald, im Juni 2022 erhielt Europol neue Befugnisse. Bis dahin hatten sich die Vorhaben zur KI und die Bedeutung des Datenzugangs hin zu sexualisierten Missbrauchsdarstellungen von Minderjährigen (CSAM) verlagert. Im Mai 2022 hatte die Europäische Kommission einen Gesetzesvorschlag zur sogenannten Chatkontrolle vorgelegt, um Inhalte von Nutzer*innen auf Missbrauchsdarstellungen zu scannen. Dieses Thema rückte in den Vordergrund der politischen Agenda und löste eine polarisierende Debatte über Pläne zur Aufhebung von Ende-zu-Ende-Verschlüsselung und die Gefahren der Massenüberwachung aus.

Diejenigen, die Europols Kapazitäten ausbauen wollten, sahen in der potenziellen Nutzung von KI zum Scannen digitaler Kommunikationsgeräte aller EU-Bürger*innen eine neue Chance. Bei einem Treffen mit einem Direktor der Generaldirektion Inneres der EU-Kommission legten Europol-Vertreter nach. Sie schlugen vor, die Technologie so anzupassen, dass sie auch für andere Zwecke als zur Erkennung von Missbrauchsdarstellungen genutzt werden könne: „Alle Daten sind nützlich und sollten an die Strafverfolgungsbehörden weitergegeben werden”.

Sie forderten von der Kommission außerdem, dass Strafverfolgungsbehörden wie Europol „KI-Tools für Ermittlungen nutzen können” sollten. Beschränkungen in der damals diskutierten KI-Verordnung zur Nutzung invasiver und riskanter KI-Systeme sollten vermieden werden.

Privater Rückkanal

Die Bedenken von Europol zu Beschränkungen durch die KI-Verordnung spiegelten die Bedenken großer privatwirtschaftlicher Akteure. Es ist kein Geheimnis, dass die Vorstellungen von Europol und Unternehmen zu Innovation und Entwicklung von KI-Modellen zusammenpassen. Im Gegenteil, in Dokumenten der Behörde wird oft erwähnt, dass enge Kontakte zur Wirtschaft als strategisch wichtig angesehen werden.

Ein relevanter Ansprechpartner für Europol war Thorn – eine US-amerikanische Non-Profit-Organisation und Entwickler eines KI-gestützten CSAM-Erkennungssystems. Strafverfolgungsbehörden können das Programm nutzen, um neue und unbekannte Missbrauchsdarstellungen zu suchen.

Seit 2022 steht Thorn an der Spitze einer Kampagne zur Unterstützung des Chatkontrolle-Vorschlags in Brüssel. Der Vorschlag würde Anbietern von Kommunikationsdiensten auf Anordnung vorschreiben, KI-Klassifikatoren wie den von Thorn entwickelten zu nutzen, um Inhalte zu durchsuchen.

Weniger bekannt ist jedoch die enge Zusammenarbeit zwischen Thorn und Europol. Eine Reihe von E-Mails zwischen dem Unternehmen und Europol zwischen September 2022 und Mai 2025 wurden durch Informationsfreiheitsanfragen öffentlich. Sie zeigen, wie eng Europols Pläne zur Entwicklung eines Erkennungsprogramms mit den Empfehlungen von Thorn verknüpft waren.

Im April 2022, kurz vor Inkrafttreten der neuen Europol-Verordnung, schickte ein Europol-Beamter eine E-Mail an Thorn, um „die Möglichkeit zu prüfen, dass die Europol-Mitarbeiter, die im Bereich Kindesmissbrauch arbeiten (das Analyseprojekt-Team „Twins”), Zugang erhalten” – zu einem Zweck, der weiterhin unklar ist. Thorn schickte ein Dokument zurück und informierte Europol darüber, welche weiteren Informationen erforderlich wären, um fortzufahren. „Ich muss betonen, dass dieses Dokument vertraulich ist und nicht weitergegeben werden darf“, steht am Ende von Thorns E-Mail.

Fünf Monate später bat Europol Thorn um Hilfe dabei, Zugang zu Bildklassifizierern zu erhalten. Diese wurden in einem Projekt entwickelt, an dem Thorn mitgearbeitet hatte. Europol wollte diese testen.

Treffen zum Mittagessen mit Thorn

Nuno Moniz ist Associate Professor am Lucy Family Institute für Daten und Gesellschaft an der Universität Notre Dame. Für ihn wirft dieser Austausch ernsthafte Fragen hinsichtlich der Beziehung zwischen den beiden Akteuren auf: „Sie diskutieren Best Practices, erwarten den Austausch von Informationen und Ressourcen und behandeln Thorn im Wesentlichen als Partner der Strafverfolgungsbehörden mit privilegiertem Zugang.“

Die Korrespondenz deutet an, dass Thorn mit Europol über die technischen Details seiner eigenen Klassifizier sprach und ungewöhnlich tiefe Einblicke in die internen KI-Pläne der Behörde erhielt – Einblicke, die nach bisherigem Wissen keinem anderen externen Akteur gewährt wurden.

Die enge Zusammenarbeit zwischen Europol und Thorn ging seitdem weiter, unter anderem mit einem geplanten Treffen zum Mittagessen, gefolgt von der Präsentation des CSAM-Erkennungsprogramms von Thorn im Hauptquartier von Europol in Den Haag bei einem AP-Twins-Treffen.

In den aktuellsten Korrespondenzen, die im Rahmen dieser Recherche zugänglich gemacht wurden, zeigt ein Mail-Wechsel aus dem Mai 2025, dass Thorn mit seinen Kollegen bei Europol über seine neu gebrandeten CSAM-Erkennung diskutiert.

Europol sagt, dass es „bis heute keine CSAM-Softwareprodukte von Thorn gekauft hat“. Ein Großteil der Kommunikation mit Thorn aus den Informationsfreiheitsanfragen ist jedoch in weiten Teilen geschwärzt. Einige E-Mails wurden vollständig zurückgehalten, obwohl der Europäische Bürgerbeauftragte die Behörde aufforderte, einen breiteren Zugang zu den Dokumenten zu gewähren.

Europol behauptet, dass einige der nicht offengelegten Dokumente „strategische Informationen von operativer Relevanz über die Arbeitsmethoden von Europol im Zusammenhang mit der Verwendung von Bildklassifizierern enthalten, wobei bestimmte solche Klassifizierer konkret erwähnt werden und Gegenstand interner Beratungen, aber auch externer Diskussionen mit Thorn waren”.

Auf Anfrage zu den Recherche-Ergebnissen schrieb Thorns Policy-Direktorin Emily Slifer, dass Thorn angesichts „der Art und Sensibilität” der eigenen Tätigkeiten die Zusammenarbeit mit bestimmten Strafverfolgungsbehörden nicht kommentiere. „Wie bei all unseren Kooperationen arbeiten wir in voller Übereinstimmung mit den geltenden Gesetzen und halten uns an die höchsten Standards in Bezug auf Datenschutz und ethische Verantwortung.“

Ein Sprecher von Europol erklärte gegenüber dem Rechercheteam, dass der „Kooperationsansatz der Behörde vom Grundsatz der Transparenz geleitet wird“. „Kein einziges KI-Modell von Thorn wurde für den Einsatz bei Europol in Betracht gezogen. Daher gibt es keine Zusammenarbeit mit den Entwicklern von Thorn hinsichtlich KI-Modellen, die von Europol verwendet werden oder verwendet werden sollen.“

Lückenhafte Prüfung

Nicht nur die Beratungen zwischen Europol und Thorn bleiben opak. Die Behörde weigert sich hartnäckig, eine Reihe wichtiger Dokumente zu ihrem KI-Programm offenzulegen: von Datenschutz-Folgenabschätzungen über Informationen zu verwendeten Modellen bis hin zu Protokollen ihrer Verwaltungsratssitzungen. In vielen Fällen hat Europol die gesetzlichen Fristen für die Beantwortung von Anträgen um mehrere Wochen überschritten.

Die offengelegten Dokumente bleiben oft aus fragwürdigen Gründen stark geschwärzt. Meist nannte Europol „öffentliche Sicherheit“ oder „interne Entscheidungsprozesse“ als Begründung, um Informationen zurückzuhalten. Der Europäische Bürgerbeauftragte hat solche vagen Aussagen in seinen vorläufigen Berichten immer wieder in Frage gestellt und angemerkt, dass Europol nicht ausreichend begründet hat, wie ein Bekanntwerden seine Arbeit konkret beeinträchtigen würde.

Europol teilte dem Recherche-Team mit, dass Datenschutzfolgeabschätzungen „nicht der allgemeinen Offenlegungspflicht unterliegen“, da sie „kriminellen Akteuren Vorteile gegenüber dem Interesse der öffentlichen Sicherheit verschaffen könnten“.

Fünf Transparenzbeschwerden, die im Rahmen dieser Recherche eingereicht wurden, sind derzeit beim Europäischen Bürgerbeauftragten anhängig.

Europols offensichtliche Abneigung gegen Transparenz ist jedoch nur ein Teil einer mangelhaften Rechenschaftsarchitektur. Sie soll zumindest auf dem Papier sicherstellen, dass alle Aktivitäten von Europol grundrechtliche Standards beachten – auch die Einführung von KI-Tools.

Innerhalb von Europol fällt diese Aufgabe hauptsächlich dem Grundrechtsbeauftragten der Behörde zu. Das ist seit 2022 eine interne Kontrollinstanz, die Bedenken hinsichtlich schwacher Schutzmaßnahmen im Gegensatz zu einer Ausweitung der Befugnisse durch die Europol-Reform ausräumen soll.

2023 wurde die neu geschaffene Position mit Dirk Allaerts besetzt. Die Bedenken wegen mangelnder Aufsicht konnte das nicht ausräumen. Die Rolle genießt wenig Autorität, ihre Berichte sind nicht bindend und haben keine Durchsetzungskraft. „Der Grundrechtsbeauftragte von Europol fungiert nicht als wirksamer Schutz vor den Risiken, die mit dem zunehmenden Einsatz digitaler Technologien durch die Behörde verbunden sind. Die Rolle ist institutionell schwach und verfügt nicht über interne Durchsetzungsbefugnisse, um sicherzustellen, dass seine Empfehlungen befolgt werden“, sagt Bárbara Simão, Expertin für Rechenschaftspflichten bei Article 19. Die in London ansässige, internationale Menschenrechtsorganisation beobachtet den Einfluss von Überwachung und KI-Technologien auf die Meinungs- und Informationsfreiheit. Simão hat mehrere „unverbindliche“ Bewertungen der KI-Tools von Europol durch den FRO überprüft, die das Recherche-Team erhalten hat.

„Um seine Funktion als interne Kontrollinstanz zu erfüllen, muss der Grundrechtsbeauftragte mehr sein als eine symbolische Funktion. Er muss die eingesetzten Technologien ordnungsgemäß überprüfen und braucht echte Befugnisse”, fügte sie hinzu.

Viele der unverbindlichen Berichte des Grundrechtsbeauftragten enthalten die immer wieder kopierte Passage, dass Fähigkeiten zur gründlichen Überprüfung der KI-Tools von Europol nicht vorhanden sind. „Derzeit gibt es keine Instrumente für die grundrechtliche Bewertung von Tools, die künstliche Intelligenz nutzen. Die vom Grundrechtsbeauftragten verwendete Bewertungsgrundlage orientiert sich an einem Dokument der Strategic Group on Ethics and Technology und einer Methodik für den Umgang mit Dilemmata“, heißt es in den Berichten.

Beim Grundrechtsbeauftragten gibt es keine Instrumente zur grundrechtlichen Bewertung von KI-Tools. - Screenshot

Die externe Aufsicht scheint nicht viel stärker zu sein. Der wichtigste Mechanismus – die „Joint Parliamentary Scrutiny Group“ (JPSG), in der nationale und Europa-Parlamentarier zusammenkommen, um die Aktivitäten von Europol zu überwachen – hatte nur begrenzten Zugang zu relevanten Dokumenten über die Forschungs- und Innovationsprogramme der Behörde.

Ironischerweise behauptet Europol in seiner Antwort auf die Anfragen des Europäischen Bürgerbeauftragten zu den fragwürdigen Transparenzpraktiken der Behörde, dass seine „Legitimität und Rechenschaftspflicht“ „bereits weitgehend und notwendigerweise durch die gesetzliche demokratische Kontrolle erfüllt wird, die vom Europäischen Parlament zusammen mit den nationalen Parlamenten durch die JPSG ausgeübt wird“.

Es bleibt dem EDSB überlassen, die übereilte Expansion der Behörde mit begrenzten Ressourcen und unzureichenden Befugnissen im Bereich des Datenschutzes zu überprüfen.

Daten von NCMEC

Bis zum Sommer 2023 war die Entwicklung eines eigenen CSAM-Klassifikators eine der obersten Prioritäten des KI-Programms von Europol. Ein zweiseitiges Beratungsdokument des Grundrechtsbeauftragten weist darauf hin, dass das Ziel darin bestand, „ein Tool zu entwickeln, das künstliche Intelligenz (KI) nutzt, um mutmaßliche Bilder und Videos von sexuellem Kindesmissbrauch automatisch zu klassifizieren”. In vier Zeilen ging Allaerts auf das Problem von Verzerrungen ein. Er wies darauf hin, dass eine ausgewogene Datenzusammensetzung bezüglich Alter, Geschlecht und ethnischer Zugehörigkeit notwendig sei, „um das Risiko zu begrenzen, dass das Tool CSAM nur für bestimmte ethnische Gruppen oder Geschlechter erkennt”. Die Entwicklungsphase würde in einer kontrollierten Umgebung stattfinden, um jegliches Risiko von Datenschutzverletzungen zu begrenzen.

Um das Tool zu trainieren, würde das Projekt Missbrauchsdarstellungen und Nicht-CSAM-Material verwenden. Während unklar ist, welches Material Europol für letzteres beschaffen würde, stammt das CSAM-Material größtenteils vom National Center for Missing and Exploited Children (NCMEC). NCMEC ist eine gemeinnützige Organisation aus den USA, die eng mit der US-amerikanischen Strafverfolgungsbehörden zusammenarbeitet.

Obwohl Europol die Pläne zum Training eines Erkennungsprogramms bis Ende 2023 zurückgestellt hat, fließen die vom NCMEC gelieferten Daten in das erste interne Modell ein, das im Oktober 2023 eingeführt wurde.

Die Maschine mit dem Namen EU CARES hat die Aufgabe, automatisch Daten herunterzuladen, die von US-amerikanischen Online-Dienstleistern gemeldet werden. Diese sind verpflichtet, verdächtiges Material an NCMEC zu melden. EU CARES gleicht die Daten dann mit den Beständen von Europol ab und leitet sie an die Strafverfolgungsbehörden der Mitgliedstaaten weiter.

Das Volumen des gemeldeten Materials – hauptsächlich von US-amerikanischen Digitalriesen wie Meta oder Google – wurde so groß, dass die manuelle Verarbeitung und Weitergabe nicht mehr möglich war, die Europol vor dem Einsatz von KI durchgeführt hatte.

Europol hatte in seiner eigenen Bewertung des Systems Risiken in Bezug auf „falsche Datenmeldungen durch das NCMEC“ und „falsche Treffer im Zusammenhang mit Meldungen“ festgestellt. Dennoch hat die Behörde bei ihren Berichten an den EDSB keines dieser Risiken vollständig bewertet.

Die Datenschutzbehörde betonte die „schwerwiegenden Folgen”, die Ungenauigkeiten haben könnten. Sie forderte die Europol auf, zusätzliche Maßnahmen zur Risikominderung zu ergreifen, etwa durch inkorrekt kategorisierte Informationen oder „falsche Abgleichberichte, die eine betroffene Person zu Unrecht in eine strafrechtliche Ermittlung ziehen können”. Die Folgen für eine Person wären in solchen Fällen schwerwiegend.

Als Reaktion darauf verpflichtete sich Europol, verdächtige Daten als „unbestätigt“ zu kennzeichnen, „verbesserte“ Warnungen für Auffälligkeiten hinzuzufügen und sein System zur Entfernung zurückgezogener Meldungen zu verbessern. Neben anderen Maßnahmen erklärte die Behörde, dass diese Schritte den Bedenken des EDSB hinsichtlich der Genauigkeit und der Fehler bei Querverweisen Rechnung tragen würden.

Im Februar 2025 erklärte die Europol-Direktorin Catherine De Bolle, dass EU CARES „bis Januar 2025 insgesamt 780.000 Meldungen mit ergänzenden Informationen übermittelt“ habe. Offen bleibt, wie viele davon falsch positive oder redundante Hinweise sind. Das Bundeskriminalamt, das Meldungen direkt vom NCMEC erhält, ohne das System von Europol zu nutzen, teilte auf Anfrage mit, dass von 205.728 im Jahr 2024 eingegangenen NCMEC-Meldungen 99.375 „strafrechtlich nicht relevant“ waren. Das entspricht 48,3 Prozent.

Die nächste Herausforderung: Gesichtserkennung

Obwohl Datenschutzbehörden auf Schutzmaßnahmen bei EU CARES drängten, weitete Europol den Einsatz von automatisierten Tools auf einen weiteren sensiblen Bereich aus: Gesichtserkennung.

Ab 2016 hat die Behörde mehrere kommerzielle Tools getestet und erworben. Die neueste Anschaffung, NeoFace Watch (NFW) des japanischen Technologieunternehmens NEC, sollte ein früheres internes System namens FACE ersetzen oder ergänzen, das Mitte 2020 bereits auf etwa eine Million Gesichtsbilder zugreifen konnte.

Stark geschwärzte Dokumente zeigen, dass Europol bis 2023 mit NEC an Plänen zur Datenmigration und Videoverarbeitung arbeitete. Als Europol später dem EDSB das neue Programm zur Überprüfung vorlegte, warnte dieser vor dem „Risiko einer geringeren Genauigkeit bei den Gesichtern von Minderjährigen (als eine Form der Verzerrung)” und vor einer „inkohärenten Verarbeitung”, wenn alte und neue Systeme (wie das bestehende FACE und NeoFace Watch) parallel laufen. Die Datenschutzbehörde forderte Europol auf, eine sechsmonatige Pilotphase durchzuführen, um einen akzeptablen Genauigkeitsschwellenwert zu ermitteln und falsch-positive Ergebnisse zu minimieren. Nach der Konsultation entschied Europol aus Vorsichtsmaßnahme, die Daten von Kindern unter 12 Jahren aus der Verarbeitung auszunehmen.

In seiner Vorlage an den EDSB verwies Europol auf zwei Studien des National Institute of Standards and Technology (NIST), einer US-amerikanischen Regierungsbehörde. Die Studien sollten eigentlich dazu dienen, die Entscheidung von Europol für NeoFace Watch als neues System zu untermauern. In einer der Studien gab NIST an, dass es keine „wilden Bilder“ aus dem Internet oder von Videoüberwachungskameras verwendet habe, wie sie Europol normalerweise verwenden würde.

In einem verwandten Bericht dokumentierte NIST in seinen Bewertungen des Algorithmus von NEC, dass die Verwendung von Fotos bei schlechten Lichtverhältnissen zu einer Falsch-Identizifierungsrate von bis zu 38 Prozent führe. Im Oktober 2024 wurde ein Vertrag mit NEC unterzeichnet. Gegen ähnliche Einsätze von NeoFace Watch in Großbritannien gibt es wegen Bedenken zu Verzerrungen und Datenschutz Klagen vor Gerichten.

In einer nicht bindenden Stellungnahme aus dem November desselben Jahres beschrieb der Grundrechtsbeauftragte von Europol das System als eines, das „das Risiko von Fehlalarmen erhöht“, was das Recht auf Verteidigung oder ein faires Verfahren beeinträchtigen könne. Das System wird nach der neuen KI-Verordnung der EU als Hochrisiko-System eingestuft. Dennoch gab der Grundrechtsbeauftragte das System frei und forderte die Behörde lediglich auf, bei grenzüberschreitenden Ermittlungen anzugeben, wenn das Tool eingesetzt wird, um „die Transparenz und Rechenschaftspflicht zu verbessern, die für die Aufrechterhaltung des Vertrauens der Öffentlichkeit von entscheidender Bedeutung sind“.

Der Hersteller NEC schrieb auf Anfrage, dass NeoFace Watch in der jüngsten Testrunde des NIST als „die weltweit genaueste Lösung“ abschnitt. NEC fügte hinzu, dass sein Produkt „umfangreichen unabhängigen Tests durch das National Physical Laboratory (NPL) unterzogen wurde und beim Live-Einsatz unter typischen Bedingungen keine falsch-positiven Identifizierungen aufwies“.

Hohe Genauigkeit allein macht Gesichtserkennung nicht sicher und beseitigt auch nicht die in diesem Fall dokumentierten rechtlichen Bedenken. Experten wie Luc Rocher, Professor am Oxford Internet Institute, haben gezeigt, dass die Bewertungsmethoden für die Gesichtserkennung immer noch nicht die tatsächliche Leistung in der Praxis vollständig erfassen, wo Faktoren wie Bildqualität, Bevölkerungsgröße und demografische Vielfalt zu einer erheblichen Verschlechterung der Genauigkeit führen – insbesondere bei Personen aus ethnischen Minderheiten und jungen Menschen.

Barbara Simao, Expertin bei Article 19, merkte an, dass die Betonung der technischen Performance dazu führe, „die mit Gesichtserkennungstechnologien verbundenen Risiken herunterzuspielen“, darunter die vom EDSB aufgezeigte Verzerrungen bei Minderjährigen und die von der eigenen Aufsichtsinstanz bei Europol identifizierten Gefahren für das Recht auf ein faires Verfahren.

Das Gesamtbild

Ein verbindlicher interner Fahrplan aus dem Jahr 2023 offenbart das wahre Ausmaß von Europols Bestrebungen: 25 potenzielle KI-Modelle, die von der Objekterkennung und Bildgeolokalisierung bis hin zur Deepfake-Identifizierung und der Extraktion persönlicher Merkmale reichen.

Diese Vision würde die Behörde ins Zentrum der automatisierten Polizeiarbeit in der EU befördern, da die von Europol eingesetzten Instrumente praktisch von allen Strafverfolgungsbehörden in der gesamten EU genutzt werden könnten.

Im Februar 2025 teilte Europol-Direktorin Catherine De Bolle den europäischen Gesetzgebern mit, dass die Behörde dem EDSB zehn Datenschutz-Folgenabschätzungen vorgelegt habe, sieben für bereits genutzte und drei für neue Modelle.

Mitglieder der parlamentarischen Kontrollgruppe JPSG baten Europol um einen detaillierten Bericht über sein KI-Programm. Als die Behörde diesen vorlegte, schickte sie den Abgeordneten ein vierseitiges Papier mit allgemeinen Beschreibungen ihrer internen Überprüfungsprozesse, ohne substanzielle Informationen über die KI-Systeme selbst.

Die EU-Parlamentarierin Saskia Bricmont, die Teil der JPSG ist, sagt:

Die entwickelten KI-Systeme können sehr große Risiken und Konsequenzen für Grundrechte beinhalten. Es ist von entscheidender Bedeutung, dass eine strenge und wirksame Aufsicht gewährleistet ist. Trotz der bereitgestellten Informationen ist es für die Mitglieder des EU-Parlaments nach wie vor sehr komplex, ihre Kontrollaufgabe zu erfüllen und die mit der Nutzung KI-basierter Systeme durch die Agentur verbundenen Risiken vollständig zu bewerten.

Gleichzeitig bereitet die EU-Kommission eine neue, umfassende Reform vor, um Europol zu einer „wirklich funktionsfähigen Behörde” zu machen. Das genaue Ausmaß und die Art dieser Umgestaltung ist noch unklar. Die Kommission hat jedoch vorgeschlagen, das Budget von Europol für die nächste Finanzperiode auf drei Milliarden Euro aus Steuergeldern zu verdoppeln.

Diese Recherche wurde von IJ4EU und Lighthouse Reports unterstützt und erscheint ebenfalls bei Solomon und Computer Weekly. Apostolis Fotiadis ist Journalist und recherchiert zu EU-Politik in den Bereichen Technologie, Überwachung und digitale Rechte. Giacomo Zandonini ist ein in Rom ansässiger Investigativjournalist mit einer Leidenschaft für Langformartikel, die Feldforschung mit der Analyse von Dokumenten und offenen Daten verbinden. Er berichtet über die Sicherheits- und Migrationspolitik der EU und deren Auswirkungen außerhalb der EU. Luděk Stavinoha ist Dozent für Medien und globale Entwicklung an der University of East Anglia. Er forscht zu EU-Transparenz und Migrationsmanagement.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Washington fordert transatlantischen Zugriff auf biometrische Polizeidatenbanken. Das geforderte Abkommen betrifft alle 43 Teilnehmer des Programms für visafreie Reisen. Nun werden die Positionen der EU-Mitglieder dazu bekannt.

Die USA wollen mehr Zugriff auf Fotos und Fingerabdrücke aus europäischen Datenbeständen. – Public Domain CBP Photography

Die britische NGO Statewatch hat ein Ratsdokument mit Positionen der EU-Mitgliedstaaten zu den geplanten Verhandlungen über die sogenannte Enhanced Border Security Partnership (EBSP) mit den Vereinigten Staaten veröffentlicht. Es zeigt die Differenzen über den von Washington seit drei Jahren geforderten transatlantischen Zugriff auf Polizeidatenbanken und darin enthaltene Fingerabdrücke und Gesichtsbilder.

Die meisten der 27 EU-Regierungen sind aufgeschlossen für Verhandlungen, fordern aber Leitplanken für eine solche Datenkooperation. Einige machen weitergehende Vorschläge.

Die US-Forderung betrifft alle 43 Teilnehmer des Visa-Waiver-Programms, darunter auch Länder wie Großbritannien, Israel, Australien oder Singapur. Sie sollen bis Ende 2026 eine „Grenzpartnerschaft“ abschließen. Andernfalls droht der Ausschluss vom visafreien Reisen in die USA.

Die EU-Kommission hat dazu vorgeschlagen, im Auftrag aller 27 Unionsmitglieder Verhandlungen für ein Rahmenabkommen zum Austausch der biometrischen Daten zu führen. Der Rat – also alle Mitgliedstaaten – soll der Kommission dazu ein Verhandlungsmandat erteilen. Für die Umsetzung eines solchen Rahmenabkommens müssen die einzelnen Länder aber anschließend eine zusätzliche bilaterale Vereinbarung mit den USA schließen.

Deutschland will US-Behörden Grenzen setzen

Die Bundesregierung zeigt sich laut dem Dokument grundsätzlich offen für ein EU-weites Abkommen, will den US-Behörden darin aber Grenzen setzen. Deutschland lehnt einen Direktzugriff US-amerikanischer Behörden auf ausländische Datenbanken ab und fordert eine Lösch-Regelung.

Stattdessen solle der Austausch über ein mehrstufiges „Treffer/Kein Treffer“-Verfahren erfolgen – eine Herausgabe der Daten soll also nur im Einzelfall und nach Prüfung durch nationale Stellen erfolgen. Unter Schengen-Staaten ist das im Vertrag von Prüm geregelt. Die USA könnten dementsprechend ein internationaler Prüm-Partner werden, so der deutsche Vorschlag.

Als erster und bislang einziger Staat erhielt Großbritannien diesen Status nach dem Brexit. Allerdings dauert die Datenabfrage nach dem „Treffer/Kein Treffer“-Prinzip mitunter Tage. Für die von den USA angestrebte Echtzeitverwendung ist dies also keine Option.

Zugleich fordert Berlin, dass die EU geschlossen gegenüber Washington auftritt, um zu verhindern, dass einzelne Mitgliedstaaten in bilateralen Abkommen weitergehende Zugeständnisse machen. Nach deutscher Ansicht müsse der transatlantische Datenaustausch „einen echten Mehrwert für die Sicherheit der EU und ihrer Mitgliedstaaten bringen, dabei aber die Grundrechte und den Datenschutz uneingeschränkt wahren“.

Einige Staaten wollen Beschränkungen

Neben Deutschland plädieren auch Italien, Frankreich, Österreich und die Niederlande dafür, den Anwendungsbereich des Abkommens klar zu begrenzen. Italien etwa fordert, dass sich die Kooperation „auf Migration und Grenzmanagement“ beschränken solle und „nicht zu einem generellen Polizeidatenaustausch“ werde. Auch Frankreich warnt vor einer schleichenden Ausweitung in Bereiche nationaler Strafverfolgung und verlangt, dass jede Datenübermittlung „menschlich überprüft“ werden müsse und nicht automatisch erfolgen dürfe.

Die Regierungen in Wien und Den Haag äußern ähnliche Vorbehalte: Der Austausch dürfe nur Daten betreffen, die im Rahmen von Grenz- oder Visaverfahren erhoben werden und nicht etwa nationale Ermittlungsakten.

Ein anderes Lager – darunter die baltischen Staaten, Tschechien und Litauen – zeigt sich hingegen offen für US-Forderungen nach direkter oder automatisierter Abfrage europäischer Datensätze, sofern Datenschutzgarantien und Gegenseitigkeit gewahrt blieben. Die litauische Delegation stellt sogar in den Raum, die Verwendung von Künstlicher Intelligenz bei der automatisierten Verarbeitung von Daten zu regeln, was andere Staaten strikt ablehnen.

Die österreichischen Vertreter äußerten die Auffassung, dass die USA eher an Daten in europäischen Informationssystemen interessiert seien als an nationalen biometrischen Datenbanken. Das bezieht sich speziell auf drei neue große EU-Systeme: das Visa-Informationssystem (VIS), das gemeinsame biometrische Abgleichsystem (sBMS) und den Gemeinsamen Identitätsspeicher (CIR). In den Kommentaren Österreichs klingt es so, als wolle das Land den USA den Zugriff auf diese EU-Daten anbieten, „um eine operationell gegenseitig vorteilhafte Lösung zu erreichen“.

Irland verweist auf sicherheitspolitische Dimension

Ein Sonderfall ist Irland. Die dortige Regierung betont, dass das Abkommen nicht nur Grenz- oder Visaangelegenheiten betreffen soll, sondern auch der Bekämpfung von Terrorismus und schwerer Kriminalität dienen müsse. Irland ist nicht Teil des Schengen-Raums. Trotzdem fordert Dublin, an den Verhandlungen teilzunehmen und argumentiert, der Austausch von Biometriedaten und Reisedokumenten könne allen Schengen-Staaten beim Kampf gegen Verbrechen und Terrorismus helfen.

Sollte Irland von dem Rahmenabkommen ausgeschlossen bleiben, befürchtet das Land erhebliche operative Schwierigkeiten bei der Umsetzung eines späteren bilateralen EBSP mit den USA, was den eigenen Status im Visa-Waiver-Programm gefährden könnte. Vor diesem Szenario warnen auch einige osteuropäische Staaten.

Deadline bis Ende 2026

Frankreich wiederum stellt die Lesart der Kommission in Frage, wonach das Rahmenabkommen in ausschließlicher EU-Kompetenz liege: Einige Aspekte, etwa der Zugriff auf nationale Datenbanken, fielen nach Ansicht von Frankreich eindeutig in die Zuständigkeit der Mitgliedstaaten. Über diese Frage hatte es vorab bereits Uneinigkeit gegeben, denn die von den US-Behörden anvisierte Nutzung der biometrischen Daten geht deutlich über Visafragen – für die die EU grundsätzlich zuständig ist – hinaus.

Mehrere im Rat in Brüssel vertretene Länder wie Österreich, die Niederlande und Estland halten den von Washington gesetzten Zeitplan für das EBSP bis Ende 2026 für unrealistisch. Ungarn fordert Konsequenzen, falls die USA für ein EU-Land den Visa-Waiver-Status einseitig beschränken. Dann müsse die EU den Datenaustausch aller Mitgliedstaaten geschlossen aussetzen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Dass es ein neues MAD-Gesetz geben soll, begrüßten Sachverständige im Bundestag. Doch selbst wenn der Entwurf für eine neue Rechtsgrundlage des Militärgeheimdiensts auf Gegenliebe stößt, kritisierten die Fachleute, dass die Geheimdienstbefugnisse nicht abschließend definiert werden sollen.

Ein Anlass für mehr MAD-Befugnisse sind die Pläne für eine Stationierung der Bundeswehr in Litauen, hier noch bei einer Übung. – Alle Rechte vorbehalten ©Bundeswehr/Marco Dorow

Was soll der Militärische Abschirmdienst künftig dürfen und warum können die Feldjäger der Bundeswehr nicht rechtssicher eine Straße sperren? Die Themenbreite bei einer Sachverständigenanhörung im Verteidigungsausschuss des Bundestags war groß, es ging um den Entwurf eines Gesetzes „zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Der enthält sowohl Änderungen bei der Sicherheitsüberprüfung von Soldat:innen als auch ein komplett neues MAD-Gesetz – die Grundlage der militärgeheimdienstlichen Arbeit in Deutschland.

Sechs Fachleute – vom Generalleutnant außer Dienst bis zum Verfassungsrechtler – waren sich einig, dass eine Reform der Gesetzesgrundlagen für den MAD überfällig ist. Auch weil die Neuregelung Klarheit schafft. Denn bislang liest sich das MAD-Gesetz kompliziert.

Es verweist großflächig auf das Verfassungsschutzgesetz und so klingen die rechtlichen Grundlagen an vielen Stellen so: „Die §§ 8a und 8b des Bundesverfassungsschutzgesetzes sind mit der Maßgabe entsprechend anzuwenden, dass an die Stelle der schwerwiegenden Gefahren für die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes genannten Schutzgüter schwerwiegende Gefahren für die in § 1 Absatz 1 genannten Schutzgüter und an die Stelle des Bundesministeriums des Innern, für Bau und Heimat das Bundesministerium der Verteidigung treten.“

Das ist weder gut verständlich noch geht es auf besondere Umstände für einen Militärgeheimdienst ein.

Ein Fortschritt zum Ist-Zustand

Und so war das Echo der Fachleute recht positiv. Der Professor für Öffentliches Recht Matthias Bäcker, der bereits mehrfach gegen Polizei- und Geheimdienstgesetze vors Bundesverfassungsgericht gezogen war, nannte den Entwurf einen großen „Fortschritt im Vergleich zum aktuellen Gesetz“.

Markus Löffelmann, Professor für Sicherheitsrechte an der Hochschule des Bundes für öffentliche Verwaltung, resümierte, der Entwurf schaffe „Praktikabilität“ für den MAD und sei „fast vorbildlich“.

Kritik gab es von mehreren der Sachverständigen jedoch am unvollständigen Katalog der „nachrichtendienstlichen Mittel“, die dem MAD erlaubt sein sollen. In Paragraf 8 des Gesetzentwurfs finden sich 15 Punkte wie „verdeckte Nachforschungen und verdeckte Befragungen“ oder „Einsatz virtueller Agenten bei der Aufklärung im Internet“. Braucht der MAD weitere Befugnisse, die ähnlich eingriffsintensiv wie die bereits gelisteten sind, soll das künftig über eine Dienstvorschrift geregelt werden können – die bei Geheimdiensten in der Regel geheim bleibt.

Eine „Erweiterung im Verborgenen ist untunlich“, kritisierte in der Anhörung etwa Christian Sieh vom deutschen Bundeswehrverband. Bäcker wies darauf hin, dass sich in einigen Landesverfassungsschutzgesetzen abschließende Befugniskataloge finden. Gerade wegen der Heimlichkeit der Maßnahmen sei es geboten, die Befugnisse „rechtlich in abstrakt genereller Weise abschließend auszuführen“. Werden Befugnisse konkretisiert, dann sollte dies nicht mittels einer geheimgehaltenen Dienstvorschrift erfolgen, sondern im Zweifel in einer öffentlich einsehbaren Verordnung.

Auch Informationen aus öffentlichen Quellen können sensibel sein

Zu weit gingen einigen ebenso die Regelungen aus Paragraf 4, wonach der MAD „personenbezogene Daten aus öffentlich zugänglichen Quellen automatisiert erheben“ können soll. Laut Löffelmann bestehe da noch „viel Diskussionsbedarf“. Ihm gehen die Befugnisse zu weit, da auch Datenerhebungen aus öffentlichen Quellen einen Eingriff in die Rechte der Betroffenen darstellen würden.

Bäcker gab ebenfalls zu Bedenken, dass die Regel der „großen Sensibilität der Daten nicht Rechnung“ trage. Gerade weil Personen etwa in Sozialen Medien viel über sich preisgeben. „Da können sie die Person nackt machen“, so Bäcker. „Es ist nicht ausgeschlossen, dass ein Nachrichtendienst das mal tut. Aber der muss an strenge Regeln gebunden werden.“ In seiner Stellungnahme führt Bäcker aus, die Regelung verfehle „die verfassungsrechtlichen Anforderungen“.

Seiner Auffassung nach brauche es einen „qualifizierten nachrichtendienstlichen Verdacht“, um die Ausforschung einer Person zu rechtfertigen – selbst wenn sie mit öffentlich zugänglichen Informationen geschehe. Er empfiehlt, die sogenannten Open-Source-Intelligence-Maßnahmen differenzierter zu regeln.

Das neue MAD-Gesetz hat eine große Bedeutung

Die Neuregelung des MAD-Gesetzes dürfte sich auf weit mehr Bereiche auswirken als den Militärgeheimdienst selbst. Denn sie ist der Auftakt für eine etwa durch Verfassungsgerichtsurteile notwendig gewordene Reform auch anderer Geheimdienstgesetze. Die will Schwarz-Rot bald angehen.

Dass die Bundesregierung nicht alle Gesetze für die drei Bundesgeheimdienste MAD, BND und Verfassungsschutz parallel erarbeitet, kritisierte Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, gegenüber netzpolitik.org: Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“

Es kann also entweder passieren, dass das MAD-Gesetz im Zuge der allgemeinen Geheimdienstreform nach der Verabschiedung erneut überarbeitet wird. Oder aber dass Mechanismen, die nun im MAD-Gesetz landen, als Blaupause für weitere Reformen gelten.

Was dürfen die Feldjäger:innen?

Trotz der dadurch fundamentalen Bedeutung der Reform konzentrierten sich große Teile der Anhörung jedoch auf andere Aspekte des „Gesetzes zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Das enthält nämlich zusätzlich Regelungen für eine veränderte Sicherheitsüberprüfung von Soldat:innen. Bewerber:innen für die Bundeswehr sollen demnach zunächst nur noch einer Verfassungstreueprüfung unterzogen werden. Kritik gab es daran, dass der Bundestag aktuell an anderer Stelle über Änderungen des Sicherheitsüberprüfungsgesetzes debattiert und beide Änderungen nicht gemeinsam betrachtet würden.

Sehr viel Aufmerksamkeit in der Verteidigungsausschusssitzung bekamen ebenfalls die Feldjäger:innen. Besonders Oberstabsfeldwebel Ronny Schlenzig beklagte, dass auch mit dem neuen Gesetz die Militärpolizei der Bundeswehr keine Verkehrsregelungsbefugnisse bekommen sollen. Außerdem dürften sie künftig weiterhin keine Durchsuchungen oder Beschlagnahmungen durchführen, wenn jemand vor der Kaserne eine Drohne lenkt. Diese Aufgaben der örtlichen Polizei zu überlassen sei für ihn keine praktikable Option, Probleme mit Aufgabenvermischung gebe es laut Schlenzig nicht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

EU-Abgeordnete fordern neue Regeln für den Einsatz von Algorithmen am Arbeitsplatz. Beschäftigte sollen wissen, wann KI über sie entscheidet und wie das funktioniert. Bei besonders sensiblen Entscheidungen sollen Menschen immer das letzte Wort haben.

Steckt hinter den Entscheidungen meiner Chefs eigentlich ein Algorithmus? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Immo Wegmann

Die Abgeordneten des Ausschusses für Arbeit und Soziales im EU-Parlament fordern, dass finale Entscheidungen über Einstellungen, Kündigungen oder Vertragsverlängerungen, Gehaltsänderungen oder Disziplinarmaßnahmen immer von einem Menschen getroffen werden. Niemand soll durch einen Algorithmus gefeuert werden, sagte der Berichterstatter Andrzej Buła von der EVP. Er bezeichnete den Berichtsvorschlag des Ausschusses als „ausgewogen“, da er sowohl Unternehmen als auch Beschäftigten zugutekomme. Arbeitgeber sollen weiterhin frei entscheiden können, welche Systeme sie nutzen. Arbeitnehmer:innen bekämen damit das Recht auf Datenschutz und Information.

Beschäftigte sollen sich etwa algorithmische Entscheidungen erklären lassen können. Außerdem sollen sie erfahren, wie entsprechende Systeme eingesetzt werden, welche Daten diese über sie sammeln und wie die menschliche Aufsicht garantiert wird, die es für alle Entscheidungen durch algorithmische Systeme geben soll. Der Ausschuss will zudem, dass Arbeitnehmer:innen zum Umgang mit diesen Systemen geschult werden.

Verbot von Verarbeitung mancher Daten

Darüber hinaus soll die Verarbeitung von gewissen Datenkategorien verboten werden. Dazu zählen psychische und emotionale Zustände, private Kommunikation und der Aufenthaltsort außerhalb der Arbeitszeit. Daten über gewerkschaftliches Engagement und kollektive Verhandlungen sollen ebenso tabu sein.

Der Antrag wurde im Ausschuss mit 41 Stimmen angenommen, bei 6 Gegenstimmen und 4 Enthaltungen. Das EU-Parlament wird in seiner Sitzung Mitte Dezember über den Ausschussvorschlag abstimmen. Anschließend hat die EU-Kommission drei Monate Zeit zu reagieren: Sie kann das Parlament entweder über die geplanten nächsten Schritte informieren oder erklären, warum sie keine entsprechende Gesetzesinitiative einleitet.

Auf Nachfrage von netzpolitik.org erklärte Kommissionssprecher Thomas Regnier am Dienstag, dass der AI Act bereits Beschäftigte schütze. Beispielsweise sei dadurch verboten, dass Arbeitgeber Systeme zur Emotionserkennung einsetzen. Das gehört zu den verbotenen Anwendungen von KI, die bereits seit Inkrafttreten der Verordnung gelten.

AI Act reicht nicht aus

Im Oktober wurde zu dem Thema eine Studie veröffentlicht, die der Ausschuss in Auftrag gegeben hatte. Darin heißt es, dass der AI Act diese Art von Systemen als risikoreiche KI-Systeme einstuft, wenn sie am Arbeitsplatz eingesetzt werden. Das zieht Verpflichtungen in Bezug auf Transparenz, menschliche Aufsicht und Konformitätsbewertungen nach sich. Jedoch gebe es Lücken. Etwa seien Arbeitgeber nicht dazu verpflichtet, Verzerrungen in Algorithmen zu erkennen und zu mindern, die Arbeitnehmer:innen diskriminieren könnten.

Außerdem müssen laut der EU-Verordnung Betroffene zwar über automatisierte oder KI-gestützte Entscheidungen informiert werden. Es gibt jedoch keine Regelung, dass manche Entscheidungen ausschließlich von Menschen getroffen werden dürfen, so wie es die Abgeordneten fordern. Weiterhin stütze sich der AI Act in der Umsetzung auf Marktüberwachungsbehörden, nicht auf Behörden für den Schutz von Grundrechten. Auch schaffe der AI Act keine spezifischen Datenschutzrechte für den Arbeitsplatz.

Die Studie verweist zudem auf die EU-Richtlinie zur Plattformarbeit von 2024, die ähnliche Aspekte behandelt. Sie gilt jedoch nur für Plattformbeschäftigte. Die Autor:innen kommen zu dem Schluss, dass die bestehenden Regelungen einen gewissen Basisschutz bieten, aber kein kohärentes Regelwerk spezifisch für den Arbeitsplatz beinhalten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

EU-Kommissionspräsidentin Ursula von der Leyen macht sich die Übertreibungen der Tech-Bosse über „Künstliche Intelligenz“ zu eigen. Dagegen protestieren nun Wissenschaftler: Die EU sollte eher ein Auge auf die Fehlentwicklungen bei der KI haben, statt den Tech-Bossen die Füße zu küssen. Ein Kommentar.

Ursula von der Leyen im Europäischen Parlament in Strasbourg im Oktober 2025. – CC-BY 4.0 European Parliament

Ursula von der Leyen steht blamiert da. Sie wollte aufspringen auf die KI-Welle, von der aber längst klar ist, dass viele damit verbundene Erwartungen übertrieben sind. Vor allem das Geraune um die alsbald kommende Künstliche Intelligenz, die uns intellektuell ebenbürtig oder uns gar in den Schatten stellen wird, verursacht bei Menschen Kopfschütteln, die sich wissenschaftlich mit dem Thema befassen.

Die EU-Kommissionspräsidentin hatte behauptet, KI werde sich schon nächstes Jahr dem menschlichen Denken und Verstehen annähern. Sie sagte das in einer Rede auf der EU-Haushaltskonferenz im Mai in Brüssel: „Als der aktuelle Haushalt ausgehandelt wurde, dachten wir, dass die KI erst um 2050 dem menschlichen Verstand nahekommt. Jetzt gehen wir davon aus, dass das bereits nächstes Jahr der Fall sein wird.“

Wissenschaftler, die zu Künstlicher Intelligenz forschen und lehren, widersprechen ihr jetzt öffentlich in einem Brief (pdf). Sie drängen von der Leyen, Abstand davon zu nehmen, dem KI-Hype hinterherzuhecheln und einer unmittelbar bevorstehenden Allgemeinen Künstlichen Intelligenz (Artificial General Intelligence, AGI) das Wort zu reden.

Sie fordern, dass die Kommission stattdessen die Behauptungen der Tech-Konzerne „sorgfältig prüfen“ und „unparteiisch und wissenschaftlich“ analysieren sollte. Potentiell sinnvolle KI würde nicht dadurch befördert, „dass unwissenschaftliche Marketingaussagen von US-Technologieunternehmen“ wiedergekäut würden.

Künstliche Intelligenz Wir schrieben schon über maschinelles Lernen, bevor es ein Hype wurde. Unterstütze unsere Arbeit! Jetzt spenden

Was die Forscher besonders erzürnte: Anlässlich der Rede fragte ein Wissenschaftler bei der Kommission nach Belegen (pdf), wie von der Leyen auf dieses schmale AGI-Brett gekommen wäre. Als Antwort erhielt er jedoch keinerlei wissenschaftliche Fakten. Stattdessen zog die Kommission ernsthaft ein paar Blog-Einträge oder Aussagen auf Konferenzen von Tech-Broligarchen wie Anthropic-Chef Dario Amodei oder OpenAI-Chef Sam Altman als angebliche Beweise aus dem Hut.

Desinformation aus der Spitzenpolitik

Es ist gut, wenn jemand Kompetentem mal der Kragen platzt und angesehene Wissenschaftler übertriebenen Quatsch als solchen benennen und auf Fehlentwicklungen hinweisen. Denn Desinformation sollte nicht auch noch aus der Spitzenpolitik kommen. Die Kommissionspräsidentin sollte nicht eine solch kühne Behauptung in den Raum stellen, die unbelegt ist.

Die noch immer anschwellende KI-Blase blubbert nun seit drei Jahren. Weder Anthropics Claude noch OpenAIs ChatGPT rentieren sich auch nur annähernd, im Gegenteil: Sie kosten die Ex-Start-ups Unmengen Geld. Und sie kosten uns alle Unmengen Strom und Wasser und Elektronik-Hardware, die bald zu Bergen von Elektronikschrott werden könnten, wenn das drastische Wachstum der KI-Großrechenzentren so weitergeht. Die notwendige Umstellung der Energieproduktion hin zu Erneuerbaren wird buchstäblich von KI aufgefressen.

„KI“-Platzhirsche bauen massiv aus

Wir sollten aufhören, Software zu anthropomorphisieren, ihnen also menschliche Fähigkeiten anzudichten. Wir müssen weg von dem Glauben an KI und dem Nachplappern von Versprechungen der Tech-Bosse. Es vernebelt nicht nur von der Leyen die Sinne, sondern auch uns, wenn wir informiert und sachlich einschätzen wollen, welche Fähigkeiten der Sprachmodelle wir wo sinnvoll einsetzen können und was schlicht Bullshit ist.

Wir müssen auch weg von einer allzu freundlichen Sichtweise auf die Tech-Konzerne. Denn sie sind eben keine Heilsbringer, denen nun auch noch mit einer Anti-DSGVO-Agenda entgegengearbeitet werden sollte. Sondern es gehört ihnen mit gesunder Skepsis begegnet sowie dem Willen, geltendes EU-Recht durchzusetzen statt rückzubauen.

Im Vergleich zu der Rede von der Leyens zur sogenannten „State of the Union“ noch im September ist eine Umkehr zu beobachten. Damals betonte die Kommissionspräsidentin in ihrer Rede noch, dass sie „europäische Unabhängigkeit“ und die „Kontrolle über die Technologien […], die unsere Volkswirtschaften antreiben“, anstrebe. Sie wolle eine gute Regulierung der US-Konzerne, sagte die CDU-Politikerin. Explizit zur Digitalregulierung posaunte sie gar: „Wir setzen unsere eigenen Standards. Und unsere eigenen Regeln.“

Davon lässt ihre Anti-DSGVO-Agenda wenig übrig. Kein Wunder, wenn sie offenbar lieber den Übertreibungen und Halbwahrheiten der Tech-Bosse als der Wissenschaft zuhört.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Dürfen KI-Unternehmen urheberrechtlich geschützte Liedtexte zum Training ihrer Modelle verwenden? Das Landgericht München gibt in dieser Grundsatzfrage Musiklizenzenverwalter GEMA recht. OpenAI habe mit ChatGPT gegen Urheberrecht verstoßen und soll nun Schadensersatz zahlen.

Ein großer Gewinn für die GEMA – Alle Rechte vorbehalten IMAGO / Herrmann Agenturfotografie

Fast ein Jahr hatte das Verfahren vor dem Landgericht München gedauert. Am Dienstag gab das Gericht dann der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) recht. Die GEMA verwaltet die Lizenzrechte zu den Werken vieler tausend Musiker*innen und hatte gegen den ChatGPT-Entwickler OpenAI geklagt. Das Gericht urteilte, OpenAI dürfe urheberrechtlich geschützte Songtexte nicht ohne eine entsprechende Lizenz verwenden. Außerdem verurteilte es OpenAI zu Schadensersatz. Das Urteil ist noch nicht rechtskräftig.

Bereits im November 2024 hatte die GEMA eine Klage gegen den US-amerikanischen Technologiekonzern eingereicht. Der Vorwurf: OpenAI benutze gesichert GEMA-Werke, um seine KI zu trainieren, zum Beispiel „In der Weihnachtsbäckerei“ von Rolf Zuckowski. Streitgegenstand war die Frage, ob ChatGPT diese memorisiert und dann auf Anfrage reproduziert oder nur aus ihnen lernt und sehr ähnliche Texte neu produziert.

Das Gericht schloss sich der ersteren Position und damit der GEMA an. Prof. Silke von Lewinski, Wissenschaftliche Referentin am Max-Planck-Institut für Innovation und Wettbewerb, sieht darin ein Urteil von „grundlegender Bedeutung für alle Werke, sei es Literatur, journalistische Texte, Musik, bildende Kunst, Fotografie oder jegliche andere Werke, die für Generative KI benutzt werden“.

KI-Unternehmen sollen für geschützte Werke zahlen

Es ist allerdings zu erwarten, dass OpenAI das Urteil nicht auf sich beruhen lassen wird. Auch eine Weiterverweisung an den Europäischen Gerichtshof wäre wohl möglich. OpenAI beharrt darauf, dass ChatGPT die Songtexte durch eine „sequenziell-analytische, iterativ-probabilistische Synthese“ selbst neu erstellt hätte und diese keineswegs einfach kopiert seien.

Die Klage gegen OpenAI ist nicht die einzige der GEMA gegen einen KI-Anbieter. Im Januar 2025 reichte der Verein zusätzlich Klage gegen Suno AI ein, eine Plattform, die mithilfe von Künstlicher Intelligenz Musik generiert. Suno AI erstelle Lieder, die von der GEMA geschützten Werken wie „Cheri Cheri Lady“ oder „Daddy Cool“ zum verwechseln ähnlich seien, so der Vorwurf der GEMA. Eine Anhörung hat bis jetzt noch nicht stattgefunden.

Die GEMA verfolgt mit den Klagen das Ziel, ein Lizenzmodell durchzusetzen. Wer seine KI-Modelle mit einem bestehenden Lied trainieren will, soll dafür zahlen. Ein entsprechendes Lizenz-Modell für generative KI hatte die GEMA im vergangenen Jahr eingeführt. „Die Songs unserer Mitglieder sind nicht der kostenlose Rohstoff für die Geschäftsmodelle der Anbieter generativer KI-Systeme“ sagt GEMA-CEO Tobias Holzmüller in einem Statement auf der Website. „Wer diese Songs verwenden möchte, muss eine Lizenz erwerben und die Urheberinnen und Urheber fair vergüten.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Polizei von Nordrhein-Westfalen soll künftig personenbezogene Daten wie Klarnamen oder Gesichtsbilder nutzen dürfen, um damit Überwachungs-Software zu trainieren. Die geplante Gesetzesänderung reiht sich ein in ähnliche Projekte in anderen Bundesländern.

Herbert Reul, CDU, Innenminister von Nordrhein-Westfalen, war federführend bei der Novelle des Polizeigesetzes.

Den Anstoß gab wohl Bayern. Das Bundesland testete Überwachungssoftware von Palantir mit den Daten echter Menschen und bekam dafür Anfang 2024 von der Landesdatenschutzaufsicht auf die Mütze. Im Januar 2025 verabschiedete daraufhin Hamburg eine Gesetzesänderung, die es der Landespolizei erlaubt, „lernende IT-Systeme“ mit persönlichen Daten von Unbeteiligten zu trainieren. Am Mittwoch wird Baden-Württemberg voraussichtlich mit einer ganz ähnlichen Gesetzesänderung nachziehen. Am kommenden Donnerstag steht dann eine fast wortgleiche Gesetzesänderung im Landtag von Nordrhein-Westfalen auf der Tagesordnung.

Auch in Nordrhein-Westfalen sollen demnach eindeutig identifizierende Informationen wie Klarnamen oder Gesichtsbilder in kommerzielle Überwachungssoftware wie beispielsweise die von Palantir eingespeist werden dürfen. Möglich ist so auch das Training von Verhaltens- oder Gesichtserkennungs-Software.

Die Landesdatenschutzbeauftragte Bettina Gayk schreibt in ihrer Stellungnahme zum Gesetzentwurf: „Die vorgesehene Regelung begegnet erheblichen verfassungsrechtlichen Bedenken.“ So sei beispielsweise die Verwendung der Daten von Menschen, die als Zeug*innen, Opfer oder Anzeigenerstattende in der Polizeidatenbank landeten, unverhältnismäßig. Als problematisch sieht sie außerdem, wenn „mit Hilfe der staatlich erhobenen und gespeicherten Daten Produkte kommerzieller Anbieter verbessert werden“.

Der Angriff auf den Datenschutz kommt per Omnibus

Die schwarz-grüne Landesregierung von Nordrhein-Westfalen hat die Trainingsgenehmigung an eine Gesetzesänderung angehängt, die das Bundesverfassungsgericht forderte. Das hatte zuvor festgestellt, dass die im Polizeigesetz von Nordrhein-Westfalen erlaubten längerfristigen Observationen mit Videoaufzeichnung unvereinbar mit dem Grundgesetz sind.

Nordrhein-Westfalen will mit der Überarbeitung des Gesetzes nun die Eingriffsschwelle für derartige Observationen erhöhen und Befugnisse anpassen. Dazu ermöglicht das Gesetzespaket, Datenanalyse-Software wie die von Palantir einzusetzen – ohne die Einschränkungen, die das Bundesverfassungsgericht fordert. Die Erlaubnis zur „Entwicklung, Überprüfung, Änderung oder zum Trainieren von IT-Produkten“ mit persönlichen Daten wurde im Omnibusverfahren dazu gepackt.

Die jeweiligen Gesetzesänderungen von Nordrhein-Westfalen, Baden-Württemberg und Hamburg ähneln sich stark. Demnach dürfen personenbezogene Daten in allen drei Ländern künftig auch ohne Anonymisierung oder Pseudonymisierung zum Training von Überwachungs-Software genutzt werden, sobald eine entsprechende Anonymisierung oder Pseudonymisierung unmöglich oder nur mit „unverhältnismäßigem Aufwand“ möglich ist. Ob letzteres zutrifft, wird dann wohl durch eine subjektive Einschätzung der Polizeien festgelegt. Die dürfen auch dann identifizierende Informationen verwenden, wenn für den Trainingszweck unveränderte Daten nötig sind.

Datenschutzbeauftragte fordert: Keine identifizierenden Informationen im Software-Training

Laut der Landesdatenschutzbeauftragten von Nordrhein-Westfalen sind die Ausnahmen von der Anonymisierungs- und Pseudonymisierungspflicht so weit, dass sie „in der Praxis letztlich zu keiner Einschränkung führen werden“. Sie fordert, die Nutzung von nicht-anonymisierten oder -pseudonymisierten Daten gänzlich auszuschließen.

Nordrhein-Westfalen, Baden-Württemberg und Hamburg wollen einhellig dennoch auch solche Daten nutzen. Ebenfalls einig sind sich die drei Länder darin, dass die Verwendung von Daten, die aus Wohnraumüberwachung gewonnen wurden, für das Softwaretraining ausgeschlossen ist. Anders als in Hamburg und in Baden-Württemberg gibt es in der Fassung von Nordrhein-Westfalen keine explizite Erlaubnis, die entsprechenden Daten auch an Dritte weiterzugeben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Staaten wollen Internet-Diensten dauerhaft eine freiwillige Chatkontrolle erlauben. Viele Staaten bedauern, dass es keine ausreichende Mehrheit für eine verpflichtende Chatkontrolle gibt. Weitere Änderungen lehnen sie strikt ab. Wir veröffentlichen das eingestufte Verhandlungsprotokoll und den neuen Gesetzentwurf.

Dänischer Justizminister Peter Hummelgaard. – CC-BY-NC-ND 4.0 Dänische Ratspräsidentschaft

Seit dreieinhalb Jahren streiten die EU-Institutionen über die Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten konnten sich bisher nicht auf eine gemeinsame Position einigen. Vor zwei Wochen hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Internet-Dienste sollen freiwillig Chats kontrollieren dürfen, aber nicht dazu verpflichtet werden.

Letzte Woche haben die Ständigen Vertreter der EU-Staaten den Vorschlag diskutiert. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.

Die Vertreter diskutierten auf Basis eines vier-seitigen Debatten-Papiers. Am Tag darauf hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt, den wir ebenfalls veröffentlichen.

Geisel des Datenschutzes

Die Ratspräsidentschaft sagte zum eigenen Kompromissvorschlag, „dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei“. Dänemark hätte die verpflichtende Chatkontrolle gern durchgesetzt. „Die Möglichkeiten seien aber erschöpft.“

Für die Kommission sei es „sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen“. Die Kommission dankte „allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen“.

Einige Staaten drückten ebenfalls „ihr Bedauern aus, keine bessere Lösung gefunden zu haben“. Frankreich nutzte drastische Worte: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt.“

Gegen vermeintliche Überwachung

Der Juristische Dienst des EU-Rats hat die Chatkontrolle als rechtswidrig bezeichnet. Die Kommission lässt sich von solcher Kritik nicht beeindrucken. Stattdessen fordert sie: „Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.“

Auch die Ratspräsidentschaft kritisiert die Medien: „Jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, [würden] schon morgen den Staat dafür kritisieren, seine Kinder nicht hinreichend zu schützen.“

Kinderschutz statt Chatkontrolle

Von Anfang an schreiben wir gegen die Chatkontrolle. Noch länger kritisieren wir den Staat für mangelnden Kinderschutz. Schon vor dem Chatkontrolle-Gesetzentwurf kritisierten wir, dass Polizei und Strafverfolger pädokriminelle Inhalte nicht löschen, sondern online lassen. Das passiert bis heute. Eine Bund-Länder-Gruppe hat einen Bericht dazu verfasst. Der soll jedoch geheim bleiben und nicht öffentlich werden.

Die Vorwürfe erinnern an die Auseinandersetzung zu Netz-Sperren in Deutschland um 2010. Schon damals hat die Bundesregierung keine umfassenden Kinderschutz-Konzepte entwickelt, sondern sich ausschließlich auf Netz-Sperren konzentriert. Die Gegner bewiesen, dass Löschen statt Sperren effektiver und nachhaltiger ist. Seitdem beweist die Bundesregierung jedes Jahr, dass wir recht hatten.

Auch in der Debatte um die Chatkontrolle gibt es viele konkrete Vorschläge für besseren Kinderschutz. Die Chatkontrolle-Befürworter verhindern, über diese konkreten Lösungen zu sprechen.

Keine Rede von Überwachung Die Kommission sagte in der Sitzung: "Die von den Unternehmen (im Rahmen der freiwilligen Kooperation) bei der Aufdeckung kinderpornographischen Bildmaterials genutzten Technologien seien dieselben, die auch zur Bekämpfung von Malware und Spam eingesetzt würden: Hier wie dort gebe es keinen Einblick in Inhalte, von einer Überwachung könne deshalb keine Rede sein." Auch diese Aussage ist nicht richtig. Spam-Filter und Chatkontrolle unterscheiden sich grundlegend. Spam-Filter werden in der Regel bei unverschlüsselter Kommunikation wie E-Mail eingesetzt. Diese Spam-Filter lesen den vollständigen Inhalt der Kommunikation, in den allermeisten Fällen speichern die Anbieter die Inhalte auch dauerhaft. Ende-zu-Ende-verschlüsselte Messenger wie Signal kennen den Inhalt der Kommunikation nicht und scannen den deshalb auch nicht. Es gibt weitere grundlegende Unterschiede. Nutzer können Spam-Filter freiwillig ein- und ausschalten, Chatkontrolle ist für sie verpflichtend. Anbieter können Spam-Filter freiwillig nutzen, Chatkontrolle wäre gesetzlich verpflichtend. Spam-Filter suchen mit öffentlichen Listen nach bekannten Inhalten, Chatkontrolle sucht mit geheimen Liste auch nach unbekannten Inhalten. Spam-Filter verschieben erkannte Inhalte in einen anderen Ordner, Chatkontrolle würde erkannte Inhalte automatisch an Behörden schicken. -->

Keine weiteren Änderungen

Die Ratspräsidentschaft erhielt in der Sitzung für ihren Kompromissvorschlag „ohne Gegenstimme breite Unterstützung“. Mehrere EU-Staaten forderten, „über die von der dänischen Präsidentschaft vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen“.

Auch der Vertreter Deutschlands empfiehlt der Bundesregierung, „die dänische Präsidentschaft weiterhin zu unterstützen“. Deutschland soll „aktiv dafür eintreten“, dass „keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden“.

Das sahen nicht alle Verhandler so. Die Kommission und einige Staaten wie Spanien und Ungarn forderten, die „Pflicht zur Aufdeckung von Missbrauchsdarstellungen […] zumindest für öffentlich zugängliche Webseiten beizubehalten“. Das lehnte die Ratspräsidentschaft ab, weil damit neue Fragen aufkommen und Zeit verloren geht.

Die Bundesdatenschutzbeauftragte kritisierte am Tag der Rats-Verhandlungen weitere Teile des Gesetzentwurfs. Freiwilliges Scannen erfolgt ohne Rechtsgrundlage und damit rechtswidrig. Ein Ausschluss von Jugendlichen schränkt digitale Teilhabe ein. Eine verpflichtende Altersverifikation kann zur weitgehenden Abschaffung der Anonymität im Netz führen. Und Berichtspflichten für Diensteanbieter schaffen Anreize, Scanning als faktisch verpflichtend durchzuführen.

Einvernehmen zur Stoßrichtung

Die EU-Staaten diskutierten diese Elemente am Mittwoch nicht. Die Ständigen Vertreter sprachen ausschließlich über das vier-seitige Debatten-Papier. Die Ratspräsidentschaft schlussfolgerte, dass „dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe“.

Am Donnerstag hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt. Übermorgen tagt wieder die Arbeitsgruppe Strafverfolgung. Dort werden die Staaten den Gesetzentwurf detailliert besprechen.

Hier das Dokument in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 5. November 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BKAmt, BMF, BMI, BMJ, BMWE
• Betreff: 3003. AStV (2. Teil) vom 5. November 2025
• Hier: TOP 36: (Child Sexual Abuse) Einigung auf „way forward“
• Zweck: Zur Unterrichtung
• Geschäftszeichen: Pol 350.1.3
• DKOR-ID: BRUEEU_2025-11-05_77277

Child Sexual Abuse: Einigung auf „way forward“ I. Zusammenfassung und Wertung

DNK PRÄS erhielt im heutigen AStV ohne Gegenstimme breite Unterstützung für das von ihnen vorgeschlagene (in Dokument 14032/25 skizzierte) weitere Vorgehen zur „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“.

In einem eindrücklichen Appell dankte KOM allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen. Die über Internetplattformen geteilten Bilder und Filme seien regelmäßig die einzige Möglichkeit für Strafverfolgungsbehörden, um überhaupt auf sexuellen Missbrauch von Kindern aufmerksam zu werden. Die betroffenen Kinder seien meist zu jung, um zu verstehen, was ihnen widerfährt; zudem stammten die Täter nicht selten aus dem näheren Umfeld. Die von den Unternehmen (im Rahmen der freiwilligen Kooperation) bei der Aufdeckung kinderpornographischen Bildmaterials genutzten Technologien seien dieselben, die auch zur Bekämpfung von Malware und Spam eingesetzt würden: Hier wie dort gebe es keinen Einblick in Inhalte, von einer Überwachung könne deshalb keine Rede sein. Im Internet gebe es eine regelrechte Flut von Bildern und Filmen, die sexuellen Missbrauch darstellten und die Opfer immer und immer wieder an die schlimmsten Momente ihres Lebens erinnerten. Dass allein diese Bilder eine schwerwiegende Verletzung der Grundrechte der Opfer bedeuten, finde in der Diskussion aber kaum Beachtung. Insgesamt sei es für KOM sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen. Es sei nun aber richtig und wichtig, voranzuschreiten, da man sich in einem Wettlauf mit der Zeit befinde. KOM dankte in diesem Zusammenhang der DNK PRÄS ausdrücklich für ihr hohes Tempo. Es müsse weiterhin alles getan werden, um die durch das Auslaufen der Interims-VO im April 2026 drohende Verschlechterung des heutigen Status Quo soweit möglich zu vermeiden (ebenso GRC). Das Bewusstsein, dass die Zeit drängt und die Triloge dauern werden, müsse nun auch in den Hauptstädten reifen. Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.

Vorsitz stimmte diesen Ausführungen zu und merkte an, dass jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, schon morgen den Staat dafür kritisieren würden, seine Kinder nicht hinreichend zu schützen.

Mehrere MS drückten ihr Bedauern aus, keine bessere Lösung gefunden zu haben (FRA: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt“; weniger drastisch auch ESP, HUN, IRL, EST). Einige wiesen auf für sie wichtige Punkte hin, ohne dass sich hierzu ein einheitliches Bild ergeben hätte. Ich unterstützte den DNK Vorgehensvorschlag und betonte u.a. die große Bedeutung des EU-Zentrums.

Abschließend schlussfolgerte Vorsitz, dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe. DNK PRÄS werde den vorliegenden Rechtstext entsprechend überarbeiten und schnellstmöglich vorlegen.

II. Handlungsempfehlungen

Wir sollten DNK PRÄS weiterhin unterstützen und dabei schon aus Zeitgründen aktiv dafür eintreten, dass über die heute im AStV konsentierten Neuerungen hinaus keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden.

III. Im Einzelnen

Vorsitz skizzierte eingangs entlang Dokument 14032/25 (liegt in Berlin vor) das bisherige, erfolglose Vorgehen und den infolgedessen unterbreiteten Vorschlag, verpflichtende Aufdeckungsanordnungen aus der Verordnung zu streichen und eine dauerhafte Verlängerung der freiwilligen Zusammenarbeit nach der Interim-VO aufzunehmen. Vorsitz betonte dabei, dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei, da er polizeiliche Belange und damit den Schutz von Kindern vor sexuellem Missbrauch abschwäche. Die Möglichkeiten seien aber erschöpft.

Einige MS wiesen auf für sie bedeutsame Punkte hin: Es sei wichtig, über die von DNK PRÄS vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen, auch wenn der Mehrwert des Verordnungstexts an manchen Stellen infolge der Herausnahme verpflichtender Aufdeckungsanordnungen geringer ausfalle (FRA). Der Bürokratieaufwand sei möglichst gering zu halten (HUN). Eine Pflicht zur Aufdeckung von Missbrauchsdarstellungen solle zumindest für öffentlich zugängliche Webseiten beibehalten werden (ESP, HUN; ebenso KOM; ablehnend aber DNK PRÄS unter Hinweis auf damit einhergehende neue Fragen und infolgedessen drohenden weiteren Zeitverlusts).

Ich unterstützte den DNK Vorgehensvorschlag. DEU messe der Bekämpfung der Kinderpornographie höchste Priorität bei, eine Verstetigung der rechtlichen Grundlage bei Beachtung von Grundrechten sei von großer Bedeutung. Die Einrichtung des EU-Zentrums werde einen wichtigen Mehrwert leisten. DNK PRÄS und KOM wiesen daran anknüpfend ausdrücklich darauf hin, dass das EU-Zentrum auch ohne verpflichtende Aufdeckungen einen Mehrwert biete, etwa beim Risikomanagement, bei der Entwicklung technischer Maßnahmen zur Risikominimierung, bei der Entgegennahme von Hashwerten und der Einstufung des entsprechenden Bildmaterials als kinderpornographisch, bei der Prävention und bei der Opferbetreuung. Längerfristig sei es zudem von Vorteil, eine europäische Unabhängigkeit vom in den USA angesiedelten NCMEC zu erreichen.

Weitere Wortmeldungen blieben sehr kurz: EST unterstütze das DNK Vorgehen ausdrücklich. CZE gab an, aufgrund der neuen Regierung keine Position zu haben. LUX und SWE bekannten sich zum Kindesschutz und gaben an, sich nach Vorlage des Rechtstextes näher zu äußern.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Europäische Kommission plant offenbar eine DSGVO-Reform mit der Abrissbirne. Der Datenschutzexperte Max Schrems und die Organisation noyb lassen kein gutes Haar an dem Vorschlag, den wir veröffentlichten. Die Pläne würden „40 Jahre europäische Grundrechtsdoktrin über den Haufen“ werfen.

Wrecking ball demolishes old wall. 3D illustration Wrecking ball demolishes old wall. 3D illustration. Copyright: xZoonar.com/CigdemxSimsekx 20374107 – Alle Rechte vorbehalten IMAGO / Zoonar

Max Schrems ist eigentlich schwer aus der Ruhe zu bringen. Der Jurist aus Österreich zerrte unter anderem Facebook vor Gericht, treibt Datenschutzbehörden vor sich her und brachte vor dem Europäischen Gerichtshof gleich zwei transatlantische Datenabkommen zu Fall. Doch bei einer spontan anberaumten Pressekonferenz am Montagmorgen merkt man selbst ihm eine gewisse Fassungslosigkeit an.

Noch vor wenigen Wochen war der Gründer der Nichtregierungsorganisation noyb auf Einladung der Europäischen Kommission in Brüssel. Die Meinung bei einem Treffen zur Zukunft der Datenschutzgrundverordnung (DSGVO) war einhellig, so erzählt es Schrems: Es gibt Reformbedarf, aber der müsse sorgfältig austariert werden. Ein für 2026 geplanter Fitness-Check sei der richtige Rahmen dafür. Eine große Reform werde weder von Verbänden noch von der Wirtschaft gewünscht.

Noch Anfang November gingen deshalb alle Beobachter:innen davon aus, dass die DSGVO im geplanten Gesetz zum „digitalen Omnibus“ nicht wesentlich angefasst wird. Mit dem Paket will die Kommission Teile ihrer Digitalregulierung vereinfachen.

Im Laufe der vergangenen Woche dann kocht die Brüsseler Gerüchteküche. Die Anzeichen verdichten sich, dass die Kommission am 19. November überraschend weitreichende Änderungen vorschlagen wird. Am Freitag platzt die Bombe: Wir veröffentlichen die Entwürfe der Kommission, die belegen, dass die Kommission eine Reform mit der Abrissbirne plant.

„Das wäre der extremste Angriff auf die Privatsphäre der Europäer:innen im Zeitalter der DSGVO“, schreibt Schrems in einer Pressemitteilung. „Im Kern handelt es sich um einen massiven Deregulierungsversuch, der 40 Jahre europäische Grundrechtsdoktrin über den Haufen wirft.“

Freifahrtschein für Werbe-Tracking und Datenhändler

Nach der Lektüre des ersten Entwurfs sei klar, dass der Schaden für die DSGVO riesig wäre, so Schrems weiter. Dem Gesetz, das die Europäische Kommission selbst gerne als weltweiten Goldstandard im Datenschutz feiert, drohe ein „Tod durch 1.000 Schnitte“. Große Teile des Entwurfs würden gegen europäische Konventionen, die Charta der Grundrechte und die ständige Rechtsprechung des Europäischen Gerichtshofs verstoßen.

Das wohl größte Schlupfloch könnte laut noyb durch eine Neudefinition dessen entstehen, was als personenbezogenes Datum zu verstehen und somit von der DSGVO erfasst sei. Weitgehend ausgenommen werden sollen nämlich offenbar pseudonymisierte Daten, also solche, bei denen Firmen die Daten nicht einem Namen zuordnen, sondern einem Pseudonym wie „user12473“ oder einer ID aus einem Tracking-Cookie. Die EU-Kommission wolle hier einen „subjektiven Ansatz“ einführen, bei dem Daten nicht mehr als personenbezogen gelten, wenn ein Unternehmen die Person hinter dem Pseudonym nicht identifizieren könne.

Erst vor wenigen Tagen hatte eine Recherche von netzpolitik.org mit internationalen Partnermedien demonstriert, wie leicht sich aus pseudonymisierten Daten metergenaue Bewegungsprofile erstellen lassen. Das Rechercheteam erhielt von Datenhändlern kostenlos Datensätze mit 278 Millionen Standortdaten aus Belgien. Die Daten enthalten weder Namen noch Telefonnummern, sondern nur pseudonyme Identifier, und doch war es möglich, mit den Daten das Leben von Spitzenpersonal der Europäischen Union auszuspionieren.

Während sich die EU-Kommission besorgt über die Recherchefunde äußerte und neue Sicherheitshinweise für ihre Beamten veröffentlichte, würde ihr Vorschlag für den digitalen Omnibus die aufgedeckte Praxis legalisieren, so Schrems. „Dies würde bedeuten, dass ganze Industriezweige, die mit Pseudonymen oder zufälligen ID-Nummern arbeiten, nicht mehr (vollständig) von der DSGVO abgedeckt wären. Dies könnte für fast alle Bereiche des Online-Trackings, der Online-Werbung und die meisten Datenbroker gelten.“

Wildcard für KI

Weiter kritisiert noyb eine mögliche „DSGVO-Wildcard“ für KI-Systeme, von der insbesondere große Tech-Konzerne wie Google, Meta, Microsoft oder OpenAI profitieren würden. Denn nicht nur das Training, auch der Betrieb von KI-Systemen mit personenbezogenen Daten könnte dann mit dem „berechtigten Interesse“ gerechtfertigt werden.

„Das bedeutet, dass eine Hochrisikotechnologie, die mit den persönlichsten Gedanken und sensiblen Daten der Menschen gespeist wird, im Rahmen der DSGVO ein generelles ‚OK‘ erhält. Gleichzeitig bleibt jede herkömmliche Datenbank oder Überwachungskamera streng reguliert“, so noyb.

Die DSGVO sieht ein solches Interesse als Rechtsgrundlage zwar grundsätzlich vor, bislang ist aber umstritten, ob es für KI-Systeme anwendbar ist. Im Rahmen der Abwägung mit den Interessen der betroffenen Personen sollen Betreiber nach den Ideen der Kommission bestimmte „Schutzmaßnahmen“ ergreifen. Es wird jedoch nicht näher definiert, wie diese aussehen.

Der einzige angebliche Schutz sei ein Widerspruchsrecht, das in der Praxis jedoch scheitern werde, analysiert noyb. Nutzer:innen müssten „hunderte Unternehmen ausfindig machen und einzelne Formulare ausfüllen“. Widersprüche und eine mögliche Informationspflicht könnten die Unternehmen kaum umsetzen.

Betroffenenrechte unter Druck

Unter Druck ist außerdem eine zentrale Errungenschaft der DSGVO: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

„Im Umkehrschluss bedeutet dies, dass zum Beispiel ein Arbeitgeber einen Antrag auf Auskunft als ‚missbräuchlich‘ ablehnen könnte, wenn ein Arbeitnehmer diesen im Rahmen eines Arbeitskonflikts über unbezahlte Arbeitsstunden stellt – zum Beispiel, um einen Nachweis über die geleisteten Arbeitsstunden zu erhalten.“ Das Gleiche würde für Journalist:innen oder Forschende gelten, so noyb.

Massiv eingeschränkt werden soll zudem der Schutz für sensible Daten nach Artikel 9 der DSGVO. Dazu zählen beispielsweise Daten zu ethnischer Herkunft, sexueller Orientierung, politischer oder gewerkschaftlicher Zugehörigkeit sowie Gesundheitsdaten. Entgegen der Rechtsprechung des Europäischen Gerichtshofs will die Kommission den Schutz nur dann gewähren, wenn solche sensiblen Informationen „direkt offenbart“ werden, kritisiert noyb.

Nicht mehr geschützt wären Menschen, bei denen etwa auf die Zugehörigkeit zu bestimmten Gruppen geschlossen werde. „Die Kommission scheint sich vor allem um Unternehmen zu kümmern, die solche Daten für das KI-Training nutzen wollen.“

Kritisch sieht noyb auch erweiterte Befugnisse, Daten auf Endgeräten zu speichern und auszulesen. Tracking-Cookies könnten dann statt wie bisher nicht mehr nur nach Einwilligung, sondern zum Beispiel ebenfalls auf Basis des berechtigten Interesses platziert werden. Auch die Zwecke, zu denen Daten von Geräten ausgelesen werden dürfen, sollen erweitert werden. Zu den Verarbeitungen auf der „weißen Liste“ würden nun auch „aggregierte Statistiken“ und „Sicherheitszwecke“ landen. Das sei zwar grundsätzlich verständlich, könne Unternehmen jedoch zu vermeintlichen Sicherheitszwecken die komplette Durchleuchtung von Privatgeräten erlauben.

Kritik am verstolperten Vorstoß

Alles in allem helfe der Entwurf nicht wie versprochen „kleinen Unternehmen“, sondern komme „wieder einmal hauptsächlich ‚Big Tech‘ zugute“, so das Fazit von Max Schrems und noyb. Der Entwurf sei außerdem „auch sehr schlecht formuliert“, so Schrems. Auch andere Jurist:innen hatten in den vergangenen Tagen die juristische Qualität bemängelt.

Erklärt werden kann dies wohl unter anderem durch massiven Zeitdruck. „Brüsseler Insider berichteten, dass bestimmte Referate nur fünf (!) Arbeitstage Zeit hatten, um einen über 180-seitigen Gesetzesentwurf zu kommentieren“, so Schrems. Ein Teil der EU-Kommission scheint alle anderen in Brüssel überrennen zu wollen.

„Sie scheinen alle Regeln der Gesetzgebung zu missachten, mit potenziell schrecklichen Folgen. Es ist besorgniserregend, wie sich Trumpsche Gesetzgebungspraktiken in Brüssel durchzusetzen scheinen.“

Danke, Deutschland?

Motiviert werde die Kommission offenbar durch einen Tunnelblick auf den KI-Hype und der Sorge, Europa könne abgehängt werden, mutmaßt Schrems. „Bei diesem Vorschlag wird übersehen, dass die meisten Datenverarbeitungen nicht auf KI basieren.“ Eine Änderung, die KI „befreien“ würde, hätte jedoch massive unbeabsichtigte Folgen für viele andere Bereiche der DSGVO. Schrems weiter: „Auch der Schutz von Gesundheitsdaten, Minderheiten oder Arbeitnehmer:innen wäre durch diesen Entwurf vorbei. Große Teile der Online-Werbebranche könnten aufgrund der vorgeschlagenen Änderungen ihre Pflichten nach der DSGVO umgehen.“

Verantwortlich macht der Jurist dafür auch die deutsche Bundesregierung. Diese hatte in einem Arbeitspapier, das wir kürzlich veröffentlicht haben, weitreichende Einschnitte bei der DSGVO angeregt. Die EU-Kommission sei auf diesen Zug aufgesprungen, obwohl zuvor eigentlich sowohl Interessengruppen als auch die Mitgliedstaaten ausdrücklich darum gebeten hätten, die DSGVO nicht wieder zu öffnen.

Dazu Schrems: „Deutschland hat traditionell eine extreme Anti-DSGVO-Position in Europa eingenommen. Es scheint einfacher zu sein, ein EU-Gesetz für die deutschen Probleme mit der Digitalisierung verantwortlich zu machen, als die Dinge auf nationaler Ebene zu regeln.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In immer mehr Kantonen in der Schweiz wird ein neues Grundrecht auf digitale Integrität verankert. In Zürich wird darüber am 30. November abgestimmt. Bislang verfängt das Konzept, welches das Persönlichkeitsrecht um das Digitale erweitern will, allerdings nur in der Schweiz.

Die Befürworter:innen des Grundrechtes haben sich ein Logo mit einem digitalen Herz gegeben. – digitale-integritaet.ch

Das Konzept der digitalen Integrität setzt sich in der Schweiz immer mehr durch. Zu diesem Schluss kommt ein Artikel von Adrienne Fichter in der Republik. Doch um was geht es dabei eigentlich?

Das in der Westschweiz zuerst auftauchende neue Grundrecht breitet sich zunehmend auf kantonaler Ebene in der Schweiz aus und findet dort Eingang in Verfassungen. Laut Republik haben Genf und Neuenburg das Recht auf digitale Integrität bereits in ihre Kantons­verfassungen aufgenommen, im Kanton Jura habe das Parlament Ja dazu gesagt. In der Waadt, in Basel sowie Luzern hätten Kantons­rätinnen Vorstöße eingereicht.

Am 30. November wird in Zürich über eine Volksinitiative zum Thema abgestimmt. Weltweit sei das neue Grundrecht aber noch einzigartig und nur in der Schweiz anzutreffen, so der Bericht weiter. Getragen würde es von unterschiedlichen politischen Strömungen und Parteien, ein heterogenes Netzwerk stehe hinter dem Grundrecht. Die Piratenpartei der Schweiz und ihr ehemaliger Präsident Alexis Roussel arbeiten jedoch seit Langem am neuen Grundrecht, die Partei hat eine eigene Infoseite zum Thema.

Das Grundrecht auf digitale Integrität setzt sich, wie hier in der Volksinitiative in Zürich beschrieben, aus folgenden Rechten zusammen:

• Ein Recht auf Vergessenwerden
• Ein Recht auf ein Offline-Leben
• Ein Recht auf Informationssicherheit
• Ein Recht darauf, nicht von einer Maschine beurteilt zu werden
• Ein Recht darauf, nicht überwacht, vermessen und analysiert zu werden
• Ein Recht auf Schutz vor Verwendung von Daten ohne Zustimmung, welche das digitale Leben betreffen

Das Grundrecht bildet demnach einen Gegenpol zu einer Welt, in der Daten das neue Öl seien und Datenschutz immer weiter durch entgrenzte Datennutzung unter Druck gerät. Dabei ist das neue Grundrecht auf digitale Unversehrtheit eine Erweiterung und Teil des Grundrechts auf körperliche Unversehrtheit, die durch die immer bedeutendere Rolle des Digitalen als Teil des Persönlichkeitsrechtes nötig werde. Gegner:innen des Konzepts argumentieren, dass die körperliche Unversehrtheit die digitale Integrität schon abdecke.

Ein wichtiger Teil der digitalen Unversehrtheit ist die informationelle Selbstbestimmung, die in Deutschland bereits als eigenes Grundrecht formuliert wurde. Ebenso gibt es in Deutschland das so genannte IT-Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das auch zur Digitalen Integrität gezählt werden kann. Ein längeres Video, welches das neue Grundrecht erklärt, hat die Digitale Gesellschaft Schweiz veröffentlicht.

„Maßstäbe für Behörden setzen“

Bislang wurde das neue Grundrecht in der Schweiz auf regionaler und kantonaler Ebene eingeführt. Gegner:innen des neuen Grundrechtes argumentieren beispielsweise in Zürich, dass solche Dinge auf Bundesebene geregelt werden müssten und dass die Bürger:innen sonst falsche Erwartungen an das Recht hätten. Monica Amgwerd, die sich für die Volksinitiative einsetzt, widerspricht gegenüber Republik diesem Argument. Sie sieht den Staat als Vorbild. „Das Recht auf digitale Integrität soll Maßstäbe für Behörden setzen und indirekt auch auf den privaten Sektor ausstrahlen“, so Amgwerd gegenüber dem Medium. Dennoch gehöre das Thema auch auf die bundesweite Ebene.

Noch steht die Schweiz mit dem neuen Grundrecht recht alleine da. In Deutschland hatte die Piratenpartei im Jahr 2021 das Grundrecht in ihrem Wahlprogramm eingefordert, im französischen Straßburg hat es die digitale Integrität in einen Beschluss des Stadtrates geschafft.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine Änderung des Polizeigesetzes von Baden-Württemberg soll der Landespolizei erlauben, Software mit personenbezogenen Daten zu trainieren und zu testen. Sie könnte damit auch Klarnamen oder Gesichtsfotos unschuldiger und unverdächtiger Personen in Systeme wie von Palantir einspeisen.

Polizist*innen stehen in Baden-Württembergs Hauptstadt Stuttgart, während dort der Petitionsausschuss zum umstrittenen Gesetzentwurf tagt.

Am Mittwoch will die grün-schwarze Landesregierung in Baden-Württemberg einen heftig umstrittenen Gesetzentwurf verabschieden. Er erlaubt dem Bundesland den Einsatz der Palantir-Software zur Datenanalyse, die das Land für mehr als 25 Millionen Euro bereits eingekauft hat.

Im Windschatten dieses Ansinnens bringt der Gesetzentwurf eine weitere bedeutende Verschlechterung des Datenschutzes im Land mit sich: Laut Paragraf 57a soll die Polizei von Baden-Württemberg künftig personenbezogene Daten zur Entwicklung, zum Training, zum Testen, zur Validierung und zur Beobachtung von informationstechnischen Systemen einsetzen dürfen. Dabei ist unerheblich, ob sich die betroffenen Menschen zuvor verdächtig gemacht haben. Die entsprechende Datenverarbeitung ist nicht an ein Ermittlungsverfahren gebunden, sondern allein zur Verbesserung und Implementierung von Überwachungssoftware gedacht.

Bürger*innen werden demnach künftig Daten liefern, mit denen beispielsweise das privatwirtschaftliche Unternehmen Palantir, gegründet vom rechten Anti-Demokraten Peter Thiel, seine Produkte verbessern kann. Wenn also in Kürze die ersten Tests der Palantir-Software in Baden-Württemberg beginnen, könnten diese direkt mit realen personenbezogenen Daten vorgenommen werden, die millionenfach in Polizeidatenbanken lagern.

Auch der Test und das Training von beispielsweise automatisierter Verhaltens- oder Gesichtserkennung ist damit möglich. Ausgenommen sind nur Daten, die im Rahmen einer Wohnraumüberwachung erhoben wurden.

Daten dürfen auch an Dritte weitergegeben werden

Sobald „unveränderte Daten benötigt werden oder eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist“, dürfen beispielsweise auch Klarnamen und andere eindeutig identifizierende Informationen wie Gesichtsfotos dabei genutzt werden. Die Daten dürfen auch an Dritte weitergegeben werden.

Tobias Keber, der Landesdatenschutzbeauftragte, fordert in einer Stellungnahme, zumindest in jedem Fall zu prüfen, ob eine Anonymisierung oder Pseudonymisierung tatsächlich unverhältnismäßig ist. Nach dem Entwurf, der Mittwoch zur Abstimmung gestellt wird, ist dies nicht zwingend vorausgesetzt, sobald „unveränderte Daten benötigt werden“. Außerdem solle, so Keber, seine Behörde jeweils frühzeitig eingebunden werden.

Es ist gut möglich, dass diese Rechtsgrundlage zum Testen und Trainieren mit personenbezogenen Daten eine Reaktion auf den bayerischen Umgang mit Palantir-Software ist. Dort hatten die Behörden die Datenanalyse mit Echtdaten tatsächlicher Menschen ohne Rechtsgrundlage getestet, woraufhin der bayerische Landesdatenschutzbeauftragte forderte, den Test zu beenden. Laut der Wissenschaftlichen Dienste des Bundestages muss ein derartiger Testbetrieb den gleichen – hohen – Anforderungen genügen wie der tatsächliche Einsatz.

Wer zusehen möchte, wie die grün-schwarze Landesregierung diesen massiven Grundrechtseingriff durchs Parlament bringt, kann dies Mittwoch ab 13.30 Uhr auf der Website des Landtags tun.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Menschen sind irgendwie auch Herdentiere, die kopflos in eine Richtung mitlaufen. Im KI-Enthusiasmus müssen wir aber nicht blind aufgescheuchten Innovationsherdentieren folgen. Dafür brauchen wir vielleicht nur ein besseres Wappentier, das mehr Bewusstsein hat als jede sogenannte künstliche Intelligenz.

Ein einfacher Esel mit Bewusstsein. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Ansgar Scheffold

Die heutige Degitalisierung wird sehr tierisch. Denn manchmal lässt sich menschliches Verhalten besser beschreiben, wenn wir es mit tierischen Verhaltensweisen vergleichen. Denn irgendwie sind Menschen ja auch Herdentiere, mit oftmals frappierend ähnlichen Verhaltensweisen.

Bei Herdentieren wie Rindern, Schafen oder Pferden kann es – oftmals unerklärlich – eine unvermittelte Fluchtbewegung geben, die die ganze Herde umfasst. Eine Stampede. Ein paar wenige Mitglieder einer Herde versetzen so mittels einer positiven Rückkopplung die ganze Herde in Bewegung, die dann ziellos in irgendeine Richtung läuft. Die Positivität der Rückkopplung ist dabei weniger als Wertung des Effekts zu verstehen, sondern als eine Beschreibung, ob die Rückkopplung einen Effekt verstärkt. Was genau der Auslöser dieser Rückkopplung ist, ist am Ende gar nicht mehr so klar, am Ende bleibt aber oftmals Chaos und Verwüstung.

Positive Rückkopplung ist aber auch oftmals eine der Triebfedern von digitalen Anwendungen und Geschäftsmodellen. Der Informatiker Luis von Ahn etwa baute 2007 ein System zur Erkennung von Bots namens ReCAPTCHA, bei dem Menschen sich nicht durch bestimmte Handlungen von maschinellen Bots abgrenzen, sondern gleichzeitig auch Teile von Büchern digitalisieren. Wort für Wort, Boterkennung für Boterkennung.

2011 arbeitete von Ahn dann an Duolingo, einer Anwendung zum Erlernen von Sprachen. Duolingo ist dabei vor allem aufgebaut auf dem Prinzip der positiven Rückkopplung mittels Gamification. Das Lernen von Sprachen wird dabei nicht zum bloßen Pauken von Vokabeln und Erlernen von Grammatikregeln. Sondern es wird zum Spiel, bei dem es gilt, möglichst lange dabei zu bleiben, immer höhere Level zu erreichen und seinen Streak, eine möglichst lange Nutzungskontinuität, am Leben zu halten.

Flow und Stop

Psychologisch gesehen hat Duolingo das Prinzip des sogenannten Flow bestmöglich ausgenutzt. Flow wurde durch Mihály Csíkszentmihályi beschrieben als ein optimaler mentaler Zustand zwischen Unter- und Überforderung, der zur völligen Vertiefung und zum völligen Aufgehen in einer Tätigkeit führen kann, die ansonsten eigentlich eher nicht plausibel scheinen würde. War das Lernen von Sprachen früher vielleicht nerviges Pauken, das Jugendliche widerwillig machen mussten, führt der durch Gamification erzeugte Flow dazu, dass es plötzlich Spaß macht, Sprachen zu lernen.

Wahrscheinlich hätte dieses Prinzip der positiven Rückkopplung für Duolingo noch für Generationen weiter funktioniert und hätte das dahinterstehende Unternehmen lange finanziell erfolgreich gehalten, wäre da nicht ein Bruch im Flow entstanden. Wegen sogenannter künstlicher Intelligenz.

Am 28. April postete von Ahn als CEO von Duolingo die Inhalte einer E-Mail, die er gerade an alle Mitarbeitenden von Duolingo versendet hatte. Duolingo müsse nun eine „AI-first“-Organisation werden. Angekündigt wurden dann Maßnahmen wie Mitarbeiterbewertungen mittels KI, Auslagern von Arbeit an KI, die bisher von Unterauftragnehmern erledigt wurde, und so weiter. Die Reaktion auf diese Pläne folgte sofort: Langjährige Nutzer*innen beendeten ihre mühsam aufrechterhaltenen Streaks öffentlichkeitswirksam in den sozialen Netzwerken, in denen Duolingo eigentlich gut positioniert war. Die kostenpflichtigen Abos gingen zurück und am Ende konnte sich von Ahn gar nicht so genau erklären, wieso dieser Backlash jetzt genau entstand. Der Flow, der zu positiver Rückkopplung führt, kann auch genauso schnell wieder abrupt stoppen und die ganze Herde zum Stillstand bringen.

Aber vielleicht war „AI-first“ zumindest ja finanziell erfolgreich? Ja und Nein.

Herden marodierender Investments

Aktienmärkte und Investoren sind eine weitere seltsame Herde von Menschen, die oftmals eher impulsiv reagieren. Aktien steigen oft durch positive Rückkopplungseffekte noch weiter. Ist die generelle wirtschaftliche Lage gut, wird auf die vermeintlich richtigen Trends in der Zukunft gesetzt oder gibt es politisch gute Signale, wird der eigene wirtschaftliche Erfolg noch einmal weiter gesteigert. Ist die generelle wirtschaftliche Lage schlecht und erweisen sich die vermeintlich bislang als richtig angenommenen Trends als nicht so profitabel, geht es schnell nach unten.

In den vergangenen Jahren war KI der Indikator für eine gute wirtschaftliche Zukunftsaussicht. Trotz des Kanons von Problemen, in den ich jetzt routinemäßig einstimmen möchte: große Probleme wie Bias, digitaler Kolonialismus, immenser Ressourcen- und Energieverbrauch, hohe Machtkonzentration, ungehemmter Datenkonsum, Wegbereitung des Faschismus, Plagiarismus und Desinformation.

Da der Aktienmarkt aber selten eine besonders hohe Moral oder Bedenken diesbezüglich hat, ist das oftmals einerlei. Herden marodierender Investor-Konsortien oder eine ganze Kaste von Manager*innen, die sich von ihrem eigentlichen Produktsinn und dem damit entstehenden Wert immer weiter entfremden, sehen ihren Erfolg ja oftmals in kurz- bis mittelfristigen Quartalszahlen, nicht in der Schaffung von langfristigen Werten. Der Markt sah es in den letzten Jahren als unabdingbar an, KI in quasi jegliches Produkt zu integrieren, unabhängig davon, ob das irgendwie sinnvoll ist.

Kurzfristige Gefühlswallungen von vermeintlich erwachsenen Menschen, die mit sehr viel Geld die Ausrichtung des Wirtschaftssystems beeinflussen können, führen zu „AI-first“-Entscheidungen, die vor allem Menschen schaden. Einerseits durch Jobabbau, andererseits durch instabile, schädliche digitale Produkte. Chatbots, deren auch wirtschaftlich motivierte, besonders menschliche Anmutung Menschen in Psychosen oder den Suizid treiben. Immer weiter fortschreitende KI‑sierung der Bildung, die letztlich zu weniger kritischem Denken und Hirnaktivität führt.

Weil das aber oftmals wirtschaftlich noch nicht reicht, sich auch über solche moralischen Probleme hinwegzusetzen, braucht KI im Unternehmensumfeld heutzutage teils sehr spezielle Incentivierung. Wenn die Herde nicht von alleine läuft, muss sie getrieben werden. Ethan Marcotte listet in seinem Beitrag über KI als gescheiterte Technologie einige dieser Beispiele auf. Tech-Unternehmen wie Zapier, Shopify oder Microsoft, die KI auf Unternehmensebene mit teils absurden Maßnahmen durchdrücken (müssen).

Plop?

Gegen Ende dieser Kolumne ist es damit Zeit, die von KI-Enthusiasmus angesteckte Herde wieder einzuhegen.

Nun gibt es speziell in Europa immer noch Politiker*innen und Unternehmen, die der Herde von marodierenden Investments hinterherlaufen. Weil sie immer noch das Gefühl haben, den Anschluss zu verpassen. Da ist die Bundesregierung, die in der vergangenen Woche die Hightech-Agenda hyped, ein Digitalminister, der noch von Superintelligenz fabuliert bei der Eröffnung des ersten größeren KI-Rechenzentrums in München.

Dabei sind die Zeichen für ein Platzen der KI-Blase gerade durchaus häufiger zu finden. In Wirtschaftsnachrichten wird schon mal durchgedacht und gerechnet [€], was passiert, wenn. Ehemals angesehene Digitalexperten bringen schon mal die Schäfchen ins Trockene [€]. Parallelen zum Dotcom-Hype werden skizziert. Weil die erhofften immensen Renditen nicht so wirklich zu machen sind.

Entlassungen von Mitarbeitenden in AI-first-Unternehmen werden still und leise teilweise wieder zurückgenommen, oftmals aber dann mit neuen Mitarbeitenden zu schlechteren Löhnen anderswo. KI in der heutigen Form ist nichts anderes als eine andere Form der Unterdrückung der Mitarbeitenden, ein Mittel, um niedrigere Löhne durchzusetzen.

Sei ein Esel

Im Umgang mit Technologie, Digitalisierung und vermeintlicher Innovation brauchen wir dabei nicht hinter den anderen aufgescheuchten Innovationsherdentieren ohne eigenen Plan hinterherzulaufen, sondern vielleicht ein besseres Wappentier: den Esel.

Esel werden oftmals als störrisch und stur wahrgenommen, weil sie nicht sofort auf Anweisungen hören. Dabei sind Esel Tiere mit hoher Intelligenz und hohem Bewusstsein. Auch wenn Esel und Pferde beides Fluchttiere sind, reagieren sie in Gefahrensituationen jeweils anders. Im Moment der Gefahr bleibt der Esel erst mal stehen und analysiert die Situation, er läuft nicht einfach wild weg oder hinterher.

Ein einfacher Esel hat damit mehr Bewusstsein als jede noch so komplexe und teure KI, die in der heutigen Form ohnehin nie Bewusstsein erreichen wird. Ein einfacher Esel hat damit mehr Bewusstsein als die geradezu schreckhaft reagierende Geschäfts- und Aktienhandelswelt, die wild der Gefahr von verpassten zweifelhaften Chancen hinterherläuft. Zu gegebener Zeit ist es besser, eher wie ein Esel zu sein und dementsprechend zu handeln.

Was uns Menschen aber vom Esel hoffentlich noch weiter positiv abhebt: dass wir uns als Menschen gemeinsam für etwas Sinnvolles einsetzen können. Zum Schluss möchte ich auf Mike Monteiros Talk How to draw an orange verweisen. In einer zutiefst menschlichen und herzlichen Perspektive erinnert er uns daran, dass KI und technische Veränderungen zum Nachteil der Menschen keine unausweichliche Kraft sind, keine Stampede, bei der wir mitfliehen müssen. Es ist keine Kraft, vor der wir nicht ausweichen können. Wir können uns als Gruppe gegen Strukturen und Technologien gegen Menschen stellen, weil wir das schon mal in der Geschichte der Menschheit getan haben. Auch wenn es manchmal erst einmal schlimmer werden muss, damit Menschen sich aufraffen und sich der Unsinnigkeit des eigenen Handelns bewusst werden.

Manchmal ist es besser, ein Esel zu sein.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Baden-Württemberg hat bereits Millionen ausgegeben, um Software des US-Konzerns Palantir in die Polizeiarbeit zu integrieren. Im Petitionsausschuss wurde nun das Anliegen angehört, nicht mit Palantir zusammenzuarbeiten. Die Grünen sind dabei zerrissen: Die Bundespartei positioniert sich gegen Palantir, doch die Regierungspartei in Stuttgart trägt den Deal mit.

Der Petent Sebastian Müller (rechts) vor dem Landtag in Stuttgart.

Das Land Baden-Württemberg hat mehr als 25 Millionen Euro ausgegeben, um eine Lizenz für Software des US-Konzerns Palantir zu kaufen, die in der Polizeiarbeit zum Einsatz kommen soll. Doch die Polizei hat rechtlich noch gar keine Befugnis, sie auch zu nutzen. Denn ein neues Polizeigesetz ist gerade erst auf dem Weg durch den Landtag in Stuttgart, um eine solche Befugnis zu schaffen.

Doch es regt sich erheblicher Widerstand, auch in Form einer öffentlichen Landtagspetition. Die Petition fordert unter anderem, den Palantir-Vertrag offenzulegen und ihn „rückabzuwickeln“.

In Baden-Württemberg sind solche Online-Petitionen eine ganz neue Beteiligungsform, die es erst seit dem Sommer gibt. 13.473 Menschen haben ihren Namen unter die Petition gegen den Einsatz der Palantir-Software gesetzt. Das Quorum von 10.000 Stimmen war damit erreicht, so dass gestern die erste öffentliche Online-Anhörung des Petitionsausschusses folgte.

Grüne auf den Barrikaden

Der Petent Sebastian Müller, der die Sache ins Rollen brachte, setzte sich in seiner Rede vor dem Ausschuss dafür ein, dass die Polizei in Baden-Württemberg nicht mit der Palantir-Software ausgestattet wird. Sich von diesem abgründigen US-Konzern abhängig zu machen, sei eine falsche Weichenstellung. Die Vereinigten Staaten seien insgesamt kein verlässlicher Partner mehr.

In der Rede vor dem Petitionsausschuss regt er an, von Experten rechtlich prüfen zu lassen, „welche Optionen es zum Kündigen der Verträge [mit Palantir] gibt“. Das Gesetzesvorhaben, das die polizeiliche automatisierte Datenanalyse erlauben würde, sieht Müller ebenfalls kritisch.

Das Problem heißt nicht nur Palantir

Der Petent ist langjähriger Umweltaktivist und aktives Grünen-Mitglied. Er trägt sein Anliegen auch innerhalb der grünen Landespartei vor und unterstützt eine Urabstimmung dazu. Nun werden Unterschriften gesammelt, um den Palantir-Einsatz zu verhindern. Wenn fünf Prozent der Grünen-Mitglieder zustimmen, wird ein Mitgliederentscheid fällig.

Weil die Grünen in Baden-Württemberg bekanntlich regieren und den Ministerpräsidenten stellen, könnte der Palantir-Protest im anstehenden Wahlkampf eine Rolle spielen. Denn im März 2026 will Cem Özdemir gern das Amt von Winfried Kretschmann übernehmen.

Zwar ist der zuständige Innenminister Thomas Strobl von der CDU, aber die für den Palantir-Einsatz notwendige Polizeigesetzänderung ist eine gemeinsame Sache der grün-schwarzen Koalition, die Kretschmann in seiner dritten Amtszeit als Ministerpräsident anführt. Auf der anstehenden Landesdelegiertenkonferenz ab 12. Dezember 2025, auf der das Landtagswahlprogramm festgezurrt werden soll, könnte Palantir zum Thema werden.

Beamte in Strobls Ministerium hatten im Sommer den Vertrag mit Palantir geschlossen, ohne den grünen Koalitionspartner vorab zu konsultieren. Die Grünen reagierten irritiert. Und es erzürnte auch die grüne Basis, die jetzt gern noch ein Wörtchen mitreden würde. Mehrere grüne Kreisverbände haben sich bereits gegen den Einsatz von Palantir positioniert. Dazu gehören Ulm, Tübingen, Mannheim und Karlsruhe.

Die grüne Landtagsfraktion hingegen trägt nach einem Kompromiss mit der CDU den Palantir-Einsatz mit, wenn auch mit Unmut. Der Süddeutschen Zeitung sagte Landtagsfraktionschef Andreas Schwarz, man habe Bedenken und Sorgen aufgegriffen. Doch das Innenministerium habe den Palantir-Vertrag geschlossen, das könne man nicht mehr ändern.

Die Anhörung im Petitionsausschuss könnte nun mehr Grüne auf die Barrikaden bringen. Petent Müller sagte der Schwäbischen Zeitung, er wolle, „dass die Entscheidung noch gedreht wird“. Gegenüber netzpolitik.org zeigte sich Müller nach der Anhörung überrascht davon, dass viele Abgeordnete konkrete Regelungen im Polizeigesetz „gar nicht zu kennen schienen“.

Wie autoritäre Tech-Netzwerke die europäische Souveränität gefährden

Ein grüner Spagat

Rückenwind könnte nun von den Grünen im Bund kommen. Denn die veröffentlichten heute einen Sechs-Punkte-Plan mit dem Titel: Das Internet befreien! Freiheit im Internet garantieren! Darin wenden sie sich ausdrücklich auch gegen Palantir: „Wir lehnen jede Form digitaler Massenüberwachung ab, von der Chatkontrolle über die anlasslose Vorratsdatenspeicherung und öffentliche Gesichtserkennung bis hin zum Einsatz von Palantir-Software.“ Solche Vorhaben „schwächen unsere Freiheit und unsere Souveränität“, heißt es in dem Papier.

Digitale Unabhängigkeit Wir berichten seit Jahren unter dem Stichwort Digitale Souveränität über Abhängigkeiten von Technologien, vor allem aus dem Nicht-EU-Ausland. Unterstütze unsere Arbeit! Jetzt spenden

Iniitiert wurde der Beitrag von der Bundesvorsitzenden Franziska Brantner und grünen Innenexperten wie dem stellvertretenden Fraktionsvorsitzenden Konstantin von Notz. Auch die Europaabgeordneten Alexandra Geese und Sergey Lagodinsky unterstützen ihn. Wie auch der Petent fordern die Spitzengrünen mehr „Unterstützung für freie und offene Software als Alternative zu den proprietären Anbietern“, zu denen auch Palantir mit seiner geschlossenen Software gehört. Die hohen Kosten für die Lizenzen könne man sich sparen.

Die Grünen auf Bundesebene positionieren sich damit klar gegen die automatisierte Rasterfahndung in den Polizeidatenbanken mit Palantir. Doch im Bund ist die Partei in der Opposition. Wie der Spagat funktionieren soll, dass die Regierungspartei in Baden-Württemberg zur selben Zeit die gesetzliche Grundlage für die automatisierte Datenanalyse schafft und Palantir auch ganz praktisch einzusetzen plant, müssen die Grünen erklären.

Landesdatenschutzbeauftragter bleibt kritisch

Der in den Ausschuss eingeladene Landesdatenschutzbeauftragte, Tobias Keber, ist schon Monate in die Beratungen zu Palantir und zum Polizeigesetz einbezogen. Er kritisierte, dass ihm die flankierende Verwaltungsvorschrift noch immer nicht vorgelegt worden sei. Diese sei jedoch „entscheidend“, um etwa Zugriffsrechte und weitere Details der praktischen Umsetzung bewerten zu können.

Der Landesdatenschutzbeauftragte Tobias Keber (Mitte) in der Petitionsausschuss-Anhörung.

Generell sieht Keber die neue Vorschrift zum Data Mining im Polizeigesetz nicht vollständig im Einklang mit den Vorgaben des Bundesverfassungsgerichts, das sich 2023 im Palantir-Urteil mit den Polizeigesetzen Hessens und Hamburgs auseinandergesetzt hatte. Die Paragraphen zur automatisierten Datenanalyse des hessischen Sicherheits- und Ordnungsgesetzes und des hamburgischen Gesetzes über die Datenverarbeitung der Polizei waren nicht verfassungsgemäß und teilweise nichtig.

Das Gericht stellte die enorm hohe Streubreite und Intensität der Grundrechtseingriffe fest. Im Urteil wurden detailreiche Anforderungen formuliert, wie eine automatisierte Datenanalyse überhaupt rechtmäßig sein kann.

Keber hatte seine Kritikpunkte am neuen Polizeigesetz bereits in einer schriftlichen Stellungnahme ausgeführt und im Innenausschuss dargelegt. Er fasste sie im Petitionsausschuss nochmal zusammen. Er forderte Änderungen und vor allem Präzisierungen. Denn die Regelungen seien in mehrfacher Hinsicht zu unbestimmt: Der Polizei selbst und nicht dem Gesetzgeber sei es teilweise überlassen, darüber zu bestimmen, welche Daten in die Analyse einflössen.

Die Eingriffe in die informationelle Selbstbestimmung durch die Datenanalyse seien tief. Beschuldigte und Verdächtige dürften nicht ohne rechtliche Schutzmaßnahmen mit unbeteiligten Dritten, Opfern oder Zeugen in einen Topf geworfen werden. Mehrere Regelungen seien mit den verfassungsrechtlichen Anforderungen nicht vereinbar.

Landespolizeipräsidentin sieht in Palantir den „technologischen Marktführer“ Stefanie Hinz (Mitte), Landespolizeipräsidentin von Baden-Württemberg, im Petitionsausschuss.

Die Landespolizeipräsidentin von Baden-Württemberg, Stefanie Hinz, verteidigte im Ausschuss die Entscheidung für den US-Konzern. Sie nannte Palantir den „technologischen Marktführer“ bei der Datenanalyse im Sicherheitsbereich. Es gebe „nach unserem Wissen keine vergleichbaren Produkte, die zeitnah funktionsbereit wären und alle fachlichen Anforderungen erfüllen“. Dem widersprechen Palantir-Konkurrenten vehement.

Man wolle die Software dennoch nur für fünf Jahre nutzen und strebe dann eine deutsche oder europäische Lösung an, so Hinz. Das betonte auch Innenminister Strobl bereits mehrfach.

Die Polizei in Baden-Württemberg nutzt nach Angaben der Polizeivertreter im Ausschuss hessische Infrastruktur, um Palantir anzuwenden. Die hessischen Landesrechenzentren der Polizei seien Partner. Der Rahmenvertrag, den das Bundesland Bayern mit einer deutschen Tochter von Palantir schloss, ermöglichte Baden-Württemberg, auf eine eigene Ausschreibung zu verzichten und den Vertragsschluss damit erheblich zu beschleunigen.

Petitionsausschuss entscheidet geheim

Die ursprünglich vorgesehene Stunde zur öffentlichen Besprechung des Anliegens des Petenten wurde durch die zahlreichen Fragen der Abgeordneten deutlich überschritten. Was aber der Petitionsausschuss entscheiden wird, bleibt der Öffentlichkeit vorenthalten. Denn das wird in nicht-öffentlicher Sitzung beraten.

Der Ausschuss könnte zwar Vorschläge machen, etwa zur Rückabwicklung des Palantir-Vertrages im Sinne des Petenten, die das Parlament dann berücksichtigen kann. Landespolizeipräsidentin Hinz gab aber bereits einen Hinweis, wie es ausgehen könnte. Zwar als Vertreterin der Exekutive geladen, nahm sie sich dennoch die Freiheit, das Anliegen der Petition insgesamt zu beurteilen. Die Juristin beendete schon ihr Eingangsstatement mit der Bemerkung, dass „der Petition nicht abgeholfen werden“ könne.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In weniger als zwei Wochen will die EU-Kommission einen umfassenden Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende Datenschutz- und Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

Will die Latte etwas niedriger legen: EU-Kommissionspräsidentin Ursula von der Leyen. – Alle Rechte vorbehalten IMAGO / ZUMA Press Wire IMAGO / ZUMA Press Wire

Es geht um nicht weniger als eine Generalüberholung der europäischen Digitalregulierung: Am 19. November will die EU-Kommission einen umfassenden Gesetzesvorschlag vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll laut Kommission Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen.

Vier Regulierungsbereiche stehen im Fokus des umfangreichen Reformvorhabens: der Datenschutz, Regeln für die Datennutzung, der Umgang mit Cybersicherheitsvorfällen und die KI-Verordnung. Daher auch der Begriff Omnibus („für alle“) – er wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zugleich geändert werden. Die Kommission hat ihre zahlreichen Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt.

Wir veröffentlichen einen Zwischenstand des Gesetzespakets.

• Omnibus-Gesetz zu Data Act und DSGVO (PDF)
• Omnibus-Gesetz zu KI (PDF)

Aus vier mach eins: der überarbeitete Data Act

Mit dem ersten „Digital-Omnibus“ plant die EU-Kommission eine umfassende Konsolidierung verschiedener Datengesetze.

Im Zentrum steht hier der vor rund zwei Jahren verabschiedete Data Act, der nach einer Übergangsfrist erst seit September EU-weit anwendbar ist und nun überarbeitet werden soll. Im neuen Data Act sollen gleich drei weitere Gesetze aufgehen: die Open-Data-Richtlinie, die Verordnung über den freien Fluss nicht-personenbezogener Daten und der Data Governance Act.

Die Kommission präsentiert das erste Omnibus-Gesetz als „eine ehrgeizige Liste technischer Änderungen an einem umfangreichen Korpus digitaler Rechtsvorschriften, die den breitesten Bereich digitaler Unternehmen abdecken.“ Ziel sei es, „Unternehmen, öffentlichen Verwaltungen und Bürgern gleichermaßen sofortige Erleichterungen zu verschaffen“.

Kommission will die Datenschutzgrundverordnung aufbohren

Dabei will die Kommission auch die Datenschutzgrundverordnung (DSGVO) aufbohren. Im Fokus stehen hier unter anderem Cookies und pseudonymisierte Daten.

Um der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden zu begegnen, will die Kommission „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.

Konkret bedeutet das: Etwa Browser oder Betriebssysteme sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.

Darüber hinaus will die Kommission Artikel 9 der DSGVO zu besonderen Kategorien von Daten aufbohren. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, die oben genannte Informationen explizit offenbaren. Das bedeutet: Gibt etwa eine Person in einem Auswahlfeld an, welche sexuelle Orientierung sie hat, wäre das weiterhin besonders geschützt. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen.

Zugleich betont die Kommission, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“. Auch die Verwendung personenbezogener Daten für das Training von KI-Modellen auf Grundlage des berechtigten Interesses soll nach den Plänen der EU-Kommission künftig grundsätzlich erlaubt sein.

KI-Verordnung soll aufgeweicht werden

Weitergehende Regelungen zum Umgang mit Künstlicher Intelligenz finden sich im zweiten Gesetzespaket zur KI-Verordnung.

Die hier geplanten Änderungen begründet die Kommission damit, dass es bei der KI-Verordnung noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Kommission schlägt daher „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“.

Konkret sieht der zweite Omnibus unter anderem vor, die KI-Aufsicht teilweise bei dem sogenannten AI Office zu bündeln, das direkt bei der Kommission angesiedelt ist. Davon wären vor allem sehr große Online-Plattformen (VLOPS) und Anbieter großer Suchmaschinen betroffen.

VLOPs sind laut dem Digital Services Act (DSA) solche Angebote, die monatlich mehr als 45 Millionen Nutzer:innen in der EU erreichen. Dazu zählen große soziale Netzwerke und Marktplätze wie Facebook, Instagram oder Amazon.

Außerdem will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Dateschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Zudem will sie Sonderregeln für kleine und mittlere Unternehmen schaffen, um sie von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring auszunehmen.

Unklar ist derzeit offenbar noch, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird. Eine solche Verschiebung wäre im Sinne der Bundesregierung. Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür. Als Grund führt der Minister an, dass die technischen Standards noch nicht vorlägen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Jean-Baptiste Kempf, Mitentwickler des VLC Media Players, erhält eine Auszeichnung für seinen besonderen Beitrag zur Einführung Freier Software in Europa. Die Veranstalter einer Konferenz zu Open Source sehen ihn als „Ritter der Freien Software“.

Der diesjährige European SFS Award ging an Jean-Baptiste Kempf. – CC-BY 4.0 NOI Tech Park – Marco Parisi

Jean-Baptiste Kempf erhält den Europäischen South Tyrol Free Software Award (European SFS Award) 2025. Der Preis für besondere Beiträge zur „Kultur der Freien Software“ wird seit 2023 jährlich auf der South Tyrol Free Software Conference (SFSCon) im NOI Techpark in Bozen, Südtirol, vergeben.

Kempf wird ausgezeichnet für seine Mitentwicklung des VLC Media Players und die Gründung des zugehörigen Vereins und Unternehmens VideoLAN und Videolabs. Der VLC Player ist eine quelloffene Anwendung, die viele Multimedia-Formate abspielen kann.

Die Entwicklung begann als Studenten-Projekt an der École Centrale Paris. Jean-Baptiste Kempf erhielt die Software nach dem Abschluss der Hauptgründer am Leben überführte die Entwicklung später in die beiden oben genannten Organisationen. „Für viele Menschen, die herstellergebundene Betriebssysteme verwendeten, war es die allererste Freie Software, die sie jemals installiert haben“, sagt einer der Laudatoren über das Programm.

Verteidiger der Freien Software

Der Europäische SFS Award ist ein Ableger des SFS Awards, der seit 2004 von der Linux User Group Bozen-Bolzano-Bulsan vergeben wird. Der SFS Award hebt besondere Beiträge zur Einführung Freier Software in der Bozen-Region hervor und ging dieses Jahr an Adrian Kuntner. Der Europäische SFS Award erweitert diesen Wirkraum auf ganz Europa und wird von der Linux User Group Bozen-Bolzano-Bulsan in Zusammenarbeit mit der Free Software Foundation Europe (FSFE) seit 2023 vergeben.

Beide Preise werden auf der SFSCon vergeben, einer internationale Open-Source-Konferenz, die dieses Jahr zum 25. Mal Entwickler*innen, Forschende und Interessierte zusammenbringt. Die SFSCon 2025 dreht sich um Gesundheit, digitale Souveränität, IT-Sicherheit und mehr, immer mit Bezug zu Freier Software. Insgesamt 150 Expert*innen versammeln sich zu Vorträgen und Workshops.

Dieses Jahr sprechen dort unter anderem Karen Sandler, Direktorin der Software Freedom Conservancy, Martin Häuer, der Wissenschaftliche Direktor der deutschen Martin-Luther-Universität und Preisträger Jean-Baptiste Kempf selbst. Zu den Workshops zählen ein Hackathon und die Weiterbelebung von ausrangierten Rechnern, die nicht für ein Windows-11-Update geeignet sind, durch die Installation von Linux-Betriebssystemen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Tracking zum Schutz für alle verbieten? Das will die EU nicht. Aber das eigene Personal soll sich schützen. Wir veröffentlichen die interne Rundmail, die nach unseren Veröffentlichungen zur Spionage-Gefahr durch Handy-Standortdaten verschickt wurde.

Ratschlag: Personalisierte Werbung abschalten. – Gebäude: IMAGO/Zoonar; Handy-Symbol und Nebel: Vecteezy; Montage: netzpolitik.org

Dieser Text ist Teil der Recherche-Reihe zu den Databroker Files.

Handy-Standortdaten bedrohen nicht nur die Privatsphäre, sondern auch die Sicherheit der Europäischen Union. Angeblich ausschließlich für Werbezwecke erhoben, fließen sie über Smartphone-Apps in die Hände von Databrokern und von dort an alle, die sich dafür interessieren. Anhand von zwei kostenlosen Vorschau-Datensätzen mit 278 Millionen Handy-Ortungen konnte ein Recherche-Team um netzpolitik.org demonstrieren, wie leicht sich solche Daten für Spionage nutzen lassen.

Gemeinsam mit dem Bayerischen Rundfunk, Le Monde aus Frankreich, L’Echo aus Belgien und BNR aus den Niederlanden fanden wir Bewegungsprofile von teils hochrangigem EU-Personal in den Daten. So konnte das Team etwa die Bewegungen einer Person verfolgen, die in einem Kommissionspräsidentin Ursula von der Leyen (CDU) unterstellten Bereich tätig ist – vom Arbeitsplatz bis zur Privatadresse.

Die EU-Kommission teilte mit: „Wir sind besorgt.“ Abgeordnete des EU-Parlaments forderten mit Nachdruck Konsequenzen, gerade mit Blick auf eine militärische Bedrohung durch Russland. In Reaktion auf unsere Presseanfragen zur Recherche habe die Kommission ihren Mitarbeitenden am 23. Oktober neue Richtlinien für Werbe-Tracking auf Dienst- und Privatgeräten vorgelegt. Außerdem habe sie weitere Einrichtungen der EU informiert.

Eine zentrale Anlaufstelle für Fragen der IT-Sicherheit in der EU ist der Cybersicherheitsdienst CERT-EU. Er soll dazu beitragen, die IT „aller Organe, Einrichtungen und sonstigen Stellen der EU“ sicherer zu machen. Am 4. November, einige Stunden nach Veröffentlichung der Recherchen, erhielten mindestens Angestellte des EU-Parlaments eine Rundmail mit Empfehlungen des CERT-EU auf Englisch und Französisch. Thema: „Bewährte Verfahren für die Sicherheit mobiler Geräte“.

Die Empfehlungen handeln davon, wie sich Werbe-Tracking und Standortzugriffe am Handy einschränken lassen. Ausdrücklich werden auch private Geräte erwähnt. Hier veröffentlichten wir die E-Mail im Volltext.

Alle sollen personalisierte Werbung abschalten

Die Empfehlungen des Cybersicherheitsdiensts enthalten keine Hinweise auf die jüngsten Recherchen von netzpolitik.org und Partnermedien. Sie gehen nicht darauf ein, welche konkreten Gefahren hinter Standort-Tracking stecken – etwa, dass sich mit Handy-Standortdaten metergenaue Bewegungsprofile erstellen lassen. Aus solchen Profilen lassen sich oftmals mühelos Arbeitsplatz und Privatadressen ablesen, ebenso private Ausflüge sowie Besuche in Arztpraxen, Kitas, Restaurants oder gar Bordellen. Entsprechend hoch sind die Gefahren für Spionage sowie die Privatsphäre.

Stattdessen weist die E-Mail unscheinbar darauf hin, die Empfehlungen wurden „zur Unterstützung der IT-Sicherheit“ herausgegeben. Unsere Fragen zum Zusammenhang der E-Mail des CERT-EU mit den Databroker Files ließ die EU-Kommission unbeantwortet. Sie wollte auch nicht offenlegen, welche Rundmail zuvor Angestellte der EU-Kommission erhalten haben.

Sieben Wege, um deinen Standort vor Databrokern zu schützen

Im Wesentlichen decken sich die Empfehlungen des CERT-EU mit denen, die etwa netzpolitik.org im Zuge der Recherchen zu den Databroker Files veröffentlicht hat. Es geht darum, so wenigen Apps wie möglich Zugriff auf Standortdaten zu gewähren, und das nur, wenn es nötig ist. Mit wenigen Klicks sollen EU-Mitarbeitende zudem personalisierte Werbung abschalten, indem sie ihre Werbe-ID tilgen.

Diese sogenannte Mobile Advertising ID (MAID) ist wie ein Nummernschild fürs Handy. Von Databrokern verbreitete Handy-Standortdaten sind oftmals mit einer solchen Werbe-ID versehen, wodurch sich Geräte – und ihre Besitzer*innen – einfach ausspionieren lassen. Von der ursprünglich für Werbetreibende gedachten Kennung profitieren also auch Überwachungsfirmen. Google und Apple sind dafür verantwortlich, dass die verräterischen Werbe-IDs ab Werk aktiv sind.

Berechtigungen nach jedem Update prüfen

Geht es nach dem Cybersicherheitsdienst der EU, sollten sich EU-Mitarbeitende zudem kontinuierlich und regelmäßig der IT-Sicherheit ihrer Handys widmen. Insgesamt sieben Empfehlungen handeln davon, etwas zu blockieren oder abzulehnen („disable“, „block“, „deny“, „turn off“). Nutzende sollten „monatlich und möglichst nach jedem Update“ die Zugriffsberechtigungen von Apps prüfen.

Nach eigenen Angaben arbeiten für die EU rund 60.000 Beamt*innen und sonstige Angestellte. Wie realistisch ist es, dass die meisten diesen Empfehlungen folgen?

Doch nicht nur EU-Personal ist von der Massenüberwachung durch Handy-Standortdaten betroffen, sondern potenziell alle, die ein Smartphone nutzen. Insgesamt leben in der Europäischen Union rund 450 Millionen Menschen. Sollten nicht auch sie „monatlich und möglichst nach jedem Update“ die Zugriffsberechtigungen ihrer Apps prüfen?

Fachleute aus Politik und Zivilgesellschaft fordern seit Jahren ein Verbot von Tracking und Profilbildung für Werbezwecke. Auf diese Weise würde Databrokern der Nachschub an Daten ausgehen und Nutzer*innen müssten nicht zu Expert*innen für digitale Selbstverteidigung werden, um ihr Grundrecht auf Privatsphäre zu schützen.

In Deutschland setzt sich etwa der Verbraucherzentrale Bundesverband für ein solches Verbot ein und verlangt entsprechende Regeln im kommenden Digital Fairness Act. In der Vergangenheit hatten sich Bestrebungen zur wirksameren Eindämmung von Tracking in der EU-Gesetzgebung nicht durchsetzen können. Nach wie vor sprechen sich EU-Abgeordnete vehement für ein Tracking-Verbot aus, zuletzt Alexandra Geese (Greens/EFA) gegenüber netzpolitik.org.

EU-Kommission will Datenschutz eher schwächen als stärken

Die EU-Kommission sieht mit Blick auf unsere Recherchen jedoch keinen Bedarf für strengere Gesetze. Vielmehr droht, dass die Kommission im Rahmen der Vereinfachung von Digitalgesetzen den europäischen Datenschutz weiter schwächt. Wenn es um den illegalen Handel mit Standortdaten geht, sollen Mitgliedstaaten die Datenschutzgrundverordnung über ihre Aufsichtsbehörden durchsetzen, wie die Kommission mitteilt.

Das Wichtigste zur Spionage-Gefahr durch Handy-Standortdaten in der EU

Unsere Recherchen zeigen jedoch, wie Datenschutzbehörden mit ihren bisherigen Bemühungen zum Datenhandel allenfalls an der Oberfläche kratzen. Im Ökosystem der Werbeindustrie können Daten auf so vielen Wegen abfließen, dass Behörden und Nutzer*innen wie vor einem dichten Dschungel stehen. Selbst auf Privatsphäre bedachte Nutzer*innen können sich nur bedingt schützen, wenn sie nicht auf einen Großteil populärer Dienste verzichten wollen.

Ein Verbot von Tracking und Profilbildung für Werbezwecke würde auch EU-Mitarbeitende vor Spionage schützen. Stattdessen haben sie eine Rundmail bekommen. Sie und andere Nutzer*innen müssen sich demnach selbst helfen – „monatlich und möglichst nach jedem Update“.

Rundmail: „Mobile device security good practice“

Dear colleague,

Mobile devices are now the main way in which we communicate, shop, bank, or check out social media. Increasingly, EU entities rely on services that staff can access from their personal devices. This complicates the enforcement of cybersecurity best practices and allows for the possibility of staff exposing personal data or accidentally leaking corporate data.

To help with IT security, the Cybersecurity Service for the Union institutions, bodies, offices and agencies (CERT-EU) has issued advice to staff for protecting their data and privacy. Therefore, we would like to bring to your attention the following recommendations addressing tracking prevention on mobile devices.

Location permissions and metadata

• Disable location services when not needed and limit location tracking, including options like Significant Locations and Precise Location on iOS or Location accuracy on Android
• Review app permissions regularly and cancel unnecessary permissions. Only allow location access for apps that need it to function, like maps or traffic apps, and only while using the app
• Use Allow Once function: audit monthly and, if possible, after every update
• Block all location requests to browsers
• Block unnecessary notification requests from websites
• Disable location history and geotagging. Clear your existing location history
• Disable geotagging on your photos and videos to prevent apps from storing or sharing your location data. If geotagging is needed for personal use, then read the vendor’s documentation on how to clean GPS metadata from photos before sharing

Ad-tracking limiters

• Turn off personalised ads. For iOS: Settings > Privacy & Security > Tracking. For Android: Setting > Security and privacy > More privacy settings > Ads (some versions or models may differ)

Fitness/social apps

• Deny location to running, cycling or social apps if possible. Set exercise routes to private
• Be cautious about social-media posts: avoid real-time location or check-ins and check the picture for any unintended background detail before you share

Bonnes pratiques en matière de sécurité des appareils mobiles

Cher collègue,

Les appareils mobiles sont désormais le principal moyen que nous utilisons pour communiquer, faire des achats, effectuer des opérations bancaires ou consulter les réseaux sociaux. Les entités de l’UE s’appuient de plus en plus sur des services auxquels le personnel peut accéder à partir de ses appareils personnels. Cela complique l’application des bonnes pratiques en matière de cybersécurité et augmente le risque que le personnel expose des données à caractère personnel ou divulgue accidentellement des données d’entreprise.

Afin de contribuer à la sécurité informatique, le service de cybersécurité des institutions, organes et organismes de l’Union (CERT-EU) a émis des conseils à l’intention du personnel pour protéger leurs données et leur vie privée. Nous souhaitons donc attirer votre attention sur les recommandations suivantes concernant la prévention du suivi sur les appareils mobiles.

Autorisations de localisation et métadonnées

• Désactivez les services de localisation lorsque vous n’en avez pas besoin et limitez le suivi de localisation, notamment les options telles que «Lieux importants» et «Localisation précise» sur iOS ou «Précision de la localisation» sur Android.
• Vérifiez régulièrement les autorisations des applications et supprimez celles qui ne sont pas nécessaires. N’autorisez l’accès à la localisation qu’aux applications qui en ont besoin pour fonctionner, comme les applications de cartographie ou de trafic, et uniquement pendant l’utilisation de l’application.
• Utilisez la fonction «Autoriser une fois»: vérifiez-la tous les mois et, si possible, après chaque mise à jour
• Bloquez toutes les demandes de localisation adressées aux navigateurs.
• Bloquez les demandes de notification inutiles provenant de sites web.
• Désactivez l’historique de localisation et la géolocalisation. Effacez votre historique de localisation existant.
• Désactivez la géolocalisation sur vos photos et vidéos afin d’empêcher les applications de stocker ou de partager vos données de localisation. Si la géolocalisation est nécessaire pour un usage personnel, lisez la documentation du vendeur sur la manière de nettoyer les métadonnées GPS des photos avant de les partager.

Limiteurs de suivi publicitaire

• Désactivez les annonces personnalisées. Pour iOS: Paramètres > Confidentialité et sécurité > Suivi. Pour Android: Paramètres > Sécurité et confidentialité > Plus de paramètres de confidentialité > Publicités (certaines versions ou certains modèles peuvent différer)

Applications de fitness/réseaux sociaux

• Si possible, refusez de partager votre position avec les applications de course à pied, de cyclisme ou les réseaux sociaux. Définissez vos itinéraires d’entraînement comme privés.
• Soyez prudent lorsque vous publiez sur les réseaux sociaux: évitez de partager votre position en temps réel ou de vous enregistrer à un endroit, et vérifiez qu’il n’y a pas de détail d’arrière-plan involontaire sur les photos avant de les partager.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die teils KI-gestützte Videoüberwachung Mannheims wird bei Versammlungen angeblich ausgeschaltet. Doch laut Rechtsprechung reicht das nicht. Denn auch eine ausgeschaltete Kamera kann Menschen davon abbringen, Demonstrationen zu besuchen.

Filmen sie gerade? Videokameras am Alten Messplatz in Mannheim. – Public Domain netzpolitik.org

Viele Demonstrationen in Mannheim starten oder enden auf dem Alten Messplatz. Am Rand des Platzes, an der Alten Feuerwache, hängen acht Überwachungskameras, weitere sind über den Platz verteilt. Insgesamt filmen 70 Kameras die Innenstadt, 46 davon sind an eine KI-Verhaltenserkennung gekoppelt.

Das ist spätestens dann ein Problem, wenn Menschen hier demonstrieren wollen. David Werdermann, Jurist bei der Gesellschaft für Freiheitsrechte, sagt: „Die Versammlungsfreiheit lebt davon, dass Menschen ohne Angst und Einschüchterung ihre Meinung auf der Straße kundtun können.“ Videoüberwachung und KI-gestützte Auswertung könne Menschen von der Versammlungsteilnahme abhalten, „zumal sie sich wegen des Vermummungsverbots nicht gegen eine mögliche Erfassung wehren können“, sagt Werdermann.

Beständige Unsicherheit

Um eine Einschränkung des Versammlungsrechts zu vermeiden, schaltet die Polizei einzelne Kameras angeblich aus, wenn im Überwachungsbereich angemeldete Versammlungen stattfinden – und keine erheblichen Gefahren für die innere Sicherheit und Ordnung bestehen. Protokolle dazu, wann welche Kamera ab- und wieder angeschaltet wurde, will die Mannheimer Polizei allerdings nicht herausgeben. Für Versammlungsteilnehmer*innen bleibt somit die beständige Unsicherheit, ob sie nicht gerade doch gefilmt werden.

„Schon der bloße Eindruck, während einer Demonstration gefilmt zu werden, entfaltet eine erhebliche abschreckende Wirkung – auch wenn die Kameras tatsächlich ausgeschaltet sind“, sagt David Werdermann. Die deutsche Rechtsprechung unterstützt seine Argumentation.

Teilnehmer*innen können nicht hinreichend verlässlich erkennen, ob Kameras in Betrieb sind oder nicht, entschied das Oberverwaltungsgericht Nordrhein-Westfalen 2020. Damit bestätigte es die vorgelagerte Entscheidung, dass öffentliche Videokameras während Versammlungen verhüllt werden müssen. Das Oberverwaltungsgericht Niedersachsen entschied schon 2015, dass auch eine halbausgefahrene Mastkamera eines Polizeifahrzeugs während einer Demonstration nicht rechtens ist, egal ob sie läuft. Allein die Präsenz der Kamera ist zu viel.

Es gibt technische Lösungen

Eigentlich müssten Mitarbeiter*innen der Stadt Mannheim vor jeder Demonstration entlang der Route Kameras vorübergehend außer Betrieb setzen. Dazu könnten sie mit Leitern zu allen Kameras hinaufsteigen und Blenden vor die Linsen schrauben oder einfach Säcke über die Geräte stülpen.

Es gibt allerdings smartere Lösungen: Ein deutscher Hersteller produziert für seine Videoüberwachungssysteme beispielsweise neongelbe Jalousien, die per Mausklick vor die Linsen fahren.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.