netzpolitik.org

Einwilligungsdienste sollen es Menschen erlauben, selbst darüber zu bestimmen, wer im Internet ihre Daten nutzt. Doch die Bundesregierung stellt es Websites und Tracking-Firmen frei, ob sie die Dienste anerkennen. Macht sie keine Verpflichtung daraus, bleibt es Pseudo-Selbstbestimmung. Ein Kommentar.

Einwilligungsmanager sollen Datenschutz einfacher machen – Gemeinfrei-ähnlich freigegeben durch unsplash.com elnaz asadi

In einer an Datenschutznachrichten nicht gerade armen Woche wäre die Meldung fast untergegangen: Deutschland hat seinen ersten offiziellen Einwilligungs-Manager! Das teilte die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider am Dienstag mit. Ihre Behörde hat den Dienst zertifiziert.

Mit Consenter sollen Menschen einfach und übersichtlich darüber entscheiden können, wem sie im Internet eine Erlaubnis zur Nutzung ihrer Daten erteilen und wem nicht. Das gilt insbesondere für Cookies, die auf Computern und Telefonen gespeichert werden und dafür verwendet werden können, das Online-Verhalten von Menschen zu verfolgen.

Menschen wollen selber bestimmen

Cookies bleiben ein leidiges, aber wichtiges Thema. Eine repräsentative Umfrage im Auftrag der Bundesdatenschutzbeauftragten zeigt: 83 Prozent der Menschen in Deutschland wollen selbst festlegen können, ob und wofür ihre Daten im Internet verwendet werden. Doch nur 43 Prozent der Internetnutzer:innen wissen überhaupt, was genau Cookies sind und wofür sie eingesetzt werden.

Dabei kann es weitreichende Folgen haben, ob wir zustimmen oder nicht. Firmen sehen die Einwilligung oft als Freifahrtschein für sie und ihre 845 Partner, die behaupten, den Datenschutz sehr ernst zu nehmen, aber uns komplett durchleuchten wollen. Wir können aufgrund unseres Online-Verhaltens in eine von hunderttausenden Kategorien gesteckt werden, zum Beispiel in „Moms who shop like crazy“, „Spielsüchtig“ oder „LGBTQ“. Unsere Standortdaten können bei Datenhändlern landen und Fremden unsere Bewegungsmuster offenbaren. Der Umgang mit unseren Daten ist vollkommen außer Kontrolle geraten.

Gegen Kontrollverlust und Einwilligungsmüdigkeit

Einwilligungsmanager sollen nicht nur diesem Kontrollverlust ein Ende bereiten, sondern auch der sogenannten Einwilligungsmüdigkeit. Die hat sich im Laufe all der Jahre bei vielen einstellt, die tagein tagaus scheinbar sinnlose Cookie-Banner wegklicken mussten, die einerseits das Wegklicken mit manipulativen Design erschweren und andererseits nicht gut informieren, was mit den Daten passiert. Es nervt einfach: Ich möchte nicht jeden Tag auf jeder Webseite immer wieder aufs Neue klicken müssen, wenn doch klar ist, dass ich immer die für mich datenschutzfreundlichste Variante haben will. Wieviele Stunden meines Lebens habe ich mit sinnlosem Klicken verbracht?

Hier könnten Einwilligungsmanager eigentlich helfen. Deutschland ist auf dem Feld Pionier, denn es ist das erste Land in der EU, das dem schon lange bestehenden Konzept einen rechtlichen Rahmen gegeben hat. Es gibt gesetzliche Anforderungen an die Consent-Manager und eine Prüfung durch die BfDI, an deren Ende eine offizielle Zertifizierung stehen kann. Geregelt wird das vom Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG) und von der Einwilligungsverwaltungsverordnung. Innovation made in Germany halt.

Spaß beiseite: Es ist natürlich richtig, dass die Dienste klaren Regeln folgen, schließlich sollen die Menschen ihnen vertrauen. So schreibt das TDDDG zum Beispiel vor, dass Einwilligungsmanager „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.

Ausgerechnet vom guten Willen der Tracking-Industrie abhängig

Die Sache hat nur einen Haken, und zwar einen ziemlich großen, der das ganze Konzept zum Scheitern verurteilt: Die Einwilligungsverwaltungsverordnung regelt auch, dass die „Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Anbieter von digitalen Diensten“ freiwillig erfolgen soll.

Mit anderen Worten: Nutzer:innen können so viel managen wie sie wollen – keine Website und keine Tracking-Firma muss die Einwilligungsdienste anerkennen.

Webseiten und Medien leben aber vom Cookie-Werbezirkus, sie setzen auf dieses invasive Erlösmodell auf Kosten unserer Privatsphäre. Hunderte Datenunternehmen profitieren von der Ausleuchtung der Internetnutzer:innen per Cookie und Tracking, sie existieren nur, weil es dieses Modell gibt. Und sie handeln völlig schamlos mit den Daten, wie unsere Recherchen immer wieder zeigen.

Ausgerechnet diesen Firmen wollen wir mit Freiwilligkeit beikommen? Das ist lächerlich: Es gibt keinen Grund dafür, warum sie sich freiwillig dem Regime eines Einwilligungsmanagers unterwerfen sollten, der letztlich ihr Geschäftsmodell angreifen würde. Ohne Verpflichtung bleibt das Modell ein Papiertiger.

Bundesregierung könnte es einfach ändern

Man kann darüber streiten, ob Einwilligungsmanager wirklich ein gutes Werkzeug sind. Ich habe das mit einem der Köpfe hinter Consenter, Maximilian von Grafenstein, neulich in unserem Podcast Off/On getan. Was man nicht tun kann: Einwilligungsmanager als Lösung für ein Problem darstellen und dann darauf hoffen, dass die Tracking-Industrie schon freiwillig den Willen der Nutzer:innen akzeptieren wird.

Wenn die Bundesregierung wollen würde, dass Einwilligungsmanager überhaupt eine Chance haben und nicht zu noch mehr Pseudo-Selbstbestimmung führen, dann müsste sie ihre Anerkennung schnellstmöglich verpflichtend machen. Sie kann das jederzeit und einfach zu tun, wenn sie wollte – denn die Verordnung muss nicht einmal vom Bundestag beschlossen werden.

Tut sie es nicht, verurteilt sie die Dienste zum Scheitern, bevor diese überhaupt ihre Arbeit aufnehmen können.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Europäische Parlament ist sich beim Digitalen Euro nicht einig. Der zuständige Berichterstatter will zunächst eine reine Offline-Lösung, progressive Fraktionen sehen das ganz anders. Währenddessen treibt die Zentralbank die Umsetzung weiter voran.

Navarrete hätte den digitalen Euro am liebsten nur als Offline-Variante. – Alle Rechte vorbehalten European Union 2025 – Source : EP, Genevieve Engel

Immerhin sechs Minuten konnte die christdemokratisch-konservative EVP-Fraktion im Europarlament den Digitalen Euro noch verzögern. Denn als der Wirtschaftsausschuss (ECON) zum Digitalen Euro (D€) debattieren wollte, fehlte jemand: Fernando Navarrete Rojas, seines Zeichens spanischer EVP-Abgeordneter – und ausgerechnet Berichterstatter für den Digitalen Euro.

Auch wenn die mehrminütige Verspätung von Navarrete Zufall gewesen sein sollte, Freund:innen im Ausschuss wird er sich damit nicht gemacht haben. Schließlich bremste seine Fraktion den Digitalen Euro nicht zum ersten Mal. Und auch inhaltlich widersprachen die anderen Fraktionen von Linke bis Renew seinem Entwurf. Auf das Parlament dürften daher noch scharfe Debatten und intensive Verhandlungen zukommen, denn andere Institutionen machen beim Digitalen Euro Druck.

Seit mindestens 2020 denkt die Europäische Zentralbank (EZB) über den digitalen Euro nach. Seit 2023 gibt es auch ein Gesetzespaket der Europäischen Kommission, das sogenannte Single Currency Package. Dass das Parlament erst jetzt richtig darüber debattieren kann, liegt auch an der konservativen EVP-Fraktion, zu der auch CDU und CSU gehören.

EVP hatte den D€ immer wieder verzögert

Der zuständige Berichterstatter der letzten Legislatur, Stefan Berger (CDU), habe die Arbeit an einer gemeinsamen Parlamentsposition immer wieder verzögert, beschwerten sich die zuständigen Abgeordneten von S&D (Sozialdemokraten), Renew (Liberale) und Grünen.

Nun ist der Ex-Zentralbanker und spanische Abgeordnete Navarrete am Zug. Auch er ist ein Kritiker des Digitalen Euro, selbst wenn er das im Ausschuss abstritt. Seine Haltung spiegelt sich in seinem Bericht wieder. Er setzt nach wie vor auf eine private Lösung – und eine Aufteilung des Digitalen Euro.

Der Digitale Euro (D€) soll auch laut Vorschlag der EZB in zwei Systemen kommen. Ein Online-System, das mit dem eigenen Bankkonto verknüpft ist und das man etwa für Online-Einkäufe nutzen könnte. Und ein Offline-System, das nicht nur ohne Verbindung zum Zahlungssystem oder Internet funktioniert, sondern auch „Bargeld-ähnliche“ Anonymität garantieren soll.

Online-D€? Nur unter einer Bedingung!

Nur zu letzterem bekennt sich Navarrete. „Das Offline-System bringt eine zusätzliche Resilienz“, sagte er im Ausschuss. Der Online-€ solle nur unter einer Bedingung kommen: Wenn es bis zu seiner Einführung keine paneuropäische private Lösung gebe, die marktfähig ist. „Die EZB sollte nur dann einschreiten, wenn es hier ein Marktversagen gibt“, sagte Navarrete im Ausschuss.

Denn aus seiner Sicht ist „die einzige legitime Motivation“ für den D€ die digitale Souveränität und damit die Reduktion der Abhängigkeit des europäischen Zahlungsverkehrs von nicht-europäischen Dienstleistern. Aktuell funktioniert das grenzüberschreitende Bezahlen vor oft nur mit Mastercard und Visa oder Anbietern wie PayPal.

Wero aktuell nur in drei EU-Ländern

Aus Sicht von Navarrete sei man aktuell „näher als je zuvor“ an der Verwirklichung europäischer Souveränität im Zahlungsbereich. Navarrete spielte damit vermutlich auf „Wero“ an.
Wero ist der jüngste Versuch der European Payment Initiative (EPI), ein europäisches Zahlungssystem zu etablieren. Die EPI ist ein Zusammenschluss von europäischen Banken und Zahlungsdienstleistern, aus Deutschland sind unter anderem die Sparkassen, Volks- und Raiffeisenbanken sowie die Deutsche Bank an Bord.

Wero steckt jedoch noch in den Kinderschuhen. Es ist bisher nur 75 Prozent der privaten Bankkunden zugänglich und auch das nur in Belgien, Deutschland und Frankreich. Die Niederlande und Luxemburg sollen im kommenden Jahr folgen.

Das Hauptargument ist Souveränität

Navarretes Entwurf und sein Auftritt im Ausschuss stießen auf Kritik – nicht nur im Parlament, sondern auch in der Zivilgesellschaft. So sagte Carolina Melches, bei der NGO Finanzwende zuständig für den D€, zu netzpolitik.org: „Der Digitale Euro ist bisher unsere beste Chance, die bestehende Abhängigkeit von US-Konzernen im Zahlungsverkehr zu reduzieren und drohende Abhängigkeiten etwa von Big Tech-Konzernen im Zahlungsverkehr abzuwenden.“ Die Online-Variante des Digitalen Euros zu verzögern, sei eine riskante Wette auf Kosten von Europas Souveränität.

Das sehen die vier europäischen Fraktionen The LEFT (mit der deutschen Die Linke), Grüne (mit den Grünen und Volt), Renew (mit den deutschen Parteien FDP und Freie Wähler) und die Socialist&Democrats (SPD) genauso. So warnt Damian Boeselager (Volt) in einer Pressemitteilung: „Wenn Washington es will, könnte es unser Zahlungssystem lahmlegen – und zwölf Prozent des EU-Bruttoinlandsprodukts wären von einem Tag auf den anderen vernichtet.“

Private Lösung zu spät und zu teuer

Ähnlich sehen das die Sozialdemokrat:innen im EU-Parlament. „Milliarden Euro fließen jedes Jahr aus den Geldbeuteln der Bürger zu den Zahlungsdienstleistern außerhalb Europas – und mit ihnen die Zahlungsdaten“, sagte Nikos Papandreou, der den D€ für seine Fraktion verhandelt. „Wir haben 20 Jahre auf eine private Lösung gewartet – es gibt keine!“ Für ihn sei der Vorschlag von Navarrete „keine Strategie, sondern Paralyse“, sagte der Grieche unter Applaus im ECON-Ausschuss.

Eine privatwirtschaftliche Lösung birgt zudem die Gefahr, dass Händler unter hohen Abgaben leiden. Händler sollten von einem digitalen europäischen Zahlungssystem profitieren und nicht gleich schlecht dastehen, sagte etwa Damian Boeselager im Ausschuss.

Die vier progressiven Fraktionen betonen im Ausschuss unisono, dass die Online-Funktion das Kernstück des D€ sei, nicht seine Offline-Variante. „Es kann keinen Offline-D€ ohne die Online-Version geben“, sagte etwa der italienische Abgeordnete Gaetano Pedullà aus der Fraktion The Left. Ein reines Offline-System wäre etwa im Online-Handel nicht anwendbar. Aus Sicht von Boeselager (Volt) würde ein reiner Offline-D€ „viele Vorteile eines digitalen Euro verschenken, ihn für Nutzerinnen und Nutzer weniger attraktiv machen und weit hinter dem möglichen Potenzial zurückbleiben.“

Gilles Boyer aus der Renew-Fraktion sieht die stärkere Rolle der EZB bei digitalen Zahlungen positiv. In einer zunehmend digitalen Welt müsse es auch öffentliches Geld geben, forderte der französische Abgeordnete. „Öffentliches Geld“ meint: von der Zentralbank geschaffenes und garantiertes Geld wie Bargeld. „Privates Geld“, also Buch- oder Giralgeld, existiert hingegen nur auf den Konten der privaten Banken.

Rechtsextreme gegen den D€

Neben seiner eigenen Fraktion unterstützte auch die euroskeptisch-rechtspopulistische Fraktion ECR Navarretes Bericht. In dieser sind etwa die Mussolini-verehrende Partei von Giorgia Meloni, Fratelli die Italia, sowie die polnische PiS organisiert. Der kroatische Abgeordnete Stephen Bartulica sagte, er unterstütze den Vorschlag, dem Privatsektor mehr Zeit zu verschaffen. Die EZB würde in den Markt eingreifen und ihre Aufsichtsrolle verlassen. Die einzig andere existierende Digitale Zentralbankwährung gebe es in China. Auch in Europa werde die Digitale Währung „von oben oktroyiert“.

Die Erzählung von einer übergriffigen, alles überwachenden Zentralbank findet vor allem auf der rechtspopulistischen und rechtsextremen Seite großen Anklang. Rechtsextreme und Libertäre mobilisieren seit langem gegen den D€ und nutzen ihn für Verschwörungserzählungen, berichten etwa Tagesschau und Politico.

EU-Kommission, EZB und demokratische Parlamentarier:innen betonen immer wieder, dass der D€ Bargeld keinesfalls ersetzen solle. „Niemand wird verpflichtet, den Digitalen Euro zu nutzen.“ Weder die Kommission noch Parlament und Rat wollten das Bargeld abschaffen, betonte der Renew-Abgeordnete Boyers. Ein Teil des Gesetzgebungs-Pakets zum D€ ist deshalb auch die „Legal Tender“-Verordnung, die die gesetzliche Rolle von Bargeld als Zahlungsmittel festschreibt.

Viel Arbeit für den Ausschuss

Die Mehrheitsverhältnisse im EU-Parlament machen es den Befürworter:innen eines Digitalen Euros nicht leicht. Gemeinsam mit der euroskeptischen und rechtspopulistischen ECR-Fraktion sowie den beiden rechtsextremen Fraktionen PfE (unter anderem FPÖ, Front National sowie Vox aus Spanien) und ESN (unter anderem AfD) hat die EVP eine Mehrheit. Immer wieder stimmt die EVP mit den extrem rechten Parteien, etwa um Klima- und Umweltschutzregeln abzuschwächen.

Ob die EVP bei diesem Thema mit Rechtspopulisten oder Rechtsextremen kooperiert, ist bislang unklar. Im Unterschied zu den Parteien rechts seiner Fraktion betonte der EVP-Abgeordete Navarrete, sein Vorschlag sei nicht gegen den Digitalen Euro gerichtet, er würde dessen Einführung auch nicht verzögern. Sein Fraktionskollege Markus Ferber (CSU), der in der letzten Legislaturperiode ebenfalls als Verzögerer des D€ galt, will sich bei dem Projekt nicht zeitlich unter Druck setzen lassen: „Wir haben nur einen Schuss frei und der muss sitzen.“

Wollen sich EVP und die progressiven Fraktionen annähern, braucht es wohl noch viele Verhandlungen. Bis zum 12. Dezember müssen alle Änderungsanträge zum Entwurf von Navarrete feststehen, Ende Januar sollen diese im Ausschuss debattiert werden. Seine endgültige Verhandlungsposition will das Europäische Parlament im Mai 2026 beschließen. Danach geht es in den Trilog, also die Verhandlungen zwischen Parlament, EU-Kommission und Ministerrat.

Was macht der Ministerrat?

Letzterer ist die Vertretung der EU-Mitgliedstaaten. Die Regierungen haben zuletzt im Europäischen Rat ihre Unterstützung des Projekts betont. „Wir begrüßen die jüngsten Fortschritte bei der Weiterentwicklung des Projekts zum digitalen Euro und betonen, wie wichtig es ist, die Gesetzgebungsarbeiten zügig abzuschließen und andere vorbereitende Schritte zu beschleunigen“, hieß es in der Abschlusserklärung des Treffens.

Die EU-Finanzminister haben sich derweil schon mit der EZB geeinigt, dass sie das letzte Wort bei den Haltelimits für den Digitalen Euro haben. Solche Begrenzungen sollen die Menge der D€ begrenzen, die ein Mensch gleichzeitig halten kann. Das soll verhindern, dass zu viel Geld von den Konten der Geschäftsbanken verschwindet.

Im Gespräch sind Haltelimits von 500 bis 3000 D€. Laut Einigung soll die EZB die genaue Grenze festlegen, die Finanzminister sollen aber die Obergrenze dieser Limits gemeinsam entscheiden dürfen.

Die dänische Ratspräsidentschaft plant, die Einigung der Mitgliedstaaten auf eine Position bis Ende des Jahres auszuverhandeln.

EZB plant schon die Umsetzung

Während die Verhandlungen der EU-Gesetzgeber noch laufen, schreitet die Europäische Zentralbank mit der Umsetzung voran. Letzte Woche teilte die EZB mit, dass sie beim D€ in die nächste Phase übergehe.

In dieser will die EZB weiterhin die technischen Voraussetzungen für eine mögliche Einführung eines digitalen Euro vorbereiten. „Damit wollen wir sicherstellen, dass das Eurosystem bereit ist, die nächsten möglichen Schritte zu gehen, sobald die Rechtsvorschriften in Kraft sind“, sagte eine EZB-Sprecherin auf Anfrage von netzpolitik.org.

Der endgültige Beschluss des EZB-Rats darüber, ob und wann ein digitaler Euro ausgegeben wird, werde erst dann getroffen, wenn die Rechtsvorschriften angenommen worden sind, teilte die EZB weiter mit. „Unter der Annahme, dass die EU-Mitgesetzgeber die Verordnung zur Einführung des digitalen Euro im Jahr 2026 annehmen, könnten ein Pilotprojekt und erste Transaktionen ab Mitte 2027 stattfinden.“ Die Ausgabe des Digitalen Euro könnte dann im Jahr 2029 starten.

Vorausgesetzt, das Parlament spielt mit.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Freifahrtschein für KI-Training, weniger Schutz für pseudonymisierte und sensible Daten, Beschneidung von Betroffenenrechten: Es verdichteten sich die Hinweise, dass die EU-Kommission einen Frontalangriff auf die DSGVO plant. Auch die Bundesregierung fordert dahingehend Einschnitte, wie ein Dokument belegt, das wir veröffentlichen.

Reform mit der Axt: Die EU-Kommission plant anscheinend massive Einschnitte beim Datenschutz. – Gemeinfrei-ähnlich freigegeben durch unsplash.com David Popkov

Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.

Freie Fahrt für pseudonymisierte Daten

So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.

Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.

Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.

Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.

Weniger Schutz für sensible Daten

Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.

Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.

KI-Training: Freifahrtschein für Tech-Konzerne

Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.

Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.

Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.

Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.

„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.

Bundesregierung will Auskunftsrecht einschränken

Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.

Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.

Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.

Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.

Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.

Die Reformwelle rollt erst los

Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.

Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird von der EU-Kommission ein weiteres Reformvorhaben, das sogenannte Digital Package, vorlegen. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Bundestag hat mit den Stimmen von Schwarz-Rot zwei Änderungen bei der elektronischen Patientenakte beschlossen. Das Echo darüber fällt geteilt aus: Einerseits wird die Rückkehr zu mehr Datenhoheit vorsichtig begrüßt, andererseits werden gesenkte Sicherheitsstandards kritisiert.

Wie viele ihrer Gesundheitsdaten müssen Versicherte preisgeben? – Alle Rechte vorbehalten IMAGO / Design Pics

Der Bundestag hat heute das „Gesetz zur Befugniserweiterung und Entbürokratisierung in der Pflege“ verabschiedet. Dabei hat das Plenum mehrheitlich auch einen Änderungsantrag der Fraktionen CDU/CSU und SPD angenommen, den der Gesundheitsausschuss gestern beschlossen hatte. Er enthält unter anderem zwei relevante Neuerungen bei der elektronischen Patientenakte.

Zum einen können künftig nur noch für die Versicherten selbst ihre Abrechnungsdaten in der elektronischen Patientenakte (ePA) einsehen. Bisher war das standardmäßig auch für Behandelnde möglich. Zum anderen dürfen Krankenkassen wieder mit dem Video-Ident-Verfahren die Identität von Versicherten bestätigen. Damit will Schwarz-Rot die Hürden bei den Versicherten senken, ihre ePA zu aktivieren.

Beide Änderungen stellen teilweise einen früheren Status wieder her. Das Echo darüber fällt geteilt aus. Während Verbraucherschützer:innen die eine Rolle rückwärts in Teilen begrüßen, kritisieren Sicherheitsfachleute die andere als risikoreich.

Zurück zu etwas mehr Selbstbestimmung

Dass Behandelnde in der ePA bislang standardmäßig auf die Abrechnungsdaten der Versicherten zugreifen konnten, hatten Verbraucherschützer:innen mit Nachdruck kritisiert.

Die Daten stammen von den Krankenkassen und fließen automatisch in die ePA ein. Aus ihnen gehen – ebenso wie aus der Medikationsliste mit den verordneten Medikamenten – sensible Diagnosen hervor. Das erschwert es Versicherten, Befunde vor den Blicken einzelner Behandelnder zu verbergen.

„Wir wollen, dass die Abrechnungsdaten künftig auch ausschließlich für die Versicherten selbst in der ePA sichtbar sind, nicht für die Leistungserbringenden“, sagt Simone Borchardt, gesundheitspolitische Sprecherin der CDU/CSU-Bundestagsfraktion, auf Anfrage von netzpolitik.org. „Damit stellen wir sicher, dass keine Informationen über Abrechnungsdetails, etwa zu Diagnosen oder Leistungsumfängen, ohne ausdrückliche Zustimmung des Patienten für Dritte zugänglich sind.“ So wolle man das Vertrauen der Versicherten in die digitale Infrastruktur des Gesundheitswesens stärken, sagt Borchardt.

Zuspruch und Forderungen nach mehr

Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, hatte die Optionen hier deutlich eingeschränkt. Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen erfahren. Die nun beschlossene Gesetzesänderung verfeinert das sogenannte Beschwerdemanagement für Versicherte wieder ein wenig.

Lucas Auer, Gesundheitsexperte im Verbraucherzentrale Bundesverband, begrüßt das. „Die Abrechnungsdaten drohen ungewollt Aufschluss über sensible Diagnosen zu geben. Zugleich ist ihre Aussagekraft für zukünftige Behandlungsbedarfe stark limitiert“, so Auer gegenüber netzpolitik.org. „Die enthaltenen Informationen sind häufig fehlerbehaftet, veraltet oder beruhen auf versehentlicher oder beabsichtigter falscher Kodierung.“

Auch Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, wertet die Gesetzesänderung als Fortschritt. Nachholbedarf sieht er aber weiterhin etwa bei der Medikationsliste: „Aus verordneten Medikamenten lässt sich ebenfalls auf sensible Diagnosen schließen, etwa eine HIV-Infektion oder psychische Erkrankungen“, sagt Hofmann. „Die Medikationsliste generiert sich automatisch aus E-Rezepten und ist im Standard für alle sichtbar in der ePA eingestellt.“ Auch dafür könne man gemeinsam bessere Lösungen finden, ohne dass die Liste an Nutzen einbüße.

Als rein kosmetisch wertet Anne-Mieke Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, die Änderungen. Aus ihrer Sicht wird das ausgegebene Ziel der Datenhoheit für Versicherte weiterhin verfehlt. „Patient:innensouveränität erfordert, dass Versicherte über sämtliche Daten frei entscheiden, deren Freigabe aktiv steuern und deren Speicherung gegebenenfalls ablehnen oder löschen können“, sagt Bremer. Der Fokus auf die Sichtbarkeit verschleiere, dass eine feingranulare Steuerungsmöglichkeit der Versicherten über alle in der ePA gespeicherten Daten weiterhin fehle.

Video-Ident kehrt zurück

Die Wiederzulassung des Video-Ident-Verfahrens ist ebenfalls eine Rolle rückwärts, wird von Sicherheitsfachleuten allerdings skeptisch gesehen. Video-Ident ist ein Online-Verfahren zur Identitätsprüfung, bei dem eine Person ihre Identität per Video-Chat mithilfe eines Ausweises von einer geschulten Person prüfen lässt.

Bereits im August hatte die Gematik das Video-Ident-Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect zugelassen. Aus sicherheitstechnischer Sicht darf es somit für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die elektronische Gesundheitskarte (eGK) genutzt werden. Mit der Karte lassen sich dann eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Bislang mussten sich Versicherte, wenn sie die eigene ePA aktivieren wollten, digital mit der eGK oder die Online-Ausweisfunktion des Personalausweises ausweisen – inklusive PIN-Abfrage. Nun können sie das wieder ohne PIN tun.

Vor drei Jahren hatte die Gematik Video-Ident-Verfahren für unzulässig erklärt, nachdem Sicherheitsforschende des Chaos Computer Clubs mehrere gängige Video-Ident-Verfahren überlistet hatten – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“. Offenkundig geht die Gematik davon aus, dass bestimmte Video-Ident-Verfahren für die damals aufgezeigten Schwachstellen nicht mehr anfällig sind.

ePA soll endlich bei den Versicherten ankommen

Das wieder zugelassene Verfahren soll helfen, die Zahl der Versicherten zu erhöhen, die die elektronische Patientenakte aktiv nutzen. Zwar haben rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch gerade einmal drei Prozent der Versicherten nutzen sie aktiv.

Unter anderem der Vorstandschef der Techniker Krankenkasse, Jens Baas, hatte dafür den aus seiner Sicht zu komplizierten Registrierungsprozess verantwortlich gemacht. Anfang August forderte er, die rechtlichen Rahmenbedingungen so anzupassen, dass dafür Video-Ident-Verfahren wieder möglich sind.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die auch eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. Aus ihrer Sicht handele es sich dabei um eine Art 1,5-Faktor-Authentifizierung. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, bei der zwei unterschiedliche und voneinander unabhängige Komponenten geprüft werden.

Bei Video-Ident-Verfahren seien weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt Kastl. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Die Linken-Abgeordnete Anne-Mieke Bremer sieht die Entscheidung ebenfalls kritisch und befürchtet, dass sie Schule macht: „Es ist zu erwarten, dass diese risikoreichere Option zum Standard erhoben und als ‚Willen der Versicherten‘ deklariert wird“, sagt Bremer. „Statt erneut risikoreiche Verfahren zuzulassen und die Verantwortung auf unzureichend informierte Versicherte abzuwälzen, braucht es eine Strategie, die Datensicherheit, Transparenz und Mitbestimmung konsequent in den Mittelpunkt stellt.“

Es gibt eine sichere Alternative: der PIN-Rücksetzbrief

Eine sichere Alternative zum Video-Ident-Verfahren gibt es bereits. Um diese zu nutzen, bräuchte es nur eine weiteren Rolle rückwärts – indem die Bundesregierung den „PIN-Rücksetz- und Aktivierungsdienst per Pin-Brief“ reaktiviert.

Bis Anfang 2024 konnten Bürger:innen mit diesem Dienst einen Code auf dem Postweg bestellen. Mit dessen Hilfe konnten sie dann die Onlinefunktion ihres Personalausweises nachträglich aktivieren oder eine vergessene PIN erneuern.

Im Dezember 2023 verkündete die Ampel-Regierung jedoch überraschend das Aus für den Dienst. Als Grund gab sie „unkalkulierbare Kosten“ in zweistelliger Millionenhöhe an. Außerdem sei ein wesentlicher Teil der versandten PINs nicht eingesetzt worden.

Diese Gründe sollten zurückstehen, wenn es um die Sicherheit der sensiblen Gesundheitsdaten von Millionen Versicherten geht. Und obendrein ist der PIN-Rücksetzbrief inzwischen noch attraktiver als vor zwei Jahren. Denn er könnte nun nicht nur beim ePerso und der ePA zum Einsatz kommen, sondern bald auch für die EUDI-Wallet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die dänische Ratspräsidentschaft sieht genügend Unterstützung für einen Kompromissvorschlag bei der Chatkontrolle. Sollte sich der Rat darauf einigen, wäre die verpflichtende Chatkontrolle vorerst vom Tisch – aber die freiwillige Chatkontrolle soll zementiert werden.

Laut dem neuen dänischen Vorschlag sollen die Anbieter selbst entscheiden können, ob sie die Kommunikation scannen. – Alle Rechte vorbehalten https://social.bund.de/@bfdi/115497859112865101

In die seit Jahren feststeckenden Verhandlungen im EU-Rat zur sogenannten Chatkontrolle ist Bewegung gekommen. Die nationalen Botschafter haben laut einem Bericht von Politico (€) in der gestrigen Sitzung einem neuen Anlauf aus Dänemark zugestimmt. Wie MLex berichtet, habe mit Deutschland auch ein großes Kritikerland Zustimmung signalisiert. Damit ließe sich die Sperrminorität, die den Rat bisher gebremst hat, überwinden.

Seit Jahren ist der Gesetzentwurf der Europäischen Union zur Bekämpfung von Material über sexuellen Kindesmissbrauch (CSAM) umstritten; im EU-Rat gab es dazu seit drei Jahren keine Einigung. Knackpunkt bei den Verhandlungen ist immer wieder die verpflichtende, anlasslose Chatkontrolle, also die massenhafte Durchleuchtung privater und auch verschlüsselter Kommunikation.

Dänemark hatte, nachdem es keine Mehrheit für seinen Vorschlag erhalten hatte, einen neuen Kompromiss (PDF) vorgelegt. Demnach sollten die „Aufdeckungspflichten“ aus dem Gesetzentwurf entfallen, also Artikel 7 bis 11 – und damit auch die Anordnungen, die Dienste zur Chatkontrolle verpflichten könnten.

Von offizieller Seite gibt es widersprüchliche Signale über die mögliche, bevorstehende Einigung. Eine Sprecherin der dänischen Repräsentanz sagte am Mittwoch gegenüber netzpolitik.org, die EU-Ratspräsidentschaft sei zum Schluss gekommen, dass es „genügend Unterstützung für den vorgeschlagenen Weg gibt, obwohl mehrere Mitgliedstaaten sich einen ehrgeizigeren Ansatz gewünscht hätten.“ Ein neuer Kompromissvorschlag würde nächste Woche in der Sitzung der Arbeitsgruppe diskutiert werden.

Ausreichende Mehrheit nicht sicher

Ein Sprecher des EU-Rates äußerte sich verhaltener: „Der Vorsitz hat die nötige Unterstützung bekommen, um den neuen Vorschlag (der noch nicht vorliegt) auf technischer Ebene zu besprechen. Der heutige AStV hat sich nicht inhaltlich mit dem neuen Vorschlag auseinandergesetzt. Ob es eine ausreichende Mehrheit gibt, lässt sich zum jetzigen Zeitpunkt von daher nicht sagen.“

Auch ohne eine verpflichtende Chatkontrolle wäre die Überwachung vertraulicher Kommunikation nicht vom Tisch. Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation – also die freiwillige Chatkontrolle – will Dänemark nämlich „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen eigentlich nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle wurde allerdings 2021 vorübergehend erlaubt. Mit dem neuen Vorschlag soll sie dauerhaft erlaubt werden. Die Bundesdatenschutzbeauftragte kritisierte gegenüber der Bundesregierung jedoch auch das „freiwillige“ Scannen als rechtswidrig.

Nach Einigung im Rat käme der Trilog

Laut einer Notiz an Diplomaten, die Politico vorliegt, sehen die dänischen Pläne eine Überprüfungsklausel vor, um verpflichtende Scans in Zukunft erneut zu erwägen. Demnach dürfte die verpflichtende Chatkontrolle immer wieder als Thema auftauchen und auf EU-Ebene diskutiert werden.

Einen neuen Vorschlag soll es erst in der kommenden Woche geben; Dänemark hatte bislang nur eine Zusammenfassung geliefert. Laut dem MLex-Bericht haben einige Länder gesagt, dass sie ihre Zustimmung vom endgültigen Text abhängig machen. Sollte der EU-Rat letztlich grünes Licht geben, dann geht die Verordnung in den sogenannten Trilog, also die finalen Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Rat.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

KI-Generatoren produzieren nicht nur Bilder und Videos, sondern reproduzieren auch Diskriminierung. Eine Wissenschaftlerin der Universität Cambridge fand heraus, dass KI Menschen mit großen Körpern häufiger einen negativen Gesichtsausdruck verleiht und teilweise Probleme bei deren anatomischer Darstellung hat.

Extra schlank! Sieht so der KI-Körper aus? – Alle Rechte vorbehalten IMAGO / Zoonar

Soziale Medien werden derzeit von Bildern und Videos geflutet, die von sogenannter Künstlicher Intelligenz (KI) generiert wurden. Das wirkt sich auch auf unsere kollektive Vorstellungskraft aus. Eine Untersuchung der Universität Cambridge warnt nun vor negativen Folgen für das Selbst- und Körperbild von Menschen.

Die Forscherin Aisha Sobey vom Leverhulme Centre for the Future of Intelligence hat untersucht, wie unterschiedliche Körperformen von KI-Generatoren repräsentiert werden. Ihr Befund: Darstellungen unrealistisch dünner Menschen sind der Standard, große und dicke Körper werden diskriminierend dargestellt.

„Ich bin besorgt über die steigende Zahl von Fällen von Körperunzufriedenheit und Essstörungen und dem daraus resultierenden Zeit-, Energie- und Geldaufwand“, schreibt Sobey auf Anfrage von netzpolitik.org. KI-Generatoren würden diesen Trend verstärken.

Unrealistisch dünne Körper als Standard

Für die Untersuchung verfasste die Forscherin 20 Anweisungen, auch Prompts genannt, zum Erstellen von Bildern mit generativer KI. Alle Darstellungen sollten Personen in unterschiedlichen Situationen zeigen. Manche Prompts erhielten als Zusatz eine medizinische Beschreibung größerer Körper wie „übergewichtig“ oder den Begriff „fat“, zu deutsch „fett“. Das häufig abwertend verwendete Wort wurde von Aktivist*innen zurückerobert und wird inzwischen von vielen Menschen als positive Selbstbezeichnung verwendet.

Die Prompts ließ die Wissenschaftlerin durch neun öffentlich zugängliche Bildgeneratoren laufen, darunter Adobe Firefly, Canva, Runway ML und Stable Diffusion. Ohne den Zusatz „fat“ zeigten die meisten Bilder Menschen mit sogenannter „Sample Size“. Also Menschen, die zu einer besonders dünnen Untergruppe der nicht-dicken Menschen gehören, mit für die meisten Menschen unrealistischen Maßen.

Größere Körper hingegen wurden fast ausschließlich nur nach ausdrücklicher Aufforderung gezeigt – oder gar nicht. Manche KI-Generatoren stuften die Prompts mit dem Wort „fat“ als schädlich ein. Sie verweigerten den Dienst und produzierten keine Bilder.

Verzerrte Darstellungen

Auch waren die Bilder von dicken Menschen öfters fehlerhaft als die von dünnen Menschen. Bilder sind dann fehlerhaft, wenn die KI bestimmte anatomische Details wie einzelne Finger oder den Winkel eines Arms nicht passend nachahmen kann und deswegen unnatürlich aussehen. Aisha Sobey schließt daraus, dass die Systeme mit Datensätzen trainiert werden, in denen Abbildungen von dicken Menschen unterrepräsentiert sind. Bemerkenswert ist zudem, dass Bilder mit dem Prompt „fat“ übermäßig viele weiße Männer zeigen.

Ebenfalls auffällig sind die unterschiedlichen Gesichtsausdrücke, die die Personen in den verschiedenen Bildern tragen. Fast 25 Prozent der dargestellten dicken Personen haben laut Studie einen negativen Gesichtsausdruck, im Vergleich zu nur drei Prozent der Menschen, die ohne den Prompt „fat“ generiert wurden.

Menschen mit Behinderungen werden von generativer KI ebenfalls unterrepräsentiert. Von den insgesamt 649 generierten Bildern zeigte nur eines eine Person mit äußerlich erkennbarer körperlicher Einschränkung.

Darstellungen von dicken Menschen zeigten zudem deutlich häufiger Personen mit Charakteristika, die gemeinhin mit Lernbehinderungen, Downsyndrom und anderen Behinderungen assoziiert werden. Die Forscherin fand diese Darstellungen bei acht Prozent der Bilder, die mit dem Prompt „fat“ generiert wurden, und nur bei zwei Prozent der Abbildungen ohne den Zusatz.

KI kann Unzufriedenheit schüren

Wissenschaftler*innen bezeichnen generative Künstliche Intelligenz auch als Spiegel der Gesellschaft. Trainiert werden die Systeme mit großen Datenmengen, die oft aus dem Internet abgeschöpft werden. Die Diversität der verwendeten Daten steht dabei in engem Zusammenhang mit der Diversität der generierten Inhalte. Die für das Training verwendeten Datensätze scheinen also große Körper nur unzulänglich abzubilden.

Sie spiegeln damit einen online immer noch vorherrschenden Standard wider, bei dem überdurchschnittlich dünne und weiße Körper ohne Behinderungen als Norm dargestellt werden. Allerdings scheint generative KI das Problem nicht nur fortzuschreiben, sondern sogar zu verschärfen, denn KI-generierte Bilder, die diskriminierende Körperbilder repräsentieren, werden wiederum für das Training der Generatoren verwendet.

Über die Sozialen Medien sickern die diskriminierenden Bilder zudem in unsere kollektive Vorstellungswelt ein. AI Forensics, ein europäischer Verein, der undurchsichtige Algorithmen überprüft, nahm im Juli 2025 eine Stichprobe und fand, dass ungefähr jedes vierte Video auf TikTok von KI generiert war. Der Unterschied zu menschlichen Creatoren ist, dass KI ausschließlich in den Trainings-Datensätzen vorhandene Muster reproduzieren kann, während Menschen umdenken und ihre Einstellungen ändern können.

„Die [durch generative KI] implizierten Erwartungen folgen einer langen Tradition von Modell- und Idealkörpern, aber ich würde sagen, dass es durch generative KI viel heimtückischer ist“, so Aisha Sobey gegenüber netzpolitik.org. Aus ihrer Sicht stärkt generative KI jene Systeme, „die Fettleibigkeit verteufeln und die Unsicherheiten der Menschen ausnutzen“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die deutsche Vertretung in Brüssel beschwert sich über den Widerstand gegen die Chatkontrolle. Das geht aus einem internen Drahtbericht hervor, den wir veröffentlichen. Die Diplomaten wollen, dass Deutschland der Chatkontrolle zustimmt – und kritisieren sogar die Justizministerin.

Ständige Vertretung Deutschlands in Brüssel. – Alle Rechte vorbehalten Auswärtiges Amt

Befürworter der Chatkontrolle beschweren sich über die politische Gegenwehr. Sie wollen das Framing „Chatkontrolle“ loswerden und stattdessen über „Kinderschutz“ sprechen.

Die deutsche Botschaft in Brüssel hat letzte Woche einen Drahtbericht an die Bundesregierung verschickt. Innenpolitiker der Ständigen Vertretung fordern darin, dass Deutschland dem Chatkontrolle-Gesetz zustimmt. Wir veröffentlichen das Dokument in Volltext: „Es geht um Kinderschutz, nicht um ‚Chatkontrolle‘. Keine Verordnung ist auch keine Lösung.“

Diplomaten sind eigentlich diplomatisch. Sie vertreten ihren Staat und ihre Regierung im Ausland. Diplomaten handeln nicht nach ihren eigenen Überzeugungen, sondern nach Weisungen ihrer Regierung. Vor diesem Hintergrund ist der Ton dieses Drahtberichts ungewöhnlich.

Anlasslose Chatkontrolle tabu

Anfang Oktober verkündete Justizministerin Stefanie Hubig (SPD): „Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein. Private Kommunikation darf nie unter Generalverdacht stehen.“

Am selben Tag machte Regierungs-Sprecher Stefan Kornelius widersprüchliche Äußerungen. Einerseits sagte er: „Die Bundesregierung hat stets betont, dass die anlasslose Chatkontrolle für sie ein Tabu ist“. Andererseite sagte er: „Wir machen hier keine Chatkontrolle. Es geht in diesem Verfahren darum, Prävention im Fall von Kindsmissbrauch durchzusetzen.“

Die Botschaft in Brüssel widerspricht der Ministerin ebenfalls. Die Diplomaten schreiben: „‚Wir wollen keine anlasslose Chatkontrolle‘, schallt es aus Berlin, obwohl selbige in Brüssel niemand fordert.“ Und: „Es geht um Kinderschutz, nicht um ‚Chatkontrolle‘.“

Irreführend bis falsch

Diese Aussagen sind irreführend bis falsch. Der Gesetzentwurf soll Internet-Dienste verpflichten, die Kommunikation ihrer Nutzer auf mutmaßliche Straftaten zu durchsuchen. Das Gesetz will Kinderschutz durch Chatkontrolle, nicht Kinderschutz statt Chatkontrolle.

Darüber hinaus fordern manche Politiker bereits eine Ausweitung der Chatkontrolle auf andere Inhalte.

Die EU-Kommission will auf Anordnung Dienste dazu verpflichten, die Chats all ihrer Nutzer zu durchsuchen – auch wenn die Nutzer keiner Straftat verdächtig sind und deshalb keinen Anlass für eine Chatkontrolle geben. Das EU-Parlament will nur Nutzer durchsuchen, die verdächtig sind – also einen Anlass zur Kontrolle geben.

Befürworter argumentieren, dass manche Dienste einen Anlass zur Chatkontrolle geben, zum Beispiel wenn sie Anonymität und Verschlüsselung anbieten. Das erinnert an die anlasslose Massenüberwachung der Geheimdienste wie NSA und BND, die milliardenfach Kommunikation der ganzen Welt abhören – ihr „Anlass“ ist die Suche nach Terroristen. Dieser Definition von „Anlass“ widerspricht unter anderem das Bundesverfassungsgericht.

Lautstarke Internet-Community

Die Innenpolitiker der Botschaft behaupten weiter, dass „eine lautstarke Internet-Community und einige großer Tech-Konzerne“ einen „enormen Druck“ aufbauen und „die Wahrnehmung im politischen Raum und der Öffentlichkeit einseitig prägen“. Demgegenüber falle es „den Kinderschutzorganisationen schwer, im öffentlichen Diskurs Gehör zu finden“.

Als Beleg für das mangelnde Gehör nennt die Vertretung eine Veranstaltung in Brüssel. Organisiert wurde die Veranstaltung von über 70 Kinderschutz-NGOs. Kinderschutz-Organisationen wie der Deutsche Kinderschutzbund, die eine Chatkontrolle ablehnen, waren offenbar nicht dabei.

Lobbyismus auf höchster Ebene

Zur Begrüßung sprachen der EU-Innenkommissar Magnus Brunner und die deutsche Missbrauchsbeauftragte Kerstin Claus. Auf dem Podium diskutierten die Kinderschützer mit Europol-Polizisten, Kommissions-Beamten und EU-Abgeordneten.

Eine Kinderschutz-Referentin von ECPAT Deutschland und die Geschäftsführerin der Internet Watch Foundation haben sogar eigene Gesprächstermine mit der Ständigen Vertretung bekommen. Vor zwei Jahren haben Recherchen aufgedeckt, wie Tech-Firmen, Stiftungen, Sicherheitsbehörden und PR-Agenturen auf höchster EU-Ebene für die Chatkontrolle lobbyieren.

Im Gegensatz dazu werden Vertreter der digitalen Zivilgesellschaft immer wieder ausgegrenzt und ausgeladen.

Chatkontrolle für WhatsApp und Signal

Die Missbrauchsbeauftragte Kerstin Claus sagte auf der Veranstaltung: „Hauptziel der CSA-Verordnung ist, Kinder vor Missbrauch und Ausbeutung online und offline zu schützen, nicht Massenüberwachung europäischer Bürger. Ja, wir müssen darüber diskutieren, welche Schutzmaßnahmen oder Einschränkungen wir benötigen, um Verstöße gegen die Privatsphäre der Kommunikation auszugleichen.“

Claus befürwortet offenbar eine Chatkontrolle. Vor drei Jahren warb sie für „ein gestuftes Verfahren bei der Chatkontrolle“ – explizit für „Chat-Dienste wie WhatsApp, Signal sowie E-Mail-Anbieter“.

Webseiten in Deutschland

Auf der Konferenz notierten die deutschen Vertreter: „62% der Webseiten mit Darstellungen des sexuellen Missbrauchs von Kindern werden in Europa gehostet.“ Die Quelle dafür ist die Internet Watch Foundation 2022.  Weiter schreiben sie: „Die Anzahl der aus Deutschland gehosteten Seiten hat sich allein zwischen 2020 und 2022 verzehnfacht.“ Auch das stammt von der Internet Watch Foundation 2022.

Diese Zahlen widersprechen denen der Bundesregierung. Laut Bundeskriminalamt sind fast die Hälfte der Verdachtsmeldungen aus den USA nach deutschem Recht strafrechtlich nicht relevant.

Bundeskriminalamt und Meldestellen erhielten 2020 relevante 1.728 Fälle und 2022 7.868 Fälle. Wenn die Polizei aktiv wird, sind diese Inhalte schnell weg. Über 99 Prozent dieser Inhalte werden innerhalb einer Woche erfolgreich gelöscht.

Immer wieder könnte die Polizei pädokriminelle Inhalte löschen, tut das aber nicht. Eine Bund-Länder-Gruppe hat einen Bericht dazu verfasst. Der soll jedoch geheim bleiben und nicht öffentlich werden.

Deutsche Sprachlosigkeit

Die deutsche Vertretung betitelt den Drahtbericht mit dem Satz „Keine Verordnung ist auch keine Lösung.“ Der erste Satz lautet: „Der Kampf gegen den sexuellen Missbrauch von Kindern droht auf EU-Ebene aufgrund der deutschen Sprachlosigkeit verloren zu gehen.“

Diese Absolutheit irritiert. Selbst vehemente Kritiker der Chatkontrolle sind nicht gegen die Bekämpfung von Missbrauch oder das gesamte Gesetz. Im Gegenteil, es gibt viele sinnvolle Vorschläge für besseren Kinderschutz im Internet. Diese werden aber von der Chatkontrolle überschattet.

Das EU-Parlament hat einen Verhandlungsentwurf beschlossen, der anlasslose Chatkontrolle ausschließt. Stattdessen sollen Internet-Dienste mehr Kinderschutz-Mechanismen einführen, wie eine Zustimmung zu unaufgeforderten Nachrichten und bessere Optionen zum Blockieren und Stummschalten. Die EU-Staaten könnten diese Position einfach übernehmen.

Stattdessen prognostiziert der Bericht, dass „noch ein schwieriger Trilog mit dem EU-Parlament wartet“. Das klingt, als ob die Innenpolitiker in Brüssel die parlamentarische Ablehnung der Chatkontrolle bedauern und in den anstehenden Verhandlungen wieder ändern wollen.

Endlich sprechfähig sein

Heute haben die Ständigen Vertreter der EU-Staaten über die Chatkontrolle verhandelt. Im Vorfeld forderte die deutsche Vertretung von der Bundesregierung: „Deutschland muss endlich sprechfähig sein.“

Hier das Dokument in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 29. Oktober 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BKAmt, BMI, BMJV, BMBFSFJ, BMWE, BMG
• Betreff: VO-Vorschlag Child Sexual Abuse: Es geht um Kinderschutz, nicht um „Chatkontrolle“. Keine Verordnung ist auch keine Lösung.
• Bezug: DKOR vom 29.07.2025 (BRUEEU_2025-07-29_67559)
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80
• DKOR-ID: BRUEEU_2025-10-29_64445

VO-Vorschlag Child Sexual Abuse: Es geht um Kinderschutz, nicht um „Chatkontrolle“. Keine Verordnung ist auch keine Lösung. I. Zusammenfassung und Wertung

Der Kampf gegen den sexuellen Missbrauch von Kindern droht auf EU-Ebene aufgrund der deutschen Sprachlosigkeit verloren zu gehen. Wo es um die brutalste und perverseste Form des Missbrauchs von Kindern (insbesondere auch Säuglingen und Kleinkindern) geht, wird in Deutschland eine datenschutz- und verfassungsrechtliche Debatte geführt, die in ihrer Einseitigkeit irritiert. „Wir wollen keine anlasslose Chatkontrolle“, schallt es aus Berlin, obwohl selbige in Brüssel niemand fordert. Eine Antwort auf die uns seit Monaten gestellte Frage, was wir eigentlich wollen und wie Pädokriminelle im Netz entdeckt werden sollen, bleiben wir hingegen schuldig – trotz maximaler Kooperations- und Kompromissbereitschaft der dänischen Ratspräsidentschaft, die nach langem Warten auf unsere Vorschläge zur „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ inzwischen aber zu realisieren beginnt, dass sie – bei welchem Lösungsansatz auch immer – ohne uns planen muss.

In Brüssel wird die deutsche Nichtpositionierung heftig kritisiert und maßgeblich dafür verantwortlich gemacht, dass die dringend erforderliche Einigung im Rat nicht erfolgen kann. Klar ist, dass wir (wie andere MS) unter enormen Druck einer lautstarken Internet-Community und einiger großer Tech-Konzerne stehen, die die Wahrnehmung im politischen Raum und der Öffentlichkeit einseitig prägen.

Dass es den Kinderschutzorganisationen demgegenüber schwerfällt, im öffentlichen Diskurs Gehör zu finden, wurde auch hier in Brüssel anlässlich einer Konferenz der European Child Sexual Abuse Legislation Advocacy Group (ECLAG) sowie einiger begleitend geführter Gespräche der StäV deutlich. Es lohnte aber, zuzuhören.

Rund 29,2 Millionen Fälle mutmaßlichen sexuellen Missbrauchs von Kindern gab es im Jahr 2024 ausweislich eines Berichts des „National Center for Missing and Exploited Children“ (NCMEC), einer gemeinnützigen Organisation, die 1984 vom Kongress der Vereinigten Staaten gegründet wurde und bei ihr eingehende Meldungen zu sexuellen Missbrauchsdarstellungen nach einer Überprüfung an die zuständigen Strafverfolgungsbehörden u.a. in Deutschland und Europa weiterleitet. Diese Meldungen enthielten insgesamt 62,9 Millionen Missbrauchsdarstellungen. Anders formuliert: In jeder Minute gibt es nachweislich 55 Fälle mutmaßlichen sexuellen Kindesmissbrauchs und 120 Fotos oder Videos dazu. Zudem geht das BKA von einem sehr hohen Dunkelfeld aus. Eine nähere Auswertung von rund 580.000 Bildern mit 650.000 sexuell missbrauchten Kindern durch die Internet Watch Foundation ergab, ebenfalls für das Jahr 2024, dass die Opfer meist zwischen 7 und 10 (228.928 Fälle, i.e. 35%) oder aber zwischen 11 und 13 Jahre alt sind (217.780 Fälle / 33,5%). In 101.240 Fällen, also rund einem Sechstel der untersuchten Bilder, sind die Opfer zwischen 3 und 6 Jahre alt. Auf immerhin 13.032 Bildern (2%) finden sich Säuglinge und Kleinkinder zwischen 0 und 2 Jahren, die meist besonders schwerem sexuellen Missbrauch ausgesetzt sind (sog. „Kategorie A“: Penetration, Sex mit Tieren und/oder Sadismus).

Im Jahr 2025 zeigt sich bislang ein derart dramatischer Anstieg der Zahlen, dass sich das NCMEC erstmals zu einem Halbjahresbericht veranlasst sah. Im Vergleich zum ersten Halbjahr 2024 ergab sich fast eine Verdopplung der Zahlen beim sog. „Online Enticement“ (Anlocken einer Person über das Internet, oft um sie zu einer bestimmten Handlung zu bewegen) von 292.951 auf 518.720. Der Sexhandel mit Kindern stieg von 5.976 auf 62.891 Fälle. Die Zahl KI-generierter Missbrauchsdarstellungen erhöhte sich von 6.835 auf 440.419.

62% der Webseiten mit Darstellungen des sexuellen Missbrauchs von Kindern werden in Europa gehostet. Die Anzahl der aus Deutschland gehosteten Seiten hat sich allein zwischen 2020 und 2022 verzehnfacht. Nach einer Untersuchung von „Protect Children“ ist Deutsch zudem die vierthäufigste Sprache von Nutzern, die im Darknet kinderpornographische Bilder und Filme suchen und anschauen (nach Englisch, Spanisch und Russisch).

Vor diesem Hintergrund sahen auf der o.g. Konferenz sowohl Magnus Brunner, Kommissar für Inneres und Migration, als auch Kerstin Claus, Unabhängige Beauftragte für Fragen des sexuellen Kindesmissbrauchs in Deutschland, dringenden Handlungsbedarf. Eine „Nicht-Verabschiedung der Verordnung sei keine Lösung“, so Kerstin Claus. Sexueller Missbrauch sei der schwerste Verstoß gegen Kinderrechte. Es sei wichtig, dass dies auch in der öffentlichen Diskussion wahrgenommen und berücksichtigt werde („a shift of mindset is necessary“). MdEP Jeroen Lenaers, EPP NLD, schloss sich diesem Appell an. Es gehe vor allem nicht um „Chatkontrolle“, sondern um Kinderschutz. Man müsse sich auf den tatsächlichen Inhalt der Verordnung konzentrieren und den politischen Entscheidungsträgern „real life stories“ nahebringen. Eine Vertreterin von Microsoft plädierte für eine gesetzliche Regelung, da eine solche den Status-quo verbessern würde und staatliche Akteure sich zudem nicht allein auf freiwillige kooperierende Diensteanbieter verlassen sollten. Weitere Diskussionsteilnehmer stellten ebenso auf den dringend notwendigen Schutz der Kinder ab. Die EU stünden nun vor der Wahl, zu handeln oder das Phänomen zu ignorieren. Jeder weitere Tag des Nichthandels führe zu irrreversiblen Schäden.

Wir lassen mit unserer eingangs skizzierten Sprachlosigkeit gerade die Gelegenheit verstreichen, die Verhandlungen im Rat zu prägen und den Kindesschutz grundrechtskonform zu verbessern.

Schlimmer noch: Wir sind drauf und dran dafür zu sorgen, dass sich die Rechtslage verschlechtert und sexueller Missbrauch von Kindern und Säuglingen künftig nur noch in Ausnahmefällen entdeckt, beendet, verfolgt und bestraft werden kann. Derzeit können Diensteanbieter auf Basis der sog. Interims-VO noch freiwillig nach Missbrauchsdarstellungen von Kindern in ihren Diensten suchen und diese melden. Diese Möglichkeit wird mit dem Auslaufen der Interims-VO im April wegfallen. Die online gestellten Bilder und Videos sind für die Polizei aber oft die einzige Möglichkeit, um auf Fälle sexuellen Missbrauchs aufmerksam zu werden, auch weil Kinder selten über ihren Missbrauch sprechen und oft erst Jahre später verstehen, dass sie Opfer einer Straftat geworden sind. Eine schnellstmögliche Einigung des Rates auf eine allgemeine Ausrichtung ist vor diesem Hintergrund dringend geboten (siehe auch schon Bezugs-DKOR).

II. Handlungsempfehlungen

Nach drei Jahren Verhandlungen mit insgesamt 47 Sitzungen im Rat sollte auch Deutschland eine Position zu der Frage finden, wie der massenhaft stattfindende sexuelle Missbrauch von Kindern bekämpft werden kann. Im AStV vom 5. November muss Deutschland endlich sprechfähig sein. Die Zeit drängt, da nach der zunächst erforderlichen Positionierung des Rates noch ein schwieriger Trilog mit dem EP wartet, der vor dem Auslaufen der Interim-VO abgeschlossen sein sollte.

III. Im Einzelnen

Zum in der Öffentlichkeit ausschließlich unter Datenschutz/Schutz privater Kommunikation Aspekten diskutierte Vorschlag einer „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ (CSA–VO) fand am 16.10. eine Veranstaltung des der European Child Sexual Abuse Legislation Advocacy Group (ECLAG) unter dem Titel „Back to basics: Fighting sexual abuse with children at the centre“ statt. ECLAG vereint mehr als 70 europäische und internationale NRO im Bereich des Schutzes von Kindern, u.a. Terre des Hommes, Eurochild, ECPAT International, Internet Watch Foundation und Thorn.

In ihren Begrüßungsansprachen machten sowohl Magnus Brunner, Kommissar für Inneres und Migration, als auch Kerstin Claus, Unabhängige Beauftragte für Fragen des sexuellen Kindesmissbrauchs, klar, dass eine Verpflichtung der Diensteanbieter beim Schutz von Kindern vor sexuellem Missbrauch online sowie bei der Bekämpfung der Verbreitung von Missbrauchsdarstellungen (im Folgenden: CSAM) dringend notwendig sei.

Fiona Jennings, Irish Society for the Prevention of Cruelty to Children (ISPCC), unterstrich, dass sexueller Missbrauch von Kindern historische Ausmaße erreicht habe. Anton Toni Klančnik, Specialist in AP Twins, Europol, unterlegte diese Aussage. Insbesondere Grooming sei ein wachsendes Problem. Für Europol sei es immer eine Priorität, anhand gemeldeter Bilder und Filme das Opfer zu identifizieren. So habe man in einer 2-wöchigen Task Force mehr als 50 Opfer entdeckt und identifiziert. Er erwähnte ebenso die Operation „Cumberland“ (KI-generierte Missbrauchsdarstellungen, 19 Länder, 273 Verdächtige, 25 Festnahmen, Stand Feb 2025). Erschreckend sei auch, dass es sogenannte Pädo-Handbücher mit detaillierten Anleitungen zu sexuellem Missbrauch von Kindern gäbe.

Antonio Labrador Jimenez, DG Home European Commission, stellte klar, dass die CSA–VO einen Fokus auf Prävention setzte und in großen Teilen unumstritten sei. So werde z.B. die Einrichtung eines EU-Zentrums einstimmig begrüßt. Lediglich zu den sogenannten Detection Orders (Aufdeckungsanordnungen) gäbe es noch keine Einigung. Es sei nicht sinnvoll, sich auf Meldungen von Opfern oder ihren Angehörigen zu verlassen. Kinder würden sich nicht melden, weil sie entweder zu jung oder zu verängstigt seien. Eltern oder soziales Umfeld seien oft unwissend oder gar selbst Täter. Es sei gut, dass die Diensteanbieter Erfahrung bei der Aufdeckung von CSAM hätten. Man dürfe aber nicht außer Acht lassen, dass mittlerweile 80% der bei NCMEC eingehenden Berichte aus privater Kommunikation sei. Der VO-Entwurf stelle auch nicht auf Fragen der verschlüsselten Kommunikation ab, sondern sei bewusst technologieneutral gehalten. Fakt sei aber z.B. ein deutlicher Rückgang der Meldungen seitens Facebook, nachdem dort Ende-zu-Ende-Verschlüsselung im Messenger eingeführt worden sei. Man müsse sich zudem die Frage stellen, warum in der öffentlichen Diskussion immer Art. 7 der Grundrechtecharta der EU (Achtung der Kommunikation) über die Rechte der Kinder z.B. aus Art. 3 (Recht auf körperliche Unversehrtheit) und Art. 4 (Verbot der Folter und unmenschlicher oder erniedrigender Strafe oder Behandlung) gestellt werde. Wenn eines der Grundrechte Vorrang haben könne, dann wohl eher Art. 3, da sexueller Missbrauch von Kindern eindeutig eine unmenschliche und erniedrigende Behandlung darstelle.

MEP Jeroen Lenaers (Niederlande, EPP), Berichterstatter zur Überarbeitung der CSA-Richtlinie, nannte es einen Skandal, dass der Rat sich immer noch nicht auf eine Position geeinigt habe und zugleich die MS der blocking minority keine Ideen zur Kompromissfindung einbrächten. Man müsse auch ganz deutlich machen, dass es nicht um „Chatkontrolle“ sondern um Kinderschutz ginge. Auch er bedauere, dass der Vorschlag in der Öffentlichkeit komplett einseitig wahrgenommen werde und man mittlerweile nicht mehr über den Inhalt diskutiere. Die Position des EP zur CSA–VO sei sicher nicht optimal, aber man sei zumindest bereit für den Trilog und damit für ein Vorankommen des Vorschlags. Bei der CSA-Richtlinie komme man im Trilog leider auch nicht voran, da die Ambitionen der MS sehr gering seien.

Das zweite Podium der Veranstaltung konzentrierte sich auf technologische Aspekte.

Jasper van Heugten, KI-Experte, stellte klar, dass es bereits verlässliche Technologien zur Feststellung von CSAM gebe. Dies würden nicht unbedingt einen Eingriff in die Privatsphäre oder eine Berichtsautomatismus enthalten. Die Prämisse müsse allerdings sein, dass die gemeinsamen Werte die Technik bestimmen müsse, nicht umgekehrt. Auch sei es sinnvoll, für unterschiedliche Plattformen spezifische Technologien zu entwickeln. Bei der Diskussion zur Aufdeckung von Grooming müsse klargestellt werden, dass die Wortwahl eindeutig und deutliche unterscheidbar von normaler Kommunikation sei.

Lea Peters, ECPAT Germany, erinnerte daran, dass das Internet in seinen Anfängen nicht für Kinder designed worden sei. Mittlerweile enthalte aber fast jeder sexuelle Missbrauch von Kindern auch eine online-Komponente.

Julie Guichard, Microsoft, erläuterte die Maßnahmen von Microsoft in den Chatfunktionen der Xbox. Die KI-gestützte Software erfasse 90 Sprachen. In 2025 habe Microsoft 4,5 Millionen Inhalte entfernt, bevor diese weitergeleitet wurden. Es gäbe auch die Möglichkeit, die Sperrung von privaten Bildern bei Microsoft zu beantragen. Hinsichtlich des Problems KI-generierter Missbrauchsdarstellungen würden die Gegenmaßnahmen von Microsoft derzeit noch halten. Microsoft sehe die Möglichkeit der freiwilligen Aufdeckung als guten Anreiz für Unternehmen an; auch im Hinblick auf die Weiterentwicklung von Technologien einschließlich der notwendigen Investitionen. Auch Microsoft plädiere dafür, dass eine rechtliche Regelung den Status-quo verbessere. Dazu gehöre, die nicht kooperativen Plattformen zu verpflichten, Prävention zu gewährleisten. Die staatlichen Akteure und Entscheidungsträger dürften sich nicht auf die gutwilligen Betreiber alleine verlassen. Client-Side Scanning werde bereits gemacht, allerdings ohne die Treffer weiterzuleiten. Man dürfe nicht akzeptieren, dass Straftäter sich immer sicherer fühlten. Auch Julie Guichard sah es als wichtig an, klarzumachen, dass es um Aufdeckung und nicht um Überwachung gehe. Auf Nachfrage erläuterte sie, dass Microsoft Xbox Accounts aussetzen und sperren könne, abhängig von der Schwere des Verstoßes. Man kommuniziere dies offen und transparent, um auch dem Nutzer klar zu machen, dass z.B. Grooming Versuche nicht toleriert würden.

Alle im DKOR dargestellten Zahlen stammen aus der vorstehend skizzierten Konferenz und aus Gesprächen, die StäV auf entsprechende Anfragen am 15.10.2025 namentlich mit Lea Peters, Referentin Digitaler Kinderschutz bei ECPAT Deutschland e.V., sowie am heutigen 29.10.2025 mit Kerry Smith, CEO der Internet Watch Foundation, geführt hat. Sie sind im Internet frei zugänglich.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Projekt „Surveillance under Surveillance“ visualisiert Videoüberwachung auf einer Weltkarte. Kurzfristig stand der Weiterbetrieb auf der Kippe, jetzt geht es unter dem Dach des Chaos Computer Club Hamburg weiter.

So viele Kameras überwachen rund um den Bahnhof Hamburg-Dammtor. – OSM

Die im Jahr 2016 gestartete Weltkarte der Videoüberwachung „SunderS“ ist gerettet. Seit 2016 hatte eine Einzelperson das Projekt betreut, wegen mangelnder persönlicher Kapazitäten war das Projekt nun bedroht. Spontan ist jetzt der Chaos Computer Club Hamburg eingesprungen und nimmt das Projekt unter seine Fittiche.

Der Vorgang zeigt, dass auch langjährige zivilgesellschaftliche Dokumentationsprojekte oft am seidenen Faden hängen. „Nachdem der Weiterbetrieb zeitweise auf der Kippe stand, betreibt nun auch der CCC Hamburg eine Instanz, um das Projekt verfügbar zu halten“, sagt Matthias Marx, Sprecher des Vereins.

Standorte, Typen, Blickrichtung

Unter dem Projektnamen „Surveillance under Surveillance“ werden sogenannte Surveillance-Einträge von OpenStreetMap visualisiert. „Das ist ein wichtiges Projekt, das Überwachung sichtbar macht und zeigt, wie allgegenwärtig Kameras im öffentlichen Raum inzwischen sind. Auf Basis von Openstreetmap-Daten werden Informationen zu Kamera-Standorten, Kamera-Typen und Blickrichtung zugänglich gemacht“, erklärt Marx.

Es handelt sich dabei um Überwachungskameras, die zwar in der Datenbank erfasst, aber nicht auf der regulären OpenStreetMap-Karte angezeigt werden. „Damit schafft SunderS Transparenz über die Überwacher und erinnert daran, dass wir unsere Freiheit aktiv verteidigen müssen“, so Marx weiter.

Das Projekt gibt auch Aufschluss über die Explosion der Videoüberwachung im Verlauf mehrerer Jahre. Bei unserem letzten Bericht über das Projekt im Jahr 2017 waren weltweit etwa 50.000 Kameras kartografiert, heute sind es mehr als 250.000. Die reale Zahl von Kameras liegt allerdings deutlich darüber. Schon im Jahr 2020 ging eine Schätzung von 770 Millionen Überwachungskameras weltweit aus, die Hälfte davon sollte damals in China installiert sein. Da OpenStreetMap ein Mitmachprojekt ist, hängt die Kartografierung an Freiwilligen, die Kameras bei Openstreetmap eintragen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Internet-Dienste sollen nicht zur Chatkontrolle verpflichtet werden, aber mit Chatkontrolle freiwillig das Risiko für Straftaten mindern. Das schlägt die dänische Ratspräsidentschaft in einem Debattenpapier vor. Die EU-Kommission soll später prüfen, ob das reicht – oder nochmal ein Chatkontrolle-Gesetz vorschlagen.

Dänischer Justizminister Peter Hummelgaard. – CC-BY-NC-ND 4.0 Dänische Ratspräsidentschaft

Seit dreieinhalb Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, auf Anordnung die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten können sich im Rat bisher nicht auf eine gemeinsame Position einigen. Letzte Woche hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Euractiv hat den Vorschlag veröffentlicht. Wir veröffentlichen das Dokument ohne Wasserzeichen.

Anderer Ansatz erforderlich

Dänemark erklärt darin den bisherigen Verlauf des Gesetzgebungsverfahrens. Die EU-Staaten haben ganze 37 Mal in der Ratsarbeitsgruppe Strafverfolgung und mehrmals auf Ebene der Ständigen Vertreter verhandelt.

Einigen konnten sie sich nicht. Manche Staaten wollen eine weitreichende verpflichtende Chatkontrolle. Andere Staaten haben „Bedenken hinsichtlich des Schutzes der Grundrechte der Nutzer und der Cybersicherheit“ und „Zweifel hinsichtlich der Verfügbarkeit zuverlässiger und genauer Technologien zur Erkennung“ strafbarer Inhalte.

Deshalb ist Dänemark „der Ansicht, dass ein anderer Ansatz erforderlich ist“.

Verpflichtende Chatkontrolle streichen

Dänemark schlägt vor, im Gesetzentwurf den ganzen Abschnitt zu „Aufdeckungspflichten“ zu streichen, also Artikel 7 bis 11. Das sind die „Aufdeckungsanordnungen“, also die Verpflichtung zur Chatkontrolle.

Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation will Dänemark hingegen „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle war seit 2002 verboten, ist seit 2021 vorübergehend erlaubt, mit dem Gesetz soll sie dauerhaft erlaubt werden.

Risiko für Straftaten mindern

Internet-Dienste sollen das Risiko mindern, dass ihre Dienste für Straftaten genutzt werden. Dazu zählt unter anderem eine Altersüberprüfung. Jetzt soll auch die freiwillige Chatkontrolle als mögliche Minderungsmaßnahme gelten.

Dienste, die ein „hohes Risiko“ haben, für Straftaten genutzt zu werden, sollten „weiterhin verpflichtet werden, Maßnahmen zur Entwicklung relevanter Technologien zu ergreifen, um das Risiko des sexuellen Missbrauchs von Kindern, das auf ihren Diensten festgestellt wurde, zu mindern“.

Sprungbrett für weitere Arbeiten

Dänemark will die verpflichtende Chatkontrolle aber nicht vollständig aufgeben. Die Ratspräsidentschaft will eine „Überprüfungsklausel“ einführen. Die fordert die EU-Kommission auf, „die Notwendigkeit und Durchführbarkeit der künftigen Aufnahme von Aufdeckungspflichten unter Berücksichtigung der technologischen Entwicklungen zu bewerten“. Das kann „zu einem neuen Legislativvorschlag der Kommission führen“.

Die EU-Kommission hat die verpflichtende Chatkontrolle überhaupt erst vorgeschlagen und treibt sie unermüdlich voran. Dänemark schlägt also vor, dass die Kommission die freiwillige Chatkontrolle bewerten soll. Wenn es ihr nicht reicht, soll sie nochmal ein EU-Gesetz mit verpflichtender Chatkontrolle vorschlagen.

Die Ratspräsidentschaft bezeichnet den Kompromissvorschlag „als Sprungbrett für weitere Arbeiten zum Schutz von Kindern im Internet“.

Zustimmung nicht absehbar

Ob die EU-Staaten diesen Kompromiss mitgehen, ist bisher nicht absehbar. Im ersten Halbjahr hat die polnische Ratspräsidentschaft einen sehr ähnlichen Vorschlag gemacht. Dieser Vorschlag fand nicht genug Zustimmung, die Mehrheit der EU-Staaten beharrte auf verpflichtender Chatkontrolle.

Morgen tagen die Ständigen Vertreter der EU-Staaten erneut und diskutieren den Vorschlag.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In den USA übernehmen private Plattformen und Konzerne immer mehr staatliche Funktionen. Wissenschaftler:innen machen dieses System nun sichtbar: Auf einer interaktiven Webseite zeigen sie den „Authoritarian Stack“ und wie dieser zunehmend auch nach Europa greift.

Das autoritäre Tech-Netzwerk. (Screenshot aus der Studie) – CC-BY-NC-ND 4.0 authoritarian-stack.info

Im Juli dieses Jahres hat das Pentagon einen 10-Millarden-Dollar-Vertrag mit dem Unternehmen Palantir abgeschlossen. Für die Wirtschafts- und Sozialwissenschaftlerin Francesca Bria haben die USA damit zentrale militärische Funktionen an ein privates Unternehmen übergeben, dessen Gründer Peter Thiel erklärt hat, dass „Freiheit und Demokratie nicht mehr miteinander vereinbar sind“.

Ausgehend von diesem Deal zeichnet Bria, die sich zuletzt eingehend mit der Frage nach digitaler Souveränität in Europa beschäftigt hat, ein düsteres Bild auch für die politische Zukunft Europas. In den USA habe sich ein „Authoritarian Stack“ gebildet, der eine Infrastruktur der Kontrolle aufbaue – und zwar in den Bereichen Cloud, KI, Finanzen, Drohnen und Satelliten, schreibt sie. Es entstünde ein Bereich, in dem nicht die allgemeinen Gesetze gelten, sondern Unternehmensvorstände die Regeln festlegen würden.

Auf der englischsprachigen Webseite authoritarian-stack.info zeigen Wissenschaftler:innen jetzt die personellen und finanziellen Verbindungen hinter dem „Authoritarian Stack“ auf – und warnen davor, das Modell nach Europa zu exportieren. Das Projekt kartiert mit interaktiven Grafiken ein Netzwerk aus Unternehmen, Fonds und politischen Akteuren, die zentrale staatliche Funktionen in private Plattformen umwandeln. Es basiert auf einem Open-Source-Datensatz mit über 250 Akteuren, Tausenden von verifizierten Verbindungen und dokumentierten Finanzströmen in Höhe von 45 Milliarden US-Dollar.

„Systematische Auslagerung der europäischen Souveränität“

Dieses Netzwerk teilen die Wissenschaftler:innen auf in die Bereiche Unternehmen, Staat, Risikokapital und Ideologie und zeigen die Querverbindungen zwischen diesen Bereichen. Dabei nimmt das Projekt auch europäische Verstrickungen zum Authoritarian Stack ins Visier, zum Beispiel die Verbindung von Springer-Chef Mathias Döpfner zu Peter Thiel, die Verbindungen von deutschen Landespolizeien zu Palantir oder die von Rheinmetall zum Rüstungskonzern Anduril. In der interaktiven Grafik lässt sich per Schieberegler die europäische Perspektive anzeigen.

Francesca Bria warnt angesichts der Erkenntnisse deutlich, dass Europa vor einer existenziellen Entscheidung stehe: „Entweder jetzt echte technologische Souveränität aufbauen oder die Herrschaft von Plattformen akzeptieren, deren Architekten Demokratie als veraltetes Betriebssystem betrachten“, heißt es auf der Seite. Derzeit verfolge Europa eine „systematische Auslagerung der europäischen Souveränität an amerikanische Oligarchen“, die sich mit jedem Vertrag vertiefe und irgendwann unumkehrbar werde.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.