netzpolitik.org
Babywindeln und Bibelverse statt Cocktails und Miniröcke: Der Content der „Tradwives“ weckt die Sehnsucht nach einem entspannteren Leben. Soziale Medien werden so zum Sprachrohr einer reaktionären Bewegung.
Die Schürze sitzt, der Ofen ist vorgeheizt, die Kinder tollen im Garten. Oh, wie schön ist das Hausfrauen-Leben! Immer mehr Frauen zeigen sich auf Instagram, TikTok und Co. in einem für die Plattformen ungewöhnlichen Look: Sie tragen lange Kittel, kochen und putzen, filmen sich bei der Kindererziehung und sprechen dabei über christliche Familienwerte. Tradwives nennen sich die anachronistischen Trendsetterinnen selbst – „traditionelle Ehefrauen“.
Konservative Revolte in den sozialen Medien
Die Beiträge gespickt mit selbstgekochter Marmelade, Babywindeln und Bibelversen bilden einen krassen Gegensatz zum stereotypen Influencer:innen-Clip im New Yorker Loft oder auf der Party-Jacht vor Hawaii. Denn bei den schürzentragenden Tradwives geht es konservativ zu. Der Mann geht arbeiten, die Frau bleibt zuhause und kümmert sich um Heim und Nachwuchs. In unzähligen Videos kokettieren die Social-Media-Tradwives mit der Novelle längst überwundener Konventionen.
Und der Trend zur Tradition hat Erfolg: Beiträge der konservativen Hausfrauen erzielen regelmäßig mehrere zehntausend Likes und werden vielfach geteilt. Allein auf TikTok wurden dem Hashtag #tradwife bislang rund 72 Millionen Posts veröffentlicht. Auch ich stolpere inzwischen mehrmals täglich über ein #tradwife-Video im Netz.
Verblüffend, könnte man meinen, dass dieser Content solch einen Durchschlag hat – in einer Zeit, in der die meisten Frauen sich doch eigentlich emanzipieren wollen. Während immer mehr Frauen in Führungspositionen arbeiten, politische Ämter bekleiden und Paarbeziehungen auf Augenhöhe pflegen, gleicht der Content der Tradwives geradezu einer konservativen Revolte: Sie verüben bewusst keine bezahlte Arbeit, wollen keine eigene politische Meinung vertreten und ordnen sich bereitwillig dem Ehemann unter.
Kurzum: Es ist ein Social-Media-Trend, der so gar nicht zu Social Media passen will – oder etwa doch?
Die Sehnsucht nach einem besseren Leben
Dass der Tradwife-Trend bei jungen Menschen Erfolg hat, ist nur auf den ersten Blick verwunderlich. Denn hinter den zigtausenden Likes verbirgt sich die Sehnsucht nach einem besseren Leben.
Hierzulande verrichten noch immer Frauen einen Großteil der Care-Arbeit – unbezahlte Arbeit im Haushalt und in der Familie. Gleichzeitig steigt die Zahl der Frauen, die Lohnarbeit leisten, stetig an.
Von Frauen wird somit alles auf einmal verlangt: Sie sollen fürsorgliche Mütter, produktive Lohnarbeiterinnen, leidenschaftliche Ehepartnerinnen und gewissenhafte Haushälterinnen sein.
Dabei stellt die arbeitende Frau, die gleichzeitig die Kinder erzieht und die Wäsche wäscht, kaum eine Veränderung zu früher dar. Entgegen dem verbreiteten Narrativ haben Frauen der meisten Klassen schon immer auch für Lohn gearbeitet – in der Regel fiel dieser allerdings signifikant geringer aus als der ihrer männlichen Kollegen. Sich eine „Hausfrau“ – im wahrsten Sinne des Wortes – leisten, das konnten nur die oberen Schichten.
Der entschleunigte Alltag der Tradwives
In ihren Videos leben die Tradwives ein Leben vor, das viel sorgloser zu sein scheint als das vieler junger Menschen heutzutage. Die meisten Influencerinnen sind kaum älter die jugendlichen Konsument:innen ihrer Clips.
Statt 40 Stunden in der Woche arbeiten zu gehen und sich am Feierabend auch noch um Kinder und Haushalt zu kümmern, präsentieren die Tradwives einen geradezu entschleunigten Alltag. Sie backen Brot, malen mit dem Kind Mandalas aus, lesen in der Bibel, pflegen ihren Garten. Die Familie steht im Mittelpunkt. Das Leben der Frauen bestimmen, so suggerieren es die Beiträge, nicht Leistungsdruck und Produktivität. Stattdessen scheinen sie eine Freiheit zu genießen, von der die meisten jungen Menschen heutzutage nur träumen können.
Ja, eine Frau kann sich für ein Leben als Hausfrau entscheiden und trotzdem emanzipiert sein – sofern es die wirtschaftliche Lage zulässt. Schließlich geht es bei der Emanzipation der Geschlechter darum, dass alle Menschen selbst entscheiden können, welches Leben sie führen wollen.
Mit einer freien Entscheidung hat das Leben der Tradwives jedoch nur äußerst wenig zu tun. Auch, wenn die Influencerinnen gerne davon erzählen, wie wohl sie sich in ihrer Position fühlen, ist das Ehefrauen-Dasein für sie vor allem eines: die Erfüllung einer von Gott auferlegten Rolle als Hausfrau und Mutter. Denn hinter dem Tradwife-Content steckt weit mehr als die bloße Verkitschung des Hausfrauenlebens – nämlich eine reaktionäre Ideologie.
Unterwerfung statt Emanzipation
Gebetsmühlenartig sprechen die Tradwives davon, dass Frauen niemals ihren Zweck vergessen sollten: Sie seien dazu geschaffen, Kinder zu gebären. Abtreibungen seien Mord und damit eine Sünde. Auch sollen Frauen stets ihrem Ehemann „dienen“. Der Mann sei das Oberhaupt der Familie und an seine Weisungen habe Frau sich zu halten. Dazu gehöre auch die Erfüllung seiner sexuellen Bedürfnisse, das sei die Pflicht jeder gottestreuen Ehefrau. Die Kinder schicken sie natürlich nicht in die Schule, sondern unterrichten sie zuhause – der liberalen Propaganda wegen.
Was wie ein wahrgewordener Alptraum klingt, stellen die Tradwives in einer bestechenden Ästhetik dar. Wo aber der frisch angesetzte Sauerteig den Blick auf die eigene Unterdrückung versperrt, finden sich schnell Follower:innen. Statt einer fremdbestimmten, ausgebeuteten und finanziell abhängigen Frau bekommen diese nur das hausgemachte Krustenbrot zu sehen – hinterlegt mit einem butterweichen Country-Song.
Die Tradwives propagieren die Unterwerfung: vor Gott, vor der Gemeinschaft und vor dem eigenen Ehemann. Sie sind Teil einer rechten Publicity, die in den sozialen Medien immer mehr zunimmt. Ihre Videos mögen entspannend und befreiend wirken. Doch die Ästhetik des Fundamentalismus verspricht nur eines: Die Sicherheit auf ein unfreies Lebens für alle Frauen, die ihr zum Opfer fallen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Justizministerium will in seinem Eckpunkten zu einem Digitale-Gewalt-Gesetz auch Unternehmen schützen. Gerichtsentscheidungen machen deutlich, dass dieser Plan nicht mit dem Europarecht vereinbar ist. Ob und wann es zu einem Gesetz kommt, das Betroffene von digitaler Gewalt schützt, ist offen.
Vor einem Jahr machte das Justizministerium (BMJ) den ersten Schritt zu einem Gesetzesvorhaben, das im Koalitionsvertrag vereinbart ist und veröffentlichte auf seiner Website zunächst „Eckpunkte für ein Gesetz gegen digitale Gewalt“. Kurz darauf, am 25. April 2023, folgten Erläuterungen dazu.
Ziel des geplanten Gesetzes sollte sein, dass Betroffene von digitaler Gewalt auf Plattformen und Messengern Täter*innen leichter identifizieren und dadurch zivilrechtlich gegen sie vorgehen können. Von Fachverbänden wie NGOs wurden die Eckpunkte breit kritisiert. Das Verfahren werde erwartbar viel zu lange dauern und helfe kaum in typischen Fälle massenhafter Angriffe durch ständig wechselnde Accounts, sogenannte Shitstorms.
Außerdem: Einerseits seien manche Bereiche digitaler Gewalt in den Eckpunkten überhaupt nicht berücksichtigt, andererseits schließt die Definition des BMJ von digitaler Gewalt auch Unternehmensrechte mit ein. Ein Beispiel dafür sind die explizit erwähnten Restaurantkritiken, also wenn Nutzer*innen ein Unternehmen auf einer Online-Plattform unwahr bewerten und ihm damit schaden.
Nach der Veröffentlichung der Eckpunkte und der ausführlichen Kritik wurde es still um die Pläne des BMJ. Obwohl ein erster Referentenentwurf ursprünglich für Herbst 2023 angekündigt war, hat sich seitdem nichts Sichtbares mehr getan.
Gerichte bringen Plan des Justizministeriums zu Fall
Auf Anfrage, ob und wann mit weiteren Schritten zu rechnen sei, antwortet das BMJ, dass der Referentenentwurf „derzeit erarbeitet“ werde, einen konkreten Zeitpunkt für die Vorlage gebe es aber noch nicht. Es müsse „die aktuelle Rechtsprechung des Europäischen Gerichtshofs vom 9. November 2023 zum Herkunftslandprinzip und des Bundesgerichtshofs vom 28. September 2023 zur internationalen Zuständigkeit berücksichtigt werden.“
Die entsprechende Prüfung, so das BMJ, dauere noch an. Doch worum geht es in den beiden Entscheidungen?
Der Bundesgerichtshof (BGH) hatte im September 2023 entschieden, dass unwahre Bewertungen im Netz nicht dazu berechtigen, die Herausgabe von Bestandsdaten zu verlangen – wenn dies vor einem deutschen Gericht beantragt wird, aber Daten im EU-Ausland betrifft. Im konkreten Fall ging es um eine Auseinandersetzung zu Bewertungen bei Amazon mit Sitz in Luxemburg.
Das BMJ muss also seine Idee, auch falsche Restaurantbewertungen als Digitale Gewalt zu definieren, nun möglicherweise aufgeben. Denn in den Eckpunkten geht es zentral darum, in Fällen digitaler Gewalt die Herausgabe der Bestandsdaten von Täter*innen (Name, Anschrift, weitere Kontakt- und Zugangsdaten) zu erreichen, um diese dann zivilrechtlich verklagen zu können.
Deutschland kann nicht einfach etwas vorschreiben
Die Entscheidung des Europäischen Gerichtshofs (EuGH) vom November 2023 besagt, dass ein Mitgliedstaat dem Anbieter einer Kommunikationsplattform, der in einem anderen Mitgliedstaat niedergelassen ist, keine „generell-abstrakten Verpflichtungen“ auferlegen darf.
Die grundsätzliche Aufsicht über ein Unternehmen liegt gemäß dem Herkunftslandprinzip bei dem EU-Land, in dem das Unternehmen seinen Sitz hat. Das bedeutet, dass die in den Digitale-Gewalt-Eckpunkten vorgesehenen Zustellungsbevollmächtigten nicht wie geplant vorgeschrieben werden können.
Dieses Problem gab es bereits im Netzwerkdurchsetzungsgesetz, das jetzt aber durch die Umsetzung des Digital Services Acts aufgehoben wird.
Das Urteil des EuGH stellt nun die Konstruktion des geplanten Gesetzes in Frage. Die Idee des BMJ beruht darauf, Anbieter von Plattformen dazu zu verpflichten, bei der Erlangung von Bestandsdaten behilflich zu sein – und zwar explizit auch in Fällen, bei denen Unternehmen falsch bewertet werden. In den meisten Fällen haben diese Plattformen ihren Sitz außerhalb Deutschlands.
Zu befürchten ist, dass das Justizministerium weiter daran festhält, mit dem Digitale-Gewalt-Gesetz auch die Rechte von Unternehmen schützen zu wollen und nun noch länger darüber nachdenkt, wie das angesichts der Entscheidungen von BGH und EuGH zu bewerkstelligen wäre.
Hilfe für Betroffene in den Fokus nehmen
Eine sinnvolle Möglichkeit wäre, wenn sich das Justizministerium nun von der Idee verabschiedete, bösartige Restaurantkritiken als digitale Gewalt zu definieren und die Lösung primär darin zu sehen, die Anonymität von Täter*innen aufzuheben. Wie Betroffenen tatsächlich geholfen werden könnte und müsste, hatte der Juristinnenbund letztes Jahr ausführlich am Beispiel bildbasierter Gewalt beschrieben.
„Das Bundesjustizministerium ist jetzt gefordert, genau zu prüfen, welche Auswirkungen die beiden Entscheidungen auf das Vorhaben für ein Gesetz gegen digitale Gewalt haben und dann einen Vorschlag vorzulegen, der dem Rechnung trägt“, kommentiert Benjamin Lück von der Gesellschaft für Freiheitsrechte (GFF) diese Entwicklung. Und ergänzt:
Dabei darf man nicht vergessen, dass die bisher vorgelegten Eckpunkte auch an anderen Stellen und dabei gerade bei der Regelung zu Accountsperren Lücken aufweisen. Sie verhalten sich bislang insbesondere nicht zu volksverhetzenden Inhalten.
Die Gesellschaft für Freiheitsrechte hatte einen eigenen Diskussionsentwurf für Accountsperren eingebracht. Bei hetzerischen Inhalten sollen demnach sowohl Personen aus betroffenen Gruppen eine Accountsperre bei Gericht beantragen können, als auch Verbände als Vertreter*innen der Gruppen.
Josephine Ballon von Hateaid hofft, dass das Vorhaben nicht aufgegeben wird, Betroffenen von digitaler Gewalt Werkzeuge zur Identifizierung von Täter*innen zu geben. Aus ihrer Erfahrung berichtet sie: „Wir erleben es nicht zum ersten Mal, dass Zuständigkeitsregeln die Rechtsdurchsetzung für Nutzende in sozialen Netzwerken erschweren. Wir arbeiten intensiv daran, Möglichkeiten einer europarechtskonformen Ausgestaltung auszuloten.“
Abgeordnete fordern Referentenentwurf
Im Parlament wie bei Fachverbänden löst die Verzögerung seitens des BMJ Fragezeichen aus. Die Parlamentarierinnen der Regierungskoalition bauen darauf, dass es das Gesetz noch geben wird. Laut Carmen Wegge (SPD) sei man „im regen Austausch mit dem Justizministerium“ und wisse, „dass hinter den Kulissen fleißig am Gesetz gegen digitale Gewalt gearbeitet wird.“ Sie sei zuversichtlich, bald über einen konkreten Entwurf sprechen zu können. Wann genau, sagt sie jedoch nicht.
Renate Künast (Bündnis 90/Die Grünen) findet, dass es ein Gesetz gegen digitale Gewalt „besser heute als morgen geben“ sollte:
Das BMJ muss jetzt aktuelle Rechtssprechung auswerten und möglichst zügig einen guten Entwurf vorlegen, damit wir ihn im Parlament zügig verabschieden können. Wir brauchen eben auch dieses Instrument angesichts des massiven und systematischen Drucks der zum Beispiel auf Kommunalpolitik ausgeübt wird. Das gefährdet unsere Demokratie.
Die Opposition ist erwartbar skeptischer. Günter Krings, CDU/CSU, meint, es entspreche „ja dem Arbeitstempo dieser Regierung, dass seit der Vorstellung der Eckpunkte vor einem Jahr kein konkreter Gesetzentwurf vorgelegt worden ist.“
Anke Domscheit-Berg (Die Linke), fürchtet, dass es nur noch zwei realistische, aber schlechte Möglichkeiten gebe:
Entweder einigt sich die Koalition, doch noch und dann gibts ein Digitale Gewaltschutzgesetz, das diesen Namen nicht verdient, weil es viele Gewaltformen überhaupt nicht adressiert und am Ende mehr schadet als nutzt. Oder aber das Vorhaben scheitert komplett, dann gibts gar kein Gesetz und auch künftig zu wenig Schutz vor digitaler Gewalt vor allem für Frauen und Mädchen und allgemein Menschen, die ohnehin schon diskriminiert werden, sowie marginalisiert und unterrepräsentiert sind.
Unklarheit über die Entwicklung des vereinbarten Gesetzes
Allgemein herrscht Unklarheit, ob und wie die umfangreiche Kritik der Stellungnahmen aus dem vergangenen Sommer im Entwurf berücksichtigt werden wird. Der Bundesverband Frauenberatungsstellen und Frauennotrufe (bff) drängt: „Ein Gesetz, was digitale Gewalt umfassend und betroffenenzentriert regelt wäre erfreulich. Aus den veröffentlichten Eckpunkte geht allerdings hervor, dass es bis dahin noch eine lange politische Debatte braucht. Gleichzeitig wird dafür die Zeit in der laufenden Legislaturperiode knapp.“
Auch Domscheit-Berg von den Linken sieht große Schutzlücken jenseits der Eckpunkte, etwa bei der Finanzierung von Beratungsstellen und Frauenhäusern oder auch dem Thema bildbasierter Gewalt.
Renate Künast hält die grundsätzliche Richtung der Eckpunkte grundsätzlich insofern für sinnvoll, „als dass die wichtige Instrumente zur Stärkung der Betroffenen enthalten waren“. Der Fokus solle jedoch “klar auf digitaler Gewalt statt zum Beispiel Restaurantkritiken liegen“. So sei das Gesetz „ein wichtiger Baustein im Kampf gegen Hass und Bedrohungen im Netz. Wir werden aber weiter darüber diskutieren müssen, wie das Recht mit den Entwicklungen im Netz mitwachsen kann.“
Auch die SPD ist grundsätzlich mit den Eckpunkten einverstanden. Carmen Wegge, SPD, meint aber, bisher habe „die feministische Perspektive gefehlt. Daher wollen wir die Strafbarkeitslücken bei bildbasierter Gewalt schließen. Das digitale Gewaltschutzgesetz muss einen echten Mehrwert speziell für Frauen haben, da sich zum Beispiel häusliche Gewalt häufig im Digitalen fortsetzt. Zu all diesen Themen sind wir in guten Gesprächen und ich bin zuversichtlich, dass wir ein gutes digitales Gewaltschutzgesetz bekommen werden“.
Die Zeit wird knapp
Günter Krings, CDU/CSU, findet eine allein auf das Zivilrecht fokussierende Regelung nicht ausreichend: „Die Verbesserung der privaten Rechtsdurchsetzung darf insofern nicht dazu führen, dass Opfer von Hasskriminalität ausschließlich auf ihre eigenen zivilrechtlichen Durchsetzungsmöglichkeiten verwiesen werden.“ Ob das bedeutet, dass die Union wie gehabt eine Ausweitung des Strafrechts fordert oder aber eine bessere Unterstützung der Opfer in zivilrechtlichen Verfahren, lässt er offen.
In weniger als anderthalb Jahren wird der Bundestag neu gewählt, und damit läuft jetzt die Zeit für die noch nicht umgesetzten Vorhaben des Koalitionsvertrags. Wenn es nicht bald einen Referentenentwurf gibt, der dann ja noch mit den Koalitionspartnern verhandelt und durch das parlamentarische Verfahren gebracht werden muss, wird es knapp für das Digitale-Gewalt-Gesetz.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die 17. Kalenderwoche geht zu Ende. Wir haben 24 neue Texte mit insgesamt 165.611 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.
Liebe Leser:innen,
es gibt viele Arten von Journalismus, manche wollen vor allem unterhalten, andere informieren. Wir bei netzpolitik.org haben nichts gegen gute Unterhaltung, ab und zu lassen wir uns sogar zu ihr hinreißen. Ein großer Teil unserer Arbeit besteht allerdings darin, Dinge aufzudecken, die noch nicht öffentlich sind.
Diese investigative Arbeit ist ein bisschen wie eine Reise rückwärts: In diesem Fall ging die Reise von einem Leser*innen-Hinweis aus und führte zu einem ganz anderen Ziel als dem, das wir anfangs erwarteten. Der Name unserer internen Recherchedatei ist dafür ein guter Indikator: Er heißt Wizz Air. Um Daten dieses Billigfliegers sollte es in der Geschichte eigentlich gehen. Dachten wir.
Auf der Webseite eines Datenbrokers in der EU hatte jemand ganz unverhohlen Namen, Geburtsdaten und Passnummern von sehr vielen Menschen angeboten, angeblich von Flugpassagieren der Airline. Ein Teil der Daten stand einfach so offen im Netz herum, als Gratisprobe. Alle konnten sich das herunterladen.
Solche Daten zu veröffentlichen und zum Kauf anzubieten, ist mehr als fahrlässig. Für Kriminelle ist so eine Datensammlung eine Art Einladung zum Identitätsdiebstahl. Auch deswegen gelten für Passdaten besonders strenge Vorschriften. Wenn wirklich eine Airline dahinter stecken würde, wäre das ein ganz schöner Klopper. Wir liefen also zusammen los: Sebastian, Ingo, Markus und ich.
Eine Geschichte, die eine andere wird
Und dann nahm die Recherche ganz andere Wege als wir erwarteten. Als wir anfingen, Menschen auf der Liste im Netz zu suchen und zu kontaktieren, fanden wir zwar einige, die uns bestätigten, dass ihre Daten echt sind. Die darüber entsetzt waren. Allerdings war keiner von ihnen mit der ungarischen Wizz Air geflogen.
Irgendwann merkten wir: Die Geschichte über diesen Billigflieger, der vermeintlich illegal die Daten seiner Fluggäste weiterverkauft, ist gar keine Geschichte über diesen Billigflieger. Zumindest fanden wir dafür keinen Beleg. Dafür führten mehrere Spuren zu einer ganz anderen Airline aus der Türkei. Mit dieser waren tatsächlich mehrere der Betroffenen geflogen.
Hat sie die Daten verkauft? Gibt es ein Problem mit einem üblen Datenleck? Oder hat jemand anderes so getan als sei er die Airline? Das wissen wir (noch) nicht genau, diese und andere Fragen blieben offen.
Ein Datenbroker, der nicht reagiert
Die einzige Konstante: Die Geschichte über einen Datenbroker in der EU, der solche Daten über seinen Marktplatz zugänglich macht und daran noch mitverdient, blieb eine Geschichte über diesen Datenbroker. Nur den Namen der Plattform und seiner Gründer konnten wir nicht nennen. Nicht mal das Land, in dem sie sitzen. Die Verantwortlichen haben nämlich trotz mehrfacher und kreativer Versuche, sie zu erreichen, nicht mal die Dateien mit den sensiblen Daten von ihrer Seite gelöscht. Also keine Nennung der Firma, denn wir wollen mit unserer Recherche Betroffene von solchen Datenschutzverletzungen nicht ein zweites Mal doxxen.
Genau so haben wir die Geschichte dann aufgeschrieben und veröffentlicht, trotz aller offener Fragen und einem Grummeln, diesen Datenbroker nicht nennen zu können. Aber mit den Informationen kann jetzt womöglich die Arbeit anderer beginnen: etwa der Datenschutzaufsichtsbehörden, die eigene Untersuchungen in die Wege leiten könnten.
Unsere Recherche ist mit der Veröffentlichung noch nicht abgeschlossen. Wer weiß, wo wir am Ende noch landen werden. Klar ist nur: Wenn wir irgendwo landen, werdet ihr es hier lesen.
Habt ein gutes Wochenende
Chris
Digitalisierung an Schulen: Kompetenz vor Geräte!
Schaden digitale Lernmittel mehr, als dass sie nutzen? Schweden und Dänemark wollen eine Kehrtwende in der Schuldigitalisierung vollziehen. Und auch hierzulande fragt man sich: Müssen unsere Klassenzimmer wieder analoger werden? Doch ganz so einfach ist es dann doch nicht. Von Carla Siepmann –
Artikel lesen
Doctolib: Wachsender Riese im Gesundheitsdatenmarkt
Doctolib ist hierzulande die führende Plattform für Online-Arzttermine. Trotz wachsender Kritik von Datenschützer:innen ist das Unternehmen seit Jahren auf Erfolgskurs – und auf bestem Wege, die Datenverarbeitung im Gesundheitswesen von ethischen Prinzipien zu befreien. Ein Kommentar. Von Gastbeitrag, Thilo Weichert –
Artikel lesen
Crypto Wars: Europäische Polizeichefs schüren Panik gegen Verschlüsselung
Die Chef:innen europäischer Polizeibehörden attackieren gemeinsam die Ende-zu-Ende-Verschlüsselung, die der Meta-Konzern einführt. Sie erwecken dabei den Eindruck, von der Politik alleine gelassen zu werden – doch das genaue Gegenteil ist der Fall, wie Berichte von netzpolitik.org zeigen. Von Markus Reuter –
Artikel lesen
FISA Section 702: USA verlängern Lizenz zur Überwachung
US-Geheimdienste dürfen weiterhin fast uneingeschränkt weltweit Datenströme anzapfen. Das hat am Wochenende der US-Kongress beschlossen. Aber auch innerhalb der Vereinigten Staaten haben Ermittlungsbehörden weitreichende Befugnisse. Manche davon wurden nun sogar ausgeweitet. Von Tomas Rudl –
Artikel lesen
Polizeiliche Datenanalyse: Innenausschuss diskutiert Palantir-Alternativen
Eigentlich wollte die Union im Innenausschuss des Bundestags darauf hinwirken, dass die Palantir-Polizei-Software dem bayerischen Vorbild folgend auch im Bund eingesetzt wird. Doch außer den Polizeivertretern sprach sich niemand dafür aus. Es gibt auch keine Rechtsgrundlage. Stattdessen wurde darüber diskutiert, welche Alternativen zur Verfügung stünden. Von Constanze –
Artikel lesen
Reform: Datenschutzkonferenz kritisiert Bundesdatenschutzgesetz
Die Ampel will bei der Reform des Bundesdatenschutzgesetzes bei den Auskunftsrechten Geschäftsgeheimnisse explizit ausnehmen. Die Zusammenarbeit von Datenschutzbehörden der Länder und des Bundes soll nicht weiter institutionalisiert werden. Von diesen kommt jetzt Kritik. Von Markus Reuter –
Artikel lesen
X-Odus: Wir verlassen Twitter
Jetzt ist wirklich Schluss: Wir verlassen als Redaktion das zur Plattform für Rechtsradikale verkommene Twitter – und freuen uns, wenn ihr uns woanders folgt. Von netzpolitik.org –
Artikel lesen
Chatkontrolle: Verhandlungen der EU-Staaten sind festgefahren
Den EU-Staaten gelingt es weiterhin nicht, sich auf eine gemeinsame Position zur Chatkontrolle zu einigen. Das geht aus einem internen Verhandlungs-Protokoll hervor, das wir veröffentlichen. Einige Staaten bezweifeln bereits, ob die belgische Ratspräsidentschaft überhaupt noch eine Einigung herbeiführen kann. Von Andre Meister –
Artikel lesen
Amnesty International Jahresbericht: Kritik an Big Tech, generativer KI und dem globalen Spyware-Handel
Bewaffnete Konflikte, Geschlechterungerechtigkeiten und die Auswirkungen von Krisen auf marginalisierte Gruppen kritisiert Amnesty in seinem diesjährigen Bericht. Außerdem im Fokus: die Gefahren, die neue Technologien mit sich bringen. Von Lea Binsfeld –
Artikel lesen
Europäischer Datenhändler: Sensible Passdaten von Deutschen offen im Netz
Ein Datenhändler bietet Ausweisdaten von tausenden Menschen zum Verkauf und veröffentlicht einen Teil davon ungeschützt im Netz. Unsere Recherchen führen zu einer Billigflug-Linie als mögliche Quelle. Datenschutzbehörden sind alarmiert. Von Chris Köver, Ingo Dachwitz, Sebastian Meineck, Markus Reuter –
Artikel lesen
Internetfreiheit: Wie das TikTok-Verbot neue Maßstäbe setzt
Die USA setzen TikTok ein Ultimatum: Entweder trennt sich der chinesische Mutterkonzern Bytedance von der App oder sie wird in den Vereinigten Staaten verboten. Kritiker:innen fürchten, der Fall könnte nun auch andere Staaten zu mehr Internet-Zensur verleiten. Von Chris Köver, Daniel Leisegang –
Artikel lesen
Justizstatistik 2022: Polizei hackt jetzt jede Woche mit Staatstrojanern
Die Polizei in Deutschland nutzt Staatstrojaner immer öfter. Im Jahr 2022 durfte sie 109 mal Geräte hacken und ausspionieren, 56 mal war sie damit erfolgreich. Das sind doppelt so viele Einsätze wie im Vorjahr. Das geht aus der offiziellen Justizstatistik hervor. Anlass sind wie immer vor allem Drogendelikte. Von Andre Meister –
Artikel lesen
European data broker: Sensitive passport data of Germans published online
A data broker is offering sensitive passport data of thousands of people for sale – and publishing some of it openly online. Our investigation leads to an airline as a possible source. Data protection authorities are alarmed. Von Chris Köver, Sebastian Meineck, Ingo Dachwitz, Markus Reuter –
Artikel lesen
Datenbank: CeMAS veröffentlicht umfangreiche Sammlung zu Rechtsterrorismus
Seit der Terrorserie des NSU gab es in Deutschland schon 50 weitere rechtsterroristische Bestrebungen und Taten. Diese hat die Nichtregierungsorganisation CeMAS nun in einer Datenbank verschlagwortet und kategorisiert. Von Markus Reuter –
Artikel lesen
Videospielsterben: Wie sich Gamer für den Schutz des Kulturgutes Videospiel einsetzen
Videospielhersteller löschen öfter Spiele aus ihren Bibliotheken und von ihren Servern, wenn diese in die Jahre kommen. Bei Gamer*innen stößt das zunehmend auf Kritik. Sie fordern mit einer internationalen Initiative einen gesetzlichen Rahmen, der das Kulturgut Computerspiel schützt. Von Nora Nemitz –
Artikel lesen
Belgischer Vorschlag: Sichere Dienste sollen als erste Chatkontrolle einführen
Internet-Diensten, die besonders sicher sind, könnte schnell eine Anordnung zur Chatkontrolle blühen. Das geht aus Vorschlägen der belgischen Ratspräsidentschaft hervor, die wir veröffentlichen. Verschlüsselung und Anonymität werden darin zum Risiko für Straftaten erklärt. Von Anna Biselli, Andre Meister –
Artikel lesen
Gesetzesentwurf: Geplantes Bundespolizeigesetz auf „verfassungsrechtlich dünnem Eis“
Der Entwurf des Bundespolizeigesetzes sieht weitere Überwachungsbefugnisse vor. Sachverständige haben das kritisiert, da die geplante Reform verfassungsrechtliche Fragen aufwerfe, anstatt Probleme zu lösen. Von hekta –
Artikel lesen
Offenes Internet: USA führen Netzneutralität wieder ein
Die USA bekommen wieder Regeln zur Netzneutralität. Die lange Zeit blockierte Regulierungsbehörde FCC verpflichtet Internetanbieter, alle Daten im Netz gleich zu behandeln. Sorgen bereiten aber neue Technologien, die womöglich doch noch „Überholspuren“ schaffen könnten – auch in Europa. Von Tomas Rudl –
Artikel lesen
Trotz Appell der Datenschutzbeauftragten: Parteien wollen weiter zielgerichtete Social-Media-Werbung schalten
Ist Werbe-Targeting auf Social-Media-Plattformen eigentlich legal? Die Berliner Datenschutzbeauftragte ist skeptisch und ermahnt die Parteien, im EU-Wahlkampf darauf zu verzichten. Daran halten wird sich wohl niemand, auch wenn mehrere Parteien nicht darüber sprechen wollen. Von Ingo Dachwitz –
Artikel lesen
Mastodon und Peertube: EU macht Fediverse dicht, weil niemand die Server betreiben will
EU-Institutionen sind auf Mastodon und Peertube aktiv, dank eines Pilotprojekts des Europäischen Datenschutzbeauftragten. Weil aber nach zwei Jahren keine EU-Institution die Fediverse-Server übernehmen will, werden diese im Mai kurzerhand abgeschaltet. Von Markus Reuter –
Artikel lesen
Mastodon and Peertube: EU closing up shop in Fediverse because nobody wants to run servers
EU institutions are active on Mastodon and Peertube servers, thanks to a pilot project run by the European Data Protection Supervisor. But they’ll be shut down in May – because nobody wants to be responsible for them. Von Markus Reuter, Maximilian Henning –
Artikel lesen
openDesk: Wie das BMI den souveränen Arbeitsplatz auf die lange Bank schiebt
Um die Abhängigkeit von Microsoft aufzubrechen, gründete das Bundesinnenministerium das Zentrum für digitale Souveränität. Dessen Ziel ist es, offenen Code und einen „souveränen Arbeitsplatz“ in die Verwaltung zu bringen. Nun aber verschleppt der Bund einen Beteiligungsprozess der Länder und damit die versprochene Unterstützung. Von Esther Menhard –
Artikel lesen
Bundesländer: Bedingt Bezahlkarten-bereit
Der Bundesrat hat das Gesetz zu Bezahlkarten für Asylsuchende bestätigt. Mancherorts gibt es sie bereits. Doch wann und wie es überall losgeht, ist ungewiss. Genauso wie das Ob. Von Anna Biselli –
Artikel lesen
Justizstatistik 2022: Überwachung am häufigsten wegen Drogendelikten
Ermittlungsbehörden fragen immer mehr Verkehrsdaten ab, dafür überwachen sie weniger Telekommunikation. Das verrät die jährliche Justizstatistik. Überwachungsgrund Nummer eins bleibt seit Jahren der gleiche: Drogendelikte. Von Lea Binsfeld –
Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Ermittlungsbehörden fragen immer mehr Verkehrsdaten ab, dafür überwachen sie weniger Telekommunikation. Das verrät die jährliche Justizstatistik. Überwachungsgrund Nummer eins bleibt seit Jahren der gleiche: Drogendelikte.
Das Bundesamt für Justiz veröffentlichte gestern die jährlichen Statistiken zur Telekommunikationsüberwachung und Verkehrsdatenabfrage für das Jahr 2022. Die Zahlen geben Einblick in die Anzahl der Überwachungsmaßnahmen. Außerdem steht in den Jahresübersichten, aufgrund welcher Straftaten die Polizei Überwachungen angeordnete. Das Justizamt machte auch publik, wie häufig Staatstrojaner zum Einsatz kamen.
Der mit Abstand häufigste Grund für Abhörungen waren Drogendelikte – wie bereits in den Vorjahren. Auch vermutete Fälle von Betrug, Mord und Diebstahl gaben Anlass zu zahlreichen Überwachungsmaßnahmen.
Weniger Telekommunikationsüberwachung
Die Statistiken zeigen einen Rückgang der Telekommunikationsüberwachung im Vergleich zum Jahr 2021. Bundesweit wurden in 4.981 Verfahren Überwachungsmaßnahmen angeordnet. Das entspricht einem Rückgang von ca. 3,7 Prozent. Insbesondere die Anzahl der Überwachungsanordnungen ist um ca. 10,3 Prozent gesunken – von 17.225 auf 15.451.
Mehr Verkehrsdatenabfragen
Die Abfragen von Verkehrsdaten hingegen steigen. Insgesamt wurden 2022 mehr Maßnahmen angeordnet als im Vorjahr – waren es 2021 noch 16.471, gab es in diesem Jahr 20.553 Anordnungen. Die Anzahl der Verfahren nahm also um 24,8 Prozent zu. Dies spiegelt sich auch in der Gesamtzahl der Erst- und Verlängerungsanordnungen wider, die um 8,3 Prozent im Vergleich zum Vorjahr stieg und damit bei 30.182 lag.
Neu sind Nutzungsdatenabfragen
Erstmals hat das Justizamt auch Zahlen zur Abfrage von Nutzungsdaten bei Telemediendiensten veröffentlicht. Demnach wurden 2022 bundesweit in 88 Verfahren insgesamt 104 Maßnahmen nach § 100k Absatz 1 StPO und in sechs Verfahren insgesamt sieben Maßnahmen nach § 100k Absatz 2 StPO durchgeführt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Bundesrat hat das Gesetz zu Bezahlkarten für Asylsuchende bestätigt. Mancherorts gibt es sie bereits. Doch wann und wie es überall losgeht, ist ungewiss. Genauso wie das Ob.
Sie sollen Asylsuchende abschrecken, Geldzahlungen ins Ausland verhindern und greifen tief in die Selbstbestimmung Geflüchteter ein: Bezahlkarten. Man könnte sie zwar auch so nutzen, dass sie die Verwaltung entlasten und Teilhabe ermöglichen, wenn Menschen gerade erst in Deutschland angekommen sind. Doch vor allem letzteres ist nicht das politisch proklamierte Ziel.
Lange hatte die Regierungskoalition über ein Gesetz zu Bezahlkarten gestritten, während einzelne Länder und Kommunen schon mit der Einführung begonnen hatten. Dann passierte es Mitte April schließlich den Bundestag, auch die AfD stimmte dafür. Nun hat die Regelung im Asylbewerberleistungsgesetz die letzte Hürde im Bundesrat genommen. Doch es zeichnen sich neue Hindernisse ab – und zwar in den einzelnen Bundesländern.
Länder können sich nicht einigen
In Brandenburg etwa streitet die rot-schwarz-grüne Koalition darüber, wie stark die Karten für Geflüchtete eingeschränkt werden sollen. Geht es nach dem Willen der CDU, sollen Geflüchtete nach bayerischem Vorbild monatlich maximal 50 Euro Bargeld abheben dürfen. Integrationsministerin Ursula Nonnemacher (Grüne) fordert dagegen, dass die Karte die soziale und kulturelle Teilhabe nicht behindern dürfe. Die brandenburgischen Landkreise planen währenddessen offenbar an der Landesregierung vorbei. Sie wollen die Karte ohne deren Segen einführen.
Ähnlich verlaufen die Linien in Berlin, hier zwischen regierender CDU und SPD. Ein Sprecher der SPD-Sozialsenatorin sagte gegenüber dem Spiegel, man wolle nach Abschluss des Vergabeverfahrens klären, „ob die Karte in der Hauptstadt ausgegeben werden soll und, wenn ja, zu welchen Bedingungen“. Das heißt: In Berlin ist nicht einmal sicher, dass die Karte kommt.
Verpflichtet wäre Berlin dazu nicht, denn gesetzlich ist es weder Länder noch Kommunen vorgeschrieben, die Karte zu nutzen. Sie können den Asylsuchenden auch weiterhin Bargeld auszahlen oder Geld auf ihr Konto überweisen. Überdies gab es in der Bundeshauptstadt bereits in den 1990er Jahren einen gescheiterten Versuch, Geflüchtete mit speziellen Karten auszustatten.
Viele Fragen offen
Sicher ist: Die Ausschreibungsfrist für die bundesweit einheitliche Karte ist abgelaufen. Mehrere Unternehmen dürften sich für den Auftrag beworben haben. Unterdessen haben mehrere Kommunen die Karte schon im Alleingang eingeführt – mit extremen Einschränkungen wie im thüringischen Greiz oder weitgehend diskriminierungsfrei wie in Hannover. Wenn der Zuschlag für den Auftrag erteilt wird, stellt sich die Frage, ob die jeweiligen Regionen ihre bestehenden Karten wieder abschaffen und den Anbieter wechseln oder nicht.
Neben organisatorischen und politischen Fragen gibt es weitere Hürden für den geplanten bundesweiten Einsatz, nämlich grundlegende rechtliche Bedenken. Eine stark eingeschränkte Karte, etwa in Bezug auf mögliche Bargeldabhebungen, Überweisungen oder die erlaubten Händlerkategorien, ist problematisch. Denn die Einschränkung kann dazu führen, dass das Existenzminimum der Betroffenen nicht mehr gedeckt ist. Sie können nicht mehr frei über ihr weniges Geld verfügen. Ihnen werden unter anderem günstige Gebrauchtoptionen verwehrt, die sich häufig nur mit Bargeld abwickeln lassen. Andrea Kothen von Pro Asyl rechnet deshalb mit vielen Klagen vor Gericht.
Wie steht es mit dem Datenschutz?
Außerdem stellen sich zum einen grundlegende Datenschutzfragen bei den Karten, die Matthias Eichfeld bei Legal Tribune Online aufgeworfen hat. Zum anderen haben IT-Sicherheitsforschende bei den Implementierungen von drei Anbietern mehrere Mängel festgestellt, die Tim Philipp Schäfers und Niklas Klee in einem aktuellen Bericht auflisten.
Einige der Probleme betreffen IT-Sicherheitsaspekte, andere Datenschutzversäumnisse. So haben nach ihren Recherchen zwei von drei Anbietern Tracking-Bibliotheken in die Bezahlkarten-Apps integriert. Diese übermitteln personenbezogene Daten an die Anbieter, ohne zuvor die Einwilligung der Nutzenden einzuholen. Die beiden IT-Sicherheitsforschenden kritisieren zudem, dass bei allen untersuchten Anwendungen die zugehörigen Datenschutzbestimmungen lediglich auf Deutsch verfügbar sind. Das ist gerade bei der anzunehmenden Nutzer:innengruppe ein Problem.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Um die Abhängigkeit von Microsoft aufzubrechen, gründete das Bundesinnenministerium das Zentrum für digitale Souveränität. Dessen Ziel ist es, offenen Code und einen „souveränen Arbeitsplatz“ in die Verwaltung zu bringen. Nun aber verschleppt der Bund einen Beteiligungsprozess der Länder und damit die versprochene Unterstützung.
Ob im Stadtbüro, im Standesamt oder in der Finanzverwaltung – die in deutschen Behörden eingesetzte Bürosoftware ist meist Microsoft Office. Die E-Mails trudeln ins Outlook-Postfach ein, mit den Kolleg:innen tauscht man sich über Microsoft Teams aus und das Konzeptpapier entsteht in Microsoft Word.
Wie gravierend die Abhängigkeit deutscher Behörden von Microsoft ist, stellte eine Studie bereits im Jahr 2019 fest. Das Beratungsunternehmen PriceWaterhouseCoopers kam damals im Auftrag des Bundesinnenministeriums (BMI) zu dem Schluss, dass die Abhängigkeit zu „Schmerzpunkten“ führe, „die im Widerspruch zu den strategischen Zielen der Bundes-IT stehen“.
Eines dieser Ziele ist der Ausbau von Open-Source-Software, um die öffentliche Verwaltung unabhängiger von Konzernen zu machen. Denn nicht nur Datenschützer:innen und IT-Sicherheitsforscher:innen mahnen die Risiken an, die eine Nutzung von Microsoft-Produkten birgt, sondern auch Expert:innen für die Digitalisierung der öffentlichen Verwaltung. Sie kritisieren den Effekt des Vendor Lock-in.
Open Source als Werkzeug
Die Marktmacht Microsofts hat auch die Bundesregierung als Problem für die öffentliche IT erkannt. Im Koalitionsvertrag von 2021 erklärt die Ampel, Deutschland digital souverän machen zu wollen. In dem entsprechenden Strategiepapier einigen sich Bund und Länder auf drei Ziele für die öffentliche IT: Erstens sollen Behörden die Software und Anbieter ohne größeren Aufwand wechseln, zweitens die IT nach ihren Anforderungen gestalten und drittens Einfluss auf die Hersteller nehmen können.
Konkret heißt das, dass die Behörden die Wahl zwischen verschiedenen Angeboten haben sollen. Außerdem sollen sie Werte wie privacy by design und security by design einbringen und das Marktangebot für öffentliche IT prägen können. Um diese Ziele zu erreichen, sei das wichtigste Werkzeug Open-Source-Software (OSS), sagt Andreas Reckert-Lodde. Er ist Geschäftsführer des Zentrums für digitale Souveränität der öffentlichen Verwaltung, kurz ZenDiS.
Die GmbH in staatlicher Eignerschaft wurde 2022 auf Initiative des Bundesinnenministeriums gegründet und handelt auftragsfinanziert. Reckert-Lodde hat dabei zwei Hüte auf: Er ist Referent des BMI. Und bereits vor der Gründung des ZenDiS hat er die Projekte Open CoDE und openDesk vorangetrieben, die er nun gemeinsam mit seinem Team in Bochum weiterentwickelt.
Von offener Software überzeugen
Während die Open-Source-Plattform Open CoDE offenen Code „von der Verwaltung für die Verwaltung“ bereitstellen soll, will das Open-Source-Projekt openDesk Ämtern und Behörden eine Alternative zu Microsofts Bürosoftware anbieten, so Reckert-Lodde gegenüber netzpolitik.org.
Der Arbeitsplatz bündelt verschiedene Open-Source-Anwendungen: Open-XChange für E-Mail, Nextcloud für die Datenorganisation, Jitsi für den VideoCall sowie Matrix für den Live-Chat mit Kolleg:innen. openDesk ist modular aufgebaut und die einzelnen Komponenten sind interoperabel gestaltet. So können die Verwaltungen in Ländern und Kommunen den Arbeitsplatz mit relativ geringem Aufwand an individuelle Anforderungen anpassen. Ob Jitsi oder BigBlueButton – das Programm sollen öffentliche Stellen nach eigenen Vorlieben austauschen können.
Reckert-Lodde will „ein gutes Produkt“ anbieten, das dem Prinzip „Public Money, Public Code“ entspricht. Öffentlich finanzierte Software sollte demnach offen sein. Davon haben alle etwas. Denn offener Code bedeutet auch, dass die OSS-Community sich für die Weiterentwicklung, Innovation und Sicherheit des Codes engagiert.
Eine der wichtigsten Aufgaben des ZenDiS sieht Reckert-Lodde darin, zwischen Menschen aus der öffentlichen Verwaltung und der OSS-Community sowie deren Bedürfnissen zu vermitteln. Das bedeutet etwa, einem Anbieter wie Open-XChange aufzuzeigen, dass die Verwaltung Gruppenpostfächer statt einfacher Postfächer benötige.
Umgekehrt müsse man die Verwaltung mitunter davon überzeugen, OSS als echte Alternative zu proprietärer Software zu sehen. Im November bezeichnete der Chef des Bundeskanzleramtes, Wolfgang Schmidt (SPD), „openDesk als die geladene Pistole, die wir bei Verhandlungen mit Microsoft auf den Tisch legen“. Das zeige, dass sich an der Wahrnehmung von OSS schon etwas verändert habe, so Reckert-Lodde.
„Design by budget“
Erste Verwaltungen, wie etwa das Robert-Koch-Institut, nutzen openDesk bereits. Und auch der Austausch mit Ministerien und Behörden sowie der OSS-Community in Deutschland und im europäischen Ausland sei rege, so Reckert-Lodde. Und doch sieht er Grund zur Sorge. Denn der ZenDiS-Geschäftsführer hat für das Jahr 2024 einen Finanzbedarf von 45 Millionen Euro kalkuliert. Allein aber die Weiterentwicklung von Open CoDE und openDesk beanspruche annähernd so viele Ressourcen.
Dennoch wird der Bund für das ZenDiS vermutlich deutlich weniger Gesamthaushaltsmittel veranschlagen als benötigt. Für 2024 rechnet Reckert-Lodde mit gerade einmal 19 Millionen Euro. Das sei nicht nichts, schränke allerdings die Arbeit des ZenDiS deutlich ein, so der Geschäftsführer, zumal noch einiges auf der To-Do-Liste stehe. So plane ZenDiS unter anderem, openDesk auch für mobile Endgeräte nutzbar zu machen und die beratenden Tätigkeiten zu erweitern.
Nicht nur mit finanzieller Unterstützung hält sich der Bund zurück. Reckert-Lodde und sein Team haben vom BMI offiziell bislang noch keinen Auftrag für openDesk erhalten. Dabei hatte das Ministerium openDesk neben Open CoDE schon vor der Gründung des ZenDiS initiiert und intensiv vorangetrieben, damit das Zentrum beide Projekte umsetzt.
Open CoDE beauftragte das BMI Ende vergangenen Jahres. Wie es mit openDesk weitergeht, ist ungewiss. Auf Anfrage erklärt das Bundesinnenministerium, die Vergabe aktuell noch zu prüfen. Weitere Angaben könne das Ministerium dazu nicht machen.
In der Warteschleife
Das ZenDiS steht aktuell noch vor einer weiteren Hürde: Obwohl schon einige Bundesländer Interesse äußerten, sich an der GmbH zu beteiligen, hängen deren Beitritte in der Warteschleife. „Mit Schleswig-Holstein und Thüringen sind wir am weitesten“, so Reckert-Lodde. „Beide Länder haben den Beitritt fertig vorbereitet und würden sich lieber heute als morgen am ZenDiS beteiligen“.
Konkret heißt das, dass Thüringen den Gesellschaftervertrag und die Beteiligungsvereinbarung mit dem BMI bereits erfolgreich abgestimmt hat. Wie das Finanzministerium Thüringen gegenüber netzpolitik.org mitteilte, hat die zuständige Ministerin im März der Beteiligung am ZenDiS zugestimmt. Das Land wartet nun darauf, dass das BMI mit dem Bundesfinanzministerium übereinkommt.
Eine Anfrage von netzpolitik.org, warum sich der Verfahren verzögert, beantwortet das BMI trotz Fristverlängerung nicht. Immerhin lassen sich Baden-Württemberg, Bremen, Niedersachsen, Rheinland-Pfalz und Sachsen-Anhalt von dem verschleppten Prozess nicht abschrecken. Sie bereiten aktuell ihren Beitritt vor.
Allzu lange sollte das Bundesinnenministerium mit der Entscheidung auch aus einem anderen Grund nicht warten. Denn „die geladene Pistole“, die sie im Streben nach digitaler Souveränität auf den Verhandlungstisch legt, könnte sich sonst als harmlose Wasserpistole entpuppen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
EU institutions are active on Mastodon and Peertube servers, thanks to a pilot project run by the European Data Protection Supervisor. But they’ll be shut down in May – because nobody wants to be responsible for them.
Pretty much exactly two years ago, the European Data Protection Supervisor (EDPS) started two services in the Fediverse as pilot projects: EU Voice, based on Mastodon, and EU Video, based on Peertube, were supposed to be “alternative, privacy-friendly and user-focused” social media platforms for the EU institutions, bodies and offices.
40 institutions opened an account on EU Voice, including the EDPS, the European Court of Justice and the EU Commission. Only six used the EU Video service. According to the EDPS, this still made the EU the biggest group of public bodies on the Fediverse – worldwide.
But these services are now hanging by a thread: In a press release, EDPS Wojciech Wiewiórowski declares his lack of success in finding “a new home for EU Voice and EU Video” – and in finding somebody who could “maintain the servers and sustain operations at the high standards that EUIs and our users deserve.” This means that both services will be shut down on May 18. The EDPS wants to help existing accounts in migrating to other services.
Legacy for a digital future
This all reads slightly absurdly in the press release, because the EDPS is celebrating the pilot project as a big success. It has “proved” that public bodies can offer platforms “that respect individuals’ fundamental rights”, according to the release. With this, they can offer “alternatives to common platforms owned by a handful of big players”. The EDPS seems proud of the success of a project with a legacy of showing that “collaborative efforts, and solutions to shape a safer digital future for the EU are possible.”
Or not – because none of the 40 institutions, bodies and offices in the whole Union wanted to take over, maintain and moderate two servers. Even though the effort and resources to do so shouldn’t be too high of a hurdle for an annual budget of more than 180 billion Euros.
Update, 8 pm:
The EU Commission has surprisingly announced on Mastodon:
Our commitment to the fediverse is here to stay.
We are working on a solution to ensure our continued presence on your feeds, taking full advantage of Mastodon’s identity portability.
And we are even growing the team behind our Mastodon presence, increasing efforts to engage with your comments on our posts.
We are fully committed to being a real part of the conversation in the fediverse.
Read the German version of this article
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
EU-Institutionen sind auf Mastodon und Peertube aktiv, dank eines Pilotprojekts des Europäischen Datenschutzbeauftragten. Weil aber nach zwei Jahren keine EU-Institution die Fediverse-Server übernehmen will, werden diese im Mai kurzerhand abgeschaltet.
Vor ziemlich genau zwei Jahren startete der Europäische Datenschutzbeauftragte (EDPS) als Pilotprojekt zwei Angebote im Fediverse: Mit EU Voice auf Basis von Mastodon und EU Video mit der Software PeerTube sollte den Einrichtungen, Ämtern und Agenturen der EU eine „alternative, datenschutzfreundliche und nutzerorientierte“ Plattform bereitgestellt werden.
Insgesamt öffneten in den vergangenen Jahren 40 Institutionen einen Account bei EU Voice, unter ihnen der EU-Datenschutzbeauftragte, der Europäische Gerichtshof und die EU-Kommission. Die Videoplattform nutzten hingegen sechs Institutionen. Laut dem Datenschutzbeauftragten waren die EU-Institutionen damit die größte Gruppe öffentlicher Einrichtungen im Fediverse weltweit.
Doch diese Angebote stehen nun vor dem Aus: In einer Pressemitteilung erklärt der Europäische Datenschutzbeauftragte (EDPS) Wojciech Wiewiórowski, dass es ihm nicht gelungen sei, „ein neues Zuhause für EU Voice und EU Video in anderen EU-Institutionen zu finden“ – und damit niemanden, der „die Server warten und den Betrieb auf dem hohen Niveau aufrechterhalten können, das die EU-Institutionen und unsere Nutzer verdienen“. Der EDPS hat deswegen angekündigt, die beiden Angebote zum 18. Mai abzuschalten. Den bestehenden Accounts will der EDPS dabei helfen, auf andere Instanzen umzuziehen.
„Vermächtnis für eine digitale Zukunft“
In der Pressemitteilung liest sich das alles etwas skurril, weil der EDPS das Piloprojekt als großen Erfolg wertet. Es habe „bewiesen, dass öffentliche Einrichtungen wie die EU-Institutionen Plattformen für soziale Medien anbieten können, die die Grundrechte des Einzelnen respektieren“. Sie seien damit ein Alternative zu den üblichen Plattformen, „die einer Handvoll großer Akteure gehören“. Der Datenschutzbeauftragte zeigt sich stolz auf den Erfolg des Projekts, das als Vermächtnis beweise, „dass gemeinsame Anstrengungen und Lösungen zur Gestaltung einer sichereren digitalen Zukunft für die EU möglich sind.“
Oder eben auch nicht – weil sich keine der mehr als 40 Organe, Einrichtungen und Agenturen in der ganzen EU findet, die zwei Server dauerhaft betreiben und moderieren will. Dabei hält sich der Aufwand dafür in Grenzen – und von einem Staatenverbund mit einem Jahresbudget von mehr als 180 Milliarden Euro sollte er auch zu bewältigen sein.
Update 20 Uhr:
Die EU-Kommission hat überraschend auf Mastodon angekündigt:
Unser Engagement für das Fediverse wird fortbestehen.
Wir arbeiten an einer Lösung, um unsere kontinuierliche Präsenz in Ihren Feeds zu gewährleisten und dabei die Vorteile der Identitätsübertragbarkeit von Mastodon voll auszuschöpfen.
Und wir bauen sogar das Team hinter unserer Mastodon-Präsenz aus, indem wir unsere Bemühungen verstärken, auf Ihre Kommentare zu unseren Beiträgen einzugehen.
Wir sind fest entschlossen, ein echter Teil der Konversation im Fediversum zu sein.
Lies die englische Version dieses Artikels
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Ist Werbe-Targeting auf Social-Media-Plattformen eigentlich legal? Die Berliner Datenschutzbeauftragte ist skeptisch und ermahnt die Parteien, im EU-Wahlkampf darauf zu verzichten. Daran halten wird sich wohl niemand, auch wenn mehrere Parteien nicht darüber sprechen wollen.
Mehr als 700.000 Euro haben deutsche Parteien seit Beginn des Jahres für gezielte Werbung auf Instagram und Facebook ausgegeben. Geht es nach der Berliner Datenschutzbeauftragten, sind das mehr als 700.000 Euro zu viel. In einem Brief fordert Meike Kamp Anfang der Woche die großen deutschen Parteien auf, im anstehenden EU-Wahlkampf auf das umstrittene Microtargeting auf Social-Media-Plattformen zu verzichten.
Um ihren Werbekunden die Auswahl kleinteiliger Zielgruppen zu ermöglichen, sammeln die Plattformkonzerne Unmengen an Daten aus zahlreichen Quellen, nicht nur auf der eigenen Plattform, und führen sie in Profilen zusammen. Die Datenschützerin betont: Insbesondere die Verwendung besonders geschützter Datenarten, zum Beispiel über die politische Einstellung oder Religion, darf nach Datenschutzgrundverordnung nur mit expliziter Einwilligung der Betroffenen erfolgen. Doch nicht nur das Targeting mit sensiblen Daten sei problematisch, so Kamp weiter. Jegliche Form der Selektion von Personen auf der Grundlage von umfangreichen Nutzungsprofilen berge Risiken für Datenschutz und Demokratie.
Das inzwischen von der Datenschutzbehörde veröffentlichte Schreiben ging an alle Parteien, die derzeit im Bundestag vertreten sind und ihren Hauptsitz in Berlin haben, also an AfD, BSW, CDU, FDP, Grüne, Linke und SPD. Wir haben nachgefragt, ob sie dem Appell der Datenschutzbeauftragten folgen wollen. Die Reaktionen sind auffallend schmallippig. Klar ist jedoch, dass keine der genannten Parteien auf Social-Media-Targeting verzichten wird.
Nur Targeting, kein Micro
Die SPD beispielsweise antwortet, dass Microtargeting – die Betonung liegt auf der ersten Silbe – die Praxis beschreibe, „extrem zugespitzte Zielgruppen zu erstellen, die nur wenige User*innen erreichen sollen“. Mit solchen Methoden arbeite die SPD nicht. Heißt auch: Mit weniger eng gefasstem Targeting will die Partei fortfahren. Bei welcher Größte sie die Grenze zieht, erfahren wir nicht.
Dafür offenbart die SPD noch die folgende Rechtsauffassung: „Targeting fällt dann unter die DSGVO, wenn aus den Daten die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.“ Das klingt, als würde nach Meinung der SPD die Nutzung anderer personenbezogener Daten für Targeting nicht der DSGVO unterliegen.
Auch Linkspartei und Grüne betonen, dass sie beim Targeting in Sozialen Medien nur mit gröberen Kategorien arbeiten. Ein solcher Ansatz ermögliche es, „Nutzer*innen in Deutschland, die das Wahlmindestalter erreicht haben, über Kernmerkmale wie Alter oder Region mit unserer Werbung zu erreichen“ und sei eine „gängige Methode der Zielgruppenansprache“, schreiben uns die Grünen. Microtargeting auf Basis von Interessengebieten, mit dem man „kleinste Profilgruppen“ erreichen könne, setze man nicht ein. Von der Linkspartei heißt es noch ergänzend, dass sie Meta und anderen Plattformen keine eigenen Daten zur Verfügung stelle.
Gar keine Antwort erhielten wir vom Bündnis Sarah Wagenknecht, von der CDU und der AfD. Die beiden letztgenannten fallen schon seit Jahren durch besondere Intransparenz beim Thema auf und ignorieren Presseanfragen von netzpolitik.org zu ihrer Online-Werbung regelmäßig. Auch die Pressestelle der FDP liefert keine Antworten zum Thema. Allerdings hat die Partei allein in dieser Woche mehr als zehn neue Werbeanzeigen auf Facebook geschaltet.
Datenschutzbehörde führt Verfahren gegen Parteien
Das Thema des politischen Targetings sorgt seit Jahren für Zündstoff, denn seit dem Skandal um Facebook und Cambridge Analytica im Jahr 2018 kam es immer wieder zu Regelverstößen bei politischer Online-Werbung, auch in Deutschland. So hatte netzpolitik.org aufgedeckt, dass beispielsweise der damalige CDU-Politiker Max Otte Twitters Verbot politischer Werbung verletzte, als er sich selbst als Kandidat der AfD für das Amt des Bundespräsidenten promotete. SPD und AfD wiederum setzen sich erst jüngst über das Verbot politischer Werbung auf TikTok hinweg.
Mutmaßlich sogar gegen die Grundsätze der Verfassung verstießen das Bundesarbeitsministerium von Hubertus Heil (SPD) und das rheinland-pfälzische Klimaministerium von Anne Spiegel (Grüne). Beide Ministerien wählten bei Facebook-Werbung zu Wahlkampfzeiten gezielt Anhänger:innen der Parteien der beiden Minister:innen als Zielgruppe aus – ein Verstoß gegen das Neutralitätsgebot. Aufgedeckt hatten dies das ZDF Magazin Royale und die NGO Who Targets Me. Im Zuge der gleichen Recherche konnten sie zeigen, dass die FDP im Bundestagswahlkampf unterschiedliche Gruppen mit widersprüchlichen Botschaften zum Klimaschutz ansprach.
Im Nachgang dieser Recherche reichte die Datenschutzorganisation NOYB gemeinsam mit Betroffenen Beschwerden gegen alle damals im Bundestag vertretenen Parteien ein. Auch in diesem Fall ist die Berliner Datenschutzbeauftragte zuständig, das Verfahren läuft noch.
Zudem steht immer noch in Frage, ob man offizielle Profile auf Social-Media-Plattformen überhaupt datenschutzkonform betreiben kann. Gegen Meta, den größten Social-Media-Konzern der Welt, laufen zahlreiche Gerichtsverfahren, auch die europäischen Datenschutzbehörden ringen seit Jahren mit dem Unternehmen.
Einem Gerichtsurteil zufolge sind die Seitenbetreiber und Facebook zudem datenschutzrechtlich gemeinsam verantwortlich für die Datensammlung des Konzerns. Der Bundesdatenschutzbeauftragte hat deshalb die Bundesregierung aufgefordert, alle offiziellen Kanäle auf der Plattform einzustellen, aktuell streiten sie vor Gericht.
Grundsätzliche Sorge um Demokratie und Diskurs
In ihrer Kritik am politisch genutzten Social-Media-Targeting wird Meike Kamp grundsätzlich: „Für die betroffenen Personen sind die genauen Vorgänge der Datenverarbeitung häufig nicht transparent und das Informationsgefälle zwischen Plattform/Werbendem und Adressat:in kann dazu führen, dass es für die Adressat:innen schwer einschätzbar wird, was die Werbenden veranlasst hat, speziell sie mit dem spezifisch zugeschnittenen Inhalt anzusprechen.“
Darüber hinaus sei zu befürchten, dass politisches Targeting den Diskurs fragmentiert und polarisiert, so der Brief weiter. „Letztlich kann die starke Fokussierung auf die Interessensprofile der Nutzer:innen dazu führen, dass die Adressat:innen nur noch mit dem konfrontiert werden, was sie vermeintlich hören möchten, und dass die Bandbreite von Positionen eines Werbenden zu verschiedenen Themen sie nicht mehr erreicht.“ Wahlwerbung, die zu stark individualisiert und manipulierend ist, widerspreche der zentralen Aufgabe der Parteien, „den öffentlichen Diskurs anzuregen, die vielfältigen Meinungen zu bündeln und zu Kompromissen zu führen“, so Kamp.
Auch die Europäische Union sieht Gefahren im politischen Targeting und hat deshalb 2023 eine neue Verordnung verabschiedet, die erstmals Regeln für digitale Wahlkämpfe und maßgeschneiderte Werbekampagnen bringt. Auch sie enthält kein grundsätzliches Verbot des Targetings, schränkt die politische Nutzung aber deutlich ein. Allerdings hatten die Debatten um das umstrittene Thema die Verabschiedung so lange aufgehalten, dass die Verordnung erst nach der EU-Wahl am 9. Juni wirksam wird.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die USA bekommen wieder Regeln zur Netzneutralität. Die lange Zeit blockierte Regulierungsbehörde FCC verpflichtet Internetanbieter, alle Daten im Netz gleich zu behandeln. Sorgen bereiten aber neue Technologien, die womöglich doch noch „Überholspuren“ schaffen könnten – auch in Europa.
US-Internetnutzer:innen können sich wieder über Regeln zur Netzneutralität freuen. Heute hat die US-Regulierungsbehörde Federal Communications Commission (FCC) erneut Richtlinien erlassen, die unter Ex-Präsident Barack Obama eingeführt und von seinem Nachfolger Donald Trump wieder zurückgenommen wurden.
Die Corona-Pandemie habe ein für alle Mal gezeigt, dass Breitband „essenziell“ ist, sagte die demokratische FCC-Vorsitzende Jessica Rosenworcel im Vorfeld. Doch ohne entsprechende Regeln habe die FCC nicht sicherstellen können, dass Verbraucher:innen von einem „schnellen, offenen und fairen“ Internet profitieren könnten. „Eine Rückkehr zum überwältigend beliebten Standard der Netzneutralität wird es der FCC ermöglichen, erneut als starke Anwältin für ein offenes Internet aufzutreten.“
Das Prinzip der Netzneutralität schreibt fest, dass alle Datenströme im Internet gleich behandelt werden müssen, unabhängig vom Absender oder Empfänger. Es genießt breite Unterstützung, Umfragen in den USA zeigen immer wieder, dass Verletzungen der Netzneutralität wie künstlich gedrosselte oder blockierte Internetverbindungen ausgesprochen unbeliebt sind.
Dennoch hat es mehr als drei Jahre nach dem Amtsantritt von US-Präsident Joe Biden gedauert, bis die Demokraten die Regeln wieder erlassen konnten. Schuld war eine politisch motivierte Blockade der FCC, mit der die Republikaner die Behörde bis zuletzt lahmgelegt hatten.
Netzbetreiber erbringen grundlegende Dienste
Erst im vergangenen Oktober konnte eine vollständig besetzte FCC unter Mehrheit der Demokraten einen ersten Vorschlag beschließen und zur Debatte stellen. Im Kern gleicht das Regelwerk der Open Internet Order aus dem Jahr 2015. Demnach gelten Netzbetreiber als „Common Carrier“, erbringen also eine grundlegende Dienstleistung wie die Versorgung mit Wasser und sind entsprechend streng zu regulieren.
Ihnen ist es grundsätzlich verboten, den Zugang zu Online-Diensten zu drosseln oder zu sperren. Netzbetreiberverbände haben bereits angekündigt, die Regeln vor Gericht zu zerren. Vergleichbare juristische Auseinandersetzungen haben sie in der Vergangenheit jedoch verloren.
Selbst ohne bundesweite Auflagen scheuten sich Betreiber in den letzten Jahren vor krassen Verletzungen der Netzneutralität. Zum einen waren die Augen der Öffentlichkeit auf sie gerichtet, zum anderen hatte eine Reihe an Bundesstaaten, darunter Kalifornien und Washington, zwischenzeitlich eigene Gesetze erlassen.
Diese haben etwa den Mobilfunkriesen AT&T dazu gebracht, ein sogenanntes „Zero Rating“-Produkt einzustellen – nicht nur in diesen Bundesstaaten, sondern landesweit. Solche Angebote nehmen den Zugriff auf ausgewählte Partnerdienste vom monatlichen Datenvolumen aus, behandeln sie also notwendigerweise unterschiedlich.
Vom Experimentieren hat das die Betreiber indes nicht abgehalten. Manche lassen sich etwa den Zugriff auf hochaufgelöste Videos extra bezahlen, während sie alle anderen Videos künstlich in einer schlechteren Auflösung ausliefern. Solche Praktiken könnten künftig zunehmen, auch weil sie technisch leichter umsetzbar werden.
Überholspuren im Fokus
Der neue 5G-Mobilfunkstandard sieht sogenannte „Network Slices“ vor, mit denen sich Netze in Scheibchen schneiden und unterschiedlich gut behandeln lassen. Weltweit schielen Netzbetreiber auf diese Technik, die Deutsche Telekom sieht sie etwa als „Schlüssel zu 5G“. Nur damit seien industrielle Anwendungen umsetzbar, etwa Industrieroboter oder selbstfahrende Autos, gibt der Konzern an.
Genau solche Überholspuren erfassen die neuen FCC-Regeln jedoch nicht vollständig. Zwar dürfen sich Netzbetreiber von den jeweiligen Online-Anbietern für eine Vorfahrt nicht bezahlen lassen. Außerdem beteuert die FCC, solche Angebote einzeln prüfen zu wollen. Dennoch könnte dies letztlich dazu führen, dass Netzbetreiber bestimmten Online-Diensten Vorfahrt gestatten, während sich die restlichen Internet-Dienste samt ihrer Nutzer:innen mit zunehmend verstopften Straßen begnügen müssten. Davor warnt etwa die Stanford-Professorin Barbara van Schewick.
Mit der Netzneutralität kompatibel wäre hingegen eine Ausgestaltung, mit der Netzbetreiber Überholspuren nicht nutzen könnten, um den Wettbewerb zu verzerren, erklärt die Expertin gegenüber netzpolitik.org. Dabei müsste gesichert sein, dass die Überholspur offen ist für alle Anwendungen; die Nutzer:innen entscheiden, ob, wenn, und für welche Anwendungen sie die Überholspur verwenden; keine Gebühren für den Dienste-Anbieter selbst entstehen; und die Überholspur die Qualität des regulären Internets nicht verschlechtert.
Zu strenger Kontrolle ruft deshalb auch die Nichtregierungsorganisation Public Knowledge auf, die sich für ein offenes Internet einsetzt. Es sei zu erwarten, dass Netzbetreiber ihre alten Tarife in neuem Gewand auf den Markt bringen und weiterhin versuchen werden, das Internet in langsame und schnelle Spuren aufzuteilen, schreibt John Bergmayer nach der FCC-Abstimmung. Dabei müsse die FCC sicherstellen, dass Breitbandanbieter nicht einfach Allerwelts-Apps nehmen und sie als separaten „Nicht-Breitband“-Dienst bündeln.
Gefahr eines Zwei-Klassen-Internets
Auch in Europa weckt die Technik Begehrlichkeiten. Einem „5G-Manifest“ der Industrie war vor Jahren etwa die Unterstützung des damaligen Digital-Kommissars Günther Oettinger gewiss. Darin warb die Branche unter anderem für vertikal integrierte Dienste, die Vorschläge reichen von autonomem Fahren bis hin zu virtueller Realität. Dies trage nicht nur zu besseren Anwendungen bei, sondern helfe auch bei der Finanzierung der Netze, so das Lobbypapier.
Bislang haben solche Vorstöße jedoch kaum gefruchtet, weil die EU-Regeln zur Netzneutralität eklatante Verstöße untersagen und solche Spezialdienste nur unter strengen Auflagen möglich sind. Insbesondere dürfen Spezialdienste nicht zu Lasten anderer Nutzer:innen gehen und damit das offene Internet einschränken. Auch EU-Regulierer hatten wiederholt klargestellt, dass sich damit kein Zwei-Klassen-Internet durch die Hintertür schaffen lässt.
Allerdings zeichnet sich kein Ende der Debatte ab. Zuletzt forderte der italienische Ex-Ministerpräsident Enrico Letta in einem Bericht über den EU-Binnenmarkt eine umfassende Überarbeitung der europäischen Regeln. Betreiber sollen demnach einfacher Überholspuren für bestimmte Dienste anbieten können, denkbar seien beispielsweise „KI-gestützte Anwendungen wie autonomes Fahren“.
Auf eine grundlegende Reform des Telekommunikationssektors drängt auch der amtierende Binnenmarktkommissar Thierry Breton. Er will Netzbetreibern künftig einträgliche, aber bislang verbotene oder fragwürdige Zusatzgeschäfte ermöglichen, etwa mittels einer Datenmaut für Online-Dienste.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Entwurf des Bundespolizeigesetzes sieht weitere Überwachungsbefugnisse vor. Sachverständige haben das kritisiert, da die geplante Reform verfassungsrechtliche Fragen aufwerfe, anstatt Probleme zu lösen.
Im Dezember 2023 hat das Bundeskabinett einen Entwurf zur Reform des Bundespolizeigesetzes beschlossen. Nun berät der Bundestag über die geplante Neustrukturierung. Am 22. April wurden der Gesetzentwurf und die Befugnisse der Bundespolizei in einer öffentlichen Anhörung im Ausschuss für Inneres und Heimat mit Sachverständigen besprochen.
Die Bundespolizei hat mehrere Aufgaben: Sie soll die Grenzen schützen, den Bahn- und Luftverkehr sicher machen, aber auch staatliche Einrichtungen vor Gefahren schützen. Neben präventiven Maßnahmen übernimmt die Bundespolizei auch Strafverfolgungsaufgaben. So verfolgt sie beispielsweise Verstöße gegen die Vorschriften des Pass- oder Aufenthaltsgesetzes.
Nun soll die gesetzliche Grundlage für ihre Arbeit, das Bundespolizeigesetz (BPolG), erneuert werden. Die Bundesregierung fürchtet, dass das 30 Jahre alte Bundespolizeigesetz nicht so aktuell sei, dass die Bundespolizei ihre Aufgaben entsprechend den technischen und sicherheitspolitischen Entwicklungen durchführen könne. Sie erhofft sich von der Neustrukturierung, das Gesetz wieder auf die Höhe der Zeit zu bringen.
Mehr Befugnisse, weniger unabhängige Kontrolle
Im BPolG gibt es derzeit eine sogenannte allgemeine Befugnisnorm. Sie ermöglicht es der Bundespolizei schon jetzt, weitreichende Maßnahmen zur Gefahrenabwehr einzusetzen. Sie darf die „notwendigen Maßnahmen treffen, um eine Gefahr abzuwehren“, wenn es nicht speziell geregelt ist. Eine solche Regelung bleibt in der geplanten Neuregelung bestehen.
Mehrere Vorschriften des Entwurfs zeigen aber: Etwa bei Überwachungsmaßnahmen will die Regierung der Bundespolizei mehr Befugnisse geben. Die Bereiche betreffen Abfragen von Daten bei den Telekommunikationsanbietern bis hin zur erleichterten Ausstellung von Meldeauflagen, also die Verpflichtung, sich innerhalb eines bestimmten Zeitraums zur Kontrolle bei der Polizei zu melden.
Auch bei der Telekommunikationsüberwachung sind Erweiterungen geplant. Eine Befugnis zur Überwachung von Kommunikation mit Staatstrojanern, also Quellen-Telekommunikationsüberwachung oder Onlinedurchsuchung, ist nicht vorgesehen.
Keine zusätzliche Rechtssicherheit
Nahezu alle Sachverständige äußerten Kritik am Inhalt und an den Formulierungen im Gesetz. Etwa dass Situationen, in denen die Polizei eine Maßnahme ergreifen kann, zu unkonkret blieben. Die Gesetzgeberin habe entscheidende Gefahrensituationen nicht konkret genug definiert. Dies sei aus Sicht des angehörten Juristen Felix Ruppert von der Ludwig-Maximilians-Universität München aber wichtig. Beamt:innen könnten sonst den Anwendungsbereich von besonders eingriffsintensiven Maßnahmen ausdehnen.
Dieses Problem betreffe unter anderem die Regelungen zur Erhebung von Verkehrs- und Nutzungsdaten und zur Telekommunikationsüberwachung. Bei ersterem kann die Polizeibehörde bei Telekommunikationsanbietern und Netzwerkbetreibern beispielsweise abfragen, wer wann an einem Anrufbeteiligt ist oder war.
Der Entwurf des Bundespolizeigesetzes würde solche Abfragen zur Abwehr einer dringenden Gefahr erlauben, ohne Wissen der Betroffenen. Genauso verhält es sich auch mit dem neuen Paragrafen zur Überwachung der Telekommunikation. Das würde bedeuten, dass in Situationen eingegriffen werden könne, in denen üblicherweise noch kein Tatverdacht begründet ist, schreibt der Sachverständige Ruppert in seiner Stellungnahme.
In der Entwurfsbegründung zur Überwachung der Telekommunikation heißt es dazu, dass damit eine Erkenntnislücke geschlossen werden solle. Vorgesehen sei die Überwachung von weiteren Beteiligten, die eine im Vergleich dazu strengere Regelung aus der Strafprozessordnung noch nicht zulasse.
Die Definition aus dem Entwurf regele dagegen nicht konkret genug, wann eine dringende Gefahr vorliege, kritisiert Ruppert. Gefahrensituationen werden daran festgemacht, ob „bedeutende Rechtsgüter wie Leben, Gesundheit und Freiheit“ oder „wesentliche Vermögenswerte“ gefährdet sind oder es wahrscheinlich ist, dass sie gefährdet werden.
Auf verfassungsrechtlich dünnem Eis
Dass neue Bundespolizeigesetz soll nicht nur die alte Rechtsgrundlage modernisieren, es soll auch verfassungsrechtliche Bedenken aus dem Weg schaffen. Hintergrund ist, dass das Bundesverfassungsgericht im April 2016 Teile des Bundeskriminalamtsgesetzes (BKA-Gesetz) für verfassungswidrig erklärte.
Die Richter:innen haben in ihrem Urteil neue Anforderungen an die Durchführung von besonders eingriffsintensiven Überwachungsmaßnahmen aufgestellt, die sich so auch im Bundespolizeigesetz wiederfänden. Auf sie seien die verfassungsrechtlichen Entscheidungen des Bundesverfassungsgerichtes anzuwenden. Das gelingt nach Ansicht des Sachverständigen Ruppert aber nicht vollständig.
Manche Anforderungen an eingriffsintensive Maßnahmen der Telekommunikationsüberwachung seien sogar herabgesetzt worden. In sämtlichen Normen brauche es keine konkrete Gefahr mehr, sondern nur noch eine „unbestimmte drohende Gefahr“. Der vorliegende Gesetzentwurf begebe sich so auf „verfassungsrechtlich bestenfalls dünnes Eis“.
Nach negativen bundes- und landesverfassungsrechtlichen Entscheidungen über ausgeweitete Überwachungsbefugnisse der Landespolizeien und des BKA hält Ruppert es für möglich, dass das Bundesverfassungsgericht auch das BPolG in ein paar Monaten für verfassungswidrig erklären könnte. Neben dem BKA-Gesetz wurden auch Überwachungsbefugnisse des mecklenburg-vorpommerschen Sicherheits- und Ordnungsgesetzes und einige sächsische Überwachungsbefugnisse für verfassungswidrig erklärt.
Nicht alles, was technisch möglich ist, ist rechtlich geboten
Immerhin: Außerhalb der Strafprozessordnung und des BKA-Gesetzes wird es vorerst keine weitere nationale Rechtsgrundlage für den Einsatz der Quellen-Telekommunikationsüberwachung, der Online-Durchsuchung und der Wohnraumüberwachung im BPolG geben.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßte diese Entscheidung. Einmal geschaffene Überwachungsbefugnisse würden im Regelfall nicht mehr zurückgenommen, sondern eher noch ausgeweitet.
Polizeivertreter:innen, die im Ausschuss ebenfalls als Sachverständige sprachen, haben das Gesetz ebenfalls kritisiert. Sie sprachen sich jedoch grundsätzlich für mehr Befugnisse aus, etwa für automatisierte Gesichtserkennung an Bahnhöfen und Flughäfen. Außerdem äußerten sie den Wunsch nach einer gesetzlichen Regelung für den Einsatz von Gummigeschossen, von Tasern und dem sogenannten finalen Rettungsschuss.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Internet-Diensten, die besonders sicher sind, könnte schnell eine Anordnung zur Chatkontrolle blühen. Das geht aus Vorschlägen der belgischen Ratspräsidentschaft hervor, die wir veröffentlichen. Verschlüsselung und Anonymität werden darin zum Risiko für Straftaten erklärt.
Während die EU-Staaten sich weiterhin über die Chatkontrolle streiten, versucht die belgische Ratspräsidentschaft weiter an Details zur geplanten EU-Verordnung zu arbeiten. So sandte sie in den letzten Wochen Vorschläge zu einer Risikoeinstufung für Online-Dienste an die Ratsarbeitsgruppe Strafverfolgung, in der die EU-Mitgliedstaaten zum Thema verhandeln. Wir veröffentlichen die beiden aufeinander aufbauenden Vorschläge aus dem März und dem April.
Bei der Chatkontrolle, wie sie die EU-Kommission vor etwa zwei Jahren vorgeschlagen hat, sollen Anbieter von Kommunikations- und Hostingdiensten auf Anordnung die Inhalte ihrer Nutzenden scannen, um Hinweise auf sexualisierte Gewalt gegen Kinder oder Anbahnungsversuche von Erwachsenen an Minderjährige zu suchen. Ob ein Diensteanbieter eine solche Anordnung bekommt, soll wesentlich vom Risiko abhängen, das von dem entsprechenden Dienst ausgeht.
Das Risiko entscheidet
Doch wie soll dieses Risiko bestimmt werden?
In einem frühen Entwurf der Einstufungskriterien wurde deutlich, dass die belgische Ratspräsidentschaft es als besonderes Risiko einstuft, wenn Dienste verschlüsselte Kommunikation oder eine anonyme Nutzung ermöglichen. Dieser Tenor bleibt in den Folgeversionen des Entwurfs bestehen. In einer Fußnote heißt es dazu:
In dieser Rangliste sind Aktivitäten mit direkter Echtzeitkommunikation (Livestreaming, Messaging) aufgrund ihrer unmittelbaren und potenziell ungefilterten Natur am stärksten gefährdet. Verschlüsselte Nachrichten folgen dicht dahinter, aufgrund von Bedenken hinsichtlich der Privatsphäre und des Missbrauchspotenzials.
Neben dieser Einordnung gibt es jedoch noch weitere vorgeschlagene Kriterien. Darunter sind: Wie viele Menschen nutzen den Dienst? Ist er auch für Kinder zugänglich? Kann ein Hosting-Dienst Inhalte mit Strafverfolgungsbehörden teilen? Können Nutzende Inhalte speichern oder Screenshots erstellen? Hat ein Anbieter klare und leicht auffindbare Regeln und Funktionalitäten, wie er mit potenziellen Missbrauchsinhalten umgeht?
Wer nicht freiwillig scannt, ist ein Risiko
Unter den erwähnten Funktionalitäten sind auch explizit Technologien zum Scannen nach bekannten Missbrauchsdarstellungen erwähnt. Solche Technologien nutzen bereits Anbieter wie Meta. Sie gleichen etwa Bilder auf ihren Plattformen über Hashwerte mit Datenbanken ab, in denen bekannte Missbrauchsdarstellungen gesammelt sind. Das geschieht in der Regel bereits beim Upload eines Bildes, um seine weitere Verbreitung zu verhindern.
Sollte ein Anbieter eine solche Technologie nicht nutzen, gebe das „Anlass zu Bedenken, ob die Plattform in der Lage ist, die Verbreitung von schädlichem Material wirksam einzudämmen“. Das heißt: Wer nicht schon scannt, hat ein höheres Risiko. Und könnte zum Scannen gezwungen werden.
Einen konkreten und umsetzbaren Vorschlag, wie aus den vielen Einzelaspekten ein Gesamtrisiko ermittelt werden soll, gibt es noch nicht. Während sich manche der Kriterien durch Ja-Nein-Fragen einstufen lassen, befinden sich andere eher auf einem Spektrum von Möglichkeiten. Bedenken äußerten auch die Vertretungen der Mitgliedstaaten in einem Treffen der zugehörigen Ratsarbeitsgruppe sowie die EU-Kommission.
Vor den Details müssen grundlegendere Fragen geklärt werden
Während es in den Vorschlägen zur Risikobewertung bereits um konkrete Umsetzungsaspekte der EU-Verordnung geht, stecken die Verhandlungen an einer viel tieferen Stelle fest: Seit zwei Jahren können sich die Mitgliedstaaten nicht einigen.
Zentrale Fragen hierbei sind: Sollen Inhalte anlasslos und massenhaft gescannt werden, ohne dass es gegen die betroffenen Nutzenden je einen Verdacht gab? Soll das auch verschlüsselte Kommunikation und Inhalte betreffen und wie soll das technisch möglich sein, ohne Verschlüsselung zu brechen oder zu umgehen? Wie soll die Altersbestimmung der Nutzenden ablaufen?
Wie eine Einigung aussehen könnte und ob es dazu kommt, ist derzeit nicht absehbar. Die belgische Ratspräsidentschaft ist noch bis Juli am Zug, danach geht der Vorsitz an Ungarn über.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Videospielhersteller löschen öfter Spiele aus ihren Bibliotheken und von ihren Servern, wenn diese in die Jahre kommen. Bei Gamer*innen stößt das zunehmend auf Kritik. Sie fordern mit einer internationalen Initiative einen gesetzlichen Rahmen, der das Kulturgut Computerspiel schützt.
Anfang März hat die Spielefirma Ubisoft das Spiel „The Crew“ aus ihrer Spiele-Mediathek entfernt. Die „Game-Launcher“ genannten Mediatheken dienen dazu, Spiele zu verwalten. Das bekannteste Beispiel ist Steam, aber die meisten Spielefirmen besitzen oft einen eigenen. Die meisten Spiele existieren heute nur noch digital in den Game-Launchern, da selbst in den Spiele-DVD-Boxen nur noch ein Code für dieses digitale Angebot enthalten ist. Kauft man sich also ein Spiel, ist es als digitaler Wert im Game-Launcher. Oft ist es auch so, dass die Spiele eine Internetverbindung nötig ist, damit sie auf einem Server laufen.
Das führt zu Abhängigkeiten: Verliert der für den Launcher Verantwortliche die Lizenz eines Spiels oder nimmt er das Spiel heraus, hat niemand mehr Zugriff auf dieses Spiel.
Das passierte unlängst bei „The Crew“. Das Autorennspiel, das auf einem Server läuft, damit man mit anderen zusammen Rennen fahren kann, ist in die Jahre gekommen. Bei Ubisoft gibt es zwei Nachfolger für das Spiel und vermutlich sind die Umsätze nicht mehr groß genug, was den Hersteller offenbar veranlasste, nicht länger die Kosten für den Server zu tragen. Dadurch verschwand das Spiel aus den Spielbibliotheken der immerhin noch bis zu zwölf Millionen Spieler*innen und ist auch im Launcher nicht mehr zu finden. Laut den Nutzungsregeln des Ubisoft-Launchers ist das auch so erlaubt.
Ubisoft löst Proteste aus
Viele der noch aktiven „The Crew“-Spieler*innen waren damit überhaupt nicht einverstanden, da ihnen nicht einmal eine Entscheidung zum Verlust des digitalen Werts angeboten wurde. Ubisoft weigerte sich bei „The Crew“ auch, Alternativen zum Weiterbetrieb anzubieten. Als Reaktion auf das plötzliche Ende von „The Crew“ gründete sich „StopKillingGames“.
Die internationale Initiative setzt sich unter anderem dafür ein, dass Videospiele wie auch Musik, Fotos oder Literatur nach Ablauf einer bestimmten Frist gemeinfrei werden oder dass die Unternehmen für Spiele, die sich wirtschaftlich nicht mehr rentieren, den Code zur Verfügung stellen. Dann könnten Menschen, die das Spiel immer noch spielen wollen, die Chance bekommen, selbst Gaming-Server zu hosten. Grundsätzlich verweist die Initiative auch auf ältere Spiele, wo die Multiplayer-Server nicht in der Hand des Herstellers lagen und damit unabhängig von diesem sind.
„StopKillingGames“ stellt jetzt Petitionen im Vereinigten Königreich, Kanada und Australien. Auch für die Europäische Union ist eine geplant. Im Europaparlament haben sich die Piraten zu der Sache geäußert: Patrick Breyer, Abgeordneter im Europaparlament, hat eine offizielle Anfrage an die Kommission der Europäischen Union gestellt, ob das Löschen von Spielern überhaupt dem EU-Recht entspricht und welche Grenzen dabei für Spielehersteller gelten. In Australien gibt es sogar schon eine Gesetzesinitiative. Die Petition im Vereinigten Königreich kann man mittlerweile auf der Parlamentsseite finden.
Schutz digitaler Kulturen in Zukunft
Unklar ist aber, ob und wann das Thema in den verschiedenen Parlamenten besprochen wird. Mit großer Wahrscheinlichkeit wird es noch eine Weile dauern. Weil Gaming nicht an Ländergrenzen gebunden ist, spricht sich Stopkillinggames nun im Namen von vielen Gamer*innen für eine global geltende Regelung aus. Wichtig sei dabei auch, dass es eine für Videospiele geltende Regelung gibt, die nicht zu allgemein gehalten wird. Sonst könnten die Spielehersteller Lücken ausnutzen.
StopkillingGames zieht beim Schutz des Kulturgutes Computerspiel den Vergleich zu anderen Kulturgütern:
Das Konzept, jede vorhandene Kopie eines Buches, eines Liedes, eines Films etc. zu zerstören, würde als kultureller Verlust für die Gesellschaft angesehen werden. Obwohl es sich um ein weniger anerkanntes Medium handelt, verdienen Videospiele grundlegende Schutzmaßnahmen gegen die vollständige und willentliche Zerstörung vieler ihrer Werke.
Die Gründung von Initiativen wie „StopKillingGames“ zeigt, dass das Bewusstsein für dieses Thema wächst und die Forderung nach Lösungen lauter wird. Wann es zu einer Lösung kommt, weiß niemand. Viele Spiele werden bis dahin verloren gegangen sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Seit der Terrorserie des NSU gab es in Deutschland schon 50 weitere rechtsterroristische Bestrebungen und Taten. Diese hat die Nichtregierungsorganisation CeMAS nun in einer Datenbank verschlagwortet und kategorisiert.
Das Center für Monitoring, Analyse & Strategie (CeMAS) erfasst in einem neuen Projekt „Rechtsterrorismus seit dem NSU“ und zeigt dabei, wie sich der Rechtsterrorismus in Deutschland seit 2011 entwickelt hat.
Der NSU und die rechtsterroristischen Anschläge der letzten Jahre wie in Halle oder Hanau stünden exemplarisch für die gegenwärtige Entwicklung im deutschen Rechtsterrorismus, der seit 1945 immer wieder von strategischen Neuorientierungen und der Weiterentwicklung nationaler und internationaler Netzwerke geprägt sei, heißt es bei CeMAS über das Projekt.
Teil des Projektes ist eine Publikation (PDF), Kernstück jedoch eine neue Datenbank, in der CeMAS 50 rechtsterroristische Fälle systematisch erfasst und kategorisiert hat.
Die Datenbank nimmt dabei vor allem drei Strömungen in den Blick, die sich laut CeMAS in den letzten Jahren verstärkt herausgebildet hätten: „Einzeltäter“ aus dem Bereich des militanten Akzelerationismus, „Reichsbürger“ aus dem verschwörungsideologischen Souveränismus und „Bürgerwehren“ aus dem vigilantistischen Terrorismus.
In den erweiterten Daten gibt es zudem Hinweise darauf, wo die jeweiligen Gruppen und Aktionen aktiv waren, wie der Stand der Ermittlungen und Strafverfolgung ist und auf welche Ideologie sich die Rechtsterrorist:innen berufen. Die Daten sind mit interaktiven Grafiken versehen.
„Oft auf Halle und Hanau reduziert“
„Rechtsterrorismus in Deutschland wird oft auf die Fälle in Hanau und Halle reduziert“, sagt Miro Dittrich von CeMAS. „Unsere Datenbank zeigt jedoch, dass das Problem deutlich größer ist und die Gefahr von Anschlägen über die letzten Jahre zugenommen hat.“ Für Dittrich liegt das auch daran, dass die Ermittlungsbehörden „digitale Räume“ nicht ausreichend ernst nehmen würden.
CeMAS warnt auch vor zunehmend minderjährigen Tätern im Bereich des Rechtsterrorismus. Der größte Teil des Rechtsterrorismus gehe von Männern aus, Frauen seien eher in Vernetzung und Organisation wichtig.
Die Datenbank soll fortlaufend aktualisiert werden, um der Öffentlichkeit weitergehende Analysen zu ermöglichen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
A data broker is offering sensitive passport data of thousands of people for sale – and publishing some of it openly online. Our investigation leads to an airline as a possible source. Data protection authorities are alarmed.
The document lists more than 60 names and is publicly available on the site of a data broker. Most of those names are said to belong to German citizens. Their date of birth, passport number and expiration date is also listed. Such data is considered particularly sensitive because it can be used for identity theft. Selling and publishing it online is a disaster from a data protection perspective.
The list was uploaded to the site of a data broker in the EU, that allows others to buy or sell data. We are not naming the site here because the list is still online. The document listing more than 60 names is apparently a free sample. Interested parties can use such samples to get an impression of the data – before buying more of it. The data broker makes money from each sale: according to its own information, it keeps part of the sales price as a fee.
netzpolitik.org was able to identify several people on the list. They live in Bavaria or Lower Saxony and confirm that their data and ID numbers are genuine. Some were shocked to learn their data was public. One person tells us on the phone: „Data protection, you often hear about it. But it’s a different feeling when you see your own data openly on the Internet.“
ID data is one of the most sensitive forms of data, because people use it to prove their identity. That makes it particularly interesting for criminals. They use the stolen data for paid subscriptions or make purchases under a false name. According to a recent survey, one in ten Germans has already been affected by identity theft.
Data trader shrouds itself in silence
Our research into the exact origin of the sensitive data did not yield any clear results. The company behind the site did not respond to our inquiries via several channels. The offer page for the purchase of the data disappeared from the website after we contacted them. However, the document with the sample data is still online.
The company is registered in the EU and is also listed in the marketplace’s privacy policy. The two founders are active on LinkedIn. One of them runs his own podcast. Should they or other representatives of the company respond, we will amend the article.
There are indications that the ID data may have found its way onto the internet via airlines. An account with a name hinting at Wizz Air appeared as the seller. Wizz Air is the name of a Hungarian low-cost airline. However, people can also give their accounts misleading names on the platform. All you need to register is a working e-mail address. Wizz Air has not yet responded to our inquiries.
The trail leads to low-cost airlines
We contacted the account offering the data using a form on the site. We wanted to know where the data came from, how big the data collection was and how much it would cost.
A new name appeared in the chat that opened: Suddenly it no longer said Wizzair but a man’s name. However, the name is very common; an online search for a person with this name produced countless hits. Shortly after, the offer with the ID data had disappeared from the site, and the name of the provider in the chat was changed to: „aaaa bbbb“.
It is therefore possible that Wizz Air has nothing to do with the offer. None of the affected persons we contacted stated that they had flown with Wizz Air. However, at least four of those affected said they had traveled with another low-cost airline: Corendon.
Anyone searching for Wizz Air on the platform last week found another offer with the Corendon logo. Data from more than 20,000 passengers from other EU countries was allegedly offered for sale. But even in this case, the airline’s logo could have been uploaded by anyone. Corendon has not responded to our attempts to contact them.
Airline in trouble
Corendon is a Turkish low-cost airline based in Antalya. The airline has been flying to vacation destinations from Germany since 2005 and for a while was a sponsor of the soccer club 1. FC Nuremberg. In recent years, there have been reports of payment difficulties at Corendon.
When we created our own account on the data brokers’s platform as a test, we were able to name it freely. All we needed to register was an e-mail address. It is therefore possible that the names of Wizz Air and Corendon were used by an uninvolved person and that the airlines themselves have nothing to do with the data being offered.
Even if the origin of the ID data remains unclear, one thing is certain: the data is apparently genuine. And it was openly offered for sale by a data broker in the EU – including a free sample available online. Offering such sample data sets to potential customers is widespread in the industry, but they are usually protected with a password.
„Probably unlawful“
The incident is yet another example of the shady business of data traders. An opaque network of thousands of companies buys and sells personal data like normal goods. It is mainly used for advertising and consumer scoring, but secret services and criminals also make use of this data source. Where exactly people’s data ends up and what it is used for is not clear to anyone in this system, not even the retailers themselves.
Whether the industry’s business model can even be operated in accordance with the European Union’s data protection rules, called General Data Protection Regulation (GDPR), is controversial. If at all, then the sale of data is only possible with the consent of the data subjects. The requirements for valid consent are high. Does the described offer with the ID card data violate the law?
„The sale of such data records is probably unlawful,“ writes Elisabeth Niekrenz, a lawyer specializing in data protection, when asked for an assessment. In theory those responsible could have obtained consent for the sale of customer data to third parties. However, consent must be informed, voluntary, given for the specific use case and unambiguous. „Under no circumstances is a note in the small print sufficient,“ says the lawyer. „I doubt that data subjects will consent to the sale of such sensitive data if they are informed about the details.“
Data protection authorities are alarmed
We asked the supervisory authorities in Bavaria and Lower Saxony, among others, for their assessments, as we were able to identify people from both federal states in the sample data set. Both authorities emphasize that they can only comment in principle, not on the specific case.
The Bavarian State Office for Data Protection Supervision states: „In a constellation such as the one described – customer data is passed on to a data trader who in turn offers it for sale – we cannot recognize per se what could justify this.“
The supervisory authority from Lower Saxony, on the other hand, emphasizes that at least certain data can be passed on if the data subjects have given their consent. It is interesting to see whether the data broker has proof of such consent, it says. „If this is not the case, it would be reasonable to suspect that the data broker may have obtained the data in an inexplicable, possibly even unlawful manner.“
We also informed the supervisory authority in the EU country in which the data broker is based. They could not comment on the specific case because they are not allowed to comment publicly on „ongoing or potential proceedings“. According to the GDPR, failure to comply with consent requirements can result in penalties of up to four percent of annual turnover or 20 million euros.
„Legal use by third parties hardly conceivable“
Particularly strict rules apply to ID card and passport data. „Additional restrictions apply to ID card or passport numbers, so it is doubtful whether consent to the sale of such data would be effective at all,“ says lawyer Elisabeth Niekrenz. The law in question only provides for a few purposes for which the data from ID cards may be used at all. „Legal use of ID card or passport numbers and expiration dates by third parties is hardly conceivable,“ says the lawyer. „These details are most likely to be used for identity fraud.“
Viennese surveillance researcher Wolfie Christl agrees: „Passport numbers are highly sensitive data with a high potential for misuse for identity theft and other criminal purposes.“ Christl doubts that the companies involved had a legal basis for passing on and selling the data. He hopes that the supervisory authorities will quickly launch an investigation.
If the authorities were to start an investigation, the data broker would have to prove the lawful consent of the data subjects. When we asked, none of the people we found in the data set could remember having consented to the sale of their data. On the contrary, those affected reacted with surprise or even shock that we found their data openly online. Several of those affected said they plan to lodge a complaint with the relevant data protection authorities.
Data subjects are probably entitled to compensation
Companies face severe penalties in the event of a GDPR breach. If an airline has illegally sold such data, this also applies to them. However, it is conceivable that the data could have ended up in the hands of data brokers by other means, such as through a leak. Criminals could possibly have accessed the data though a hack or employees could have sold it.
As ID card data is so sensitive, Elisabeth Niekrenz says that not only the data protection authorities, but also those affected should have been informed in such a case. The lawyer points out that those affected are probably entitled to compensation – both from the data broker and the data source. The Bavarian State Office for Data Protection Supervision also emphasizes that those affected could sue the companies for damages.
Anyone who finds their own ID data online – or has the impression that other personal data has been processed without consent – can lodge a complaint with a data protection authority. For German citizens the first place to contact is the data protection authority in their own federal state.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die Polizei in Deutschland nutzt Staatstrojaner immer öfter. Im Jahr 2022 durfte sie 109 mal Geräte hacken und ausspionieren, 56 mal war sie damit erfolgreich. Das sind doppelt so viele Einsätze wie im Vorjahr. Das geht aus der offiziellen Justizstatistik hervor. Anlass sind wie immer vor allem Drogendelikte.
Im Jahr 2022 durften Polizei und Ermittlungsbehörden in Deutschland 109 mal IT-Geräte mit Staatstrojanern hacken und haben es 56 mal getan, wie das Bundesjustizamt heute mitteilt. Das sind fast doppelt so viele Einsätze wie im Vorjahr. Das Bundesjustizamt veröffentlicht jedes Jahr Statistiken zur Telekommunikationsüberwachung, die wir regelmäßig aufbereiten.
Anlass für den Einsatz von Staatstrojanern waren wie immer vor allem Drogen, so das Justizamt in der Pressemitteilung: „Wie in den vergangenen Jahren, begründete vor allem der Verdacht einer Straftat nach dem Betäubungsmittelgesetz die Überwachungsmaßnahmen.“
49 kleine und sieben große Trojaner
Laut den offiziellen Angaben ergingen 94 Anordnungen, den kleinen Staatstrojaner „Quellen-Telekommunikationsüberwachung“ einzusetzen, um laufende Kommunikation abzuhören. Davon wurden „49 tatsächlich durchgeführt“.
Spitzenreiter ist die Nordrhein-Westfalen, dort haben Ermittler 22 Mal gehackt. Danach folgt Niedersachen, dort kamen Staatstrojaner in sechs Verfahren zum Einsatz. Berlin, Hessen und Mecklenburg-Vorpommern haben je viermal Geräte infiziert. Der Generalbundesanwalt hackte in drei Verfahren. Sachsen und Sachsen-Anhalt haben je zweimal Staatstrojaner genutzt, Hamburg und Baden-Württemberg je einmal. Damit hackt mittlerweile die Mehrzahl der Bundesländer.
Der große Staatstrojaner „Online-Durchsuchung“ wurde 15 mal angeordnet, um alle Daten auf dem gehackten Gerät auszuleiten. Sieben mal wurde der Einsatz „tatsächlich durchgeführt“.
Der Generalbundesanwalt hat sieben Anordnungen bekommen, aber nur ein mal gehackt, wegen krimineller oder terroristischer Vereinigungen. Das könnten Rechtsterroristen wie die Patriotische Union sein, oder auch die Klimaaktivist:innen der Letzten Generation.
Hessen hat einmal gehackt, wegen Straftaten gegen die persönliche Freiheit. Rheinland-Pfalz hat einmal gehackt, wegen Drogen und Umgehung von Sanktionen. Sachsen wollte viermal wegen Drogen hacken, war aber nur einmal erfolgreich.
Trojaner für und gegen innere Sicherheit
Politisch werden Staatstrojaner meist mit Terrorismus, Mord und Totschlag oder Straftaten gegen die sexuelle Selbstbestimmung begründet. Spitzenreiter sind jedoch auch weiterhin Drogendelikte. Damit verhindert der Staat, dass Sicherheitslücken geschlossen werden, um ein paar Drogen-Dealer zu bekämpfen.
Die Polizeibehörden besitzen mehrere Staatstrojaner, die sie einsetzen können. Das BKA hat selbst einen Trojaner „Remote Communication Interception Software“ (RCIS) programmiert. Seit 2013 hat das BKA den Trojaner FinSpy von FinFisher. Seit 2019 hat und nutzt das BKA auch Pegasus von NSO. Welche weiteren Trojaner Polizei und Geheimdienste besitzen, will die Ampel-Regierung nicht öffentlich sagen.
Erst seit vier Jahren gibt es offizielle Statistiken, wie oft die deutsche Polizei Staatstrojaner einsetzt. Seitdem steigen die Zahlen Jahr für Jahr.
Die Ampel-Regierung hat im Koalitionsvertrag vereinbart, die Eingriffsschwellen für Staatstrojaner hochzusetzen. Justizminister Buschmann hat kürzlich einen Gesetzentwurf vorgelegt, mit dem die Polizei Staatstrojaner etwas seltener nutzen dürfen soll. Ob und wie das Gesetz tatsächlich verabschiedet wird, ist derzeit noch nicht abzusehen – SPD-Innenministerin Faeser blockiert.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die USA setzen TikTok ein Ultimatum: Entweder trennt sich der chinesische Mutterkonzern Bytedance von der App oder sie wird in den Vereinigten Staaten verboten. Kritiker:innen fürchten, der Fall könnte nun auch andere Staaten zu mehr Internet-Zensur verleiten.
Der Druck hat ein neues Hoch erreicht. Am Dienstagabend hat der US-Senat – die zweite Kammer des Kongresses – einen Gesetzentwurf aus dem Repräsentantenhaus gebilligt. Demnach muss sich die TikTok-Mutterfirma ByteDance entweder von der App trennen oder sie wird in den Vereinigten Staaten verboten.
Das Gesetz hat US-Präsident Joe Biden heute unterzeichnet. Damit beginnt für TikTok das Ultimatum: Innerhalb von neun Monaten muss ByteDance einen Käufer für seine Video-App finden, um maximal drei Monate kann Biden die Frist verlängern. Gelingt der Verkauf nicht, müsste die App aus den US-amerikanischen Stores von Apple und Google verschwinden.
Auf diese Weise soll die Bedrohung eingehegt werden, als die TikTok in den USA inzwischen parteiübergreifend wahrgenommen wird. Ob die drastische Maßnahme am Ende aber zum erwünschten Erfolg führt, ist fraglich. TikTok hat bereits angekündigt, vor Gericht gegen das Gesetz vorzugehen. Und auch zahlreiche Bürgerrechtsorganisationen sehen das Vorhaben kritisch. Eine derart beliebte App zu verbieten, das wäre ein tiefer Eingriff in die Meinungsfreiheit und die ist in den USA in die Verfassung eingemeißelt.
Zwangsverkauf für „mehr Sicherheit“
Es ist nicht der erste Versuch, TikTok in den Vereinigten Staaten unter Druck zu setzen. Schon Donald Trump hatte im Jahr 2020 versucht, erst einen Verkauf zu erzwingen, dann die App verbieten zu lassen. Beides scheiterte an Gerichten.
Nun soll ein Zwangsverkauf von TikTok die US-Amerikaner:innen schützen. „Protecting Americans from Foreign Adversary Controlled Applications Act“, lautet der sperrige Titel, zu Deutsch: „Gesetz zum Schutz der Amerikaner vor von ausländischen Gegnern kontrollierten Anwendungen“.
Vor allem zwei Szenarien sorgen dafür, dass TikTok in der Wahrnehmung der US-Gesetzgeber:innen als Gefahr gilt. Sie fürchten zum einen, die chinesische Regierung könne via TikTok massenweise die Daten US-amerikanischer Bürger:innen in die Hände bekommen. Zum anderen geht es um drohende politische Einflussnahme. TikTok gibt an, mehr als 170 Millionen Nutzer:innen in den USA zu haben. Was sie in der App zu sehen bekommen, wird von TikToks Algorithmen bestimmt.
Die hinter dem Gesetz stehende Frage fasste Bidens Sicherheitsberater Jake Sullivan kürzlich so zusammen: „Wollen wir, dass TikTok als Plattform im Besitz eines amerikanischen Unternehmens ist – oder China gehört?“
Sorgen berechtigt, Lösungsansatz fraglich
Das Hauptquartier von ByteDance ist in Beijing, registriert ist das Unternehmen jedoch auf den Cayman Islands. Das Unternehmen behauptet, nicht unter dem Einfluss der chinesischen Regierung zu stehen. Entgegen aller Beteuerungen war es aber offenbar nach wie vor möglich, auch von China aus auf Nutzer:innen-Daten zuzugreifen.
Die Sorgen, dass die Daten auch bei chinesischen Behörden landen könnten, sind also durchaus berechtigt. Die Frage ist nur: Eignet sich der Ansatz „Verkauf oder Verbot“, um die erklärten Ziele zu erreichen?
Denn während die Entscheidung über einen Zwangsverkauf getroffen wird, erlaubt die Gesetzeslage in den USA weiterhin einen kaum regulierten Handel mit Nutzer:innen-Daten. Darauf weisen Bürgerrechtsorganisationen wie die Electronic Frontier Foundation (EFF) schon lange hin. Demnach brauche die Kommunistische Partei Chinas TikTok nicht, um an Daten zu gelangen. Stattdessen könne sie etwa Bewegungsprofile von US-Bürger:innen völlig legal bei Datenhändlern einkaufen.
Statt derart massiv gegen TikTok vorzugehen, sei es sinnvoller, „die Art und Weise einzuschränken, wie alle Unternehmen hier personenbezogene Daten sammeln“, schreibt die EFF. „Dies würde die Menge der Daten reduzieren, die ein Angreifer erhalten könnte.“
Politische Einflussnahme nicht nur auf TikTok
Wenn es hingegen darum geht, politische Einflussnahme zu unterbinden, dann stellt sich die Frage: Warum vor allem auf TikTok? Denn erstens ist TikTok bei weitem nicht die einzige Plattform, auf der das geschieht, und zweitens China nicht der einzige Staat, der im Fokus stehen sollte. Wie massiv etwa die russische Regierung Facebook und Twitter genutzt hat, um die US-Wahlen 2016 zu beeinflussen, ist gut dokumentiert.
Um diese Probleme zu bekämpfen, könnte die US-Regierung Regeln erlassen – etwa wie Plattformen mit Propaganda und Desinformation umgehen sollen, wie sie Inhalte moderieren und solche Risiken für demokratische Prozesse zu mindern gedenken.
Genau das hat die EU erst jüngst mit einem umfangreichen Gesetz getan, das vor allem großen Plattformen viele Vorgaben macht: das Digitale-Dienste-Gesetz. Auch TikTok fällt darunter, weil die App eine kritische Zahl an Nutzer:innen in der EU überschreitet. Entscheidend aber ist, dass daneben auch Amazon, Instagram und Snapchat im Fokus der EU stehen.
Geopolitischer Schlagabtausch
Mit einer Internetregulierung, wie es sie in der EU gibt, hat das Vorhaben der USA jedoch nur wenig gemein. Das nun verabschiedete Gesetz will nicht Unternehmen oder ihre Plattformen regulieren. Es schreibt keine Regeln vor, wie sie etwa Inhalte moderieren oder Werbung überprüfen sollen. Stattdessen will es einen geopolitischen Schlagabtausch über das Internet austragen. Und dazu eine der beliebtesten Plattformen der USA aus dem Land drängen.
„Wir sind zutiefst enttäuscht, dass unsere Politiker wieder einmal versuchen, unsere Rechte aus dem ersten Verfassungszusatz gegen billige politische Punkte in einem Wahljahr einzutauschen“, sagt daher Jenna Leventoff, Senior Policy Counsel bei der American Civil Liberties Union (ACLU). Und Patrick Toomey, stellvertretender Direktor des National Security Project bei der ACLU, befürchtet, dass das Gesetz nicht zuletzt China in die Hände spielen wird.
Vor allem aber kritisieren die Bürgerrechtsorganisationen, dass der Kongress im Kampf gegen TikTok bereitwillig jenes Ziel opfere, dem sich die USA eigentlich seit Jahrzehnten verschrieben haben: ein offenes Internet, in dem keine Regierung darüber entscheidet, welche Seiten und Informationen frei zugänglich sind.
US-Gesetz droht weltweit Schule zu machen
Nun aber könnten Staaten weltweit das US-Gesetz dankbar zum Anlass nehmen, um eigene Restriktionen zu verstärken.
„Es würde definitiv nicht ihre eigenen Argumente zur Förderung eines freien und sicheren, stabilen und interoperablen Internets stärken“, sagt Juan Carlos Lara, Geschäftsführer von Derechos Digitales, einer lateinamerikanischen Gruppe für digitale Rechte mit Sitz in Chile.
In Venezuela und Nicaragua übten die jeweiligen Regierungen schon jetzt erheblichen Einfluss auf das Internet aus. Ein US-Gesetz, das sich gezielt gegen TikTok richte, könnte diese Kontrollbestrebungen noch verstärken. Es sei eine „verlockende Idee“, die „wirklich Gefahr läuft, sich zu verwirklichen, wenn so etwas in Ländern wie den USA gesehen wird“, so Lara gegenüber der New York Times.
Der russische Blogger Aleksandr Grobunov befürchtet, dass auch Russland nun seine Zensur ausweiten und etwa YouTube verbieten könnte: „Ich glaube nicht, dass das Offensichtliche laut gesagt werden muss: nämlich dass Russland, wenn es YouTube sperrt, dies mit genau dieser Entscheidung der Vereinigten Staaten begründen wird“, so Gorbunov.
Mishi Choudhary, Anwältin und Gründerin des in Neu-Delhi ansässigen Software Freedom Law Center, sorgt sich ebenfalls, dass die indische Regierung ein US-Verbot zur Rechtfertigung weiterer Zensur und Razzien nutzen könnte. In Indien ist TikTok bereits seit dem Jahr 2020 verboten. Das US-Gesetz helfe der Modi-Regierung, ihr bisheriges Handeln zu rechtfertigen, sagt Choudhary. „Und es ermutigt sie, in Zukunft ähnlich zu handeln.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Ein Datenhändler bietet Ausweisdaten von tausenden Menschen zum Verkauf und veröffentlicht einen Teil davon ungeschützt im Netz. Unsere Recherchen führen zu einer Billigflug-Linie als mögliche Quelle. Datenschutzbehörden sind alarmiert.
Mehr als 60 Namen stehen auf der Liste, die öffentlich im Netz verfügbar ist. Die meisten davon sollen zu Deutschen gehören. Daneben jeweils: das Geburtsdatum sowie die Nummer und das Ablaufdatum von Pass oder Personalausweis. Solche Daten gelten als besonders sensibel, weil sie sich für Identitätsdiebstahl einsetzen lassen. Sie zu verkaufen und online zu veröffentlichen, wo alle darauf zugreifen können, ist aus Sicht des Datenschutzes eine Katastrophe.
Hochgeladen wurde die Liste auf dem Portal eines Datenhändlers in der EU. Wir nennen Namen und Standort des Unternehmens hier nicht, weil die Liste nach wie vor ungeschützt im Netz steht. Es ist ein Marktplatz, mit dessen Hilfe andere Daten kaufen oder verkaufen können. Das Dokument mit den mehr als 60 Namen ist offenbar eine Art Gratis-Probe. Mit solchen Proben können sich Interessierte einen Eindruck von den Daten verschaffen – bevor sie mehr davon kaufen. Der Datenhändler verdient an jedem solchen Verkauf mit: einen Teil des Verkaufspreises behält er nach eigenen Angaben als Gebühr.
netzpolitik.org konnte mehrere Personen auf der Liste ausfindig machen. Sie leben etwa in Bayern oder Niedersachsen und bestätigen, dass ihre Daten und Ausweisnummern echt sind. Einige reagieren auf unsere Anfrage geschockt. Am Telefon sagt uns eine Betroffene: „Datenschutz, man hört schon öfter davon. Aber wenn man mal die eigenen Daten offen im Internet vor sich sieht, dann ist das ein anderes Gefühl.“
Ausweisdaten gehören zu den sensibelsten überhaupt, weil Menschen damit ihre Identität nachweisen. Interessant sind sie besonders für Kriminelle: Sie nutzen die erbeuteten Daten, um unter falschem Namen etwa kostenpflichtige Abos abzuschließen oder einzukaufen. Einer aktuellen Umfrage zufolge ist jede:r Zehnte Deutsche schon mal von Identitätsdiebstahl betroffen gewesen.
Datenhändler hüllt sich in Schweigen
Unsere Recherchen über die genaue Herkunft der sensiblen Daten kamen zu keinem eindeutigen Ergebnis. Das Unternehmen hinter der Plattform hat auf unsere über mehrere Wege gestellten Anfragen tagelang nicht reagiert. Die Angebotsseite für den Kauf der Daten ist zwar von der Website verschwunden, nachdem wir uns gemeldet haben. Das Dokument mit den Probedaten steht jedoch bis heute online.
Hinter der Plattform steht ein in der EU registriertes Unternehmen, das auch in der Datenschutzerklärung des Marktplatzes verzeichnet ist. Die beiden Gründer sind auch an anderen Stellen im Netz aktiv, etwa auf LinkedIn. Einer von ihnen betreibt einen eigenen Podcast. Falls wir von ihnen oder anderen Vertreter:innen des Unternehmens eine Antwort erhalten, werden wir den Artikel ergänzen.
Es gibt Hinweise, dass die Ausweisdaten über Fluggesellschaften ihren Weg ins Internet gefunden haben könnten. Als Verkäufer trat etwa ein Account mit einem Hinweis auf Wizz Air im Namen auf. Wizz Air ist der Name einer ungarischen Billigflug-Gesellschaft. Allerdings können Menschen auf der Plattform ihren Accounts auch irreführende Namen geben. Lediglich eine funktionierende E-Mail-Adresse braucht man, um sich dort anzumelden. Auf unsere Anfragen hat Wizz Air bisher nicht reagiert.
Die Spur führt zu Billigfliegern
Man kann die Händler auf der Plattform direkt anschreiben, etwa um Fragen zu den Daten zu stellen. Das haben wir getan und den Account über ein Formular auf der Seite kontaktiert. Wir wollten etwa wissen, woher die Daten stammen, wie groß die Datensammlung ist und wie viel sie kosten soll.
Im Chat, der sich daraufhin öffnete, tauchte ein neuer Name auf: Plötzlich stand dort nicht mehr Wizz Air sondern ein Männername. Der Name ist allerdings sehr häufig; eine Online-Suche nach einer Person mit diesem Namen ergab zahllose Treffer. Kurze Zeit später war das Angebot mit den Ausweisdaten von der Seite verschwunden, und der Name des Anbieters im Chat lautete nur noch: „aaaa bbbb“.
Es ist also möglich, dass Wizz Air nichts mit dem Angebot zu tun hat. Keine der von uns kontaktierten betroffenen Personen gab an, mit Wizz Air geflogen zu sein. Mindestens vier betroffene Personen sind nach eigenen Angaben jedoch mit einer anderen Billigflug-Linie gereist, und zwar der türkischen Linie Corendon.
Wer vergangene Woche auf der Plattform nach Wizz Air suchte, fand dort ein weiteres Angebot mit dem Logo von Corendon. Daten von mehr als 20.000 Passagier:innen aus anderen Ländern der EU stünden demnach zum Verkauf. Doch auch in diesem Fall gilt: Das Logo der Fluglinie hätte von einer beliebigen Person bei dem Datenhändler hochgeladen worden sein können. Corendon hat auf unsere Kontaktversuche bisher nicht reagiert. Wir werden die Antwort ergänzen, wenn wir eine erhalten.
Fluglinie in Schwierigkeiten
Corendon ist eine türkische Billigflug-Gesellschaft mit Sitz in Antalya. Die Linie fliegt seit 2005 Urlaubsziele auch von Deutschland aus an und war etwa Sponsor des 1. FC Nürnberg. In den vergangenen Jahren gab es Berichte über Zahlungsschwierigkeiten bei Corendon.
Als wir testweise einen eigenen Account auf der Plattform des Datenhändlers anlegten, konnten wir ihn frei benennen. Zur Anmeldung brauchten wir lediglich eine E-Mail-Adresse. Es kann also sein, dass die Namen der Fluglinien Wizz Air und Corendon von einer unbeteiligten Person verwendet wurden und dass die Fluglinien selbst nichts mit dem Angebot der Daten zu tun haben.
Auch wenn die Herkunft der Ausweisdaten weiterhin unklar ist, steht eines fest: Die Daten sind offenbar echt. Und sie wurden von einem Datenbroker in der EU offen zum Verkauf angeboten – inklusive einer frei im Netz verfügbaren Gratis-Probe. Potenziellen Kund:innen solche Sample-Datensätze anzubieten, ist in der Branche weit verbreitet, doch üblicherweise werden sie mit einem Passwort geschützt.
„Wahrscheinlich rechtswidrig“
Der Vorfall ist ein weiterer Einblick in das zwielichtige Geschäft von Datenhändlern. Ein undurchsichtiges Netzwerk aus tausenden Firmen kauft und verkauft personenbezogene Daten wie ganz normale Waren. Genutzt werden sie hauptsächlich für Werbung und das Scoring von Verbraucher:innen, doch auch Geheimdienste und Kriminelle bedienen sich der praktischen Datenquelle. Wo genau die Daten von Menschen landen und wofür sie eingesetzt werden, kann in diesem System niemand überblicken, auch nicht die Händler selbst.
Ob das Geschäftsmodell der Branche überhaupt in Einklang mit der Datenschutzgrundverordnung betrieben werden kann, ist umstritten. Falls überhaupt, dann ist der Verkauf von Daten nur mit der Einwilligung der Betroffenen möglich. Die Anforderungen an gültige Einwilligungen sind hoch. Verstößt das beschriebene Angebot mit den Ausweisdaten also gegen Gesetze?
„Der Verkauf solcher Datensätze ist wahrscheinlich rechtswidrig“, schreibt uns die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz, die wir um eine Einschätzung gebeten haben. Zwar sei theoretisch denkbar, dass die Verantwortlichen Einwilligungen in den Verkauf der Kundendaten an Dritte eingeholt hätten. Allerdings müsse die Einwilligung informiert, freiwillig, für den bestimmten Fall und unmissverständlich abgegeben werden. „Dazu reicht auf keinen Fall ein Hinweis im Kleingedruckten“, so die Juristin von der Kanzlei Spirit Legal. „Ich bezweifle, dass Betroffene in den Verkauf derart sensibler Daten einwilligen, wenn sie über die Details informiert werden.“
Datenschutzbehörden sind alarmiert
Wir haben unter auch anderem die Aufsichtsbehörden in Bayern und Niedersachsen nach ihren Einschätzungen gefragt, weil wir Betroffene aus beiden Bundesländern im Probedatensatz identifizieren konnten. Beide Behörden betonen, dass sie sich ohne Prüfung nur grundsätzlich äußern können, nicht zum konkreten Fall.
Das Bayerische Landesamt für Datenschutzaufsicht teilt mit: „In einer Konstellation, wie der geschilderten – Kundendaten werden an einen Datenhändler weitergegeben, der diese wiederum zum Verkauf anbietet – können wir per se nicht erkennen, wodurch diese gerechtfertigt sein kann.“
Die Aufsichtsbehörde aus Niedersachsen wiederum betont, zumindest bestimmte Daten könnten weitergegeben werden, wenn die Betroffenen eingewilligt haben. Interessant sei, ob der Datenhändler über Nachweise für solche Einwilligungen verfügt. „Sollte das nicht der Fall sein, läge der Verdacht nahe, dass der Datenhändler die Daten auf unerklärliche, gegebenenfalls sogar auf unrechtmäßige Weise erlangt haben könnte.“
Wir haben auch die Aufsichtsbehörde in dem EU-Land informiert, in dem der Datenhändler seinen Sitz hat. Diese bedankte sich für den Hinweis, könne sich aber zu dem konkreten Fall nicht äußern, weil man „zu laufenden oder potenziellen Verfahren“ nicht öffentlich Stellung nehmen dürfe. Die Missachtung von Anforderungen an die Einwilligung können laut DSGVO Strafen von bis zu vier Prozent des jährlichen Umsatzes oder 20 Millionen Euro nach sich ziehen.
„Legale Verwendung durch Dritte kaum denkbar“
Für Ausweis- und Passdaten gelten zudem besonders strenge Regeln. „Mit Blick auf die Personalausweis- oder Reisepassnummern gelten zusätzliche Beschränkungen, sodass zweifelhaft ist, ob eine Einwilligung in den Verkauf solcher Daten überhaupt wirksam wäre“, sagt Rechtsanwältin Elisabeth Niekrenz. Das Personalausweisgesetz sehe nur wenige Zwecke vor, zu denen die Daten aus Personalausweisen überhaupt genutzt werden dürfen. „Legale Verwendungen der Personalausweis- oder Passnummern und Ablaufdaten durch Dritte sind kaum denkbar“, so die Juristin. „Am ehesten lassen sich diese Angaben zu Identitätsmissbräuchen nutzen.“
Das sieht auch der Wiener Überwachungsforscher Wolfie Christl so: „Reisepassnummern sind höchst sensible Daten mit hohem Missbrauchspotenzial für Identitätsdiebstahl und andere kriminelle Zwecke.“ Christl bezweifelt, dass die beteiligten Firmen eine Rechtsgrundlage für Weitergabe und Verkauf hatten. Er hofft, dass die die Datenschutz-Aufsichtsbehörden schnell eine Untersuchung einleiten.
Sollten die Behörden Ermittlungen aufnehmen, müsste der Datenhändler die rechtmäßigen Einwilligungen der Betroffenen nachweisen. Auf unsere Nachfragen kann sich keine der Personen, die wir im Datensatz gefunden haben, daran erinnern, in den Verkauf ihrer Daten eingewilligt zu haben. Im Gegenteil reagierten die Betroffenen überrascht bis geschockt, dass wir ihre Daten offen im Netz fanden. Mehrere Betroffene haben bereits angekündigt, Beschwerde bei ihren zuständigen Datenschutzbehörden einlegen zu wollen.
Betroffene haben vermutlich Anspruch auf Schadenersatz
Bei einem DSGVO-Verstoß drohen Unternehmen empfindliche Strafen. Sollte etwa eine Fluggesellschaft solche Daten selbst widerrechtlich verkauft haben, gilt das auch für sie. Denkbar wäre aber auch, dass die Daten auf anderem Wege – etwa durch ein Leck – in die Hände von Datenhändler:innen gelangt sind. Kriminelle könnten möglicherweise die Daten erbeutet oder Angestellte sie verkauft haben.
Da Ausweisdaten so sensibel sind, hätten in so einem Fall nicht nur die Datenschutzbehörden, sondern auch die Betroffenen informiert werden müssen, sagt Elisabeth Niekrenz. Die Anwältin weist darauf hin, dass Betroffene vermutlich Anspruch auf Schadenersatz haben – sowohl gegenüber dem Datenhändler als auch gegenüber der Datenquelle. Auch das Bayerische Landesamt für Datenschutzaufsicht betont, dass die Betroffenen die Firmen auf Schadenersatz verklagen könnten.
Wer seine eigenen Ausweisdaten im Netz findet – oder den Eindruck hat, dass andere personenbezogene Daten ohne Einwilligung verarbeitet wurden – kann sich bei einer Datenschutzbehörde beschweren. Erste Anlaufstelle ist jeweils die Datenschutzbehörde des eigenen Bundeslandes.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Bewaffnete Konflikte, Geschlechterungerechtigkeiten und die Auswirkungen von Krisen auf marginalisierte Gruppen kritisiert Amnesty in seinem diesjährigen Bericht. Außerdem im Fokus: die Gefahren, die neue Technologien mit sich bringen.
Amnesty International veröffentlichte heute seinen Bericht für das Jahr 2023 über die Lage der Menschenrechte weltweit. Darin hebt die Nichtregierungsorganisation auch zunehmende Bedrohungen durch neue und bestehende Technologien hervor. Zentrale Themen sind der Einsatz Künstlicher Intelligenz (KI), der anhaltende Handel mit Spionagesoftware sowie die Machenschaften der großen Tech-Unternehmen.
Wichtige Anliegen sind der Menschenrechtsorganisation auch die Rechte auf Privatsphäre und freie Meinungsäußerung. Durch den Bericht wird deutlich: In beunruhigend vielen Teilen der Welt hat es im vergangenen Jahr Angriffe auf diese Grundrechte gegeben. Die Gesetzeslage hat sich vielerorts verschlechtert, nur in wenigen Bereichen gab es Fortschritte.
Verfügbar ist der Bericht in mehr als 40 Sprachen. Die Analysen über die 155 untersuchten Länder können auf der Website auch einzeln abgerufen werden.
KI verschärft Ungleichheiten
Spätestens die Einführung des Chatbots ChatGPT-4 hat die Debatte darüber entfacht, wie generative KI die Arbeitswelt und die Plattformen im Internet verändern wird. Während diese Technologie zweifellos Chancen biete, bestehe ohne angemessene Regulierung allerdings die Gefahr, dass sie die Risiken für die Menschenrechte verstärke, merkt Amnesty an. Insbesondere Bereiche wie Sozialhilfe, Bildung und Datenschutz könnten davon betroffen sein.
Bereits bestehende KI-Systeme haben laut dem Report Ungleichheiten gefördert und marginalisierte Gruppen in Bereichen wie dem Zugang zu staatlichen Dienstleistungen, Polizeiarbeit, Sicherheit und Migration beeinträchtigt.
So führte beispielsweise ein teilautomatisiertes Sozialhilfesystem in Serbien möglicherweise dazu, dass Tausende von Menschen ungerechtfertigt den Zugang zu wichtigen Sozialleistungen verloren haben, wobei Roma und Menschen mit Behinderungen überproportional betroffen waren. In den USA habe die New Yorker Polizei Technologien wie Gesichtserkennung eingesetzt, um Black-Lives-Matter-Proteste zu überwachen, kritisiert die Menschenrechtsorganisation.
Überwachungssoftware wird nicht ausreichend reguliert
Ein weiterer Schwerpunkt des Berichts liegt auf dem globalen Handel mit Spionagesoftware. Amnesty International und andere Organisationen stellten fest, wie die Spionagesoftware Pegasus gegen Journalist:innen und zivilgesellschaftliche Gruppen eingesetzt wurde. Zudem hat eine „Predator Files“-Untersuchung der Menschenrechtsorganisation aufgedeckt, wie der europäische Staatstrojaner frei in der ganzen Welt verkauft wurde.
Laut Amnesty International haben Staaten es versäumt, diesen Handel einzudämmen. Die EU hat nun erste, wenn auch nur zaghafte Schritte unternommen: Im November 2023 verabschiedete das Europäische Parlament eine unverbindliche Resolution, in der es Missbrauch durch die Spyware-Industrie kritisierte. Für Amnesty reicht das nicht aus – weitere Maßnahmen seien dringend erforderlich.
Big Tech fördert Hass und Desinformation
Der Report verurteilt auch Geschäftspraktiken der großen Tech-Unternehmen. Ihre überwachungsbasierten Geschäftsmodelle gefährdeten nicht nur die Privatsphäre allgemein, sondern auch die Rechte von Kindern und Jugendlichen. Plattformen wie TikTok und X würden depressive und suizidale Inhalte verstärken und Hassrede gegen beispielsweise LGBTQ-Personen ermöglichen. Zudem begünstigten diese Unternehmen die Verbreitung von politischer Fehlinformation. Insbesondere vor dem Hintergrund vieler bevorstehender Wahlen im Jahr 2024 sei dies besorgniserregend, so der Bericht.
Positiv hebt Amnesty die Bemühungen mancher Gerichte und Regulierungsbehörden hervor, Missbräuche zu bekämpfen. Ein Beispiel sei das Urteil des Europäischen Gerichtshofs gegen die Verarbeitung sensibler Daten durch Meta sowie die Maßnahmen norwegischer Behörden gegen personalisierte Werbung auf den Plattformen des Konzerns. Auch der Digital Services Act der EU zielt darauf ab, die Macht von Big Tech zu regulieren – geht jedoch nach den Maßstäben von Amnesty nicht weit genug.
Um die Meinungsfreiheit steht es schlecht
In großen Teilen der Welt wurden auch die Meinungs- und Pressefreiheit eingeschränkt oder verletzt. Die Regierungen verstärkten ihre Angriffe auf Medien, Menschenrechtsverteidiger:innen und Oppositionsparteien, berichtet die Menschenrechtsorganisation.
Im von den Taliban regierten Afghanistan wurden etwa Medienschaffende Opfer von Belästigung und willkürlicher Inhaftierung, während die Militärjunta in Myanmar Journalist:innen in unfairen Prozessen zu langen Haftstrafen verurteilte. Die kommunistische Regierung von Nordkorea behielt ihre totale Kontrolle über den öffentlichen Raum bei und verhängte harte Strafen gegen jene, die die Regierung kritisierten.
In Bangladesch nutzte die Regierung den sogenannten „Digital Security Act“, um Menschenrechtsverteidiger:innen zu bedrohen und zum Schweigen zu bringen, während in China die nationale Sicherheit als Vorwand diente, um die Ausübung von Meinungs-, Vereinigungs- und Versammlungsfreiheit zu verhindern. Die Regierung setzte sowohl online als auch offline strenge Zensurmaßnahmen ein und griff zudem auf biometrische Überwachungssysteme zurück, um die Bevölkerung zu überwachen und zu kontrollieren.
Auch im Iran herrschte weiterhin die Zensur: Die Behörden blockierten Satellitenfernsehkanäle und viele mobile Apps und Social-Media-Plattformen. Repressive Maßnahmen – wie die Unterbrechung von Internet- und Mobilfunknetzen während und im Vorfeld erwarteter Proteste – sollten landesweite Aufstände verhindern.
Russland setzte seinen Angriffskrieg gegen die Ukraine fort und beging dort zahlreiche Verbrechen gegen die Menschenrechte. Auch im eigenen Land verschlechterte sich die Lage unterdes – das Recht auf freie Meinungsäußerung wurde weiter eingeschränkt. Regierungskritiker:innen sahen sich willkürlicher Verfolgung und langen Haftstrafen ausgesetzt. Medien und Einzelpersonen mussten mit Geldstrafen, Sperrungen oder strafrechtlicher Verfolgung rechnen. Zum Teil wurden Meinungsäußerungen als „Verbreitung falscher Informationen”, „Diskreditierung“ oder „Aufstachelung zum Hass“ diffamiert. Menschen, die sich im Land gegen den Einmarsch in die Ukraine aussprachen, wurden besonders hart verfolgt.
Das Recht auf Privatsphäre
Der Report gibt ein paar Lichtblicke beim Thema Privatsphäre: Mehrere Städte und Kantone in der Schweiz haben Verbote für die Gesichtserkennung im öffentlichen Raum erlassen. In Polen urteilte eine Kommission des Senats immerhin im Nachgang, dass der Einsatz von Pegasus-Spähsoftware gegen Oppositionelle und Regierungskritiker:innen unrechtmäßig war und die Parlamentswahlen im Jahr 2019 deshalb unfair verliefen. Hierzulande legte das Bundesverfassungsgericht hohe Schwellenwerte für den Einsatz automatisierter Datenanalysen bei Polizeieinsätzen fest.
In Frankreich hingegen erlaubt ein neues Gesetz die massenhafte und KI-gestützte Videoüberwachung der Olympischen Spiele 2024. Die moldawische Regierung verabschiedete Gesetze zur Sicherheits- und Geheimdiensttätigkeit, die die zwar einige Verbesserungen mit sich bringen – aber immer noch Raum für Missbrauch und Überwachung bieten. Außerdem steht Spanien im Fokus der Kritik, nachdem öffentlich wurde, dass mindestens 65 Personen, darunter Journalist:innen und Politiker:innen, mit der Pegasus-Spionagesoftware ins Visier genommen wurden. Indes wurden laufende Gerichtsverfahren gegen den Einsatz der Software aufgrund mangelnder Kooperation der israelischen Behörden vorerst eingestellt.
In der kenianischen Bevölkerung haben die Digitalisierung von Regierungsdiensten und eine darauf folgende Cyberattacke Bedenken hinsichtlich des Datenschutzes verstärkt. In Lesotho wurde aufgedeckt, wie die Regierung verfassungswidrig Mobiltelefone von Oppositionspolitiker:innen beschlagnahmte.
Es bleibt ein Appell
Amnesty International fordert von Regierungen, invasive Software und Gesichtserkennungstechnologien sofort zu verbieten. Es seien solide gesetzgeberische und regulatorische Maßnahmen nötig, um die durch Künstliche Intelligenz bestehenden Risiken anzugehen. Staaten müssen zudem Big Tech mehr in die Schranken weisen – insbesondere im Kontext ihrer Überwachungpraktiken.
Agnès Callamard, Generalsekretärin von Amnesty International, reflektiert über den Zustand der Menschenrechte im Jahr 2023. Für sie sind vor allem die Rückkehr zu autoritären Praktiken und die Erosion grundlegender Rechte besorgniserregend – sowohl historisch als auch im Kontext moderner Technologien. Callamard hebt jedoch auch die globale Solidarität hervor, betont die Bedeutung des Widerstands und ruft zum gemeinsamen Einsatz für unsere Menschlichkeit auf.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Den EU-Staaten gelingt es weiterhin nicht, sich auf eine gemeinsame Position zur Chatkontrolle zu einigen. Das geht aus einem internen Verhandlungs-Protokoll hervor, das wir veröffentlichen. Einige Staaten bezweifeln bereits, ob die belgische Ratspräsidentschaft überhaupt noch eine Einigung herbeiführen kann.
Die Chatkontrolle spaltet die EU. Die Kommission will Internetdienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.
Die EU-Staaten streiten seit zwei Jahren und können sich nicht einigen. Manche Länder unterstützen den Vorschlag der Kommission, andere eher die Position des Parlaments. Letzte Woche hat der Rat erneut in der Arbeitsgruppe Strafverfolgung verhandelt. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.
Anlasslos und massenhaft
Die EU-Kommission will Internetdienste verpflichten, sämtliche Nutzer anlasslos zu durchsuchen. Der Juristische Dienst des Rats hält diese allgemeine und unterschiedslose Chatkontrolle für illegal. Das EU-Parlament will einen Anfangsverdacht voraussetzen.
Die belgische Ratspräsidentschaft schlägt vor, weiterhin alle Nutzer zu überwachen und bekannte strafbare Kinderpornografie sofort an ein EU-Zentrum zu leiten. Unbekannte Kinderpornografie und Grooming sollen jedoch erst ab einem Grenzwert ausgeleitet werden. Die Niederlande kritisieren in jeder Verhandlungsrunde, dass diese Inhalte nicht präzise genug erkannt werden können.
Laut dem Vorschlag sollen Diensteanbieter Inhalte erkennen und ab dem zweiten Hit ausleiten, aber vom ersten Hit nichts erfahren. Wie das technisch funktionieren soll, hat Belgien nicht erklärt. Jetzt hat die Ratspräsidentschaft diese Geheimhaltung wieder gestrichen, „aus technischen Gründen“. Laut Frankreich widerspricht es jedoch dem Digitale-Dienste Gesetz, wenn Anbieter von Straftaten wissen, diese aber nicht melden.
Der aktuelle Vorschlag findet unter den EU-Staaten keine Mehrheit. Einige Staaten fordern, alle Nutzer zu scannen und Inhalte ab dem ersten Verdacht auszuleiten, darunter Bulgarien, Irland und Estland. Andere Staaten lehnen eine anlasslose und massenhafte Chatkontrolle aller Nutzer ab, darunter Österreich.
Verschlüsselt oder nicht
Die EU-Kommission will, dass Internetdienste auch verschlüsselte Inhalte ihrer Nutzer durchsuchen, zum Beispiel mit Client-Side-Scanning. Hunderte Wissenschaftler kritisieren das als unsicher und gefährlich. Das EU-Parlament will verschlüsselte Inhalte von der Chatkontrolle ausnehmen.
Die Ratspräsidentschaft liefert keine konkrete Antwort auf diese zentrale Frage. Sie will Verschlüsselung gleichzeitig schützen und brechen. Wie das technisch funktionieren soll, fragen sowohl Chatkontrolle-Befürworter Italien als auch Chatkontrolle-Gegner Polen. Eine Antwort ist nicht vermerkt. In bisherigen Sitzungen hatte sich Belgien für Client-Side-Scanning ausgesprochen.
Im aktuellen Vorschlag hat Belgien eine Definition von Ende-zu-Ende-Verschlüsselung wieder gestrichen. Die Niederlande kritisierten das, für das Land muss „zwingend eine Definition enthalten sein“. Belgien lehnt das ab: „Dies würde dazu führen, dass man ‚Federn lasse‘.“
Letzten Sommer hat die EU-Kommission eine Arbeitsgruppe Zugang zu Daten für eine wirksame Strafverfolgung gegründet. Dort fordern Polizei und Geheimdienste regelmäßig einen Stopp von oder sogar Verbot von wirksamer Ende-zu-Ende-Verschlüsselung. Auf Nachfrage von Italien bestätigte Belgien, „dass die Verhandlungen in der [Arbeitsgruppe] andauerten, es bestehe ständiger Austausch“.
Beim Streit um Verschlüsselung ist also weiterhin keine Einigung in Sicht. Einige Staaten wollen verschlüsselte Inhalte scannen, darunter Spanien, Rumänien und Irland. Andere Staaten wollen verschlüsselte Inhalte schützen, darunter Deutschland, Polen und Österreich. Einige Staaten verweisen einfach auf ihre bereits bekannte Kritik.
Alter und Ausnahmen
Auch in anderen Bereichen machen die Verhandlungen keine Fortschritte. Um Grooming zu erkennen, müssen Anbieter das Alter ihrer Nutzer wissen. Frankreich weist darauf hin, „dass noch keine ausgereiften Technologien zur Verfügung stünden“. Belgien verweist auch dieses Problem nur in andere Arbeitsgruppen, die Lösungen finden sollen.
Dafür schlägt die Ratspräsidentschaft vor, Geheimdienste, Polizei und Militär von der Chatkontrolle auszunehmen. Diese Idee hatten die Staaten bereits letztes Jahr erst aufgenommen und dann wieder gestrichen. Frankreich hat „zahlreiche Fragen zur praktischen Umsetzung“ des Vorschlags.
Jetzt schlägt Belgien sogar vor, „vertrauliche Informationen, einschließlich Verschlusssachen, unter das Berufsgeheimnis fallende Informationen und Geschäftsgeheimnisse“ von der Chatkontrolle auszunehmen. Dieser Vorschlag verdeutlicht, dass Chatkontrolle und Client-Side-Scanning vertrauliche Kommunikation gefährden. Ob sich die Staaten auf diese Ausnahmen einigen können, ist nicht bekannt.
Belgien bald gescheitert
Es ist nicht erkennbar, wie überhaupt eine Einigung aussehen soll. Die Fronten sind verhärtet. Einige Staaten wollen eine möglichst umfassende Chatkontrolle, andere eine möglichst begrenzte Chatkontrolle. Manche Staaten bezweifeln wohl bereits, ob Belgien überhaupt noch eine Einigung herbeiführen kann.
Bereits am Tag nach der Verhandlung haben wir berichtet:
Die EU-Staaten haben gestern über die Chatkontrolle verhandelt. Eine Einigung ist weiterhin nicht in Sicht. Eine qualifizierte Mehrheit der Staaten kann dem letzten Kompromiss-Vorschlag nicht zustimmen. Die belgische Ratspräsidentschaft muss sich etwas Neues überlegen. Die nächste Sitzung ist wohl erst in drei Wochen.
Das Protokoll bestätigt diese Einschätzung. Die EU-Staaten haben immer noch keine der wesentlichen Fragen gelöst. In den Worten der Ratspräsidentschaft: „Insgesamt gibt es derzeit noch keine ausreichende Unterstützung für eine allgemeine Ausrichtung.“
Wie es aussieht, muss sich Belgien nach vier Monaten etwas Neues einfallen lassen. Zwei Monate haben sie noch, dann geht die Präsidentschaft an Ungarn. Am 8. Mai verhandelt die Arbeitsgruppe erneut.
Hier das Dokument in Volltext:
- Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
- Datum: 16.04.2024
- Von: Ständige Vertretung der BRD bei der EU
- An: Auswärtiges Amt
- Kopie: BMI, BMJ, BMWK, BMDV, BMFSFJ, BMF, BKAmt
- Betreff: Sitzung der RAGS am 15.04.2024
- Zweck: Zur Unterrichtung
- Geschäftszeichen: 350.80
- Kompromissvorschläge: ST 8579 2024 INIT
Sitzung der RAGS am 15.04.2024
I. Zusammenfassung und Wertung
Unter TOP 1 (Informationen der Präsidentschaft) berichtete Vorsitz über verschiedene Termine und Ereignisse im Zuständigkeitsbereich der RAGS.
Der Schwerpunkt der Sitzung lag bei TOP 2 (Entwurf der CSA–VO). RAGS erörterte die vom Vorsitz unterbreiteten neuen Textvorschläge. Vorsitz schlussfolgerte, dass es insgesamt derzeit noch keine ausreichende Unterstützung für eine allgemeine Ausrichtung gebe. Er werde aber weiter daran arbeiten und einen neuen Ansatz vorlegen, der in der Sitzung der RAGS am 08.05.2024 beraten werden solle.
Unter TOP 3 stellte KOM die wesentlichen Elemente ihres staff working document zum VO-Entwurf Migrant Smuggling vor.
Unter TOP 4 berichtete der Vorsitzende der European Firearms Experts über die Aktivitäten dieser Gruppe.
II. Im Einzelnen
TOP 1: Information by the presidency
[…]
Zur Verlängerung der Interims-VO: Das EP stimmte der Verlängerung mit 469 „ja“, 112 „nein“ Stimmen und 37 Enthaltungen zugestimmt; die Zustimmung des Rates solle könnte am 29.04.2024 im AGRIFISH-Rat erfolgen (A-Punkt). Eine Einigung der dauerhaften CSA–VO müsse in 2025 erfolgen, damit sie vor dem Auslaufen der Interims-VO im April 2026 in Kraft treten könne.
TOP 2: Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse
Vorsitz begann mit der Aussprache zur Methodologie. Kommentare der MS seien bei der Überarbeitung aufgenommen worden.
DEU trug zu allen Punkten anhand der abgestimmten Weisung vor. Es werden im Folgenden daher die relevanten Wortmeldungen der anderen MS dargestellt.
FRA wies daraufhin, dass sehr große Dienste (VLOPs und VLOSEs) miteinander sprechen müssten, um mehrere Konten eines Nutzers (Pseudonyme) zu erkennen und zusammenzuführen. SWE legte PV ein, begrüßte Vorschläge aber grundsätzlich. ITA legte PV ein. HUN legte ebenfalls PV ein, eine erste Prüfung habe aber keine Kritikpunkte ergeben. EST begrüßte die Vorschläge der Präsidentschaft insgesamt, sie entsprächen im Wesentlichen den EST-Forderungen. Auch die Kategorisierung werde grds. begrüßt. Sie bedeute gewisse Aufwände für Dienste, die aus EST-Sicht aber erforderlich und angemessen seien. Es stellten sich Fragen zur Überprüfbarkeit von Ergebnissen der Altersverifikation. Auch sei für kleine und mittlere Dienste nicht sichergestellt, dass diese die Aufwände tragen könnten. Die Rolle von INHOPE solle weiter gestärkt werden. KOM kritisierte vorgeschlagenen Risikokategorien als ungeeignet. Es stehe im Raum, Anbieter als weniger sicher einzustufen, wenn sie den Anforderungen an „Safety by Design“ nicht gerecht würden. Diese Prüfung solle nicht gedoppelt werden. Aus SWE Sicht seien die Vorgaben in Abschnitt 5 der vorgeschlagenen Methodologie teilweise umfangreich. Anbieter sollten in diesem Prozess konsultiert werden, ggf. könnten die Vorgaben verschlankt werden.
Vorsitz wies erneut daraufhin, dass Details durch KOM im Komitologieverfahren festgelegt werden sollten. FRA sprach die Taskforce Altersverifikation an, die sich im Wesentlichen mit der Digitalen Wallet befasse. Diese werde allerdings erst im Jahre 2026 zur Verfügung stehen. „Zero Knowledge“ Technologien stünden noch später zur Verfügung. Ggf. müsste man jedenfalls hinweisen, dass noch keine ausgereiften Technologien zur Verfügung stünden. Vorsitz wies auf Arbeiten – auch des EP – zur Ausgestaltung von Altersverifikationen hin. Ggf. gelte es, einen Übergangszeitraum zu überbrücken, was auch schriftlich festgehalten werden könne. KOM offen, Hinweis auf technologische Voraussetzungen – auch zum Erlass von Aufdeckungsanordnungen – im VO–E zu ergänzen.
ESP wies darauf hin, dass weitere Änderungen komplizierte und kleinteilige Regelungen umfassten. Da Einigung nicht absehbar sei, weil sich einige MS nicht bewegten, stelle sich die Frage, ob das Vorgehen richtig sei. Vorsitz erwiderte, ohne weitere Vorschläge werde auch keine Einigung gefunden.
Artikel 1: Gegenstand und Anwendungsbereich
FRA fragte nach einer Definition von „government accounts“. Es stellten sich zahlreiche Fragen zur praktischen Umsetzung von Absatz 2a. Vorsitz will Möglichkeit einer ergänzenden Definition aufgreifen. POL begrüßte Aufnahme von Absatz 2a, er schütze u.a. Arbeit der Strafverfolgungsbehörden. CZE begrüßte, dass die Regelunge der Absätze 2a und 2b aus den EG zurück in den verfügenden Teil gezogen wurden und wiederholte Forderung zur alten Fassung von Absatz 5 zurückzukehren.
ITA verwies zunächst allgemein auf JD-Rat. Europäische Rechtsprechung weise eine gewisse Spannung mit dem vorgeschlagenen Umgang mit Verschlüsselung auf. Absatz 5 spreche davon, dass keine Pflicht zur Entschlüsselung bestehe. Es bedürfe auch Schutzstandards von Verschlüsselung. ITA fragte weiter zum Fortschritt der Verhandlungen in der HLWG. Vorsitz wurde auch um Erläuterung der Inhalte von Absätzen 2a und 2b gebeten.
Auf Nachfrage erläuterte KOM zum Zusammenhang zwischen der Neufassung der CSA–RL (COPEN-Zuständigkeit) und der CSA–VO: die CSA–RL sei ein strafrechtliches Instrument mit einer eigenen Rechtsgrundlage. Es harmonisiere Definitionen und Strafrahmen. Verkürzt stelle es sich wie folgt dar: Die RL lege Pflichten für MS fest, während die VO Pflichten für Diensteanbieter vorsehe. Beide Vorhaben ergänzten sich gegenseitig. Die CSA–RL greife die Positionen einiger MS auf, die Aufgaben des EU-Zentrums im Bereich der Prävention zu stärken.
Vorsitz bestätigte, dass die Verhandlungen in der HLWG andauerten, es bestehe ständiger Austausch. Die weiteren ITA Verständnisfragen seien im Wesentlichen bereits beantwortet worden.
EST bat um eine Definition von „Geschäftsgeheimnissen“ i.S.d. Absatz 2b.
NLD bedauerte, dass die Definition in EG 26 verkürzt wurde. Eine Definition von E2EE müsse für NLD zwingend enthalten sein. Vorsitz sprach sich dafür aus, keine detaillierte Definition von E2EE aufzunehmen. Dies würde dazu führen, dass man „Federn lasse“. Ohne klare Definition werde Vorsitz von der Aufnahme einer solchen absehen. Unter CZE-Präsidentschaft habe sich eine Mehrheit für die Einbeziehung von E2EE ausgesprochen.
HUN mit PV.
Artikel 3 und 4: Risikobewertung und Risikominderung
POL unterstützte Änderungen in Zusammenhang mit EG 16a. Insgesamt bedürfe es weiterer Änderungen mit Blick auf den Umgang mit Verschlüsselung.
LVA fragte nach parallelen Fristen; Aufdeckungsanordnungen unterliegen langen Anordnungsfristen während derer evtl. erneute Risikobewertung erforderlich werden könnte. Es bedürfe Klarheit, welche Anforderungen in diesem Zusammenhang an die Dienste gestellt werden.
Vorsitz stellte die Klärung dieser Frage, die sich auf Artikel 3 Abs. 4 beziehe, zurück.
Artikel 5: Risikoberichte und -kategorisierung
Vorsitz erläuterte, dass die Inhalte des Annex 14 weiteren Änderungen unterliegen könnten. Wesentliche Inhalte sollten im VO-Text (abschließend) geregelt werden.
EST fragte nach der Umsetzbarkeit der Erhebung der Daten durch die Anbieter sowie deren Überprüfbarkeit. Vorsitz erläuterte, dass die Überprüfung durch die nationalen Koordinierungsbehörden in den MS erfolge.
Für POL gehe Absatz 2a in die richtige Richtung. Die Prüfung dauere an und sollte ggf. durch den EU-Datenschutzbeauftragten ergänzt werden.
FRA hinterfragte, dass in Absatz 2a lit. g Prozentsätze festgeschrieben werden. Das sei sehr kleinteilig. Vorsitz widersprach, dass eine solche Detailtiefe für erforderlich gehalten werde.
Artikel 7: Erlass von Aufdeckungsanordnungen
FRA kritisierte, dass in Absatz 10 zwischen neuem CSAM und Grooming unterschieden werde. Die Speicherdauer sei noch unklar. Die Streichung von „without the provider beeing notified“ führe dazu, dass der Anbieter Kenntnis von allen Hits erhalte, dies stehe allerdings in Widerspruch zu Artikel 18 DSA sowie zu US-amerikanischen Vorgaben. Vorsitz erwiderte, dass Artikel 18 DSA Pflichten von der Kenntnis abhängig mache. Die Streichung in Absatz 10 sei aus technischen Gründen erfolgt.
KOM erläuterte auf FRA Nachfrage, KOM-Entwurf sehe vor, das EU-Zentrum über CSAM zu informieren. Es gelten die Möglichkeiten des „redress“ des Artikel 9.
SWE begrüßte die Verschärfung von Absatz 10 grds. Es sollte klargestellt werden, dass beim Umgang mit bekanntem CSAM bereits ein Treffer ausreiche.
BGR – unterstützt durch IRL – kritisierte das in Absatz 10 vorgeschlagene Verfahren, das ggf. dazu führe, dass Anbieter die Verbreitung von CSAM wissentlich hinnehme. Bei einem Upload von neuem CSAM bedürfe es umgehender Reaktion, damit sich dieses nicht weiterverbreite. Bei mehreren erforderlichen Hits müsse sichergestellt sein, dass CSAM nicht aus technischen Gründen „verloren“ gehe.
Für EST sei Absatz 10 ein „gutes Negativbeispiel“. Aus Sicht der Kinder stelle Absatz 10 keine Verbesserung dar.
Für ITA wie POL sei technische Umsetzung von Aufdeckungen in verschlüsselten Diensten ohne Verschlüsselung zu brechen offen. Vorsitz regte die Befassung nationaler technischer Experten in der RAGS an.
SVN und AUT mit PV.
AUT verwies auf bekannte Kritik am Vorschlag.
POL fragte nach der Verhältnismäßigkeit bei der Festlegung auf bestimmte Nutzerinnen und Nutzer. Neben dem Schutz von Privatsphäre müsse der Schutz von Kindern bedacht werden.
NLD wiederholte Kritik an Aufdeckung von neuem CSAM und Grooming.
IRL stimmte Änderungen in Absatz 4 zu.
ESP erinnerte daran, dass die Eingrenzung von Artikel 7 auf Dienste mit hohem Risiko Hintertüren für Dienste lasse. Dienste könnten sich dadurch in eine niedrigere Kategorie „retten“, die Schlagkraft des Vorschlags werde reduziert.
ESP fragte weiter, was mit „hits“, die während einer Aufdeckungsanordnung auffielen passiere, wenn erst unter einer weiteren Anordnung weitere „hits“ hinzukämen. Es sei nicht vertretbar, dass diese „hits“ im Ergebnis keine Konsequenzen nach sich zögen.
PRT wie NLD wiesen auf Verfassungskonflikt hin, wenn Anordnungen nicht durch Justizbehörden erlassen werden.
DNK mit PV und grds. Kritik an den vorgeschlagenen Begrenzungen, die Anbieter zu einem Abwarten zwingen könne.
Für HUN zeige die Diskussion, dass Absatz 10 weiterer Konkretisierung bedürfe.
Artikel 10: Technologien und Schutzvorkehrungen
FRA und NLD baten JD-Rat um Stellungnahme, ob die in Abs. 2 vorgesehenen Durchführungsrechtakte der KOM zulässig seien. JD-Rat machte geltend, dies noch nicht abschließend beurteilen können. Es bedürfe noch näherer Klärung, was der Begriff Technologie bedeute und ob auch CSS davon erfasst sei. JD-Rat wies allgemein auf die sog. Meroni-Doktrin des EuGH aus dem Jahr 1958 hin.
Auf Bitte mehrerer MS sagte Vorsitz zu, die Ergänzung in Abs. 4 (a) (iii) noch näher zu substantiieren.
POL legte einen PV ein.
Artikel 43, 47a, 53a, 66
Auf Nachfrage von FRA erläuterte KOM, dass eine Stellungnahme des Technologieausschusses rein konsultativen Charakter habe und keine Bindungswirkung entfalten könne.
Erwägungsgründe
Keine Anmerkungen der Delegationen zu den in Dok. 8579/24 vorgeschlagenen Änderungen in den Erwägungsgründen.
Vorsitz schlussfolgerte wie folgt:
- Zu Artikel 1 müsse man noch weitere Klarstellungen in den Absätzen 2a und 2b vornehmen. Vorsitz werde diese entsprechend umarbeiten. Zu Absatz 5 gebe es derzeit keinen Konsens.
- Zu den Artikeln 3 und 4 gebe es keine größeren Widersprüche seitens der MS.
- Zu Artikel 5 seien die Delegationen eher positiv eingestellt, der Feinschliff fehle aber noch. In Absatz 2a müsse man die Kriterien noch „en detail“ ausarbeiten, Vorsitz werde einen Textvorschlag vorlegen.
- Zu Artikel 7 gebe es geteilte Meinungen, insbesondere zu Absatz 10. Hier müsse man noch Änderungen vornehmen.
- In Artikel 10 müsse die Rolle des Technologieausschusses noch näher geklärt werden.
- Insgesamt gebe es derzeit noch keine ausreichende Unterstützung für eine allgemeine Ausrichtung. Vorsitz werde aber weiter daran arbeiten und sich einen neuen Ansatz überlegen, über den er die Delegationen schnellstmöglich informieren werde.
- Delegationen wurden gebeten, schriftliche Anmerkungen bis 18.04.2024, DS, zu übermitteln.
- Die Sitzung der RAGS am 08.05.2024 werde sich zu einem großen Teil mit der CSA–VO befassen. Vorsitz wolle in dieser Sitzung seinen neuen Ansatz beraten lassen.
[…]
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Jetzt ist wirklich Schluss: Wir verlassen als Redaktion das zur Plattform für Rechtsradikale verkommene Twitter – und freuen uns, wenn ihr uns woanders folgt.
Wir haben uns heute als Redaktion mit großer Mehrheit entschieden, dass wir Twitter nicht weiter mit unseren Inhalten bespielen werden. Die Gründe für unsere Entscheidung liegen auf der Hand, in den letzten Monaten haben bereits andere die Plattform deswegen verlassen: Twitter hat sich seit der Übernahme durch Elon Musk zu einem extrem giftigen und unwirtlichen Ort entwickelt.
Der neue Eigentümer tritt selbst als Unterstützer von Rechtsradikalen in Erscheinung. Er hofiert Hetzer wie Martin Sellner und Björn Höcke und befeuert extrem rechte und verschwörungsideologische Diskurse. Musks technische und inhaltliche Entscheidungen sowie der Exodus vieler demokratischer Accounts haben dazu geführt, dass ein pluraler und offener Diskurs auf der Plattform nicht mehr möglich ist – und stattdessen vorrangig Hass und Hetze stattfinden und verbreitet werden. Auch unter den Inhalten, die wir dort posteten. Wir wissen, dass unsere Follower:innen nicht so sind wie der jetzt vorherrschende Diskurs, aber dennoch ist klar: Es ist vorbei.
Der rapide Fall von der Diskursplattform zum antidemokratischen Spielzeug eines Milliardärs hat gezeigt, wie fragil solche privatisierten Öffentlichkeiten sind – und dass kein Mensch soviel Macht wie Elon Musk haben sollte. Glücklicherweise sehen wir durch den Niedergang der Plattform auch offene und freie Alternativen wie das Fediverse deutlicher. Wir hoffen, dass sich dort neue Diskursräume und Öffentlichkeiten noch viel weiter entwickeln als bisher – und freuen uns, Teil davon zu sein.
Ihr könnt uns natürlich weiter abonnieren per RSS-Feed oder auf unterschiedlichen sozialen Medien folgen:
Der Account @netzpolitik_org wird als Archiv weiter bestehen bleiben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die Ampel will bei der Reform des Bundesdatenschutzgesetzes bei den Auskunftsrechten Geschäftsgeheimnisse explizit ausnehmen. Die Zusammenarbeit von Datenschutzbehörden der Länder und des Bundes soll nicht weiter institutionalisiert werden. Von diesen kommt jetzt Kritik.
Die geplanten Änderungen im Bundesdatenschutzgesetz (PDF) stehen weiter in der Kritik der Datenschutzbehörden. Die Datenschutzkonferenz (DSK), das informelle Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, hat in einer Stellungnahme (PDF) seine Kritik erneuert.
So bleibe eines der Hauptziele der Reform bislang nicht umgesetzt. Angedacht war ursprünglich eine bessere Zusammenarbeit der Datenschutzbehörden in der Datenschutzkonferenz (DSK). Durch eine Institutionalisierung des bisher informellen Gremiums wollte die Ampel dafür sorgen, dass die deutschen Datenschutzbehörden schneller und einheitlicher zu Beschlüssen kommen. Dass die Regierung dieses Versprechen aus dem Koalitionsvertrag nicht einlösen würde, deutete sich schon im September an, als das Bundesinnenministerium (BMI) einen ersten Entwurf veröffentlichte. Bislang hat die Datenschutzkonferenz eine Geschäftsordnung, aber keine ständige Geschäftststelle, welche die Arbeit des Gremiums koordinieren könnte.
Ausnahmeregelung für Geschäftsgeheimnisse
Kritik hat die DSK auch an den Ausnahmeregelungen für Geschäftsgeheimnisse, die im geänderten Bundesdatenschutzgesetz festgeschrieben werden sollen. Laut dem Gesetz sollen Datenschutz-Auskunftsrechte wegen Geschäftsgeheimnissen verweigert werden können. Zwar bestand diese Möglichkeit auch bisher schon, die explizite Erwähnung könnte aber Unternehmen motivieren, hiervon mehr Gebrauch zu machen. Nach Informationen von netzpolitik.org soll sich das Bundesinnenministerium (BMI) für die explizite Nennung der Ausnahmeregelung stark gemacht haben.
Die DSK hält diesen Passus für zu weit gefasst: „Der deutsche Gesetzgeber würde ansonsten eine weitergehende Beschränkung schaffen als der europäische Gesetzgeber im Verordnungstext“, heißt es in der Stellungnahme. Die DSK fordert die Streichung der Ausnahme, das hatte zuletzt auch der Verbraucherzentrale Bundesverband (vzbv) gefordert.
Das neue Bundesdatenschutzgesetz enthält auch Regelungen zum Scoring, beispielsweise für Auskunfteien wie die Schufa. Hier verweist die DSK auf „zahlreiche Unklarheiten in den Regeln“ und regt Nachbesserungen an. Um eine rechtssichere Regelung von Kreditwürdigkeitsprüfungen durch Scoring-Verfahren zu erreichen, empfiehlt die DSK, das Thema in einer Sachverständigenanhörung zu behandeln.
Die DSK wendet sich außerdem dagegen, dass Behörden im Gegensatz zu Unternehmen von Bußgeldern ausgenommen sind. „In der Praxis hat sich gezeigt, dass ein Bedarf für Geldbußen auch im öffentlichen Bereich besteht, um die Schwere eines Verstoßes gegenüber der beaufsichtigten Stelle hinreichend deutlich zu machen und um als Anreiz zu dienen, Datenschutzverstößen aktiv vorzubeugen“, so die DSK in einer Pressemitteilung.
Das Gesetz, das Anfang des Jahres im Kabinett beschlossen wurde, hat noch immer keinen Termin für eine 1. Lesung im Bundestag. Ebenso fand noch keine Sachverständigenanhörung statt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Eigentlich wollte die Union im Innenausschuss des Bundestags darauf hinwirken, dass die Palantir-Polizei-Software dem bayerischen Vorbild folgend auch im Bund eingesetzt wird. Doch außer den Polizeivertretern sprach sich niemand dafür aus. Es gibt auch keine Rechtsgrundlage. Stattdessen wurde darüber diskutiert, welche Alternativen zur Verfügung stünden.
Der Innenausschuss des Bundestags behandelte heute in einer öffentlichen Anhörung von Sachverständigen das Thema polizeiliche Analysesoftware. Grund war ein Antrag der oppositionellen Fraktion CDU/CSU (pdf), in dem gefordert wird, dass dem Bundeskriminalamt und der Bundespolizei „schnellstmöglich die Nutzung der verfahrensübergreifenden Recherche- und Analyseplattform ‚Bundes-VeRA‘ zu genehmigen“ sei. Die Entscheidung des Bundesinnenministeriums vom Juli 2023 solle revidiert werden. Sie untersagt dem Bundeskriminalamt und der Bundespolizei die Nutzung von „Bundes-VeRA“.
Es geht dabei um eine Software des umstrittenen US-amerikanischen Überwachungskonzerns Palantir, dessen deutsche Tochter ihre Dienste den hiesigen Polizeibehörden für ein „Verfahrensübergreifendes Recherche- und Analysesystem“ (VeRA) anbietet. Die Software verbindet die verschiedenen Datenbanken der Polizei miteinander. Die Unionsfraktion fordert in ihrem Antrag, dass auch die Voraussetzungen geschaffen werden sollen, damit die Bundesländer und ihre Landespolizeien diese polizeiliche Analysesoftware „VeRA“ abrufen können. Eine entsprechende Gesetzesänderung solle auf den Weg gebracht werden.
Palantir steht nicht nur in der Kritik, weil der Konzern eng mit ausländischen Geheimdiensten und Militärs zusammenarbeitet, sondern auch, weil die Software technische und erhebliche rechtliche Probleme aufwirft. Letztes Jahr wurde die Polizei-Palantir-Kooperation daher durch ein Urteil des Bundesverfassungsgerichts deutlich beschränkt.
Noch mehr Verfassungsbeschwerden
Seither gelten detailreiche verfassungsrechtliche Anforderungen mit quantitativen und qualitativen Grenzen in Bezug auf die Art der Daten, mit der die Software gefüttert werden darf. Daran müssen sich sowohl die Gesetzgeber als auch die Polizeien halten. Zudem dürfte sich das Gericht in naher Zukunft erneut mit Fragen der automatisierten Datenanalyse bei der Polizei beschäftigen, denn weitere Verfassungsbeschwerden mit Palantir-Bezug liegen in Karlsruhe schon vor, so etwa seit Oktober 2023 eine Beschwerde gegen das NRW-Polizeigesetz.
Die geladene Sachverständige Simone Ruf von der Gesellschaft für Freiheitsrechte (GFF), deren erfolgreiche Verfassungsbeschwerde bereits zu dem letztjährigen Karlsruher Urteil geführt hatte, erläuterte in der Anhörung, dass auch die Neuregelung in Hessen kritikwürdig sei. Der hessische Gesetzgeber hatte bereits auf das höchstrichterliche Urteil reagiert und eine neue Rechtsgrundlage geschaffen. Ruf erklärte dazu, diese sehe „nicht verfassungskonform aus“. Sie kritisiert an der neuen hessischen Regelung, dass wiederum riesige Datentöpfe in die Analysesoftware integriert seien und zudem die Polizei selbst Fragen der Verhältnismäßigkeit austariert. Auch die Kontrolle sei nicht hinreichend.
Ruf erklärte, dass eine Rechtsgrundlage für den Einsatz der Palantir-Software im Bund fehle, die aber zwingend geschaffen werden müsse. Auch der geladene Bundesdatenschutzbeauftragte Ulrich Kelber betonte, dass eine „spezielle rechtliche Grundlage nötig“ sei. Aktuell könne die Palantir-Software im Bund nicht zum Einsatz kommen, da diese Rechtsgrundlage erst geschaffen werden müsse.
Generell rate die GFF von einem Einsatz von „Bundes-VeRA“ ab, so Ruf. Grund sei die „enorme Streubreite“ dieser Software und das „hohe Risiko falscher Verdächtigungen“. Auch seien bloße „Anekdoten“ über die angebliche Effizienz der Palantir-Software nicht hinreichend, denn der Einsatz sei durch große Intransparenz geprägt.
Palantir
Wir berichten mehr über den Streit um Palantir als uns lieb wäre. Unterstütze unsere Arbeit!
Die Juristin von der GFF kritisierte auch, dass „VeRA“ zwar getestet wurde, die Berichte aber nicht öffentlich seien. Im Jahr 2023 hatte das Fraunhofer-Institut für Sichere Informationstechnologie eine Quellcode-Überprüfung des in Bayern eingesetzten Systems durchgeführt, die Ergebnisse blieben aber geheim. Zudem müssten solche Tests fortlaufend wiederholt werden, so Ruf. Es genüge nicht, die Software einmalig zu prüfen.
Polizei braucht Datenanalyse-Werkzeuge
Einig waren sich alle geladenen Sachverständigen und Verbandsvertreter darin, dass die Polizeien Datenanalyse-Werkzeuge benötigen, um ihre verschiedenen Datenbanken in angemessener Zeit durchforsten zu können. Für die rechtliche und technische Ausgestaltung gab es hingegen verschiedene Vorschläge. Der Sachverständige Markus Löffelmann schlug beispielsweise vor, ein Stufensystem gesetzlich festzuschreiben, das die Polizeidaten kategorisiere, um sie qualitativ zu bewerten und damit Zugriffsschwellen ausgestalten zu können.
Das bayerische Landeskriminalamt beschreibt in seiner kurzen Stellungnahme kursorisch die Notwendigkeit von polizeilichen Datenanalysen. In der Anhörung verweist der bayerische Polizeivertreter auf das Vertragskonstrukt und den Mantelrahmenvertrag mit der Palantir Technologies GmbH, der nach einer europaweiten Ausschreibung für das Analyseprogramm im Jahr 2022 geschlossen wurde.
Die Verträge seien mit dem Bundesinnenministerium „extra so gewählt und abgestimmt“ worden, um den Einsatz sowohl in Bayern als auch als „Bundes-VeRA“ zu ermöglichen. Der Rahmenvertrag, den Bayern mit Palantir geschlossen hat, erlaubt es theoretisch allen anderen Polizeibehörden der Länder und des Bundes, die Software zu nutzen.
Die meisten Bundesländer haben aber noch keine Entscheidung gefällt, ob sie ebenfalls die Palantir-Software nutzen wollen. Der Idee konkret zugeneigt sind bisher nur wenige Länder. Das mag laut dem innenpolitischen Sprecher der SPD-Bundestagsfraktion, Sebastian Hartmann, auch daran liegen, dass man in Bayern schon jahrelang Lizenzgebühren zahle, aber noch immer keine funktionierende Lösung zur Verfügung stünde.
Keine Erwähnung findet in der Stellungnahme des bayerischen Landeskriminalamts der Streit um den rechtswidrigen Testbetrieb im Freistaat.
Wann kann die Konkurrenz liefern?
Der Vertreter des Bundes Deutscher Kriminalbeamter betonte, dass die polizeilichen Praktiker bereits seit 2016 auf eine technische Lösung warten würden. Eine gemeinsame Verwendung der Palantir-Software würde die polizeiliche Zusammenarbeit erheblich erleichtern, argumentiert auch das bayerische Landeskriminalamt. Es „wäre schlicht auch finanziell deutlich günstiger“, wird in der Stellungnahme behauptet. Offen bleibt allerdings, auf welchen Kostenvergleich sich das bayerische Landeskriminalamt hier bezieht.
So sehr sich die zwei geladenen Polizeivertreter bemühten, die Palantir-Software in gutem Lichte darzustellen und auf ihren baldigen bundesweiten Einsatz zu dringen, so sehr hielten die Verbands- und Unternehmensvertreter dagegen. Sie vertraten auch Unternehmen, die in direktem Wettbewerb zu Palantir stehen. Der US-Konzern selbst war aber nicht vertreten. So drehte sich ein Großteil der Anhörung um die Frage, welche alternativen, am liebsten deutschen Anbieter denn in welchem Zeitrahmen Lösungen für die in angeblich lauter Daten ertrinkenden Polizisten liefern könnten.
Christine Skropke, die Leiterin Public Affairs beim deutschen Palantir-Konkurrenten Secunet, antwortete nach mehrmaligem Drängen dann auf die Frage, wann denn eine Alternative fertig sei, mit der Angabe, dass ein deutsches Konsortium von Unternehmen in sechs bis zwölf Monaten eine vergleichbare Software liefern könne. Sie ließ aber auch gleich wissen, dass es dazu eine ordentliche „Anschubfinanzierung“ geben müsse.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
US-Geheimdienste dürfen weiterhin fast uneingeschränkt weltweit Datenströme anzapfen. Das hat am Wochenende der US-Kongress beschlossen. Aber auch innerhalb der Vereinigten Staaten haben Ermittlungsbehörden weitreichende Befugnisse. Manche davon wurden nun sogar ausgeweitet.
US-Geheimdienste dürfen weiterhin das Internet großflächig überwachen. Mit breiter Mehrheit hat der US-Senat am frühen Samstagmorgen den „Reforming Intelligence and Securing America Act“ (RISAA) beschlossen. Das Repräsentantenhaus hatte bereits eine Woche zuvor zugestimmt, US-Präsident Joe Biden setzte am Wochenende seine Unterschrift darunter.
Das Gesetz verlängert die umstrittene Section 702 des „Foreign Intelligence Surveillance Act“ (FISA) um zwei Jahre. Diese Bestimmung erlaubt US-Diensten wie der National Security Agency (NSA), die elektronische Kommunikation außerhalb der USA praktisch ohne Einschränkungen zu überwachen.
Für heftige Debatten sorgte in den Vereinigten Staaten jedoch vor allem die Tatsache, dass dabei auch Daten von US-Bürger:innen im Inland in den Datenbanken landen – wenn sie beispielsweise mit ausländischen Nutzer:innen kommunizieren oder ihre Daten sonstwie die Landesgrenze überschreiten. Diese Daten dürfen Behörden wie das FBI etwa für strafrechtliche Ermittlungen nutzen, ohne zuvor einen von unabhängigen Richter:innen genehmigten Durchsuchungsbefehl einzuholen.
Massenhaft illegale Abfragen
Im Vorjahr hatte ein Bericht der zuständigen Aufsichtsbehörde enthüllt, dass sich das FBI großzügig an den Datenbergen bedient hatte. Über Jahre hinweg kam es millionenfach zu missbräuchlichen Abfragen der Datenbank, das belegen auch Gerichtsdokumente. Ins Visier gerieten unter anderem Black-Lives-Matter-Demonstrant:innen, Spender:innen politischer Kandidat:innen oder auch Protestierende, die im Jahr 2020 am Sturm des Kapitolgebäudes teilgenommen hatten.
Trotz aller Rufe nach Reformen, die unter anderem vom Vorsitzenden des Rechtsausschusses im Senat, dem einflussreichen Demokraten Dick Durbin, unterstützt worden waren, fehlten dafür letztlich ausreichend viele Stimmen. Dass das FBI inzwischen interne Prozesse geändert hat und stärker als zuvor kontrolliert wird, stimmte Durbin nicht zufrieden. „Wenn die Regierung meine private Kommunikation oder die von US-Bürger:innen überwachen will, dann sollte es für sie notwendig sein, sich das von einem Richter genehmigen zu lassen“, sagte Durbin.
Ausweitung auf mehr Anbieter
Abgesegnet wurde zudem eine weitere umstrittene Bestimmung. Zuvor hatte das Gesetz lediglich Betreiber von elektronischen Kommunikationsdiensten („electronic communication service provider“) verpflichtet, gegebenenfalls Daten an US-Behörden weiterzugeben. Jedoch wurde dies sehr weit ausgelegt und etwa auch auf Betreiber von Rechenzentren angewandt. Diese Praxis schränkte ein Gericht im Jahr 2022 ein.
Nun weitet das Gesetz die Klausel auf beliebige andere Betreiber aus („any other service provider“), die daran beteiligt sind, elektronische Kommunikation zu übermitteln oder zu speichern. Während Befürworter:innen davon sprechen, damit eine Regelungslücke geschlossen zu haben, halten sich zivilgesellschaftliche Gruppen mit ihrer Kritik nicht zurück. „Diese Bestimmung erlaubt es der Regierung, fast jedes Unternehmen in diesem Land dazu zu zwingen, bei der Erhebung gemäß Abschnitt 702 zu helfen, indem sie der NSA Zugriff auf ihre Telefone, Computer und WLAN-Router gewährt“, warnt etwa Elizabeth Goitein vom Brennan Center for Justice.
Kommerzielle Überwachungsdaten
Nicht ins überarbeitete Gesetz hat es hingegen ein Vorstoß geschafft, der US-Behörden verbieten sollte, weiter ohne Einschränkungen Daten bei sogenannten Databrokern einzukaufen und sie für ihre Arbeit zu nutzen. Dabei geht es um Daten, die üblicherweise für kommerzielle Zwecke gesammelt, verkauft und verwertet werden. Doch hat die Praxis, aus Smartphone-Apps oder sonstigem Online-Verhalten gewonnene Daten in staatliche Überwachungssysteme einfließen zu lassen, in den USA zuletzt stark zugenommen, ohne begleitend reguliert zu werden.
Schon seit längerem zirkuliert der „Fourth Amendment Is Not For Sale Act“ im US-Kongress, vergangene Woche wurde ein Entwurf im Repräsentantenhaus beschlossen. Demnach sollen US-Behörden solche Daten nicht einkaufen dürfen, wenn sie dafür sonst einen Durchsuchungsbefehl brauchen würden. „Die parteiübergreifende Verabschiedung des Gesetzentwurfs ist ein Alarmsignal für die Regierung, dass sie einen Durchsuchungsbefehl braucht, wenn sie unsere Daten will“, sagte Kia Hamadanchy von der Grundrechteorganisation American Civil Liberties Union (ACLU).
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die Chef:innen europäischer Polizeibehörden attackieren gemeinsam die Ende-zu-Ende-Verschlüsselung, die der Meta-Konzern einführt. Sie erwecken dabei den Eindruck, von der Politik alleine gelassen zu werden – doch das genaue Gegenteil ist der Fall, wie Berichte von netzpolitik.org zeigen.
Europas Polizeichefs und die Polizei Europol betätigen sich mal wieder als politische Akteure. Sie haben sich mit einer gemeinsamen Erklärung zu Wort gemeldet, in der sie beklagen, dass der Meta-Konzern die Privatsphäre-Standards für Millionen Bürger:innen auf seiner Plattform verbessert. Meta rollt derzeit mit einiger Verspätung Ende-zu-Ende-Verschlüsselung für die Kommunikation auf Instagram und Facebook aus.
In diesem Vorgang sehen die Polizeien die Gefahr von rechtsfreien Räumen, oder wie sie es ausdrücken: „Räumen außerhalb der Reichweite der Strafverfolgungsbehörden“. Dieses Argumentationsmuster des „Going Dark“ und auch der Adressat Facebook sind alles andere als neu, die Worte der europäischen Polizeichefs dafür umso alarmistischer. Europol-Chefin Catherine De Bolle lässt sich folgendermaßen zitieren:
Unsere Wohnungen werden gefährlicher als unsere Straßen, da sich die Kriminalität ins Internet verlagert. Um die Sicherheit unserer Gesellschaft und der Menschen zu gewährleisten, muss dieses digitale Umfeld gesichert werden. Technologieunternehmen haben eine soziale Verantwortung, ein sichereres Umfeld zu schaffen, in dem Strafverfolgung und Justiz ihre Arbeit tun können. Wenn die Polizei nicht mehr in der Lage ist, Beweise zu sammeln, wird unsere Gesellschaft nicht in der Lage sein, die Menschen davor zu schützen, Opfer von Verbrechen zu werden.
„Schädliche und strafbare Inhalte“ erkennen
In einer gemeinsamen Erklärung (PDF), die offenbar bei einem Treffen europäischer Polizeichefs in London beschlossen wurde, heißt es, dass die bei Meta derzeit eingeführte Verschlüsselung die Strafverfolgungsbehörden daran hindern würde, Beweise zur Verhinderung und Verfolgung schwerster Straftaten wie sexuellem Kindesmissbrauch, Menschenhandel, Drogenschmuggel, Morden, Wirtschaftskriminalität und terroristischen Straftaten zu erlangen.
Den Technologieunternehmen kommt nach Ansicht der Polizeichefs die Rolle zu, einerseits „schädliche und strafbare Inhalte“ auf ihren Plattformen zu erkennen und zu melden und andererseits Beweise im Rahmen der Strafverfolgung zur Verfügung zu stellen. Unsere Gesellschaften hätten bisher keine Räume geduldet, die außerhalb der Reichweite der Strafverfolgung seien und in denen Kriminelle gefahrlos kommunizieren könnten, so die Erklärung.
Bricht man diese Forderung etwas herunter, müsste man auch Kneipen verpflichten, die Gespräche ihrer Gäste präventiv mitzuschneiden, nach bestimmten Inhalten zu suchen und die Aufnahmen für die Polizei vorzuhalten. Interessant dabei auch: Für die europäischen Polizeichefs geht es ganz offensichtlich nicht nur um strafbare Inhalte, die sie erkannt und gemeldet sehen wollen, sondern auch um „schädliche“ Inhalte – für die Strafverfolgungsbehörden aber gar nicht zuständig sind, zumal unklar ist, was das überhaupt ist.
„Security-by-Design“
Im Bezug auf Verschlüsselung schreiben die Polizeichefs: Man akzeptiere nicht, „dass es eine binäre Wahl geben muss zwischen Cybersicherheit oder Datenschutz einerseits und öffentlicher Sicherheit andererseits“ – und schlägt deswegen den allerdings schon besetzten Terminus „Security by Design“ vor. Während der ursprüngliche Begriff IT-Sicherheit meint, setzen die Polizeichefs nun die „öffentliche Sicherheit“ als höchstes Ziel ein und grenzen sich begrifflich zum etablierten Konzept „Privacy by Design“ ab. „Security by Design“ würde demnach sicherzustellen, dass die Technologieunternehmen in der Lage seien, „schädliche und illegale Aktivitäten“ zu erkennen und zu melden.
Die Technologie dafür existiere, es brauche nur Flexibilität der Unternehmen und der Regierungen. Um was für eine existierende Technologie es sich dabei handeln solle – beispielsweise Client-Side-Scanning, Geister-User, Hintertüren und Generalschlüssel oder schwache Verschlüsselung – verschweigt die gemeinsame Erklärung allerdings. Generell bleibt der Text technisch vage, vermengt an einer Stelle Verschlüsselung mit Anonymität, um Metas Verschlüsselungsinitiative mit dem Darknet zu vergleichen.
Am Ende ihrer Erklärung fordern die Behörden neue Befugnisse von den Gesetzgebern: „Wir fordern unsere demokratischen Regierungen auf, Rahmenbedingungen zu schaffen, die uns die Informationen geben, die wir brauchen, um unsere Bürger zu schützen.“
Das kritisiert Linus Neumann, Sprecher des Chaos Computer Clubs, mit Verweis auf früheres Five-Eyes-Lobbying gegen Facebook: „Es ist faszinierend, wie durchsichtig und dreist sich die Polizeibehörden just nach einem Besuch in London als öffentliche Lobby-Gruppe der Five Eyes engagieren.“ Üblicherweise brauchten Sicherheitsbehörden ja keine offenen Briefe, um bei ihren jeweiligen Ministerien Gehör zu finden. „Hier betreiben Sicherheitsbehörden Meinungsmache zum Abbau von Freiheitsrechten“, so Neumann weiter.
EU-Arbeitsgruppe sägt schon an Verschlüsselung
Während der offene Brief den Eindruck hinterlässt, dass die Polizei quasi als Opfer ohne politischen Rückhalt dasteht, hat die Europäische Union schon im letzten Jahr eine High-Level-Arbeitsgruppe (HLEG) gegen Verschlüsselung und Anonymität eingesetzt, die das Prinzip des „Security by Design“ postulierte. Unter weitgehenden Ausschluss der Öffentlichkeit blieb der Sicherheitsapparat in den ersten Sitzungen vor allem unter sich, wie wir berichteten.
Dementsprechend waren dann auch die Forderungen der Arbeitsgruppe: Sie wünscht sich etwa eigene Zugänge für Ermittlungsbehörden in IT-Geräten und -Anwendungen, am besten gleich abgesegnet von Standardisierungsgremien und verkauft das als „Security by Design“. Zudem will sie die Vorratsdatenspeicherung wieder europaweit einführen und mehr Daten von Messengern wie Signal, die auf Datensparsamkeit und Verschlüsselung setzen.
Bei den vier Treffen, zu denen geschwärzte Teilnehmerlisten vorliegen, waren neben den EU-Institutionen und Polizeien der EU-Länder fast nur Abgesandte der Polizeibehörde Europol, der Justizbehörde Eurojust oder der Koordinator für die Terrorismusbekämpfung zugegen. Nichtregierungsorganisationen hingegen wurden quasi ausgeladen, beschwerten sich dann – und wurden dann erstmals angehört.
Auch schon bei der Entwicklung der Chatkontrolle-Gesetzgebung hatten Sicherheitsbehörden eine zentrale Rolle eingenommen. So waren Geheimdienstvertreter:innen und Polizeien verschiedener Länder frühzeitig eingebunden, wie Recherchen von netzpolitik.org belegt haben. Herausgekommen sind deswegen immer Ansätze, welche auf die Schwächung und Umgehung von Verschlüsselung abzielten.
Die Mär vom Going Dark
Das Postulat des „Going Dark“ wegen Verschlüsselung ist wissenschaftlich umstritten. Eine Studie der Harvard Universität kam 2016 zum Schluss: Auch wenn einzelne Kanäle in Zukunft schwieriger zu überwachen sein werden, tun sich gleichzeitig neue Wege der Überwachung auf. Die fortschreitende Digitalisierung eröffnet den Ermittlungsbehörden eben auch zahlreiche weitere Ermittlungsansätze, die sie davor noch gar nicht hatten. Dies bestätigte auch eine Studie des niederländischen Justizministeriums aus dem Jahr 2023. Dort hieß es, die Polizei habe sich immer schon Alternativen überlegen müssen, um trotzdem an die relevanten Informationen zu kommen.
Polizeibehörden haben in den letzten Jahren bewiesen, dass sie trotz der Existenz von Verschlüsselung immer wieder mit klassischen und kreativen Ermittlungsansätzen Fahndungserfolge gegen alle möglichen Formen der Kriminalität vorweisen konnten. Sogar im jetzt wieder beschworenen Darknet.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.