Mit Beginn des Jahres 2026 gehen viele Kunstwerke, Schriften und Musikstücke in die Public Domain über. In Europa sind das die Werke von Urheber*innen, die im Jahr 1955 gestorben sind. Mit dabei sind Thomas Mann, Ferdinand Léger und Clemence Housman.

Am 1. Januar gibt es etwas zu feiern, und zwar den „Public Domain Day“. Tausende und Abertausende Kunstwerke von Autor*innen, Künstler*innen und Musiker*innen werden gemeinfrei. Sie sind damit nicht mehr urheberrechtlich geschützt, sondern gehen in die Public Domain über, also gewissermaßen in den Besitz der Allgemeinheit. Ab sofort dürfen sie ohne Einschränkungen kopiert, wiederverwendet, angepasst und weiterverbreitet werden.

Im europäischen Urheberverwertungsrecht gilt größtenteils das Prinzip „Leben + 70 Jahre“. Die sogenannte Regelschutzfrist schützt Werke für die Dauer von 70 Jahren nach dem Tod der Urheber*innen. Erst danach dürfen sie ohne Genehmigung veröffentlicht werden. Mit dem heutigen Jahresanfang werden somit Werke von Urheber*innen gemeinfrei, die im Jahr 1955 verstorben sind.

Lesenswertes

Darunter sind in diesem Jahr die Werke des bedeutenden deutschen Schriftstellers Thomas Mann. Für seinen ersten Roman „Buddenbrooks“ erhielt er den Nobelpreis für Literatur, sein umfassendes Werk besteht aber auch aus Kurzgeschichten, Essays und Gedichten.

Weniger bekannt, politisch aber mindestens spannend ist der französische Schriftsteller Léon Werth. Mit seiner kriegskritischen Erzählung „Clavel Soldat“ sorgte er kurz nach dem Ersten Weltkrieg für Aufsehen, seine Flucht vor den Nazis hielt er in „33 Tage“ und sein Zeugnis der Besatzungsjahre aus seinem Versteck im fast tausendseitigen Buch „Als die Zeit stillstand. Tagebuch 1940 – 1944“ fest. In „Cochinchine“ übte er außerdem Kritik am französischen Kolonialismus. Es ist eben jener Léon Werth, dem Antoine de Saint-Exupéry den „Kleinen Prinzen“ gewidmet hat.

In den Romanen der britischen Autorin und Holzschnitzerin Clemence Housman können Lesende Werwölfinnen und meerjungfrauenähnlichen Gestalten begegnen. Ihre Werke tragen Titel wie „The Were-Wolf“, „Unknown Sea“ und „The Life of Sir Aglovale De Galis“. Housman war in der Suffragettenbewegung aktiv und beschäftigte sich mit den sich wandelnden Geschlechterrollen am Ende des 19. und zu Beginn des 20. Jahrhunderts.

Sehens- und Hörenswertes

Neben den Werken des Franzosen Ferdinand Léger werden auch die Arbeiten des deutschen Malers Karl Hofer gemeinfrei. Er zählt zu den bedeutendsten Maler*innen der Moderne in Deutschland.

Aus dem musikalischen Bereich sind der Schweizer Komponist Arthur Honegger und der italienische Musiker Francesco Balilla Pratella zu nennen.

Urheberrecht: Alles andere als einfach

Die Schutzfristen unterscheiden sich von Land zu Land. So werden die Werke des spanischen Philosophen José Ortega y Gasset in verschiedenen europäischen Ländern bereits gemeinfrei, nicht aber in seinem eigenen Herkunftsland Spanien. Dort sind seine Schriften erst in zehn Jahren frei nutzbar.

In den USA werden zum Jahreswechsel Werke für alle zugänglich, die im Jahr 1930 veröffentlicht wurden – unabhängig vom Todeszeitpunkt der Autor*innen. Darunter der Krimi „Mord im Pfarrhaus“ von Agatha Christie, in dem Miss Marple zum ersten Mal vorkommt.

Außerdem gehen dort gleich zwei Filme des Regisseurs Josef von Sternberg in die Public Domain über, in denen Marlene Dietrich mitgespielt hat: „Der blaue Engel“ und „Marokko“, in dem Dietrich in einer berühmten Szene, elegant gekleidet mit Zylinder und Frack, eine Frau küsst.

Albert Einstein und noch viele mehr

Neben der hier vorgestellten kleinen Auswahl gibt es viel mehr in die Gemeinfreiheit entlassene Werke zu entdecken. Listen mit Urheber*innen, die im Jahr 1955 verstorben sind, stellt die deutschsprachige und die englischsprachige Wikipedia zusammen.

Der bekannteste auf der Liste dürfte der Physiker Albert Einstein sein. Aber auch Veröffentlichungen des Mediziners und Mitentdeckers des Antibiotikums Penicillin, Alexander Fleming, sowie des Mathematikers Hermann Weyl sind nun zur freien Nutzung freigegeben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundestagspräsidentin Julia Klöckner pocht darauf, doch wer kann heutzutage noch neutral sein? Um die Demokratie zu verteidigen, sei Rückgrat sogar Pflicht, ordnen Hannah Vos und Vivian Kube auf dem 39. Chaos Communication Congress die Debatte rund ums Neutralitätsgebot ein.

Zum Christopher-Street-Day wehte in den vergangenen Jahren die Pride-Flagge auf dem Dach des Reichstagsgebäude – außer in diesem Jahr. Im Juni machte Bundestagspräsidentin Julia Klöckner (CDU) Schlagzeilen, weil sie entschied, dass die Flagge nicht gehisst werden darf. „Wir müssen neutral sein, auch wenn das manchmal weh tut“, begründete Klöckner ihren Bruch mit der Tradition, Solidarität mit queeren Minderheiten zu demonstrieren.

Beifall für ihren Entschluss bekam Klöckner von der rechtsextremistischen Partei Alternative für Deutschland (AfD). Die wiederum nutzt die Rhetorik der Neutralität inzwischen als Waffe. Regelmäßig bringt sie Klagen vor Gericht, mit denen sie versucht, eine autoritäre Definition von Neutralität durchzusetzen.

Doch wieviel Neutralität gebietet das Grundgesetz (GG) eigentlich wirklich? Und wann ist laut GG statt Neutralität vielmehr Widerstand gegen rechte Angriffe auf demokratische Werte Pflicht?

Mit diesen Fragen beschäftigten sich Hannah Vos und Vivian Kube in ihrem Talk „Wer hat Angst vor dem Neutralitätsgebot?“ auf dem 39. Chaos Communication Congress in Hamburg. Die Juristinnen Vos und Kube kommen von der Initiative Gegenrechtsschutz, die zu FragDenStaat gehört. Sie berät und unterstützt Menschen und Organisationen aus Kultur, Journalismus oder Wissenschaft, die von rechts außen in Gerichtsverfahren verwickelt werden.

Neutralität hat Grenzen

Vos und Kube fragen: „Müssen wir neutral sein, auch wenn es weh tut, während sich andere Teile der Gesellschaft immer weiter nach rechts außen bewegen?“ Laut GG gebe es klare Vorgaben, wo Neutralität geboten ist und wo nicht. Dazu stellen Vos und Kube zunächst klar: Das eine Neutralitätsgebot gibt es im GG nicht. Stattdessen macht das GG für verschiedene Bereiche wie öffentliche Verwaltung, Schule oder Zivilgesellschaft konkrete Vorgaben zur Neutralität, setzt aber auch klare Grenzen.

Unterm Strich: Wenn es darum geht, demokratische Werte zu verteidigen und Angriffe auf diese abzuwehren, geht es nicht mehr um Neutralität, sondern um gebotenen Widerstand. Das mache unsere wehrhafte Demokratie aus.

In der öffentlichen Verwaltung haben Beamt:innen die Pflicht zur Verfassungstreue. Wenn Dienstanweisungen oder Vorgaben etwa gegen die Menschenwürde verstoßen, müssten Beamt:innen dagegen halten. Dabei sind sie nicht allein auf sich gestellt, im Rücken haben sie das NPD-Urteil des Bundesverfassungsgerichts von 2017. Demnach seien neben der Garantie auf Menschenwürde die Kernelemente der freiheitlich-demokratischen Grundordnung das Demokratieprinzip sowie das Rechtsstaatsprinzip.

Ganz konkret listen Vos und Kube auf, was als Verstoß gegen die Menschenwürde gilt. Dazu zählen Aussagen wie: „Zugezogene können nie Teil der Gemeinschaft werden, denn ihnen fehlt die gemeinsame Geschichte, Kultur etc.“ Sie unterstellen etwa einen „gemeinsamen Volkswillen“ und negieren Interessenvielfalt.

Außerdem verstoßen alle rassistischen, frauenfeindlichen, antimuslimischen, antisemitischen, antiziganistischen, ableistischen und transfeindlichen Forderungen gegen die Menschenwürde. Als Malu Dreyer (SPD) nach den Veröffentlichungen des Recherche-Kollektivs Correctiv Anfang 2024 zu Demonstrationen gegen Rechts aufrief, habe sie mit Rückendeckung des GG gehandelt.

Freiheitlich-demokratische Grundordnung ist der Maßstab

Damals war Dreyer Ministerpräsidentin von Rheinland-Pfalz und bezog über ihren Instagram-Account Stellung: „Der Begriff ‚Remigration‘ verschleiert, was die AfD und andere rechtsextreme Verfassungsfeinde vorhaben: Sie planen die Vertreibung und Deportation von Millionen Menschen aus rassistischen Motiven. So verschieben sie die Grenze weiter nach rechts und radikalisieren den gesellschaftlichen Diskurs.“

Den folgenden Rechtsstreit entschied das Bundesverfassungsgericht eindeutig zugunsten Dreyers, als die rheinland-pfälzische AfD eine Verfassungsbeschwerde gegen das Urteil des rheinland-pfälzischen Verfassungsgerichtshofs einreichen wollte.

Es gibt für Beamt:innen sogar eine Pflicht zur sogenannten Remonstration: Wenn eine Weisung von oben gegen die freiheitlich-demokratische Grundordnung und das GG verstößt, müssen sich Beamt:innen verweigern. Wenn sie das nicht tun, tragen sie die volle Verantwortung.

Wie das aussehen kann, zeigen mehrere Mitarbeiter:innen des Bundesamts für Migration und Flüchtlinge nach Informationen der Süddeutschen Zeitung (€). Diese sollen der Behörde Paroli geboten haben. Dabei geht es um afghanische Ortskräfte, die unter der alten Bundesregierung eine Aufnahmezusage bekommen hatten. Obwohl Verwaltungsgerichte bereits entschieden haben, dass diese Menschen nach Deutschland kommen müssen, um in Afghanistan nicht Folter und Tod ausgesetzt zu sein, lehnt die schwarz-rote Bundesregierung eine Aufnahme ab. Alexander Dobrindt (CDU) veranlasste entsprechende Widerruf-Schreiben. Doch mehrere BAMF-Mitarbeiter:innen verweigerten ihre Unterschrift.

Neutralität in der Schule

Auch in der Schule will die AfD ihr Neutralitätsregime durchsetzen. Dabei legt das GG auch hier klar fest: Lehrkräfte in der Schule dürfen etwa keine Parteiwerbung machen oder Schüler:innen gar dazu auffordern, eine bestimmte Partei zu wählen. Diese Neutralität hat aber Grenzen. Laut GG kann und soll es keine neutrale Schulbildung geben. Lehrkräfte sind demnach dazu verpflichtet, Schüler:innen im Sinne demokratischer Werte über faschistische und rassistische Inhalte aufzuklären. Sie müssen ihnen dabei helfen, kontroverse Inhalte einzuordnen.

Umso widersprüchlicher die Einschüchterungskampagne „Neutrale Schule“ von der AfD. Sie wollte ein sogenanntes Meldeportal einführen, auf dem Schüler:innen Lehrkräfte melden sollten, wenn die ihrer Meinung nach keinen neutralen Unterricht machen. Die Gewerkschaft für Erziehung und Wissenschaft sprach von einer „Denunziationsplattform“.

Was Klöckner betrifft, habe sie suggeriert, es gebe für die Bundestagsordnung eine rechtliche Pflicht zur Neutralität. Nur das habe sie dazu veranlasst, die Pride-Fahne auf dem Reichtagsgebäude zu verbieten. Doch diese Pflicht gebe es nicht, so Vos und Kube.

Zwar sei die Bundestagspräsidentin nicht verpflichtet, die Fahne hissen zu lassen. Aber sie ist auch nicht dazu verpflichtet, das Hissen der Fahne zu verbieten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Finanzierung von netzpolitik.org für 2026 ist gesichert. Wir sind überglücklich und erleichtert. Vielen Dank euch allen! Ihr seid die beste Community der Welt.

Wir haben es geschafft! Wir haben unser Spendenziel erreicht. Dank Euch!

Es war eine lange Wegstrecke. Mitte November klaffte eine Lücke von sage und schreibe 443.000 Euro. Diese Summe fehlte uns, um im kommenden Jahr unsere Arbeit fortsetzen zu können.

Einen Monat später – wenige Tage vor den Feiertagen – fehlten immer noch 179.000 Euro. Ein wenig Sorge bereitete uns, dass wir die Banktage bis zum Jahresende an zwei Händen abzählen konnten. Nur an Banktagen erreichen uns eure Spenden via Lastschrift.

Während der Feiertage und dem folgenden Wochenende linsten wir immer wieder auf den Spendenbalken, der nur zäh anwuchs. Die Anspannung stieg.

Dann am Montag, den 28. Dezember, eine gute Nachricht: Es fehlten „nur“ noch 63.000 Euro. Allerdings bei gerade einmal zwei verbleibenden Banktagen. Die Nervosität blieb.

Doch dann schmolz die Summe Stunde für Stunde stetig herunter. Wir schöpften Hoffnung. Und seit heute um 11.59 Uhr haben wir endlich Gewissheit: Wir sind über der Ziellinie!

Wir sind erleichtert. Sehr erleichtert. Und überglücklich. Das ist das schönste Geschenk zum Jahresende.

Vielen vielen Dank an euch alle. Vielen Dank für eure Unterstützung, eure Anteilnahme, eure Kritik. All diese Unterstützung ist so viel mehr als eine Zeile in einem Kontoauszug.

Ihr seid die beste Community der Welt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.

Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.

Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.

Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.

Koloniales Echo

Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.

Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.

Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.

In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.

Radikale Verweigerung

Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.

Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.

Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.

2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.

Der Kampf geht weiter

Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.

Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mastodon galt vielen als Alternative zu Twitter, nachdem Elon Musk die kommerzielle Plattform übernommen hatte. Marco Wähner sprach auf dem 39. Chaos Communication Congress darüber, warum das dezentrale Netzwerk mehr als nur eine Alternative ist und was wir als Zivilgesellschaft tun müssen, um dessen Idee zu stärken.

Gut drei Jahre ist es her, dass Elon Musk Twitter gekauft hat. Viele Nutzer:innen verloren daraufhin ihr digitales Wohnzimmer. Und schnell wurde klar, dass die Plattform fortan der Willkür eines einzelnen Tech-Unternehmers unterliegt. Als Musk Mitarbeiter:innen aus dem Kern-Team entließ und die Bezahlversion für das umgetaufte Twitter einführte, verließen viele die Plattform und wandten sich Mastodon zu.

Das Versprechen hinter Mastodon: Das dezentrale Netzwerk entzieht sich der Kontrolle einer einzelnen Person. Denn hier geht es nicht um Profit, sondern vielmehr um eine digitale Gemeinschaft von Menschen, die die Kontrolle über ihre Kommunikationskanäle selbst in die Hand nehmen. Aber können dezentrale Netzwerke dieses Versprechen einlösen? Und wie dezentral sind sie tatsächlich?

Mit diesen Fragen beschäftigte sich Marco Wähner auf dem Chaos Communication Congress in Hamburg. Im Interview spricht der Soziologe über seine Forschung. Wähner arbeitet am Center for Advanced Internet Studies (CAIS) als wissenschaftlicher Mitarbeiter in der Abteilung Research Data and Methods.

„Wir haben eine Zentralität innerhalb der Dezentralität“

netzpolitik.org: Du forschst zu dezentralen Netzwerken. Was ist deine Motivation?

Marco Wähner: Ich wollte wissen: Sind dezentrale Netzwerke der Goldstandard, der selbst nicht hinterfragt werden muss? Dafür habe ich mir unter anderem das Fediverse angeschaut.

netzpolitik.org: Was ist die wesentliche Erkenntnis deiner Untersuchung?

Wähner: Es gibt auf der einen Seite die Idee der Dezentralität. Auf der anderen Seite kann man allerdings auch in dezentralen Netzwerken einen Trend zur Zentralität beobachten. Im deutschsprachigen Ökosystem von Mastodon kann man etwa beobachten, dass sich 80 Prozent der Nutzer:innen mit ihren Accounts auf nur 14 Instanzen verteilen. Wenn man bedenkt, dass das gesamte Ökosystem aus etwa 240 Instanzen besteht, veranschaulicht das eine starke Konzentration. Da haben wir eine Zentralität innerhalb der Dezentralität.

netzpolitik.org: Woran liegt das?

Wähner: Wir haben uns daran gewöhnt, dass soziale Medien uns eine Atmosphäre bieten, in der alles für uns vorkonfiguriert ist. Auf Mastodon hat man viele Mitgestaltungsmöglichkeiten, aber es ist auch Aktivität erforderlich. Nutzer:innen müssen sich aktiv darin einbringen, die digitale Infrastruktur zu pflegen. Wir kriegen hier die Chance, uns technologisch von großen Plattformen unabhängiger zu machen, aber dafür müssen wir auch etwas tun.

Außerdem lässt sich eine Parallele zu den Anfängen des Internets ziehen. Das hat als dezentrales Konstrukt angefangen, inzwischen kam es hier aber zur Zentralisierung. Das liegt daran, dass Menschen nur einen Bruchteil des Internets für Informationen, Wissen und Austausch nutzen. Regelmäßig besuchen sie nur wenige Websites.

Ein wesentlicher Faktor ist aber auch die Monopolbildung technologischer Konzerne. Es gibt starke Machtkonzentrationen auf wenige Plattformen und wenige Unternehmen, die hinter diesen Plattformen stecken. Ich finde das Bild einer vor Banalitäten blinkenden Einkaufs-Mall passend, wo immer unterschiedliche Verkaufsangebote dargestellt werden, die so mehr oder weniger über die ursprüngliche Idee des Internets drübergebaut worden ist. Und ich denke, dass wir das Potenzial des Internets nicht ausnutzen. Vielmehr ist es geprägt durch Konsum, durch Warenangebote.

Das Prinzip des Gemeinguts

netzpolitik.org: Warum kam es zu dieser Entwicklung hin zu Zentralisierung und Monopolen?

Wähner: Das ist eine komplexe, aber nicht überraschende Entwicklung. Und sie hängt vor allem damit zusammen, dass Angebote, Zugänge und Inhalte monetarisiert wurden. Hierdurch wurde die Monopolstellung einzelner Unternehmen stark begünstigt.

netzpolitik.org: Was unterscheidet dezentrale Netzwerke davon?

Wähner: Das zentralisierte Internet folgt dem Prinzip des Privateigentums. Dort entscheidet eine zentrale Autorität, was mit einer Infrastruktur passiert, wer Zugang hat und Ähnliches. Diese Autorität ist allein durch Eigentum legitimiert. Ein gutes Symbolbild dafür ist Elon Musk, der ein Waschbecken in die Büros von Twitter hineinträgt. Als neuer Eigentümer konnte er das machen.

Das löste bei vielen ein Störgefühl aus, denn Twitter wurde als öffentlich-digitaler Raum verstanden und genutzt. Wie instabil so ein öffentlicher Raum ist, zeigte sich, als sich jemand als Privateigentümer durchgesetzt hat.

Dezentrale Netzwerke folgen dem Prinzip des Gemeinguts. Dementsprechend gibt es keine zentrale Autorität, die darüber entscheidet, wie Ressourcen verteilt werden, wer Zugang zum Netzwerk hat, wie das Netzwerk wächst. Hier geht es um Selbstverwaltung.

Es braucht die zivilgesellschaftliche Basis

netzpolitik.org: Könnte da die öffentliche Hand unterstützen?

Wähner: Wichtig ist die Frage, wer hat die zentrale Autorität. Die sollte nicht bei der öffentlichen Hand liegen, sondern bei der Zivilgesellschaft.

Gleichwohl könnte man hier aber gesetzgeberisch aktiv werden. Ein Weg könnte darin bestehen, dass die Arbeit einzelner Akteure aus der Zivilgesellschaft, die digitale Infrastruktur für die Gemeinschaft zur Verfügung stellen, als gemeinnützig anerkannt wir. Zudem ist das digitale Ehrenamt sicher ein guter Weg, wenn sich Menschen im digitalen Raum ehrenamtlich engagieren.

Behörden und andere öffentliche Einrichtungen sollten Mastodon nutzen und ihre Inhalte dort zur Verfügung stellen. Damit können sie dem Netzwerk auch Schub verleihen. Doch es braucht die zivilgesellschaftliche Basis, um sich von einzelnen Personen und Akteuren unabhängig zu machen.

Eine echte Option zur bestehenden Zentralität

netzpolitik.org: Was ist deine Forderung?

Wähner: Angesichts des Trends zu Zentralisierung bei dezentralen Netzwerken wie Mastodon müssen wir uns als Zivilgesellschaft eines bewusst machen: Wir brauchen dauerhaft Power, damit wir mittel- und langfristig dezentrale Alternativen haben.

Es ist einfach, monetäre Interessen zu mobilisieren. Gemeinschaftliche Interessen bringen immer Zielkonflikte mit. Wenn wir wollen, dass dezentrale Netzwerke frei von Profitdenken bleiben, müssen wir in Zukunft Organisationen, Vereine und Nichtregierungsorganisationen stärken. Die können schon jetzt ihre Mitglieder mobilisieren. Sie sind in der Lage, digitale Infrastrukturen zur Verfügung zu stellen und auch Anknüpfungspunkte für Menschen zu schaffen, um dezentrale Netzwerke zu nutzen.

netzpolitik.org: Also seid aufmerksam und sorgt dafür, dass dezentrale Netzwerke dezentral bleiben?

Wähner: Vor allem sollten sie Menschen über die Bubble hinaus mitnehmen, also auch aus der breiten Zivilgesellschaft. Überwindet den Zielkonflikt der digitalen Ungleichheit. Wir sollten uns immer fragen, wie wir Menschen befähigen, Teil dieser Netzwerke zu werden und sich damit auseinanderzusetzen. Und wie wir das als echte Option zur bestehenden Zentralität in die öffentliche Debatte tragen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Manche Nutzer:innen lassen sich Wikipedia-Artikel von Sprachmodellen generieren, inklusive erfundener Referenzen. Ein Wikipedia-Urgestein stolperte zufällig über die halluzinierten Artikel – ausgerechnet mit der Hilfe von einem Sprachmodell.

Eigentlich wollte Mathias Schindler nur eine kleine Sache in der Wikipedia korrigieren. Doch dann baute der Wikipedianer versehentlich einen Detektor für bestimmte KI-generierte Inhalte in der Enzyklopädie. Auf dem 39C3 berichtet er, warum die halluzinierten Texte auch ein Problem für die Anbieter großer Sprachmodelle werden könnte und warum er den Autor:innen keine guten Absichten unterstellt.

Die kleine Sache, die Schindler korrigieren wollte, waren fehlerhafte ISBNs. Mit diesen 10 oder 13-stelligen Nummern werden Bücher identifiziert und finden sich oft in Quellenangaben von Wikipedia-Einträgen. Dabei sind die Zahlenkombinationen nicht vollkommen zufällig, erklärt Schindler im Talk. Die letzte Ziffer ist eine Prüfziffer, sie lässt sich aus den neun beziehungsweise zwölf vorherigen Ziffern berechnen. Ursprünglich wollte Schindler falsche ISBNs in der Wikipedia aufspüren und ausbessern, auch damit Nutzer:innen die richtigen Bücher finden, die als Referenzen in den Artikeln angegeben wurden.

Zufallsfund dank falscher ISBNs

„Referenzen auf Wikipedia sind nicht nur wichtig, sondern ein integraler Teil der Wikipedia“, sagt Schindler und verweist in seinem Vortrag auf den alten Spruch: „Wikimedia mag ein guter Ort sein, um eine Recherche zu starten, aber es ist ein schlechter Ort, um dort die Recherche zu beenden.“ (Alle Zitate aus dem Talk haben wir ins Deutsche übersetzt.) Schindler muss es wissen. Er ist Mitbegründer von Wikimedia Deutschland und Wikipedia-Autor seit 2003.

Um die inkorrekten ISBNs zu finden, schrieb Schindler ein Skript, lud die gesamte deutschsprachige Wikipedia herunter und durchsuchte sie nach ISBNs mit einer faulen Prüfziffer, erzählt er in seinem Vortrag. Doch er stieß nicht nur auf falsch eingegebene ISBNs oder von den Verlagen falsch ausgegebene ISBNs, sondern fand auch Artikel, bei denen zwei oder mehr Bücher fehlerhafte ISBNs hatten. Diese Bücher schienen zwar plausible Titel und Autor:innen zu haben, aber Schindler konnte sie nirgendwo sonst finden. Sie waren halluziniert.

Offenbar hatten sich Menschen ganze Artikel von einem Large Language Model (LLM) wie ChatGPT schreiben lassen, welches sich dann auch einen Abschnitt mit Einzelnachweisen ausdachte.

Noch ist es ein Nischenphänomen

Im Gespräch mit netzpolitik.org erzählt Schindler, dass er mit seiner Methode etwa 150 Artikel gefunden habe, bei denen man Sorge haben müsse, dass sie zumindest teilweise KI-generiert und frei erfunden seien. Allerdings seien die fehlerhaften Einträge nicht ausschließlich auf KI-Chatbots zurückzuführen, manchmal gebe es andere Gründe für mehrfach falsche ISBNs, sagt Schindler. Außerdem gibt es über drei Millionen deutschsprachige Wikipedia-Artikel, die 150 Auffälligen machen also nur ein äußerst geringen Anteil von 0,005 Prozent aus.

Andererseits erfasst Schindlers Methode auch nicht alle Halluzinationen, dafür war es schließlich nicht gedacht. „Dieses Werkzeug ist nicht das Universaltool zum Erkennen von ChatGPT-generierten Artikeln.“ Andere Möglichkeiten, solche Inhalte zu enttarnen, seien etwa systematische Abweichungen von der Syntax von „Media Wiki“ (der Software hinter Wikipedia). Oder wenn Autor:innen viele Adjektive verwenden: „Kein Wikipedianer, der was auf sich hält, wird den Fernsehturm als ‚großartig‘ oder ‚herausragend‘ bezeichnen.“

LLM generierter Text „Anti-These zu Wikipedia“

Doch auch wenn das Erstellen von Wikipedia-Artikeln mit LLMs noch nicht so verbreitet sein sollte, geht es für Wikipedia um Grundsätzliches: Die Kontamination mit Inhalten, die auf den ersten Blick wahr erscheinen könnten und sich als Fakten tarnen. Schindler sagt: „Man könnte es auch als Anti-These zu einem Enzyklopädie-Projekt wie Wikipedia beschreiben.“

Die Gefahren? Zum einen können sich falsche Infos verselbstständigen, wenn eine andere Veröffentlichung den vermeintlichen Fakt von Wikipedia abschreibt und die Wikipedia diese Veröffentlichungen hinterher als Beleg für genau diesen Fakt aufführen. Schindler weist in seinem Vortrag auf diesen Teufelskreis hin, der bereits vor LLMs ein Problem darstellte.

Glaubwürdigkeit in Gefahr – und die Qualität von LLMs

Zum anderen verschlingen LLM-generierte Quellen zunehmend die Ressourcen unterschiedlichster Einrichtungen. Nicht nur die der Online-Enzyklopädie: Irregeleitete Nutzer:innen fragen etwa Bibliothekar:innen nach ausgedachten Büchern, berichtete 404 Media im Herbst. Beim Internationalen Komitee des Roten Kreuzes (ICRC) wurde die Situation offenbar so schlimm, dass es sich mit einer „wichtigen Mitteilung“ an die Öffentlichkeit wandte.

„Wenn eine Referenz nicht gefunden werden kann, heißt das nicht, dass das ICRC Informationen zurückhält. Verschiedene Situationen können das erklären, wie etwa unvollständige Zitationen, Dokumente, die in andere Institutionen lagern, oder – zunehmend – KI-generierte Halluzinationen“, warnte das ICRC Anfang Dezember.

Auch für die Entwickler von Large Language Models hätten halluzinierte Wikipedia-Artikel Nachteile, argumentiert Schindler. Denn ihre Modelle werden oft mit Wikipedia-Artikeln trainiert. „Die KI-Firmen profitieren von hochwertigen Daten und leiden unter dem Verlust von Quellen, die frei von synthetischen Texten sind“, sagt im Schindler im Gespräch mit netzpolitik.org. Oder wie er es im Vortrag formuliert: „LLM-Provider vergiften damit auf eine Art den Fluss, aus dem sie selber trinken“, sagt Schindler.

Wer macht sowas?

Doch wer stellt eigentlich LLM-generierte Inhalte in die Wikipedia? „Bunt gemischt“, erzählt Mathias Schindler im Gespräch mit netzpolitik.org. Von Wikipedia-Neulingen über langjährige Autor:innen bis zu einer Werbeagentur sei alles dabei gewesen. Er habe versucht, möglichst viele Autor:innen von verdächtigen Artikeln zu kontaktieren. Manche hätten ihn ignoriert, andere alles geleugnet oder den Einsatz einer LLM heruntergespielt.

„Eine Erklärung ist, dass Menschen LLMs tatsächlich als Recherchewerkzeug ansehen, das magischen Zugang zu wissenschaftlichen Datenbanken und Literatur hat und belastbare Belege liefert“, sagt Schindler zu netzpolitik.org. Bisher habe er aber noch keine solche Person unter den verdächtigen Autor:innen getroffen. Stattdessen vermutet Schindler eher persönlichen Geltungsdrang oder dass Personen eine Agenda verfolgen, die Enzyklopädie in ihrem Sinne umzuschreiben.

In seinem Vortrag erzählt Schindler, er habe alle verdächtigen Autor:innen, um den Prompt gebeten, mit dem diese den Artikel generiert hätten. „Das ist mein persönlicher ‚Litmus‘-Test, ob die Menschen ehrliche Absichten haben“, sagt Schindler. Nur eine einzige Person habe den Prompt nach vielen Nachfragen privat geteilt.

Die Herausforderung bleibt

Laut Schindler wurden alle gemeldeten Artikel gelöscht, bei denen die Autor:innen die Zweifel nicht ausräumen konnten, dass sie KI-generiert waren. In vielen Fällen wurden auch die Autor:innen gesperrt. In einem Richtlinien-Artikel der deutschsprachigen Wikipedia heißt es dazu: „Sprach-KI sind derzeit nicht in der Lage, korrekt belegte Beiträge zu erstellen. Beiträge, die damit erstellt werden, verstoßen daher unter anderem gegen WP:Keine Theoriefindung, WP:Belege, WP:Urheberrechtsverletzung, WP:Neutraler Standpunkt; ihre Verwendung ist daher derzeit generell unerwünscht.“

Für Schindler bleibt es eine Herausforderung für die Wikipedia-Community, halluzinierte Texte aufzudecken, zumal Chatbots künftig ISBNs mit einer korrekt berechneten letzten Stelle erfinden könnten. Er hofft auf einen konstruktiven Dialog mit den KI-Firmen. „Mein persönlicher Wunsch wäre, dass man durch Austausch und vielleicht Kompetenztransfer mit den KI-Firmen erreicht, dass man KI-generierte Texte leichter erkennt, wenn jemand versucht, sie in die Wikipedia zu stellen.“

Am Ende ist die Geschichte der KI-generierten ISBNs auch eine über falschen und vielleicht besseren KI-Einsatz. Denn den Code für seinen ISBN-Checker hat Schindler auch mithilfe von Large Language Models geschrieben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Beim Umgang mit Domains kann einiges schiefgehen. Einige Probleme ließen sich leicht verhindern, das würde die IT-Sicherheit verbessern und es Betrüger:innen schwerer machen. Doch bei Bundesbehörden deckt ein Sicherheitsforscher immer wieder Probleme auf.

Mehrmals hat Tim Philipp Schäfers in den vergangenen Monaten gezeigt, welche Folgen ein leichtfertiger Umgang mit Domains haben kann: Anfang des Jahres entdeckte der Sicherheitsforscher von Mint Secure, dass sich das Bundesamt für Migration und Flüchtlinge (BAMF) ein Sicherheitsproblem schuf, weil es Test-Accounts für seine Systeme mit fiktiven E-Mail-Adressen auf einer Domain anlegte, die das Bundesamt nicht kontrollierte: testtraeger.de. Schäfers holte sich die bis dahin unregistrierte Domain und erhielt so Zugriff auf einen Administrator-Account eines Test-Systems.

Im Dezember folgte eine weitere Recherche: Frühere Behörden-Domains wurden leichtfertig abgestoßen, auch hier im Fall des BAMF. Das hieß früher BAFl und ließ die Domain bafl.de offenbar einfach auslaufen. Als Schäfers die Domain einige Jahre später für sich registrierte, stellte er fest, dass weiterhin regelmäßig automatisierte sowie manuelle Anfragen aus dem IP-Adress-Bereich von Bundesbehörden bei der Domain ankamen. Mittlerweile hat Schäfers die Domain zum BAMF zurückübertragen, berichtete er in einem Vortrag zum Thema auf dem 39. Chaos Communication Congress.

Eine Kleine Anfrage zeigte außerdem, dass Dritte abgelegte Behörden-Domains für sich registrieren und offenbar deren vormalige Vertrauenswürdigkeit ausnutzen, um dort Werbung für illegales Glücksspiel zu platzieren oder gar Schadsoftware zu verteilen. Eine Liste aller Bundesdomains zu veröffentlichen, verweigerte die Bundesregierung jedoch.

All das zeigt: Ein achtloser Umgang mit Domains ist sowohl ein Risiko für IT-Sicherheit als auch ein Einfallstor für Manipulation und Desinformation.

Deutschland und Estland sind Nachbarn auf der Tastatur

Auf dem 39. Chaos Communication Congress fasst Schäfers seine Erkenntnisse zusammen und präsentiert ein neues Problem: die Gefahr durch sogenannte Typosquatting- und Bitsquatting-Domains. Also Domains, die echten Web-Adressen ähnlich sind und die schnell durch Tippfehler und Fehler in der Datenverarbeitung entstehen.

Schäfers registrierte eine solche Domain. Sie heißt: bund.ee. Nur ein Buchstabe unterscheidet sie von bund.de, einer wichtigen Domain, die die deutsche Bundesregierung verwaltet und mindestens seit 1998 nutzt. Statt der Länder-Domain von Deutschland steht also dort diejenige von Estlands.

Bei einem Besuch von bund.de leitet die Seite auf das Bundesportal weiter. Darüber sollen Bürger:innen auf Verwaltungsleistungen von Bund, Ländern und Kommunen zugreifen können. Auf den zahlreichen Subdomains von bund.de finden sich beispielsweise Websites von Ministerien wie die des Innenministeriums unter bmi.bund.de. Auf anderen Unterseiten wie id.bund.de können sich Bürger:innen mit der BundID anmelden. Das ist ein zentrales Konto, über das sie etwa Bescheide von Behörden empfangen oder sich online ausweisen können. Unter gesund.bund.de befindet sich eine Service-Seite des Gesundheitsministeriums mit Informationen zur Arztsuche oder zu Diagnosen.

Schäfers war also gespannt, welche Anfragen bei bund.ee ankommen würden.

Menschen und Maschinen „vertippen“ sich

Dass Menschen aus Versehen versuchen würden, eine bund.ee-Adresse aufzurufen, war absehbar: Die Buchstaben D und E liegen auf den meisten Tastaturen direkt nebeneinander, schnell hat man sich vertippt und eine Mail nicht an beispielsweise „bewerbung@bmg.bund.de“, sondern „bewerbung@bmg.bund.ee“ verschickt. Das sind menschliche Fehler. Treten die nicht nur bei einmaligen Vertippern auf, sondern haben sie sich in eine Konfigurationsdatei geschlichen, besteht der Fehler permanent, solange er nicht entdeckt wird.

Aber auch Maschinen versuchen teils, die falsche Domain bund.ee zu erreichen, etwa wenn es durch eine Fehlfunktion in der Übertragung zu einem falschen Bit kommt. In ASCII-Kodierung entspricht die „00110100“ einem „d“, die „00110101“ einem „e“. Also nur das letzte Bit ist anders, ein „Bitflip“. Damit liegen „d“ und „e“ auf Bitebene ähnlich nah aneinander wie auf vielen Tastaturen.

Dass es zu einem Datenverarbeitungsfehler kommt, ein Bit „umkippt“ und dann ein Gerät die falsche Adresse ansteuert, kann unterschiedliche Ursachen haben. Große Hitze beeinträchtigt mitunter die Funktion von Computern und Bauteilen, sodass es zu Fehlern kommt. Intensive kosmische Strahlung, etwa nach Sonnenstürmen, ebenfalls. IT-Sicherheitsforscher von Cisco zeigten auf einer Konferenz im Jahr 2021, dass Bitsquatting-Domains ein Problem werden können.

Welche genauen Ursachen die Anfragen hatten, die Schäfers an bund.ee erfasste, lässt sich nicht feststellen. Sie zeigen aber: Würde ein böswilliger Angreifer Tipp- und Verarbeitungsfehler ausnutzen, sich eine entsprechende Domain registrieren und eine Weile mitlauschen, was auf der Adresse passiert, könnte er eine Menge Informationen erfahren, die nicht für ihn bestimmt sind.

So zeigte Schäfers in seinem Vortrag, dass er Anfragen von einem Webmail-System des Bundesamtes für Risikoermittlung erhielt und Hostnamen interner Systeme mitgeteilt bekam. Außer wurden offenbar Mails versucht zuzustellen – unter anderem zu bnd.bund.ee.

Probleme lassen sich vermeiden

Schäfers Sicherheitsforschung zeigt: Behörden – und andere – sollten sorgfältig mit Domains umgehen. Aus den Problemen, die er in diesem Jahr fand, lassen sich einige hilfreiche Lehren ziehen.

• Man sollte niemals Domains für Test-Accounts nutzen, die man nicht selbst kontrolliert. Die Ausnahme: explizit dafür vorgesehene Domain-Endungen oder Adressen. Dazu gehören etwa die Top-Level-Domains „.test“ oder „.example“. Auch „example.com“ kann sicher genutzt werden, da sie dauerhaft reserviert ist und nicht frei registriert werden darf. Test-Domains sollten auch sorgfältig dokumentiert, Test-Accounts regelmäßig auf notwendige Berechtigungen geprüft werden.
• Domains, die nicht mehr benötigt werden, sollten nicht einfach achtlos wieder freigegeben werden. Schon bei der Registrierung einer neuen Domain sollten öffentliche Stellen überlegen, wie sie im späteren Verlauf damit umgehen. Verweise auf die Domain müssen aus anderen Systemen entfernt werden. Ist das Risiko zu hoch, dass Dritte die Domain missbräuchlich nutzen, sollte sie dauerhaft unter Kontrolle der Behörde bleiben. Um den Umgang mit Domains zu regeln, sollte es mindestens einheitliche Handlungsempfehlungen geben. Diese fehlen Bundesbehörden-übergreifend bislang.
• Um zu vermeiden, zahllose extra registrierte Domains zu verwalten, sollten öffentliche Stellen auf Subdomains vertrauenswürdiger Adressen zurückgreifen, die eindeutig als Web-Auftritt staatlicher Institutionen zu erkennen sind. Für Bundesbelange steht dafür bund.de zur Verfügung. Die Domain gov.de ist Bestandteil einer „digitalen Dachmarke“, die auch Institutionen auf Länder- und kommunaler Ebene nutzen können. Sie ist aber noch sehr wenig verbreitet.
• Behörden sollten klassische Vertipper- oder Bitsquatting-Domains im Blick haben, Methoden zur Vermeidung entsprechender Fehler implementieren und sie gegebenenfalls auch registrieren.
• Geheimhaltung, welche Domains öffentliche Stellen nutzen, hilft nicht weiter. Sie verhindert Sicherheitsforschung und erschwert es Nutzenden zu prüfen, welche Domains zu staatlichen Stellen gehören.

Geheimhaltung löst keine Probleme

Um etwas Licht ins Dunkle zu bringen, veröffentlicht Tim Philipp Schäfers gemeinsam mit FragDenStaat nun eine Liste mit 2.000 derzeit bekannten Behörden-Domains und Subdomains: von 60-jahre-sozialstaat.de über brexit-training.it.bund.de bis punktereform.de.

Die Liste ergänzt bereits bestehende Domain-Listen, die Menschen teils mit Informationsfreiheitsanfragen erhalten hatten. Strukturiert Domains mithilfe des Informationsfreiheitsgesetzes herauszufinden, ist jedoch nicht erfolgversprechend. Das Verwaltungsgericht Köln urteilte in einem Verfahren gegen das Bundesgesundheitsministerium, dass Behörden ihre Domain-Listen nicht offenbaren müssen.

Doch auch alternative Methoden geben Informationen über die Web-Adressen des Staates: „Suchmaschinen, automatisierte DNS-Scans, Zertifikatstransparenz-Logs, Fehlkonfigurationen oder einfache Leaks führen häufig dazu, dass solche Domains früher oder später entdeckt werden“, schreibt Schäfers auf FragDenStaat. „Die Annahme, eine unbekannte Domain bleibe dauerhaft unsichtbar, ist daher realitätsfern.“

Generell lehnt er den Ansatz der Geheimhaltung ab. Die bringe keine Sicherheit vor gezielten Angriffen. „Moderne IT-Sicherheit folgt deshalb dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und ihre Adressen bekannt sind“, so Schäfers. Denn: „Sicherheit entsteht nicht durch Verbergen – sondern durch Transparenz.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Netzpolitik wird allzu oft als technische Detailfrage für Nerds verkannt. Doch dort verhandeln wir längst individuelle wie kollektive Freiheit, Hoheit und Macht. Zwischen staatlichen Kontrollansprüchen und der Dominanz globaler Techkonzerne geraten die Interessen der Nutzer:innen ins Hintertreffen.

Netzpolitik ist längst keine Nischendisziplin mehr. Sie ist zu einem Feld geworden, in dem Macht ausgeübt, verschoben und abgesichert wird. Wer reguliert, überwacht oder moderiert, entscheidet nicht nur über technische Abläufe, sondern über die Bedingungen öffentlicher Kommunikation und die Hoheit über Technologien. Netzpolitik ist Machtpolitik: Das wurde im vergangenen Jahr besonders deutlich.

Ein Blick auf die großen netzpolitischen Debatten des Jahres zeigt, wie wenig es dabei um technische Fragen im engeren Sinne geht. Abgesehen von Spartenmedien, spezialisierten Interessenvertretungen und Thinktanks spricht öffentlich kaum jemand darüber, mit welchem Werkzeug was wie umgesetzt werden kann. Stattdessen wird darüber diskutiert, wer wessen Verhalten beeinflussen, Daten nutzen und Aktivitäten beobachten darf.

Bipolare digitale Welt

2025 haben Tech-Konzerne ihre faktische Rolle als Regulierungsakteure weiter ausgebaut. Plattformen wie Meta, Google oder ByteDance entscheiden täglich über Sichtbarkeit, Reichweite und Sanktionen. Und sie haben gezeigt, wie opportunistisch die Plattformbetreiber sind, wenn es darum geht, diese Gatekeeper-Stellung und die mit ihr verbundene Macht zu erhalten. Quasi im Gleichschritt gehen sie den von Trumps neofaschistischer Administration eingeschlagenen Weg mit. Stiefel schmecken im Silicon Valley anscheinend besonders gut.

Änderungen an Empfehlungsalgorithmen, der gezielte Einsatz politischer Werbung oder die Verwendung sowie der Umgang mit generativer KI können Auswirkungen auf Wahlkämpfe und mediale Öffentlichkeit haben. Diese höchst relevanten Eingriffe in die politische Öffentlichkeit erfolgen ohne demokratische Legitimation, geleitet von den Interessen der Tech-Giganten. Staatliche Regulierung könnte dieses Problem mildern, birgt damit aber auch die Gefahr, selbst Einfluss zu nehmen, der sich von den Interessen der Bevölkerung unterscheidet oder gar zulasten der Grundrechte der Nutzer:innen geht.

Der Konflikt verläuft dabei regelmäßig nicht zwischen Freiheit und Regulierung, sondern zwischen unterschiedlichen Machtzentren. Der Kampf um die Hoheit über das Netz ist überwiegend bipolar. Staatliche Stellen versuchen, Kontrolle zurückzugewinnen, die sie im digitalen Raum verloren haben, und damit staatliche Interessen zu sichern. Das können Schutz der Nutzer:innen vor der Willkür der Plattformbetreiber auf der einen Seite, aber auch etwa die angebliche Sicherstellung der öffentlichen Ordnung durch die massenhafte Überwachung der Nutzerverhalten sein. Tech-Konzerne verteidigen ihre Deutungshoheit über Plattformregeln, Datenflüsse und Aufmerksamkeit. Primär motiviert durch ihre eigenen wirtschaftlichen Interessen und die Maximierung ihrer Profitaussichten. Dazwischen stehen die Nutzenden, deren Rechte zwar nahezu gebetsmühlenartig beschworen, aber strukturell selten abgesichert werden.

Kein Raum für Freiheitsrechte?

Wer digitale Freiheitsrechte verteidigt, gerät damit in eine doppelte Abwehrhaltung. Auf der einen Seite steht der Staat, der im Namen von Sicherheit, Ordnung, Jugendschutz oder der Bekämpfung von politischer Einflussnahme immer weitergehende Eingriffsbefugnisse fordert. In diesem Jahr wurde erneut über EU-weite Chatkontrolle, biometrische Überwachung im öffentlichen Raum und den Zugriff auf Kommunikationsmetadaten diskutiert.

Auf der anderen Seite stehen Konzerne, die sich als neutrale Infrastrukturbetreiber inszenieren, tatsächlich aber eigene Interessen verfolgen. Ihre Moderationsentscheidungen sind allzu oft intransparent, ihre Beschwerdewege ineffektiv und ihre Prioritäten wirtschaftlich motiviert. Wenn Plattformbetreiber Konten sperren, Inhalte herauf- oder herabstufen oder Nutzerdaten automatisiert entwerten, fehlt es in der Praxis an rechtsstaatlichen Garantien. Nutzer:innen sind Adressaten von Regeln, an deren Entstehung sie nicht beteiligt waren.

Wer bestimmt die Regeln?

2025 hat auch gezeigt, wie eng diese Machtfragen mit geopolitischen und wirtschaftlichen Interessen verknüpft sind. Debatten über chinesische Plattformen, europäische Souveränität oder US-amerikanische KI-Modelle sind Fragen der nationalen und globalen Sicherheit. Es geht um Kontrolle über Infrastrukturen und Technologien. Wer die Plattform betreibt, bestimmt die Regeln. Wer die Daten besitzt, kontrolliert die Auswertung. Und derjenige, in dessen Land sich die Infrastrukturen befinden, hat die Souveränität, sie zu regulieren – oder nicht.

Eine um den Erhalt von Freiheitsrechten bemühte Netzpolitik kann sich deshalb nicht mit abstrakten Bekenntnissen begnügen. Sie muss konkrete Anforderungen stellen: rechtsstaatliche Verfahren auch auf Plattformen, effektive Transparenz über algorithmische Entscheidungen, einklagbare Nutzerrechte und klare Grenzen für staatliche Überwachung. Regulierung ist notwendig, aber sie muss sich stets im rechtsstaatlichen Rahmen bewegen. Das heißt, sie muss in ständiger Abwägung der verschiedenen betroffenen Grundrechte geschehen und immer wieder neu vor den Nutzenden erklärt und gerechtfertigt werden. Und sie darf nicht an private Akteure delegiert werden, ohne demokratische Kontrolle sicherzustellen.

Das Netz ist politisch und bleibt es auch

Der Rückblick auf das Jahr 2025 zeigt vor allem eines: Die Illusion eines unpolitischen Netzes ist endgültig vorbei. Wer TikTok, Instagram, WhatsApp und Co. heute immer noch primär als Unterhaltungsprogramme für Teenager sieht, hat in den letzten zwölf Monaten nicht aufgepasst. Entscheidungen über Moderation, Sichtbarkeit und Zugriff sind politische Entscheidungen. Sie verteilen Macht zwischen Staat, Konzernen und Nutzer:innen. Wer Netzpolitik weiterhin als technische Detailfrage behandelt, überlässt diese Macht anderen.

Eine wesentliche Aufgabe besteht darin, digitale Räume so zu gestalten, dass sie demokratischer Kontrolle unterliegen, ohne staatlicher Totalaufsicht zu verfallen. Das ist kein einfacher Ausgleich, aber ein notwendiger. Denn wenn Netzpolitik Machtpolitik ist, dann ist die Frage nicht, ob Plattformen reguliert werden, sondern in wessen Interesse – und auf wessen Kosten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Uns bleiben nur noch wenige Tage, um unser Spendenziel zu erreichen. Nur dann können wir unsere Arbeit wie gewohnt auch im kommenden Jahr fortsetzen. Spende jetzt!

Zunächst einen ganz großen Dank an alle, die uns unterstützen! In den vergangenen Tagen haben wir sehr viel Zuspruch und finanzielle Unterstützung erhalten. Das ist großartig! Ihr seid die beste Community der Welt.

Bis zum Jahresende fehlen uns aber noch knapp 63.000 Euro. Nur wenn wir unser Spendenziel erreichen, können wir unsere Arbeit wie gewohnt auch im nächsten Jahr fortsetzen.

Deine Spende erreicht uns wegen der wenigen verbleibenden Bankarbeitstage vor Jahresende nur noch per:

• Echtzeit-Überweisung (IBAN: DE62 4306 0967 1149 2784 00)
• oder Paypal

Eine Spendenquittung kannst du hier anfordern.

Der Kampf für Grund- und Freiheitsrechte muss weitergehen!

Die vergangene Woche hat einmal mehr deutlich gezeigt, warum es deine Spende für netzpolitik.org dringend braucht.

• Die Trump-Regierung hat Visa-Sanktionen gegen Mitglieder eines angeblichen „globalen Zensur-industriellen Komplexes“ verhängt. Betroffen sind Menschen, die demokratisch legitimierte Gesetze gegen Tech-Konzerne verteidigen.
• Das Bundesjustizministerium hat einen Gesetzentwurf zur Vorratsdatenspeicherung veröffentlicht. Die anlasslose Massenüberwachung soll auch Internet-Dienste wie E-Mails und Messenger betreffen.
• Die CDU in Sachsen will das Polizeigesetz derart verschärfen, dass selbst der Koalitionspartner auf Distanz geht. Und das Bundesland ist bei Weitem nicht das einzige, dass die Überwachung massiv ausbauen will.

Gemeinsam mit der Zivilgesellschaft verteidigen wir die Grund- und Freiheitsrechte aller. Für ein offenes Internet und eine solidarische Gesellschaft.

Spende jetzt!

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Katsching und Klimper-klimper: Mit raffinierten Mechanismen fesseln Anbieter von Glücksspielen Menschen an die Geräte und verdienen Milliarden. In ihrem Vortrag auf dem 39C3 nimmt Forscherin Elke Smith die Tricks auseinander – und zeigt, wo Regulierung ansetzen könnte.

Die Slotmaschine rattert, blinkt und klingelt, während ihre Walzen rotieren. Die Lootbox schüttelt sich und pulsiert, als würde sie gleich explodieren, begleitet von anschwellenden Glockenklängen. Für viele Gamer*innen bedeutet das Spaß und Nervenkitzel, ob beim klassischen (Online-)Glücksspiel für Erwachsene oder in Glücksspiel-ähnlichen Games, die teils sogar für Kinder freigegeben sind.

Für die Psychologin und Neurowissenschaftlerin Elke Smith bedeutet Glücksspiel dagegen Arbeit. Denn sie erforscht an der Universität zu Köln menschliche Entscheidungs- und Lernprozesse – darunter jene Mechanismen, die beim Zocken im Hintergrund ablaufen. In ihrem Vortrag auf dem 39. Chaos Communication Congress erklärt Smith die zentralen Tricks von Glücksspiel, die sich inzwischen auch in klassischen Online-Games ausbreiten.

Geschätzt 2,4 Prozent der deutschen Bevölkerung zwischen 18 und 70 Jahren sind laut Gesundheitsministerium süchtig nach Glücksspielen, haben also eine als Krankheit anerkannte Verhaltensstörung. Derweil liegen die Umsätze für legales Glücksspiel in Deutschland bei knapp 63,5 Milliarden Euro. Dennoch kommt der Vortrag der Glücksspiel-Forscherin Smith ohne Verteufelung aus. Vielmehr umreißt sie den Graubereich zwischen Spaß und Suchtgefahr.

Deshalb macht Glücksspiel so viel Spaß

Ein besonders auffälliger Glücksspiel-Mechanismus, den Smith hervorhebt, sind audiovisuelle Effekte, die bei hohen Gewinnen noch stärker werden. Darunter fallen zum Beispiel die zu Beginn erwähnten klingelnden und glitzernden Slotmaschinen und Lootboxen. Gerade bei einem Gewinn können virtuelle Funken sprühen, Goldmünzen hageln und Fanfaren blasen. Solche Elemente sind kein bloßes Beiwerk, sondern tragen dazu bei, Menschen durch Reize zu belohnen und damit zum Weiterspielen zu motivieren.

Sogenannte Near Misses sind Fälle, in denen Spieler*innen den Eindruck bekommen, nur ganz knapp verloren zu haben, etwa wenn bei der Slotmaschine das Gewinnsymbol fast getroffen wurde. Zwar macht es finanziell keinen Unterschied, ob man knapp oder deutlich verliert – es fühlt sich aber anders an.

Ein weiterer Mechanismus, den Smith hervorhebt, sind als Verluste getarnte Gewinne, auf Englisch: losses disguised as wins. In diesem Fall bekommen Spielende einen Bruchteil ihres Einsatzes als scheinbaren Gewinn zurück, begleitet mit audiovisuellen Belohnungsreizen.

Bei der Jagd nach Verlusten („chasing losses“) versuchen Spieler*innen wiederum, das verlorene Geld aus vorigen Runden durch immer weitere Einsätze wieder zurückzuholen.

Nicht zuletzt kann sich Glücksspiel auch der sogenannten Kontroll-Illusion („illusion of control“) bedienen. Das ist eine kognitive Verzerrung: Üblicherweise können Menschen durch ihre Entscheidungen tatsächlich ihre Umwelt beeinflussen, dazu lernen und ihre Fähigkeiten verbessern. Beim Glücksspiel dagegen haben Entscheidungen oftmals keinen Einfluss auf das Ergebnis – es fühlt sich nur so an. Als Beispiel nennt Smith die Entscheidung, wann genau man bei einer Slotmaschine den Knopf drückt, um die rollenden Walzen zu stoppen.

Mechanismen breiten sich in Spiele-Apps aus

Diese und weitere Mechanismen sind nicht auf (Online-)Casinos begrenzt, sondern verbreiten sich auch in klassischen Spiele-Apps, wie Smith ausführt. Die Integration von Glücksspiel-Elementen wie Zufall, Risiko und Belohnung nennt sie „Gamblification“ – und deren Effekte hat sie selbst untersucht.

Gemeinsam mit Forschungskolleg*innen hat Smith gemessen, wie Zuschauer*innen auf YouTube-Videos reagieren, in denen Gamer*innen sich beim Öffnen von Lootboxen filmen. Solche Videos erreichen auf YouTube ein Millionenpublikum und zeigen: Glücksspiel-Mechanismen wirken möglicherweise sogar dann, wenn man anderen nur beim Spielen zuschaut.

Konkret haben die Forschenden Views, Likes und Kommentare von 22.000 Gaming-Videos mit und ohne Lootboxen miteinander verglichen. Das Ergebnis: Der Lootbox-Content hat das Publikum messbar stärker eingenommen als anderer Gaming-Content: mehr Views, mehr Likes, mehr Kommentare. „Dieses erhöhte Engagement könnte mit den Glücksspiel-ähnlichen Eigenschaften der durch Lootboxen vermittelten Belohnungsstruktur zusammenhängen“, heißt es auf Englisch in dem Paper, das im Mai 2025 beim Journal Scientific Reports erschienen ist.

Um ihre Online-Spiele zu optimieren, können Anbieter auf A/B-Testing mit großen empirischen Datenmengen zurückgreifen, erklärt Smith in ihrem Vortrag. Das heißt: Sie können Features einfach ausprobieren und messen, was am besten funktioniert. Schließlich bekommen sie täglich kostenlos neue Daten von Millionen Gamer*innen. Auf diese Weise entstehen Produkte, die von Anfang an so gestaltet sind, dass sie die Belohnungsmechanismen der Spieler*innen am besten ausnutzen. Smith nennt das „Neuroexploitation by design“.

Das sind die Ansätze für Regulierung

Gegen Ende ihres Vortags geht Smith auf Ansätze ein, um die Gefahren von Glücksspiel-Mechanismen einzudämmen. In Deutschland gibt es etwa den Glücksspielstaatsvertrag. Manche Normen zielen direkt auf Glücksspiel-Mechanismen ab: So muss bei einem virtuellen Automatenspiel etwa ein einzelnes Spiel mindestens fünf Sekunden dauern, der Einsatz darf einen Euro pro Spiel nicht übersteigen. Das soll das Feuerwerk aus Risiko und Belohnung eindämmen.

Ob Lootboxen in die Kategorie Glücksspiel fallen, beschäftigt internationale Gerichte und Gesetzgeber bereits seit Jahren. In Deutschland hatte jüngst der Bundesrat strengere Regeln gefordert. Am 21. November hielten die Länder fest, dass Lootboxen und andere Glücksspiel-ähnliche Mechanismen in Videospielen besser reguliert werden sollen, um Suchtgefahr zu reduzieren. In Belgien und den Niederlanden gibt es bereits strengere Regeln.

Auf EU-Ebene gibt es derzeit kein spezifisches Recht zur Regulierung von Lootboxen, wie die Wissenschaftlichen Dienste des Bundestags den Sachstand im Herbst 2024 zusammenfassen. Allerdings kommen je nach Kontext verschiedene EU-Gesetze in Frage, etwa das Gesetz über digitale Dienste (DSA), das manche Anbieter dazu verpflichtet, Risiken für ihre Nutzer*innen zu erkennen und zu minimieren. Derzeit plant die EU-Kommission zudem den Digital Fairness Act, der Lücken im Verbraucherschutz schließen soll.

„Ich denke, es wäre wichtig, vor allem junge Menschen vor diesen Mechanismen zu schützen“, warnt Smith mit Blick auf Glücksspiel-Mechaniken in Spielen. Damit verweist die Forscherin auf eine Leerstelle in den aktuellen Debatten um Jugendschutz im Netz, die vor allem um Alterskontrollen für soziale Medien kreisen.

Ein fertiges Regulierungs-Konzept für Glücksspiel-Mechanismen hat die Forscherin zwar nicht. In welchem Spannungsfeld man sich bei dem Thema bewegt, bringt sie jedoch in Reaktion auf eine Frage aus dem Publikum auf den Punkt: „Gibt es einen Bereich vom Spieldesign, der Spaß macht, Nervenkitzel birgt, profitabel ist für die Anbieter und im Bereich des sicheren Spielens liegt?“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das KIM-System soll garantieren, dass Ärzt:innen und Krankenhäuser geschützt sensible Gesundheitsdaten austauschen können. Auf dem Chaos Communication Congress weist der IT-Forscher Christoph Saatjohann nach, dass das System gravierende Sicherheitslücken aufweist. Verantwortlich dafür sei vor allem die Gematik.

Um Diagnosen, Laborberichte oder Therapiepläne untereinander auszutauschen, nutzen Arztpraxen und Krankenhäuser standardmäßig ein spezielles Mail-System namens „Kommunikation im Medizinwesen“, kurz: KIM.

KIM verspricht, sensible Daten verschlüsselt zu übermitteln, damit Unbefugte sie nicht abfangen und einsehen können. Doch bei der Sicherheit hapert es gewaltig, wie der IT-Sicherheitsforscher Christoph Saatjohann heute auf dem 39. Chaos Communication Congress in Hamburg zeigte. Der NDR und die Süddeutsche Zeitung hatten zuvor über die Recherchen zum Thema berichtet.

Demnach weist das KIM-System seit Jahren gravierende Sicherheitslücken auf. Mit geringem Aufwand können Angreifer unter anderem gefälschte Mail-Adressen anlegen und damit vermeintlich seriös wirkende Nachrichten versenden. Auf diese Weise lassen sich Praxissysteme infiltrieren, um beispielsweise Patient:innendaten zu stehlen.

Unsichere Kommunikation mit beliebiger Adresse

KIM wurde 2021 bundesweit eingeführt, etwa 100 Millionen Nachrichten werden jedes Jahr über das System verschickt. Neben der elektronischen Patientenakte (ePA) und dem E-Rezept gilt der Dienst als weitere wichtige Säule des digitalen Gesundheitswesens.

Um einen sicheren Nachrichtenversand zu gewährleisten, versieht KIM Nachrichten mit einer digitalen Signatur. Diese bestätigt dem Empfänger, dass die Nachricht tatsächlich über das System verschickt wurde. Allerdings besteht laut Saatjohann keine Sicherheit darüber, ob der Absender der ist, der er vorgibt zu sein.

Um eine KIM-Mail-Adresse bei einem KIM-Fachdienst wie T-Systems registrieren zu lassen, braucht es aktuell nur einen Ausweis für eine medizinische Einrichtung, eine sogenannte SMB-C-Karte. Auf eine solche Karte haben mehrere hunderttausend Menschen im Gesundheitswesen Zugriff. Und auch auf eBay würden diese Ausweise hin und wieder verkauft, sagt Saatjohann.

Liegt eine solche Karte vor, können Angreifer eine beliebige Mail-Adresse nach einem bestimmten Muster erstellen: namederpraxis.ort@anbieter.kim.telematik. Die gewünschten Adressen werden nicht auf Plausibilität geprüft. Das Ergebnis ist Saatjohann zufolge vergleichbar mit einem versiegelten Brief, bei dem der Absendername aber falsch sein kann. Angreifer könnten die gefälschte Absender-Adresse dazu nutzen, echt erscheinende Mails zu versenden, die Schadsoftware oder Phishing-Links enthalten.

Gematik hat nachlässig geprüft

Saatjohann sieht die Verantwortung für die Lücken vorrangig bei der Gematik. Die staatseigene GmbH ist für die Spezifikation und Prüfung des KIM-Systems verantwortlich. Und die hier vorgegebenen Sicherheitsstandards habe die Agentur offenkundig nicht ausreichend überprüft, so Saatjohann.

Am 15. September übermittelte der IT-Forscher der Agentur seine Funde. Knapp zwei Monate später veröffentlichte die Gematik einen sogenannten Hotfix, der viele der aufgezeigten Sicherheitslücken schließt. Nach eigenen Angaben arbeitet die Gematik daran, die weiteren Lücken ebenfalls zu schließen. Auch T-Systems habe Saatjohann über die Lücken informiert, das Unternehmen habe bis zum heutigen Tag aber nicht reagiert.

Es werde noch dauern, bis alle Praxen die Sicherheitsupdates eingespielt haben. Vor allem aber sei es weiterhin mit geringem Aufwand möglich, eine eigene Mail-Adresse für das KIM-System zu erhalten, ohne dass diese auf Plausibilität geprüft wird. Ein Angreifer kann sich also auch weiterhin als eine behandelnde Person seiner Wahl ausgeben. „Ich sehe keine Möglichkeit, das schnell zu verbessern“, sagt Saatjohann. „In der aktuellen Architektur ist das kaum lösbar und deshalb bleibt eine Restunsicherheit.“ Um diese zu beseitigen, müsse wohl das gesamte KIM-System überholt werden.

Erneut Versäumnisse bei der Gematik

Auf dem diesjährigen 39C3 stellt sich damit einmal mehr die Frage, wie sicher unsere Patient:innendaten sind.

Schon im vergangenen Jahr stand die Gematik massiv in der Kritik. Im Dezember 2024 hatten die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich Schwachstellen bei der elektronischen Patientenakte (ePA) vorgestellt.

Die Agentur versprach daraufhin, die Lücken zu schließen. Doch im Mai dieses Jahres konnten die beiden Fachleute in Zusammenarbeit mit Saatjohann erneut Zugriff auf die digitalen Patientenakten erlangen. Und bis heute sind nicht alle der damals aufgezeigten Sicherheitslücken bei der ePA geschlossen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 52. Kalenderwoche geht zu Ende. Wir haben 11 neue Texte mit insgesamt 96.189 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

ich hoffe, ihr hattet schöne und erholsame Weihnachtsfeiertage – ganz egal, ob ihr sie im großen Zu- und Angehörigenkreis verbracht habt, oder ungestört mit Fuchs und Hase in einer einsamen Hütte.

Der verlangtermaßen besinnlichen Weihnachtszeit folgen regelmäßig die Vorbereitungen auf einen lauteren Jahreswechsel mit Knallen und Tösen. Und im Fall vieler Team-Mitglieder auch ein Besuch auf dem Chaos Communication Congress in Hamburg, der heute beginnt.

Die Vorträge könnt ihr auch vom heimischen Sofa aus verfolgen, aber ich freue mich jedes Jahr darauf, auch physisch vor Ort zu sein. Ich bin schon gespannt, wie die vielen Helfenden auch dieses Jahr wieder ein gradliniges Kongresszentrum in einen bunten, magischen Nerdtraum verwandelt haben.

Aber es sind vor allem die Begegnungen mit alten und neuen Bekannten, wegen derer ich mich aus der Jahresend-Plätzchen-Lethargie zu lösen gewillt bin und lieber in neuen Eindrücken bade als dem bewährten Fichtennadel-Badeöl. Es kommen dort Menschen aus ganz unterschiedlichen Ecken der digitalen und analogen Welt zusammen und sie alle haben spannende Gedanken und Geschichten zu teilen. Oft gehe ich dann mit dutzenden Ideen für neue Recherchen nach Hause, die den Beginn einer langen To-do-Liste fürs nächste Jahr darstellen.

Ich bin sicher, auch dieses Mal werden am Ende mehr Ideen als Tage im neuen Jahr auf der Liste landen. Was muss sich eurer Meinung nach im nächsten Jahr unbedingt jemand anschauen? Welche Themen gehen bei uns und anderswo viel zu sehr unter? Was habt ihr euch schon immer gefragt?

Wenn ihr eure Fragen und Ideen teilen wollt, freue ich mich auf eure Rückmeldung. In den Kommentaren, per Mail oder in den nächsten Tagen bei einer Mate auf dem 39C3.

Kommt gut durch die letzten Tage des Jahres!

anna

PS: Um unsere Arbeit zu finanzieren, fehlen uns dieses Jahr noch knapp 99.000 Euro. Falls ihr uns unterstützen wollt, könnt ihr das hier tun.

Geschichten aus dem DSC-Beirat : Zwischen Vergeltungsdrohungen und Australiens Jugendschutz-Experiment

Auch wenn es zwischenzeitlich keine Sitzung des DSC-Beirats gab, hat sich beim Thema Plattform-Regulierung einiges getan. Zeit für ein Update und einen Appell fürs nächste Jahr. Von Svea Windwehr –
Artikel lesen

2025: Das Jahr in Zahlen

Fast Tausend Texte, 47 Mal Donald Trump und 18 Grünpflanzen: In unserem traditionellen Jahresrückblick in Zahlen geht es um die ganz harten Fakten, die nicht immer so ganz ernst genommen werden sollten. Von Anna Biselli –
Artikel lesen

Anlasslose Speicherung: Justizministerium veröffentlicht Gesetzentwurf zur Vorratsdatenspeicherung

Die Bundesregierung will Internet-Zugangs-Anbieter verpflichten, IP-Adressen aller Nutzer für drei Monate zu speichern. Das geht aus dem Gesetzentwurf zur Vorratsdatenspeicherung hervor, den das Justizministerium veröffentlicht hat. Das Gesetz betrifft auch Internet-Dienste wie E-Mails und Messenger. Von Andre Meister –
Artikel lesen

Ein-/Ausreisesystem: Neue EU-Superdatenbank startet mit Ausfällen und neuen Problemen

Systemausfälle, eine unvollständige Umsetzung in Italien und den Niederlanden sowie ungeklärte Sonderregeln für Militärs und Milliardäre überschatten den Start des neuen Ein-/Ausreisesystems der EU. Nun beginnt die zweite Einführungsphase. Von Matthias Monroy –
Artikel lesen

Ausländerzentralregister: Ein Datentrog wächst weiter

Fast jedes Jahr erweitert die Regierung das Ausländerzentralregister, eine der größten Datensammlungen des Bundes. Nun sollen Volltext-Dokumente in der Sammlung landen, die zur Identitätsklärung beitragen könnten – egal ob Heiratsurkunde oder Arbeitsvertrag. Außerdem will die schwarz-rote Regierung Fingerabdrücke länger speichern. Von Anna Biselli –
Artikel lesen

Netzpolitischer Jahresrückblick: Was uns im Jahr 2025 umgetrieben hat – und weiter begleiten wird

Ein aufreibendes Jahr geht zu Ende. Was hat einzelne Redakteur*innen in den vergangenen Monaten umgetrieben? Was hat sie 2025 begeistert, bewegt und frustriert? Und was steht im kommenden Jahr für sie an? Einige Resümees aus der Redaktion. Von netzpolitik.org –
Artikel lesen

Sanktionen gegen HateAid-Führung: Die Bundesregierung muss jetzt scharf protestieren

Die USA belegen Menschen mit Sanktionen, weil sie demokratisch legitimierte Gesetze gegen Tech-Konzerne verteidigen. Das erfordert eine klare Antwort aus Europa. Es geht um die Souveränität der EU, Gesetze selbst zu gestalten, und um die Freiheit der europäischen Zivilgesellschaft. Ein Kommentar. Von Markus Reuter –
Artikel lesen

Chaos Communication Congress: netzpolitik.org auf dem 39C3

Beim 39. Chaos Communication Congress sind auch Redakteur*innen und Autor*innen von netzpolitik.org auf der Bühne. Lest hier, wie ihr die Vorträge vor Ort oder per Stream verfolgt – und wann ihr die Redaktion persönlich vor Ort treffen könnt. Von Sebastian Meineck –
Artikel lesen

Chaos Communication Congress: Talk-Tipps für die Zeit zwischen den Jahren

Auch wer kein Ticket für den 39C3 bekommen hat, kann zuschauen. Das Programm auf den großen Bühnen beschäftigt sich mit allerlei Themen, von der elektronischen Patientenakte bis zu Bikesharing und dem Darknet. Unsere Streaming-Highlights des Jahresendes. Von Chris Köver –
Artikel lesen

Komoot: Wie Kapital die Community in die Irre führt

Der enttäuschende Verkauf der beliebten Outdoor-App Komoot Anfang 2025 verdeutlicht die Unvereinbarkeit von Tech-Kapital und echter Community. Eine Analyse der ausbeuterischen Beziehung zwischen Plattform und Nutzerschaft liefert Impulse, wie eine nachhaltige, gemeinschaftliche Routen-Plattform aussehen müsste. Von Gastbeitrag, Joshua Meissner –
Artikel lesen

Deutschland-Stack: Open Source vor verschlossenen Türen

Das Digitalministerium will beim Deutschland-Stack möglichst zügig vorankommen und ist dafür offenbar zu weitgehenden Zugeständnissen bereit. Fachleute kritisieren den intransparenten Konsultationsprozess und warnen davor, dass Tech-Konzerne bei der Verwaltungsdigitalisierung noch mehr an Einfluss gewinnen. Von Esther Menhard –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Digitalministerium will beim Deutschland-Stack möglichst zügig vorankommen und ist dafür offenbar zu weitgehenden Zugeständnissen bereit. Fachleute kritisieren den intransparenten Konsultationsprozess und warnen davor, dass Tech-Konzerne bei der Verwaltungsdigitalisierung noch mehr an Einfluss gewinnen.

Der Deutschland-Stack ist eines der größten Digitalisierungsvorhaben im schwarz-roten Koalitionsvertrag. Auch in ihrer Modernisierungsagenda beschreibt die Bundesregierung den D-Stack als entscheidende Technologie-Plattform, um die öffentliche Verwaltung zu digitalisieren.

Ein Technologie-Stack enthält in der Regel mehrere Komponenten, um Software zu entwickeln, zu betreiben und zu warten. Dazu gehören unter anderem Werkzeuge für die Entwicklung: Programmiersprachen, Datenbanken und Schnittstellen. Laut Agenda soll der Deutschland-Stack eine einheitliche IT-Infrastruktur bereitstellen, auf der die Verwaltung zum Beispiel Basisdienste betreibt, etwa Systeme, über die Wohngeld verrechnet wird oder das Begleichen von anfallenden Gebühren.

Allerdings ist weiterhin unklar, was den Stack im Detail ausmachen soll. Fest steht bislang nur: Die Zivilgesellschaft soll bei dem Thema offenbar nicht groß mitreden. Und auch das Thema Open Source kommt allenfalls am Rande vor. Profitieren könnten davon ausgerechnet die Tech-Konzerne, auch wenn deren Angebote die Anforderungen an die digitale Souveränität kaum erfüllen können.

Intransparenz und geringes Interesse an der Zivilgesellschaft

Dass viele Fragen noch offen sind, zeigt auch der Konsultationsprozess zum Stack, den das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) organisierte. Bei dem Beteiligungsverfahren konnten Verbände, Organisationen, Unternehmen und Privatpersonen ihre Vorschläge und Anforderungen zu bestimmten Vorhaben einreichen. Die einzelnen Stellungnahmen und Rückmeldungen sind über die Plattform openCode öffentlich einsehbar – als ganze Konsultationsbeiträge von öffentlichen IT-Dienstleistern, Nicht-Regierungs-Organisationen und privaten Herstellern oder als Anregungen zu einzelnen Fragen. So wies der Verband Green Software auf die Umweltbelastung durch Software hin und Dirk Gernhardt vom IT-Referat München fragt: Sollten konkrete Produkte und Technologien in Vergabeverfahren verbindlich gefordert werden können, „liefert der Deutschland-Stack dafür den rechtlichen Rahmen“?

Parallel zu dem Verfahren fanden geschlossene Workshops mit ausgewählten Beteiligten statt. Thilak Mahendran von der Agora Digitale Transformation kritisiert (PDF), dass das BMDS weder die Teilnehmenden noch die Ergebnisse dieser Workshops bislang transparent gemacht hat. „Dies widerspricht dem Anspruch eines offenen Verfahrens.“ Auch habe das Ministerium die Zivilgesellschaft nicht aktiv in den Beteiligungsprozess einbezogen, so Mahendran gegenüber netzpolitik.org. Über Wochen habe das Stichwort „Zivilgesellschaft“ auf der Website zum D-Stack gefehlt.

Neben Mahendran war auch die ehemalige Bundestagsabgeordnete und Digitalaktivistin Anke Domscheit-Berg zu einem Workshop zum Thema Open Source eingeladen, den die Open Source Business Alliance (OSBA) auf eigene Initiative am 5. Dezember in den Räumlichkeiten des BMDS veranstaltete. Unter den Teilnehmenden waren Open-Source-Unternehmer*innen sowie Vertreter*innen aus Zivilgesellschaft, von Open-Source-Stiftungen, aus der Politik und von Behörden sowie zwei Vertreter*innen aus dem Digitalministerium.

Allerdings scheint das Ministerium diesem Workshop nicht allzu große Bedeutung beizumessen. Auf einer Konferenz des Hasso-Plattner-Instituts Anfang Dezember habe Staatssekretär Markus Richter davon gesprochen, dass der Beteiligungsprozess zum Deutschland-Stack abgeschlossen sei, erinnert sich Anke Domscheit-Berg gegenüber netzpolitik.org. „Da hatte der Workshop der OSBA noch gar nicht stattgefunden.“

Schwammige und unverbindliche Kriterien

Außerdem ist weiterhin offen, welche Dienste und Cloud-Angebote in den Stack aufgenommen werden und welche nicht. Dafür brauche es klare Vorgaben, einschließlich roter Linien, de Mindeststandards definieren müssen, so Domscheit-Berg. Bislang seien die vorgegebenen Kriterien aber nicht nur schwammig, unambitioniert und teils sogar kontraproduktiv für das Ziel digitaler Unabhängigkeit, sondern außerdem auch noch unverbindlich formuliert: „Durch das Fehlen einer Bewertung entlang der Kriterien ist kein Ausschluss vom Tech-Stack gegeben“, heißt es im entsprechenden Dokument.

Der überschaubare Kriterien-Katalog soll demnach nur einen Eindruck darüber vermitteln, ob und inwiefern die fragliche Technologie für den Stack etwa digital souverän, interoperabel und vertrauenswürdig ist.

Ob eine Software oder Cloud-Lösung digital souverän ist, lässt sich laut Katalog entlang von sechs Stufen kategorisieren. Die Mindestestufe 0 erfüllt ein Angebot nur dann, wenn es Nutzenden ermöglicht, „mit überschaubarem Aufwand“ zu einer „vergleichbaren Alternative“ zu wechseln. Können die Nutzenden Einfluss darauf nehmen, wo Daten gespeichert werden, sei die Lösung zu 20 Prozent digital souverän (Stufe 1). Erlaubt das Angebot es darüber hinaus, Einfluss „auf den Anbieter oder zur aktiven Teilnahme an der Community“ zu nehmen, sei sie zu 40 Prozent digital souverän. Die höchste Stufe 5 erreicht eine Lösung, wenn sie „die Möglichkeiten zum vollumfänglichen Einfluss“ beinhaltet. Der Kriterien-Katalog schweigt sich darüber aus, worin diese Möglichkeiten bestehen.

Ohne eine klare Zielvorstellung davon, was digitale Souveränität „im Kontext des Deutschland-Stacks konkret bedeutet“, könne das Kriterium jedoch nicht „zweckdienlich“ umgesetzt werden, hält eco, der Verband für Internetwirtschaft, in seiner Stellungnahme zum Deutschland-Stack (PDF) fest. Dabei sei grundsätzlich fraglich, ob digitale Souveränität den anderen Kriterien gleichgestellt sein sollte.

Vorrang von Open Source ist gesetzlich vorgeschrieben

Die öffentliche Vergabe an sogenannte Hyperscaler, die große Rechenzentren und eine flexible Skalierung etwa von Cloud-Diensten anbieten. reguliert der Katalog nicht. Dabei wird digitale Souveränität in der Regel auch als technologische Unabhängigkeit von Big Tech verstanden. Ebensowenig räumt Stack offener Software verbindlich Vorrang ein, wie es etwa das E-Government-Gesetz des Bundes (EGovG) tut.

Das EGovG regelt die rechtlichen Rahmenbedingungen für die Digitalisierung der Bundesverwaltung. Dort heißt es konkret: „Die Behörden des Bundes sollen offene Standards nutzen und bei neu anzuschaffender Software Open-Source-Software vorrangig vor solcher Software beschaffen, deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt.“

Dennoch gebe es immer wieder Ausschreibungen explizit für Hyperscaler, so Domscheit-Berg. Ein Beispiel dafür sei die aktuelle Ausschreibung des Bundesministeriums für Wirtschaft und Energie für Clouddienste von Amazon, die beim Betrieb der deutschen Forschungszentrale zum Einsatz kommen sollen. Der Deutschland-Stack müsse so etwas künftig verhindern. Andernfalls riskiere man, dass sich Konzerne wie Microsoft, Amazon und Google im Stack fest einrichten und sich so die technologische Abhängigkeit von ihnen verfestigt. „Wenn man den Deutschland-Stack abschalten kann, zwingt man die öffentliche Verwaltung in die Knie“, warnt Domscheit-Berg.

Marktrelevanz ist dem Digitalministerium wichtig

Das Digitalministerium will die Angebote der Tech-Konzerne für den Deutschland-Stack aber offenbar nutzen. Heiko Hartenstein, Referent und Leiter Architekturmanagement Dienstekonsolidierung im Digitalministerium, räumt dem Kriterium der Marktrelevanz klar Vorrang ein. Das Ministerium verfolge das Ziel, „möglichst schnell und einfach digitale Angebote zu schaffen“. Dabei gehe es darum, „das abzuholen, was schnell verfügbar ist“, so Hartenstein beim Workshop der OSBA. Gerade Hyperscaler könnten hier punkten.

Das Digitalministerium will nun bis Mitte Februar die Ergebnisse der Konsultation und der Workshops auswerten und das Konzept des Deutschland-Stacks überarbeiten. Spätestens dann wird sich wohl zeigen, ob sich das Ministerium die Kritikpunkte aus dem Workshop zu Open Source zu Herzen nimmt oder nicht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der enttäuschende Verkauf der beliebten Outdoor-App Komoot Anfang 2025 verdeutlicht die Unvereinbarkeit von Tech-Kapital und echter Community. Eine Analyse der ausbeuterischen Beziehung zwischen Plattform und Nutzerschaft liefert Impulse, wie eine nachhaltige, gemeinschaftliche Routen-Plattform aussehen müsste.

Dieser Artikel erschien zuerst in längerer Form und auf Englisch bei BIKEPACKING.com

Der Verkauf der beliebten Outdoor-App Komoot im März diesen Jahres traf die europäische Outdoor-Community aus heiterem Himmel. Entgegen aller Beteuerungen der Komoot-Chefs wurde die Plattform, mit der sich Wanderungen oder Radausflüge planen lassen, ohne Vorwarnung an das Tech-Konglomerat Bending Spoons aus Italien übertragen. Die sechs Gründer zogen sich mit dem Löwenanteil des 300-Millionen-Euro-Deals zurück, während die etwa 150 Angestellten und 45 Millionen Nutzer:innen um ihren bisherigen Traumjob und ihre Plattform bangten.

Über 80 Prozent der Angestellten wurden umgehend entlassen, was langjährige Mitarbeitenden mir gegenüber als „grausamen Verrat“ bezeichneten. Viele hatten Abstriche beim Gehalt hingenommen und waren aufs Land oder in die Berge gezogen, um sich der Arbeit in der „Komoot-Familie“ voll hinzugeben. Geschockt, wütend und traurig mussten sie sich nun im schlechten Arbeitsmarkt nach neuer Lohnarbeit umschauen – teils auch um ihre Aufenthaltstitel zu behalten.

Die Nutzer:innen meldeten ihre Empörung in Kommentarspalten und den sozialen Medien. Denn für viele war Komoot kein austauschbares Tool, sondern ein liebgewonnenes Erinnerungsbuch für ihre besonderen Naturerlebnisse und Urlaube. Und auch sie waren maßgeblich am Erfolg von Komoot beteiligt, denn es waren ihre Planungen, GPS-Aufzeichnungen und Reisedokumentation, die die Plattform mit Leben füllten.

Komoots Erfolg basiert auf diesem Nutzerdatenschatz: aufgezeichnete Routen, Punkte, Fotos und Notizen, sogenannter User-Generated Content, werden verarbeitet und anderen Menschen auf der globalen Karte, in Collections und in persönlichen Feeds dargestellt. So werden kurze oder auch längere Abenteuer ins Grüne vereinfacht, was wieder zu mehr Nutzer:innenaktivität führt und die Plattform somit attraktiver macht.

Kaltes Business hinter freundlichem Grün

Spätestens mit dem Verkauf offenbarte sich jedoch hinter Komoots freundlichem Grün kaltes Business As Usual. In der offiziellen Pressemeldung zu dem Verkauf beschreibt Ex-CEO Markus Hallermann Bending Spoons als „perfekten Partner, um Komoot in die Zukunft zu führen“ – eine Zukunft, die ohne die Angestellten und der Community entschieden wurde, die die Plattform groß gemacht haben und an ihrem Fortbestand interessiert waren. Die neuen Eigner in Mailand äußerten sich „enthusiastisch über das zukünftige Wachstumspotenzial“, sprich den Ausblick auf noch größere Profite. Die Angestellten wurden in der Pressemitteilung nicht erwähnt. Der Ausverkauf offenbart die Prekarität von Angestellten und Community, wenn diese nicht die Kontrolle über ihr Unternehmen und ihre Plattform haben.

Der Fall Komoot ist jedoch weder einzigartig, noch ist er als moralisches Versagen gieriger Gesellschafter zu verstehen. Vielmehr ist er Ausdruck eines kapitalistischen Systems, das solche Verrate an der Community laufend und unweigerlich wiederholt. Die Nutzer:innen von Couchsurfing, Reddit und Twitter können ein Lied davon singen. Und ob nun Komoot, Strava, AllTrails, RideWithGPS: Alle kommerziellen Anbieter im umkämpften Markt sind gezwungen, mittels ihrer Nutzer:innen und deren Inhalten maximalen Profit zu machen.

Wie genau beuten kommerzielle Plattformen wie Komoot ihre Nutzer:innen aus? Und was können wir aus dem Fall Komoot lernen für den Aufbau nachhaltiger digitaler Plattformen, die tatsächlich langfristig für die Community funktionieren?

Die unnachhaltige Datenmühle

Komoot ist ein Paradebeispiel des perfiden Wirkprinzips geschlossener, kommerzieller Plattformen. Komoot zieht Wanderer, Radsportler:innen, und Radreisende an, indem es vorgefertigte „Inspiration“, praktische Routenempfehlungen, und Turn-by-Turn-Anweisungen in einem Google-Maps-ähnlichen Dienst vereint.

Viele mächtige Funktionen der App ließen sich kostenfrei nutzen, die Weltkarte ließ sich mit einer Einmal-Zahlungen von 30 Euro dauerhaft freischalten. Ein Abo gab es auch, es schaltete lediglich Zusatz-Features wie Wetter-Infos und 3D-Karten frei.

In einem Interview offenbarte Hallerman 2023, dass Komoots Umsatz sich zu etwa gleichen Anteilen aus Abos und Einmalzahlungen von neuen Nutzer:innen zusammensetzte, während Einnahmen durch Fremdwerbung nur einen geringen Anteil ausmachten. Somit musste Komoot ständig neue Nutzer:innen anziehen und neue Märkte erschließen, um im Geschäft zu bleiben. Wachstum ist also nicht bloß kapitalistische Ideologie, sondern finanzieller Zwang.

Entsprechend setzten die Komoot-Chefs, wie so oft bei Tech-Plattformen, den Fokus der Entwicklung darauf, die Nutzer:innenzahl und das Engagement auf der Plattform zu steigern. Das hat jedoch Grenzen, irgendwann sind alle möglichen Nutzer:innen einer Zielgruppe erreicht. 2024 hatte Komoot bereits 40 Millionen registrierte Nutzer:innen, das Wachstum des Unternehmens verlangsamte sich bedrohlich. Ein weiterer Grund für die Gründer, die unnachhaltige Firma abzustoßen?

Community oder „Community“?

Um Engagement zu fördern und ganze Nutzer:innengruppen einzufangen, manipulieren Tech-Firmen besonders gern das menschliche Bedürfnis, Teil einer Gemeinschaft zu sein und ihr beizutragen. So auch bei Komoot. Aber wenn wir etwas zu einer „Community“ oder besser gesagt einem Kundenstamm wie auf Komoot beisteuern, leisten wir vor allem auch unbezahlte Arbeit für das Wachstum der Plattform. Ein Mitbestimmungsrecht darüber, wie die Plattform funktioniert, haben wir nicht. Nutzer:innen zahlen sogar für das Vergnügen. Daran verdienen, das tun andere.

Das und der Ausverkauf von Komoot verdeutlichen unmissverständlich, dass eine solche „Community“ mehr Schein als Sein ist. Diese ausbeuterische Beziehung zwischen Nutzer:innen und Plattform ähnelt der Beziehung zwischen Arbeitskräften und Kapital, in der Bosse private Profite erwirtschaften, indem sie enormen Mehrwert von Arbeiter:innen abschöpfen.

Eine echte Community kann als Gruppe verstanden werden, die durch ein Commons verbunden ist, ein gemeinsames materielles oder immaterielles Gut. Bei Wanderern, Radsportlern, und Radreisenden stellen geteilte Strecken, bemerkenswerte Landmarken, Fotos und Ortswissen ein wichtiges Commons dar. Sie sind Grundlage für neue Unternehmungen und Veranstaltungen, die Menschen zusammenbringen, menschliche Beziehungen gedeihen lassen und zum Beitragen motivieren.

Plattformen wie Komoot stellen aber kein Commons dar, da keine gemeinschaftliche Kontrolle über die Plattform besteht. Kein Commons, keine echte Community. Kapital eignet sich das produktive Commons an und macht das gemeinschaftliche Gut zu privatem Profit. Dieser Vorgang bei Komoot und anderen digitalen Plattformen kann als digitale Einhegung betrachtet werden.

Ob digital oder physisch, die Einhegung ist oft fatal für die Vielfalt des Commons und schwächt das gesamte Ökosystem. Geschlossene Plattformen wie Komoot verhindern, dass der kommunale Datenschatz kreativ umgenutzt wird, beispielsweise für spezialisierte Tools und Datensätze für bestimmte Sportarten und Regionen. Er kann nicht in große digitale Commons wie Wikipedia oder OpenStreetMap einfließen, wovon noch viel mehr Menschen profitieren würden.

Zwischen der erklärten Mission, leichten Zugang zur freien Natur zu ermöglichen, und der exklusiven Nutzung entstandener Daten liegt ein eklatanter Widerspruch.

Ähnlich sieht es bei Komoots Kerntechnologie aus, die hauptsächlich auf Open-Source-Projekten beruht. Ohne die Leaflet-Karte, die Graphhopper-Routing-Engine und OpenStreetMap-Daten würde Komoot nicht existieren, jedoch werden die internen Weiterentwicklungen nicht grundsätzlich veröffentlicht. So bedient sich der Tech-Sektor immer gerne am Open-Source-Commons, ohne nennenswert zurückzugeben. Projekte, deren Bestand kritisch für allerlei Infrastruktur ist, bleiben oft chronisch unterfinanziert.

Operation Enshittification

Dem Ausverkauf der Komoot-Nutzerschaft wurden eigentlich schon mit der Aufnahme von Wagnis- und Bankkapital bei der Firmengründung die Weichen gestellt. Damit sind maximale Rendite und lukrativer Exit für die Investoren als oberste Ziele festgelegt. Der Zwang zur kurzfristigen Steigerung des Unternehmenswert seitens des Managements stellt einen fundamentalen Widerspruch mit langfristiger Stabilität und Nutzwert für Angestellte und Nutzer:innen dar.

Der Verlauf dieses Konflikts wird gut durch die Enshittification-Theorie nach Cory Doctorow erklärt. Sie beschreibt den Verlauf kommerzieller Plattformen von nutzerfreundlichen Anfängen bis hin zum Raubbau der Plattform zur Maximierung von Profit und Unternehmenswert.

In der Anfangsphase hatten es Komoot-Nutzer:innen verhältnismäßig gut. Eine erschwingliche Einmalzahlung für ein Kartenpaket, subventioniert durch ihre Daten, schaltete nützliche Funktionen dauerhaft frei. Die Leidenschaft der Angestellten für die Mission hinderte die Bosse daran, Features durchzusetzen, die die Nutzererfahrung sehr beeinträchtigen würden. Es gab zwar Ausnahmen wie die Flutung von Suchergebnissen mit zehntausenden KI-generierten Routen fragwürdiger Qualität. Es wurden jedoch keine Nutzerdaten verkauft und die Werbung im Feed war moderat.

Mit der Entlassung der meisten Angestellten fällt diese Gegenmacht weg. Die neuen Eigner können die Plattform auf pures Rent-Seeking ausrichten – die direkte Ausbeutung der gefangenen Nutzer:innen. Eine implizite Übereinkunft zwischen Plattform und Nutzer:innen wird zunehmend zugunsten der Eigner verändert, während sich die Nutzererfahrung auf der Plattform immer weiter verschlechtert.

Auch wenn es sich noch nicht unmittelbar in der Nutzererfahrung niederschlägt, Komoot ist im Zuge der Enshittification wie schon die Bending-Spoons-Zukäufe WeTransfer und Evernote. Überall in der App und auf der Webseite wird die kostenfreie Nutzung mit „kreativer“ Reibung verschlechtert, wie es schon bei WeTransfer geübt wurde. Komoot-Nutzer:innen werden zu teureren wöchentlichen Abos getrieben. Die Produktverbesserungen und das überfällige UI-Facelift, die in den letzten Monaten ausgerollt wurden, ändern nichts am Zwang zur maximalen Rendite.

Die Endphase, in der die Plattform bis auf den letzten Cent ausgequetscht wird, steht wohl noch bevor. Der monatliche Abopreis wurde bereits von 4,99 Euro auf 6,99 Euro erhöht – bei Evernote stieg der Preis nach der Übernahme schrittweise fast auf das Doppelte. Mehr gesponsorte Inhalte und Werbung im Produkt sind bewährte Mittel, um mehr Gewinn zulasten der Nutzererfahrung zu erwirtschaften. KI-generierte Inhalte – die weitere Entfremdung von anderen Menschen und der Natur liegen auf der Hand.

Im Endstadium der Enshittfication versuchen das Unternehmen, die Nutzer:innen so lange wie möglich am Abwandern zu hindern, um ihren Profit zu maximieren. Soziale Medien nutzen dafür Netzwerkeffekte, die bei Komoot aber weniger stark ausgeprägt sind. Stattdessen hält Komoot die persönlichen, teils umfangreichen Planungen und Dokumentationen von Reisen effektiv zurück. Ein nativer Batch-Datenexport wurde nach der Übernahme entfernt. Der Datenexport nach DSGVO ist praktisch unbrauchbar, da nicht im menschenlesbaren Format. Nutzer:innen müssen sich mit Export-Tools aus der Community behelfen, um ihre Daten aus den Klauen der Plattform zu retten.

Der Weg nach vorne

Komoot ist kein Einzelfall, sondern eine erneute Mahnung, dass geschlossene Plattformen unter der Kontrolle weniger Bosse langfristig nicht für echte Gemeinschaften funktionieren. Denn Unternehmen hegen ein, beuten aus und verkaufen die Community, trotz bester Absichten von Angestellten und möglicherweise manchen Eignern. Von der nächsten kommerziellen Routen-Plattform, die Komoot den Rang ablaufen will, ist nichts anderes zu erwarten. Tech-Kapital hat in unseren Gemeinschaften nichts zu suchen.

Stattdessen benötigen wir quelloffene, unkommerzielle Routen-Plattformen. Echte Community-Plattformen müssen sich der Profitlogik entziehen und vollständig unter der Kontrolle der Betreiber:innen, Entwickler:innen und Nutzer:innen stehen, damit ein Ausverkauf niemals möglich ist und die Plattform langfristig und nachhaltig gedeihen kann. Das Fediverse mit Mastodon, Matrix, Pixelfed und Co. macht es vor: ein wachsendes Ökosystem offener Protokolle und verteilter Diensten, das sich der Einhegung durch das Tech-Kapital widersetzt. Die dezentralisierte Routen-Plattform Wanderer.to ist ein Vorreiter in diesem Sinne, zwar noch unausgereift, aber Komoot wurde auch nicht an einem Tag gebaut. Wir brauchen diverse offene Werkzeuge und Plattformen für viele Nischen, die zusammen durch Föderation und Interoperabilität aufblühen.

Der Kampf um die Datenhoheit und unsere Plattformen ist freilich nicht wichtiger als andere Kämpfe wie gegen die Klimakatastrophe und weitere Krisen. Aber wie Cory Doctorow auch schreibt: „Freie, faire, offene Technologie ist notwendig, um diese anderen Kämpfe zu gewinnen. Den Kampf für bessere Technologie zu gewinnen wird nicht diese anderen Probleme lösen, aber den Kampf für bessere Technologie zu verlieren löscht jede Hoffnung aus, diese wichtigeren Kämpfe zu gewinnen.“

Als erfahrener Radreisender schreibt Joshua Meissner unter anderem für BIKEPACKING.com. Seine Recherchen, Profile und Essays begleitet er mit seiner Fotografie. Er studiert Mensch-Technik-Interaktion im Master Human Factors an der TU Berlin. Erreichbar ist Josh unter hello@joshuameissner.de.

Korrekturhinweis: Wir haben die Passage zur Nutzererfahrung und Bezahlschranken zu Navigationsgeräten richtiggestellt und aktualisiert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Auch wer kein Ticket für den 39C3 bekommen hat, kann zuschauen. Das Programm auf den großen Bühnen beschäftigt sich mit allerlei Themen, von der elektronischen Patientenakte bis zu Bikesharing und dem Darknet. Unsere Streaming-Highlights des Jahresendes.

Die Tickets für den Chaos Communication Congress sind auch dieses Jahr wieder ausverkauft. Das Programm auf den drei Hauptbühnen könnt ihr aber auch von zu Hause verfolgen. Unsere Favoriten für ein ausgewogenes Unterhaltungsprogramm zwischen den Jahren haben wir hier für euch zusammengestellt.

Wie immer gilt: Diese Sammlung ist garantiert unvollständig, denn selbst auf den Hauptbühnen findet schon mehr statt, als wir in diesem Überblick unterbringen konnten. Wir empfehlen daher, diese Auswahl mit einem Blick ins Gesamtprogramm zu ergänzen.

Auch Menschen aus unserer Redaktion werden wieder auf der Bühne stehen, podcasten und über ihre Recherchen aus dem vergangenen Jahr sprechen. Eine Übersicht über die netzpolitik.org-Talks haben wir an anderer Stelle für euch zusammengestellt.

• Tag 1: Samstag, der 27. Dezember
• Tag 2: Sonntag, der 28. Dezember
• Tag 3: Montag, der 29. Dezember
• Tag 4: Dienstag, der 30. Dezember

Tag 1: Samstag, der 27. Dezember

Los geht es mit einem Aufreger-Thema: Den derzeitigen Versuchen, im Namen des Jugendschutzes das Netz zu regulieren – von der Chatkontrolle bis zu verpflichtenden Altersüberprüfungen. Kate Sim arbeitet seit Jahren zum Thema, zuletzt etwa im Safety-Team von Google, und verspricht in ihrem Vortrag „Not an Impasse: Child Safety, Privacy, and Healing Together“ Lösungen vorzustellen, die nicht das Wohl von Kindern gegen die Rechte von Erwachsenen ausspielen.

Die Omnibus-Gesetze der EU laden nicht nur zur vielen, wirklich vielen lustigen Wortspielen ein. Sie bergen auch große Gefahren für digitale Grundrechte. Der Vortrag „Throwing your rights under the Omnibus“ von Thomas Lohninger und Ralf Bendrath erklärt, welche Auswirkungen das Gesetzespaket mit dem euphemistischen Namen „Digital Simplification Package“ haben würde – und verspricht doch einen hoffnungsvollen Ausblick.

Neurowissenschaftlerin Elke Smith erforscht an der Universität Köln, was sich bei Glücksspiel im Gehirn abspielt und wie sich die Branche das zunutze macht. Im Talk „Neuroexploitation by Design“ spricht sie über die offenen und verdeckten Mechanismen, die Glücksspielprodukte einsetzen, um das Belohnungssystem zu aktivieren und welche Folgen das haben kann.

Es gibt bekanntlich fast nichts, was sich mit „KI“ nicht vermeintlich lösen ließe, etwa die Krise des deutschen Gesundheitssystems. Manuel Hofmann von der Deutschen Aidshilfe knöpft sich in seinem Talk die techgläubigen Heilserzählungen vor und fragt, was es statt Selbstoptimierung und „KI-Assistent*innen“ tatsächlich bräuchte.

Eine „wilde, unterhaltsame Fahrt“ verspricht Katika Kühnreich zu einem erstmal eher bedrückenden Thema: die Zusammenhänge zwischen der Macht von Tech-Bros und Faschismus. Auch eine Betrachtung von Widerstandsmöglichkeiten soll in ihrem Talk „All Sorted by Machines of Loving Grace?“ nicht fehlen.

Christoph Saatjohann ist Professor für eingebettete und medizinische IT-Sicherheit und hat vor zwei Jahren mehrere Schwachstellen im Kommunikationsdienst im Medizinwesen KIM aufgedeckt. Nun schaut er wieder auf die Telematikinfrastruktur und offenbar ist er fündig geworden. Die Fundstücke zeigt er in „KIM 1.5: Noch mehr Kaos In der Medizinischen Telematikinfrastruktur (TI)“.

Tag 2: Sonntag, der 28. Dezember

Christiane Mudra inszeniert ihre Arbeiten sonst in Form von „investigativem Theater“. Ihr Vortrag „freiheit.exe – Utopien als Malware“ basiert auf den Recherchen für ihr gleichnamiges Stück und dreht sich um die ideologischen Wurzeln der Tech-Oligarchen – von Transhumanismus und Neo-Eugenik bis zur „Akzeleration als politische Strategie“.

Ministerien und Behörden lassen ihre offiziellen Domains manchmal einfach auslaufen, so dass sich andere diese sichern können. Was soll da schon schief gehen? Was schief gegangen ist, darüber spricht der Sicherheitsforscher Tim Philipp Schäfers von Mint Secure im Talk „Was alte Behördendomains verraten“.

Juchu, Abgeordnete packen aus. Anna Kassautzki saß für die SPD von 2021 bis 2025 im Bundestag – auch im Digitalausschuss. Ihre Mitarbeiterin Rahel Becker ebenso. Jetzt erklären sie im Talk „Power Cycles statt Burnout“, wie politische Einflussnahme auf Entscheidungen wirklich funktioniert und was zivilgesellschaftliche Organisationen daraus ableiten sollten, wenn sie ihre Energie effizient einsetzen wollen.

Hoffnung auf die Kraft sozialer Bewegungen verspricht auch der Beitrag von Mustafa Mahmoud Yousif. Im Vortrag „Hatupangwingwi: The story how Kenyans fought back against intrusive digital identity systems“ geht es um die kolonialen Wurzeln von Identifikationssystemen und den Widerstand der kenianischen Zivilgesellschaft gegen die Datenbank Huduma Namba.

In „Current Drone Wars“ beleuchtet Leonard Veränderungen in der Kriegsführung mit Drohnen: von den großen und schwerfälligen Apparaten des US-amerikanischen „War on Terror“ zu den billig produzierten Massendrohnen des Ukraine-Krieges. Mittlerweile mischen auch deutsche Rüstungskonzerne und -Start-ups im Geschäft mit dem Kriegsgerät der Zukunft mit.

Tag 3: Montag, der 29. Dezember

Jürgen Bering und Simone Ruf von der Gesellschaft für Freiheitsrechte berichten davon, wie die NGO für strategische Klagen seit ihrer Gründung vors Bundesverfassungsgericht und andere Rechtsprechungsorgane zieht. In „Hacking Karlsruhe – 10 years later“ geht es um Erfolge, Fehlentscheidungen und was sich daraus lernen lässt.

Künstlerin Esther Mwema spricht über Unterseekabel und andere Internetinfrastrukturen in Afrika als Schauplätze des digitalen Kolonialismus: „Undersea Cables in Africa: New Frontiers of Digital Colonialism“.

Forschende haben sich Bikesharing-Daten vorgenommen und zwar jede Menge davon. Im Talk „What Makes Bike-Sharing Work?“ fragen sie: Was können wir aus 43 Millionen Kilometern an Bikesharing-Fahrten aus 268 europäischen Städten für eine zeitgemäße Mobilitätsplanung lernen?

Hannah Vos und Vivian Kube arbeiten als Anwältinnen für die Transparenzplattform FragDenStaat. In ihrem Beitrag sezieren sie, wie „Neutralität“ zu einem neuen Kampfbegriff wurde. „Zivilcourage kann nicht neutral sein – und soll es auch nicht“, sagen die beiden und erklären, warum das so ist.

Im letzten Jahr sorgten die von Bianca Kastl und Martin Tschirsich vorgestellten Sicherheitsprobleme bei der elektronischen Patientenakte für Aufregung. Ein Jahr später blickt Bianca zurück, was seit dem Talk und der tatsächlichen Einführung der ePA für alle passiert ist – in „Schlechte Karten – IT-Sicherheit im Jahr null der ePA für alle“.

Informatiker Rainer Rehak spricht über die automatisierten Zielsysteme des israelischen Militärs und warum IT-Fachleute dazu nicht schweigen sollten. Es geht unter anderem um das Völkerrecht, sogenannte Künstliche Intelligenz und die Verantwortung großer Tech-Konzerne: „Programmierte Kriegsverbrechen? Über KI-Systeme im Kriegseinsatz in Gaza und warum IT-Fachleute sich dazu äußern müssen“.

Laufen auf .onion-Seiten im Darknet vor allem kriminelle Aktivitäten oder findet sich da die letzte Bastion der Freiheit? Selbst in wissenschaftlichen Papern widersprechen sich die Zahlen extrem. Tobias Höller leuchtet aus, wie das zu interpretieren ist.

„Ein analoger Überwachungskrimi mit sauberen Städten, lichtscheuen Elementen, queerem Aktivismus, und kollektiver Selbstorganisation“ verspricht Simon Schultz in seinem Vortrag zu einem Überwachungssystem in Hamburger Toiletten aus den 1980ern, das vor allem auf queere Menschen abzielte.

Tag 4: Dienstag, der 30. Dezember

Wir haben immer wieder über Linas Recherchen zur CUII, der Clearingstelle Urheberrecht im Internet, berichtet. Auf dem Congress stellt sie gemeinsam mit Elias Zeidler alias Northernside im Talk „Wie Konzerne heimlich Webseiten in Deutschland sperren“ die neuesten Entwicklungen in der Causa CUII vor.

Was hat KI mit Gaskraftwerken zu tun? Das erklären Friederike Karla Hildebrandt von Bits und Bäume und Moritz von urgewald in ihrem Vortrag „Fossile Industrie liebt KI“.

Mit Hilfe der YouTube-Datenspende von 1.064 Dänen haben Forschende untersucht, wie die Plattform ihre Besuche beeinflusst. Es geht aber auch um europäische Regeln, die Wissenschaftler:innen mehr Zugang zu Daten geben sollten, aber in der Praxis noch nicht ausreichend funktionieren: „We, the EU, and 1064 Danes decided to look into YouTube“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Beim 39. Chaos Communication Congress sind auch Redakteur*innen und Autor*innen von netzpolitik.org auf der Bühne. Lest hier, wie ihr die Vorträge vor Ort oder per Stream verfolgt – und wann ihr die Redaktion persönlich vor Ort treffen könnt.

Unter dem Motto „Power Cycles“ startet am Samstag, 27. Dezember, der aktuelle Chaos Communications Congress. Mit dabei im vielfältigen Programm sind auch Menschen von netzpolitik.org. Lasst euch auf den aktuellen Stand unserer Recherchen bringen, blickt mit uns hinter Kulissen unserer Arbeit und trefft uns, wenn ihr mögt, persönlich!

Und selbst wenn ihr nicht in Hamburg dabei sein könnt: Die meisten Vorträge gibt es auch als Livestream und wenig später als Aufzeichnung unter media.ccc.de.

Tag 1: Handy weg bis zur Ausreise

📌 Samstag, 27.12., 17:15 Uhr, Ground
🔗 Handy weg bis zur Ausreise – Wie Cellebrite ins Ausländeramt kam

Seit Jahren schreibt netzpolitik.org-Redakteurin Chris Köver über Migrationskontrolle und deren Auswüchse. Im Jahr 2024 fingen deutsche Ausländerbehörden damit an, Smartphones von ausreisepflichtigen Menschen nicht nur zu durchsuchen, sondern gleich ganz zu behalten. In ihrem Vortrag schildert Chris die Konsequenzen für Betroffene und zeigt Beispiele für Widerstand.

Tag 1: Chatkontrolle – Ctrl+Alt+Delete

📌 Samstag, 27.12., 20:30 Uhr, One
🔗 Chatkontrolle – Ctrl + Alt + Delete

Wohl kaum jemand in Deutschland hat so viele Artikel über die Chatkontrolle geschrieben wie netzpolitik.org-Redakteur Markus Reuter. Gemeinsam mit CCC-Sprecherin Khaleesi berichtet er von den überraschenden Wendungen im langen Kampf gegen die Chatkontrolle. Wieso sind jetzt sogar Unions-Fraktionsvorsitzender Jens Spahn (CDU) und der Chef der deutschen Polizeigewerkschaft, Rainer Wendt, gegen diese Form der Überwachung? Und was passiert als nächstes in der EU?

Tag 2: Off/On – der netzpolitik.org-Podcast live

📌 Sonntag, 28.12., 12:30 Uhr, Sendezentrum Bühne (Saal X 07)
🔗 netzpolitik.org Off/On: Off The Record live

Seid live dabei, wenn die neueste Folge unseres Podcasts Off/On entsteht, und zwar mit einer Ausgabe „Off The Record“, in der wir euch hinter die Kulissen von netzpolitik.org mitnehmen, um unsere Arbeit transparent zu machen. Als Host wird euch netzpolitik.org-Redakteur Ingo Dachwitz begrüßen. Eingeladen sind Chris Köver, Esther Menhard und Markus Reuter. Sie sprechen über ihre Recherchen des Jahres: Wie sind sie vorgegangen, welche Hindernisse mussten sie überwinden? Und: Was haben die Recherchen ausgelöst?

Tag 2: Triff die netzpolitik.org-Redaktion vor Ort

📌 Sonntag, 28.12., 13:30 Uhr, vor dem Sendezentrum (Saal X 07)

Gut möglich, dass ihr während eurer Touren auf dem Congress ohnehin Mitgliedern der Redaktion begegnet. An diesem festen Termin habt ihr aber auf jeden Fall Gelegenheit, einige Redakteur*innen persönlich kennenzulernen oder wiederzusehen. Direkt im Anschluss zur Podcast-Aufzeichnung. Kommt gerne auf ein Getränk vorbei und schnappt euch ein paar Sticker!

Tag 3: Blackbox Palantir

📌 Montag, 29.12., 20:30 Uhr, One
🔗 Blackbox Palantir

Auch für deutsche Polizeibehörden analysiert Software des US-Unternehmens Palantir Daten. Dabei sind deren genaue Funktionsweisen unklar, die Nähe zur inzwischen rechtsradikalen US-Regierung verschärft die Bedenken. Mit Verfassungsbeschwerden engagieren sich Gesellschaft für Freiheitsrechte (GFF) und Chaos Computer Club (CCC) gegen den Einsatz von Palantir, unter anderem in Hessen, Hamburg und Bayern. Den Stand der Dinge schildern netzpolitik.org-Redakteurin und CCC-Sprecherin Constanze Kurz sowie GFF-Juristin Franziska Görlitz.

Tag 4: Security Nightmares

📌 Dienstag, 30.12., 14:45 Uhr, One
🔗 Security Nightmares

Gegen Ende des Congress ist es wieder Zeit für Facepalm-Momente: Es geht um Albträume der IT-Sicherheit, um „fieseste Angriffe“ und „teuerste Fehler“. Auch ein Ausblick auf das Jahr 2026 wird gewagt, präsentiert von Constanze Kurz und Ron.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die USA belegen Menschen mit Sanktionen, weil sie demokratisch legitimierte Gesetze gegen Tech-Konzerne verteidigen. Das erfordert eine klare Antwort aus Europa. Es geht um die Souveränität der EU, Gesetze selbst zu gestalten, und um die Freiheit der europäischen Zivilgesellschaft. Ein Kommentar.

Am Dienstagabend hat das US-Außenministerium Visa-Sanktionen gegen Mitglieder eines angeblichen „globalen Zensur-industriellen Komplexes“ verhängt. Der bekannteste Sanktionierte ist der frühere EU-Kommissar Thierry Breton, der eine tragende Rolle für den europäischen Digital Services Act (DSA) spielte.

Daneben gehören die Gründerin des britischen Global Disinformation Index (GDI), Clare Melford, und der Gründer des in Großbritannien und USA tätigen Center for Countering Digital Hate (CCDH), Imran Ahmed, zu denjenigen, die künftig Einreisebeschränkungen für die USA unterliegen. In Deutschland haben die USA mit Anna-Lena von Hodenberg und Josephine Ballon die Geschäftsführerinnen von HateAid sanktioniert.

Feindlicher Akt gegen europäische Souveränität

Die Sanktionen erfüllen zwei Funktionen: Sind sind einerseits ein feindlicher Akt gegen die europäische Gesetzgebung des Digital Services Acts, dem auch die US-amerikanischen Tech-Konzerne unterworfen sind. Die EU-Verordnung enthält vor allem für sehr große Tech-Konzerne zahlreiche Pflichten: etwa zu Moderation und Transparenz, zur Löschung illegaler Inhalte oder dem Schutz von Nutzer:innen vor manipulativem Design.

Diese Gesetzgebung versuchen die mittlerweile sehr nahe an den autoritären Trump gerückten Tech-Milliardäre von Musk bis Zuckerberg schon seit Langem und nun mit verstärkter Hilfe der Trump-Regierung zu attackieren. Früher mit massiver Lobbyarbeit in Brüssel, jüngst auch mit Zoll-Drohungen und jetzt mit Sanktionen gegen zivilgesellschaftliche Organisationen, die die Umsetzung des DSA mitgestalten.

Es handelt sich bei den jetzigen Sanktionen um einen direkten Angriff auf die Souveränität Europas, selbst digitale Märkte zu regulieren und die eigenen Gesetze gegen Konzerne auch durchzusetzen. Die Sanktionen sind Angriff auf die Rechtsstaatlichkeit, denn nichts anderes ist die Durchsetzung von Recht und Gesetz.

Bestrafung und Einschüchterung

Die zweite Ebene ist die Bestrafung, Markierung und Einschüchterung politischer Gegner:innen. Die jetzt durch ihre Mitglieder sanktionierten Nichtregierungsorganisationen sind alle gegen Hassrede, illegale Inhalte und Desinformation tätig. Natürlich sind solche Organisationen denjenigen ein Dorn im Auge, deren Aufstiegs- und Machterhaltungsstrategie auf Hass, Lügen und Desinformation aufbaut. HateAid ist nicht umsonst hierzulande ein Lieblingsgegner der rechtsradikalen AfD und ihrer rechtskonservativen Steigbügelhalter.

Während US-Präsident Trump in den USA mit der New York Times die renommierteste Zeitung des Landes zum „Gegner des Volkes“ deklariert und die „Einschläferung“ des Satirikers Stephen Colbert fordert, malen er und seine Anhänger:innen das Schreckgespenst eines allmächtigen europäischen Zensurapparates an die Wand. Gleichzeitig übernehmen Trump-Getreue die US-Medienlandschaft und ein regierungsnahes global agierendes autoritäres Netzwerk von Tech-Konzernen hat sich gebildet. Die Realität ist also: Die Meinungsfreiheit ist in den USA in Gefahr – und weniger in Europa.

Bei den jetzt verhängten Einreiseverboten für die Betroffenen dürfte es nicht bleiben. Die Mitarbeitenden von HateAid wurden als „radikale Aktivisten“ klassifiziert, die ihre Organisationen als Waffe einsetzen würden. Es kann gut sein, dass die Organisationen ihre Social-Media- und sonstigen Accounts bei US-Konzernen verlieren könnten. Die Sanktionen gegen HateAid sind als Drohung gegen alle zu verstehen, die sich kritisch mit US-amerikanischen Tech-Konzernen auseinandersetzen.

Jetzt scharf und entschieden protestieren

Gegen das Vorgehen der US-Regierung müssen die Bundesregierung und die EU-Kommission scharf und entschieden protestieren. Es geht dabei um nicht weniger als die europäische Unabhängigkeit, selbst über die hier geltenden Gesetze zu entscheiden. Es geht darum, dass wir in der EU mit unseren 450 Millionen Einwohner:innen selbst aushandeln, welche Regeln bei uns gelten. Und dass wir uns nicht alles von den Konzernen der Oligarchen gefallen lassen, auch wenn diese bei Donald Trump auf dem Schoß sitzen.

Neben der europäischen Souveränität geht es auch darum, hier tätige zivilgesellschaftliche Organisationen in ihrer Handlungsfreiheit zu schützen. Sonst müssen in Zukunft alle möglichen Akteure damit rechnen, von den USA bestraft zu werden, wenn dies der autoritären Führung der USA und ihren Oligarchen nicht in den Kram passt. Es geht also um nicht weniger als um die politische und wissenschaftliche Freiheit unserer Zivilgesellschaft.

Jetzt sind also Bundeskanzler Merz und Kommissionspräsidentin von der Leyen gefragt, deutliche Worte und eine politische Antwort zu finden, damit dieser Präzedenzfall der Einschüchterung nicht unerwidert bleibt. Auch wenn heute Heiligabend ist.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ein aufreibendes Jahr geht zu Ende. Was hat einzelne Redakteur*innen in den vergangenen Monaten umgetrieben? Was hat sie 2025 begeistert, bewegt und frustriert? Und was steht im kommenden Jahr für sie an? Einige Resümees aus der Redaktion.

Es wäre allzu leicht, auf das zurückliegende Jahr zu blicken und ein negatives Fazit zu ziehen. In den USA regiert ein rechtsradikaler Präsident – im engen Schulterschluss mit Tech-Milliardären. Die EU-Kommission will Verbraucher*innenrechte aussetzen, um den KI-Hype zu nähren. Und in Deutschland schleift die schwarz-rote Regierung die Grund- und Freiheitsrechte – und die Brandmauer gleich mit.

Gleichzeitig aber ist die (digitale) Zivilgesellschaft laut und deutlich vernehmbar – obwohl es zahlreiche Versuche gibt, sie einzuschüchtern und ihr den Geldhahn abzudrehen. Und sie führt dabei nicht nur Abwehrkämpfe, in denen sie Errungenschaften erfolgreich verteidigt. Sondern sie schafft weiterhin Räume, in denen viele Menschen zusammen für eine bessere und solidarische Zukunft kämpfen.

Auch wir haben uns am Anfang des Jahres gefragt, wie sich das verschärfte politische Klima auf unsere Arbeit auswirken wird. Einige Mitglieder unserer Redaktion ziehen im Folgenden ihr ganz persönliches Fazit. Welche Themen haben sie 2025 begeistert, bewegt und umgetrieben? Und worauf richten sie im kommenden Jahr den Blick?

Anna Biselli: „Seit sich eine schwarz-rote Koalition gefunden hat, ist die Schlagzahl von Gesetzesverschärfungen hoch“

Das Jahr 2025 begann mit einer vorgezogenen Bundestagswahl. Das hat nicht nur uns ganz schön auf Trab gehalten. Wir haben Wahlprogramme seziert, geschaut, wie die großen Plattformen mit politischer Werbung umgehen, und die Zivilgesellschaft gefragt, was sie sich eigentlich für die nächste Legislatur wünscht.

Gerade diese Zivilgesellschaft geriet aber schon vor dem Wahlsieg der Union in den Fokus. Denn gleichzeitig zum Wahlkampf entstand eine unsägliche Neutralitätsdebatte. Als eine ihrer letzten Amtshandlungen in der Noch-Opposition griff die Unionsfraktion mit 551 Fragen eine ganze Latte von Organisationen an, die ihr offenbar nicht neutral genug waren. Ein Vorbote auf das, was uns erwartet hat: Kritische Stimmen sind offenbar unerwünscht. Der Kurs stand klar auf Law-and-Order-Politik.

Seit sich eine schwarz-rote Koalition gefunden hat, ist die Schlagzahl von Gesetzesverschärfungen hoch. Nicht nur in der Bundespolitik, wo viele Vorschläge zu einem neuen Sicherheitspaket oder zur Vorratsdatenspeicherung in den Startlöchern stehen. Auch die Länder ebnen den Weg für Software von Palantir und mehr biometrische Überwachung.

Mich persönlich beschäftigen neben den „großen“ Ausweitungen von Polizeibefugnissen die Bereiche, wo Gesetze ohne öffentlichen Aufschrei verschärft und entmenschlicht werden: etwa beim Umgang mit psychisch erkrankten Personen oder Asylsuchenden.

Das werde ich auch im kommenden Jahr eng begleiten. Denn immer noch wird über mehr Datenaustausch von Menschen geredet, die wegen einer Erkrankung als vermeintliches Risiko markiert werden. Und 2026 steht auch die deutsche Umsetzung des Gemeinsamen Europäischen Asylsystems bevor, mit dem das Asylrecht in der EU wie nie verschärft wird. Einen Entwurf zum erneuten Ausbau des Ausländerzentralregisters hat die Bundesregierung kurz vor Jahres Ende auch noch auf den Tisch gelegt. Doch das ist sicher noch nicht das Ende.

Bevor es allzu düster wird, ein letzter Blick auf etwas, das mich begeistert hat: das zivilgesellschaftliche Engagement gegen eine verpflichtende Chatkontrolle, das am Ende zu einem Teilerfolg geführt hat. Es war beeindruckend zu sehen, was passieren kann, wenn so viele mit ganz unterschiedlichen Hintergründen gemeinsam für etwas kämpfen. Das sollte man sich als Beispiel merken, wenn mal wieder alles aussichtslos erscheint.

Sebastian Meineck: „Was wir als Redaktion entgegenhalten, ist Aufklärung“

Das netzpolitische Jahr habe ich als verstörend finster erlebt. Während in anderen Jahren noch die Freiheit von Memes das große Ding war, steht 2025 für mich im Zeichen von grassierendem Faschismus, sowohl in den USA als auch in Deutschland. Oft unter Einsatz von Überwachungstechnologie entsteht eine zunehmend menschenfeindliche Umwelt, in der sich Hass und Ausgrenzung ausbreiten. Das ist nicht die von Fortschritt und Verständigung geprägte Zukunft, die ich vor Augen hatte, während ich als kleiner Junge Star Trek geschaut habe.

Exemplarisch für das finstere Jahr finde ich die Nachricht von Schergen der rechtsradikalen US-Abschiebebehörde ICE, die zur Umsetzung der von Donald Trump ausgerufenen Massendeportationen Menschen auf offener Straße zu biometrischer Gesichtserkennung nötigen. Das und mehr landet täglich in unseren Newsticker.

Was wir als Redaktion entgegenhalten, ist Aufklärung, die bestenfalls Leser*innen aktiviert und Änderungen anstößt. Keine Recherche hat mich 2025 so lange beschäftigt wie die Databroker Files. Zum zweiten Jahr in Folge haben unter anderem mein Kollege Ingo und ich immer tiefer gegraben. Wir haben herausgearbeitet, wie tiefgehend die Massenüberwachung durch die Werbeindustrie die Privatsphäre von uns allen bedroht – und obendrein die nationale Sicherheit. Eines kann ich versprechen: 2026 kommt noch mehr.

Im nächsten Jahr werde ich außerdem weiter mit meiner Kollegin Chris verfolgen, wie Alterskontrollen im Namen des Jugendschutzes die Grundrechte von Jugendlichen und Erwachsenen einschränken. Während Regierungen in Großbritannien, Australien und den USA zunehmend strengere Altersschranken hochziehen, will sich zumindest die Bundesregierung ein Jahr Zeit nehmen, um eine Expert*innen-Kommission auf Antwortsuche zu schicken. Ich bin überzeugt: Statt massenhafter Kontrollen sollte Jugendschutz sichere digitale Räume schaffen. Hoffentlich wird 2026 das Jahr, in dem das bei allen ankommt.

Ingo Dachwitz: „2025 war ein absolutes Databroker-Jahr“

2025 war ein absolutes Databroker-Jahr. Wir haben unsere Recherchen zusammen mit Partnern wie WIRED aus den USA, LeMonde aus Frankreich und natürlich dem BR aus Bayern vorangetrieben. Das ging im Januar gleich mit einem Highlight los: Wir haben über mehr als 40.000 Apps geschrieben, die in den Handel mit unseren Werbedaten verwickelt sind. Im Februar konnten wir eine Firma aus Litauen ans Licht zerren, die im System des Datenhandels mutmaßlich eine wichtige Rolle spielt. Unsere Berichterstattung über eine von Deutschlands beliebtesten Apps, WetterOnline, führte direkt zu Konsequenzen der Aufsichtsbehörde. Im November haben wir dann die EU-Kommission in Aufregung versetzt, indem wir demonstrierten, wie sich mit Werbedaten Spitzenpersonal der EU ausspionieren lässt.

Persönlich habe ich mich sehr gefreut, dass ich an die Arbeit zu meinem Buch über digitalen Kolonialismus auch auf netzpolitik.org anknüpfen konnte, vor allem in Form von Interviews mit Aktivist*innen aus dem globalen Süden. So zum Beispiel mit der Anwältin Mercy Mutemi zur Ausbeutung von Datenarbeiter*innen, mit der Künstlerin Esther Mwema über Unterseekabel, mit der Aktivistin Nighat Dad über den Brüssel-Effekt und mit dem Menschenrechtler Christian Rumu über globale Lieferketten.

Richtig schön ist es, wenn unsere Arbeit ausgezeichnet wird. Das war dieses Jahr für die „Databroker Files“ beim European Press Prize und beim Datenschutzmedienpreis der Fall. Unser Podcast „Systemeinstellungen“ erhielt zudem eine späte Ehrung mit dem Rainer-Reichert-Preis zum Tag der Pressefreiheit. Noch viel schöner als jeder Preis: Das Verfassungsgericht hat entschieden, dass die Hausdurchsuchung bei Journalist Fabian Kienert aus unserem Podcast verfassungswidrig war!

Apropos Podcast: Eine Überraschung in 2025 war für mich unser Hintergrund-Podcast Off the Record. Wir haben nur ein paar kleine Änderungen an der Struktur vorgenommen und ein bisschen an unseren Rollen geschraubt, und schon macht der Podcast gleich noch viel mehr Spaß.

Eine Überraschung der anderen Art bescherte uns die EU-Kommission zum Jahresende: Die Datenschutzgrundverordnung soll geschliffen werden. Ansätze zur Verbesserung des Datenschutzes sucht man vergebens, stattdessen gehts nur um Deregulierung und Wirtschaftsförderung. Dass die Kommission im Bereich KI ausgerechnet Konzernen wie Meta Geschenke macht, die in diesem Jahr viele Leute mit der ungefragten Verwendung ihrer Daten für KI-Training gegen sich aufbrachten, setzt dem Ganzen die Krone auf. Die Debatte wird in 2026 weiter an Fahrt aufnehmen – wir bleiben dran.

Constanze Kurz: „Die öffentliche Debatte um Palantir ist erfreulicherweise überaus kritisch geworden“

Der seit Jahren gärende Streit um die Zusammenarbeit der Polizeien mit Palantir hat 2025 eine Wendung genommen, die mich überrascht und auch gefreut hat: Seit die Folgen von Donald Trumps zweiter Amtszeit deutlicher erkennbar sind, ist die öffentliche Debatte um den US-Tech-Konzern überaus kritisch geworden und geht nun weit über ein paar Interessierte hinaus. Mit Sicherheit werden mich Palantir und auch die automatisierte Datenanalyse weiter beschäftigen.

Vielleicht war ich übermäßig naiv, aber ich setzte Anfang des Jahres einige Hoffnungen auf den neuen Digitalminister Karsten Wildberger. Durch den hohen Digitalisierungsleidensdruck, den die Deutschen mittlerweile fast so pflegen wie ihren Unmut über die Verspätungen der Deutschen Bahn, hatte ich den Eindruck, dass die Zeit reif sein könnte für ein wirkliches Umdenken. Aber jeglicher Hoffnungsschimmer war schon nach den ersten Reden des Ministers dahin. Er singt nur das uralte Lied von der Innovationsbremse Datenschutz und hat zugleich bei Fragen der IT-Sicherheit eine auffällige Leerstelle. Zuletzt jubilierte er über die angeblichen Segnungen der „Künstlichen Intelligenz“ ohne einen Anflug von Skepsis.

Offenbar geht das anhaltende Tamtam um „Künstliche Intelligenz“ vielen technisch interessierten Menschen gehörig auf den Zeiger, mir auch. Trotzdem erscheint es mir unerhört wichtig, an der öffentlichen Diskussion um KI mitzuwirken und sich verfestigenden Bullshit nicht unwidersprochen zu lassen. Dass der riesige Ressourcenverbrauch generativer KI keine bloße Fußnote ist, sondern ein noch anschwellendes Problem, dessen Größe richtig eingeordnet werden muss, motiviert mich dazu, mich dem Thema weiter zu widmen. Mein Eindruck ist zudem, dass wir im neuen Jahr auch die informationelle Selbstbestimmung auf dem KI-Schlachtfeld werden verteidigen müssen. Denn mit der Wucht, mit der die US-Konzerne gerade allen Leuten überall KI-Anwendungen reindrücken, dürften sich auch die neuen KI-Geschäftsmodellideen zeigen.

Martin Schwarzbeck: „Im kommenden Jahr werde ich mir wohl wieder einen Haufen Polizeigesetze anschauen“

Dieses Jahr war ich an zwei Recherchen beteiligt, die mich extrem gefesselt haben: Einmal ging es um mSpy. Eine Spionage-App, die Menschen einsetzen, um ihre Partner*innen zu überwachen – und die gerne möchte, dass netzpolitik.org für sie wirbt. Das andere Thema war die Überwachung von Bargeldströmen anhand von Geldschein-Seriennummern. Etwas, von dem ich zuvor nicht gedacht hätte, dass es das gibt.

Begeistert haben mich 2025 die Abiturientin Lina, die die Unterhaltungsindustrie vor sich hertreibt, indem sie sich gegen Netzsperren engagiert, und Thorsten Müller, der der Welt seine Stimme geschenkt hat. So wie auch die vielen Freiwilligen, die in Repair-Cafes Dinge vor dem Müll retten, oder die Digital-Lots*innen, die in Berlin dafür sorgen, dass technisch unbedarfte Menschen nicht den Anschluss an die Gesellschaft verlieren.

Schön fand ich auch, wie die Diskussion um technologische Unabhängigkeit der Debatte über freie und offene Software neuen Schwung gab. Und dass Meta erstinstanzlich dazu verurteilt wurde, mir wegen Verletzung meiner Privatsphäre 250 Euro zu zahlen. Außerdem habe ich gerne gesehen, wie der Streik der TikTok-Moderator*innen den Konzern letztlich zu weitreichenden Zugeständnissen zwang.

Extrem unangenehm fand ich, dass Hamburg KI-gestützte Verhaltenserkennung in seine Videoüberwachung aufgenommen hat, obwohl die Technologie noch lange nicht marktreif ist – und dafür auch noch Technologie von einem Konzern verwendet, der für Menschenrechtsverletzungen bekannt ist und sich außerdem erlaubt hat, KI-Systeme mit personenbezogenen, nichtanonymisierten Daten zu trainieren. Und dass zahlreiche Bundesländer diesem Vorbild gefolgt sind oder dies planen.

Hessen hat zudem dieses Jahr als erstes Bundesland (nach dem Test am Berliner Südkreuz) eine Live-Gesichtserkennung installiert. Auf der Innenministerkonferenz wurde Anfang Dezember deutlich, dass sich auch dafür eine Menge Länder interessieren, Sachsen zum Beispiel, wo außerdem Drohnen künftig Jagd auf Menschen machen sollen, die am Steuer telefonieren.

Am drastischsten anschaulich wurde der Trend zum extrem invasiven Polizeigesetz in Berlin, dem ehemals legendär freiheitlichen Bundesland, wo die Polizei künftig Videodrohnen und Verhaltensscanner einsetzen soll und in Wohnungen einbrechen darf, um Staatstrojaner zu installieren.

Im kommenden Jahr werde ich mir wohl wieder einen Haufen Polizeigesetze anschauen. Baden-Württemberg will den Einsatz von Verhaltensscannern entgrenzen, zahlreiche Bundesländer werden Live-Gesichtserkennung weiter verfolgen. Ich will das kritisch begleiten.

Chris Köver: „Ich werde weiter auf die Menschengruppen schauen, die von Rechtsextremen zum Feindbild gemacht werden“

Wenn ich auf dieses Jahr zurückschaue, kommt es mir vor, als wären es eher zwei gewesen. Es ist einfach sehr viel passiert. Anfang des Jahres steckten mein Kollege Martin und ich mitten in den Recherchen zur Spionage-App mSpy, mit der Menschen ihre Partner*innen überwachen. Diese Recherche barg viele böse Überraschungen und wir konnten stellenweise kaum fassen, wie die Mitarbeitenden im Kundendienst die Menschen bei ihren Taten auch noch unterstützten.

Begeistert hat mich in diesem Jahr vor allem, dass ich bei der historischen Pride-Demonstration in Budapest dabei sein konnte. Eine Demo, die die ungarische Regierung mit aller Kraft verhindern wollte. Ich hatte im Vorfeld darüber geschrieben, wie die Regierung mit dem Einsatz von Gesichtserkennung Teilnehmende einschüchtern wollte. Erreicht hat sie das Gegenteil. Es wurde zur größten Pride in der ungarischen Geschichte und zur Demonstration gegen Orbáns Politik der Ausgrenzung. Mit Hunderttausenden durch die Stadt und über die Donaubrücke zu ziehen – das hat mir sehr viel Energie gegeben für alles, was danach noch kam.

Denn die Rechte von queeren und trans* Menschen werden ja nicht nur in Ungarn angegriffen. Mein Dämpfer des Jahres: dass Deutschland zwar das Selbstbestimmungsgesetz verabschiedet, in dieses Gesetz aber zugleich so viel Misstrauen und Ignoranz eingearbeitet hat. Aufgefallen ist das volle Ausmaß des Desasters erst dieses Jahr, als das Bundesinnenministerium eine Verordnung für die Weitergabe früherer Vornamen vorlegte, die faktisch ein Zwangsouting für trans* Personen vor Behörden bedeutet. Die Angriffe hören nicht auf.

Ähnlich ernüchternd finde ich meine Langzeitrecherchen zu Ausländerbehörden und der Identitätsfeststellung von ausreisepflichtigen Menschen. Ausländerbehörden durchsuchen seit Jahren deren Smartphones, in der Hoffnung, Geflüchtete dadurch eher abschieben zu können. Statt diese sinnlose Schikane zu beenden, verschärfte eine Bundesregierung nach der anderen das Aufenthaltsrecht weiter. Ich habe mich sehr gefreut, dass ich darüber mit einer betroffenen Person sprechen konnte – eine Seltenheit.

Mein Programm fürs kommende Jahr wird entsprechend sein: weiter auf die Menschengruppen zu schauen, die die Rechtsextremen zu ihren Feindbildern machen. Asylsuchende, LGBTQI-Communities. Der Druck auf sie wird nicht abnehmen. Außerdem wird es mit Sicherheit sehr viel um Kinder und ihren Schutz gehen. Politiker*innen lieben es, über Kinderschutz zu sprechen, vor allem dann, wenn sie schlechte Regulierung für das Internet fordern. Mit meinem Kollegen Seb bleiben wir dran an Themen wie Alterskontrollen und Social-Media-Verboten.

Daniel Leisegang: „Als Frühwarnsystem müssen wir hier auch im kommenden Jahr auf der Hut sein.“

Zu Beginn des Jahres war ich nicht sicher, ob ich am Ende ein positives Fazit ziehen kann. Zu düster waren die Aussichten angesichts einer zweiten Amtszeit von Donald Trump und einer schwarz-roten Bundesregierung, die mit markigen Ankündigungen ihre Arbeit aufnahm. Doch auch wenn sich die politische Lage und Stimmung insgesamt deutlich verschärft haben, bin ich alles andere als entmutigt. Denn die vergangenen Monate haben gezeigt, dass es sich lohnt, sich der Law-and-Order-Politik und den Anfeindungen entgegenzustellen.

Was mir allerdings zunehmend Sorge bereitet, ist die Taktung, mit der die Verschärfungen durch die Tür kommen. Gefühlt vergeht kaum ein Tag, an dem nicht in irgendeinem Gesetz ein Passus steckt, der Grund- und Freiheitsrechte einschränkt, den Tech-Konzernen mehr Beinfreiheit schenkt oder die Befugnisse von Geheimdiensten erweitert. Als Frühwarnsystem müssen wir hier auch im kommenden Jahr auf der Hut sein.

Mich persönlich hat 2025 vor allem die Gesundheitsdigitalisierung beschäftigt, insbesondere die elektronische Patientenakte. Sie ist nun überall im Einsatz, trotz weiterhin bestehender Sicherheitslücken, einer unzureichenden Informationspolitik und unnötiger Diskriminierungsrisiken. Für die Bundesregierung ist sie das „größte Digitalisierungsprojekt“ der deutschen Geschichte, für mich ist sie ein Paradebeispiel politischer Verantwortungslosigkeit. Niemand will für die zahlreichen Pannen geradestehen, jeder zeigt mit dem Finger auf den anderen. Ein Armutszeugnis.

Das Thema Gesundheitsdigitalisierung wird mich sicher auch im kommenden Jahr beschäftigen. Denn nach der elektronischen Patientenakte kommt der Europäische Gesundheitsdatenraum. Außerdem sollen die sensiblen Gesundheitsdaten möglichst ungehindert in die (kommerzielle) Forschung fließen. Was kann da schon schiefgehen. Außerdem wird 2026 die ID-Wallet fertig – die digitale Brieftasche für ganz Europa. Digitalminister Karsten Wildberger hat deren Deutschland-Start soeben für den 2. Januar 2027 angekündigt. Auch dieses Vorhaben birgt noch etliche offene Fragen – und Risiken.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Fast jedes Jahr erweitert die Regierung das Ausländerzentralregister, eine der größten Datensammlungen des Bundes. Nun sollen Volltext-Dokumente in der Sammlung landen, die zur Identitätsklärung beitragen könnten – egal ob Heiratsurkunde oder Arbeitsvertrag. Außerdem will die schwarz-rote Regierung Fingerabdrücke länger speichern.

Fehlzeiten beim Integrationskurs, Tuberkulose-Untersuchungen, Asylentscheidungen – all das sind Informationen, die im Ausländerzentralregister (AZR) gespeichert werden können. 26 Millionen personenbezogene Datensätze enthalte das AZR derzeit, zu allen Menschen ohne deutsche Staatsangehörigkeit, die mindestens drei Monate in Deutschland leben oder gelebt haben.

Wie viele Daten dort abgelegt werden, hängt davon ab, welchen Status eine Person hat: Geht es um eine Person aus der EU? Dann sind es weniger Informationen. Geht es um Asylantragstellende, sind es besonders viele.

Nach dem Willen der schwarz-roten Bundesregierung sollen es künftig noch wesentlich mehr werden, so steht es in einem Gesetzentwurf zur „Weiterentwicklung der Digitalisierung in der Migrationsverwaltung“ oder auch: Migrationsverwaltungsdigitalisierungsweiterentwicklungsgesetz, MDWG. Auf diesen Entwurf hatte sich das Bundeskabinett am 17. Dezember geeinigt. Damit reiht sich eine weitere Ausdehnung des Riesendatenspeichers in eine Liste fast jährlicher gesetzlicher Aufwüchse ein.

Heiratsurkunde und Arbeitsvertrag ins AZR?

Das AZR soll dem aktuellen Entwurf zufolge unter anderem bald amtliche und nichtamtliche Dokumente zur Identitätsklärung im Volltext enthalten können, wenn eine Person keine amtlichen Ausweisdokumente vorlegen konnte. Damit soll laut Gesetzesbegründung vermieden werden, dass Unterlagen etwa bei einem Zuständigkeitswechsel mehrfach vorgelegt werden müssen. Derartige Dokumente – seien es Heiratsurkunden oder alte Arbeitsverträge – können eine Menge zusätzlicher Informationen enthalten. „Vor einer Speicherung ist sicherzustellen, dass nur diejenigen Angaben enthalten sind, die für die Identitätsklärung erforderlich sind“, heißt es daher in der Gesetzesbegründung.

Der Bundeszuwanderungs- und Integrationsrat (BZI) mahnt in seiner Stellungnahme an, dass unter anderem diese Speicherung „das Risiko einer Übererfassung sensibler Informationen“ berge und fordert eine „klare Zweckbindung, die Begrenzung der Speicherung auf das Notwendige sowie transparente Auskunfts- und Korrekturmöglichkeiten für Betroffene“.

Die Bundesvereinigung der kommunalen Spitzenverbände begrüßt die Regelung zwar, aber bemängelt, dass ungeklärt sei, „welche nichtamtlichen Dokumente als ein Nachweis für die Identität einer Person dienen können sollten“. Es bedürfe hier einer Klarstellung durch das Innenministerium, schreibt die Bundesvereinigung, die die Interessen von Landkreisen, Städten und Kommunen vertritt.

Passfotos, Fingerabdrücke und Unterschriften

Deutlich ausgeweitet werden soll die Speicherung und Nutzung biometrischer Daten im AZR. Schon heute enthält das AZR Lichtbilder und zu bestimmten Personengruppen auch Fingerabdrücke. Letztere sollen nun standardmäßig gemeinsam mit der Unterschrift einer Person gespeichert werden, wenn damit ein Aufenthaltstitel beantragt wurde.

Damit sollen Behörden diese biometrischen Merkmale wiederholt nutzen dürfen, wenn eine Person einen erneuten elektronischen Aufenthaltstitel beantragt. Das soll verhindern, dass Antragsstellende erneut persönlich vorsprechen müssen. Bei Minderjährigen sollen die Daten bis zu fünf, bei Erwachsenen bis zu sieben Jahre gespeichert werden.

Der BZI äußert Bedenken, „dass mit der geplanten Langzeitspeicherung tiefe Eingriffe in die Persönlichkeitsrechte von Erwachsenen und Minderjährigen einhergehen“. Databund, eine Interessensvertretung mittelständischer IT-Dienstleister für die öffentliche Verwaltung, argumentiert noch deutlicher. Die Speicherung werde „zu einer Ungleichbehandlung von Deutschen und ausländischen Staatsbürgern führen“. Databund schreibt: „Generell sehen wir die Speicherung von hochsensiblen Daten in großen zentralen Registern sehr kritisch.“

Die vorgeworfene Ungleichbehandlung versucht die Bundesregierung in der Gesetzesbegründung zu rechtfertigen. Bei Menschen mit deutscher Staatsangehörigkeit regele das Passgesetz die Ausstellung eines Ausweisdokuments, „dessen Zweck mit der einmaligen Identitätsprüfung und Aushändigung erfüllt ist“. Bei Angehörigen von Drittstaaten müssten hingegen „Identität und Aufenthaltsstatus fortlaufend geprüft“ werden. „Der Vollzug des Aufenthaltsrechts ist strukturell von wiederkehrenden Verwaltungsverfahren geprägt“, so die Bundesregierung weiter.

Millionen Nutzer:innen, kaum Kontrollen

Zur Identitäts- und Aufenthaltsstatusprüfung sollen die Daten jedoch nicht explizit genutzt werden. Die Speicherung erfolge „ausschließlich zur erneuten Ausstellung eines befristeten elektronischen Aufenthaltstitels“, eine weitere Nutzung sei „ausgeschlossen“.

Diesen Ausschluss hält Databund offenbar für nicht überzeugend. Zum einen führten die wertvollen Daten in einem zentralen Register „zu einem großen Interesse ganz neuer (staatlicher) Angreifer, die aufgrund ihres professionellen Vorgehens auf Dauer kaum fernzuhalten sind“. Zum anderen sei „der Zugriff auf die AZR-Daten für Millionen Nutzer geplant, bei denen kaum zu kontrollieren sein wird, ob diese Personen missbräuchlich Daten abrufen“.

Laut einer Evaluation aus dem Jahr 2024 zu einer früheren AZR-Erweiterung waren damals bereits „16.000 öffentliche Stellen und Organisationen mit mehr als 150.000 Einzelnutzern“ zugriffsberechtigt. 3.056 Stellen waren Mitte 2023 zu einem automatisierten Abruf berechtigt. Das bedeutet: Wer automatisiert Daten aus dem AZR abrufen darf, muss nicht für jede Auskunft einen gesonderten Antrag stellen. Es reicht dann, über eine Schnittstelle die Daten abzurufen. Bei Daten, die über Grunddaten wie Name oder aktuelle Anschrift hinausgehen, muss der Grund der Abfrage vermerkt werden. Missbrauch soll durch eine Protokollierung der Zugriffe in Verbindung mit Stichprobenkontrollen verhindert werden.

Die Zahl der Behörden mit automatisiertem Zugriff dürfte sich gegenüber 2024 mittlerweile weiter erhöht haben und wird sich weiter erhöhen, denn die Voraussetzungen für eine Zulassung zum automatisierten Abruf wurden im vergangenen Jahr weiter gesenkt. Die Teilnahme am automatisierten Verfahren ist für alle dazu berechtigten Behörden wie beispielsweise Polizeien, Arbeits- oder Jugendämter ab dem 1. August 2026 verpflichtend.

Das vorgelegte Gesetz ist nicht das einzige, das Änderungen am AZR-Gesetz vornehmen soll. Bereits im Herbst legte die Bundesregierung einen Entwurf für das GEAS-Anpassungsfolgegesetz vor. Dabei soll das AZR so geändert werden, dass es den Vorgaben aus dem sogenannten Gemeinsamen Europäischen Asylsystem entspricht. Dazu soll ein Personendatensatz künftig auch Informationen zum Status des GEAS-Screenings enthalten. Bei diesem Screening sollen bereits an den EU-Außengrenzen Personen registriert und überprüft werden, damit sie entweder direkt abgewiesen, in ein Asylgrenzverfahren oder ein reguläres Asylverfahren überführt werden können. Gab es kein Screening an einer Außengrenze, muss es im Inland nachgeholt werden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Systemausfälle, eine unvollständige Umsetzung in Italien und den Niederlanden sowie ungeklärte Sonderregeln für Militärs und Milliardäre überschatten den Start des neuen Ein-/Ausreisesystems der EU. Nun beginnt die zweite Einführungsphase.

Seit 12. Oktober führen die EU-Mitgliedstaaten das neue Ein- und Ausreisesystem (EES) an ihren Außengrenzen ein. Es dient dazu, die Aufenthaltsdauer von Personen aus Drittstaaten elektronisch zu erfassen und zu überprüfen, wenn diese für einen Kurzaufenthalt von bis zu 90 Tagen (innerhalb von 180 Tagen) in den Schengen-Raum reisen. Die visafrei ankommenden Drittstaatsangehörigen werden seitdem elektronisch erfasst, inklusive vier Fingerabdrücken und Gesichtsbild. Zusammen mit den Pass- und Reisedaten werden diese Informationen drei Jahre lang gespeichert.

Das EES gilt in den 29 Schengen-Staaten, darunter 25 EU-Länder sowie Island, Liechtenstein, Norwegen und die Schweiz. Seit November sei es zu mindestens drei größeren Ausfällen des Systems gekommen, heißt es aus EU-Kreisen. In einem Fall sei das EES sogar zwei Tage nicht verfügbar gewesen. Schwierigkeiten treten vor allem bei nationalen Anbindungen und lokalen Systemkomponenten auf. Angriffe auf das Zentralsystem oder andere sicherheitsrelevante Vorfälle gibt es aber, soweit bekannt, nicht.

Phase 2: Vorgaben werden nicht überall erfüllt

Das EES ist Teil des sogenannten Smart-Borders-Pakets der EU. Ziel ist es, die bislang analogen Passstempel zu ersetzen und Aufenthaltsüberschreitungen automatisiert zu erkennen. Die technische Verantwortung liegt bei der EU-Agentur eu-LISA. Wegen jahrelanger Verzögerungen erfolgt die Einführung stufenweise. Ab dem 10. April 2026 soll das System schengenweit vollständig laufen.

Am 10. Dezember begann die zweite Einführungsphase. Seitdem gilt die Vorgabe, dass mindestens zehn Prozent aller Grenzübergänge in jedem EU-Mitgliedstaat mit dem EES ausgestattet sein müssen. Dazu müssen alle biometrischen Funktionen verfügbar sein und alle neu angelegten Personenakten im System Fingerabdrücke und Gesichtsbild enthalten.

Soweit bekannt erfüllen aber mindestens Italien und die Niederlande diese Zehn-Prozent-Anforderung derzeit nicht. Dort fehlen entweder die notwendige Infrastruktur, geschultes Personal oder die Technik zur biometrischen Erfassung.

„Travel-to-Europe-App“ nur in Schweden nutzbar

Grundsätzlich ist das EES derzeit nur dort einsetzbar, wo Selbstbedienungs-Terminals und nachgelagerte E-Gates installiert wurden. Das betrifft fast ausschließlich große internationale Flughäfen, einzelne Seehäfen sowie wenige internationale Bahnhöfe. Selbst dort ist der Betrieb aber nicht flächendeckend gewährleistet. An kleineren Grenzübergängen, insbesondere im Straßenverkehr, wird weiterhin überwiegend mit Passstempeln gearbeitet.

Eine von Frontex für alle EES-Staaten entwickelte „Travel-to-Europe-App“ ist bislang ebenfalls kaum verbreitet – derzeit ist sie nur in Schweden nutzbar. Dort können Reisende vorab Passdaten, ein Gesichtsbild sowie einen Einreisefragebogen („Answer a few questions about your travel plans“) übermitteln. Die App ist in Apples App-Store und bei Google Play erhältlich. Andere EU-Staaten können sie später einführen, sind dazu aber nicht verpflichtet.

Ausnahmen und Sonderfälle

Neben technischen Problemen beschäftigt die EU-Kommission die Frage nach Ausnahmen von der Registrierungspflicht im EES. Als befreundet geltende Drittstaaten wie die USA drängen darauf, bestimmten Personengruppen Sonderregelungen zu ermöglichen. Dazu zählen unter anderem hoch­rangige Militärangehörige, etwa aus dem NATO-Umfeld, Diplomat*innen oder Angehörige von Königshäusern – also besonders prominente Personen oder sehr vermögende Reisende.

Ähnliche Probleme bestehen bei verdeckten Ermittler*innen, die mit echten biometrischen Merkmalen, aber falschen Identitäten reisen. In solchen Fällen wird das nationale Grenzpersonal bislang oft vorab durch vorausreisende Polizeiführer*innen informiert – ein Vorgehen, das mit dem automatisierten EES nur schwer vereinbar ist.

Die EU-Kommission prüft derzeit, welche Personenkreise künftig Ausnahmen geltend machen können und wie diese technisch umgesetzt werden könnten. Bereits bekannt sind zudem Registrierungsprobleme im Bereich der Privatfliegerei – denn an kleinen Flughäfen müssen nach derzeitigem Stand keine Fingerabdrücke oder Gesichtsbilder abgegeben werden. Auch hierzu hat die Kommission nun einen Fragebogen an die Mitgliedstaaten versendet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Bundesregierung will Internet-Zugangs-Anbieter verpflichten, IP-Adressen aller Nutzer für drei Monate zu speichern. Das geht aus dem Gesetzentwurf zur Vorratsdatenspeicherung hervor, den das Justizministerium veröffentlicht hat. Das Gesetz betrifft auch Internet-Dienste wie E-Mails und Messenger.

Die Bundesregierung nimmt den dritten Anlauf für eine Vorratsdatenspeicherung in Deutschland. Das Justizministerium von SPD-Ministerin Stefanie Hubig hat einen Gesetzentwurf erarbeitet und heute veröffentlicht.

Erneut versucht die Bundesregierung, den Begriff „Vorratsdatenspeicherung“ zu vermeiden. Das Justizministerium nennt den Gesetzentwurf „IP-Adressspeicherung“. Tatsächlich geht es wieder um eine verpflichtende und anlasslose Speicherung von Daten aller Internet-Nutzer in Deutschland auf Vorrat. Und es geht um weit mehr Daten als nur IP-Adressen.

Die Vorratsdatenspeicherung ist ein zentraler Streitpunkt in der deutschen Netzpolitik. Vor 20 Jahren haben zehntausende Menschen dagegen protestiert.

Anlasslose Vorratsdatenspeicherung

Das neue Gesetz soll Internet-Zugangs-Anbieter verpflichten, IP-Adressen und Port-Nummern sämtlicher Nutzer drei Monate lang zu speichern. Das betrifft jeden Internet-Anschluss in Deutschland, ohne Anlass und ohne Verdacht auf eine Straftat.

Ermittler sollen anhand dieser Daten die Endnutzer identifizieren und ihre Bestandsdaten erhalten. Das passiert auch ganz ohne Vorratsdatenspeicherung. Im vergangenen Jahr hat allein die Deutsche Telekom fast 290.000 Abfragen zu IP-Adressen bekommen – wegen mutmaßlicher Urheberrechtsverletzungen im Internet.

Das Justizministerium hat beim Erarbeiten des Gesetzes mit den vier großen Mobilfunk-Netz-Betreibern gesprochen. Es gibt aber viel mehr Anbieter für Internet-Zugänge. Das Gesetz spricht von „circa 3.000 Verpflichteten, eine Marginalgrenze ist nicht vorgesehen“. Lokale WLAN-Anbieter wie Hotel-Betreiber sind ausgenommen. Ob öffentliche WLAN-Netze wie Freifunk betroffen sind, wird der weitere Gesetzgebungsprozess zeigen.

Kein Nachweis für Notwendigkeit

Die Vorratsdatenspeicherung ist ein Zombie der Netzpolitik. Es gab bereits eine EU-Richtlinie und zwei deutsche Gesetze. Alle Gesetze haben behauptet, die Vorratsdatenspeicherung sei notwendig und verhältnismäßig. Alle Gesetze waren unverhältnismäßig und rechtswidrig und wurden von höchsten Gerichten gekippt.

Statt die Daten aller Menschen ohne Anlass zu speichern, könnte man auch potentiell relevante Daten schnell einfrieren. In Österreich gibt es ein solches „Quick Freeze“-Verfahren. In Deutschland wurde das nie ausprobiert. Vor einem Jahr hat die Ampel-Regierung ein solches Gesetz vorgeschlagen. Es wurde jedoch nie beschlossen.

Das Justizministerium behauptet erneut, dass ihre anlasslose Vorratsdatenspeicherung notwendig sei. Dafür gibt es jedoch keinen wissenschaftlichen Nachweis. Das Max-Planck-Institut für Strafrecht hat Strafverfolgung in Deutschland mit und ohne Vorratsdatenspeicherung untersucht. Das Ergebnis: Es gibt ohne Vorratsdatenspeicherung keine Schutzlücken in der Strafverfolgung.

Kein Nachweis für Verhältnismäßigkeit

Selbst wenn die anlasslose Datenspeicherung notwendig wäre, müssen Umfang und Dauer der gespeicherten Daten auch verhältnismäßig sein. Das Gesetz schreibt eine Speicher-Dauer von drei Monaten vor. Diese Frist wird im Gesetz nicht konkret begründet.

Drei Monate sind ein politischer Kompromiss. In den Koalitionsverhandlungen wollte die Union sechs Monate, die SPD einen Monat, also haben sie sich auf drei Monate geeinigt. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“.

Die neue Vorratsdatenspeicherung soll nicht überprüft werden: „Eine eigenständige Evaluierung ist nicht erforderlich.“

E-Mails, Messenger und Apps

Das neue Gesetz geht weit über IP-Adressen bei Internet-Zugangs-Anbietern hinaus. Ermittler sollen auch Internet-Dienste dazu verpflichten dürfen, Verkehrs- und Standortdaten mit einer „Sicherungsanordnung“ zu speichern. Das Gesetz spricht explizit von Over-The-Top-Diensten wie Messengern und Sprachanruf-Apps als Nachfolger von SMS und Telefonanrufen.

Zu den verpflichteten Diensten gehören auch E-Mail-Anbieter. Die sollen beispielsweise speichern, wann sich welche IP-Adresse bei welchem E-Mail-Postfach eingeloggt hat, die E-Mail-Adressen von Sender und Empfänger einer E-Mail sowie „die Daten aus dem Header der E-Mail“.

Eine solche „Sicherungsanordnung“ soll schon greifen, wenn die Ermittler diese Daten noch gar nicht „erheben“ dürfen. Die Dienste sollen diese Daten auf Zuruf bereits extra abspeichern, damit Ermittler die später abrufen können, auch wenn beispielsweise „der Kunde seinen Account […] selbst löscht“.

Funkzellenabfrage ohne Bundesgerichtshof

Darüber hinaus ändert das Gesetz auch die Vorgaben für die Funkzellenabfrage. Bei einer Funkzellenabfrage erhalten Ermittler alle Verbindungsdaten aller Mobilfunkgeräte, die in bestimmten Funkzellen eingeloggt waren.

Der Berliner Datenschutzbeauftragte hatte 2012 festgestellt, dass die Funkzellenabfrage regelmäßig Gesetze verletzt. Der Bundesgerichtshof hat vergangenes Jahr geurteilt, dass die Funkzellenabfrage nur noch bei besonders schweren Straftaten eingesetzt werden darf.

Das Gesetz dreht jetzt das Urteil des Bundesgerichtshofs zurück. Die Funkzellenabfrage soll wieder bei „Straftaten von erheblicher Bedeutung“ eingesetzt werden dürfen. „Dies entspricht dem Verständnis der Praxis, bis die Entscheidung des Bundesgerichtshofs ergangen ist.“

Mehr Regulierung als EU

Das erste deutsche Gesetz zur Vorratsdatenspeicherung hatte die Bundesregierung damals noch mit einer EU-Richtlinie begründet. Diese gilt seit einem Urteil des Europäischen Gerichtshofs nicht mehr.

EU-Kommission und EU-Staaten arbeiten aktuell an einer Neuauflage der Vorratsdatenspeicherung. Die deutsche Bundesregierung hätte die EU-Gesetzgebung abwarten können, statt kurz vorher ein deutsches Gesetz zu machen.

In anderen Politikbereichen fordert die Regierung weniger Bürokratie und weniger Regulierung für Unternehmen. Nun aber schafft die Bundesregierung neue Regulierung und neue Belastung – gegen den expliziten Willen der betroffenen Unternehmen und Anbieter.

SPD steht für Vorratsdatenspeicherung

Die Vorratsdatenspeicherung in Deutschland steht und fällt mit der SPD. Das erste deutsche Gesetz 2007 verantwortete SPD-Justizministerin Brigitte Zypries. Das Bundesverfassungsgericht hat es 2010 gekippt. Das zweite deutsche Gesetz 2015 verantwortete SPD-Justizminister Heiko Maas. Das Bundesverfassungsgericht hat es 2023 gekippt.

Jetzt versucht es SPD-Justizministerin Stefanie Hubig zum dritten Mal. Erneut behauptet das Justizministerin, das Gesetz stehe „in Einklang mit Verfassungsrecht“ und sei „mit dem Recht der Europäischen Union vereinbar“.

Das Gesetz geht jetzt ins Kabinett, dann in den Bundestag – und dann wieder vor das Bundesverfassungsgericht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Fast Tausend Texte, 47 Mal Donald Trump und 18 Grünpflanzen: In unserem traditionellen Jahresrückblick in Zahlen geht es um die ganz harten Fakten, die nicht immer so ganz ernst genommen werden sollten.

Im Jahr 2025 ist das Team von netzpolitik.org gewachsen. Im Januar kam David Giwojno als Werkstudent für die Technik-Administration dazu, im September folgten Lucas Fiola, der ebenfalls als Werkstudent unsere Social-Media-Präsenz aufmöbelt, und Timur Vorkul, unser erster Volontär. Ab Dezember unterstützt uns unsere vorherige Bundesfreiwillige Lilly Pursch bei der Spenden-Verwaltung. Als neuer Freiwilliger ist seit September Ben Kumi im Team und als feste Freie sind seit diesem Jahr auch Anna Ströbele Romero in Brüssel und Esther Menhard an Bord.

Damit sind wir 13 feste Redakteur:innen, die von mehreren freien Autor:innen, Kolumnist:innen und unserem Podcast-Produzenten unterstützt werden. In der Regel macht außerdem eine Person pro Quartal ein Praktikum in der Redaktion. In der IT arbeiten derzeit zwei Menschen, in Finanzen und Verwaltung ebenfalls, genau wie zu den Themen Kreation, Campaigning und Social Media. Eine Person sorgt dafür, dass unser Büro jede Woche blitzeblank erstrahlt. Und ein Mensch absolviert bei uns sein Freiwilligenjahr und lernt so ziemlich alle unsere Arbeitsbereiche kennen. Macht insgesamt 22 Einträge auf der Team-Seite.

11 Millionen Zeichen

All diese Menschen haben dafür gesorgt, dass wir im Jahr 2025 bis zum 19. Dezember 970 Texte auf unserer Seite veröffentlichen konnten. Die bestehen zusammen aus rund 1,87 Millionen Wörtern oder auch genauer: 11.029.782 Zeichen. Bei einer angenommenen durchschnittlichen Vorlesegeschwindigkeit von 150 Wörtern pro Minute bräuchtet ihr etwa 12.500 Minuten, um alle Texte des Jahres einzusprechen. Das sind mehr als 200 Stunden.

Die meisten Texte (209) gab es mittwochs, im Wochendurchschnitt waren es 2,7 pro Tag. Auch wenn es uns nicht so vorkam, im August sieht man ein kleines Sommerloch. In dem Monat erschienen die wenigsten Texte, nämlich 68 insgesamt.

Am Wochenende erscheint traditionell weniger, insgesamt 131 Artikel zur Lektüre gab es da. Sonntag ist der Tag für die meisten unserer Kolumnen, 36 gab es davon an der Zahl. Immer dabei war der Wochenrückblick, der jede Woche am Samstag erscheint – macht 52 bis zum Jahresende. Diesen Rückblick verschicken wir auch als Newsletter an mittlerweile 17.486 Mail-Adressen. Im Vergleich zum Vorjahr sind das mehr als 3.000 neue Abonnent:innen.

Wer noch öfter von uns Post bekommen will und Wert auf einen regelmäßigen Überblick zu neuen Texten legt, kann sich auch alle zwei Werktage „Auf den Punkt“ mit einem knackigen Vorspann in die Inbox holen. 148 Ausgaben verschickten wir bisher in diesem Jahr an 2.128 Postfächer.

Neben vielen Analysen, Recherchen, Leaks und Meldungen gab es 2024 23 Interviews und 47 Kommentare. Außerdem erschienen 15 Ausgaben unseres Podcasts „Off/On“, den wir in diesem Jahr mit einem neuen Konzept überarbeitet haben.

Inhaltlich lagen – zumindest laut unserer Schlagwort-Analyse – genau wie letztes Jahr Texte zum Thema EU-Kommission (73) an der Spitze des Häufigkeits-Rankings, gefolgt von Chatkontrolle (55) und Donald Trump (47). Eher auf die Textgattung bezogene Schlagworte wie etwa „Kolumne“ haben wir in dieser Übersicht weggelassen.

2.698 Ticker

Doch nicht nur unsere Artikel erscheinen auf der Seite. Ihr habt uns 6.439 freigeschaltete Ergänzungen verfasst. Die meisten (79) stehen unter Markus Reuters Kommentar „Oh, wie schön ist Abschiebung“ zu einem Frontex-Kinderbuch. Aber auch als Martin Schwarzbeck das neue Berliner Polizeigesetz mit „Berlin wirft die Freiheit weg“ kommentierte, hat euch das zu 60 Beiträgen bewegt, dicht gefolgt von der Recherche zu 1.600 polizeilichen Überprüfungen psychisch erkrankter Menschen in Hessen mit 58 Ergänzungen.

Schon 2024 haben wir damit begonnen, euch in unserem News-Ticker mit kurzen und knappen Einordnungen auf lesenswerte Texte von anderen hinzuweisen. 2.698 Tickermeldungen sind das dieses Jahr bis zum 19. Dezember geworden, vom Hinweis auf eine unterhaltsame Randnotiz bis zur ernsten Analyse. Am häufigsten nahmen wir Artikel von heise online in unseren Ticker auf (242), gefolgt von der taz (125) und The Guardian (118).

Dass wir Links auf spannende und aufschlussreiche Quellen mögen, merkt man auch in unseren eigenen Artikeln. Im gesamten Jahr haben wir 9.639 Inhalte verlinkt, davon waren rund 2.977 interne Verweise auf netzpolitik.org, der Rest ging nach außen. Das sind rund 10 Links pro Text.

109 Millionen Aufrufe

Wir haben ja schon erwähnt, dass wir dieses Jahr Social-Media-Unterstützung bekommen haben. Besonders nutzen wir Mastodon, Bluesky und Instagram, wo uns jeweils 50.000, 35.000 und 25.800 Accounts folgen. Wir posten aber beispielsweise auch auf Pixelfed und LinkedIn.

Viel mehr Menschen besuchen uns aber weiterhin direkt auf netzpolitik.org oder haben unseren Feed abonniert. Laut unserer Statistik wurden Artikel aus dem Jahr 2025 rund 13,7 Millionen Mal aufgerufen, wenn man die individuellen Aufrufe zählt. Insgesamt – inklusive der Feeds, Artikel voriger Jahre, Datei-, Podcast- und sonstiger Downloads – gab es 2025 rund 109 Millionen Seitenaufrufe, davon 60,5 Millionen unique pageviews. Dabei wird nicht gezählt, wenn jemand die Seite zweimal direkt hintereinander lädt.

Aber Obacht: Das waren sicher nicht alles menschliche Leser:innen. Da wir auf Tracking verzichten, können wir Aufrufe von Bots nicht zuverlässig aussortieren. Stattdessen messen wir serverseitig Seitenzugriffe und auch WordPress bietet uns Zahlen an, die in der gleichen Größenordnung liegen.

Am meisten gelesen habt ihr laut unserer WordPress-Statistik den Text zum Real-o-Maten – einer Wahl-o-Mat-Alternative, die auf das Abstimmungsverhalten von Parteien im Bundestag schaute. Rund 780.000 Mal wurde dieser Text geklickt. Für eine knappe Meldung ist das eine sehr ungewöhnliche Zahl und für die gibt es eine einfache Erklärung: Bei Google wurde unser Text zeitweise über der eigentlichen Real-o-Mat-Website in den Suchergebnissen angezeigt – und Leute, die direkt zum Wahl-Test wollten, landeten erstmal bei uns. Ein Musterbeispiel dafür, wie ein Suchmaschinen-Ranking die Reichweite beeinflussen kann.

18 lebende Büropflanzen

Weitere statistische Einblicke gibt es dazu, wie häufig wir mit Informationsfreiheitsanfragen versuchen, an Informationen zu gelangen. 38 öffentliche Anfragen via FragDenStaat stellte das Team dabei im letzten Jahr.

Dieses Jahr haben wir außer den harten Textfakten außerdem gezählt, wie viele Pflanzen uns den Büroalltag ein wenig grüner machen. 18 Töpfe mit lebendigen Exemplaren stehen in unseren Räumen verteilt. 3 Töpfe sind leider leer, da unter anderem eine Grünlilie an zu viel Wasser verging und der Rettungsversuch für eine Kokospalme am Straßenrand zu spät kam.

Rettungsversuche gab es auch für einen neuen Bürorechner. Nach drei Rücksendungen und Reparaturversuchen beim Versender wird er bald ein viertes Mal in die Post gehen – diesmal aber ohne Rückschein.

Die Zahl, die uns aktuell am meisten beschäftigt, zum Schluss: 157.000 Euro. So viel Geld fehlt uns noch, um unsere Arbeit für das Jahr gut zu finanzieren. Wenn ihr dazu beitragen wollt und könnt, findet ihr hier alle Möglichkeiten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Auch wenn es zwischenzeitlich keine Sitzung des DSC-Beirats gab, hat sich beim Thema Plattform-Regulierung einiges getan. Zeit für ein Update und einen Appell fürs nächste Jahr.

Der DSC-Beirat ist ein Gremium aus Zivilgesellschaft, Forschung und Wirtschaft. Er soll in Deutschland die Durchsetzung des Digital Services Act begleiten und den zuständigen Digital Services Coordinator unterstützen. Svea Windwehr ist Mitglied des Beirats und berichtet in dieser Kolumne regelmäßig aus den Sitzungen.

Obwohl es seit Oktober einen neuen DSC-Beirat gibt – dem auch ich wieder angehören darf –, konnte er seine Arbeit noch nicht aufnehmen. Das ist ungünstig, denn es ist viel passiert: Die Durchsetzung des Digital Services Act (DSA) ist in eine entscheidende neue Phase getreten, transatlantische Spannungen nehmen weiter zu und Australien hat beim Thema Altersverifikation einen drastischen neuen Weg eingeschlagen, der auch in Europa Anklang findet. Darum gibt es heute ein Update aus der Welt der Plattformregulierung, bevor der neu besetzte DSC-Beirat am 27. Januar zum ersten Mal tagt.

Neuer Beirat, neue Sorgen

Mit viel Verzögerung wurde der Beirat des deutschen DSC am 16. Oktober vom Deutschen Bundestag neu besetzt. Dabei ist einiges beim Alten geblieben und gleichzeitig wird das Gremium in Zukunft grundlegend anders aussehen.

Das fängt bei der Größe des Beirats an. Das Digitale-Dienste-Gesetz sieht vor, dass der Beirat aus 16 Personen besteht – davon acht Vertreter:innen der Zivilgesellschaft, vier Repräsentant:innen der Wirtschaft und vier Forschende. In dieser Legislatur schrumpft der Beirat auf 12 Personen. Das liegt am gesellschaftlichen Rechtsruck und der AfD, die ihrer gewachsenen Fraktionsstärke entsprechend vier Beiratsmitglieder vorschlagen durfte.

Diese Vorschläge – darunter die Initiatorin der rechtsextremen Buchmesse „Seitenwechsel“, der Leiter des Landesfachausschusses für Bildung, Wissenschaft, Kultur und Medien der AfD Sachsen sowie ein geschichtsrevisionistischer Landtagsabgeordneter der AfD in Baden-Württemberg wurden von den demokratischen Fraktionen des Bundestages abgelehnt. Das sind gute Nachrichten und es zeigt, dass zumindest hier noch fraktionsübergreifende Zusammenarbeit gegen eine rechtsextreme Partei möglich ist.

Der Beirat ist allerdings nicht gleichmäßig geschrumpft. Für ihre vier Slots hat die AfD in drei Fällen „zivilgesellschaftliche“ Kandidat:innen vorgeschlagen, weshalb diese Gruppe im neuen Beirat mit nur fünf statt vorgesehenen acht Plätzen repräsentiert ist und damit am stärksten dezimiert wurde. Generell scheint Zivilgesellschaft ein dehnbarer Begriff zu sein, wie die erneuten Nominierungen eines ehemaligen Präsidenten einer Landesmedienanstalt und eines Oberstaatsanwalts nahelegen. Von der gesetzlich angedachten Stärke der Zivilgesellschaft im Beirat des DSC ist nicht viel übrig geblieben.

Angesichts der enormen Expertise vieler zivilgesellschaftlicher Organisationen im Bereich Plattformregulierung ist das ein großer Verlust: Zahlreiche bisherige Aufsichtsverfahren und private Klagen gehen auf die Initiative zivilgesellschaftlicher Organisationen zurück oder stützen sich auf deren Beweiserhebungen. Mit dem Beirat wird eine europaweit beispiellose Chance geschaffen, dieses Fachwissen direkt in die Durchsetzung des DSA einfließen zu lassen. Darüber hinaus ist es für Aufsichtsstrukturen essenziell wichtig zu verstehen, mit welchen Herausforderungen, Einschüchterungsversuchen und Repressalien Zivilgesellschaft und Wissenschaft in ihrer Arbeit zur Durchsetzung des DSA konfrontiert sind.

Vergeltungsschlag nach X-Bußgeld?

Von Wissenschaft und Zivilgesellschaft über ihren Umgang mit diesen Herausforderungen zu lernen, wird in Zukunft wohl auch für Aufsichtsbehörden selbst immer relevanter werden. Dafür sprechen die Reaktionen der Trump-Regierung auf die lang erwartete Entscheidung der EU-Kommission, die ein Bußgeld von 120 Millionen Euro für Verstöße gegen den DSA gegen X verhängt hat.

In dem Verfahren geht es um Verstöße gegen DSA-Verpflichtungen, Forschenden Zugang zu öffentlich zugänglichen Daten zu geben und Transparenz zu Werbeanzeigen über eine dedizierte Werbebibliothek zu schaffen. X hatte Forschenden systematisch Zugang zu Daten verwehrt, indem es beispielsweise Scraping verhinderte. X’ Werbebibliothek weist strukturelle Zugangsbarrieren auf, wie übermäßige Verzögerungen bei der Verarbeitung von Anfragen. Außerdem fehlen zentrale Informationen wie der Inhalt und das Thema einer Anzeige sowie die juristische Person, die dafür bezahlt. Zusätzlich legt die Europäische Kommission den sogenannten blauen Haken auf X als irreführende Designpraxis aus. Der Haken, der früher dafür stand, dass ein Konto verifiziert war (und der damit zum heißbegehrten Symbol für Relevanz und Glaubwürdigkeit wurde), ist inzwischen käuflich zu erstehen und macht es so Nutzenden schwer, die tatsächliche Authentizität eines Accounts zu beurteilen.

Der vorläufige Abschluss des Verfahrens gegen X markiert genau das: den Abschluss eines administrativen Akts gegen einige der offensichtlichsten DSA-Verstöße. Keiner der hier thematisierten Verstöße betrifft die Meinungsfreiheit von Nutzenden oder lässt darauf schließen, dass X ins Visier genommen wurde, weil es ein US-amerikanisches Unternehmen ist. Trotzdem wird das Bußgeld gegen X als Beweis für „Civilizational Erasure“ gesehen, also die eigene Auslöschung der europäischen Zivilisation durch angebliche Zensurmaßnahmen wie den DSA. Dieser Ausdruck stammt aus der neuen Nationalen Sicherheitsstrategie der USA, die eine klare Abkehr von vormals zumindest ansatzweise geteilten transatlantischen Vorstellungen und Werten ausdrückt.

Mit den angekündigten Visa-Beschränkungen für Menschen, die zu Inhaltemoderation, Factchecking oder Compliance mit Plattformregulierung arbeiten, ist klar, dass die Drohgebärden der Trump-Administration schon lange keine reinen Gebärden mehr sind, sondern konkrete Auswirkungen für die Durchsetzung von Gesetzen wie dem DSA haben.

Zudem kommt das Bußgeld der Trump-Regierung gelegen, um den transatlantischen Handelsstreit weiter zu eskalieren. So wurden inzwischen Vergeltungsmaßnahmen gegen europäische Unternehmen wie Mistral, Spotify oder Siemens angekündigt, falls die EU nicht ihre Digitalregulierung abbaut und Verfahren gegen US-Unternehmen einstellt. Musk hat derweil die Werbekonten der EU-Kommission auf X sperren lassen.

Das Gebaren der US-Regierung ist auch eine weitere Bestätigung des enormen Einflusses der Silicon-Valley-Tech-CEOs in Trumps Weißem Haus. Dabei geht es schon lange nicht mehr nur um die persönliche Unterstützung Trumps durch Millionenspenden, sondern um eine gemeinsame Durchsetzung ihrer Interessen.

Noch ist unklar, ob die Europäische Kommission sich von den angekündigten Repressalien gegen europäische Unternehmen beeindrucken lassen wird. Die nächste Eskalation wartet derweil schon: Sollte sich Musks Ansage bewahrheiten, das Bußgeld gegen X nicht zu bezahlen, wird sich die Frage stellen, wie weit die Europäische Kommission gehen wird, um das Recht durchzusetzen. Neben weiteren Maßnahmen und höheren Bußgeldern kann die Kommission als letztes Mittel auch zu Netzsperren greifen – ein tiefer Einschnitt und kaum geeignet, um Akzeptanz für den DSA zu erhöhen. Angesichts der engen Beziehungen zwischen Trump und weiteren Tech-CEOs, deren Plattformen Gegenstand von Durchsetzungsverfahren sind, wird sich zeigen, wie weit Trumps Einschüchterungsversuche gehen werden und welche Seite zuerst Tatsachen schaffen wird.

Australische Experimente

Tatsachen geschaffen hat Mitte Dezember schon Australien. Dort ist am 10. Dezember ein kontroverses Gesetz in Kraft getreten, das wohl am nächsten an ein aktuell auch in Europa gefordertes Social-Media-Verbot für Kinder und Jugendliche herankommt. Unter dem australischen Gesetz wurden eine Handvoll Online-Plattformen als „altersbeschränkte“ Plattformen designiert, darunter Instagram, TikTok und YouTube. Diese Plattformen sind nun verpflichtet, dafür zu sorgen, dass unter 16-Jährige keine neuen Nutzerkonten anlegen können und bestehende Konten gelöscht werden. Wie genau die Plattformen diese Altersbeschränkungen durchführen, ist ihnen selbst überlassen. Das australische Gesetz sieht lediglich vor, dass kein Zwang zur Nutzung von staatlichen Identitätsdokumenten bestehen darf.

Damit ist es nicht unwahrscheinlich, dass sich in Australien wiederholen wird, was in Großbritannien seit dem Inkrafttreten des dortigen Online Safety Act zu beobachten ist. Dort müssen Nutzer:innen regelmäßig ihr Alter von einer Vielzahl von kommerziellen Anbietern schätzen lassen, um weiterhin Zugang zu den von ihnen genutzten Plattformen zu haben. Die wegen ihrer vermeintlichen Niedrigschwelligkeit besonders häufig genutzte Methode der KI-gestützten Analyse biometrischer Gesichtsdaten funktioniert nachweislich schlechter bei nicht-männlichen, nicht-weißen Personen. Sie ist ungeeignet, um präzise Einschätzungen entlang von rechtlichen Schwellenwerten – zum Beispiel unter oder über 16 – vorzunehmen. Abgesehen von schwerwiegenden Datenlecks hat dies unter anderem dazu geführt, dass Nutzende den Zugriff auf Messaging-Funktionen verloren haben und dass angeblich sensible Inhalte, beispielsweise Beiträge über die Lage in Gaza oder den Krieg in der Ukraine, hinter Altersschranken versteckt wurden.

Ganz unabhängig davon, dass so verfolgte Zugangsverbote massiv in die Grundrechte von jungen Menschen eingreifen, sich online auszudrücken und an der Gesellschaft teilzuhaben, ist es fraglich, ob abstinenzbasierte Ansätze wie der australische ihre Ziele überhaupt erreichen können. Das fängt bereits bei der Robustheit der ergriffenen Maßnahmen an. Jugendliche in Großbritannien konnten durch einfachste Tricks Altersschranken umgehen, VPNs bieten nach wie vor eine einfache Methode, um lokale Altersschranken zu umgehen und australische Teens berichten, die einjährige Umsetzungsfrist des Gesetztes genutzt zu haben, um das in ihren Konten hinterlegte Alter hochzusetzen – oft mit Unterstützung ihrer Eltern. Dazu kommt, dass das australische Gesetz einige der aus Kinder- und Jugendschutzperspektive virulentesten Plattformen wie Roblox, Discord oder Steam explizit nicht umfasst. Gerade also Plattformen, die in der Vergangenheit durch mangelnde Kinderschutzeinstellungen und schlechte Inhaltemoderation Aufsehen erregt haben, sind von den Pflichten ausgenommen.

Aber auch in anderen Bereichen haben Verbote in der Vergangenheit kaum Wirkung gezeigt. Exemplarisch ist die Alkopop-Steuer aus den Nullerjahren, mit der der Konsum von süßen Alkohol-Mischgetränken unter Jugendlichen gesteuert werden sollte. Während die erhöhten Preise für Alkopops deren Konsum tatsächlich zeitweise zurückgehen ließen, führte die Steuer nicht dazu, dass junge Deutsche weniger tranken – sie stiegen schlicht auf andere alkoholische Getränke um. Aktuell sind Alkopops wieder beliebter denn je. Und hochprozentiger – Grund dafür ist die Steuer selbst, die sich an Getränke mit bis zu zehn Prozent Alkoholanteil richtet, und damit aktuelle Alkopops mit exakt zehn Prozent Alkohol nicht erfasst.

Was tatsächlich zum insgesamt rückläufigen Trinkverhalten von Jugendlichen geführt hat? Die Corona-Pandemie, verändertes Freizeitverhalten und ein Wertewandel, in dem der gewachsene Stellenwert von Fitness und Trends wie “clean eating” und “dry January” eine Rolle spielen. Das Beispiel zeigt, dass gesünderes Konsumverhalten nicht unbedingt gesetzlich erzwungen werden kann. Stattdessen sind es langfristigere Ansätze, die Erfolg zu haben scheinen. Übertragen auf das Internet wären also nicht Verbote der Weg nach vorne, sondern Aufklärung, Kompetenzaufbau, kindergerechte Online-Räume und nachhaltige gesellschaftliche Auseinandersetzungen mit verantwortungsvollem Medienkonsum.

Das alles macht Australien zu einem faszinierenden Experiment. Noch nie zuvor war es möglich, die Auswirkungen eines (zumindest teilweisen) Verbots sozialer Medien zu untersuchen. Fürsprecher:innen versprechen Verbesserungen bezüglich der mentalen Gesundheit von Kindern und Jugendlichen, weniger Mobbing und Schutz vor Kontaktaufnahme Fremder. Wahrscheinlicher scheint mir, dass australische Kinder und Jugendliche sich weiterhin online ausprobieren, vernetzen und entdecken wollen, und das auch weiterhin auf alternativen Plattformen tun werden. So oder so werden die Auswirkungen des Gesetzes wohl erst in einigen Jahren sichtbar werden.

In der Zwischenzeit besteht die Gefahr, dass Australiens harte Vorgehensweise Schule macht. Auch in Europa werden Rufe nach pauschalen Verboten immer lauter, statt die Geschäftspraktiken anzugehen, mit denen Online-Plattformen so häufig Profite über die Rechte und Bedürfnisse von jungen Nutzenden stellen. Dafür bietet der DSA zwar unperfekte, aber existente Werkzeuge, mit deren konsequenter Durchsetzung einiges zu gewinnen wäre. Noch gibt es eine Chance, nachhaltigere Wege als Verbote einzuschlagen: Lasst uns 2026 dafür streiten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 51. Kalenderwoche geht zu Ende. Wir haben 20 neue Texte mit insgesamt 171.053 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

für mich geht eine aufregende Woche zu Ende. Die Tage bin ich immer wieder von alleine wach geworden, wenige Minuten vor dem Weckerklingeln, weil mein Kopf mit erstaunlichem Timing einfach schon damit losgelegt hatte, an netzpolitik.org zu denken. Es ist eine Woche mit Gründen zum Feiern und Gründen zum Bangen für meine Kolleg*innen und mich.

Ein Grund zum Feiern: Wir haben dieses Jahr mit unseren Recherchen eine Menge bewegt und mit angestoßen. Drei Beispiele:

• Der Etappensieg bei der Chatkontrolle – dem Großangriff der EU-Kommission auf Privatsphäre und Fernmeldegeheimnis.
• Der Wirbel bis in die EU-Kommission und die Bundesregierung wegen der Databroker Files – eine neue Dimension der Massenüberwachung, die fast alle Menschen mit Smartphone betrifft. Erst gestern ist unsere neueste Recherche in Kooperation mit dem Bayerischen Rundfunk erschienen, auch auf tagesschau.de.
• Der Erfolg gegen willkürliche Netzsperren auf Zuruf – durch unsere mediale Begleitung der 18-jährigen Lina, die die CUII, eine Vereinigung von Rechteinhabern und Internetanbietern, gehörig aufmischt.

Das und mehr lest ihr in unserem Rückblick, was unser Journalismus im Jahr 2025 verändert hat.

Noch ein Grund zum Feiern: Zum zweiten Jahr in Folge wurden meine Kolleg*innen Anna und Daniel als „Journalistinnen und Journalisten des Jahres“ geehrt, und zwar in der Kategorie „Chefredaktion national“, dritter Platz. Ein Satz, genauer gesagt ein Wort aus der Laudatio ist so zweischneidig, dass ich schlucken musste.

Netzpolitik.org war in diesem Jahr voller Debatten über Überwachung, Datenzugriffe und Bürgerrechte unverzichtbar.

Na, wer will als Journalist*in schon nicht relevant sein? Aber Unverzichtbarkeit, das ist noch mal eine Stufe mehr. Es zeugt davon, wie in Zeiten von grassierendem Autoritarismus und Faschismus (nicht nur digitale) Grund- und Freiheitsrechte zunehmend in Gefahr geraten. In dem Wort „unverzichtbar“ steckt eine Ernsthaftigkeit, die ich gerade in diesem Jahr zunehmend zu spüren bekomme. Meine Arbeit ist ernster geworden, oftmals ernster, als es mir lieb ist.

Keine Werbung, keine Paywalls, kein Profit

Wir bei netzpolitik.org klären nicht nur darüber auf, was schiefläuft. Wir wollen nicht nur dazu beitragen, das Schlimmste zu verhindern. Wir wollen auch Grund- und Freiheitsrechte durch unsere Recherchen stärken – gegen alle Widerstände. Wir sind Teil und Stimme einer engagierten Zivilgesellschaft, die in diesem Jahr selbst von der Kanzlerpartei torpediert wird.

Mit unserer Arbeit machen wir keinen Profit, netzpolitik.org ist gemeinnützig. Wir haben keine Werbung und keine Paywalls. Allein die Spenden von unseren Leser*innen machen es möglich, dass wir frei und unabhängig recherchieren und berichten können.

Stand aktuell fehlen uns noch 172.000 Euro, um diese Arbeit nächstes Jahr fortsetzen zu können. Das ist der Grund zum Bangen, den ich am Anfang erwähnt habe. Letztes Jahr hat es ja geklappt, unser Spendenziel zu erreichen. Aber was ist dieses Jahr?

Damit wir 2026 keinen Bauchplatscher hinlegen: Bitte unterstützt uns. Optionen gibt es viele – auch wenn ihr selbst gerade kein Geld übrig habt.

• Jede Spende hilft. Die meisten Menschen, die uns spenden, sind Leute wie du und ich, keine reichen Unternehmen. Hier geht es zur Spendenseite.
• Am meisten hilft uns ein Dauerauftrag. Dann kommen wir besser übers gesamte Jahr.
• Seit diesem Jahr könnt ihr erstmals auch eine Sammel-Aktion in eurem Team, Vereins- oder Freundeskreis starten – optional könnt ihr sogar ein eigenes Bild dazu packen und ein eigenes kleines Spendenziel ausrufen.
• Und nicht zuletzt hilft es uns riesig, wenn ihr Freund*innen und Kolleg*innen einfach Bescheid sagt, dass unsere wichtige Arbeit allein durch Spenden möglich ist. Würde jede Person, die uns liest, nur einen Euro spenden, hätten wir in gut einer Woche schon das Budget fürs ganze Jahr zusammen!

Falls ihr uns noch nicht unterstützt: Werdet jetzt Teil der engagierten Leser*innen, denen Grund- und Freiheitsrechte nicht egal sind, und helft mit, uns über diese 172.000-Euro-Hürde zu hieven.

Und falls ihr uns schon unterstützt: Tausend Dank dafür! Ihr seid Teil einer Community, die mit vielen kleineren Beiträgen etwas Großes möglich macht.

Kommt gut in die Feiertagswoche rein.

Alles Liebe
Sebastian

Degitalisierung: Statusstress

Wenn ein IT-System veraltet oder kaputt ist und jemand darauf hinweist, verursacht das erstmal Stress. Aber den Status um jeden Preis aufrechtzuerhalten ist nicht der beste Umgang, findet unsere Kolumnistin. Sie schlägt einen anderen Weg für ein stressfreies digitales Zusammenleben vor. Von Bianca Kastl –
Artikel lesen

EU-Parlament: Sozialdemokraten wollen Digitalregulierung untersuchen

Die Sozialdemokraten im EU-Parlament wollen besser verstehen, wie das Gesetz über digitale Dienste umgesetzt wird. Daher wollen sie einen Untersuchungsausschuss gründen und gehen jetzt auf Stimmensuche. Von Anna Ströbele Romero –
Artikel lesen

White Paper: Solidarische Nutzung von KI in der Zivilgesellschaft

Künstliche Intelligenz wird von großen Konzernen dominiert, sie verbraucht viel Energie und es gibt jede Menge kniffliger ethischer Fragestellungen. Der digitalpolitische Verein D64 hat sich mit anderen Organisationen der Frage angenähert, wie die Zivilgesellschaft KI solidarisch nutzen kann. Von Markus Reuter –
Artikel lesen

Reform der DSGVO: Datenschutzkonferenz kritisiert Pläne der EU-Kommission

Die deutschen Datenschutzbehörden gehen auf Distanz zu den Omnibus-Plänen der EU-Kommission. Statt Entlastungen für Unternehmen sehen sie neue Rechtsunsicherheiten und machen alternative Vorschläge zur Reform der Digitalgesetze. Von Anna Ströbele Romero –
Artikel lesen

Digital Fights: Digital Roots: Wir wollen ein Netz für alle

Tech-Konzerne wollen, dass wir über ihre Plattformen kommunizieren, unsere Daten in ihren Clouds speichern und am besten nie wieder von ihnen loskommen. Wir kämpfen für ein Netz, das nicht von den großen Unternehmen dominiert wird, sondern in dem Nutzer:innen mitgestalten und -bestimmen. Von netzpolitik.org –
Artikel lesen

Polizeigesetz-Entwurf: Auch Schleswig-Holstein will Verhaltensscanner

Die schwarz-grüne Landesregierung von Schleswig-Holstein setzt auf KI-gestützte Videoüberwachung. Die Technologie soll selbstständig Menschen identifizieren, erkennen, was diese tun und sie über mehrere Kameras hinweg verfolgen. Von Martin Schwarzbeck –
Artikel lesen

DSGVO-Reform: „Beim Datenschutz ist Deutschland inzwischen dem Silicon Valley näher als dem Rest der EU“

Die Datenschutzgrundverordnung kann reformiert werden, sagt Max Schrems – aber ganz anders, als die EU es gerade plant. Im Interview erklärt der prominente Datenschützer, warum er keine Hoffnung mehr auf Aufsichtsbehörden setzt und wieso seine Reformvorschläge selbst von Konservativen unterstützt werden. Von Ingo Dachwitz –
Artikel lesen

Chatkontrolle: Kein Nachweis, dass Massen-Scans verhältnismäßig sind

Die EU-Kommission veröffentlicht ihre Evaluierung der freiwilligen Chatkontrolle. Doch sie kann weiterhin nur unvollständiges Datenmaterial sammeln und scheitert daran, zu beweisen, dass freiwillige Massen-Scans verhältnismäßig sind. Von Constanze –
Artikel lesen

Bedrohung für die Pressefreiheit: Neue Spionage-Software entdeckt

Reporter ohne Grenzen hat eine Spionage-Software identifiziert, die gegen einen journalistisch arbeitenden Menschen aus Belarus eingesetzt wurde. Sie ist wohl seit über vier Jahren im Einsatz und funktionsgleich mit Apps, die legal zur Kinderüberwachung erhältlich sind. Von Martin Schwarzbeck –
Artikel lesen

Aufwachsen im Internet: „Die Verantwortung für alles, was auf dem Kinderhandy passiert, liegt bei den Eltern”

Kinder wachsen in einer digitalen Umgebung auf, die sie oft überfordert und gefährdet, sagt der Digitaltrainer Julian Bühler. Schärfere Gesetze und Verbote alleine würden das Problem allerdings nicht lösen. Ein Gespräch über Klassenchats, Alterskontrollen im Netz und die Frage, was wirklich helfen kann. Von Chris Köver –
Artikel lesen

Interview mit Gutachter: „Spätestens jetzt sollte die Bundesdruckerei den Datenatlas öffentlich zugänglich machen“

Mit dem Datenatlas soll die Bundesverwaltung künftig effizienter arbeiten. Doch der erreicht bei weitem nicht den Stand der Technik, schreibt David Zellhöfer in einem Gutachten. Die zuständige Bundesdruckerei erwägt nun „rechtliche Schritte“ gegen ihn. Im Interview bewertet Zellhöfer das Agieren der Behörde.
Von Esther Menhard –
Artikel lesen

netzpolitik.org wirkt: Was unser Journalismus im Jahr 2025 verändert hat

Was bringt eine Spende an netzpolitik.org? Was löst unsere Berichterstattung aus? Wir haben mehr als ein Dutzend Beispiele herausgesucht, die etwas in Bewegung gebracht haben. Sie reichen von der europaweiten Chatkontrolle bis zu einer Kleinstadt in Südbaden und sie zeigen: netzpolitik.org wirkt. Von Markus Reuter –
Artikel lesen

Auszeichnung für unsere Chefredaktion: „netzpolitik.org war in diesem Jahr unverzichtbar“

Zum zweiten Mal hintereinander zeichnet das medium magazin unsere Chefredaktion aus und ehrt netzpolitik.org als „unverzichtbar“. Von netzpolitik.org –
Artikel lesen

Google, Amazon und Mastercard: Wo US-Konzerne beim digitalen Euro mitreden

Weniger Abhängigkeit von den USA ist ein Grundgedanke des Digitalen Euros. Doch ein wichtiges Unternehmen für den Digitalen Euro gehört zum Teil Mastercard. Auch wenn über technische Standards gesprochen wird, sitzen US-Konzerne indirekt mit am Tisch. Von Leonhard Pitz –
Artikel lesen

Anlasslose Massenüberwachung: SPD-Politiker fordert Inhaltskontrolle auf allen Endgeräten

In einer Debatte um die Chatkontrolle fordert SPD-Innenpolitiker Sebastian Fiedler eine Form extremer Überwachung. Auf Fragen, wie diese Überwachung technisch und grundrechtskonform umgesetzt werden soll, hat der Bundestagsabgeordnete offenbar keine Antwort. Von Markus Reuter –
Artikel lesen

Sicherheitsbehörden und Databroker: Bundesregierung macht Datenkauf zum Staatsgeheimnis

Die Bundesregierung verweigert Transparenz darüber, ob deutsche Sicherheitsbehörden bei Datenhändlern einkaufen. Die Frage ist brisant, denn für den Kauf gäbe es keine sichere Rechtsgrundlage. Das zeigen Dokumente aus dem Bundestag, die wir exklusiv vorab veröffentlichen. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Alarm: Uns fehlen noch 179.000 Euro

Wir machen unabhängigen Journalismus für eine offene und freie Gesellschaft. Damit wir nicht ausgerechnet in Zeiten autoritärer Bedrohung unsere Berichterstattung zurückfahren müssen, brauchen wir jetzt deine Unterstützung! Von netzpolitik.org –
Artikel lesen

Internet Governance: Ein Weihnachtswunder der internationalen Digitalpolitik

Die Vereinten Nationen haben sich am Mittwoch in New York darauf verständigt, das Internet Governance Forum zur ständigen UN-Institution zu machen. Was auf dem Spiel stand und warum die Ergebnisse aus Sicht der digitalen Zivilgesellschaft optimistisch stimmen, erklärt Sophia Longwe von Wikimedia Deutschland. Von Gastbeitrag, Sophia Longwe –
Artikel lesen

Umfrage: Noch viel Unkenntnis über die elektronische Patientenakte

Seit knapp einem Jahr gibt es die elektronische Patientenakte. Dennoch kennen viele Versicherte deren Funktionen nicht, und eine große Mehrheit wünscht sich mehr Einstellungsmöglichkeiten. Das ergibt eine Umfrage der Bundesdatenschutzbeauftragten, die bessere Informationspolitik und technische Nachbesserungen fordert. Von Daniel Leisegang –
Artikel lesen

Sachsen: Sogar dem Koalitionspartner ist dieses Polizeigesetz zu hart

Verhaltensscanner, Gesichtserkennung, Filmen in Autos: Die geplante Novelle des Sächsischen Polizeigesetzes enthält viele Verschärfungen. Nach harscher Kritik aus der Zivilgesellschaft geht auch der Koalitionspartner SPD auf Distanz zu einigen Punkten des Entwurfs. Von Leonhard Pitz –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.