Die 23. Kalenderwoche geht zu Ende. Wir haben 21 neue Texte mit insgesamt 267.690 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

in dieser Woche fand in Berlin die re:publica statt. In dem dichten Programm einen roten Faden zu entdecken ist nicht leicht. Zwar war die re:publica in diesem Jahr mit dem Motto „Cash“ überschrieben. Letztlich war dies aber nur ein Thema unter vielen.

Das hat auch was mit der schieren Größe des Events zu tun. Einst als Bloggerkonferenz gestartet, ist die re:publica längst zum großen Schmelztiegel all derer geworden, die sich mit dem Querschnittthema Digitalisierung beschäftigen.

Die Spannweite empfand ich in diesem Jahr als besonders groß: Auf der einen Seite Schufa, Gema, Fintech-Unternehmen sowie etliche Bundesministerien, auf der anderen Verbraucherzentrale, GLS Bank, Bürgerrechtler:innen und Graswurzelinitiativen. Nur selten trafen die unterschiedlichen Akteure auf offener Bühne aufeinander, meist blieb man unter sich.

Dabei hätte mich eine Veranstaltung mit dem Bundesinnenministerium zum Thema Chatkontrolle brennend interessiert. Oder zu illegalen Pushbacks an Europas Außengrenzen. Oder wenn die Neobanken mal öffentlich dem Verbraucherschutz Rede und Antwort stehen müssten. Und wie sähe ein direktes Aufeinandertreffen von Cory Doctorow und der Gema aus? Vielleicht kommt es ja im nächsten Jahr dazu – wenn denn die Sponsoren dabei mitspielen. Statt Cash könnte das Motto dann Crash lauten.

Unterm Strich waren es dennoch schöne Tage am Sandstrand – mit vielen alten und neuen Gesichtern. Einige der inhaltlichen Highlights haben wir auf netzpolitik.org veröffentlicht. Darunter Meredith Whittakers Keynote zur Überwachung im KI-Zeitalter, Constanzes Rückblick anlässlich 10 Jahre Snowden sowie Sebastians Plädoyer für eine besseren Zukunft der Online-Pornografie. Und Chris hat ein bedrückendes Gespräch zu Frontex und Gewalt an EU-Grenzen verschriftlicht – ein Thema, das angesichts der am Donnerstag beschlossenen Verschärfung der europäischen Asylpolitik noch mehr Brisanz erhält.

Als Longread fürs Wochenende möchte ich Euch außerdem eine dreiteilige Recherche von Ingo ans Herz legen. Ingo hat sich den globalen Datenhandel für digitale Werbung angeschaut und wie dieser uns anhand von 650.000 Kategorien zu gläsernen Kund:innen macht. Ein tiefer Einblick in den Maschinenraum einer Branche, die außer Kontrolle ist. Mit großartigen Illustrationen von Ole.

Erholt Euch gut!
Daniel

re:publica 2023: Eine Programmvorschau auf Menschenrechte, Klima und Cash

Am Montag beginnt in Berlin die diesjährige re:publica-Konferenz. An drei Tagen wird eine Vielzahl netzpolitischer Themen unter dem Motto „CASH“ diskutiert. Wir geben einen kleinen Ausblick auf das Programm. Von Johannes Gille –
Artikel lesen

Iran: USA verhängen Sanktionen gegen ArvanCloud

Das iranische Regime versucht, ein abgeschottetes nationales Intranet aufzubauen, damit es das Internet besser abschalten kann. Beim Aufbau dieser Infrastruktur hilft die Firma ArvanCloud, die durch Recherchen von netzpolitik.org, taz und Correctiv international in die Schlagzeilen geriet. Nun belegen auch die USA das Unternehmen mit Sanktionen. Von Markus Reuter –
Artikel lesen

Öffentliches Geld – öffentliches Gut!: Freie und offene Software zum Standard in der Verwaltung machen

Wenn die öffentliche Verwaltung Software entwickelt oder einkauft, sollte sie diese unter freie und offene Lizenzen stellen. Die von der Bundesregierung angestoßene Reform des Vergaberechts bietet jetzt eine gute Gelegenheit, das im Gesetz zu verankern. Für ein echtes Umdenken braucht es aber mehr als eine Gesetzesreform. Von Aline Blankertz, Miriam Seyffarth –
Artikel lesen

Digital Services Act: Wie die Forschung den Datenschatz der Plattformen heben kann

Plattformkonzerne wie Facebook sollen ihre Datenschätze für Wissenschaftler:innen öffnen und dadurch Forschung zu Themen wie Hassrede und politischer Polarisierung ermöglichen. So will es ein neues EU-Digitalgesetz. Doch Schlüsselfragen sind noch ungeklärt. Von Alexander Fanta –
Artikel lesen

Tätigkeitsberichte der Landesdatenschutzbehörden: Viele Verfahren gegen die Polizei wegen Datenschutzverstößen

Rechtswidrige Zugriffe auf Datenbanken durch Polizist*innen, unachtsamer Umgang mit Gesundheitsdaten und Videoüberwachung. Auch 2022 verzeichneten die Landesdatenschutzbehörden grobe Mängel und Pannen in Bezug auf Datenschutz- und Auskunftsrechte. Ein Blick auf die größten Themen. Von Anna-Lena Schmierer –
Artikel lesen

Netzneutralität: Wenig Liebe für EU-Datenmaut

Eine Mehrheit von EU-Ländern steht einem Medienbericht zufolge einer möglichen EU-Datenmaut ablehnend gegenüber. Gegenwind für die Idee kommt auch von Regulierungsbehörden, Internetexpert:innen und der Zivilgesellschaft. Von Tomas Rudl –
Artikel lesen

Kein Porno ohne Ausweis: Der Medienaufsicht ist Datenschutz „wumpe“

Alle Erwachsenen sollen vor dem Besuch einer Pornoseite ihren Ausweis zücken, das will die deutsche Medienaufsicht. Auf der re:publica verteidigte Medienwächter Marc Jan Eumann den Kurs seiner Behörde: Ihm sei der Datenschutz von Nutzer*innen egal. Ein Kommentar. Von Sebastian Meineck –
Artikel lesen

Sicherheitslücke: Einbrecher könnten Heimüberwachungskamera von Amazon Ring einfach abschalten

Die Heimüberwachungsprodukte von Amazon Ring stehen immer wieder wegen der privaten Ausweitung von Videoüberwachung in der Kritik. Jetzt kommt heraus: Mit etwas Finesse können Einbrecher die Überwachungstürklingeln einfach abschalten. Von Markus Reuter –
Artikel lesen

Zehn Jahre Snowden: Den Geheimdiensten endlich Grenzen setzen

Dass vom größten Abhörskandal der Geschichte auszugehen sei, stand schon 2013 in den Zeitungen, obwohl die Snowden-Enthüllungen noch jahrelang weitergehen sollten. Zehn Jahre später lohnt der Blick zurück auf Massenüberwachung, Spionageangriffe und einige der Konsequenzen, denn bis heute ist die Überwachung maßlos. Ein Kommentar. Von Constanze –
Artikel lesen

re:publica: Was Pornoseiten aus kleinen Nackt-Communitys lernen können

Auf Pornoseiten kursieren auch Aufnahmen von Menschen, die sich niemals nackt im Netz zeigen wollten. Also führen große Anbieter Ausweiskontrollen ein. Das macht wenig besser – und vieles kaputt. Kreative Lösungen aus kleinen Communitys zeigen: Eine bessere Zukunft der Online-Pornografie ist möglich, ohne Datensammelei und digitale Gewalt. Von Sebastian Meineck –
Artikel lesen

Verwaltungsdigitalisierung: Von Beratern, abgeschotteten Gremien und zusammengewürfelten Baukästen

Die Digitalisierung der Verwaltung siecht vor sich hin. Daran wird auch ein überarbeitetes Onlinezugangsgesetz kaum etwas ändern, weil es an einer Gesamtstrategie mangelt, erklärt der IT-Experte Markus Drenger im Interview. Von Esther Menhard –
Artikel lesen

Klagen lohnt sich: Videoüberwachung von beliebter Grünanlage in Passau illegal

Obwohl es wenig Kriminalität im Klostergarten gab, hatte die Stadt Passau dort zehn Videokameras installiert. Ein Bürger wehrte sich und zog durch die Instanzen. Jetzt hatte er Erfolg: Die Kameras sind rechtswidrig. Ein Beispiel, das Schule machen könnte. Von Markus Reuter –
Artikel lesen

Gewalt an EU-Grenzen: Menschen auf der Flucht streamen brutale Pushbacks auf TikTok

Mehr als 25.000 Fälle von Gewalt an den Außengrenzen der EU, das ist die aktuelle Bilanz des Border Violence Monitoring Projects. Grenzbeamt:innen zerstören dabei reihenweise Smartphones, berichtet Milena Zajović auf der re:publica – auch weil Geflüchtete damit die Verletzung ihrer Menschenrechte dokumentieren. Von Chris Köver –
Artikel lesen

Künstliche Intelligenz: Vermessung bis ins Innerste

Künstliche Intelligenz ist übermächtig und bedroht die ganze Menschheit, so die eindringliche Warnung vieler Tech-Unternehmen. Tatsächlich aber soll dieser Mythos die kommerzielle Überwachung vorantreiben, Regulierung unterbinden und die Ausbeutung von Arbeiter:innen verschleiern. Von Gastbeitrag, Meredith Whittaker –
Artikel lesen

Microsofts Datenmarktplatz Xandr: Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert

Ein öffentlich auffindbares Dokument gibt einen einmaligen Einblick in den globalen Datenhandel für die digitale Werbung. Erstmalig können wir nachvollziehen, wie invasiv und kleinteilig die Werbefirmen und Datenhändler uns kategorisieren. Das Bild ist erschreckend, auch zahlreiche deutsche Firmen sind beteiligt. Von Ingo Dachwitz –
Artikel lesen

Werbetracking: Wie deutsche Firmen am Geschäft mit unseren Daten verdienen

Wenn es um Firmen geht, die pausenlos Daten für Werbezwecke sammeln, denken viele an die USA. Unsere Recherche zeigt, wie tief deutsche Unternehmen inzwischen in das Netzwerk der Datenhändler verwoben sind und dass sie auch heikle Datenkategorien anboten. Beteiligt sind Konzerne wie die Deutsche Telekom und ProSiebenSat1. Von Ingo Dachwitz –
Artikel lesen

Auskunftsanfragen: So findest du heraus, was Datenhändler über dich gespeichert haben

Datenhändler wissen viel über uns, doch sie selbst arbeiten lieber im Schatten. Wer trotzdem herausfinden will, was sie gespeichert haben, kann sich auf die Datenschutzgrundverordnung berufen. Wir erklären, wie es geht. Von Ingo Dachwitz, Anna-Lena Schmierer –
Artikel lesen

Lobbying in Brüssel: Fleischgewordener Interessenskonflikt

Ausgerechnet an Fronleichnam schlägt die EU-Kommission ein neues Gremium vor, das Ethikverstöße des eigenen Personals regeln soll. Doch das hindert Kommissar:innen und Abgeordnete künftig kaum, ihr Wissen und ihre Kontakte an die Industrie zu verkaufen. Ein Kommentar. Von Alexander Fanta –
Artikel lesen

Verlierer, Liebhaber, Junkies: In diese absurden Schubladen steckt dich die Werbeindustrie

Ob du es willst oder nicht – die Werbeindustrie verpasst dir beklemmend ungeschönte Labels über deine Persönlichkeit. 650.000 davon haben wir in unserer Exklusiv-Recherche untersucht. Die absurdesten findest du hier. Und ja: Es gibt wirklich eine eigene Kategorie für Loser. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Werbetracking: Das System kann weg

Unsere Datenhändler-Recherche hat gezeigt, wie die Online-Werbeindustrie uns in kleinteilige Schubladen steckt. Jetzt wird es Zeit, das gesamte System der personalisierten Werbung in Frage zu stellen. Das Geschäft mit unseren Daten muss aufhören. Ein Kommentar. Von Anna Biselli –
Artikel lesen

Going Dark: EU gründet Arbeitsgruppe gegen Verschlüsselung und Anonymität

Die schwedische Ratspräsidentschaft postuliert ein neues Prinzip „Security-by-Design“, mit dem sie Verschlüsselung und Anonymisierung im Netz angreifen will. Eine hochrangige Expertengruppe soll das Thema bearbeiten. Wir veröffentlichen einen eingestuften Drahtbericht dazu im Volltext. Von Markus Reuter –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die schwedische Ratspräsidentschaft postuliert ein neues Prinzip „Security-by-Design“, mit dem sie Verschlüsselung und Anonymisierung im Netz angreifen will. Eine hochrangige Expertengruppe soll das Thema bearbeiten. Wir veröffentlichen einen eingestuften Drahtbericht dazu im Volltext.

Die schwedische EU-Ratspräsidentschaft macht Druck in Sachen Crypto Wars, also dem Kampf gegen sichere Verschlüsselung von Kommunikation und Daten. Schon im Januar hatte Schweden verlautbart, dass es hierbei einen Schwerpunkt in der Europäischen Union setzen wolle.

Unter dem Schlagwort „Going Dark“, frei übersetzt mit „blind und taub werden“, beklagen Sicherheitsbehörden schon seit Jahren, dass sie wegen fortschreitender Verschlüsselungs- und Anonymisierungstechnologien nicht mehr genug und effektiv ermitteln könnten. Eine hochrangige Expertengruppe (HLEG) soll sich nun dieses Themas in der Europäischen Union annehmen.

In einem öffentlichen Papier zur Errichtung dieser Gruppe aus dem März (PDF) heißt es:

Wenn nicht angemessen reagiert wird, besteht die reale Gefahr, dass dieser derzeitige Trend es Kriminellen ermöglicht, „unterzutauchen“, indem sichere Online-Häfen der Straffreiheit geschaffen werden, in denen die Anonymität der Kriminellen auf Kosten der Opfer und potenziellen Opfer von Straftaten gewährleistet ist.

Mantra des „Going Dark“

Dieses Mantra des „Going Dark“, dem allerdings polizeiliche Ermittlungserfolge, der Rückgang von Kriminalität, die Zunahme generell verfügbarer digitaler Daten für die Ermittlungen und die Wissenschaft widersprechen, nimmt die EU-Ratspräsidentschaft nun auf. Sie wird eine „Hochrangige Expertengruppe“ als beratendes Gremium einsetzen. Diese soll eine „strategische Zukunftsvision“ formulieren und Empfehlungen vorzuschlagen, um den „Zugang zu Daten für eine wirksame Strafverfolgung zu erweitern und zu verbessern“.

Konkret geht es um einen Angriff auf Verschlüsselungs- und Anonymisierungstechnologien, denn ein bisschen Verschlüsselung oder Anonymität ist technisch nicht möglich. Haben Sicherheitsbehörden Zugriff auf verschlüsselte Kommunikation, ist diese nicht mehr sicher. Das scheint auch den Beteiligten klar zu sein, wie es in einem eingestuften Drahtbericht der Deutschen EU-Vertretung in Brüssel heißt, den wie veröffentlichen. Die schwedische Präsidentschaft habe das Thema ausgesucht, „obwohl es möglicherweise als Problem unlösbar erscheine. Es solle aber dennoch versucht werden, Lösungen zu finden.“

Zivilgesellschaft außen vor

Laut einem Dokument vom 17. Mai (PDF) soll dieses Gremium am 19. Juni das erste Mal zusammentreffen. Die Gruppe wird von der Generaldirektion für Migration und Inneres der Europäischen Kommission und von Vertretern des Mitgliedstaates geleitet, der den Ratsvorsitz innehat – von Juli bis Dezember 2023 ist dies Spanien.

Die Gruppe wird sich aus hochrangigen Vertretern der EU-Länder, der Kommission und einschlägiger EU-Institutionen und -Agenturen wie Europol oder dem Koordinator wie Terrorismusbekämpfung zusammensetzen. Das EU-Parlament hat eine beobachtende Rolle. Vertreter:innen aus der Wissenschaft, der Zivilgesellschaft und der Wirtschaft werden nur punktuell und auf Ad-hoc-Basis beteiligt sein.

Die Expert:innengruppe soll bis Mitte 2024 technische, legislative und kommunikatorische Vorschläge erarbeiten. Als besonders dringend werden dabei im Dokument folgende Themen beschrieben:

• Verschlüsselung (Zugang im Klartext zu gespeicherten Inhalten und digitalen Kommunikationsdaten);
• Vorratsdatenspeicherung;
• Lokalisierungsdaten und Roamingdaten;
• Anonymisierung, einschließlich VPN und Darknets

Die Stoßrichtung sind also alle Tools, die Privatheit der Kommunikation sowie Anonymität gewährleisten wie verschlüsselte Messenger, aber auch VPNs oder Tor. Gleichzeitig soll der ewige Zombie Vorratsdatenspeicherung, obschon mehrfach höchstgerichtlich abgewatscht, neues Futter von der Expertengruppe erhalten.

„Security-by-design“

Das ganze Projekt soll – und hier lehnt man sich an das bekannte Datenschutzprinzip „Privacy-by-Design“ (Datenschutz durch Technikgestaltung) an – nunmehr das Prinzip „Security-by-design“ (Sicherheit durch Technikgestaltung) verfolgen. Zugleich wird auch der Grundsatz „Access by Design“, also Zugang durch die Ausgestaltung der Technik postuliert.

Der Piraten-Abgeordnete Patrick Breyer sieht „Security-by-design“ als Versuch an, Überwachung so als politischen und technischen Standard zu etablieren. Und auch hierzu wird im Dokument ein Arbeitsauftrag an die Expertengruppe aufgestellt, der genau in diese Richtung deutet:

Die hochrangige Expertengruppe wird insbesondere untersuchen, wie „Security by Design“ zu einer Standardanforderung bei der Entwicklung neuer Technologien werden könnte. Dies würde vor allem bedeuten, dass über eine stärkere Beteiligung von Vertretern der Strafverfolgungsbehörden in den einschlägigen internationalen Normungsgremien wie CEN/CENELEC, ETSI oder 3GPP nachgedacht werden müsste.

Zwar stellt das Papier voran, dass dies alles unter „voller Wahrung der Grundrechte“ geschehen solle, doch was heißt dies konkret, wenn Privatsphäre und Anonymität die Punkte sind, gegen die diese Expertengruppe agieren soll?

„Verschlüsselung nicht insgesamt verhindern“

Im eingestuften Drahtbericht wird angedeutet, wohin die EU-Kommission das Thema führen könnte. Sie stellte in einer Sitzung im Februar fest, dass es in der EU „bislang keine Vorgaben zur Verschlüsselung“ gebe. Es bedürfe guter, im Einklang mit den EU-Werten stehender Instrumente, „die eine Verschlüsselung nicht insgesamt verhindern“, zitiert die deutsche Vertretung die Kommission weiter. Das klingt nach Einschränkungen oder Hintertüren bei der Ende-zu-Ende-Verschlüsselung.

Der EU-Abgeordnete Patrick Breyer von den Piraten fordert die EU-Kommission deswegen auf, die „Anti-Verschlüsselungs- und Anti-Anonymitäts-Arbeitsgruppe“ sofort zu stoppen. „Dies ist ein Angriff auf alles, was uns online sicher macht“, so Breyer weiter. „Going dark“ sei eine Angststörung, unter der der Sicherheitskomplex leide. „In Wahrheit hatten die Strafverfolgungsbehörden noch nie einen so weitreichenden Zugang zu unserem Privatleben und unserer Persönlichkeit wie im digitalen Zeitalter“, sagt Breyer.

Hier das Dokument im Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 17.02.2023
• Von: Ständige Vertretung EU Brüssel
• An: Auswärtiges Amt
• Cc: BKAMT, BMF, BMI, EUROBMF, BMJ, BMWK
• Betreff: Sitzung des CATS (Koordinierungsausschusses für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen) am 16.02.023 | TOPs 1,2,4-6
• Hier: u.a. „Going Dark“, 9. Eval.-Runde
• Zweck: Zur Unterrichtung

Sitzung des CATS am 16.02.023

I. Zusammenfassung und Wertung

Die Diskussion von „Going Dark“ beim CATS zeigte ein weitgehend homogenes Meinungsbild unter den MS, die sich sämtlich zu Wort meldeten. Eine weitere Befassung des CATS wurde von allen befürwortet. Die Liste der Unterthemen wurde allgemein als erschöpfend oder jedenfalls nahezu erschöpfend erachtet. Mehrere MS gingen auf die Rspr. des EuGH im Allgemeinen und das anhängige Encrochat-Verfahren im Besonderen ein (u.a. EST, NLD).

Der Abschlussbericht der 9. Runde gegenseitiger Evaluationen wurde durch SWE Präs. vorgestellt (TOP 4).

SWE Präs. gab einen Überblick über den Verhandlungsstand bei den nicht in COPEN behandelten Dossiers E-Privacy, European Media Freedom Act und KI. Auch über die anstehenden Gespräche hochrangiger EU und US-Beamter im JI-Bereich informierte SWE Präs (TOP 5).

Bei den sonstigen Punkten wies PRT auf eine Konferenz in Lissabon Ende März 2023 zum Thema „Going Dark“ hin. AUT äußerte sich zu Bestimmungen zur strafrechtlichen Zusammenarbeit im Gibraltar-Abkommen und erhielt dabei Unterstützung durch FIN, LUX und NLD, jedoch Widerspruch durch ESP (TOP 6).

Feedback: Bitte denken Sie daran, der AV Rückmeldung auf Bericht und Handlungsempfehlung zu geben.

II. Im Einzelnen

TOP 2 a und b („Going Dark“)

SWE Präs./Vors. COSI-Gruppe berichtete von der Diskussion des Themas „Going Dark“ beim Innenteil des informellen JI-Rats am 26./27. Januar 2023 in Stockholm. Beim Austausch der Innenministerinnen und –minister seien zwar einige hinsichtlich des Themas enthusiastischer gewesen als andere, insgesamt habe aber Einigkeit bestanden, dass dem „Going Dark“-Problem weiter nachgegangen werden solle. Dabei sei allseits bewusst gewesen, dass eine Lösung des Themas noch nicht in Sicht sei. Es habe aber ein klares Mandat der Ministerinnen und Minister gegeben, das Problem „in eine entsprechende Form zu gießen“, es weiter aufzubereiten.

SWE Präs. habe das Thema ausgesucht, obwohl es möglicherweise als Problem unlösbar erscheine. Es solle aber dennoch versucht werden, Lösungen zu finden. Derzeit sei ein „Aufschrei“ der Strafverfolgungsbehörden deutlich zu vernehmen. Diese könnten ihren Aufgaben nicht mehr vollumfänglich nachkommen, da die Realität sich durch die Digitalisierung laufend verändere, ohne dass der regulatorische und technische Handlungsrahmen der Behörden hinreichend angepasst werde. Die hierdurch entstehenden Probleme würden durch den technischen Fortschritt stetig wachsen, neue Verschlüsselungssoftwareprodukte kämen nahezu wöchentlich auf den Markt. Zwar habe es jüngst einen erheblichen Erfolg damit gegeben, dass das E-Evidence-Dossier im AStV2 sowie im LIBE-Ausschuss des EP angenommen wurde. Der Gesetzgebungsprozess sei aber mit sieben Jahren deutlich zu lang gewesen.

Wichtig sei auch, dass die Opfer mehr in den Fokus der Betrachtungen rückten, führte SWE Präs. weiter aus. Die MS treffe eine Pflicht zur Kriminalprävention, die unter anderem aus der Schutzfunktion von Grundrechten folge. Schließlich sei auch darauf hinzuweisen, dass das Recht auf Privatsphäre und das Recht auf Sicherheit gleichwertig nebeneinanderstünden und nicht das erste das zweite Recht verdränge oder überwiege.

Das erste Mal, dass ganz konkrete Lösungen im Hinblick auf das „Going Dark“-Problem gefunden worden seien, sei bei der Entschlüsselung von „Encrochat“ gewesen. Diese Ermittlungserfolge hätten zu über tausend Verurteilungen in SWE geführt. Es hätten allein zehn Mordkomplotte rechtzeitig aufgedeckt und damit Morde verhindert werden können. Nahezu erstmals habe man in SWE auch konkrete Beweise gegen die höchste Ebene der organisierten Kriminalität in der Hand gehabt. Es stelle sich die Frage, ob nicht etwa auch im Hinblick darauf, dass Verschlüsselungstechnologien wie Encrochat bislang legal vertrieben werden könnten, gesetzliche Anpassungen erforderlich sein könnten. Es könne nicht sein, dass solche Technologien Behörden „im Dunkeln tappen ließen“ und Kriminellen sichere Häfen böten.

Es seien nun Diskussionen darüber angezeigt, was konkret angegangen werden könne und solle. Im COSI-Bereich sollen Foren geschaffen werden. Insbesondere wolle SWE Präs. die Gründung einer hochrangigen Arbeitsgruppe vorschlagen, inspiriert durch Erfolge bei der Interoperabilität. Darüber werde dann im Frühjahr in COSI berichtet werden. Die Hoffnung sei, dass dann in wenigen Jahren tatsächlich Lösungen oder Lösungsvorschläge vorhanden seien, die umgesetzt werden könnten. Das können technische oder auch rechtliche Lösungen sein.

Dabei solle ein interdisziplinärer Ansatz verfolgt werden, denn das Thema sein keine rein innenpolitische Frage. Einschätzungen von Innen- und Justizseite sowie auch jene von privaten Stakeholdern seien wichtig. Deswegen sei das Thema auch auf die Agenda von CATS worden. Es sei dabei aber keineswegs eine Doppelung zur in COSI u.a. in der kommenden Woche geplanten Diskussion bezweckt, vielmehr sei auch ein unterschiedliches Arbeitsdokument vorgelegt worden. Im vorgelegten Dokument (6013/23) sei der Schwerpunkt auf den Zugang zu Kommunikationsdaten gelegt worden, gemeint seien u.a. Daten aus dem Internet und aus der elektronischen Kommunikation. Spyware sei bewusst nicht extra genannt worden, da es sich hierbei um ein hochsensibles Thema handele. Bei einer Ende-zu-Ende-Verschlüsselung sei es unmöglich, Informationen abzufangen, weswegen es z.B. beim Media Freedom Act entsprechende Diskussionen gebe. Ein Aspekt bei der Problemanalyse sei auch der Zeitplan für die Diskussionen, bei E-Evidence hätten sie sieben Jahre gedauert. Auch E-Evidence erstrecke sich jedoch nicht auf die Echtzeit-Erlangung von Informationen. Hier sei noch ein weiter Weg zu beschreiten, bis es einen entsprechenden Rechtsrahmen gebe. Wichtig sei, dass der bestehende Rechtsrahmen ergänzt, dass bestehende Lücken also geschlossen werden.

KOM begrüßte, dass eine entsprechende Diskussion auch im CATS geführt werde. Es handele sich um ein gutes Thema, das es aus verschiedenen Perspektiven zu beleuchten gelte. Es stelle sich stets die Frage, wie den Strafverfolgungsbehörden gute Instrumente an die Hand gegeben werden können, die mit den gemeinsamen Werten in Einklang stünden. E-Evidence sei hier ein gelungenes Beispiel. Die Zustimmung des EP zum zweiten Zusatzprotokoll zur Budapest-Konvention erlaube den MS nun auch die Ratifizierung. Zudem könnten nun die Gespräche mit den USA zu E-Evidence wiederaufgenommen werden. Beim Thema Zugang zu Kommunikationsdaten könne sich die Diskussion nicht auf eine bloße Grundrechtsabwägung beschränken, vielmehr sei zu beachten, dass eine Verschlüsselung einen Zugriff manchmal faktisch ganz verhindere. In der EU gebe es bislang keine Vorgaben zur Verschlüsselung. Diese sei aber nicht nur negativ zu sehen, sondern erfülle auch eine wichtige Funktion zum Schutz der Privatsphäre. Es bedürfe daher guter, im Einklang mit den EU-Werten stehender Instrumente, die eine Verschlüsselung nicht insgesamt verhindern.

Der Rechtsdienst des Rates führte aus, dass es in den jüngeren Jahren eine Reihe an Vorschlägen zum digitalen Raum gegeben habe. Die Rechtsgrundlage sei dabei jeweils Art. 114 EUV gewesen (Einrichtung und Funktionieren des Binnenmarktes). Und trotz dessen würden sie direkte oder indirekte Auswirkungen auf Verfügbarkeit von Daten im Internet haben und damit auch für die Strafverfolgung Auswirkungen haben. Beispiele hierfür seien etwa E-Privacy, CSA, KI. Die Entscheidung für eine bestimmte Rechtsgrundlage habe konkrete Auswirkungen auf die Zielsetzung des Gesetzesvorhabens. Die Anwendung eines Rechtsaktes, der sich auf Art. 114 EUV stütze, sei in der Regel Privaten überlassen, nur manchmal auch den Verwaltungsbehörden. Der Bereich der Strafverfolgungsbehörden bleibe in der Regel außen vor. Wenn ein Instrument auf Art. 114 EUV gestützt werde, sei er in der Regel nicht auf Strafverfolgung zugeschnitten. Und wen es keine bzw. keine konkreten Regeln zur Strafverfolgung gebe, sei das nicht unbedingt gut. Denn dann würden Gerichte teilweise de facto Regeln unter Anwendung der Primärrechtsnormen aufstellen. Und dies könne unerwartete Folgen haben. Nachdem nun das E-Evidence-Dossier und das Budapest-Dossier geeinigt seien, sei es an der Zeit, die gesetzliche Landschaft in dem Bereich anzuschauen und nach Lücken zu suchen, die es zu füllen gelte. Die KOM erwiderte hierauf, dass die Rechtsgrundlage eben von dem Regelungsinhalt abhänge und nicht einfach so ausgewählt werden könne.

Alle MS sprachen sich weitestgehend homogen zu den mit dem Diskussionspapier (6013/23) vorgelegten Fragen aus. Die erste Frage nach einer weiteren Befassung des CATS mit der „Going Dark“-Thematik („Do you share the view that, as part of a necessary multidisciplinary approach, CATS should participate in identifying challenges and possible opportunities, in particular when it comes to access to communications data? Do you agree that CATS should keep a horizontal view focusing on aspects related to criminal justice?”) wurde von sämtlichen MS bejaht. Bei der zweiten Frage nach Ergänzungen der aufgeworfenen Themenbereiche („Do you see aspects of access to communications data which should already be identified as requiring attention from a criminal justice point of view, other than those already mentioned throughout the document (such as data retention, e-evidence, end-to-end encryption and lawful interception, derogation clauses, territoriality issues, etc) to be addressed in future discussions related to this „going dark” challenge ?”) sahen die MS das vorgelegte Papier als bereits erschöpfend oder jedenfalls nahezu erschöpfend an. Einige MS betonten dabei das auch vom Rechtsdienst des Rats aufgeworfene Subthema, dass die Rspr. des EuGH genau analysiert werden müsse (u.a. ESP, NLD)

Darüber hinaus wiesen die MS auf Folgendes hin:

DEU betonte u.a., dass sich die Fragen des Datenzugriffs und der Datenspeicherung nicht sinnvoll voneinander trennen ließen, denn Ermittlungsbehörden könnten nur tatsächlich vorgehaltene Daten erheben. Bei der Diskussion seien vor allem vier Arbeitsbereiche relevant: Aufbau von sachlichen und technischen Kapazitäten, Informationsaustausch zwischen den zuständigen nationalen und internationalen Behörden, Standardisierung sowie ein Dialog auch mit Anbieter von Diensten, die über keine eigene Infrastruktur verfügen, z.B. Telegram, Facebook.

FRA forderte, dass dem JI-Bereich auch bei einschlägigen Art. 114-Dossiers ein Mitspracherecht eingeräumt werden solle, etwa jenen, die in der Tele-Arbeitsgruppe diskutiert würden (so etwa auch FIN). Beim Media Freedom Act sei etwa gerade im Hinblick auf die vorgesehene Auflistung schwerer Straftaten ein defensives Vorgehen angezeigt, bei E-Privacy hingegen ein offensives. Vor kurzem habe der FRA JM den EuGH besucht. Der EuGH-Präsident Koen Lenaerts habe dabei darauf hingewiesen, dass der Gesetzgeber den rechtlichen Rahmen enger stecken müsse, wenn Unzufriedenheit mit der Rechtsprechung bestehe, dies gelte etwa im Hinblick auf E-Privacy. FRA begrüße zudem die Befassung mit der Encrochat-Thematik in der COPEN. Es sei gut, dass E-Evidence schließlich geeinigt werden konnte, jedoch hätten die Prozesse dahin zu lange gedauert.

PRT betonte das Erfordernis eines multidisziplinären Ansatzes und regte eine gemeinsame Sitzung der Ministerinnen und Minister der Innenressorts mit denen der Justizressorts an.

ROU und SVK hoben hervor, dass die heute noch bestehende Fragmentierung überwunden werden müsse. Zunächst sei eine Fokussierung auf die Themen Datenspeicherung, E-Evidence und Verschlüsselung sinnvoll, wie ROU weiter ausführte. SVK betonte daneben, dass, wenn es kein effektives Handeln der Strafverfolgungsbehörden gebe, weder Grundrechte der Opfer noch der Täter Geltung entfalten würden. Den Tätern dürfe es nicht zu leicht gemacht werden. Expertinnen und Experten von EJCN und anderen Gruppen sollten gehört werden, bei Arbeitsgruppen solle ein horizontaler Ansatz gewählt werden. Wichtig sei auch der Terminologie-Aspekt, in den verschiedenen Instrumenten aus unterschiedlichen Fachbereichen müsse dennoch eine einheitliche Terminologie gewählt werden.

ESP griff auf, dass bestimmte Bereiche in JI-Formationen nicht behandelt würden, aber trotzdem für die Strafverfolgung notwendig seien. Wichtig sei auch der Hinweis des Rechtsdienstes gewesen: Die Rspr. des EuGH müsse genau analysiert und mögliche legislatorische Lücken müssten geschlossen werden.

SVN betonte, dass auch hohe Menschenrechtsstandards aufrechterhalten werden müssten und die Behörden sich im technischen Bereich nicht zu sehr auf den Privatsektor verlassen dürften. Eine Einbindung des CATS sei für ein angemessenes Gleichgewicht zwingend. Schockierend sei indes die Entscheidung des EuGH zur Beneficial Ownership gewesen. Es sei doch erstaunlich, wie sehr der EuGH die Privatsphäre gegenüber anderen Rechtsgütern und –grundsätzen priorisiere. Entsprechend äußerten sich auch IRL und LVA zu der EuGH-Entscheidung.

EST warnte davor, dass sich Urteile des EuGH – insbesondere das zu Encrochat – auch empfindlich auf die Möglichkeiten der Beweiserhebung in den MS auswirken könne. Es seien gegenseitiges Vertrauen und Zusammenarbeit erforderlich. Es bestehe zudem der Eindruck, dass es im Datenschutzbereich an Kohärenz zwischen den verschiedenen Sektoren fehle. Momentan werde noch zu sehr „in Silos“ gearbeitet.

Auch NLD ging – wie EST – auf das Encrochat-Verfahren beim EuGH ein. Die möglichen Auswirkungen dürften nicht unterschätzt werden. Alle MS hätten noch die Möglichkeit, sich bei der mündlichen Anhörung zu äußern.

LUX nannte als weiteren in die Diskussion miteinzubeziehenden Aspekt den der Cybersicherheit.

DEN begrüßte, dass ein globaler Betrachtungsansatz bei der Thematik des Zugangs zu Daten gewählt werden solle.

AUT lobte das von SWE Präs. vorgelegte Papier und betonte, dass es bei dem Thema auch um Vertrauen in den Rechtsstaat gehe. Wenn die Polizei einem Opfer eingestehen müsse, mit den vorhandenen Ermittlungsmöglichkeiten nicht weiterzukommen, dann aber eine privat eingeschaltete Hackergruppe herausfinde, dass der Täter in unmittelbarer Nähe sitze, dann stehe der Staat nicht gut da. Die Einbeziehung von CATS sei auch deswegen wichtig, da die Aufgabenverteilung zwischen COSI und CATS nicht bei allen MS gleich sei. Möglicherweise sei der Gedanke des Rechtsdienstes weiterzuverfolgen und es könne in Betracht gezogen werden, manche Binnenmarkt-Dossiers um strafprozessuale Vorschriften zu ergänzen. Wichtig sei nicht zuletzt auch, nicht nur legislatorische Maßnahmen zu ergreifen, sondern auch solche der „Public Relations“, etwa um auch im EP ein entsprechendes Bewusstsein zu wecken.

BGR sprach sich für neuen gesetzgeberischen Rahmen auf EU-Ebene zu Daten aus. Die Anti-Terrorismus-Koordinatorin regte an, die Gesprächsforen noch weiter auszudehnen, etwa auf den LIBE-Ausschuss oder den EU-Datenschutzbeauftragten. Ein ähnliches Vorgehen sei in der Vergangenheit im Migrationsbereich sehr erfolgreich gewesen. Ähnlich wie auch schon einige MS wies sie darauf hin, dass das Encrochat-Urteil des EuGH „riesige Auswirkungen“ haben werde. SWE Präs. wies abschließend auf eine „Outreach-Veranstaltung“ zu „Going Dark“ am 18.4. in Brüssel hin.

TOP 4 (Neunte Runde gegenseitiger Evaluierungen)

SWE. Präs. stellte den Abschlussbericht zur Neunten Runde gegenseitiger Evaluierungen vor. Insgesamt sei ein positives Fazit zu ziehen, jedoch würden manche Instrumente leider nur sehr selten genutzt. SWE Präs. wolle daher sehen, wie ein Follow up hierzu aussehen könne.

KOM gab an, etwa zur Frage der Urteile in Absentia den Dialog mit den MS suchen zu wollen. Im Handbuch zum Europäischen Haftbefehl würden künftig deutlich ausführlichere Passagen aufgenommen werden. Bei manchen Rahmenbeschlüssen stelle sich die Frage, ob diese noch zeitgemäß bzw. ausreichend seien oder einer Ausweitung bedürfen. Zum Thema Untersuchungshaft habe KOM vor kurzem ihre Empfehlungen vorgelegt und hoffe, dass diese Beachtung finden.

AUT wies auf das Spannungsverhältnis zwischen dem Rahmenbeschluss zur Vollstreckung von Freiheitsstrafen und dem Europäischen Haftbefehl hin. Hierzu seien auch die Empfehlungen im Praxisbericht des EJTN interessant. Die gesetzliche Bestimmungen seien hier relativ beschränkt und der EuGH „stoße hier ins Vakuum hinein“. Daher seien möglicherweise weitergehende gesetzliche Regelungen in Betracht zu ziehen.

TOP 5

a) Gespräche hochrangiger Beamter von EU und USA

SWE Präs. berichtete, dass die Vorbereitungen für das EU – US Senior Officials Meeting zu JI-Themen am 16. und 17. März 2023 in Stockholm laufen würden. Von US-Seite würden Vertreter des Department of Homeland Security, sowie des Department of Justice und des Department of State teilnehmen. Inhaltlich würde an die unter CZE Präs. geführten Gespräche angeknüpft werden. Besprochen werden sollen eine gemeinsame Reaktion auf den Angriffskrieg in der UKR sowie die Sicherheitsbedrohungen, die sich daraus ergeben. Damit zusammenhängen würden Themen wie Sanktionen, Konfiszierungen und kriegsbedingte Umweltzerstörung. Themen bei den Gesprächen sollen zudem die bessere Bekämpfung von Terrorismus und gewaltbereiten Extremismus sein. Ein besserer Austausch werde hier angestrebt. Auch solle es um „Going Dark“, um Waffen- und Drogenschmuggel, Organisierte Kriminalität sowie Gewalt durch Gangs gehen. Über die Gespräche der Expertengruppe solle es zudem erste Informationen geben.

KOM wies auf das Thema der Umweltverbrechen hin. Hier solle in Fortführung der Arbeiten von der Ministertagung im Juni 2022 die Ermittlung von Umweltstraftaten in UKR diskutiert werden. Daneben führte KOM aus, dass nun die Diskussionen mit den USA zu E-Evidence fortgeführt würden. Zwischenzeitlich hätten die USA ein Abkommen mit dem VK und Australien abgeschlossen. Anhand dieser Texte lasse sich erahnen, wie die Vorstellungen der USA in diesem Bereich seien. Die EU wolle erläutern, wie die internen Verhandlungen zu E-Evidence gelaufen seien. KOM wolle den MS zwar zusagen, dass sie diese immer konsultieren werde. Manche Verhandlungselemente mit den USA würden aber auch in der Erwartung gegenseitiger Vertraulichkeit erfolgen. Nachdem ursprünglich für 2023 vier Sitzungen geplant worden seien, bestünde nun Einigkeit, dass es nur zwei würden, eine erste Runde im März und eine vor oder nach der Sommerpause.

b) Fortschrittsberichte zu ausgewählten nicht in COPEN verhandelten Dossiers

SWE Präs. betonte eingangs, dass sich bei den drei Dossiers E-Privacy, Media Freedom Act und KI nicht viel getan habe. Beim European Media Freedom Act werde eine Liste von Straftaten diskutiert, darunter einige, auf die sich der Europäische Haftbefehl beziehe. Auch gehe es um ein Verbot der Anwendung von Spyware auf Endgeräten von Journalisten oder deren Angehörigen. Beide Themen seien sehr umstritten. Beim KI-Rechtsakt habe es im September 2022 eine Allgemeine Ausrichtung gegeben. Nun werde der Bericht des EP erwartet, der für das erste Quartal 2023 angekündigt sei.

SVK – unterstützt durch ITA – bat darum, dass es zu dem TOP künftig schriftliche Vorbereitungsunterlagen und umfangreichere Informationen gebe, sodass eine echte Diskussion stattfinden könne. SVK wies zudem darauf hin, dass der European Media Freedom Act Auswirkungen auf das Strafrecht haben könne, dann passe allerdings die Rechtsgrundlage eigentlich nicht.

TOP 6: Sonstiges

PRT wies auf eine Konferenz in Lissabon am 29. und 30. März 2023 hin, bei der es ebenfalls um Themen gehen solle, die hier mit „Going Dark“ umschrieben worden seien. Die Initiative für die Konferenz sei auf einer Sitzung PRT Polizeichefs entstanden.

AUT ging auf das Gibraltar-Abkommen ein, dass ein Folgeproblem des Brexit sei. Im Rat werde es in der Arbeitsgruppe VK behandelt. In der AG würden größtenteils Personen aus den Außenministerien sitzen, es gehe jedoch teilweise um Bestimmungen, die mit dem Strafrecht zu tun hätten. Der Vorschlag der KOM führe dazu, dass MS dazu gebracht würden, Bestimmungen aus Europarats-Konventionen anzuwenden, die sie gar nicht ratifiziert hätten. Daneben dürfte sich die Arbeit der Praktiker erheblich verkomplizieren. Es werde dazu am 17. Februar 2023 auch eine Videokonferenz zwischen interessierten MS und der KOM geben, möglicherweise sei dies aber auch ein Thema für die COPEN. CZE, FIN, LUX und NLD unterstützten AUT. ESP entgegnete indes, dass nicht die Europarats-Abkommen selbst zur Anwendung kommen würden, sondern lediglich einige Grundsätze, die sich auch in diesen wiederfänden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Unsere Datenhändler-Recherche hat gezeigt, wie die Online-Werbeindustrie uns in kleinteilige Schubladen steckt. Jetzt wird es Zeit, das gesamte System der personalisierten Werbung in Frage zu stellen. Das Geschäft mit unseren Daten muss aufhören. Ein Kommentar.

Das digitale Werbesystem ist entgrenzt. Unsere Recherche zu Datenhändlern gemeinsam mit The Markup zeigt, wie wir von der Online-Werbeindustrie in Hunderttausende Schubladen einsortiert werden, teilweise geht es um intimste Eigenschaften.

Die Liste mit über 650.000 sogenannten Segmenten des Datenmarktplatzes Xandr liefert bedenkliche Einblicke. Sie zeigt, wie auch deutsche Firmen am Markt als Datenlieferanten mitmischen, wie Infos von unter anderem Websites, Apps und Kreditkarten kursieren – und wie die Adtech-Industrie offenbar selbst unsere Krankheiten und Schwächen zu Geld machen will.

Es geht nicht nur darum, in welcher Altersgruppe wir sind; ob wir uns eher für Toyotas oder Teslas interessieren. Mit den Datenspuren, die wir hinterlassen, versuchen uns die Datenhändler Labels wie „Moms who shop like crazy“ aufzukleben. Sie können uns auch vermeintliche psychische Erkrankungen zuschreiben, oder zumindest ein Interesse daran.

Die Rechtsfertigungsversuche der Datenindustrie

Wir haben zahlreiche Datenhändler mit den Ergebnissen unserer Recherche konfrontiert. Aus ihren Antworten wird deutlich, wie sie sich zu rechtfertigen versuchen. Dabei fallen mir vor allem drei Muster auf, die ich problematisch finde.

Da wäre einmal, dass die Industrie zwei Versionen ihrer Geschichte präsentiert. Einerseits suggerieren die Firmen ihren Kund:innen: Sie wissen so genau über uns Nutzer*innen Bescheid, dass sie uns perfekt mit Werbung targeten können. Aber sobald wir uns kritisch nach Privatsphäre und Datenschutz erkundigen, klingt das anders. Dann stellen die Werbekategorien bloß noch „allgemeine Interessen“ dar. Aussagen etwa zum Gesundheitszustand oder sonstigen sensiblen Eigenschaften treffe die Industrie sowieso keine. Wohlgemerkt, in den Daten fanden wir auch Kategorien wie „Opiate Addiction“, „Depression“,  Diabetes Type II“.

Zweitens beschreibt die Werbeindustrie gerne, wie wenig ihre Daten mit einzelnen Menschen zu tun hätten. Man sei ja nicht am Profil der einzelnen Nutzer:innen interessiert, es gehe nicht um personenbezogene Daten. Klar, da steht nicht wörtlich, dass sich Petra Musterfrau für Sportwetten interessiert, sondern da steht ihre Werbe-ID. Es mag auch sein, dass die Datenbanken der Industrie nicht nach den Werbe-IDs sortiert sind, sondern nach den Segmenten. Zu Petra gehört vielleicht nicht nur eine ID, sondern mehrere – je nachdem, ob Petra auf ihrem Smartphone surft, eine App nutzt oder an einer Telefonumfrage teilnimmt. Manche Dienstleister haben sich allerdings genau darauf spezialisiert, solche IDs zu matchen. Und auch wenn es der Industrie primär darum geht, Petra passgenaue Autoreifenwerbung zu zeigen: Es ist vermutlich naiv zu glauben, aus der Masse an Daten ließe sich nicht auf Petra zurückschließen – auf uns alle.

Das dritte Muster ist die Behauptung, wir hätten in all das eingewilligt. Freiwillig und informiert, wie es die Datenschutzgrundverordnung will. Alles rechtlich sauber. Das Problem: Wie „freiwillig“ ist es eigentlich, wenn ich mich täglich zigfach durch die Ablehnungsdialoge von Gängel-Cookie-Bannern kämpfen muss, die alles dafür tun, dass ich irgendwann aufgebe und einfach auf „Alles akzeptieren“ klicke? Wie „informiert“ ist es eigentlich, wenn mich schwer zugängliche Bleiwüsten ausführlich belehren, welche drölfhundert Werbepartner meine Daten verarbeiten wollen?

Informiert und freiwillig

In den Datenschutzbestimmungen einer beliebten Wetterseite beispielsweise kann ich mich über 1.400 Unternehmen informieren, die für die „Datenerhebung zur Auslieferung von nutzungsbasierter Online-Werbung“ zuständig sind. Ich kann auf die verlinkten Partner klicken und mir sogar durchlesen, was etwa Exit Bee Limited, VUUKLE DMCC oder 北京泛为信息科技有限公司 so tun. Bis ich damit fertig bin und top-informiert meine Einwilligung geben, ist der anstehende Gewitterschauer, für den ich mich interessiert habe, längst vorbeigezogen.

Dass dieses System mit der Datenschutzgrundverordnung vereinbar sein soll, erscheint mir wie die (Über-)Lebenslüge einer milliardenschweren Industrie, die sich in unserem Online-Leben eingenistet hat und damit ihr Geschäftsmodell betreibt. Mit dem Ziel, dass andere uns am Ende besser Dinge verkaufen können, die wir meist sowieso nicht brauchen.

Wir müssen dringend näher hinschauen und dem entgrenzten Markt seine Grenzen aufzeigen. Datenschutzbehörden müssen sich die tausenden kaum bekannten Player vornehmen. Es reicht längst nicht mehr aus, Seitenbetreiber aufzufordern, ihre Cookie-Banner fairer zu gestalten. Es geht um diejenigen, über die wir fast nichts wissen, die aber alles über uns wissen wollen.

Dabei kann jede:r von uns mithelfen. Wir haben beschrieben, wie man Auskunft von den einzelnen Datenhändlern bekommen kann. Das sollten wir tun. Und wenn uns etwas komisch vorkommt, sollten wir uns beschweren und die Behörden zum Handeln auffordern. Doch selbst das ist nicht genug.

Es geht auch anders

Wir müssen auch das gesamte System des Targeted Advertising in Frage stellen. Ein System, dass nicht nur unsere Interessen nutzt, um uns das vermeintlich passende Produkt anzuzeigen. Es will offenbar auch unsere Schwächen zu Geld machen: Unsere angebliche Depression, ob wir angeblich pleite sind, ob wir angeblich mit dem Rauchen aufhören wollen. Es macht uns manipulierbar, es formt unsere Sicht auf die Welt und auf uns selbst.

Wir dürfen personenbezogene Werbung nicht einfach als alternativlos hinnehmen. Wenn man uns schon Werbung zeigen möchte, dann geht das auch inhaltsbezogen. So wie früher in der Zeitung, als die Uhrenwerbung im Wirtschaftsteil auftauchte. Und das kann laut einem Test des niederländischen Rundfunks auch ohne Einnahmenverluste für die Seitenbetreiber funktionieren.

Für die Datenhändler wäre das natürlich ein herber Verlust. Denn dann wäre allen klar: Diese Industrie braucht vor allem sich selbst. Ohne sie gäbe es weniger Datenschutzprobleme, weniger Missbrauchspotenzial und auch nebenbei weniger Energieverbrauch. Das Geschäft mit unseren Daten kann einfach weg.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ob du es willst oder nicht – die Werbeindustrie verpasst dir beklemmend ungeschönte Labels über deine Persönlichkeit. 650.000 davon haben wir in unserer Exklusiv-Recherche untersucht. Die absurdesten findest du hier. Und ja: Es gibt wirklich eine eigene Kategorie für Loser.

Wenn jemand selbst absurde Details über dich wissen möchte, dann gibt es zwei Möglichkeiten: Entweder du wirst von jemandem aufrichtig geliebt. Oder jemand möchte dir etwas verkaufen. Möglicherweise interessiert sich die Werbeindustrie sogar noch mehr für deine Eigenheiten als dein liebster Lieblingsmensch.

Seit Jahren arbeitet diese Branche hart daran, möglichst viel über dich zu erfahren, damit sie dich besser mit zielgerichteter Werbung beeinflussen kann. Wann immer du eine App nutzt, eine Website besuchst, mit einer Kreditkarte zahlst oder an einer Umfrage teilnimmst – deine Daten können in einer Sammlung landen. Hunderte Firmen horten Informationen und stecken dich auf dieser Grundlage in Kategorien. In 651.463 Kategorien, um genau zu sein.

Das zeigt die Angebotsliste eines der größten Datenmarktplätze der digitalen Werbewelt. Dort werden die sogenannten „Audience Segments“ gehandelt. Die Werbeindustrie steckt dich in riesige Container für Gruppen mit angeblichen Eigenschaften, die dir Datensammler zugeschrieben haben. Unsere große Recherche zeigt, dass auch zahlreiche deutsche Firmen an diesem Geschäft verdienen.

Zu den naheliegenden Kategorien gehören zum Beispiel „Männer in Deutschland“, „Alter: 20 – 29“ oder „Besuchte Orte: Edeka“. Problematisch wird es bei Kategorien wie: Homosexuelle, Jüd:innen, Muslim:innen, Menschen mit Depression oder Krebs. Und dann gibt es da noch einige Bezeichnungen, bei denen wir uns erstmal am Kopf kratzen mussten.

Schon klar: Viele von uns werden auch irrtümlicherweise in solchen Kategorien landen. Die Werbeindustrie kann keine stichhaltigen Geheimdienst-Akten über uns erstellen. Es genügt ihr, in der Masse genügend passende Menschen zu erreichen. Die Datenhändler selbst sagen sogar, sie würden gar keine sensiblen Daten verarbeiten, sondern nur „allgemeine Interessen“. Macht euch selbst ein Bild. Hier kommen die absurdesten zehn Werbekategorien aus unserer Recherche.

1. Fragile Senior:innen

Name: Conexance > FR > Households > Typology > Typology Conexance G > G2 Fragile Seniors Retirees over 65 Medium-s
Segmentnummer: 13715805
Anbieter: Adsquare

Alten Leuten kann man gut das Geld aus der Tasche ziehen – auf diese Hoffnung setzt man zumindest auch beim Tele-Shopping, bei Kaffeefahrten und beim Enkel-Trick. Solcher Vorurteile zum Trotz lassen sich aber nicht alle Senior:innen über den Tisch ziehen. Wie praktisch, dass die Werbeindustrie hierfür eine weitere Eingrenzung parat hält: Mit einer eigenen Kategorie für fragile Senior:innen. Wir können nur spekulieren, was der wahre Anlass für diese Werbekategorie war. Aber irgendwer in einer Firma hat sich hingesetzt und sie erstellt.

2. Shoppping-versessene Mamas

Name: Alliant > Composite Segment > Moms Who Shop Like Crazy
Segmentnummer: 412843
Anbieter: Nielsen Marketing Cloud

Die Werbeindustrie liebt Mütter. Bei unserer Recherche fanden wir Kategorien zu Fußball-Mamas, Großstadt-Mamas, alleinstehenden Mamas, trendigen Mamas und natürlich werdenden Mamas. Am meisten erstaunt hat uns jedoch die Kategorie für Shopping-versessene Mamas: „Moms who shop like crazy“. Es ist ein Beispiel für die schonungslose Direktheit der Werbeindustrie. Wenn Verkäufer:innen bei einer Kategorie Dollar-Zeichen in den Augen haben, dann wohl hier.

3. Abhängige von Opiaten

Name: Opiate Addiction (Proximic Agent)
Segmentnummer: 4849510
Anbieter: comScore Inc.

Opiate sind besonders starke Schmerzmittel, die leicht süchtig machen. In den USA ist die Opioidkrise dramatisch: Menschen bekommen die Schmerzmittel im Krankenhaus, einige werden danach süchtig, manche sterben später an Überdosen. Stellt sich die Frage, was Händler:innen mit einer entsprechenden Werbekategorie anstellen. Wollen Sie damit vielleicht gezielt Werbung für Suchttherapie verbreiten – oder aber den Menschen noch mehr Schmerzmittel andrehen? Vielleicht passiert beides. Wir wollen lieber nicht wetten, was häufiger vorkommt.

4. Deutsche Soldat:innen

Name: International_EU > Germany Military (Lotame)
Segmentnummer: 4074072
Anbieter: Lotame

Bei dieser Werbekategorie kann praktisch nichts schiefgehen. Viele Menschen hätten gerne einen direkten Draht zu Angehörigen des Militärs, einfach um mal ein paar harmlose Ideen zu tauschen. Spontan fallen uns da der russische Geheimdienst ein – oder Reichsbürger:innen, die Kamerad:innen für einen Putsch suchen.

5. Menschen, die weniger Tabak konsumieren wollen

Name: Nielsen Lifestyle > Health > Trying to cut down on tobacco (VDNA)
Segmentnummer: 10899540
Anbieter: Nielsen Marketing Cloud

Sehen wir’s positiv: Es könnte schlimmer sein. Immerhin heißt die Kategorie nicht: Menschen, die mehr rauchen wollen. Oder gar: Tabak-versessene Mamas. Mulmig wird einem hier trotzdem. Wer möchte schon gern als Raucher:in mit schlechtem Gewissen auf dem weltweiten Werbemarkt gehandelt werden? Es ist eine Industrie, die gnadenlos unsere Schwächen kennen und zu Geld machen will. Ähnliche Kategorien hat die Firma Nielsen übrigens für Leute im Angebot, die weniger Süßigkeiten, Fastfood oder Alkohol konsumieren wollen.

6. Essstörungen

Name: Eating Disorder
Segmentnummer: 16237498
Anbieter: LiveRamp Data Store

Unter dieser Kategorie können Werbetreibende offenbar gezielt Menschen erreichen, die nach Einschätzung der Werbeindustrie eine ernste, psychische Störung haben oder damit in Verbindung stehen. Recherchen zeigen: Mitunter sind es gerade werbefinanzierte soziale Netzwerke, die zu einer Essstörung beitragen können, weil sie Inhalte mit problematischen Schönheitsidealen fördern. Durch gezielte Werbung lässt sich die Notlage von Betroffenen also direkt dort zu Geld machen, wo sie besonders getriggert wird. Dazu fällt uns einfach nichts weiter ein.

7. Menschen, die heftig viele Schwangerschaftstests kaufen

Name: US IRI > Intent > Heavy Purchaser > Pregnancy Test Kits
Segmentnummer: 24839314
Anbieter: Eyeota

Ja, diese Kategorie gibt es wirklich. In den USA kann man gezielt Nutzer:innen ins Visier nehmen, die heftig viele Schwangerschaftstests kaufen, „Heavy Purchasers“. Andere Kategorien beziehen sich etwa auf Menstruations-Tracker, Verhütung und die politische Einstellung zu Abtreibungen. All diese Kategorie beziehen sich nicht nur auf die Intimsphäre von Nutzer:innen, sie können auch gefährlich werden: Seit 2022 in den USA das Recht auf Abtreibung gekippt wurde, können Betroffene staatlich verfolgt werden. Dabei kann die Polizei auch Datenspuren nutzen. Wer nicht zum Hilfssheriff einer Staatsgewalt werden möchte, die reproduktive Rechte verletzt, sollte solche Daten also am besten gar nicht erst erfassen.

8. Viagra: Ungesunde Orte

Name: Viagra – Unhealthy Place Visits
Segmentnummer: 19369226
Anbieter: Adsquare

Wir haben so viele Fragen: Was hat das Arzneimittel Viagra mit ungesunden Orten zu tun? Was genau ist ein ungesunder Ort? Sollen die Menschen in dieser Werbekategorie Viagra kaufen – oder haben sie es bereits getan und sich danach einen „ungesunden“ Burger gegönnt? Wir haben diese Ungewissheit nicht ausgehalten und bei der Berliner Firma Adsquare nachgefragt. Antwort: „Hierbei handelt es sich um ein Custom Segment eines unserer Kunden aus Großbritannien.“ Custom Segment heißt, den Namen dieser Kategorie hat ein bestimmter Werbekunde selbst bestimmt, andere können das Segment nicht nutzen. Mehr haben wir zwar nicht erfahren – aber immerhin wissen wir, selbst für die Werbeindustrie ist diese Kategorie eine Ausnahme.

9. „Ich komme immer zu kurz“

Name: Consumer Profiles > Demo > General Attitudes > I generally get a raw deal out of life
Segmentnummer: 18059364
Anbieter: Eyeota

Ja, es gibt tatsächlich eine Werbekategorie für Loser. Beziehungsweise für Menschen, die sich als Verlierer empfinden. „Ich komme immer zu kurz“, heißt diese Kategorie, und sie zeigt einmal mehr, wie zynisch die Werbeindustrie auf menschlichen Schwächen abzielt. Der Überbegriff hier ist „General Attitudes“, Grundeinstellungen. Es gibt auch eigene Kategorien für Leute, die sich gerade in der Scheidung befinden, für Spielsüchtige und für Menschen mit Schlafstörungen. Unsere „general attitude“ nach der Recherche lautet übrigens: „Überwachungswerbung gehört abgeschafft“.

10. Leidenschaftliche Liebhaber:innen

Name: VisualDNA Personality > Personality > Love > Passionate Lovers
Segmentnummer: 25850661
Anbieter: Nielsen Marketing Cloud

Nicht alle Werbekategorien ziehen einen derart runter wie die Kategorie für Verlierer. Im Vergleich dazu erscheint „Leidenschaftliche Liebhaber:innen“ geradezu wie ein Kompliment. Verwandte Kategorien beziehen sich etwa auf sexuelle Orientierung oder Sex-Sucht. Bleibt die Frage, was die Werbeindustrie all das eigentlich angeht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ausgerechnet an Fronleichnam schlägt die EU-Kommission ein neues Gremium vor, das Ethikverstöße des eigenen Personals regeln soll. Doch das hindert Kommissar:innen und Abgeordnete künftig kaum, ihr Wissen und ihre Kontakte an die Industrie zu verkaufen. Ein Kommentar.

Im Englischen heißt es Revolving Door, im Französischen Pantouflage. Im Deutschen haben wir Günther Oettinger. Der fleischgewordene Interessenskonflikt aus Schwaben schaffte die fast geräuschlose Verwandlung vom lobbyfreundlichsten Kommissar Europas zum umtriebigen Businessman. Kaum ein Aufsichtsrat, bei dem Oettinger nicht an der offenen Tür vorbeiflaniert.

Gesetze für jene zu machen, für die man später arbeitet, ist das Brüsseler Geschäft schlechthin. Wichtig ist es, agil zu bleiben. Wer eben noch als Assistentin einer Abgeordneten Klimaziele formuliert, ist morgen Lobbyistin für Shell. Wer in der Kommission die Abteilung für Telekommärkte leitet, arbeitet demnächst bei Vodafone. Und wenn einer als Leiter der Europäischen Verteidigungsagentur ein Milliardenbudget verwaltet, kann er trotzdem ein paar Monate später beim Rüstungskonzern Airbus anheuern. Regelverstoß? Ja, schon. Aber egal.

Denn Ethikregeln der EU-Institutionen sind, nun ja, eher unverbindliche Empfehlungen. Daran ändert selbst der Katargate-Skandal um Bestechungsgelder für Abgeordnete im EU-Parlament erst mal nichts. Klar, was belgische Ermittlungsbehörden der griechischen Abgeordneten Eva Kaili und ihren Vertrauten vorwerfen, nämlich für Koffer voller Geld im Interesse des Golfstaates Katar politischen Einfluss genommen zu haben, ist strafbar.

Aber oft funktioniert Einflussnahme subtiler, in einer rechtlichen Grauzone. Es geht um die Korruption im Kleinen. Wer hat das Hotel des Kommissars bezahlt? Darf der Abgeordnete das Handy behalten, das er von Huawei geschenkt bekommen hat? Ist es okay, Änderungsanträge einzubringen, die den Aktienkurs jener Firmen beeinflussen, an denen die Abgeordnete Beteiligungen hält?

Ethikgremium als „zahnlose Bulldogge“

Welche Grenzen interne Regeln für politische Entscheidungsträger:innen in den EU-Institutionen setzen sollen, soll jetzt ein neues Ethikgremium prüfen. Dass die EU-Kommission ihren Vorschlag dafür gestern unterbreitete, an Fronleichnam, passt irgendwie. Das katholische Hochfest feiert die Verwandlung von Brot und Wein in Leib und Blut Christi. Die Heilandsreste werden in Festprozessionen von Priestern als Monstranz vor sich hergetragen.

Ähnlich weihrauchumwabert trug gestern Transparenzkommissarin Věra Jourová die Idee „gemeinsamer ethischer Standards“ der EU-Institutionen vor sich her. Das Ethikgremium, das sie vorschlägt, soll diffuse rechtliche Grauzonen in greifbare Regeln verwandeln. Umsetzen sollen diese dann die teilnehmenden Institutionen – darunter die Kommission, der Rat, das Parlament, die Europäische Zentralbank und der Gerichtshof der Europäischen Union – jede für sich.

Ob die mächtigen Institutionen tatsächlich ihre Spielregeln ändern – und Strafen gegen jene setzen, die sie brechen – das überlässt das Gremium dem guten Gewissen der Beteiligten. Jourovás Vorschlag sieht keine Ermittlungsbefugnisse für das Gremium vor, auch keine Sanktionsmöglichkeiten. Damit hat die Ethikkörperschaft weniger Kompetenzen als bestehende Institutionen wie die EU-Antikorruptionsbehörde Olaf, die Europäische Staatsanwaltschaft oder die Europäische Ombudsfrau.

Zwar kann das Ethikgremium vor dem Europäischen Gerichtshof dagegen klagen, wenn eine der Institutionen die gemeinsamen Standards verletzt. Aber nichts hindere die Institution daran, die gemeinsamen Standards gar nicht erst umzusetzen, sagt der Jura-Professor Alberto Alemanno. Auch eine liberale Abgeordnete kritisiert: Das Ethikgremium sei eine „zahnlose Bulldogge“.

2024 rotiert das Jobkarussell

Wie weit die ethische Grauzone bislang ist, wie groß die Konsequenzlosigkeit von Verstößen, das wissen wir nicht erst sei Katargate. Schon Monate zuvor sorgte der Fall von Neelie Kroes für einen Skandal. Als EU-Digitalkommissarin sprang die niederländische Politikerin öffentlich Uber beiseite, als der US-Konzern mit europäischen Behörden rang. Im Sommer 2022 enthüllten der Guardian und andere internationale Medien in den Uber Files, dass Kroes wohl schon kurz nach Ende ihrer Amtszeit heimlich für den Konzern lobbyierte, als ihr das interne Regeln der Kommission eigentlich verbaten.

Gegenüber NGOs, die schon lange vorher Fragen zu dem Fall Kroes stellten, mauerte die Kommission. Erst die Enthüllungen brachten Druck, inzwischen ermittelt Olaf. Doch knapp ein Jahr später hat die Kommission ihre eigenen Ethikregeln nicht nachgeschärft.

Dafür könnte die Transparenzkommissarin Jourová sorgen, auch wenn sie es gegen internen Widerstand in der Kommission durchsetzen müsste. Das Ethikgremium, das Jourová statt verbindlichen Regeln im eigenen Haus vorschlägt, ist bestenfalls ein Spiel über die Bande. Den nächsten Oettinger, die nächste Kroes gibt es spätestens kommendes Jahr, wenn die Amtszeit der derzeitigen Kommission endet. Dann rotiert das Jobkarussell, bis den Konzernen vor lauter politischem Einfluss schwindelig ist.

Was die Kommission braucht, was das Parlament braucht, sind keine zahnlosen Körperschaften, die kaum greifbare Standards setzen. Die EU-Institutionen brauchen strenge Regeln gegen Interessenskonflikte, wirksam flankiert von Strafen. Bleiben sie dabei untätig, machen sie sich zu Erfüllungsgehilfen der Lobbyindustrie.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Datenhändler wissen viel über uns, doch sie selbst arbeiten lieber im Schatten. Wer trotzdem herausfinden will, was sie gespeichert haben, kann sich auf die Datenschutzgrundverordnung berufen. Wir erklären, wie es geht.

Datenhändler sammeln haufenweise Informationen über uns, stecken uns in Kategorien und vermarkten mit diesem Wissen unsere Aufmerksamkeit gezielt an Werbetreibende. Wieviel Geld wir verdienen, was wir einkaufen, wo wir uns aufhalten, was für eine Persönlichkeit wir haben, all das werten sie aus. Zigtausende Label hat die Werbeindustrie für uns. Teilweise auch zu unserer Gesundheit, zur sexuellen Orientierung, zu Religion, Herkunft und politischen Überzeugungen.

Das alles zeigen wir in einer aktuellen Recherche. Wir decken auch auf, wie tief deutsche Firmen in das Netzwerk des Datenhandels eingebunden sind. Die Datenschutzgrundverordnung verhindert das bisher kaum, denn die Aufsichtsbehörden werden meist nur dann tätig, wenn es Beschwerden von Bürger:innen gibt. Doch wie soll man sich über Unternehmen beschweren, die man gar nicht kennt?

Das Geschäft der Datenhändler findet im Hintergrund statt. Sie kaufen und verwerten Daten, die andere einsammeln: Apps, Websites, Kreditkartenfirmen, Marktforschungsunternehmen und andere. Beispielsweise in Cookie-Banner willigen wir in diese Verarbeitung ein. Aber dass diese Einwilligungen gültig sind, daran gibt es große Zweifel.

Die Datenschutzgrundverordnung (DSGVO) bietet mit dem Recht auf Datenauskunft ein Werkzeug herauszufinden, was die Unternehmen über uns zu wissen glauben. Das kann zum einen interessant sein. Aber auch die Grundlage für eine Beschwerde bei Datenschutzbehörden, damit sie prüfen können, ob die Datenverarbeitung rechtmäßig ist.

1. So formulierst du eine Anfrage zur Datenauskunft nach Artikel 15 DSGVO
2. So erreichst du die Datenhändler
3. So findet du deine Cookie-IDs und Mobile Advertising IDs
4. So reichst du Beschwerde bei Datenschutzbehörden ein
5. So kannst du dich künftig besser schützen

1. So formulierst du eine Anfrage zur Datenauskunft nach Artikel 15 DSGVO

Das Auskunftsrecht betroffener Personen bei Datenverarbeitern ist in Artikel 15 der Datenschutzgrundverordnung geregelt. Unternehmen müssen auf Anfrage nicht nur mitteilen, ob sie Daten über uns gespeichert haben, sondern diese Daten auch herausrücken. Dazu haben sie in der Regel vier Wochen Zeit. Nur in Ausnahmefällen mit besonderem Aufwand kann diese Frist verlängert werden.

Hilfreich für die Auskunftsanfragen ist der deutsche Dienst datenfragen.de. Das Projekt unterstützt Menschen mit einem Generator für Auskunftsanfragen.

Weitere gute Beispiele dafür, wie Auskunftsanfragen aussehen können gibt es hier:

• auf Deutsch bei den Verbraucherzentralen
• auf Englisch bei datarequests.org

Ihr könnt den Großteil der Schreiben einfach kopieren und müsst nur an den entsprechenden Stellen eure Daten einsetzen. Ihr könnt auch bestimmte Aspekte ergänzen oder weglassen.

Wichtig: Die Unternehmen machen es uns teilweise schwer, an die eigenen Daten heranzukommen. Manchmal muss man dranbleiben, nachhaken, auf dem Auskunftsrecht bestehen oder damit drohen, die Datenschutzaufsichtsbehörden einzuschalten.

Erzählt uns gerne hier in den Kommentaren oder per Mail an ingo.dachwitz@netzpolitik.org von euren Erfahrungen mit Datenauskunftsanfragen bei Datenhandelsfirmen.

2. So erreichst du die Datenhändler

Das Netzwerk der Datenhandelsfirmen ist groß und unübersichtlich. Allein in unserer Recherche sind wir auf 93 Firmen gestoßen, die in der Liste der Firma Xandr aufgetaucht sind, darunter auch sieben deutsche Firmen. Hier findest du einige der Datenschutzadressen:

Adsqare (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@adsquare.com
Um Adsquare zu verbieten, in Zukunft Daten zu sammeln, das Formular unten auf der Seite ausfüllen.

DataXtrade (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@dataxtrade.com
Um DataXtrade zu verbieten, in Zukunft Daten zu sammeln, auf der Website „opt-out“ anklicken.

Emetriq (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: datenschutz@telekom.de
Um Emetriq zu verbieten, in Zukunft Daten zu sammeln, auf der Website „opt-out“ anklicken.

Eyeota (USA):
Um bei Eyeota Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Eyeota zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.

Oracle (USA):
Um bei Oracle Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Oracle zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.

Liveramp (USA):
Um bei Liveramp Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Liveramp zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Im Formular für Aukunft „Access My Information“ auswählen, für Opt-out „Objection Request” auswählen, für das Löschen von Daten „Other Privacy Inquiry” auswählen und im Kommentarkasten “Erasure Request” schreiben. Eine Mailadresse ist nicht auffindbar.

Nielsen Marketing Cloud (USA):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy.department@nielsen.com
Auskunft über deine gesammelten Daten über ein Formular auf der Website anfordern.
Für ein Opt-out Mailadresse auf der Website eintragen.

roq.ad (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@roq.ad
Für Opt-out auf der Website (unten) „Desktop“, „iOS Device“, „Windows Device“ oder „Android Device“ auswählen.

Semasio (Deutschland):
Auskunft über deine gesammelten Daten durch Angabe der Mailadresse auf der Website anfordern.
Für Opt-out auf der Website „opt-out“ anklicken. Eine Mailadresse ist nicht auffindbar.

The ADEX (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: legal@theadex.com
Für Opt-out auf der Website oder Plattform jeweils runterscrollen bis zum blauen „opt-out“-Button.

Xandr (USA):
Auskunft über deine gesammelten Daten durch das Formular auf der Website.
Für Opt-out auf der Website die jeweiligen Optionen anklicken. Eine Mailadresse ist nicht auffindbar.

Zeotap (Deutschland):
Um bei Zeotap Auskunft über deine gesammelten Daten zu bekommen und Zeotap zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.

3. So findet du Cookies in deinem Browser und deine Mobile Advertising IDs

Damit die Unternehmen dich in ihren Datenbanken finden können, musst du ihnen IDs mitschicken, unter denen sie sich gespeichert haben könnten. Die wohl wichtigste ist die Mobile Advertising ID. Eine Werbe-ID ist eine pseudonyme Benutzer*innen-ID, die einem mobilen Gerät vom Hersteller des Betriebssystems zugewiesen wird. Durch sie können Werbedienste Angebote personalisieren. Wie du sie findest, erklären wir hier.

Manche Anbieter wollen zudem die IDs von Cookies, die sie auf deinem Gerät speichern. Diese auszulesen ist allerdings für Laien allerdings sehr schwierig, wie die Datenschutzorganisation noyb bemängelt. Wo du die Cookies im Chrome- und im Firefox-Browser findest, erklären wir hier ebenfalls.

Sinnvoll ist es auch, deine Mailadresse und Telefonummer mitzuschicken. Manchmal fragen Unternehmen auch nach einer Kopie des Personalausweises oder sonstigen Möglichkeiten, um dich zu authentifizieren. Du darfst dabei deinen Personalausweis überwiegend schwärzen. Außerdem dürfen die Unternehmen diese Infos nicht weiterverwenden, darauf solltest du sie in deiner Anfrage hinweisen.

So findest du Mobile Advertising IDs bei Android

Adroid-Geräte haben eine Google-Werbe-ID. Diese findest du so:

• Auf dem Gerät in die Google Einstellungen (Zahnrad-Symbol mit dem Google-G in der Mitte) gehen. (Nicht zu verwechseln mit den normalen Android-Einstellungen.)
• Dort „Dienste“, dann „Anzeigen“/“Werbung“ anklicken.
• Die Google Ad-ID ist dort unter „Meine Werbe-ID“ zu finden und kann auch dort gelöscht, zurückgesetzt oder deaktiviert werden.

So findest du Mobile Advertising IDs bei Apple/iOS

Apple/iOS-Geräte haben eine Apple Werbe-ID namens Identifier for Advertisers (IDFA). Diese ist standartmäßig versteckt, kann aber über eine Drittanbieterapp herausgefunden werden:

• Beispielsweise über „My Device ID by AppsFlyer“ oder „adjust Insights“
• Dort dann unter IDFA – Advertising ID
• Damit die ID angezeigt werden kann, musst du App-Tracking für die App zwischenzeitlich erlauben
• Achtung: Lösche die App wieder, nachdem du deine ID herausgefunden hast.

Die Apple-ID lässt sich nicht löschen oder zurücksetzen, allerdings kann man das Tracking verbieten. Das geht so:

• Auf dem Gerät in die Einstellungen gehen.
• Auf „Datenschutz“ und dann „Tracking“ klicken.
• Dort gibt es einen Schieberegler, bei dem man Apps erlauben oder verbieten kann, Tracking anzufordern.

So findest du Cookies

Cookies findest du über deinen Webbrowser. Beim Besuch einer Website wird der Cookie des jeweiligen Dienstleisters dort gesetzt. Deswegen sind eventuell sehr viele verschiedene Cookie-IDs in deinem Webbrowser gespeichert.

So findest deine Cookies im Firefox-Browser

• Starte Firefox und klicke oben rechts auf die Menüschaltfläche mit den drei Strichen.
• Wähle „Hilfe“ und anschließend „Informationen zur Fehlerbehebung“.
• Unter „Allgemeine Informationen“ klicke nun auf die Schaltfläche „Ordner öffnen“.
• In diesem Ordner finden sich neben Lesezeichen und anderen Daten auch alle Cookies in einer einzelnen sqlite-Datei. Du brauchst dann ein Tool, um dir die Cookie-Datenbank anschauen zu können.

Einfacher ist es, Cookies von einzelnen Websites anzusehen:

• Starte Firefox und klicke oben rechts auf die Menüschaltfläche mit den drei Strichen.
• Wähle „Weitere Werkzeuge“ und anschließend „Werkzeuge für Webentwickler“.
• Klicke auf „Webspeicher“, in der Seitenleiste findest du nun die Liste der Cookies

So findest deine Cookies im Chrome-Browser

• Starte Chrome und klicke oben rechts neben der Adresszeile auf die Konfigurationsschaltfläche mit den drei Punkten.
• Wähle im eingeblendeten Menü „Einstellungen“.
• Klicke nun auf „Datenschutz und Sicherheit“.
• Klicke anschließend auf „Cookies und andere Websitedaten“. Hier kannst du auch deine Einstellungen ändern, um Cookies zu blockieren.
• Dann auf „Alle Websitedaten und Berechtigungen ansehen“ klicken.

Einfacher ist es auch hier, Cookies von einzelnen Websites anzusehen:

• Starte Chrome und klicke oben rechts neben der Adresszeile auf die Konfigurationsschaltfläche mit den drei Punkten.
• Wähle „Weitere Tools“ und anschließend „Entwicklertools“.
• Klicke auf „>>“ und wähle „Application“, in der Seitenleiste findest du nun den Menüpunkt „Cookies“.

4. So reichst du Beschwerde bei Datenschutzbehörden ein

Falls du das Gefühl hast, dass etwas faul ist, solltest du die Datenschutzbehörden einschalten. Sie können prüfen, ob die Datenverarbeitung rechtmäßig ist und ob genug Schutzvorkehrungen getroffen wurden. Sie helfen dir auch, wenn ein Unternehmen nicht oder unvollständig auf deine Auskunftsanfrage reagiert.

In Deutschland hat jedes Bundesland seine eigene Datenschutzbehörde. Bei deutschen Unternehmen ist die Behörde zuständig, in deren Bundesland das betroffene Unternehmen sitzt. Es ist deshalb sinnvoll, sich direkt an die passende Behörde zu wenden. Bei internationalen Unternehmen wendest du dich am besten an die Behörde des Bundeslandes, in dem du wohnst.

Schildere in der E-Mail an die Behörde, über welches Unternehmen du dich beschweren möchtest und warum du denkst, dass es deine Datenschutzrechte verletzt hat. Das kann zum Beispiel so aussehen: „Laut Datenauskunftsanfrage nach Art. 15 DSGVO hat [Unternehmen XY] personenbezogene Daten von mir verarbeitet. Ich bezweifele, dass die Verarbeitung auf einer gültigen Rechtsgrundlage stattfindet. Eine Einwilligung, meine Daten an [Unternehmen XY] weiterzugeben, habe ich meines Wissens nach nicht gegeben.“

Leite den Behörden erstmal noch keine personenbezogenen Daten oder Schriftverkehr weiter, sondern beschreibe ihnen erstmal, welche Daten du ihnen als Belege zur Verfügung stellen kannst.

Eine Übersicht der Kontaktmöglichkeiten findest du auf der Website des Bundesdatenschutzbeauftragten.

5. So kannst du dich künftig besser schützen

Ein vollumfassender Schutz gegen Tracking ist schwer, die Datenindustrie arbeitet an immer neuen Mitteln und Wegen, Selbstschutz zu umgehen. Allerdings gibt es ein paar einfache Tricks, mit denen man einen relevanten Anteil des heutigen Tracking unterbinden kann.

Dazu zählt: Im Browser nach jeder Session automatisiert die Cookies löschen lassen. Auch die Datenschutzeinstellungen von Apps und Geräten können helfen. Bei Apple/iOS geht das inzwischen relativ einfach, indem man „App-Tracking“ unterbindet. Bei Android gibt es die Möglichkeit, die Mobile Advertising ID zurückzusetzen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn es um Firmen geht, die pausenlos Daten für Werbezwecke sammeln, denken viele an die USA. Unsere Recherche zeigt, wie tief deutsche Unternehmen inzwischen in das Netzwerk der Datenhändler verwoben sind und dass sie auch heikle Datenkategorien anboten. Beteiligt sind Konzerne wie die Deutsche Telekom und ProSiebenSat1.

Marc* ist junger Unternehmer. Er verkauft schöne Dinge an Menschen, die es sich leisten können. Und er würde gerne noch mehr verkaufen. Daten sollen ihm dabei helfen. Er wendet sich an eine Berliner Firma namens Adsquare. Denn Marc will mehr darüber wissen, wer seine Kund:innen sind und möchte sie mit zielgenauer Werbung ansprechen. Am besten Leute mit viel Geld und solche, die bei der Konkurrenz einkaufen oder in der Nähe seines Geschäfts unterwegs sind.

Marc berichtet uns von seinem Verkaufsgespräch mit einer Sales-Managerin von Adsquare. Ihre Botschaft: Was er sich vorstelle, sei alles kein Problem. „Möglich ist da echt viel“, habe sie gesagt und dabei gelacht. Um Datenschutz müsse er sich keine Gedanken machen, erinnert sich Marc.

Adsquare ist eine Firma, die wohl kaum jemand kennt und die doch viel über uns weiß. Vermeintliche Charaktereigenschaften, Interessen, Einkommen, Einkaufsverhalten, besuchte Orte. Solche Informationen sammeln Adsquares Datenpartner über Millionen Menschen und sortieren sie in entsprechende Kategorien. Adsquare bietet Unternehmen die Nutzung dieser Daten für Einblicke in Zielgruppen und zielgerichtete Werbung an, sogenanntes Targeting.

Im Angebot hatte das Unternehmen im Jahr 2021 offenbar zum Beispiel Targeting von mutmaßlich Schwangeren und Geschiedenen, von Glücksspielern, „Fragilen Senioren“ und „Familien in Schwierigkeiten“. Auch von Personen, die an Geldautomaten der Berliner Sparkasse waren oder die in bestimmten Geschäften eingekauft haben. Das geht aus einer Angebotsliste aus dem Mai 2021 von Xandr hervor, über die wir heute in Kooperation mit The Markup berichten. Xandr ist einer der wichtigsten Umschlagplätze für Daten im globalen System der Online-Werbung.

Insgesamt enthält die Liste die Metadaten zu mehr als 650.000 verschiedenen Audience-Segmenten. Das sind Kategorien, mit denen Werbetreibende ihre Zielgruppe für digitale Werbung maßschneidern können. Die Segmente repräsentieren die Datenbestände von Firmen wie Adsquare, die sie Werbekunden über Plattformen wie Xandr zur Nutzung für zielgerichtete Werbung anbieten. Die Liste zeigt nicht nur, wie umfassend und kleinteilig die Kategorien sind, in die uns Datenhändler einsortieren, sondern auch, wie sehr deutsche Firmen inzwischen in ihre Netzwerke eingebunden sind. Unsere ausführliche Analyse der Datei findet ihr in unserem Artikel „Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert“

Pseudonym, aber überall auffindbar

Wie Adsquares Daten seinem Geschäft helfen können, das wollte Jungunternehmer Marc von der Sales-Managerin wissen. Er erinnert sich: „Wenn Sie uns die Mobile Advertising IDs ihrer Kund:innen liefern, können wir ihnen erklären, was diese sonst so machen“, habe die Adsquare-Mitarbeiterin gesagt. Diese sogenannten Audience Insights würden Unternehmen helfen, ihre Zielgruppe besser zu verstehen. Was verdient die Gruppe im Schnitt? An welchen Orten ist sie unterwegs? Was sind ihre Hobbies und Shopping-Vorlieben? Anhand vorgefertigter Kategorien liefere Adsquare solche Einblicke auf einer allgemeinen Ebene.

Da Marcs Unternehmen bislang selbst keine Werbe-IDs von Kund:innen sammelt, kommt dieses Produkt für ihn nicht in Frage. Dann könne er Adsquares Targeting-Angebote nutzen, erklärt die Verkäuferin. Dafür brauche er keine eigenen Daten, sondern könne sich ganz auf die des Unternehmens verlassen. Hierbei kommen unter anderem die besagten Audience Segmente zum Einsatz. Man muss sie sich als riesige Container für Gruppen von Menschen vorstellen.

Jedes Segment enthält eine Liste mit digitalen IDs von Menschen, denen bestimmte Eigenschaften zugeschrieben werden. In der Angebotsliste von Xandr tragen sie Bezeichnungen wie „Income: 4000 €+“, „Place Visit: Casinos” oder „Moms who shop like crazy“. Oft versprechen die Segmente Auskunft über intime Details, manchmal sogar zu Krankheiten, politischen Überzeugungen oder der sexuellen Orientierung. Die Anbieter solcher Segmente betonen gerne, dass die Listen keine Namen von Menschen enthalten, sondern lediglich pseudonyme IDs.

Dennoch dienen sie als Identifikationsnummern, mit denen spezielle Datenplattformen die Menschen überall im digitalen Werbe-System auffinden können, um ihnen innerhalb Millisekunden die passende Werbung zu zeigen, wenn sie eine App oder Website öffnen. Mithilfe der IDs können spezielle Datenplattformen die Menschen überall im digitalen Werbe-System auffinden und ihnen die passende Werbung zeigen, sobald sie eine App oder Website öffnen. Solche IDs können beispielsweise IP-Adressen sein, Cookie-Nummern oder individuelle Mobile Advertising IDs, die zu Geräten wie Smartphones, Tablets oder vernetzten Fernsehern gehören.

Einige der von uns angefragten deutschen Datenhandelsfirmen betonen, dass bei ihnen keine individuelle Profilbildung stattfindet. Das heißt: Sortiert sind die IDs nicht nach einzelnen Personen, sondern nach den zugeschriebenen Eigenschaften. Man verfolge keinen „User-Centric Approach“, sagt etwa Adsquare. Das Unternehmen sei „nicht am Profil eines einzelnen Nutzers interessiert und unterhält daher keine Datenbank mit allen IDs und den jeweiligen Attributen dazu.“ Die eingangs genannten Segmente zu „Fragilen Senioren“ und „Familien in Schwierigkeiten“ seien heute zudem nicht mehr im Angebot.

Daten über fünf Milliarden Menschen

In den globalen Handel mit solchen Segmenten bietet die Angebotsliste von Xandr einen einmaligen Einblick. Die Firma gilt in diesem Geschäft als wichtige Infrastruktur, im Jahr 2022 kaufte Microsoft das Unternehmen von AT&T. Die Liste enthält für jedes der 651.463 Segmente eine Zeile. Darin finden sich unter anderem die Namen der einzelnen Segmente und Informationen darüber, wer sie auf dem Marktplatz angeboten hat.

93 Firmen sind in der Datei als Anbieter gelistet. Der Großteil der Firmen stammt aus den USA, doch sieben Datenhändler kommen aus Deutschland. Zahlreiche weitere deutsche Firmen sind als ursprüngliche Quelle für die Daten ersichtlich. Keine Angaben enthält die Liste dazu, wie groß einzelne Segmente sind, also wie viele IDs sich jeweils darin befinden. Bekannt ist jedoch, dass einzelne Segmente hunderttausende oder gar Millionen IDs enthalten können. Allein Oracle – laut Liste der größte Anbieter auf Xandr 2021 – behauptet selbst, Daten über mehr als fünf Milliarden Menschen im Angebot zu haben.

Die Liste war bis vor kurzem offen im Internet abrufbar, vergraben auf einer Dokumentationsseite von Xandr für Kunden. Aufgestöbert hat sie der Wiener Tracking-Forscher Wolfie Christl. Er hat die Datei mit netzpolitik.org und The Markup geteilt. Das US-Medium berichtet heute unter anderem über die zahlreichen sensiblen Daten und macht sie mit einem interaktiven Tool einfach durchsuchbar. Mehrere Presseanfragen an Xandr der beiden Redaktionen blieben bislang unbeantwortet. Inzwischen ist die Datei offline. Beim Internet Archive findet man jedoch sowohl eine archivierte Version der Website als auch der Datei [Achtung: Download-Größe 23 MB].

„Renommierte deutsche Milliardenkonzerne und kleine deutsche Firmen durchleuchten heimlich unser Alltagsverhalten, sortieren uns in tausend Kategorien und bieten die Daten über eine US-Datenhandelsfirma an, die nun zu Microsoft gehört“, fasst Wolfie Christl die Erkenntnisse aus der Datei zusammen. Es sei ein Skandal, „dass dieser unkontrollierte Handel mit Daten über persönliche Eigenschaften und Verhaltensweisen in Deutschland fünf Jahre nach der Datenschutzgrundverordnung immer noch stattfindet.“

25.000 Segmente von deutschen Anbietern

Die Händler erhalten ihre Daten aus zahlreichen Quellen. Dazu zählen Kreditkartenfirmen, Marktforschungsunternehmen und zahlreiche Apps und Websites, die Daten ihrer Nutzer:inen weitergeben. Außerdem andere Datenhändler, die ihre Bestände weiterverkaufen oder zur Nutzung anbieten. Viele von ihnen betonen auf Anfrage, dass ihre Datenpartner die Einwilligung der Betroffenen eingeholt haben, dass ihre Daten weitergegeben und für Werbung genutzt werden dürfen.

Die deutschen Datenhändler tragen technisch klingende Namen. Die Firmen sind kaum bekannt, auch wenn sie vermutlich Daten über viele von uns im Angebot haben. In der Xandr-Datei waren mehr als 25.000 Segmente der deutschen Händler gelistet:

• Adsquare: 15.246 Segmente
• Zeoptap: 5.367 Segmente
• The ADEX/ProsiebenSat1: 2.628 Segmente
• Semasio: 1.396 Segmente
• Roq.ad: 1.279 Segmente
• Emetriq/Deutsche Telekom: 804 Segmente
• DataXTrade: 84 Segmente

Wir haben bei allen sieben nachgefragt. Die Firma roq.ad teilt uns mit, im Jahr 2021 eigentlich keine Daten über Xandr mehr vertrieben zu haben. Nach einem kurzen Testlauf habe man bereits vor mehreren Jahren entschieden, nicht mit der Plattform zu arbeiten. Eine schlüssige Erklärung, warum die Segmente trotzdem im Mai 2021 gelistet wurden, habe man nicht. Möglicherweise nutze ein Kunde die roq.ad-Segmente über Xandr oder die Liste enthalte alte Daten. DataXTrade hat auf unsere Presseanfragen nicht reagiert. Die anderen fünf Firmen haben die Geschäftsbeziehung mit Xandr bestätigt.

Einen expliziten Bezug zu Menschen in Deutschland und anderen EU-Ländern hatten laut ihrer Bezeichnung mehr als zehntausend Segmente. Sowohl deutsche als auch US-Händler hatten sie im Angebot. Im Angebot, das ist an dieser Stelle wichtig, heißt nicht notwendigerweise, dass sie den Werbekunden die Daten direkt überlassen. In der Regel erhalten Werbetreibende selbst keinen Zugriff auf die IDs, sondern bezahlen dafür, die Daten für ihre Zwecke nutzen zu können. Werbekunden können so über spezielle Datenplattformen gegen Entgelt zielgerichtet Menschen mit bestimmten Eigenschaften oder Verhaltensweisen erreichen.

Auch die Telekom und ProSieben mischen mit

Weltweit hat die Branche 2022 über 600 Milliarden Dollar umgesetzt. Dass dieses Geschäft lange von US-Firmen dominiert war, hat die deutsche Wirtschaft schon lange gewurmt. Deshalb haben sich kleine und große Unternehmen schon vor Jahren auf den Weg gemacht, um ihr Stück vom Werbekuchen zu erobern.

Hinter zwei der sieben deutschen Anbieter stehen große Namen. Einer von ihnen ist die Deutsche Telekom, Eigentümerin des Datenhändlers Emetriq. Laut Angebotsliste hat die Firma im Mai 2021 rund 800 Segmente bei Xandr angeboten. Wir haben Emetriq gefragt, wie viele Segmente die Firma heute anbietet und wie viele IDs diese enthalten. Das Unternehmen hat diese Fragen nicht beantwortet.

Auch das Medienunternehmen ProSiebenSat1 mischt inzwischen groß im Datengeschäft mit. Über die Tochtergesellschaft Virtual Minds ist der Fernsehsender Eigentümerin von The ADEX. Mit gut 2.600 Segmenten stellte The ADEX 2021 die drittgrößte deutsche Anbieterin auf dem Xandr Marketplace dar. Auf Nachfrage bestätigt uns Virtual Minds, damals diese Segmente bei Xandr angeboten zu haben. Heute biete The ADEX insgesamt knapp 11.000 unterschiedliche Segmente über eine eigene Plattform und 17 weitere Partnerplattformen an. Bei Xandr biete das Unternehmen aktuell etwa 3.900 Segmente an. Wie viele Geräte oder Personen in den Segmenten erfasst sind, hat das Unternehmen uns nicht beantwortet.

Arbeitslos und übergewichtig

Wer durch die lange Liste der Segmente scrollt, die die deutschen Firmen anboten, staunt unweigerlich über die Kleinteiligkeit und vermeintliche Genauigkeit der Kategorien, in die sie Menschen einsortieren. Es finden sich Gehaltsklassen, Anzahl der Autos, bevorzugte Lebensmittel, favorisierte Marken und besuchte Geschäfte. Auch nach Jobs, Interessen, Hobbys, Persönlichkeitsmerkmalen und psychologischen Eigenschaften können Werbetreibende auswählen.

Unweigerlich stolpert man über zahlreiche Zielgruppenkategorien, die große Fragen aufwerfen. Man kann Glücksspieler ebenso adressieren wie Minderjährige und Menschen, die Vorlieben für Alkohol haben oder in die Kategorie „arm“ einsortiert sind.

Vielfältig ist zum Beispiel die Bandbreite der Segmente, die The ADEX anbot. Das Unternehmen vermarktete Listen von Arbeitslosen, übergewichtigen Frauen, Eltern mit Kleinkindern und Menschen mit Interesse für „Dating“ oder für „spekulative Geldanlagen“. Dazu kamen Listen mit Menschen, die weniger als 500 Euro monatlich verdienen, „höchste“ Zahlungsausfallwahrscheinlichkeit aufweisen oder eine Eigentumswohnung besitzen. Oder denen diese Eigenschaften zumindest zugeschrieben wurden. In der Datei sieht das dann so aus:

• The ADEX GmbH | 2245 | 3540268 | Custom Segments > emetriq family and relationships: dating
• The ADEX GmbH | 2245 | 9751721 | Custom Segments > emetriq income:
• The ADEX GmbH | 2245 | 9751725 | Custom Segments > emetriq job: unemployed
• The ADEX GmbH | 2245 | 11209896 | Custom Segments > AdSchober X – Style & Fashion – Clothing – Size Plus – Real Data from Internet Portals
• The ADEX GmbH | 2245 | 21135731 | Custom Segments > OSdatasolutions > 118410 > Demographic > Psychographic > Persona > Oversized Women | D1 | BL O
• The ADEX GmbH | 2245 | 22136977 | Custom Segments > OSdatasolutions > 114057 > Demographic > Education & Occupation > Employment Status > Unemployed / Job Seeker | D4
• The ADEX GmbH | 2245 | 15217144 | Custom Segments > adality – microm – payment index – Zahlungsausfallwahrscheinlichkeit – am höchsten
• The ADEX GmbH | 2245 | 15217130 | Custom Segments > adality – psychographics – microm – finance – spekulative Geldanlage

Welche dieser Segmente heute noch angeboten werden, wissen wir nicht. Laut The Adex unterliegen sie „einer laufenden Veränderung“. Informationen zu den Segmenten würden Verschwiegenheitsverabredungen mit den Datenpartnern unterliegen.

Heikle Segmente: Erotik, Schlafstörungen, Politiker:innen?

Einige Segmente der deutschen Datenhändler scheinen besonders heikel. Zeoptap etwa hatte unter anderem ein Segment mit dem Namen „Interest: LGBT“ und dem Länderkürzel „ES“ für Spanien im Angebot. Auf Nachfrage sagt das Unternehmen: „Zeotap hat auf Grundlage von Einwilligungen Nutzungsdaten in diesem Fall unter anderem von verschiedenen Dating-Apps ohne spezifischen LGBT-Bezug gesammelt.“ Tatsächliche Informationen zu LGBT-Interessen habe das Segment nicht enthalten, die Bezeichnung sei deshalb irreführend. Sie sei nur einmal verwendet worden und man habe Vorkehrungen getroffen, dass dies künftig nicht mehr geschehen würde. Außerdem sagt Zeotap: „Soweit wir es nachverfolgen können, wurden die fraglichen Segmente auch nicht von Werbetreibenden erworben und haben deshalb auch keinen Umsatz generiert.“

Die Telekom-Tochter Emetriq hatte laut Liste ein Segment mit dem Namen „Hobbies and Interests: erotic“ im Angebot. Ebenso Segmente, die auf Impfungen oder Schwangerschaften verwiesen. Außerdem ein Segment, das mutmaßlich auf politische Entscheidungsträger:innen abzielte. Es hieß „IQDX Policy Makers“. IQDX ist eine Investmentfirma aus den USA. Wir wollten von Emetriq wissen, ob die adressierten politischen Entscheider:innen in den USA oder in Deutschland sitzen. Das Unternehmen hat unsere Fragen zu konkreten Segmenten nicht beantwortet.

Auch die Firma DataXTrade bot mit einem Segment namens „pub_law_govt_politics“ mutmaßlich das Targeting von Entscheidungsträger:innen in den Bereichen Politik, Regierung und Recht an. DataXTrade hat auf mehrere Presseanfragen nicht reagiert.

Nicht alle Segmente in der Liste des Xandr Marketplace scheinen für jeden Kunden gedacht zu sein. Xandr unterscheidet in öffentliche Segmente und sogenannte Custom Segmente. Letztere sind laut einer Xandr-Dokumentationsseite eigentlich nicht öffentlich gelistet und können von Werbekunden nicht ohne weiteres genutzt werden, sondern müssen vom Datenanbieter für sie freigeschaltet werden. Wir haben Xandr gefragt, ob diese Segmente aus Versehen öffentlich einsehbar waren, aber haben keine Antwort erhalten.

Im Segmentnamen als „Custom“ gekennzeichnet waren beispielsweise alle Kategorien von The ADEX. Dazu zählten diverse Segmente, die sich auf Gesundheitsthemen beziehen. In der Liste finden sich etwa die Custom Segmente „Menopause“, „Corona Virus“ oder „Schlafstörungen“. Auch ein Segment, das laut Namen die Führungskräfte von Kirchen und religiösen Gruppen enthält, hatte das Tochterunternehmen von ProSiebenSat1 im Angebot. Wie sich diese Segmente im Einzelnen zusammensetzten und woher die Daten stammten, beantwortet The ADEX auf Anfrage nicht.

Die Quellen der Datenhändler

Mit heiklen Segmenten möchte Jungunternehmer Marc lieber nichts zu tun haben. Für seine Zwecke reicht ein Targeting mit Einkommen, Interessen und Geodaten. Da ist er bei Adsquare an der richtigen Adresse, Location-Targeting ist Adsquares Spezialität. Mit mehr als 15.000 Segmenten war das Berliner Unternehmen 2021 mit Abstand der größte deutsche Datenanbieter auf dem Xandr Marktplatz.

Wir haben Adsquare gefragt, wie viele der 15.000 Segmente es heute noch im Angebot hat. Die meisten der bei Xandr gelisteten Segmente seien inzwischen „nicht mehr aktiv oder beinhalten keine IDs mehr“, lautet die Antwort. Heute biete man für unterschiedliche Länder je etwa 1.000 bis 5.000 Segmente an, die Gesamtzahl der Segmente bleibt damit unklar. Auch konkrete Informationen dazu, wie viele IDs diese Segmente enthalten, nennt Adsquare auf Anfrage nicht.

Das Targeting mit Zielgruppensegmenten nennt Adsquare schlicht Audience Targeting. Marc erinnert sich: Die dafür notwendigen Informationen bekomme das Unternehmen von unterschiedlichen Datenpartnern, habe die Sales-Mitarbeiterin erklärt. Dazu zähle zum Beispiel Mastercard. In der Angebotsliste liest es sich so, als würde die Kreditkartenfirma mehreren Datenhändlern Informationen über Einkäufe und daraus abgeleitet über besuchte Orte und Interessen zur Verfügung stellen. Zum Beispiel der US-Firma Eyeota:

• Eyeota – DE Mastercard – Top Spending Geography – Casino and Gambling Activities
• Eyeota – DE Mastercard – Top Spending Geography – Children’s Apparel
• Eyeota – DE Mastercard – Top Spending Geography – College or University Education
• Eyeota – DE Mastercard – Top Spending Geography – Communications, Telecommunications and Cable Services
• Eyeota – DE Mastercard – Top Spending Geography – Computer and Software Stores

Wir haben Mastercard gefragt, welche Daten das Unternehmen an Werbefirmen weitergibt. Die Antwort: „Einige der Dienstleistungen, die wir anbieten, beruhen auf der Erstellung aggregierter, geografischer Einblicke in die Ausgaben aus anonymen Transaktionsdaten.“ Hierbei gebe es „keine direkte Ansicht oder Verbindung zu einer Person“. Das bedeutet offenbar, Mastercard verarbeitet die Daten nicht in Zusammenhang mit Namen, sondern mit den Kreditkartennummern. Auch Informationen über gekaufte Produkte verarbeite Mastercard nicht, sondern lediglich den Preis und das Datum, den Ort des Einkaufs und den Namen des Händlers sowie einen Code für eine Händlerkategorie.

Auf unsere Frage, wie genau die Daten mit Bezug zu Mastercard-Transaktionen in der Segmentliste von Xandr landen, antwortete Mastercard nicht. Auch zur Kooperation mit Adsquare äußert sich Mastercard nicht. Auf unsere Frage, ob Mastercards Kunden wissen, dass die Kreditkartenfirma Daten über sie an Werbefirmen weitergibt, sagt das Unternehmen, die Transaktionsdaten seien „anonym“. Zudem seien „diese Einblicke mit allen geltenden Datenschutzregelungen, einschließlich DSGVO, konform und stehen im Einklang mit Mastercards Datenschutzverpflichtungen.“ Kund:innen hätten zudem die Möglichkeit, „die Anonymisierung persönlicher Daten abzulehnen“.

Standortdaten aus Wetter-Apps

Marc erinnert sich an weitere Datenquellen, die die Adsquare-Mitarbeiterin genannt habe. Standortdaten zum Beispiel würde Adsquare auch von Apps erhalten. „Zum Beispiel eine Wetter-App, die uns regelmäßig den Standort des Nutzers zusammen mit der Mobile Advertising ID schickt“, habe die Mitarbeiterin erklärt.

Wer sich auf die Suche begibt, findet Adsquare zum Beispiel in der Datenschutzerklärung des beliebten Dienstes WetterOnline. Nutzer:innen des Dienstes müssen ihre Einwilligung zum Tracking geben oder 1,99 Euro monatlich zahlen. Wir wollten von dem Unternehmen wissen, wie häufig und in welcher Formen es Geodaten von Nutzer:innen weitergibt. Auf diese Frage erhielten wir keine Antwort. Stattdessen reagierte WetterOnline mit einem allgemeinen Statement: „Bei der Vermarktung unserer Anwendungen kooperieren wir mit einer Vielzahl an Werbepartnern und Dienstleistern.“ Das Unternehmen betont, dass es dabei alle datenschutzrechtlichen Anforderungen achte und befolge und verweist auf seine Datenschutzbestimmungen. Dort sind derzeit mehr als 1.000 Firmen aus aller Welt gelistet, an die WetterOnline Daten weitergibt.

In der Liste findet sich ebenfalls The ADEX. Laut Xandr-Segmentliste erhält die ProsiebenSat1-Tochter auch Daten vom ebenfalls beliebten Angebot Wetter.com. Die Seite reagierte nicht auf unsere Presseanfrage. In der Angebotsliste sehen die Segmente mit Quelle wetter.com so aus:

• The ADEX GmbH | 2245 | 25251237 | Custom Segments > wettercom_travelintent_hamburg
• The ADEX GmbH | 2245 | 25251238 | Custom Segments > wettercom_travelintent_berlin
• The ADEX GmbH | 2245 | 25251239 | Custom Segments > wettercom_travelintent_muenchen

Adsquare bietet auch Segmente an, die auf Besuche bei Geldautomaten bestimmter Banken verweisen. Wir haben bei der Berliner Sparkasse und der Berliner Volksbank angefragt, ob auch sie die Quelle für diese Informationen sind. Die Banken sagen: Nein. Adsquare selbst will auf Anfrage nicht sagen, woher die Segmente stammen. Doch eine Pressesprecherin der Berliner Volksbank hat eine Vermutung: „Ein Blick auf den Webauftritt der Adsquare als Anbieter von Geo-Daten lässt uns folgendes Szenario denkbar erscheinen: Bewegungsdaten (z. B. von Mobilfunkprovidern oder Apps die Standortdaten teilen) werden mit öffentlichen Kartendaten (frei verfügbare Standortdaten unserer Filialen und SB Geräte) kombiniert, um ein Dataset zu erzeugen, wie Sie es scheinbar online gefunden haben.“ Dies wäre ohne konkrete Nutzungsdaten aus dem Geldautomatensystem der Bank möglich.

Die Pressesprecherin ergänzt: „Ob und inwieweit das so zutrifft und rechtlich legitim ist, können wir nicht beurteilen.“ Adsquare selbst sagt auf unsere Nachfrage, dass das Unternehmen mittlerweile keine Segmente mehr anbiete, die auf die Automaten einzelner Banken verweisen. „In Bezug auf Geldautomaten haben wir keine Segmente mehr für einzelne Banken, sondern nur allgemein für Geldautomaten über alle Banken hinweg im Angebot.“

Websites und Haushaltsbefragungen als Datenquelle

Bisweilen fungieren auch einzelne Websites als Datenquellen für die Datenhandelsfirmen. Adsquare zum Beispiel hatte laut Xandr-Liste 2021 zahlreiche Segmente im Angebot, deren Quelle die Website ask.fm war. Der Dienst war eine Weile bei Jugendlichen sehr beliebt, man konnte sich anonym Fragen stellen. Viele dieser Segmente enthielten laut Segmentname die IDs von Minderjährigen aus EU-Ländern unter 16 Jahren:

• Adsquare (Data Provider) 2711 13712993 ask.fm > AT > Demographics > Age > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713032 ask.fm > DE > Demographics > Age > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713072 ask.fm > DK > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713113 ask.fm > FI > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713164 ask.fm > ES > Demographics > Age > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713202 ask.fm > FR > Demographics > Age > 13-18 years (adsquare)

Auf Anfrage sagt Adsquare, ask.fm sei heute kein Datenlieferant mehr. Außerdem biete Adsqure „schon seit längerem in keinem europäischen Land Daten von Minderjährigen an – auch nicht zwischen 16-18 Jahren.“

Auch die in Deutschland beliebte Ratgeber-Seite gutefrage.net, auf der Menschen Fragen zu allen erdenklichen Themen stellen und von anderen Nutzer:innen Antworten erhalten können, taucht in der Xandr-Datei häufig auf. Es sind Segmente, die kleinteilig Auskunft über Interessen der Nutzer:innen geben. Wer sich für Bücher und Literatur interessiert zum Beispiel, wer für die Zubereitung von Desserts, wer für Motorräder, wer für Autos allgemein und wer für Autoteile. Auch die Interessen „Alternative Medizin“ und „Abnehmen“ finden sich in der Liste, mit gutefrage.net als Quelle. Auf Nachfrage bestätigt das Unternehmen, seit 2019 mit Adsquare zusammenzuarbeiten.

Laut Marc spricht die Adsquare-Sales-Managerin im Verkaufsgespräch auch von Haushaltebefragungen als Datenquelle. „Wenn jemand in einer Telefonumfrage angibt, dass er gerne Golf spielt, erhalten wir diese Information.“ Wie genau Informationen aus diesen Umfragen in Segmenten landen, können wir nicht nachvollziehen. Aber es gibt Dienstleister, die darauf spezialisiert sind, unterschiedliche Identifikationscodes zu „matchen“, also etwa E-Mail-Adressen und Telefonnummern mit Geräte-IDs zu verknüpfen.

Zahlreiche Segmentnamen in der Xandr-Datei verweisen zudem auf traditionsreiche deutsche Datenhändler als Quelle. Die Firma Schober aus Baden-Württemberg beispielsweise ist schon seit Jahrzehnten im Datenhandel tätig. Früher als sogenannter Adresshändler, heute als Rundum-Versorger mit Daten über Millionen Menschen. Das Angebot nutzen nicht nur deutsche Firmen, auch die Branchengrößen aus den USA nutzen Schober als Datenquelle. Insgesamt taucht Schober für mehr als 650 Segmente auf dem Xandr-Marktplatz als Datenquelle auf.

Ähnliches gilt für die Bertelsmann-Tochter AZ Direct, die schon in analogen Zeiten im Adresshandel tätig war und in der Xandr-Datei in mehr als 800 Segmenten als Quelle auftaucht. Relativ frisch im Geschäft ist der Anbieter OS Data Solutions, der für mehr als 500 Segmente als Quelle auftaucht. Die Firma wurde 2017 vom Versandhandelsriesen Otto und dem ehemals auf Außenwerbung spezialisierten Unternehmen Ströer gegründet. Auch das Marktforschungsunternehmen Gesellschaft für Konsumforschung, GfK, taucht in mehr als 2.000 Segmenten als Datenquelle auf.

Wie unsere Schwächen gezielt ausgenutzt werden

„Firmen, die heimlich massenhaft Standortdaten von Smartphone-Apps absaugen und verkaufen, das kenne ich aus den USA und anderen Regionen der Welt“, kommentiert Wolfie Christl die Erkenntnisse über die deutschen Datenhandelsfirmen. „Ich hätte nicht erwartet, dass solche Firmen ausgerechnet mitten in Deutschland sitzen.“ Sogar der US-Konzern Oracle habe 2020 kurz nach einer Milliardenklage bekanntgegeben, den Handel mit digitalen Profilen in der EU einzustellen. „Es ist absolut unverständlich, dass deutsche Unternehmen nicht spätestens zu diesem Zeitpunkt ebenfalls Abstand davon genommen haben.“

Auch wenn einige Datenhändler sagen, dass sie die Daten nicht in individuellen Profilen speichern: Werbetreibende können unterschiedliche Targeting-Kriterien miteinander kombinieren, um gezielt bestimmte Gruppen zu erreichen. Etwa Leute, die viel Geld haben und gerne teure Autos kaufen. Oder Leute, die gerade geschieden und in finanziellen Schwierigkeiten sind. „Die Werbefirmen nutzen das Wissen über uns, um uns zu manipulieren und unser Verhalten zu formen“, sagt Wolfie Christl. Ganz bewusst würde Online-Werbung auf persönliche Schwächen ausnutzen. Dass verletzliche Gruppen mit zielgerichteter Werbung ausgenutzt werden, etwa Menschen mit Spielsucht, sei an der Tagesordnung.

Viele der Daten seien womöglich fehlerhaft, was „die Sache aber auch nicht besser macht“, wie er sagt. Denn „niemand möchte von irgendwelchen Firmen als zahlungsunfähig oder leicht beeinflussbar eingeschätzt werden, auch nicht für Werbezwecke“.

„Generell führt eine derartige Granularität und auch die explosionsartige Verteilung der Daten an alle möglichen Empfänger zu einem totalen Kontrollverlust für betroffene Personen“, kritisiert auch Marco Blocher von der gemeinnützigen Organisation NOYB – None of Your Business. „Daten kommen von 1.000 Stellen und gehen an 1.000 Stellen.“ Es sei faktisch unmöglich zu verstehen, wo die eigenen Daten sind, und wer diese zu welchen Zwecken wie lange verarbeitet. Auch Wolfie Christl sagt: „Niemand weiß genau, welche Wege diese Daten genau nehmen und was damit gemacht wird. Ich vermute, nicht einmal die Datenhandelsfirmen selbst wissen das genau.“

Die Berliner Datenschutzbeauftrage ist skeptisch

Im Gespräch mit Jungunternehmer Marc ist der Sales-Managerin von Adsquare wichtig, dass die Firma keine Daten im klassischen Sinne verkauft. Kund:innen könnten sie nutzen, aber sie erhalten nicht die Daten. Wer sie nutzen möchte, muss zunächst einen Vertrag mit einer sogenannten Demand Side Platform (DSP) abschließen. Über diese stellt Adsquare die Segmente für die Zielgruppenauswahl zur Verfügung. Marc müsste neben der Gebühr für die DSP einen Tausender-Kontakt-Preis an Adsquare für die Ansprache der gewünschten Zielgruppen zahlen. Zum Beispiel koste es etwa einen Euro, damit Marcs Werbung Tausend Personen aus der Gruppe mit hohem Einkommen in Apps oder auf smarten Fernsehern angezeigt wird.

Wie genau dieses Werbe-System funktioniert, erklären wir in unserem Artikel „Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert“.

Gegen Ende des Gesprächs habe er noch wissen wollen, wie all das mit dem Datenschutz vereinbar ist, erzählt Marc. Die Verkäuferin habe ihm versprochen: „Sie haben da keine Haftung. Und wir auch nicht, glaube ich.“ Man lasse sich von den Datenpartnern zusichern, dass sie datenschutzkonform handeln. Halbjährlich würden stichprobenartige Überprüfungen vorgenommen.

Auf Anfrage erklären die deutschen Datenhändler Adsquare, Emetriq, The ADEX und Zeotap, dass die Rechtsgrundlage für ihre Datenverarbeitungen die Einwilligung der Betroffenen ist. Für das rechtmäßige Einholen der Einwilligungen seien die jeweiligen Datenpartner zuständig.

Wir haben unter anderem die Chefin der Berliner Datenschutzaufsicht gefragt, ob das ausreicht. Die Antwort von Meike Kamp: Man müsse natürlich im Einzelfall prüfen, aber sie habe grundsätzliche Zweifel daran, dass die Anforderungen der Datenschutzgrundverordnung an die informierte und freiwillige Einwilligung erfüllt werden: „In solchen Fällen stellt es für den Einzelnen eine Herausforderung dar, die komplexe Struktur der beteiligten Akteure sowie die spezifischen Datenflüsse bei der Erteilung einer Einwilligung nachzuvollziehen.“

Aus diesem Grund seien „die Auswirkungen der individuellen Entscheidungen auf einen selbst oftmals nicht abschätzbar“, so Meike Kamp. Trotzdem werde von den betroffenen Personen erwartet, dass sie ihre Einwilligung zur Datenverarbeitung geben. „Eine tatsächlich selbstbestimmte und informierte Einwilligung wird somit praktisch unmöglich.“

*Name geändert

Mitarbeit: Anna-Lena Schmierer und Jan Lutz.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ein öffentlich auffindbares Dokument gibt einen einmaligen Einblick in den globalen Datenhandel für die digitale Werbung. Erstmalig können wir nachvollziehen, wie invasiv und kleinteilig die Werbefirmen und Datenhändler uns kategorisieren. Das Bild ist erschreckend, auch zahlreiche deutsche Firmen sind beteiligt.

Was auch immer wir im Internet tun, wird aufgezeichnet und ausgewertet, um uns zielgerichtet Werbung anzuzeigen. Das ist eine Realität, an die viele Menschen sich inzwischen gewöhnt haben – im Gegenzug sind schließlich viele Internetangebote kostenlos. Wo genau unsere Daten landen, wenn wir Websites aufrufen oder Apps nutzen, das können die wenigsten nachvollziehen. Auch daran haben wir uns gewöhnt. Die Wege des Targeted Advertising sind unergründlich.

Die Werbeindustrie tut viel dafür, damit das so bleibt: Die Netzwerke der Datensammler sind selbst für Branchenkenner:innen kaum zu überschauen. Jetzt präsentieren netzpolitik.org und das US-Medium The Markup einen einmaligen Einblick in das Geschäft mit unseren Daten. Wir haben die Angebotsliste von Xandr ausgewertet, einem der größten Datenmarktplätze der Werbewelt. Sie enthält mehr als 650.000 unterschiedliche Kategorien, in die die Industrie Menschen einsortiert, um sie mit gezielter Werbung erreichen zu können.

Umfang und Detailtiefe dieser Datensammlung sind erschreckend. Es gibt kaum eine menschliche Eigenschaft, die Werbetreibende nicht für Werbung ausnutzen wollen. Sie wollen Menschen aus Dänemark erreichen, die einen Toyota gekauft haben? Kein Problem. Sie wollen Menschen erreichen, die gerade finanzielle Probleme haben? Oder keine Krankenversicherung? Kein Problem. Minderjährige? Schwangere? Homosexuelle? Depressive? Politiker:innen? Alles kein Problem.

„Diese Liste ist das gewaltigste Dokument über den globalen Datenhandel, das ich je gesehen habe“, sagt der Wiener Tracking-Forscher Wolfie Christl. Er hat die Datei aufgestöbert und mit netzpolitik.org sowie The Markup geteilt. Das US-Medium berichtet heute unter anderem über die zahlreichen sensiblen Daten und macht sie mit einem interaktiven Tool einfach durchsuchbar. Xandr hat auf mehrere Presseanfragen nicht reagiert. Die Liste ist auf Mai 2021 datiert, sie stand bis zu unserer Anfrage auf einer Dokumentationsseite von Xandr offen im Netz. Heute ist sie nicht mehr erreichbar, aber beim Internet Archive gibt es eine archivierte Version der Seite und der Datei [23 MB]. Laut von uns befragten Jurist:innen zeige die Liste, dass das derzeitige Werbegeschäft strukturell unvereinbar mit Datenschutzanforderungen ist.

Riesige Container für Gruppen mit bestimmten Eigenschaften

Zielgerichtete Werbung ist das dominante Geschäftsmodell des Internetzeitalters. Das Versprechen: Mehr verkaufen, indem man genau die Menschen mit Werbung erreicht, die davon besonders angesprochen werden. Es ist ein Versprechen, das zieht. Die Umsätze der Branche klettern seit Jahren in immer größere Höhen, 2022 betrugen sie weltweit mehr als 550 Milliarden Dollar. Tendenz: rasant steigend. Denn je mehr man über einen Menschen weiß, desto besser man kann ihn beeinflussen, lautet die Annahme. Die Werbeindustrie arbeitet deshalb seit langem hart daran, immer mehr über uns erfahren.

Wann immer wir Websites besuchen, Apps nutzen, an Umfragen teilnehmen oder etwas mit Kreditkarte bezahlen, hinterlassen wir Daten. Hunderte Firmen weltweit sammeln diese Informationen und formen daraus sogenannte „Audience Segments“. Man muss sich diese Segmente als riesige Container für Gruppen von Menschen vorstellen. Jedes Segment enthält eine Liste mit digitalen Identifikationscodes, denen bestimmte Eigenschaften zugeschrieben werden. Das sind zum Beispiel demografische Merkmale, Interessen, Konsumverhalten oder Charaktereigenschaften. Auch Informationen darüber, welche Apps und Websites wir nutzen, welche Orte wir besuchen, woran wir vermeintlich glauben, welche Krankheiten wir haben, und unsere sexuelle Orientierung landen in Segmenten.

Diese Segmente werden in der Industrie gehandelt wie ganz normale Waren. Einer der wichtigsten Umschlagplätze dafür ist der Xandr Marketplace. Das US-Unternehmen gilt als eine der ersten Adressen für alle, die sich bei der Online-Werbung nicht vollständig den geschlossenen Systemen von Google, Meta und Amazon ausliefern wollen. 2022 hat Microsoft Xandr vom US-Telekommunikationsanbieter AT&T übernommen, Branchengerüchten zufolge für etwa eine Milliarde Dollar.

Für den ehemaligen Software-Konzern, der vielen noch primär als Hersteller von Produkten wie Windows und Office ein Begriff ist, war die Übernahme ein weiterer Schritt bei der Transformation zu einem Daten- und Werbekonzern. Während das Unternehmen den Konkurrenten Google lange für seinen Datenhunger kritisierte, erhielt Microsoft kürzlich selbst vom Forbes-Magazin den informellen Titel „Next Ad-Tech Giant“. Neben dem Ausbau des eigenen Werbenetzwerkes kaufte Microsoft unter der Führung von CEO Satya Nadella Startups wie den Werbedienstleister PromoteIQ auf. Auch die Übernahme des Sozialen Netzwerks LinkedIn und des Spieleherstellers Activision Blizzard passt in diese Strategie. Beide Unternehmen liefern nicht nur umfassende Daten von Nutzer:innen, sondern bringen auch gefragte Werbeplätze mit sich, die Microsoft vermarkten kann.

Eine Excel-Liste mit 650.000 Zeilen

Mit Xandr integriert Microsoft nun einen zentralen Player der Branche nach und nach in die eigenen Werbedienste. Xandr richtet sich mit seinen Plattformen sowohl an Werbetreibende, die Zielgruppen zuschneiden wollen, als auch an Unternehmen, die selbst Werbeplätze zur Verfügung stellen und dafür Käufer suchen – also zum Beispiel Nachrichtenwebsites, Spiele-Apps oder Smart-TV-Angebote. Außerdem bietet Xandr eine Infrastruktur für den Handel von Daten zwischen Anbietern von Werbeplätzen, Werbetreibenden und anderen Datenhändlern sowie Dienste, mit denen sich die IDs von Menschen synchronisieren lassen, um sie über mehrere Geräte hinweg tracken zu können.

Kurzum: Microsofts Neuerwerbung ist eine wichtige „Infrastruktur für das globale Werbe-Ökosystem“, wie das Branchenmagazin Adzine schreibt. Auf dem Marktplatz können andere Datenhändler ihre Daten zur Nutzung anbieten. Dass Xandr in der Vergangenheit offenbar keine Probleme hatte, hier auch fragwürdige Daten handeln zu lassen, davon zeugt die Angebotsliste. Die Datei enthält hunderte Segmente zu sensiblen Themen wie Gesundheit, sexueller Orientierung, Politik, Religion, Ethnizität und offenbar auch Segmente mit Minderjährigen.

Welche Kunden die bei Xandr angebotenen Daten nutzen, ist nicht bekannt. Wir haben Xandr und Microsoft eine umfangreiche Presseanfrage geschickt. Trotz mehrfachen Nachhakens im Verlauf von fast zwei Wochen haben weder wir noch The Markup Antworten erhalten. Laut Adzine arbeiten in Deutschland beispielsweise die Medienunternehmen Axel Springer und Burda mit Xandr. Die Zahl der Kunden ist vermutlich groß, 650.000 Segmente dürften für viele als Pluspunkt gelten. In der digitalen Werbebranche ist schließlich allen bekannt, dass das derzeitige System auf granularen Datensammlungen basiert.

An dieser Stelle ist wichtig zu betonen, dass Xandr und ähnliche Plattformen ihren Werbekunden die Daten nicht direkt überlassen. Die Werbetreibenden zahlen nicht für die Rohdaten mit den pseudonymen IDs einzelner Personen. Sondern dafür, über spezielle Plattformen zielgerichtet Menschen in bestimmten Zielgruppen-Segmenten zu erreichen. Viel davon findet automatisiert statt, die Branche spricht deshalb von Programmatic Advertising. Damit dieses System funktioniert, müssen die personenbezogenen Daten von Internetnutzer:innen durch die Hände zahlreicher Unternehmen gehen. Immer wieder kommt zudem ans Licht, dass einige Firmen doch auch Rohdaten verkaufen, zum Beispiel an das FBI.

So sieht die Angebotsliste des Datenmarktplatzes aus

Die Angebotsliste des Xandr Marketplace enthält die Metadaten zu insgesamt 651.463 Segmenten. Für jedes Segment gibt es in der Excel-Datei eine eigene Zeile, die den Namen sowie eine ID des Anbieters enthält, den Namen des Segments und eine Segment-ID. Das sieht beispielsweise so aus:

Adsquare (Data Provider) | 2711 | 25423859 | Adsquare Data Alliance > DE > Place Visits > By Category > Eat and Drink > Restaurant > Fast Food (adsquare)

Das bedeutet, der Datenhändler Adsquare bot Daten zu Personen im Deutschland an, die Fast-Food-Restaurants besucht haben. Die Segmentnamen geben häufig Hinweise auf die Unterkategorien. Hier ist es „Place Visit“ für besuchte Orte, andere Beispiele sind „Purchase“ für getätigte Einkäufe, „Top Mobile App“ für die meistgenutzte App oder „Travel intent“ für Orte, an die jemand mutmaßlich reisen wird.

Viele Unternehmen der Branche lehnen den Begriff „Datenhändler“ für ihr Geschäft ab. Sie nennen sich lieber Technologieplattformen, Infrastrukturdienstleister oder „Location Intelligence Platform“. Schließlich geben sie die Rohdaten meist nicht direkt an die Endkunden weiter. Aber die Firmen beziehen Daten aus unterschiedlichen Quellen, organisieren und verpacken sie neu, helfen, Personen über unterschiedliche Geräte hinweg zu tracken und zu erreichen, und bieten sie anderen Firmen gegen Geld oder andere ökonomische Vorteile zur Nutzung an. Das ist Datenhandel.

Insgesamt 93 dieser Firmen werden in der Xandr-Datei explizit als „Data Provider“ gelistet, also als Datenlieferanten. Das sind Unternehmen, die die von ihnen vertriebenen Daten offenbar direkt bei Xandr angeboten haben. Sieben davon sind deutsche Datenhändler. Sie erhalten ihre Daten aus unzähligen Quellen. Dutzende Firmen sind in der Datei durch die Bezeichnung der Segmente als ursprüngliche Quelle für die Daten zu erkennen, auch darunter zahlreiche deutsche Unternehmen. Man findet zum Beispiel diverse Segmente, die offenbar auf Daten beruhen, die von der Kreditkartenfirma Mastercard stammen. Die Namen der Segmente lesen sich so, als würde die Kreditkartenfirma Informationen über Einkäufe und daraus abgeleitet über besuchte Orte und Interessen zur Verfügung stellen:

• Eyeota – DE Mastercard – Top Spending Geography – Casino and Gambling Activities
• Eyeota – DE Mastercard – Top Spending Geography – Children’s Apparel
• Eyeota – DE Mastercard – Top Spending Geography – College or University Education
• Eyeota – DE Mastercard – Top Spending Geography – Computer and Software Stores

Auf Anfrage sagt Mastercard, man biete Dienstleistungen auf Basis der „Erstellung aggregierter, geografischer Einblicke in die Ausgaben aus anonymen Transaktionsdaten“ an. Auf unsere Frage, wie genau die Daten mit Bezug zu Mastercard-Transaktionen in der Segmentliste von Xandr landen, antwortete Mastercard nicht.

Keine Informationen enthält die Datei von Xandr darüber, wie viele IDs von Menschen die einzelnen Segmente enthalten und wie die IDs aussehen. Bekannt ist allerdings, dass dies hunderttausende oder gar Millionen unterschiedliche IDs sein können. Allein Oracle, in der Xandr-Liste mit mehr als 200.000 Segmenten der größte Anbieter, behauptet, Daten über mehr als fünf Milliarden Personen zu haben.

Mercedes, Mütter und Militär

Die Angebotsliste in ihrem ganzen Ausmaß zu erfassen, ist schwer. Das liegt nicht nur am Umfang der Segmentsammlung, sondern auch daran, dass die Kategorienamen je Datenhändler sehr unterschiedlich aufgebaut sind. Die Liste enthält außerdem viele Segmente, die speziell für einzelne Werbekunden erstellt wurden. Mehr als 50.000 Segmente tragen die Bezeichnung „custom“, was sich mit „maßgeschneidert“ übersetzen lässt. Laut Xandr-Dokumentation werden so Segmente bezeichnet, die nicht für alle Werbekunden nutzbar sind. Stattdessen müssen sie erst von den Anbietern freigeschaltet werden.

Trotz dieser Unübersichtlichkeit hat The Markup eine Datenanalyse vorgenommen, die zumindest eine grobe Häufigkeitsverteilung einiger übergeordneter Kategorien zeigt. Demzufolge sind Segmente mit Verweisen auf den Automobilsektor die größte Gruppe. Werbetreibende können mit den Xandr-Daten beispielweise Fans oder Besitzer:innen einer bestimmten Automarke ansprechen oder Leute, in deren Haushalt es mehr als zwei Autos gibt und die jährlich mehr als 32.000 Kilometer fahren. Allein zum Schlagwort „Mercedes“ findet man mehr als 1.000 Segmente.

Die zweitgrößte Gruppe sind demografische Merkmale. Werbetreibende können nicht nur nach Geschlecht oder Alter auswählen, sondern etwa Eltern von Teenagern, alleinerziehende Mütter mit Kleinkindern oder Menschen, die gerade vor der Scheidung stehen. Oft fließen Informationen über den Lebensstil mit ein, etwa „konservative Rentner“, „urbane Eliten“ oder auch „multikulturelle Familien“. Mütter scheinen eine besonders interessante Gruppe zu sein, es gibt Segmente mit „Soccer Moms“, „Big City Moms“, „Busy Moms“ oder auch „Moms who shop like crazy“.

Der groben Analyse zufolge basiert die drittgrößte Segment-Gruppe auf Informationen zu Beruf oder Branche von Personen. Segmente tragen dann Namen wie „Beauty Center Owner“, „Lawyer“ oder „Policy Makers“. Fast immer sind die Segmente auf Englisch benannt, auch wenn sie sich explizit auf Länder wie Deutschland oder Frankreich beziehen. Auf Deutsch betitelte Segmente findet man selten, etwa „KMU Entscheider kleine & mittelständische U.“ Häufig geht es in dieser Kategorie auch um Mitarbeiter:innen ganz bestimmter Unternehmen, etwa „aldi competitor“ oder „Volvo SUV Konkurrenz“. Selbst Angehörige von Militär und Polizei kann man als Zielgruppe auswählen.

Brustkrebs, Depressionen und Schwangerschaftsabbrüche

Hunderte Segmentbezeichnungen deuten auf hochsensible Daten wie Gesundheitsinformationen. Die Werbetreibenden können aus Kategorien wie Brustkrebs, Blasenkrebs oder Depression wählen. Einige Segmentnamen verweisen sogar auf Besucher:innen einzelner Kliniken. Hier einige Beispiele des US-Anbieters Liveramp:

• LiveRamp Data Store | 8082 | 16237485 | HealthRankings > BPD
• LiveRamp Data Store | 8082 | 16237395 | HealthRankings > BPH
• LiveRamp Data Store | 8082 | 16237478 | HealthRankings > Breast Cancer
• LiveRamp Data Store | 8082 | 24900788 | HealthRankings > Breast Cancer Caregivers
• LiveRamp Data Store | 8082 | 16237416 | HealthRankings > Cholesterol
• LiveRamp Data Store | 8082 | 16237450 | HealthRankings > Cough/Cold
• LiveRamp Data Store | 8082 | 16237432 | HealthRankings > Diabetes
• LiveRamp Data Store | 8082 | 16237508 | HealthRankings > Diabetes Type II
• LiveRamp Data Store | 8082 | 16237498 | HealthRankings > Eating Disorder

Zu den Segmenten mit Gesundheitsbezug gesellen sich zahlreiche Segmente, die auf die Religion verweisen, etwa „muslim“ oder „jewish“, und solche, die auf die sexuelle Orientierung von Menschen oder ihre Herkunft und Ethnizität schließen lassen. Auch viele Segmente zu politischen Themen enthält die Liste: Wer ist für Donald Trump und wer gegen ihn? Wer ist für oder gegen Black Lives Matter und wer gegen das Recht auf Schwangerschaftsabbruch?

Tracking-Forscher Wolfie Christl sieht in derart umfassenden Datensammlungen gleich mehrere Probleme. Da sei zum Beispiel das Eindringen in die Privatsphäre aller Menschen, die in den Segmenten landen. „Kein Mensch kann damit rechnen, dass alle Informationen über das eigene Verhalten bei hunderten Firmen landen.“ Christl nennt das eine „Verletzung der kontextuellen Integrität“. Der Kontext, in dem Menschen ihre Daten preisgegeben haben – möglicherweise sogar bewusst, indem sie an einer Umfrage teilgenommen oder bei einer App ihr Gehalt angegeben haben –, sei ein anderer Kontext als der, in dem die Informationen genutzt werden.

Das führe nicht nur zu Kontrollverlust, sondern habe auch ganz konkrete Auswirkungen auf das Leben von Menschen. „Die Werbefirmen nutzen das Wissen über uns, um uns zu manipulieren und unser Verhalten zu formen“, so Christl. Ganz bewusst würde manche Online-Werbung persönliche Schwächen ausnutzen. Es sei etwa an der Tagesordnung, dass verletzliche Gruppen gezielt angesprochen werden, Menschen mit Spielsucht, Depression oder anderen Krankheiten. Die Segmente werden zudem im Marketing auch immer wieder genutzt, um Menschen gezielt von Informationen auszuschließen. Bei Werbung für Wohnungen oder Jobs zum Beispiel kommt es immer wieder zu Diskriminierung, auch Fälle von irreführender oder betrügerischer Werbung, sogenanntes „Scamvertising“, kann mit den Daten befeuert werden.

„Wie die Datenfirmen uns einsortieren, entscheidet darüber, was wir zu sehen bekommen oder und sogar welche Preise oder Rabatte wir bekommen. Das prägt unsere Welt und es prägt auch unser Selbstbild, wenn wir von Werbung immer auf eine bestimmte Art und Weise angesprochen werden“, sagt Christl. Der auf Datenschutz spezialisierte Rechtsanwalt Tillmann Herbrich sieht darin insgesamt eine Gefahr für das demokratische Gemeinwesen. „Durch die unmittelbare Beeinflussung der subjektiven Nutzerwahrnehmung lässt sich auch die Wahrnehmung des Weltgeschehens beeinflussen“, so Herbrich. Dabei gehe auch auch um die Platzierung von Fake News und die datengetriebene Verstärkung von Desinformation.

Deutsche Nutzer, die abnehmen wollen

Wieviele IDs von Menschen aus Deutschland und anderen EU-Ländern sich in den Segmenten befinden, lässt nicht genau sagen. Klar ist: Die Xandr-Liste enthält Segmente mit Bezug zu allen Weltregionen. Ein Schwerpunkt liegt auf den USA und Europa, doch auch zu Ländern in Südamerika und Asien finden sich Segmente in der Liste. Das ist erkennbar an Länderkennzeichnungen in den Segmentnamen, etwa „US“, „DE“ oder „Germany“. Mehr als 3.000 Kategorien mit explizitem Bezug zu Deutschland sind in der Liste, angeboten von Datenhändlern aus Deutschland und den USA.

Von den Segmenten mit sensiblen Daten haben zahlreiche einen klar erkennbaren Bezug zu den USA. Dort lassen sich offenbar selbst Menschen im Umkreis von Militärbasen oder Besucher:innen konkreter Wahlkampfveranstaltungen targeten. Viele kritische Segmente haben jedoch keine klare Länderzuordnung. Wir wollten von Xandr wissen, ob es ausschließen kann, dass sich hierin auch IDs von EU-Bürger:innen befinden. Wir erhielten keine Antwort.

Einige sensible Segmente haben im Namen jedoch auch einen klaren Bezug zu Deutschland und anderen EU-Ländern. Dazu zählen Segmente mit Informationen über Kasino-Besuche, ein Faible für Sportwetten oder gar Spielsucht. Die deutsche Firma Adsquare bot mit Deutschlandbezug Segmente wie „poor“ oder zur Altersgruppe „13-18 years“. Die Berliner Firma gehört mit einem Angebot von mehr als 15.000 unterschiedlichen Segmenten zu den größeren Anbietern in der Datei. Dazu zählen auch Kategorien wie „Period Trackers“, „Conservative Retiree“, „Multicultural Families“ oder Besuche bei den Geldautomaten von verschiedenen Banken, etwa der Sparkasse. Auf Anfrage sagt Adsquare, die hier genannten Segmente nicht mehr anzubieten.

Auch die ProSiebenSat.1-Tochter The ADEX hatte Segmente mit Gesundheitsbezug im Angebot, etwa „Alternative Medicine“, „Menopause“ oder „Sleep Disorders“. Außerdem bot sie offenbar ein Segment zu Angestellten von Kirchen und religiösen Gruppen an. Die Telekom-Tochter emtriq wiederum bot offenbar Segmente wie „Hobbies and Interests: Erotic“ und „pregnant“ an. Die deutsche Firma Zeotap hatte ein Segment „LGBT“ mit der Länderkennzeichnung „ES“ für Spanien im Programm. Was die deutschen Datenhändler dazu sagen, lest ihr in unserem Artikel „Wie deutsche Firmen am globalen Geschäft mit unseren Daten verdienen“.

Wie Xandr und das Programmtic Advertising System funktionieren

Wie die Segmente im Einzelnen entstehen, also aus welchen Quellen die Daten stammen und wie die Zusammensetzung berechnet wird, wollte uns keine der von uns angefragten deutschen Firmen erklären. Gesichert ist: Neben Segmenten mit harten Fakten wie dem Alter oder besuchten Orten und Websites gibt es zahlreiche Kategorien, die auf Schlussfolgerungen und Schätzungen beruhen. Es gibt berechtigte Zweifel an der Genauigkeit und Qualität der Daten, erklärt Tracking-Forscher Wolfie Christl. Dennoch würden sie genutzt, um zu entscheiden, was Menschen zu sehen bekommen.

Welchen Weg manche Daten gehen, lässt sich gut am Beispiel der Ratgeber-Seite gutefrage.net erklären. Das Unternehmen hat uns gegenüber bestätigt, seit 2019 Daten über die Interessen seiner Nutzer:innen an die ProSiebenSat.1-Tochter The ADEX weiterzugeben. „Wir erheben ‚Interest‘-Daten basierend auf unseren Frage-Themen auf gutefrage.net für Targeting-Zwecke, die wir an Werbetreibende weitergeben.“ Es sind Segmente, die Auskunft über Interessen der Nutzer:innen geben. Wer sich für Bücher und Literatur interessiert zum Beispiel, wer für die Zubereitung von Desserts, wer für Motorräder, wer für Autos allgemein und wer für Autoteile. Auch die Interessen „Alternative Medizin“ und „Abnehmen“ finden sich in der Liste, mit gutefrage.net als Quelle.

Wir wollten von gutefrage.net wissen, in welcher Form die Daten weitergegeben werde. Das Unternehmen antwortet, bei dem Prozess würden „keine personenbezogenen oder soziodemografischen Daten erhoben“. Das allerdings steht im Widerspruch zum Cookie-Banner der Website. Auf diesem heißt es „Wir erheben personenbezogene Daten (z.B. IP-Adresse, Pseudonymisierte Identifier, Emailadresse) und übermitteln diese auch Drittanbieter wie The Tradedesk und Liveramp, die uns helfen, unser Webangebot zu verbessern und zu finanzieren.“ Übersetzt: Wer die Website besucht und nicht 2,99 Euro monatlich zahlt, sondern beim Cookie-Banner auf „Akzeptieren“ klickt, landet wohl mit einer ID in einer dieser Interessenkategorien. Der Datenhändler The ADEX bietet diese Segmente dann auf verschiedenen Plattformen zur Nutzung an. Etwa bei Xandr und auf sogenannten Demand Side Platforms (DSP). Werbekunden müssen sowohl der DSP als auch dem Datenbieter eine Gebühr zahlen.

Auf der anderen Seite des Werbekreislaufes sind die Anbieter freier Werbeplätze, zum Beispiel auf Nachrichtenwebsites. Sie tun dies über eine Supply Side Platform (SSP). Die freien Werbeplätze und die Informationen über die gewünschten Zielgruppe kommen über Auktionen auf AdExchange-Plattformen zusammen. Die DSP übermittelt die gewünschte Zielgruppe an die AdExchange. Wenn nun jemand besagte Nachrichtwebsite besucht, sendet die Seite die IDs des Besuchers an die SSP. Diese wiederum leitet eine Auktion ein, indem sie einen Bid-Request mit der ID des Nutzers und Informationen über den Werbeplatz an die AdExchange schickt. Dort wird erkannt, ob der Besucher der Website zur gewünschten Zielgruppe des Kunden passt, sich zum Beispiel für das Thema Abnehmen interessiert. Wenn dies der Fall ist, bietet die DSP auf den Werbeplatz. Die Meistbietenden gewinnen, sie können ihre Werbung bei der gewünschten Zielgruppe anzeigen.

Die Berliner Datenschutzbeauftragte ist skeptisch

Die Erkennung der passenden Nutzer:innen und die Auktionen finden in wenigen Millisekunden statt. Technisch ist dieses System eine Meisterleistung, rechtlich steht es auf tönernen Füßen. Erst Anfang Juni kam das Bundeskartellamt am Ende einer mehrjährigen Untersuchung zu dem Ergebnis, dass der Markt des Programmatic Advertising in hohem Maße intransparent ist. Das gelte sowohl gegenüber beteiligten Unternehmen und Werbekunden als auch gegenüber Nutzer:innen. Die Marktdominanz vor allem von großen Digitalkonzernen wie Google verschärfe die Problematik. „Wir sollten uns ernsthaft fragen, ob wir quasi den ‚gläsernen‘ Internetnutzer wollen, allein aus dem Grund, dass wir bestimmte Produkte oder Serviceleistungen kaufen sollen“, schlussfolgert Kartellamtspräsident Andreas Mundt.

Auch der Datenschutz macht der Branche Probleme. Denn die Werbeplattformen brauchen laut Datenschutzgrundverordnung (DSGVO) eine rechtliche Grundlage für ihr Geschäft. Dafür komme nur die informierte und freiwillige Einwilligung der Betroffenen in Frage, sagt die Chefin der Berliner Datenschutzaufsichtsbehörde Meike Kamp zu netzpolitik.org. Lange wurde darum gerungen, ob auch andere Rechtsgrundlagen in Frage kommen, inzwischen sind sich die meisten Aufsichtsbehörden einig: Nein.

Die Datenhändler sagen, dass für das Einholen der Einwilligung ihre Datenpartner zuständig sind. Auf Websites nimmt das heute fast immer die Form von Cookie-Bannern an, auch bei der Installation von Apps muss man meist die Datenschutzbestimmungen akzeptieren. Wer hier zustimmt, muss damit rechnen, dass die Daten bei dutzenden oder gar hunderten Werbefirmen landen. Und genau das ist das Problem, sagt Jurist Marco Blocher von der gemeinnützigen Organisation None of Your Business (NOYB). „Kein Mensch kann da noch überschauen, wo die eigenen Daten landen und was dann genau damit passiert, vor allem weil diese Werbefirmen die Daten abermals an eine Vielzahl von Empfängern weitergeben.“

Es fehle bei den gängigen Einwilligungs-Bannern an der notwendigen Transparenz, pflichtet Rechtsanwalt Tilman Herbrich bei: „Aufgrund der Komplexität der Infrastruktur, der hohen Anzahl von involvierten Drittanbietern, der Vielzahl an abgefragten Verarbeitungszwecken und dem Umfang der Nutzerprofile werden die Anforderungen an die Informiertheit einer Einwilligungserklärung kaum erreicht.“

Auch die Berliner Aufsichtschefin Meike Kamp kommt zu diesem Schluss: „Die komplexe Struktur der beteiligten Akteure sowie die spezifischen Datenflüsse“ nachzuvollziehen, sei für den Einzelnen schwierig. Die Auswirkungen der Einwilligungsentscheidung seien kaum nachvollziehbar. „Eine tatsächlich selbstbestimmte und informierte Einwilligung wird somit praktisch unmöglich.“ Der Transparenzgedanke der DSGVO bleibe auf der Strecke.

Hinzu käme, dass viele Einwilligungsbanner noch immer mit Tricks und manipulativem Design arbeiten, um an Einwilligungen zu kommen, ergänzen Herbrich und Blocher. „Viele Consent-Ausgestaltungen auf Websites und in Apps gewähren Nutzern keine gleichwertigen Auswahlmöglichkeiten, vor allem in Form und Farbgebung, für die Erteilung und Ablehnung einer Einwilligung“, so Herbrich. Deshalb fehle es an der Freiwilligkeit.

Wer ist eigentlich verantwortlich?

Wir haben die deutschen Datenfirmen Adsquare, emtriq und The ADEX nach der Rechtsgrundlage für ihre Datenverarbeitung gefragt. Sie alle verweisen auf die Einwilligung und darauf, dass ihre Datenlieferanten dafür zuständig sind, sie einzuholen. Man lasse sich vertraglich zusichern, dass dies korrekt geschehe, gelegentlich gebe es stichprobenartige Überprüfungen.

Doch damit machten es sich die Datenhändler zu leicht, sagt Marco Blocher von NOYB. „Sie müssten die eingeholten Einwilligungen dokumentieren, verwalten, Widerrufe berücksichtigen.“ Sich vom Datenlieferanten eine vertragliche Zusicherung einzuholen, dass alles DSGVO-konform sei“, reiche nicht aus. Man könne schließlich als Arzneimittelhersteller auch nicht sagen: „Der Lieferant hat vertraglich gesagt, das ist diese und jene Chemikalie, ich habe das deshalb ungeprüft in der Medikamentenherstellung verwendet.“ Dass die Anforderungen im derzeitigen Werbesystem umgesetzt werden, bezweifelt Blocher.

Bei den Daten, die derzeit von Websites gesammelt und an Werbefirmen weitergeben werden, setzen fast alle Firmen auf einen technischen Standard. Das sogenannte Transparency and Consent Framework (TCF) wird von der Branchenorganisation IAB bereitstellt. Es soll sicherstellen, dass die Einwilligung standardisiert und rechtsicher eingeholt wird und dass Daten im Werbesystem nicht ohne Einwilligung verarbeitet werden. Doch ob der Standard rechtssicher ist, daran gibt es große Zweifel.

Die belgische Datenschutzaufsicht hatte den TCF-Standard 2022 für ungültig erklärt, unter anderem, weil er die Anforderungen an die Transparenz nicht erfüllt. Inzwischen nutzen Firmen eine angepasste Version des TCF, doch auch diese werde den Anforderungen der DSGVO nicht ohne Reduktion der Verarbeitungszwecke und Empfänger gerecht, so Herbrich. Seiner Meinung nach müssten Nutzer:innen beispielsweise darüber aufgeklärt werden, in welche Kategorien sie einsortiert werden, wie viele Firmen ihre Daten erhalten und wie genau diese genutzt werden.

Die Werbe- und Datenbranche sieht das anders. Höchstrichterliche Urteile zu Datenhandel und dem System des Programmatic Advertising gibt es noch nicht.

Keine sensiblen Informationen?

Für die datenschutzrechtliche Beurteilung dürfte besonders wichtig sein, ob auch sensible Daten nach Artikel 9 der DSGVO verarbeitet werden. Dazu zählen Gesundheitsdaten und solche, aus denen sich Schlüsse über politische Überzeugungen, sexuelle Orientierung, Religion und Herkunft ziehen lassen. Bei solchen Daten gelten für die Einwilligung nochmal erhöhte Anforderungen, erklärt Behördenchefin Meike Kamp. Diese müsse ausdrücklich erfolgen, also mit ausführlicheren Informationen über die Daten, sagt Tilman Herbrich. „Eine ausdrückliche Einwilligung kann man nicht mit einem Klick in einem Cookie-Banner auf ‚Alle akzeptieren‘ erklären.“ Auch die Daten von Minderjährigen unter 16 Jahren sind besonders geschützt, in vielen Ländern braucht es die Einwilligung der Eltern.

Die Datenhandelsfirmen stellen sich auf den Standpunkt, sie würden keine sensiblen Daten verarbeiten, sondern lediglich allgemeine Interessen. So erklärt etwa die Pressesprecherin der ProSiebenSat.1-Tochter The ADEX, dass sie zu den Details einzelner Segmente nichts sagen könne, weil die Verträge mit Datenpartnern Verschwiegenheitsklauseln enthielten. Wir hatten unter anderem gefragt, wie sich die ADEX-Segmente „Menopause“, „Corona Virus“, „Sleep Disorders“ und „Churches and Religious Groups – 1st and 2nd Management Level – GPS Data“ zusammensetzen.

Die Sprecherin antwortet auf einer grundsätzlichen Ebene: Die Bezeichnung der Segmente spiegele „ausschließlich die Kategorienart der besuchten Website wider, ohne dass damit eine Aussage über zum Beispiel die körperliche oder geistige Gesundheit eines Betroffenen verbunden ist“. Als Beispiel nennt die Sprecherin das Segment „Sports Cars“, in das man einsortiert werde, wenn man einen Medienbericht über einen Ferrari aufgerufen habe. „Hieraus die Aussage, der Betroffene wäre Eigentümer eines Ferraris oder sonstigen Sports Car, abzuleiten, ist erkennbar unzutreffend und auch nicht intendiert.“

Dieser Widerspruch begegnet einem immer wieder in der Branche: Einerseits sollen die Daten so genau sein, dass sie perfektes Targeting garantieren, andererseits sollen die Daten so allgemein sein, dass es keine Probleme mit dem Datenschutz gibt. Auch die Telekom-Tochter Emetriq schreibt uns, das Unternehmen verarbeite keine Daten, die zu den besonderen Kategorien nach Artikel 9 DSGVO gehören: „Unsere Segmentdaten beruhen nicht zum Beispiel auf Gesundheitsdaten, wie etwa medizinischen Diagnosen, Einkaufsdaten zu Medikamenten, sondern auf das jeweiligen Surf-Verhalten, das ein allgemeines Interesse zu bestimmten Themen abbildet.“

Adsquare wiederum schreibt auf unsere Frage, ein Segment namens „Multicultural Families“ basierte lediglich „auf ortsbezogenen Daten von Drittanbietern“ und sei nicht mehr im Angebot. Zu einem Segment namens „Viagra – Unhealthy Place Visits“ sagt Adsquare, der Name der Segmente sei von Kunden frei wählbar und müsse „nicht notwendigerweise mit dem Inhalt des Segments übereinstimmen. Er kann sich auch auf das beworbene Produkt beziehen oder ein Code-Name für ein Projekt sein.“ Grundsätzlich erklärt das Unternehmen, „dass Adsquare keine Segmente mit Bezug zum Gesundheitszustand oder Medikamenten oder Ähnlichem von Personen im Angebot hat.“

Tilman Herbrich hält diese Argumentation für problematisch und verweist auf eine Entscheidung des Europäischen Gerichtshofes (EuGH). „Es reichen Angaben in einem Formular, aus denen sich Ableitungen über die sexuelle Orientierung entnehmen lassen, um in den Anwendungsbereich von Artikel 9 zu kommen“, so Herbrich. Der EuGH verdeutliche damit, dass bereits Ableitungen als Resultat eines Denkvorgangs ausreichend seien, um eine Verarbeitung über besondere Kategorien personenbezogener Daten anzunehmen. Für Werbeplattformen folge hieraus, dass Segmentbildungen mit Bezügen zur sexuellen Orientierung, Religion, politischen Überzeugung, Gewerkschaftszugehörigkeit oder Gesundheit nur mit ausdrücklicher Einwilligung zulässig sind.

Politische Lösungen sind nicht in Sicht

„Der wichtigste Trick im Datenhandel ist die Behauptung aller Beteiligten, man wäre nur im Auftrag von anderen tätig und diese anderen wären verantwortlich“, konstatiert Aktivist und Forscher Wolfie Christl. „Jede Verantwortlichkeit verschwindet ins Nirvana. Das ist natürlich lächerlich, aber trägt dazu bei, die Durchsetzung der DSGVO zu verzögern.“ Dieser gordische Knoten könne nur durchschlagen werden, „wenn die Aufsichtsbehörden einen systemischen Blick auf den gesamten Echtzeit-Datenhandel werfen.“

Dass das bislang noch nicht geschehen ist, liegt auch an einem Konstruktionsproblem der Datenschutzaufsicht. Die Behörden werden in der Regel dann aktiv, wenn es Beschwerden von Bürger:innen gibt. Doch über Firmen, die man nicht kennt, kann man sich schlecht beschweren. „Die geringe Anzahl an Beschwerden zu der Thematik verweist auch auf die Intransparenz des Geschäfts der Datenhändler“, erklärt deshalb die Berliner Datenschutzbeauftragte Meike Kamp. Ihr Haus lege den Fokus bisher eher auf Websites, die ungültige Einwilligungen einholen, als auf die Firmen im Hintergrund.

Wolfie Christl hat deshalb einen dringenden Appell für die Aufsichtsbehörden: „Die Öffentlichkeit weiß zwar jetzt mehr als zuvor, aber ich vermute, auf den Servern dieser Firmen schlummern noch viel mehr Belege für möglicherweise illegale Datenpraktiken“, vermutet er. An solche Informationen kämen nur die Aufsichtsbehörden ran. „Die Firmen, die alles über uns wissen wollen, berufen sich auf ihre Geschäftsgeheimnisse. Die deutschen Datenschutzbehörden müssen endlich aktiv werden und diese unverantwortlichen Datenpraktiken effektiv beenden.“

Die Berliner Datenschutzbeauftragte Meike Kamp sieht bei dem Thema auch politischen Handlungsbedarf. „Die geschilderten Beispiele zeigen, dass über flankierende gesetzliche Maßnahmen nachgedacht werden sollte, um ein gesetzliches Umfeld zu schaffen, in dem die Einwilligung auch tatsächlich Wirkung entfalten kann.“ Zum Beispiel könnten der Grad an Individualisierung der angesprochenen Personen und Gruppen sowie die Anzahl der erlaubten Datenkategorien eingeschränkt werden.

Die Datenschutzprobleme des wohl wichtigsten Internet-Geschäftsmodells sind seit langem bekannt. Politische Lösungen, wie sie Meike Kamp fordert, sind jedoch nicht in Sicht. Eine Initative von EU-Abgeordneten, „Überwachungswerbung“ grundsätzlich zu verbieten, ist im letzten Jahr gescheitert.

Dabei machen die Kritiker des Targeted Advertising immer wieder deutlich: Es gibt Alternativen. Kontextbasierte Werbung zum Beispiel. Sie ist nicht auf das Profil der Nutzer:innen zugeschnitten, sondern auf das Umfeld, in dem sie erscheint. Besucht jemand eine Website mit einem Ratgebertext zu Autoreifen, bekommt er entsprechende Anzeigen ausgespielt. Das würde nicht nur dem Datenschutz helfen, sondern auch die Umweltbilanz von digitaler Werbung verbessern: Weniger Daten bedeutet weniger benötigte Rechenkapazität und somit weniger Stromverbrauch.

Doch ein freiwilliger Paradigmenwechsel scheint in der Branche nicht in Sicht. Das alles, was wir im Internet tun, aufgezeichnet und ausgewertet wird, bleibt vorerst Standard. Nutzer:innen bleiben nur zwei Dinge: Einerseits Selbstschutz durch Maßnahmen wie das Löschen von Cookies. Andererseits Datenauskunftsanfragen an Datenhändler, um Grundlagen für Beschwerden bei Aufsichtsbehörden zu schaffen. Wie das geht, erklären wir in einem Tutorial: „So findest du heraus, was Datenhändler über dich gespeichert haben“

……
Weißt du mehr über fragwürdige Datenpraktiken in der Marketing-/Adtech-Industrie? Wir würden uns freuen, von dir zu hören. Auf folgendem Weg kannst du uns sicher kontaktieren: ingo.dachwitz@netzpolitik.org / Signal-Kontakt auf Anfrage. Bitte nicht vom Dienstrechner/-telefon oder dienstlichem Account schreiben.“

……
Mitarbeit: Anne-Lena Schmierer und Jan Lutz.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Künstliche Intelligenz ist übermächtig und bedroht die ganze Menschheit, so die eindringliche Warnung vieler Tech-Unternehmen. Tatsächlich aber soll dieser Mythos die kommerzielle Überwachung vorantreiben, Regulierung unterbinden und die Ausbeutung von Arbeiter:innen verschleiern.

KI ist ein Marketingbegriff, den in den frühen 2010er-Jahren vor allem die großen Technologieunternehmen wiederbelebt haben. Der Begriff ist einer von vielen, die man zur Beschreibung daten- und rechenzentrierter statistischer Modelle wählen kann. Er entstammt einem Sammelsurium akademischer Bezeichnungen – von Kybernetik über Automatentheorie und Informationsverarbeitung bis hin zu maschinellem Lernen.

Diese Bezeichnungen wurden in den vergangenen 75 Jahren auf ein heterogenes Kontinuum militärisch geprägter Forschung und Entwicklung angewandt. Sie alle sind getrieben von dem Wunsch nach rechnerischer Kontrolle und automatisierter Entscheidungsfindung.

Den Begriff „Künstliche Intelligenz“ prägte der Kognitions- und Computerwissenschaftler John McCarthy in den 1950er Jahren. McCarthy tat dies nicht, um die Eigenschaften der Systeme zu beschreiben, die er baute oder um sich herum beobachtete, sondern aus viel banaleren Gründen. In einem Interview räumte er ein, dass er „den Begriff ‚Künstliche Intelligenz‘ erfunden hat […], weil wir etwas tun mussten, als wir versuchten, im Jahr 1956 Geld für einen Sommer-Workshop zu bekommen.“ Er erhielt das Geld, und das Dartmouth Summer Research Project on Artificial Intelligence kam ins Rollen.

Der kleinteilige Kampf um ein Revier

Diejenigen, die mit der akademischen Vergabe von Fördermitteln vertraut sind, werden McCarthys Bedürfnis nach einem Oberbegriff verstehen. Dieser Oberbegriff sollte rhetorisch die Arbeit derjenigen einschließen, die er zur Mitarbeit einladen wollte, und all jene ausschließen, die er nicht einladen wollte. Und er sollte gleichzeitig das Interesse von Geldgebern wecken. Und natürlich ist die Erfindung eines neuen Begriffs ein probates Mittel, um sein Revier abzustecken und zu verteidigen – ein weiteres akademisches Gebot.

McCarthy wollte nämlich Norbert Wiener nicht einladen, dessen Begriff „Kybernetik“ damals ein Großteil des Fachgebiets prägte. „Ich selbst“, sagte er einige Jahre später in einem Interview, „habe den Begriff ‚Künstliche Intelligenz‘ unter anderem deshalb erfunden, um der Assoziation mit ‚Kybernetik‘ zu entgehen. […] Ich wollte vermeiden, dass Norbert […] als Guru akzeptiert wird oder ich mich mit ihm auseinandersetzen muss.“

Wer ein Fachgebiet begründet und damit einen konzeptionellen Rahmen setzt, kann damit auch Geldmittel und Prestige sammeln. Wichtig ist auch, dass die Schöpfer des Feldes als Erfinder auftreten, nicht als dessen Weiterentwickler. Neuartigkeit ist in der Wissenschaft, wie auch anderswo, ein Fetisch. Marvin Minsky, Claude Shannon und natürlich McCarthy – die Männer, die wir als die Väter der Künstlichen Intelligenz ansehen sollen – erlangten diesen Status sowohl durch ihre Arbeit als auch durch ihre schiere Präsenz, als dieser Begriff erfunden wurde.

Gewiss, ein Name ist nicht alles, aber ich frage mich oft, wo wir heute stünden, wenn der Name Kybernetik sich durchgesetzt hätte. Oder wenn der Begriff Informationsverarbeitung in seiner beschreibenden Langweiligkeit noch bestünde. Und wenn damit das Wort „Intelligenz“ – mit seiner ganzen düsteren Geschichte und seinen eugenischen Anklängen – nicht jedes Mal wiederholt würde, sobald wir uns auf die unternehmens-, daten- und rechnerzentrierten KI-Modelle beziehen.

Ich führe diese kurze Etymologie unter anderem deshalb an, um zu verdeutlichen, dass der Begriff KI ein höchst kontingenter Begriff ist. Und dass er mindestens ebenso viel mit den Erfordernissen des akademischen Wettbewerbs und den Anforderungen von Geldgebern zu tun hat wie mit der Natur der Technologie, die dieser Begriff zu beschreiben versucht.

Angesichts der Tatsache, dass der Begriff KI im Laufe seiner über 70-jährigen Geschichte auf ein breites Spektrum heterogener Techniken angewandt wurde, sollten wir uns fragen: Warum hat KI – der Begriff und die damit verknüpfte Mythologie – in den frühen 2010er-Jahren plötzlich erneut an Popularität gewonnen? Warum verzeichnen wir diese Wiederkehr nach einer langen Flaute?

Die Geschichte der vernetzten Datenverarbeitung

Die vernetzte Datenverarbeitung begann als militärische Initiative – zumindest in den Vereinigten Staaten – und wurde weitgehend von der US-Regierung finanziert, die auch die Computerindustrie während eines Großteils ihrer Geschichte unterstützte. Die Ängste vor dem Kalten Krieg waren dabei eine treibende Kraft. In den frühen 1990er-Jahren wurde die Infrastruktur für vernetzte Datenverarbeitung – oder das „Internet“ – privatisiert und kommerzialisiert. Damals erfolgte die Hinwendung zu einer neoliberalen Politik, begleitet von dem festen Glauben der Clinton-Ära, dass „Hightech“ Balsam für eine kränkelnde Wirtschaft sei.

Hier stütze ich mich auf die hervorragende Arbeit von Matthew Crain, dessen Buch „Profit Over Privacy“ eine wichtige Quelle für das Verständnis der damaligen Dynamik ist.

Als die Privatisierung dieser einst öffentlich finanzierten universitären und militärischen Infrastrukturen voranschritt, beauftragte die Clinton-Regierung verschiedene Regierungsstellen mit der Bewertung ihrer Risiken und Vorteile. Und aus heutiger Sicht zeigt sich deutlich, dass das Geschäftsmodell der Überwachung weder ein Fehler noch ein Zufall oder eine Zukunft war, die niemand vorausgesehen hat. Im Gegenteil: Die Gefahren und Schäden, die uns heute durch die geballte Macht der Massenüberwachung in den Händen einiger weniger privater Akteure drohen, waren vorausgesehen worden. Nur wurden die Warnungen damals ignoriert.

Das Geschäftsmodell der Überwachung

Akademiker:innen, zivilgesellschaftliche Organisationen und mehrere Regierungsbehörden schlugen Alarm: Es könnte massiv schaden, wenn man privaten Unternehmen erlauben würde, sich bei Datenschutzfragen selbst zu regulieren. Doch die Warnungen stießen auf neoliberale Ohren und der Zeitgeist setzte sich durch. Und der lautete: Gewinne privatisieren und Kosten kollektivieren.

Die Clinton-Regierung zog die Ansichten der Tech- und Werbeindustrie – darunter jene von bekannten Big-Tech-Akteure wie Eric Schmidt – ihren eigenen Expert:innen vor. Letztlich ermöglichte sie damit eine Kommerzialisierung, die der Überwachung und der Datenanhäufung durch die aufstrebende Technologiebranche keinerlei Grenzen setzte.

Auf diese Weise konnte sich das Geschäftsmodell der Überwachung ungehindert ausbreiten. Es geriet durch trial and error, den Dot-Com-Boom und die Dot-Com-Pleite in ein unruhiges Gleichgewicht, bevor es sich zu der heutigen konsolidierten monopolistischen Landschaft entwickelte. Crain gibt die Entwicklung ungeschönt so wieder: „Der wirtschaftliche Erfolg der Branche beruht auf der praktisch uneingeschränkten Monetarisierung der Verbraucher:innenüberwachung“. Und Überwachung – angetrieben von Werbung – ist nach wie vor die Grundlage der heutigen Technologiebranche.

Dieses Modell hat die plötzliche Verbreitung sogenannter „kostenloser“ Internetdienste ermöglicht und gefördert – von der Websuche über E-Mail bis zu sozialen Netzwerken. Für diese Produkte und die damit verbundene wertvolle Datenerfassung haben die führenden Unternehmen kontinuierlich massive Recheninfrastrukturen und Techniken aufgebaut. Sie haben gewaltige Summen investiert, um riesige Datenmengen schnell verarbeiten und speichern zu können.

Die Tendenz zum „natürlichen Monopol“

Dies bringt uns zu einem wichtigen Punkt: Das Geschäftsmodell der Überwachung tendiert zur Konsolidierung – oder in der Sprache der Wirtschaftswissenschaftler: zum „natürlichen Monopol“. Die Technologieunternehmen, die das Geschäftsmodell der computergestützten Überwachung frühzeitig verfeinert haben, bauten massive Infrastrukturen, riesige Datenspeicher und große Nutzerbasen auf. Konkurrenten konnten das nicht einfach nachahmen oder kurzerhand einkaufen. Auf diese Weise verstärkte sich das System selbst. Die früh daran beteiligten Unternehmen zählen heute fast zu all jenen Firmen, die wir als „Big Tech“ bezeichnen.

Anfang der 2010er Jahre hatten sich die Big-Tech-Gewinner etabliert. Sie begannen, ihre Marktdominanz zu festigen. Mehr und mehr verhielten sie sich mehr wie die aktionärsgesteuerte Megakonzerne, die sie ja auch waren. Dabei legten sie auch den Anschein des technokratischen Außergewöhnlichen langsam aber sicher ab, der ihren Aufstieg zu Beginn noch prägte.

„Künstliche Intelligenz ist vor allem ein Marketinghype“

Die Grundlagen des KI-Booms

Zurück zu unserer Ausgangsfrage: Warum ist KI zu diesem Zeitpunkt wieder aufgetaucht? Das ist kein Zufall. Daten – je mehr davon, desto besser –, Recheninfrastruktur und Marktreichweite machen auch den jüngsten KI-Boom aus. Es gibt eine große Schnittmenge zwischen diesen Faktoren und den Infrastrukturen, die aufgebaut wurden, um das Geschäftsmodell der Überwachung zu ermöglichen.

Das „Neue“ an der KI in den frühen 2010er-Jahren waren nicht Innovationen beim maschinellen Lernen. Diese Methoden stammen großteils aus den 1980er-Jahren. Neu waren hingegen zum einen die beträchtlichen Datenmengen, die zum Trainieren von KI-Modellen verwendet wurden. Zum anderen gab es nun eine leistungsfähige Recheninfrastruktur, um diese Modelle zu trainieren und zu kalibrieren. Und all diese Ressourcen lagen in den Händen einiger weniger privater Technologieunternehmen.

Vor diesem Hintergrund besteht die Hauptaufgabe von KI darin, die riesigen Mengen der von den Tech-Konzernen gesammelten und gespeicherten Überwachungsdaten besser nutzbar zu machen. Mit Hilfe der Magie und des Marketings der KI können diese Daten dazu verwendet werden, Modelle unserer „Realität“ zu erstellen. Diese Modelle nutzen die Unternehmen für weit mehr als nur für Werbung. Sie treffen damit unter anderem Vorhersagen zu fast allen Bereichen des menschlichen Lebens – vom Verkehr über die Bildung bis hin zur Medizin. Dadurch entstehen intime Daten über jeden Einzelnen von uns. Und diese Daten haben, selbst wenn sie durch Vorhersagemodelle und nicht durch direkte Überwachung und Datenerfassung entstehen, einen Einfluss auf uns und unser Leben.

Kurz gesagt, das Marketing-Narrativ der KI dient dazu, das Geschäftsmodell der Überwachung im Herzen der Technologiebranche zu mystifizieren, zu festigen und zu erweitern.

KI braucht Arbeit

Bevor ich fortfahre, möchte ich auf etwas Wesentliches eingehen. Denn all dies entsteht nicht automatisiert. Vielmehr braucht es dafür Menschen, die arbeiten – genauer: es braucht viele Menschen, die viel arbeiten. Das gilt sowohl für die Entwicklung von KI-Systemen als auch für ihren Einsatz, um verschiedene Rollen und Aufgaben zu „automatisieren“.

In beiden Bereichen hilft das Narrativ der intelligenten Automatisierung jenen Unternehmen, die diese Systeme entwickeln. Sie profitieren davon, ihren Status als Spitzen-Innovatoren zu behaupten und ihren Systemen die Fähigkeiten zuzuschreiben, die sie in Wirklichkeit den Arbeiter:innen verdanken.

Und obwohl Emily Denton, Timnit Gebru, Veena Dubal, Alex Hannah, Adrienne Williams und viele andere ausführlich darüber geschrieben haben, bleibt die Arbeit hinter der KI meist unerwähnt und damit verborgen.

Das Beispiel ImageNet

Lassen Sie mich dazu das Beispiel des ImageNet-Datensatzes und der ImageNet Large Scale Visual Recognition Challenge anführen, die seit 2010 alljährlich als Wettbewerb durchgeführt wird. Dabei stütze ich mich auf einen wunderbaren Artikel von Dr. Emily Denton und ihren Kolleg:innen. Der Text beleuchtet die Geschichte von ImageNet und seine Bedeutung für den aktuellen Aufschwung der KI. ImageNet zeigte als erster großer öffentlicher KI-Datensatz, dass alte Techniken mit gewaltigen Datenmengen und Rechnern neue Dinge tun können.

ImageNet ist eine umfangreiche Sammlung von etwa 14 Millionen Bildern, die von Flickr, der Bildersuche und verschiedenen Webplattformen stammen und in etwa 20.000 Kategorien auf der Grundlage der WordNet-Taxonomie geordnet sind.

Die zufällig ausgewählten Bilder wurden nicht einfach so kategorisiert, sortiert und beschriftet. Und das Projekt scheiterte fast an der Frage, wie man eine riesige Sammlung von Zufallsbildern in einige allgemein akzeptierte Etiketten zwängen kann. FeiFei Li, der Leiterin von ImageNet, hat damals darüber nachgedacht, das Projekt einzustellen, nachdem ihr bewusst geworden sei, dass es wohl Jahre und erhebliche Mengen an Geld brauchen würde, um die Daten zu organisieren und zu labeln. Jia Deng, ein Mitarbeiter von ImageNet, schätzte, dass es 19 Jahre dauern würde, wenn nur Studierende diese Arbeit übernähmen.

Laut einem Interview, das ich 2017 mit Li führte, war es jedoch ein zufälliges Gespräch mit einem Studierenden auf dem Flur, das das weitere Schicksal bestimmte und die Arbeitspolitik von ImageNet neu ausrichtete. Irgendwann im Jahr 2005 oder 2006 erwähnte dieser Studierende gegenüber Li, dass Amazon vor kurzem eine „Crowd Work“-Plattform namens Amazon Mechanical Turk ins Leben gerufen hatte. Es sei möglich, das Beschriften der Bilder an die gering bezahlten Arbeiter:innen dieser Plattform auszulagern.

Genau das hat das ImageNet-Team getan. Es zerlegte den Datensatz in kleine Teile und entwarf einen Prozess, wonach jene „Labels“ akzeptiert wurden, die mehrere Amazon-Turk-Arbeiter:innen zuvor bestätigt hatten. So übernahmen schließlich 49.000 Arbeiter:innen aus 167 Ländern die Organisation und das Labeling der Daten.

Man kann also zurecht behaupten, dass es ImageNet und möglicherweise den darauf folgenden KI-Boom ohne die prekäre Akkordarbeit, die Amazon Turk vermittelt hat, heute nicht geben würde.

Menschliche Arbeit ist unausweichlich

Und obwohl diese Arbeiter:innen für das Projekt von existenzieller Bedeutung gewesen sind, werden sie Denton und ihren Mitautor:innen zufolge nirgends als Mitwirkende genannt. Und das, obwohl ihr Wissen und ihre Erkenntnisse erheblich dazu beitrugen, die ImageNet-Datenbank zu produzieren – und damit auch KI-Modelle, die mit dieser Datenbank trainiert werden.

Das überrascht nicht sonderlich, wenn wir ein wenig herauszoomen. Denn der Mythos der „intelligenten Maschine“ ist schwer aufrechtzuerhalten, wenn wir benennen würden, wo diese Intelligenz herkommt – nämlich von zehntausenden Arbeiter:innen und deren Fähigkeiten, mit dem sie Millionen von Bildern beschrifteten. Und auch die Bilder selbst wurden von nicht namentlich genannten Mitarbeiter:innen gemacht.

Dieses Beispiel könnte veraltet wirken. Es könnte den Eindruck erwecken, dass generative KI oder was auch immer nächstes Jahr der Trend sein wird, eine Fluchtgeschwindigkeit entwickelt hat, die stark genug ist, um menschliche Arbeitskraft überflüssig zu machen. Aber seien Sie versichert: Menschliche Arbeitskraft wird auch in Zukunft erforderlich sein.

Wie Millionen Menschen für die KI schuften

Traumatisierende Tätigkeiten

Um ein weitere Beispiel zu nennen: Billy Perrigo von der Time hat aufgedeckt, dass OpenAI und GPT auf kenianische Arbeiter:innen angewiesen sind, die weniger als 2 Dollar pro Stunde verdienen.

Diese Mitarbeiter:innen mussten zehntausende Texte lesen und darauf überprüfen, ob sie düstere Beschreibungen von sexuellem Kindesmissbrauch, brutale Gewalt, Selbstmord, Folter oder Selbstverletzung enthalten. Es ist der Müll aus den verstörendsten Ecken des Internets, aus denen OpenAI einen Teil seiner Trainingsdaten für GPT bezieht.

Die Mitarbeiter sollten die entsprechenden Texte kennzeichnen, um GPT darüber zu informieren, wie unzulässige Daten aussehen. Auch diese Arbeit braucht es. Ohne diese Arbeiter:innen und die Traumata, die sie erleiden, gäbe es keinen Markt für GPT. Diese Systeme replizieren und spiegeln die Daten, auf die sie trainiert wurden. Das bedeutet, dass sie ohne Intervention häufig rassistische, verstörende und ekelerregende Inhalte ausspucken. Und nur wenn man Systemen wie GPT die Grenzen eines akzeptablen liberalen Diskurses beibringt, kann ein solches System als intelligent und nützlich vermarktet werden.

Die traumatische Art dieser Arbeit hat dazu geführt, dass mehrere Arbeiter:innen sich beschwerten und ernsthafte psychische Probleme bekamen. Schließlich kündigte die Firma, die OpenAI als Subunternehmer für diese Arbeit engagiert hatte, den Vertrag. Es lohnt sich, diesen Fall zu studieren. Erst kürzlich haben die Beschäftigten dieser und anderer Firmen in Afrika für die Gründung der African Content Moderators Union gestimmt. Sie wollen darauf aufmerksam machen, wie prekär und schädlich diese Arbeit ist.

Die extraktive Logik hinter der KI

Menschliche Wahrnehmung und menschliches Wissen fließen also in die Entwicklung von KI-Systemen ein. Große Unternehmen extrahieren dieses Wissen und die Erfahrung schlecht bezahlter Arbeiter:innen, die in der Regel im Globalen Süden leben. Deren Erkenntnisse werden dann entmenschlicht, repliziert und durch automatisierte Systeme neu zusammengesetzt, die sich dabei auf die Daten stützen, denen diese Arbeiter:innen erst Bedeutung verliehen haben.

Diese extraktive Logik spiegelt sich auch in der wahllosen Abschöpfung künstlerischer Arbeiten wider, die die Grundlage für generative Bildsysteme wie Midjourney und Dalle-E bilden. Die Vision und die künstlerischen Fähigkeiten von Millionen von Künstler:innen werden extrahiert und in die Maschine verlagert, ohne dass diese dafür Anerkennung erhalten.

Extraktive Logik bestimmt auch, wie KI-Systeme am Arbeitsplatz angewendet werden. Behauptungen über technologische Innovationen, übersteigerte Vorstellungen von deren Fähigkeiten und die Gebote der Arbeitgeber:innen verschmelzen in der Vorstellung, dass KI-Systeme die Arbeitnehmer:innen ersetzen können. Diese Behauptung trifft fast nie zu. Aber sie muss auch nicht einmal den Fakten entsprechen, um Auswirkungen zu haben.

Denn die Degradierung von Arbeiter:innen entsteht nicht durch Systeme, die tatsächlich in der Lage sind, diese zu ersetzen. Vielmehr entfalten sie bereits Wirkungen, wenn man die Menschen glauben lässt, dass solche Systeme Arbeiter:innen ersetzen können. Und indem man die Menschen, die mit den Systemen arbeiten müssen, als gering qualifiziert abstempelt und so eine geringe Bezahlung rechtfertigt.

Als Hoffnungsträger gegen diesen Trend möchte ich auf den Streik der Writers Guild of America verweisen. Ich betrachte diesen Streik als die vorderste Front im Kampf für eine sinnvolle und humane KI-Regulierung.

Die WGA ist die Gewerkschaft der Hollywood-Autor:innen und erinnert an die Kämpfe der Industriearbeiter:innen im Großbritannien des 18. und 19. Jahrhunderts, die für die Macht über ihren Arbeitsplatz und eine Beteiligung an den Gewinnen der Automatisierung kämpften. Sie streiken für ein Mitbestimmungsrecht, ob – und wenn ja, wie – KI in ihrem kreativen Prozess eingesetzt wird.

Die Autor:innen haben erkannt, dass KI nicht zu Kreativität befähigt ist. Allerdings kann die Technologie den Studios einen Vorwand dafür liefern, den Einfluss der Arbeitnehmer:innen und ihren Lebensunterhalt einzuschränken. Sie könnten beispielsweise Autor:innen entlassen und Sozialleistungen kürzen. Dieselben Leute würden dann wieder als „KI-Redakteur:innen“ eingestellt, wahrscheinlich über ein Gigwork-Modell, das geringere Stabilität, Sozialleistungen und Löhne bietet. Die Führungskräfte könnten dies den Aktionär:innen dann als kostensenkende Maßnahme verkünden.

„Eines der größten sozialen Experimente aller Zeiten“

Neuralink will die Menschheit reparieren

Wenden wir uns nun der Frage zu, wer die Welt definieren darf, in der wir leben. Eine Frage, für die sich auch KI-Unternehmen sehr interessieren.

Hierzu möchte ich Neuralink näher betrachten, Elon Musks Unternehmen, das KI-System und Menschen mithilfe von Gehirnimplantaten verknüpfen will. Die US-amerikanische Gesundheitsbehörde FDA hat vor Kurzem – aus welchen Gründen auch immer – dem Vorhaben, Chips in die Schädel von Menschen zu implantieren, offiziell die Genehmigung erteilt. Dies geschah trotz der Kritik, wonach Neuralink zahlreiche Affen, Schweine und Schafe verstümmele und töte, um seine Produkte im Vorfeld der FDA-Zulassung zu testen.

Nun entwickelt Neuralink Gehirnimplantate, die in den Schädel eingebettet werden, und Elektroden direkt ins Gehirn einführen sollen. Warum sollten wir das wollen? Elon Musk erklärt, dass der Mensch ohne sie der Übermacht der KI nicht gewachsen sei und wir zurückblieben: „Auf der Ebene der Spezies ist es wichtig herauszufinden, wie wir mit fortgeschrittener KI koexistieren und eine Art KI-Symbiose erreichen können.“ Neuralink verspricht, uns mit dieser Superintelligenz über „direkte, verzögerungsfreie Interaktionen zwischen unseren Gehirnen und externen Geräten“ zu vereinen. Die Mythologie der KI-Intelligenz – und ihrer Überlegenheit – ist das Fundament, mit dem diese invasive Technologie gerechtfertigt wird.

In einem Werbevideo aus dem Dezember 2020 behauptet Musk, dass Neuralink eine Vielzahl von Problemen lösen wird: „Die Realität ist, dass fast jeder Mensch im Laufe der Zeit Probleme mit dem Gehirn und der Wirbelsäule entwickelt“. Im Hintergrund des Videos sehen wir die Worte „Gedächtnisverlust, Hörverlust, Blindheit, Lähmung, Depression, Angst, Sucht, Schlaflosigkeit, Gehirnschäden“. Musk rühmt sich, dass: „ein implantierbares Gerät diese Probleme tatsächlich lösen kann.“

Hier präsentiert Musk eine Vision der Menschheit, in der die Zukunft besser ist, weil behinderte Menschen ausgelöscht sind. Sie werden „repariert“, indem man sie in eine normative Version eines nicht eingeschränkten Menschen verwandelt.

„Alles über uns ohne uns“

Wir sollten uns darüber im Klaren sein, dass dies eine eugenische Vision ist. Musk und Neuralink beanspruchen implizit das Recht für sich, zu definieren, was „normal“, „intelligent“ und „ideal“ ist.

Auf diese Weise kehren Neuralink – wie auch die vielen weniger invasiven KI-Systeme, die uns und unsere Welt beurteilen, vorhersagen und bewerten sollen – den Slogan der Behindertenrechte um: „Nichts über uns ohne uns.“ Neuralink baut stattdessen an etwas, das sich als das Gegenteil dessen beschreiben lässt: „Alles über uns ohne uns.“

Der Aktivist und Wissenschaftler Eli Clare betont in Reaktion darauf mit Verweis auf gehörlose Menschen: „Viele Gehörlose betrachten sich nicht als behindert, sondern als sprachliche Minderheit. Sie sehen den Grund für ihre Probleme nicht in ihrer Unfähigkeit zu hören, sondern in der mangelnden Bereitschaft der nicht gehörlosen Welt, die Gebärdensprache zu lernen und zu benutzen.“ Mit anderen Worten: Die Gehörlosengemeinschaft begrüßt keine Technologien, die in Clares Worten, „die Hoffnung der nicht-gehörlosen Welt mit sich bringen, sowohl die Gehörlosigkeit als Krankheit als auch das Gehörlosensein als Identität auszurotten.“

Anders ausgedrückt: Nicht jeder möchte der Version von Normalität entsprechen, die Elon Musk oder eine KI aufstellen. Und auch nicht jeder teilt diese beunruhigende Weltanschauung, die den Menschen als Problem und die Technologie der Konzerne als Lösung darstellt.

Sterblichkeit und Krankheit als lösbare Probleme

Der ehemalige Präsident von Neuralink, Max Hodak, beschreibt sich selbst auf seiner Website als „eine allgemeine Intelligenz, die in San Francisco lebt“. Er glaubt an Musks Fantasie einer Symbiose zwischen Mensch und KI und beschreibt Neuralink als „einen ungewöhnlichen Kniff“, der die Menschen in eine Art übermenschliche Spezies verwandeln könne. In einer Twitter-Umfrage aus dem Jahr 2021 fragte Hodak in Bezug auf die Versprechen von Neuralink: „Was hätte eine größere Auswirkung auf Sie: ein fotografisches Gedächtnis, eine ideale Aufmerksamkeitskontrolle, eine ideale emotionale Kontrolle oder die Kontrolle über das Tempo der Zeit?“

Hier sehen wir, wie eine allzu bekannte Perspektive auf körperliche Einschränkungen noch einen Schritt weiter vorangetrieben wird: Das medizinische Modell von Behinderung betrachtet den Wissenschaftlerinnen Sara Hendren und Mara Mills zufolge diese „als eine Beeinträchtigung, Krankheit oder Störung, die dem Individuum innewohnt“. Dieser Gedanke wird von Neuralink auf die unvollkommene Menschlichkeit als solche angewandt. Ja, nicht nur unsere körperlichen Bedürfnisse, sondern die Sterblichkeit selbst werden dabei als zu lösende Probleme betrachtet.

In dieser neoliberalen Betrachtungsweise wurzeln soziale Probleme darin, dass Individuen scheitern: Wir sind kaputt und bedürfen einer Reparatur. Und für das Problem, ein Mensch mit einem begrenzten Leben und Einschränkungen zu sein, verkauft Neuralink uns die „Lösung“. Damit beansprucht das Unternehmen das Recht, die Maßstäbe zu setzen, an denen unsere Menschlichkeit gemessen werden soll – und damit die Autorität, uns und unsere Welt zu definieren.

KI bestimmt schon jetzt darüber, wer Zugang zu Ressourcen erhält

Auch jenseits der Debatten um neuronale Technologie finden wir diese neoliberale Argumentation wieder, etwa mit Blick auf KI-Produkte in unserem Leben.

Denn Künstliche Intelligenz bestimmt schon jetzt darüber, wer Zugang zu Ressourcen und Chancen in ganz unterschiedlichen Bereichen erhält. Die Liste reicht vom Bildungswesen über die Strafjustiz, das Gesundheitswesen sowie Immobilien und Vermietungen bis hin zur Überwachung und der Beurteilung von Arbeitnehmern.

Und ganz gleich, was das Marketing auch verspricht: Diese Systeme werden von Unternehmen erstellt, die auf Profit und Wachstum abzielen. Und sie sollen Bedürftigkeitsprüfungen, Überwachung, Sparmaßnahmen und andere Formen der sozialen Kontrolle erleichtern. Die Nutzer dieser Systeme sind aber nicht die Menschen, die von diesen Systemen gerastert und bewertet werden. Ebenso wenig sind die Funktionen dieser Systeme nicht auf die Bedürfnisse der betroffenen Menschen eingerichtet.

Das ist auch der Grund, warum ich mich als Präsidentin der Signal Foundation dieser Entwicklung entgegenstelle. Die KI-Unternehmen wünschen sich eine Welt, in der sie die Privatsphäre, die Autonomie sowie die Fähigkeit zur Selbstdarstellung und Selbstbestimmung in ernste Gefahr bringen. Signal verteidigt diese von den Unternehmen bedrohten Werte.

Und natürlich sind jene Technologien, die wir KI nennen, grundsätzlich datenschutzfeindlich. Denn sie setzen es voraus, das technische Überwachungsmodell auszuweiten und zu verfestigen – indem sie immer mehr Daten erfassen und immer weitere Befugnisse für sich beanspruchen, um so unsere Welt mit Hilfe von KI-Systemen zu definieren.

Unsere Gedanken, unsere Psyche und unsere Körper?

Neuralink und andere kommerzielle KI-Systeme müssen wir in ebendiese Landschaft einordnen. Und wir müssen uns der Risiken gewahr werden, wenn in Zukunft eine Handvoll privater Unternehmen unser Leben, uns selbst sowie unsere Gefühle und Reaktionen vermessen will. Letztendlich wollen diese profitgetriebenen Unternehmen unsere Gedanken, unsere Psyche und unseren Körper besser interpretieren als wir es selbst vermögen.

Um sich darüber bewusst zu werden, wie folgenreich dies sein kann, genügt ein Blick zurück auf die 1960er Jahre. Damals kam es zu einem politischen Missbrauch der Psychiatrie. Jonathan Metzel hat dokumentiert, wie Änderungen am Diagnostischen und Statistischen Manual Psychischer Störungen (DSM) dazu führten, dass schwarze Bürgerrechtsführer:innen damals als „schizophren“ diagnostiziert wurden. Diese Diagnose beruhte weitgehend darauf, dass ihr Aktivismus pathologisiert wurde.

Oder richten wir den Blick auf das Jahr 1973. Bis dahin listete das DSM Homosexualität als psychische Störungen auf. Oder auf das Jahr 2012, als es noch Transsexualität als Krankheit auflistete. Viele Extremisten in den USA und im Vereinigten Königreich kämpfen derzeit mit allen Mitteln dafür, diesen Status wiederherzustellen.

KI und die epistemische Autorität

Lassen Sie mich eines klar sagen: Ich sehe keinerlei Beweise dafür, dass solche Technologien, die das Gehirn auslesen können, möglich sind oder dass etwaige Behauptungen stichhaltig wären. Ich möchte an dieser Stelle auf die Arbeiten von Luke Stark, Javon Hudson und anderen verweisen. Sie haben die Grenzen jener KI-Systeme aufgezeigt, die aktuell behaupten, die Emotionen, die Charakterzüge und die Fähigkeiten von Menschen „auslesen“ zu können.

Allerdings – und das ist der entscheidende Punkt in Bezug auf die epistemische Autorität – müssen diese Technologien nicht einmal funktionieren, wie behauptet wird, damit sie den Zielen der Unternehmen und Investoren zuträglich sind. Und wenn wir uns den aktuellen KI-Hype anschauen, dann erkennen wir das Bild von jener Zukunft, die die Unternehmen anstreben.

Der Fall Neuralink veranschaulicht deutlich, dass es den Willen gibt, die Welt bis in unser persönlichstes Inneres hinein zu gestalten. Unternehmen wollen sich die Fähigkeit der Menschen aneignen, ihre Gedanken, Gefühle und Wahrnehmungen frei zu äußern, ohne dass diese dabei von einem Computersystem gesteuert werden, dessen Perspektive immer die Ziele jener Unternehmen widerspiegelt, die diese Systeme produzieren und einsetzen.

Dem Hype entschieden entgegentreten

Eben das ist es auch, was der aktuelle Hype um das existenzielle Risiko der KI meiner Meinung nach erreichen soll: Zum einen soll er die Unausweichlichkeit und den Ausnahmecharakter dieser Technologie etablieren. Zum anderen soll der Hype von den unternehmerischen Zielen beim Einsatz der KI-Systeme ablenken. Gerade aus diesem Grund halte ich es für unerlässlich, dem Hype entschieden zu begegnen.

Es gibt keinerlei Beweise dafür, dass die KI an der Schwelle zur bösartigen Superintelligenz steht – oder jemals stehen wird. Francois Chollet ist Forscher auf dem Feld der Künstlichen Intelligenz und mitverantwortlich für eine der zentralen KI-Entwicklungsinfrastruktur. Er bringt es unverblümt auf den Punkt: „Um es klar zu sagen: Zum jetzigen Zeitpunkt und in absehbarer Zukunft gibt es kein KI-Modell und keine KI-Technik, die ein Aussterberisiko für die Menschheit darstellen könnte. Nicht in der Entstehungsphase und auch dann nicht, wenn man die Fähigkeiten durch Skalierungsgesetze in die ferne Zukunft extrapoliert.“

Allerdings ist es überaus fesselnd dieses existenzielle Risiko zu betonen – es erhöht das Adrenalin und schafft Ehrfurcht. Und es ist zugleich eine implizite Werbung für die KI-Systeme. Sie werden als besonders fähig dargestellt, gar als den Menschen überlegen. Noch einmal: Das muss nicht einmal der Wahrheit entsprechen, um die Welt zu beeinflussen.

KI-Mythen entlarven

Wie Sun-Ha Hong in seinem exzellenten Aufsatz Prediction as Extraction of Discretion feststellte, „übersteigen die sozialen Auswirkungen von Technologien […] in der Regel ihre tatsächlichen Fähigkeiten oder ihre Umsetzung“. Das ist möglich, weil die Geschichten über diese Technologien unser Verständnis darüber prägen, was möglich und was unvermeidlich ist. Und sie beeinflussen die Politik, unsere Gewohnheiten und unsere Werte.

Der von der Industrie vorangetriebene KI-Hype, der auf die Einführung der ChatGPT-Schnittstelle durch Microsoft im Januar folgte, trägt dazu bei. Er macht empirisch nicht fundierte Vorhersagen über die Fähigkeiten der KI und formt damit unsere Wahrnehmung dieser Technologie. Dies wiederum beeinflusst unser Handeln in der Gegenwart – mit Blick auf mögliche Regulierungen, auf die Art und Weise, wie diese Technologien entwickelt werden, und drauf, ob und wie Arbeitnehmer:innen geschützt werden.

Das ist auch einer der zentralen Gründe, warum die Unternehmen und ihre Verbündeten das existenzielle Risiko von KI geradezu herbeifantasieren. Sie hoffen offenbar, die öffentliche Meinung und politische Lösungsansätze auf die ferne Zukunft auszurichten, statt den Status quo zu regulieren.

Gerade deshalb ist es so wichtig, diese Erzählung der KI-Unternehmen zu korrigieren. Nicht nur weil wir in der Sache Recht haben wollen. Sondern weil wir unsere Entscheidungen auf einer realitätsnahen Grundlage treffen sollten. Es ist daher von entscheidender Bedeutung, dass wir die Geschichten über eine vermeintlich übermenschliche KI als das entlarven, was sie sind: Mythen.

Meredith Whittaker ist Präsidentin der Signal Foundation. Sie hat den Thinktank AI Now Institute mitgegründet und war Professorin an der New York University. Bis 2018 arbeitete sie bei Google, wo sie die Abteilung Google Open Research gründete. Sie protestierte gegen Googles Militärkooperation im Zusammenhang mit dem Project Maven und war eine der Hauptorganisatorinnen des Google Walkouts, bei denen Mitarbeiter:innen gegen sexuelle Belästigung und Diskriminierung innerhalb des Unternehmens protestierten.

Der vorliegende Text beruht auf der Rede, die Meredith Whittaker auf der re:publica 2023 gehalten hat. 

Offenlegung: Die re:publica wurde von Markus Beckedahl mitgegründet; unser Kollege Ingo Dachwitz hat in diesem Jahr ehrenamtlich im Track-Team „Politik und Gesellschaft“ der Veranstaltung mitgewirkt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mehr als 25.000 Fälle von Gewalt an den Außengrenzen der EU, das ist die aktuelle Bilanz des Border Violence Monitoring Projects. Grenzbeamt:innen zerstören dabei reihenweise Smartphones, berichtet Milena Zajović auf der re:publica – auch weil Geflüchtete damit die Verletzung ihrer Menschenrechte dokumentieren.

Geflüchtete berichten, wie sie im Winter nackt im Wald zurückgelassen worden seien, wie Grenzbeamte auf sie geschossen hätten oder sie ins Wasser drängten. Angetan hätten ihnen das demnach Beamt:innen der nationalen Behörden in Serbien, Bosnien oder Ungarn; einige hätten Uniformen von Frontex getragen, der europäischen Agentur für Grenzschutz. Immer wieder geht es auch um Smartphones, die Beamt:innen ihnen abgenommen oder zerstört haben sollen.

Von solchen Berichten gibt es inzwischen mehr als 25.000, gesammelt auf einer Website des Border Violence Monitoring Project. Es sind Berichte von Menschen auf der Flucht, die misshandelt, gefoltert und gewaltsam zurück über die Grenzen gejagt werden.

Der damalige Frontex-Direktor Fabrice Leggeri bestritt die Vorwürfe noch Ende 2020 vor dem Justiz- und Innenausschuss des EU-Parlaments. „Wir haben keine Beweise dafür, dass bei unseren Einsätzen eine aktive, direkte oder indirekte Beteiligung von Frontex-Beamten an Pushbacks gegeben hat“, sagte er damals. Inzwischen ist Leggeri zurückgetreten – wegen Skandalen um die gewaltsame Zurückweisung von Geflüchteten.

Milena Zajović leitet die Abteilung für politische Interessenvertretung des Border Violence Monitoring Network. Sie trägt die Berichte der Geflüchteten weiter, vor Gerichte oder ins EU-Parlament. Das Ziel: diejenigen zur Rechenschaft ziehen, die Menschenrechte auf solche Art verletzen. Smartphones, berichtet sie, haben dabei eine wichtige Funktion.

Ihre Arbeit hat Milena Zajović auf der Konferenz re:publica vorgestellt, Anlass war das englischsprachige Panel „Tracked, read out, destroyed: smartphones of people on the move in the focus of state authorities“. Die Fragen stellte Andreas Grünewald von Brot für die Welt. Wir veröffentlichen eine bearbeitete und übersetzte Version des Gesprächs. Die Rolle von Smartphones bei Gewalt gegen Menschen auf der Flucht dokumentiert auch die neue Webseite „Mit dem Smartphone auf der Flucht“ von Brot für die Welt.

Milena Zajović, welche Rolle spielen Handys bei der Flucht über die Balkanroute in die EU?

Milena Zajović: Erst mal geht es um Orientierung. Wenn ich in einem Land, in dem ich noch nie war, versuche im Wald den Weg zu finden und dabei nicht gefunden werden will, dann brauche ich Kartendienste. Aber ein weiterer wichtiger Punkt ist die Dokumentation der Ereignisse. Für uns ist vor allem wichtig, dass sich die Menschen der Beweiskraft dessen bewusst werden, was sie mit ihren Telefonen aufnehmen können. Immer mehr Menschen versuchen zum Beispiel die Uniformen der Polizist:innen aufzuzeichnen, die sie festnehmen. Sie zeichnen die Innenräume der Haftanstalten auf, einschließlich der geheimen De-facto-Haftanstalten auf dem Balkan.

Wir beobachten gerade noch einen weiteren besonders bedrückenden Trend: Immer mehr Menschen zeigen ihre Grenzüberquerungen per Livestream auf Instagram oder TikTok, manchmal bis zu ihrem Tod. Sie tun das vielleicht in der Hoffnung, dass ihre Familien wissen, was ihnen passiert ist. Ich war persönlich daran beteiligt, die Leichen einiger Menschen zu finden oder zu überführen, die bei diesem Versuch ihr Leben verloren haben. Es ist herzzerreißend, ein Kind zu sehen, das seinen Weg in den Tod live auf TikTok sendet.

„Er filmte jeden seiner Versuche, Asyl zu beantragen“

Wie bekommen Sie dieses Filmmaterial in die Hände?

Milena Zajović: Wir sind 14 Organisationen, die das Gebiet von der Türkei bis Österreich abdecken. Was wir nicht leisten können, ist Hilfe im Transit selbst, das wäre illegal. Aber wir verteilen Lebensmittel, Kleidung, bieten medizinische Dienste an. Das bedeutet, dass die Menschen unsere Aktivist:innen kennen und uns vertrauen. Wann immer sie auf einen Pushback oder eine andere Verletzung ihrer Integrität stoßen, wenden sie sich in der Regel an uns. Bislang konnten wir so die Aussagen von über 25.000 einzelnen Opfern an den europäischen Außengrenzen sammeln. Wir nutzen diese Aussagen für unsere Lobbyarbeit auf nationaler, EU- und internationaler Ebene. Wir versuchen auch, strategische Klagen darauf aufzubauen.

Haben Sie ein Beispiel für einen konkreten Fall?

Milena Zajović: Ein Übersetzer, der selbst geflüchtet ist und lange Zeit mit unserer NGO in Griechenland zusammengearbeitet hat, wusste genau, welche Fragen wir stellten, wenn wir Fälle von Pushbacks dokumentieren. Irgendwann wurde er selbst von Frontex-Beamt:innen in Albanien festgenommen. Sie haben ihn den nationalen Behörden übergeben, die ihn dann zurückgeschoben haben. Er filmte seinen Pushback und sendete ihn per Livestream an uns, einschließlich jeden seiner Versuche, Asyl zu beantragen und wie sie abgelehnt wurden.

Was haben Sie mit dem Material getan?

Milena Zajović: Wir nutzten dieses Filmmaterial und die Metadaten, die wir von seinem Telefon extrahieren konnten, um zwei Beschwerden gegen Frontex einzureichen, eine wegen Verletzung der Grundrechte und die andere wegen Verstoß gegen die Datenschutzgrundverordnung. Am Ende konnten wir diese Beweise vor die Frontex-Kontrollgruppe im Europäischen Parlament bringen. Wir haben es sogar geschafft, dass er selbst vor den Mitgliedern des Europäischen Parlaments aussagen konnte – die jetzt in diesem speziellen Fall gegen Frontex ermitteln.

„Zuerst zertrümmerten sie nur den Bildschirm“

Was passiert, wenn die Grenz-Beamt:innen Mobiltelefone in die Hände bekommen?

Milena Zajović: Zuerst zertrümmerten sie nur die Bildschirme, aber dann merkten sie, dass sie Daten aus diesen Handys extrahieren können. Das ist jetzt eine systematische Praxis auf dem gesamten Balkan. Wenn jemand festgenommen wird, nehmen sie ihm das Handy ab und gehen zuerst die gesamte Korrespondenz durch. Sie suchen nach Kommunikation mit einem Schmuggler, aber auch nach Kommunikation mit Menschenrechtsaktivist:innen, die den Fall womöglich unterstützen könnten.

Die Telefone werden dann in der Regel zerstört, indem ein Schraubenzieher in die Ladebuchse gesteckt wird. Dann werden sie auf sehr zynische Weise in einer Plastiktüte an die Leute zurückgegeben, wenn sie zurückgeschoben werden. Uns ist jedoch aufgefallen, dass die wertvolleren Telefone in der Regel behalten werden, inzwischen wissen wir, dass sie weiterverkauft werden. Kürzlich traf ich eine Person, die ihr eigenes Telefon zurückkaufte, nachdem es von kroatischen Polizeibeamt:innen gestohlen worden war.

Ist das riskant, was Sie und ihre Organisation tun?

Milena Zajović: Ich würde gerne nein sagen, aber von den 14 Organisationen in unserem Netzwerk wurden mindestens acht ins Visier genommen. Entweder durch Gewaltandrohungen, administrative Hindernisse, Verleumdungskampagnen oder im konkreten Fall meiner Organisation durch Klagen, die uns zur Schließung zwingen sollten.

Irgendwann hatte ich einen Verdacht, der mein eigenes Telefon betraf und habe bei den Behörden nachgefragt. Der parlamentarische Ausschuss für die zivile Aufsicht über die Geheimdienste in Serbien hat mir später schriftlich bestätigt, dass mein Telefon tatsächlich abgehört wird. Ich tue mein Bestes, um nichts an meinem Verhalten zu ändern. Wenn jemand in Zagreb meine Korrespondenz mit meiner Freundin lesen will, dann hoffe ich, dass er Spaß daran hat. Ich habe nichts zu verbergen. Mein einziges Verbrechen besteht darin, dass ich versuche, die Behörden zur Rechenschaft zu ziehen für die Verbrechen, die sie gegen Menschen auf der Flucht begehen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Obwohl es wenig Kriminalität im Klostergarten gab, hatte die Stadt Passau dort zehn Videokameras installiert. Ein Bürger wehrte sich und zog durch die Instanzen. Jetzt hatte er Erfolg: Die Kameras sind rechtswidrig. Ein Beispiel, das Schule machen könnte.

Seit 2018 hatte die Stadt Passau den Klostergarten mit zehn teilweise schwenkbaren Videokameras überwacht – obwohl die Kriminalität dort rückläufig war. Weil die Polizei deswegen keine Überwachung durchführen konnte, übernahm die Stadt dies auf Grundlage des Datenschutzgesetzes, das sie zur Sicherung ihres Eigentums ermächtigt. Der Klostergarten im Stadtzentrum ist ein beliebter Treffpunkt in der Stadt, auch für Demonstrationen aller Art.

Das Bayerische Verwaltungsgerichtshof hat nun die langjährige Videoüberwachung des Passauer Klostergartens für rechtswidrig erklärt. Das Gericht gab damit der Berufung eines Passauer Bürgers recht, dessen Verfahren von der Gesellschaft für Freiheitsrechte (GFF) unterstützt wird. In der Pressemitteilung sagt das Gericht deutlich, dass die Videoüberwachung zur Erreichung des beabsichtigten Zwecks weder erforderlich noch geeignet sei. Die Stadt Passau habe die für eine Videoüberwachung erforderliche Gefahr für die öffentliche Sicherheit der sich im Klostergarten aufhaltenden Personen oder für die öffentliche Einrichtung selbst nicht nachweisen können.

Vielmehr habe die Kriminalstatistik gezeigt, dass die Videoüberwachung keine „nennenswerte Auswirkung“ auf diese gehabt habe. „Bei der dargelegten Gefahrenlage würden die schutzwürdigen Interessen der betroffenen Personen gerade bei der Ausübung von Freizeitaktivitäten das Interesse der Stadt Passau an der Videoüberwachung überwiegen. Der Kläger werde durch die Kameras in seinem Grundrecht auf informationelle Selbstbestimmung verletzt“, so das Gericht weiter.

„Erfolg für Grundrechte“

„Das Urteil ist ein großartiger Erfolg gegen Überwachung und für die Grundrechte. Die Stadt Passau muss jetzt endlich die zehn im Klostergarten installierten Kameras abbauen und aufhören, die Menschen dort zu überwachen“, sagt Lea Beckmann, Rechtsanwältin und Fallkoordinatorin der GFF.

Die Stadt Passau habe mit Kanonen auf Spatzen geschossen, sagt der erfolgreiche Kläger Josef Ilsanker. „Wir sind froh, den Platz jetzt wieder nutzen zu können, ohne anlasslos und willkürlich gefilmt zu werden.“ Ilsanker hatte mit der GFF 2019 Klage vor dem Verwaltungsgericht Regensburg erhoben. Die Berufung gegen die Entscheidung des Gerichts von 2020, die Klage als unzulässig abzuweisen, hatte nun Erfolg.

Aus Sicht der GFF ist die Entscheidung ein wichtiges Signal in Zeiten, in denen die Möglichkeiten zur Videoüberwachung in Polizei- und Versammlungsgesetzen immer mehr ausgeweitet werden. Videoüberwachung im öffentlichen Raum sei und bleibe ein intensiver Eingriff in Grundrechte, der nur unter sehr engen Bedingungen zulässig ist.

Eine Revision gegen das Urteil ist ausgeschlossen. Die Stadt Passau hat jedoch die Möglichkeit, eine Nichtzulassungsbeschwerde zum Bundesverwaltungsgericht einzureichen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Digitalisierung der Verwaltung siecht vor sich hin. Daran wird auch ein überarbeitetes Onlinezugangsgesetz kaum etwas ändern, weil es an einer Gesamtstrategie mangelt, erklärt der IT-Experte Markus Drenger im Interview.

Mit einem überarbeiteten Onlinezugangsgesetz (OZG) will die Ampelkoalition die stockende Digitalisierung in der Verwaltung voranbringen. Dass Deutschland in diesem Prozess deutlich hinterherhinkt, zeigen andere EU-Länder wie Dänemark oder Estland. Sie gelten hierzulande als leuchtende Vorbilder. Dabei wird häufig übersehen, dass sie anders als Deutschland zunächst eine Gesamtstrategie entwickelt haben, die unter anderem technische Standards und Regeln, diverse Software und Rechtsvorschriften in Einklang bringt.

Doch dem OZG-Entwurf von Innenministerin Nancy Faeser fehlt weiterhin dieser grundsätzliche Ansatz, kritisiert unter anderem der Normenkontrollrat vehement. Ohne Gesamtstrategie leidet die Effizienz, IT-Sicherheit und die Art und Weise, wie Digitalisierung bei uns als Bürger:innen ankommt. Die Folgen davon erklärt der OpenData-Aktivist Markus Drenger im Interview. Er ist als IT-Sicherheitsexperte und Berater tätig, zuvor hat er unter anderem zu Themen der Digitalisierung im Bundestag und im Landtag Nordrhein-Westfalen gearbeitet.

Verwaltungsdigitalisierung ohne Plan

netzpolitik.org: Was läuft in der deutschen Verwaltungsdigitalisierung im Moment schief, vor allem mit Blick darauf, wie eine verantwortungsvolle Digitalisierung aussehen müsste?

Markus Drenger: Über drei wesentliche Punkte macht sich die Politik zu wenig Gedanken. Es fehlt an einer passenden Architektur, damit Projekte aufeinander aufbauen können. Zweitens fehlt eine weit verbreitete Möglichkeit der Authentifizierung, etwa per Signatur. Und drittens fehlt ein sicherer Kommunikationskanal zwischen Behörde und Bürger:in, Unternehmen, Organisation.

Viele schauen gern nach Estland und fangen an zu schwärmen. Der Unterschied zu Deutschland ist aber, dass Estland beim Umsetzen der Verwaltungsdigitalisierung einen Plan hatte, ein System mit dem Namen X-Road, wo verschiedene Komponenten für verschiedene Bereiche definiert wurden. Dann wurden diese unabhängig voneinander entwickelt und ergaben eine Art Baukasten an verschiedenen Leistungen. Zusammen haben sie das Ökosystem gebildet. Dazu gehören unter anderem das Payment-Modul, das Thema Identifizierung mit Chip-Karten und mit dem OpenID-Server.

netzpolitik.org: Was läuft anders in Deutschland?

Drenger: In Deutschland werden diese Themen nicht in einer Gesamtstruktur zusammengefasst. Es gibt kein Architektur-Konzept. Das heißt, verschiedene Stellen entwickeln Bausteine, aber in verschiedenen Größen, so dass sie nicht zusammenpassen, wie Legosteine, die sich nicht miteinander kombinieren lassen. Aus der IT-Perspektive würde man beim Thema Identifizierung und Signatur anfangen, aber auch beim Thema Kommunikation. Wenn man die Punkte gelöst hat, kann man alle anderen deutlich leichter lösen und muss nicht erst das Rad neu erfinden.

Beispielsweise haben wir eigene Identifikationsmittel im Bereich Gesundheitswesen, eigene Zugangskarten für Ärzte, eigene Identifikationskarten für Anwälte, eigene Karten für Notare, zudem die BundID und die Service-Konten. Das heißt, wir haben für ein einzelnes Problem viele verschiedene Lösungen entwickelt, wo eine Lösung ausgereicht hätte.

Entscheidende Standards fehlen noch immer

Der Tellerrand der eigenen Behörde

netzpolitik.org: Woran liegt es, dass jeder Bereich für sich eigene Lösungen entwickelt hat?

Drenger: Das scheint mit dem Ressortprinzip zusammenzuhängen. Jedes Ministerium denkt zuerst an seinen Fachbereich. Zudem sind die Ministerien personell nicht aufgestellt, soetwas konzeptionell zu denken. Dort arbeiten eher Juristen und weniger die Software-Architekten. Auch die CIOs auf der jeweiligen Entscheidungsebene des Bundes und der Länder sind Juristen. Da ist niemand, der das Themengebiet technisch und architektonisch durchdringen kann.

netzpolitik.org: Wie wirkt sich das konkret aus?

Drenger: Es fehlt an politischer Gestaltung und es wird alles einer Arbeitsebene überlassen. Wenn ihre Aufgabe ist, Dinge zu verwalten, dann tut sie eben das, verwalten. Das heißt, sie beteiligt Externe, spricht mit allen anderen Stellen, trifft aber keine grundlegenden Entscheidungen. Es gibt niemanden, der das in die Hand nimmt. Die Stellen versuchen sich auf ihre Zuständigkeiten zu berufen und sich abzuschotten. Der Bund fühlt sich dann nicht dafür verantwortlich, was die Länder oder Kommunen machen.

Was es bräuchte, wäre ein 360-Grad-Blick, um wirklich alle Ebenen mitzudenken, auch wenn sie vielleicht nicht unmittelbar in der eigenen Zuständigkeit liegen. Nachhaltig wäre es, Lösungen zu bauen, die nicht nur für das eigene Ministerium, sondern auch für die Länder und Kommunen funktionieren. Das hätte eine ganz andere Hebelwirkung.

netzpolitik.org: Ist das nicht die Aufgabe des IT-Planungsrates, das zu koordinieren?

Drenger: Der IT-Planungsrat ist ein geschlossenes Gremium. Die Berichte, die dort vorgelegt werden, die Entscheidungen, die Unterlagen sind nicht öffentlich oder werden teilweise erst im Nachhinein veröffentlicht. Das heißt, man kann selten auf Beschlüsse im Vorhinein einwirken. Dabei sind diese oft besonders relevant für  Wirtschaft und Zivilgesellschaft. Es fehlt hier an Beteiligungsformaten. Eigentlich würde man Anderes erwarten, gerade in Bezug auf die OZG-Umsetzung. Die Verwaltung ist hier aber sehr verwaltungszentrisch organisiert. Sie denkt die Leistungen aus einer Verwaltungsperspektive und gar nicht aus Sicht der Nutzerinnen und Nutzer.

Tuschelei hinter verschlossenen Türen

netzpolitik.org: Gibt es solche Beteiligungsformate in anderen Bereichen, die mit Verwaltungsdigitalisierung zu tun haben?

Drenger: Im digitalen Bereich gibt es kaum welche. Stellen der technischen Verwaltung wie der IT-Planungsrat oder auch der E-Justice-Rat schotten sich eher ab. Es gibt Formate auf Länderebene für den Austausch der Kommunen, wie den IT-Kooperationsrat in NRW. Auf der Ebene des IT-Planungsrates bleibt Vieles im Dunkeln. Es ist zum Beispiel schwierig, Anträge nach dem Informationsfreiheitsgesetz in diesem Bereich zu stellen. Alles, was mit IT und IT-Systemen zu tun hat, wird gern mit dem Verweis auf die IT-Sicherheit abgelehnt.

netzpolitik.org: Über welche Wege kommt man an Informationen?

Drenger: Die meisten öffentlichen Informationen stellen die Behörden auf privaten Fachkongressen zur Verfügung, also auf Veranstaltungen wie der Digitale Staat vom Behördenspiegel oder der Zukunftskongress der Agentur Wegweiser. Das sind Veranstaltungen, zu denen nur die öffentliche Hand und die Wirtschaft eingeladen sind, geschlossene Verkaufsmessen, die das Netzwerken der Firmen und Lobbyisten in die Verwaltung verbessern sollen. Die Eintrittskarte für den Digitalen Staat kostet für Leute aus der Wirtschaft über 1.000 Euro. Beamte bezahlen 80 Euro oder haben gratis Zutritt. Und die Zivilgesellschaft bleibt draußen.

Eigentlich kann man das so betrachten wie Facebook. Es ist eine private Plattform. Der Staat stellt jede Menge Beamte ab, die solche Kongresse besuchen, Vorträge halten und Inhalte produzieren, die die privaten Firmen aufgreifen und vermarkten. Für die Öffentlichkeit sind diese Inhalte nicht zugänglich.

netzpolitik.org: Was bedeutet das mit Blick auf die Vorgehensweise der Digitalisierung?

Drenger: Es gibt keine politische Gestaltung. Auf Verwaltungsebene und Arbeitsebene wird daher eine Art Beteiligungsspiel gespielt. Man bindet in gemeinsame Projekte von Bund und Ländern möglichst viele Akteure ein, was am Ende in eine Politikverflechtungsfalle führt. Je mehr Stakeholder involviert sind, desto größer wird der Kommunikationsoverhead, sodass man kaum noch effizient an einem bestimmten Problem arbeiten kann.

Das könnte man mithilfe einer Gesamtstrategie umgehen. Entsprechend klassischer Designprinzipien in der Informatik könnten Komponenten, unabhängig voneinander, modular und wiederverwendbar konzipiert werden. Angenommen man hat 1200 Formulare, dann würde man eine Bezahlfunktion nicht für jedes Formular einzeln bauen, sondern eine, die für alle funktioniert.

Bei Projekten, für die die Grundlagen noch fehlen, braucht man zurzeit ganz viele Provisorien und Brücken. Wir produzieren viele technische Schulden anstelle eines effizienten Systems. Die Insellösungen implementieren verschiedene Funktionen doppelt und dreifach. Dadurch werden sie immer teurer und komplexer und zunehmend schwierig in der Wartung.

Wir bräuchten hier wie bei der Corona-Warnapp eine öffentliche Debatte über die Architektur, um etwas zu schaffen, das datenschutzfreundlich ist, effizient und sicher, aber auch ausreichend modern, um als Basis zu dienen für die nächsten 20, 30 oder 80 Jahre in der digitalen Verwaltung.

Politische Spitze hat sich abgemeldet

netzpolitik.org: Hat der Prozess, dass Lösungen immer komplexer werden, irgendwo ein Ende?

Drenger: Ohne eine Gesamtstrategie, die Standards klar definiert, auf denen einzelne Lösungen aufbauen können, wird das Problem nur größer und größer. Um Projekte effizient und kostengünstig umsetzen zu können, muss man Komplexität reduzieren. Der Teile-und-herrsche-Grundsatz in der Softwareentwicklung bedeutet, dass man große Probleme herunterbricht auf kleinere und diese dann unabhängig voneinander löst. Anstatt sich jahrelang in Meetings und Gremien zu treffen, wäre es sinnvoller zu schauen, ob man das Riesenprojekt nicht in kleinere Themen aufspalten kann, um die dann einzeln zu lösen.

netzpolitik.org: Welche Stelle könnte das in die Hand nehmen?

Drenger: Die Digitalabteilung im Kanzleramt könnte durchaus zusammen mit den Ministerien ein entsprechendes Programm aufsetzen, um eine Strategie und einen Plan zu erarbeiten. Den könnte man auch unter Beteiligung der Öffentlichkeit und der Wirtschaft fortschreiben, um sich Knowhow und Input für das bestmögliche Ergebnis zu holen.

Wenn Verwaltungen immer nur ihre eigenen Berater fragen, dann ist die Wahrscheinlichkeit groß, dass ihnen Lösungen vorgeschlagen werden, die mehr Berater involvieren, als nötig ist. Die Frage ist aber, wie eine gemeinnützige Orientierung in den Plan integriert wird.

Todesstoß für ePerso

netzpolitik.org: Im Sinn einer solchen Orientierung bewirbt der Bund die BundID. Ist sie eine gute Lösung?

Drenger: Die BundID ist eine Krücke, die man gebaut hat, weil man die Leute nicht in die Lage versetzt hat, technisch einfach digital zu unterschreiben. Der ePerso hatte eigentlich die Funktion, offline Dokumente zu unterschreiben. Das wurde auch beworben. Dazu gibt es immer noch Flyer in den ganzen Bürgerämtern. Aber die Bundesdruckerei hat die Funktion eingestellt. Stattdessen verkauft sie Online-Signaturen. Während man vorher mit dem ePerso offline selbstständig und souverän unbegrenzt viele Signaturen hätte erstellen können, bezahlt man jetzt die Bundesdruckerei für jede einzelne Signatur, die online erstellt wird. Hier hat ihr Abrechnungsmodell dem ePerso den Todesstoß versetzt, weil man den ePerso insgesamt unbrauchbar gemacht hat.

netzpolitik.org: Was bedeutet das für den ePerso im Kontext der BundID?

Drenger: Der ePerso hat für die BundID nur noch die Funktion des Ausweisens, aber auch nur gegenüber einer Stelle, dem eID-Server. Das ist technisch unzureichend, weil man dann diese Identifizierung nicht gegenüber anderen nachweisen kann. Das heißt, wenn ein Bürger über den Portalverbund einen Antrag stellen möchte und der wird dann weitergeleitet an die Kommune, kann sie nicht mehr sehen, von wem der Antrag gekommen ist, vom Bürger, von einem Angreifer oder vom Portal-Server. Es gibt keinen Beweis mehr dafür, dass der Antrag vom Bürger stammt. Das erschwert natürlich die Überprüfbarkeit wie auch die Datenschutzprüfung enorm.

Ferner entspricht dieses Verfahren nicht dem Stand der Technik, weil man üblicherweise mehrere Faktoren haben möchte, um eine solche Willenserklärung auch nachvollziehen zu können.

netzpolitik.org: Wie würde das Ganze technisch ohne BundID aussehen?

Drenger: Die BundID ist eine schlechte Kopie vom Einwohnermeldeamt. Als Nutzer hat man ein Passwort und kann sich damit einloggen. Dabei haben wir bessere Lösungen. Weil so ein Passwort geklaut werden kann oder verloren geht, fangen Google, Apple, PayPal oder auch Banken an, solche Anwendungen an den Geräten festzumachen, wo ein sicherer Schlüssel gespeichert ist, oder arbeiten mit Chip-Karten. Anstelle der Servicekonten könnten wir ganz einfach den ePerso nutzen, um uns anzumelden und Nachrichten zu empfangen oder ähnliches.

Mit Open Source in Richtung Unabhängigkeit

Zersplitterte Landschaft treibt Aufwand in die Höhe

netzpolitik.org: Wie wirkt sich das Fehlen einer Gesamtstrategie auf die Personallage in den Behörden aus?

Drenger: Wir haben einige IT-Stellen in der Verwaltung, die jeweils einzeln betrachtet für ihren Bereich zuständig sind und dort die Systeme betreiben. Eine Kommune muss x Leistungen betreuen und hat dafür eine gewisse Anzahl an Administratoren. Da jede Kommune aber eigene Lösungen betreut, ist die Personallage angespannt. Mit flächendeckenden Open-Source-Lösungen wäre hier der Grundstein dafür gelegt, dass man nachnutzbare Pakete baut, wodurch auch der Administrationsaufwand sinkt.

Idealerweise gäbe es eine große IT-Abteilung, die remote mit den kleineren kooperiert. Dann könnte man spezialisierte Teams für die einzelnen Themen zusammenstellen, die diese dann betreuen. Das hätte den Vorteil, dass es nicht für jedes Thema Experten in den jeweiligen Stellen geben muss.

netzpolitik.org: Wie würde sich das auf IT- und Datensicherheit auswirken?

Drenger: Man könnte bestimmte Lösungen vereinheitlichen, ohne sie zu zentralisieren. Zwar würde man Vorlagen und Sammlungen verteilen, die vor Ort eingesetzt werden. Die Datenhoheit könnte aber bei den verschiedenen Stellen verbleiben. Damit würde man den Arbeitsaufwand deutlich reduzieren und das Ergebnis qualitativ höherwertiger machen. Denn an den Vorlagen könnte Personal arbeiten, das in dieser Hinsicht qualifizierter ist als das in den Kommunen. Wenn eine Vorlage einmal pro Bundesland erstellt wird und nicht alle 400 Kommunen in NRW das gleiche Problem selbstständig lösen müssen, würde das einiges an Kapazitäten freisetzen.

Kaum Nachnutzung trotz Einer-für-Alle-Prinzips

netzpolitik.org: Die Länder haben jeweils ein Themenfeld an OZG-Leistungen übernommen, für die sie Lösungen entwickeln. Dabei sollen sie das Einer-für-Alle-Prinzip (EfA) berücksichtigen. Das heißt, andere Länder sollen ihre Lösungen nachnutzen können.

Drenger: Verwaltung oder IT-Planungsrat verstehen das so, dass ein Land einen zentralen Dienst anbietet und die anderen diesen einkaufen. Das hat wenig mit Nachnutzbarkeit zu tun. Denn die anderen Länder müssen den Dienst unter Umständen mit hohem Aufand an eigene Systeme anpassen. Die Abstimmungsbedarfe steigen, für jeden EfA-Dienst muss man eine EfA-Koordinationsstelle schaffen. Das bedeutet viel Bürokratie und einen enormen Arbeitsaufwand für die Kommunikation zwischen den Stellen.

netzpolitik.org: Nimmt die Politik diese Problematik wahr?

Drenger: Es ist wie mit der Energiewende. Es muss Strom aus der Steckdose kommen. Die Frage ist aber, wie der Strom aus der Steckdose kommt und wie man das organisiert. Die Politik ist bei der Digitalisierung oft auf dem Niveau der Steckdose. Sie schaut sich nicht an, was die Probleme in der Produktion sind oder dass Open Source Vorteile hat, die Closed Source vielleicht nicht hat.

Wenn man sieht, was wir an Lizenzkosten zahlen für diverse Microsoft-Software, die wir jetzt für die OZG-Leistungen brauchen, kommt man bereits in einen Vendor Lock-in, wo die öffentliche Hand nicht mehr in der Lage ist, frei auszuschreiben und auch andere Hersteller zu berücksichtigen. Sie ist auf einzelne Hersteller angewiesen.

netzpolitik.org: Gibt es Bemühungen, daran etwas zu ändern?

Drenger: Die Verwaltung öffnet sich an einigen Stellen schon. Ich habe auch die Hoffnung, dass ein Bundestransparenzgesetz ganz viel Licht in diesen Bereich bringt. Für die Verwaltung wäre es auch hilfreich, wenn die Verwaltung das wüsste, was die Verwaltung weiß. Ganz viele Informationen sind zwischen den Stellen verteilt und nicht jede Verwaltung weiß, was andere Verwaltungen wissen.

Diese ganzen internen Gutachten und Vermerke zeigen, dass es der öffentlichen Hand schwerfällt, da einen ehrlichen Sachstandsbericht abzugeben. Gerade wenn Informationen und Berichtswesen den Weg nach oben nehmen, dann kommt oben im IT-Planungsamt immer an, dass alles ganz toll ist, Probleme fallen da eher unter den Tisch. Klar ist, dass es in jeder Beziehung eine neue Weichenstellung braucht, die die Ampel beschließen muss.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Auf Pornoseiten kursieren auch Aufnahmen von Menschen, die sich niemals nackt im Netz zeigen wollten. Also führen große Anbieter Ausweiskontrollen ein. Das macht wenig besser – und vieles kaputt. Kreative Lösungen aus kleinen Communitys zeigen: Eine bessere Zukunft der Online-Pornografie ist möglich, ohne Datensammelei und digitale Gewalt.

Das ist ein Transkript meines Vortrags auf der re:publica 2023. Triggerwarnung: Es geht um bildbasierte Gewalt.

Als Journalist sollte ich mit steilen Thesen vorsichtig sein, an dieser Stelle sind aber einige angebracht. In diesem Vortrag geht es um nichts weniger als um ein besseres Internet, ein freieres, ein weniger gewaltsames und ein weniger überwachtes Internet. Es geht auch um ein sexy Internet.

Ich rede über die Orte im Netz mit den meisten Besucher*innen, dem meisten Datenverkehr und dem geringsten Ausmaß an öffentlicher Debatte. Es geht um Pornoseiten. Die größten von ihnen rangieren auf den Top-Plätzen der weltweit meistbesuchten Websites, auf Augenhöhe mit Amazon oder Wikipedia. Die drei Branchen-Riesen sind Pornhub aus Kanada, xHamster aus Zypern, XVideos und Schwesterseite XNXX aus Tschechien. Und es gibt schier unzählige weitere Seiten.

Als Redakteur für netzpolitik.org liegt mein Interesse auf digitalen Grund- und Freiheitsrechten. Bei Pornoseiten besonders relevant ist ein Recht, das bisher in der netzpolitischen Debatte kaum eine Rolle gespielt hat, und das ich hiermit einmal in den Fokus der Aufmerksamkeit rücken möchte. Es ist das Recht auf sexuelle Selbstbestimmung.

In einfacher Sprache erklärt die Zeitung vom Bundestag, „Das Parlament“, dieses Recht so:  „Jeder Mensch darf für sich selbst entscheiden, bei welchen sexuellen Handlungen er mitmachen will.“ Meine These ist: Genau dieses Recht auf sexuelle Selbstbestimmung wird auf Pornoseiten immer wieder verletzt, und zwar auf zwei deutlich verschiedene Arten.

Ohne Einverständnis ist es kein Porno

Die erste Art ist die Bekannteste. Es geht um Aufnahmen von Menschen, die sich niemals nackt im Netz zeigen wollten, umgangssprachlich bekannt als „Racheporno“. Viele Fachleute, Betroffene und auch ich sprechen lieber von bildbasierter, sexualisierter Gewalt.

Die Unterscheidung lautet: Ohne Einverständnis ist eine Aufnahme keine Pornografie. Oft sind es geleakte oder gehackte Fotos. Oft sind die Aufnahmen während der Beziehung entstanden, waren nicht zur Veröffentlichung bestimmt, und irgendwann laden Täter*innen sie trotzdem hoch. Der Kampf gegen bildbasierte Gewalt ist eine Odyssee für sich. Wer sich dazu einlesen möchte, findet dazu Berichte auf netzpolitik.org.

Es gibt aber noch eine zweite, eine deutlich weniger bekannte Art, wie das Recht auf sexuelle Selbstbestimmung im Netz verletzt wird. Das Recht bedeutet nämlich auch: Wenn ich das möchte, dann darf ich bei sexuellen Handlungen mitmachen. Menschen dürfen Pornos von sich hochladen. Und genau das wird im Netz erschwert, wenn Nutzer*innen vermehrt ihre Identität offenlegen müssen, bevor sie sich überhaupt nackt im Netz zeigen dürfen.

Ausweiskontrollen verbreiten sich gerade auf Pornoseiten, teilweise für Zuschauer*innen, noch mehr aber für Uploader*innen. Der Grund für letzteres ist der Kampf gegen bildbasierte Gewalt. Um Täter*innen abzuschrecken, sollen Uploader*innen zuerst einen Ausweis vorlegen, bevor sie etwas veröffentlichen. Diese Regel gibt es schon bei den Branchenriesen xHamster und Pornhub. Fast hätte die Europäische Union noch eine Handynummern-Pflicht für Pornoseiten obendrauf gepackt. Ein solches Vorhaben als Ergänzung im Digitale-Dienste-Gesetz ist aber letztlich gescheitert.

Mit Ausweisen lässt sich kein Einverständnis prüfen

Mechanismen wie Ausweiskontrollen für Porno-Uploader*innen wirken nur auf den ersten Blick sinnvoll. Man könnte meinen: So eine Ausweispflicht, die kann doch wirklich Täter*innen davon abhalten, illegal Fotos zu verbreiten. Ich halte das aber für keine gute Lösung. Die Datensammelei kann das Problem zwar eindämmen, aber nicht auf die beste und wirksamste Art. Ein Ausweis verrät nicht, ob sich eine Person wirklich auf einer Pornoseite zeigen wollte. Mit einem Ausweis kann man kein Einverständnis überprüfen.

Aber Einverständnis – auf Englisch: consent – ist der Knackpunkt bei Aufnahmen auf Pornoseiten, und zwar in dreifacher Hinsicht:

1. Einverständnis, dass eine intime Aufnahme auf einer bestimmten Seite hochgeladen wird,
2. Einverständnis, dass die intime Aufnahme überhaupt erst entstanden ist,
3. Einverständnis, dass die Handlungen in der Aufnahme überhaupt passieren.

Man kann mit einem Ausweis allenfalls eine Identität prüfen, und man kann damit nachträglich verdächtige ermitteln, wenn es schon zu spät ist und Aufnahmen illegal verbreitet worden sind. Besser wäre es, die Verbreitung bildbasierter Gewalt von Anfang an zu verhindern. Das ist auch möglich, dazu gleich mehr.

Ausweiskontrollen richten außerdem einen Kollateralschaden an, denn sie verhindern den anonymen Upload von Pornos. Manche mögen sich fragen: Wer braucht das denn? Sollte es überhaupt so etwas geben, ein Recht auf anonymen Porno-Upload? Immerhin sind es Profi-Darsteller*innen ohnehin gewohnt, beim Dreh ihre Daten anzugeben. Profis unterschreiben ja Verträge, bekommen Honorare überwiesen. Es gibt aber nicht nur Profis. Viele Menschen nutzen ihr Recht auf sexuelle Selbstbestimmung, um sich ohne kommerzielle Interessen nackt zu zeigen. Als Hobby, als Leidenschaft – oder als politischer Protest. Für manche ist anonymer Porno-Upload gelebte Freiheit und Emanzipation.

„Um den Extremisten ein großes ‚Fuck you‘ zu zeigen“

Ein anschauliches Beispiel dafür hat mein ehemaliger VICE-Kollege Tarek Barkouni recherchiert, als er die Geschichte von Melissa aufgeschrieben hat. Melissa, deren echter Name zu ihrem eigenen Schutz nicht genannt wird, postet Nacktfotos von sich auf Reddit.

Die Geschichte von Melissa hat grundlegend verändert, wie ich über anonyme Nackt-Communitys im Netz denke, wie ernst ich sie nehme. Ich durfte den Text damals als Redakteur begleiten und kann ihn nicht besser zusammenfassen als mit diesem Zitat:

Ich poste auf RepressedGoneWild, um den religiösen Extremisten ein großes ‚Fuck you‘ zu zeigen“, schreibt uns eine Frau, die wir hier Melissa nennen. Sie stamme aus China und lebe nun in einem Teil Indonesiens, in dem die Scharia gilt. Frauen werden dort durch rund 300 Scharia-Gesetze in ihrer Freiheit beschnitten. Demnach müssen Opfer einer Vergewaltigung mindestens vier Zeugen nennen, um die Tat zu beweisen; der Täter dagegen muss fünf mal schwören, er sei unschuldig.

Wir fragen Melissa, warum sie ihre Fotos nicht auch in größeren Subreddits zeigt, sondern gezielt im Nacktforum für unterdrückte Frauen. „Ich möchte Frauen aus repressiven Systemen zeigen, dass es OK ist, stolz auf die eigene Sexualität zu sein“, schreibt Melissa. „Ich bin Feministin. Ich kämpfe dafür, ein selbstbestimmtes Leben zu führen.

Menschen wie Melissa sind auf Anonymität angewiesen, sonst droht ihnen das Schlimmste. Mir ist schon klar, dass die meisten Nutzer*innen wohl kein Interesse haben, sich selbst nackt im Netz zu zeigen. Doch Abermillionen Nutzer*innen schauen sich Porno-Aufnahmen gerne an – und einen besseren Grund für Solidarität mit den Uploader*innen könnte ich mir nicht vorstellen.

Anonymer Upload von Pornos ist eine kaum diskutiere Form von Teilhabe. Ausweispflichten für Porno-Uploads schränken diese Teilhabe ein. Ich argumentiere: Es sollte ein Recht geben für anonymen Porno-Upload, genauso wie es ein Recht geben sollte zum Schutz vor bildbasierter Gewalt.

Beide Gruppen schützen

Beide Forderungen scheinen auf den ersten Blick kaum miteinander vereinbar. Immerhin machen es anonyme Uploads einfach, ohne Sorge vor Konsequenzen bildbasierte Gewalt zu verbreiten. Man könnte meinen: Schutz vor bildbasierter Gewalt und anonyme Porno-Uploads, das wäre ein unvereinbarer Widerspruch.

Aber beides ist möglich, und die Lösung ist kaum bekannt. Sie fehlt schmerzlich in der Debatte um netzpolitische Regulierungen von Pornoseiten. Ich spreche von einer Lösung, um beide betroffene Gruppen zu schützen: Einerseits die betroffenen bildbasierter Gewalt; andererseits die Menschen, die sich anonym nackt im Netz zeigen wollen.

Ausprobiert und gelebt wird diese bessere Lösung von kleinen Communitys im Netz. Für die Methode genügen ein Blatt Papier und ein Stift. Auf das Papier kommen das eigene Pseudonym, das Datum und der Name der Community, in der man etwas hochladen möchte. Dann das Papier vor den Körper halten und aus mehreren Winkeln Fotos machen. Die Regel lautet: Online sein dürfen nur Aufnahmen von Personen, die sich auf diese Weise verifiziert haben.

Am Beispiel von Reddit

Wer das ganze in Aktion sehen möchte, wird zum Beispiel fündig in Subreddits wie GoneWildCurvy oder GoneWildColor. Für einen Artikel bei netzpolitik.org konnte ich mit den Menschen sprechen, die diese Methode durchsetzen. Es sind Moderator*innen aus Online-Foren, die – wie ich lernen durfte – extrem ungerne Anfragen von Journalist*innen beantworten. Aber offenbar hatte ich Glück, weil meine Frage so noch niemand gestellt hatte. Ich wollte wissen, wie genau sie die Anonymität ihrer Nutzer*innen und den Schutz vor bildbasierter Gewalt miteinander vereinbaren.

Eine Moderatorin beider Foren, sie nennt sich Maeby, hat mir daraufhin das hier geschrieben: „Wir haben über die Jahre lange und hart darüber nachgedacht, wie wir Nutzer:innen schützen können und zugleich sicherstellen, dass sie Inhalte nur mit vollem Einverständnis veröffentlichen.“ Sie erklärte mir, das Papier auf den Fotos müsse zerknittert sein, damit es umso schwerer per Bildbearbeitung gefälscht werden kann. Außerdem müsse man Fotos aus mehreren Winkeln machen.
Schlecht beleuchtete, unscharfe oder nachbearbeitete Bilder würden nicht akzeptiert. Inzwischen wissen wir: So viel Vorsicht ist umso wichtiger, da man mit generativer KI leichter als je zuvor Bilder manipulieren kann.

Anonyme Verifikation für Porno-Uploads gibt es aber nicht nur in kleinen Nischen-Communitys. Es gibt sie auch an einem Ort, an dem ich es am wenigsten erwartet hätte: Bei der meistbesuchten Pornoseite der Welt, XVideos aus Tschechien. Allerdings verlangt XVideos diese Verifikation nur auf freiwilliger Basis, und dann verfehlt sie ihren Zweck. Schutz vor bildbasierter Gewalt bringt sie nur, wenn die Verifikation Pflicht ist. Trotzdem zeigt das Beispiel: Anonyme, auf Einverständnis basierende Verifikation für Pornoseiten, das wäre auch in großem Stil möglich.

Consent ist sexy

Ich wollte wissen, ob ich der einzige bin, der das ziemlich krass findet, und habe nachgefragt, bei der European Sex Workers‘ Rights Alliance, ESWA. Das ist ein europäischer Verband von Sex -Arbeiter*innen. Die ESWA schrieb: „Wir begrüßen solche Praktiken einiger Plattformen, die innovative Wege finden, um den Nutzer:innen mehr Anonymität und Privatsphäre zu ermöglichen und gleichzeitig sicherzustellen, dass eine Zustimmung vorliegt.“

Ich wollte auch wissen, was Betroffene bildbasieter Gewalt davon halten, und habe der deutschen Initiative Anna Nackt geschrieben. Ihr Kommentar: „sehr sinnvoll“.

Ich glaube, diese anonyme, auf Einverständnis basierende Verifikation für Pornoseiten bringt gleich mehrere Vorteile.

1. Sie kann das Ausmaß von bildbasierter Gewalt deutlich einschränken. Auf Pornoseiten herrscht eine Copy-Paste-Kultur; einzelne Accounts verbreiten teils Hunderte, teils Tausende Bilder, die sie offensichtlich irgendwo im Netz gesammelt haben. So etwas wäre nicht mehr möglich, wenn man künftig nur noch Bilder von Menschen zeigen darf, die sich per Papier und Stift für diese spezifische Seite verifiziert haben.
2. Kleinere Pornoseiten werden den Teufel tun, jemals Ausweiskontrollen einzuführen. Viel eher würde ich solchen Seiten aber zutrauen, eine anonyme Verifikation mit Fotos einzuführen. Das mag Idealismus sein, aber ich stelle mir vor, dass Menschen im Netz zunehmend begreifen: Consent ist sexy. Gewalt ist nicht sexy. Und eine Copy-Paste-Schleuder ohne Verifikation, die will man lieber nicht besuchen.
3. Auch für Profi-Darsteller*innen würde eine solche Verifikation etwas verbessern. Denn selbst wenn Profis immer wieder personenbezogene Daten rausgeben – Datenminimierung ist auch für sie ein Thema. Die ESWA hat mir dazu das hier geschrieben: „Indem Plattformen so sensible Daten sammeln, bringen sie Sexarbeiter*innen in Gefahr und erhöhen die Wahrscheinlichkeit von Datenlecks.“
4. Und schließlich bedeutet anonyme Verifikation für Hobby-Darsteller*innen: Sie können ohne Sorge vor Repressionen ihr Recht auf sexuelle Selbstbestimmung ausleben.

Zerknittertes Papier?! – Sonderbar

All das ist für die Politik noch Neuland. Das durfte ich lernen, als vergangenes Jahr mögliche Regulierungen für Pornoseiten diskutiert wurden. Anlass war das Digitale-Dienste-Gesetz der Europäischen Union, also das umfassende Paket, um Online-Plattformen zu regulieren.

Von anonymer Verifikation war da keine Rede. Das liegt sicher auch daran, dass solche Lösungen sehr „internettig“ sind, und so gar nicht nach den typischen Wegen klingen, mit denen Behörden üblicherweise Rechte im Netz durchsetzen. Ausweiskontrollen, das ist typisch, oder Klarnamen, Handynummern, IP-Adressen. Aber Fotos von zerknittertem Papier?! Sonderbar.

Ich glaube auch, eine Bremse für die Debatte um Porno-Regulierung sind gesellschaftliche Tabus. Für viele ist es immer noch ein Tabu, Pornos zu konsumieren, und erst Recht sie zu produzieren. Warum sollten sich Politiker*innen also für die Rechte von Konsumierenden und Produzierenden einsetzen, wenn sich kaum jemand dazu bekennt?

So ziemlich jeder Porno-Regulierung, die ich sehe, liegt eine weltfremde Weltsicht zugrunde. Und das ist die Weltsicht, dass Menschen nur in Ausnahmefällen mit Pornografie in Berührung kommen, nach dem Motto: Ja, ich hab mir das auch mal angeschaut, aber ist nicht so wichtig. Doch schon die Abrufzahlen von Pornoseiten zeigen: Pornografie ist ein Massenphänomen. Eine Säule des Internets, eine Unterhaltungsindustrie, ähnlich bedeutsam wie Musik, Spiele, Filme und Serien, ein Kulturgut. Das Tabu um Pornografie macht uns blind für gute, netzpolitische Lösungen, die längst existieren. Ich glaube, Öffentlichkeit und Politik können viel von Porno-Communitys lernen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Dass vom größten Abhörskandal der Geschichte auszugehen sei, stand schon 2013 in den Zeitungen, obwohl die Snowden-Enthüllungen noch jahrelang weitergehen sollten. Zehn Jahre später lohnt der Blick zurück auf Massenüberwachung, Spionageangriffe und einige der Konsequenzen, denn bis heute ist die Überwachung maßlos. Ein Kommentar.

Was Edward Snowden enthüllte, war und ist beispielgebend für viele andere Whistleblower, die mit ihrem Gewissen ringen. Die Art, wie Journalisten mit ihm gemeinsam Übersetzungsarbeit für den Geheimdienstsprech geleistet haben, war oftmals großartig. Die Snowden-Veröffentlichungen waren ein Einschnitt. Wir sprechen heute anders über Geheimdienste, insbesondere in Deutschland nach dem parlamentarischen NSA-BND-Untersuchungsausschuss. Wie viel wir heute dank Edward Snowden wissen und welches Ausmaß die technisierte Massenüberwachung hat, zeigt ein Rückblick auf die im Juni 2013 beginnenden Snowden-Veröffentlichungen.

Selbst der damalige Bundesinnenminister Thomas de Maizière (CDU) hat die technisierte Überwachung damals als maßlos beschrieben:

Was die USA an Aufklärungsmaßnahmen tun, ist zwar ganz überwiegend ihrem Sicherheitsbedürfnis geschuldet, aber sie tun es in einer übertriebenen, maßlosen Anwendung. […] Wenn zwei Drittel dessen, was Edward Snowden vorträgt oder was unter Berufung auf ihn als Quelle vorgetragen wird, stimmen, dann komme ich zu dem Schluss: Die USA handeln ohne Maß.

Heute können wir uns ein konkretes Bild davon machen, welche technischen Fähigkeiten die Geheimdienste im Detail hatten und haben: nicht nur die der NSA (National Security Agency), sondern auch der Five-Eyes-Geheimdienste aus Kanada, Großbritannien, Neuseeland und Australien. Die Five-Eyes-Überwachung erfasst Ausländer und Einheimische, teilweise als massenhafte, teilweise als gezielte Form von Überwachung. Die größten der Programme sind unter ihren Namen Prism und Upstream heute weithin bekannt, ein Teil dieser inländischen Massenüberwachung der NSA war rechtswidrig. Sie machten uns auch allen bewusst, wie stark die Zusammenarbeit der Geheimdienste mit kommerziellen Tech-Firmen gediehen war.

Der damalige Chef von Microsoft bezeichnete die Geheimdienste nach Beginn der Snowden-Veröffentlichungen als „persistent threat“, also als eine dauerhafte Bedrohung, die es abzuwehren gilt. Die Tech-Konzerne haben letztlich ihren Umgang mit IT-Sicherheit auch durch Snowden nachhaltig geändert, insbesondere was die Verschlüsselung angeht. Das hat all denjenigen gutgetan, welche die Dienstleistungen der Konzerne nutzen.

Die positive Folge der Snowden-Veröffentlichungen muss klar benannt werden: Der verschlüsselte Internetverkehr hat deutlich zugenommen. Für typische Dienstleistungen der Tech-Konzerne wie Gmail und WhatsApp wurde die Verschlüsselung angeknipst. Nutzer wissen das vielleicht nicht mal. Aber für die Geheimdienste wurde damit eine wesentlich höhere Hürde gelegt, um die Inhalte auswerten zu können. Diese Folge der Snowden-Veröffentlichungen ist wertvoll, auch jenseits der Überwachung durch Geheimdienste.

Glasfaser-Abhör-Operation

Viele der Geheimdienst-Programme betreffen Massenüberwachung, oft in Form von globalen Operationen. Ein paar der bekanntgewordenen Programme hatten aber einen besonderen Impact, zum einen weil sie technisch besonders anspruchsvoll waren, zum anderen weil sich Höchstgerichte mit ihnen befasst haben. Dazu gehört die Operation Tempora: Das war die Glasfaser-Abhör-Operation des britischen GCHQ für Inhalts- und Metadaten. Der Geheimdienst war und ist ein wichtiger Datenlieferant für die NSA, aber auch für die anderen Five-Eyes-Geheimdienste und für weitere Partnergeheimdienste. Warum der GCHQ als Glasfaser-Datenstaubsauger besonders geeignet ist, liegt schlicht an der geographischen Lage der britischen Inseln, die bereits vor hundert Jahren durch die Verlegung der Telegraphen-Leitungen entstanden ist.

Ein Großteil des kontinentaleuropäischen Datenverkehrs läuft über die britischen Unterseekabel. Diese Quelle wurde extensiv genutzt, nämlich an ungefähr zweihundert Glasfaserkabeln, die angezapft wurden. Tempora wurde Teil eines Gerichtsverfahrens beim Europäischen Gerichtshof für Menschenrechte und von der britischen Regierung auch nicht bestritten. Ungefähr fünfzig Milliarden Metadaten pro Tag wurden gesammelt. Dieser Umfang dürfte sich selbstverständlich unterdessen vergrößert haben, denn schließlich sind zehn Jahre vergangen.

Offensive Hacking-Operationen

Zu den wichtigen Veröffentlichungen aus den Snowden-Papieren zählt das sogenannte Black Budget, welches das Milliarden-Budget der US-Geheimdienste aufzeigt. Dazu entstand auch eine Debatte um das Heer von Vertragspartnern, die sich um die Geheimdienste scharen und von ihnen bezahlt werden. Die ganze Branche um die technischen Geheimdienste herum wurde in neuer Weise beleuchtet. Wie das Päppeln und Finanzieren dieser Branche die IT-Sicherheit global in Mitleidenschaft gezogen hat, ist bis heute Thema geblieben. Das Black Budget zeigte aber auch, in welcher Liga die US-amerikanischen Geheimdienste spielen, weit jenseits von allem, was die anderen demokratischen Staaten für ihre Geheimdienste ausgeben.

Es gibt einen Bereich der Snowden-Veröffentlichungen, der öffentlich weniger breit besprochen wurde, vielleicht weil er technisch anspruchsvoller ist: die offensiven Hacking-Operationen der NSA. Dazu gehören langjährige Projekte wie Bullrun oder Edgehill in Zusammenarbeit mit dem GCHQ, die faktische Anti-Sicherheits-Operationen waren: Hintertüren bauen, technische Sicherheitsmaßnahmen schwächen. Eine der Snowden-Veröffentlichungen hat dabei die halbe Krypto-Welt elektrisiert, nämlich die erfolgreiche Manipulation von DUAL_EC_DRBG, eines kryptographischen Standardverfahrens. Die Krypto-Community, die heute in den ISO-Standardisierungsgremien sitzt und nun zukünftige Krypto-Standards analysiert und bewertet, lässt sich seither nicht mehr abspeisen mit Beteuerungen, sondern verlangt Transparenz, auch von der NSA, wenn sie ihre Vorschläge für künftige Standards einreicht.

Zu den offensiven Hacking-Operationen mit der größten politischen Tragweite zählt wohl der Belgacom-Hack. Denn betroffen von dem Hack waren die Spitzen der europäischen Politik mit der EU-Kommission und auch mit dem Europäischen Parlament, mit zahlreichen Botschaften, sogar mit dem NATO-Hauptquartier. Alle großen europäischen Institutionen hatten die Geheimdienste offenbar im Blick.

Kritik an den Geheimdiensten

Eine der größten Peinlichkeiten aus deutscher Sicht war zweifelsohne die Merkel-Spionage. Doch aus dem Abhören der deutschen Regierungschefin folgte – nichts. Es gab zwar monatelange Diskussionen um ein sogenanntes No-Spy-Abkommen, es gab Anrufe zwischen Barack Obama und Angela Merkel. Aber nichts, absolut gar nichts ist in diesem Bereich auch nur verhandelt worden. Die US-Amerikaner haben die deutsche Regierung abtropfen lassen, sich auf keine Verhandlung irgendeiner Art eingelassen, um auch nur einen Anteil der praktizierten Spionage vertraglich auszuschließen.

Das ist deswegen erstaunlich, weil es erheblichen öffentlichen Druck gab. Nach den ersten Snowden-Veröffentlichungen war ein anderer Blick auf die Geheimdienste verbreitet, als man ihn heute (wieder) hat. Einige Texte, die in dieser Zeit geschrieben wurden, zeigen eine Tonalität in Bezug auf die Kritik an den Geheimdiensten, die heute kaum mehr vorstellbar ist.

„Now you know“: Audio-Rückblick auf vier Jahre Snowden

Auch der BND-NSA-Untersuchungsausschuss hat für einige Zeit einen starken Imagewandel der Geheimdienste hervorgerufen. Nach der öffentlichen Debatte im Parlament über den Abschlussbericht des Untersuchungsausschusses kommentierte Hans-Christian Ströbele (Grüne) die dreisten Lügen, die dem Parlament serviert worden waren. Auch als ein Politiker, der Geheimdienst-Untersuchungsausschüssen in vier Jahrzehnten parlamentarischer Arbeit beigewohnt hatte, zeigte er sich erstaunt:

Wir wissen jetzt durch die Arbeit des Untersuchungsausschusses: Während sie sagten: ‚Wir wissen überhaupt nicht, worum es geht, was das sein soll, vor allem, was wir damit zu tun haben‘, verhandelten sie mit ausländischen Nachrichtendiensten darüber.
Erstens über das, was da schon in gemeinsamer Zusammenarbeit gelaufen war, also zum Beispiel bei dem Projekt Eikonal. Aber sie verhandelten auch über neue Zugänge in die Netze. Das war ein Täuschungsmanöver sensationeller Art, so wie ich mir das gar nicht vorstellen konnte.

Eikonal ist die NSA-BND-Kooperation, um die Glasfaserkabel der Deutschen Telekom in Frankfurt anzuzapfen. Die Dreistigkeit, mit der er als Parlamentarier belogen wurde, überraschte selbst Ströbele.

Es gibt keinerlei Anhaltspunkte, warum das heute anders sein sollte. Ströbele hat als Experte für Geheimdienste stets betont, dass die Kontrolle der Geheimdienste auch in Fragen der technisierten Massenüberwachung nicht adäquat sei. Dass der neue Kontrollrat, der im BND-Gesetz steht, eine qualitativ bessere Kontrolle ausüben kann, ist nicht zu erwarten.

Doch trotz Snowden und trotz der dreisten Lügen ist diese Massenüberwachung zur Normalität geworden, gesetzlich legitimiert. Nicht nur bei uns, auch in Frankreich, in den Niederlanden, in Schweden, in der Schweiz, in Finnland und in Großbritannien, die allesamt Massenüberwachung gesetzlich legitimiert durchführen.

Fünf Jahre NSA-Skandal: Gekappte Glasfaserkabel und Merkels Rücktritt

Was für Deutschland zu fordern ist

Was darf der deutsche Auslandsgeheimdienst BND in Sachen Massenüberwachung aktuell? Er darf massenhaft Telekommunikationsdaten sammeln und auswerten. Was einst rechtswidrig oder an der Grenze des Rechts durchgeführt wurde, ist nun gesetzlich erlaubt. Außer den Kommunikationsinhalten dürfen die Geheimdienste auch weiterhin Metadaten rastern. Zudem darf Maschine-zu-Maschine-Kommunikation ausgewertet werden. Und das Budget ist auf mehr als eine Milliarde Euro angewachsen.

Dass der Geheimdienst mit so gewaltigen Summen finanziert wird, steht öffentlich kaum mehr in Frage. Während es im Gefolge der Snowden-Veröffentlichungen durchaus eine Frage war, ob man den ausufernden Bereich der Geheimdienste vielleicht zurückbauen könnte, wird darüber heute kaum noch gesprochen.

Am 25. Mai 2021 erging ein Urteil des Europäischen Gerichtshofs für Menschenrechte in Straßburg zur britischen Massenüberwachung, dem noch mehr Geltung verschafft werden muss, insbesondere weil es eine stärkere Kontrolle der Geheimdienste verlangt. Der Gerichtshof schreibt eine unabhängige Behörde vor, die den Zweck der Überwachung und auch die Auswahl und Kategorien der Selektoren prüft. Selektoren sind die Merkmale, nach denen die Dienste Daten durchsuchen.

Das bleibt auch für Deutschland zu fordern, denn diese Kontrolle ist beim BND noch zu unterentwickelt. Zudem betont das Urteil die rechtliche Gleichsetzung von Inhaltsdaten und Metadaten, die gleichwertig geschützt gehören. Auch in Diskussionen jenseits der Geheimdienste, etwa bei der Vorratsdatenspeicherung, setzt das Urteil damit Akzente.

Politisch bleibt zu fordern, dass die Minimalanforderungen, die von diesem und anderen Höchstgerichten gestellt werden, nicht mehr die Messlatte sein sollten. Denn einen Blankoscheck für Geheimdienste zur unbegrenzten Überwachung von Millionen Menschen sollten wir nicht mehr ausstellen. Die Parteien der Ampel-Regierung müssen an die Versprechungen erinnert werden, die sie im Wahlkampf gemacht haben und die auch im Koalitionsvertrag stehen.

Betrachtet man die Urteile der Höchstgerichte auf europäischer Ebene, ist es längst Konsens, dass ein Verbot der nicht zielgerichteten Massenüberwachung besteht. Bei der technisierten Massenüberwachung sollte die Ampel schon deswegen endlich eine Trendumkehr wagen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Heimüberwachungsprodukte von Amazon Ring stehen immer wieder wegen der privaten Ausweitung von Videoüberwachung in der Kritik. Jetzt kommt heraus: Mit etwas Finesse können Einbrecher die Überwachungstürklingeln einfach abschalten.

Mozilla hat heute eine Sicherheitslücke in Amazons Ring Wireless Video Doorbell veröffentlicht. Die Organisation hatte die Schwachstelle in Amazons Heimüberwachungssystem dem Konzern schon vor 90 Tagen mitgeteilt, dieser hat den Fehler aber laut der Darstellung von Mozilla bis heute nicht behoben, weswegen Mozilla nun an die Öffentlichkeit ging.

Nach einem Penetrationstest der Ring Doorbell, der im Oktober und November 2022 durchgeführt wurde, stellten Mozilla und das beauftragte Security-Unternehmen Cure53 fest, dass das Gerät anfällig für Wi-Fi-Deauthentifizierungsangriffe ist. Diese Schwachstelle kann ausgenutzt werden, um das Gerät mit leicht zugänglichen Tools vom Internet zu trennen.

Angreifer:innen könnten mit dieser Methode die Türklingel offline schalten und ihre Aktivitäten unaufgezeichnet lassen – was den eigentlichen Zweck des Produkts untergrabe, heißt es weiter in der Pressemitteilung von Mozilla. Selbst nachdem die Türklingel wieder mit dem Internet verbunden sei, erhielten die Benutzer:innen keine Benachrichtigung über den Angriff.

Mozilla hatte Amazon Ring nach dem Test auch Möglichkeiten zum Schließen der Sicherheitslücke zugeschickt. Das Unternehmen reagierte laut Darstellung von Mozilla allerdings nicht darauf. Auf eine von netzpolitik.org gestellte Presseanfrage hat Amazon Ring bislang nicht geantwortet. (Update siehe unten)

Ring seit Langem in der Kritik

Erst vor ein paar Tagen hatte Amazon Ring eine Summe von etwa 5,4 Millionen Euro gezahlt um Rechtsstreitigkeiten mit der amerikanischen Federal Trade Commission (FTC) beizulegen. Hintergrund der Zahlung war, dass ein Mitarbeiter von Ring in Dutzenden Fällen Kundinnen des Unternehmens in Schlaf- und Badezimmer beobachtet hatte.

Amazons Ring steht vor allem in den USA seit Langem in der Kritik, denn die Produkte tragen zu einer Ausweitung der insgesamt verfügbaren Überwachungsgeräte bei. Das Unternehmen arbeitet seit Jahren eng mit der Polizei zusammen und ist notorisch freigiebig, wenn Ermittlungsbehörden Aufnahmen aus Ring-Kameras haben wollen. Deswegen stellen die eigentlich privat genutzten Überwachungswerkzeuge, die Kund:innen zur Überwachung ihrer Häuser und Grundstücke installieren, de facto eine Ausweitung staatlicher Überwachung dar.

In den USA hat Ring wiederholt Daten auch ohne richterliche Anordnung an die Polizei herausgegeben. Dies kann auch in Deutschland geschehen, “wenn die Strafverfolgung eine unmittelbare Bedrohung nachweisen kann und die Zeit drängt“. Ob es hier bereits solche Fälle gibt, ist unklar – die PR-Agentur von Ring äußerte sich gegenüber netzpolitik.org ausweichend.

In den USA bietet Ring Strafverfolgungsbehörden eine eigene Schnittstelle an. Mit dieser können die Polizeien ganz direkt per „Notfallknopf“ an Videoaufzeichnungen gelangen. In einer gemeinsamen Marketing-Kampagne hatte die US-Polizei immer wieder explizit für Ring und die zugehörige Neighbors-App des Unternehmens geworben.

„Größter Überwachungsapparat des Landes“

Schon im Jahr 2019 überwachten 440.000 auf Privatgelände installierte Ring-Kameras auch öffentliches Straßenland, recherchierte damals Gizmodo. Im Jahr 2021 arbeiteten schon mehr als 2000 Polizeien und Feuerwehren mit Ring und dessen „Ermittlungsportal“ zusammen. Damals kam heraus, dass sich die Polizei von Los Angeles auch Material von Demonstrationen der Black-Lives-Matter-Bewegung über Ring besorgt hatte. Heute sollen zehn Millionen Menschen allein in den USA eine Ring-Kamera haben.

Die US-amerikanische Bürgerrechtsorganisation EFF bezeichnet Ring als den „größten Überwachungsapparat des Landes“ und fordert eine strengere Regulierung von solchen privaten Überwachungsprodukten. Das schließt unter anderem größere Hürden bei der Anforderung von Videomaterial ein, einen konkreten Verdacht, aber auch einen klareren Hinweis an Ring-Nutzer:innen, dass die Herausgabe von Material an die Behörden absolut freiwillig ist.

In Deutschland befindet sich die Nutzung von Ring-Produkten in der juristischen Grauzone, manche Funktionen seien hierzulande sogar verboten, sagt der IT-Rechtler Jasper Prigge. So sei die Aufnahmefunktion einer Ring-Türkamera, wenn sie Ton umfasst, in Deutschland grundsätzlich nicht erlaubt.

Update 7. Juni 2023:
Die Pressestelle von Amazon Ring hat nun geantwortet. Ein Pressesprecher von Amazon sagt gegenüber netzpolitik.org: „Die Sicherheit unserer Kunden nehmen wir sehr ernst. Wie zahlreiche andere smarte Geräte können auch Ring-Geräte von illegalen, zielgerichteten Störungsversuchen der Wi-Fi-Verbindung betroffen sein. Wir prüfen derzeit, wie wir unsere Kunden über solche Störversuche informieren können.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Alle Erwachsenen sollen vor dem Besuch einer Pornoseite ihren Ausweis zücken, das will die deutsche Medienaufsicht. Auf der re:publica verteidigte Medienwächter Marc Jan Eumann den Kurs seiner Behörde: Ihm sei der Datenschutz von Nutzer*innen egal. Ein Kommentar.

Die deutsche Medienaufsicht möchte das Internet auf den Kopf stellen. Pornoseiten, die meistbesuchten Websites der Welt, sollen künftig das Alter ihrer Besucher*innen kontrollieren. Dafür sollen Abermillionen Nutzer*innen gegängelt werden: Vor dem Besuch einer Pornoseite sollen sie etwa ihren Ausweis vorlegen oder ihr Gesicht scannen lassen. Es gäbe zwar deutlich weniger aufdringliche Möglichkeiten, um Jugendliche von Pornoseiten fernzuhalten. Etwa Jugendschutz-Filter, die Eltern auf dem Gerät ihrer Kinder und Jugendlichen installieren. Aber solche Filter sind laut deutschem Recht nicht ausreichend.

Am heutigen Montag hat ein Vertreter der Medienaufsicht auf der Berliner Konferenz re:publica vor Publikum versucht, das Vorgehen seiner Behörde zu rechtfertigen. Marc Jan Eumann ist derzeit Vorsitzender der Kommission für Jugendmedienschutz (KJM), einem gemeinsamen Organ der föderal organisierten Medienanstalten. Außerdem ist Euman Direktor der Medienanstalt Rheinland-Pfalz. Die Medienanstalt Berlin-Brandenburg ist Partner der re:publica. Eumanns Auftritt bei einer Diskussion mit Porno-Aktivistin und -Regisseurin Paulita Pappel gibt Einblicke in die teils haarsträubende Denkweise der Behörde.

Das Problem: Alterskontrollen für Pornoseiten gefährden die anonyme Nutzung des Internets – ein Ideal, das auch die Ampelregierung im Koalitionsvertrag festgehalten hat. Da Pornoseiten zu den meistbesuchten Websites der Welt gehören, würden die Alterskontrollen entsprechend viele Millionen Nutzende in ihren Rechten einschränken.

Die Gefahr solcher Datensammelei machte Pappel mit einem Vergleich anschaulich: Man stelle sich vor, da gebe es einen Anwalt namens Meier aus Rheinland-Pfalz, der in einem konservativen Umfeld lebe. Er schaue sich privat mit seiner Frau BDSM-Pornofilme an, wie Pappel ausführte. Wenn sich nun Herr Meier mit seinem Ausweis verifiziere, könnte seine Identität mit seinen Porno-Sehgewohnheiten und seinen sexuellen Vorlieben verknüpft werden. Im Fall eines Leaks, so Pappel, könnte das sehr negative Konsequenzen für Herrn Meier haben.

Wer Ausweis nicht zeigen will, soll Gesicht scannen lassen

Nicht nur Pappel hat solche Bedenken. Als wir im Dezember 2021 darüber berichteten, sprachen sich etwa die netzpolitischen Sprecher von SPD und Grünen für möglichst datensparsame Alterskontrollen aus. Die netzpolitische Sprecherin der Linksfraktion im Bundestag Anke Domscheit-Berg warnte vor „gigantischen Datenbanken mit personenbezogenen Daten in einem hoch sensiblen Kontext“, was „äußerst gefährlich“ sei.

Medienwächter Eumann zeigte hierzu eine weniger differenzierte Haltung: Das Schutzbedürfnis von Herrn Meier erscheine ihm nicht so groß; er finde den Schutz von Kindern und Jugendlichen wichtiger. Zum Datenschutz von Herrn Meier sagte Eumann: „Das ist mir echt wumpe“. Die Aussage mag verwundern, immerhin sind auch Privatsphäre und Datenschutz Grundrechte. Diskutabel wäre, wie sich diese Grundrechte mit dem Schutzbedürfnis von Kindern und Jugendlichen vereinbaren lassen. Es braucht eine Abwägung und lässt sich nicht als „wumpe“ vom Tisch fegen.

Auf dem Panel zeigte Eumann nicht nur, dass ihm Datenschutz egal ist. Seine Äußerungen legten auch nahe, dass er nicht verstanden hat, was Datenschutz überhaupt bedeutet. Als Alternative zur Ausweiskontrolle lobte Eumann Verfahren zur automatischen Alterserkennung. Seine Behörde stuft sie ausdrücklich als „positiv“ ein. Bei solchen Kontrollsystemen müssen Nutzer*innen ihr Gesicht in die Webcam halten und eine Software berechnet eine Prognose ihres wahrscheinlichen Alters. Wer zu jung aussieht, um einen Porno zu schauen, wird abgewiesen.

Solche Systeme würden „total super laufen“, findet Eumann. Was der Medienwächter dabei unterschlägt: Das eigene Gesicht liefert ähnlich sensible Daten wie der Klarname auf dem Ausweis. Längst demonstrieren biometrische Suchmaschinen wie Clearview AI und PimEyes die Gefahren der massenhaften Erfassung vor Gesichtern. Nutzer*innen müssen sich darauf verlassen, dass die Anbieter solcher Alterskontrollen mit den Daten vorbildlich umgehen und auch nicht gehackt werden. Die Vergangenheit zeigt: Selbst reiche Tech-Riesen wie Facebook haben immer wieder dramatische Datenschutz-Pannen.

Medienwächter vergleicht Pornos mit Alkohol

Eröffnet hat Eumann seinen Auftritt auf der re:publica mit einem Vergleich. Natürlich, so Eumann, würde niemand sein Kind losschicken, um mit dem Ausweis der Mutter beim Supermarkt Alkohol zu kaufen. Auch bekomme das Kind nicht „zur Belohnung“ einen „Schluck aus der Pulle“. Ebenso wenig sollten Jugendliche im Netz Pornos sehen dürfen. Eumann relativierte zwar, dass der Vergleich „hinkt“. Er legte aber nicht offen, inwiefern. Genau das ist aber geboten, denn sonst kann sich ein irreführender Vergleich schnell in Desinformation verwandeln.

Das Problem des Vergleichs: Im Gegensatz zu Alkohol ist Pornografie kein Gift und auch kein Suchtmittel. Selbst wenn Nachrichtenmedien immer wieder von angeblicher „Pornosucht“ berichten: Diese Krankheit existiert so nicht. Laut Weltgesundheitsorganisation kann übermäßiger Pornokonsum allenfalls ein Teil der vielschichtigen „zwanghaften sexuellen Verhaltensstörung“ sein.

Treffender erklärt Porno-Expertin Pappel das Problem: Kinder und Jugendliche müssen lernen, wie sie Pornografie richtig einordnen und ein gesundes Verhältnis dazu entwickeln. Es gehe um Medienkompetenz in Bezug auf Pornografie, kurz: Pornokompetenz. Ähnlich sehen das Medienpädagoginnen, wie wir hier berichtet haben.

Niemand kann Jugendliche vor Pornos schützen

Pappel greift den fragwürdigen Alkohol-Vergleich auf und führt aus: Auch Eltern würden Alkohol zuhause nicht in die Reichweite ihrer Kinder stellen. Entsprechend könnte man auch im Fall von Pornografie Eltern und Hersteller*innen von Geräten in die Verantwortung ziehen, etwa mit Jugendschutz-Filtern.

Solche Filter existieren schon längst, ein Beispiel ist etwa JusProg. Die Filter lassen sich auf dem Gerät von Kindern und Jugendlichen installieren und stoppen automatisch den Zugriff auf eine riesige, aktualisierbare Liste an Pornoseiten. Das einzige, was man von Eltern verlangen müsste, wäre diese Filter einzurichten – und Geräte-Hersteller*innen könnten das einfacher machen.

Netzsperren als Erfolg

Pappel würde sich außerdem wünschen, dass Pornos mit entsprechender Alterskennzeichnung auch bei großen Streaming-Anbietern und öffentlich-rechtlichen Mediatheken verfügbar wären. Als Branchen-Vertreterin möchte sie den Standort Deutschland stärken. Im März war Pappel Regisseurin beim ersten öffentlich-rechtlich produzierten Pornofilm, den das ZDF Magazin Royale veröffentlichte.

Es wäre die Aufgabe des Gesetzgebers, die Gesetze entsprechend zu ändern. Behörden wie die Medienaufsicht sind dafür nicht zuständig, das macht auch Marc Jan Eumann nochmal deutlich. Aber es macht wenig Hoffnung auf Besserung, wenn die Medienaufsicht die Gesetze engstirnig verteidigt. Handfeste Gegenargumente blieb Medienwächter Eumann in der Debatte mit Porno-Expertin Pappel schuldig. Als Reaktion auf Kritik pochte er etwa mehrfach auf das Grundgesetz, das dem Staat eine Schutzpflicht gegenüber Kindern und Jugendlichen zuschreibt – obwohl das Grundgesetz nie infrage gestellt wurde.

Nachfragen aus dem Publikum waren bei der Veranstaltung nicht vorgesehen. Auch der Moderator des Panels hakte an vielen Stellen nicht nach. So blieben viele Behauptungen ohne Widerspruch. Zum Beispiel gab Eumann eine irreführende Erzählung zum Besten, die durchaus als Ablenkungsmanöver gedeutet werden kann. Der Medienwächter lobte seine Behörde für das Vorgehen gegen Pornoseiten, die keine Alterskontrollen einführen. Demnach habe die Medienaufsicht „erfolgreich“ bei Internet-Providern eine Netzsperre gegen eine Pornoseite erwirkt.

Offensichtlich bezog sich Eumann an dieser Stelle auf xHamster, eine der meistbesuchten Pornoseiten Deutschlands. Aber das Wort „erfolgreich“ trifft in diesem Zusammenhang eher weniger zu: Die Netzsperre gegen xHamster im März 2022 hat nicht einmal einen Tag lang gehalten, bis die Seite durch einen simplen, technischen Trick wieder verfügbar war.

Offenlegung: netzpolitik.org-Gründer Markus Beckedahl ist seit 2010 Mitglied des Medienrats der Medienanstalt Berlin-Brandenburg (mabb).

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine Mehrheit von EU-Ländern steht einem Medienbericht zufolge einer möglichen EU-Datenmaut ablehnend gegenüber. Gegenwind für die Idee kommt auch von Regulierungsbehörden, Internetexpert:innen und der Zivilgesellschaft.

Die Idee, große Internetunternehmen wie Google und Facebook für die Nutzung europäischer Leitungen extra zur Kasse zu bitten, stößt bei einer breiten Mehrheit von EU-Ländern offenbar auf wenig Gegenliebe. Bei einem Treffen mit EU-Binnenmarktkommissar Thierry Breton vergangene Woche sollen sich 18 Länder entweder klar gegen den Ansatz ausgesprochen oder nach mehr Untersuchungen über potentielle Auswirkungen verlangt haben. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf anonyme Quellen.

Manche der Länder machen aus ihrer Skepsis kein Geheimnis, darunter Deutschland. So kann das Digitalministerium kein Marktversagen erkennen und sieht entsprechend wenig Handlungsbedarf für einen derart tiefen Eingriff in den europäischen Infrastrukturmarkt. In einer Stellungnahme zu einer kürzlich zu Ende gegangenen EU-Konsultation, die ein mögliches Gesetz vorbereiten soll, warnt das Digitalministerium zudem vor der Gefahr für die Netzneutralität und einer doppelten Belastung für Nutzer:innen. Zuvor hatten sich sowohl Digitalminister Volker Wissing als auch sein Staatssekretär Stefan Schnorr gegen eine solche „Zwangsabgabe“ gestellt.

Ins Spiel gebracht hatten das Modell große Ex-Monopolisten wie die Telekom Deutschland, die französische Orange oder die spanische Telefónica vor rund einem Jahr. Sie beklagen die hohen Ausbaukosten für die europäischen Breitband- und Mobilfunknetze, während sie auf die oft saftigen Jahresgewinne mancher Internetunternehmen schielen. Von diesem Kuchen möchten sie ein Stück abhaben. Einen Fürsprecher für ihre Idee fanden sie in Thierry Breton, seines Zeichens ehemaliger Chef der nun Orange heißenden France Télécom.

Bericht Ende Juni erwartet

Reuters zufolge stehen lediglich zehn EU-Länder hinter dem Ansatz, darunter Frankreich, Italien, Spanien, Ungarn und Griechenland. Vorerst neutral oder ohne endgültige Position sollen derzeit Polen, Portugal und Rumänien dastehen. Offen gegen eine derartige Zugangsgebühr positionieren sich neben Deutschland auch Österreich oder die Niederlande, laut Reuters gesellen sich unter anderem Belgien, Tschechien, Dänemark und Finnland dazu. Der Agentur nach wird Breton Ende Juni einen Bericht vorstellen, der die Konsultation zusammenfassen soll. Ob danach ein konkreter Gesetzesvorschlag folgt, bleibt vorerst offen.

In ihrer Konsultation fragte die EU-Kommission nicht nur eine mögliche Kostenbeteiligung großer IT-Konzerne an den Ausbaukosten, sondern auch generell die Weiterentwicklung des europäischen Telekommunikationssektors ab. Schon im Vorfeld war kritisiert worden, dass die Fragen tendenziös formuliert waren und das Ergebnis quasi vorweggenommen hatten. Dennoch gab es eine rege Beteiligung, mitgemacht haben unter anderem Telekommunikationsunternehmen, Internetfirmen wie Google und Meta, Regulierungsbehörden und zivilgesellschaftliche Gruppen. Nicht alle der Stellungnahmen sind öffentlich verfügbar, doch es lässt sich ablesen, dass der EU-Kommission ein eisiger Wind ins Gesicht bläst.

Regulierer sehen kein Finanzierungsproblem

So macht etwa das Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) in seiner Stellungnahme darauf aufmerksam, dass die europäischen Telekommunikationsmärkte im Großen und Ganzen profitabel seien. Der weitere Ausbau von Infrastruktur könne wie bisher über Anschlussgebühren finanziert werden, im Falle unwirtschaftlicher Gebiete käme punktuelle staatliche Unterstützung in Frage. Zugangsgebühren würden hingegen die Gefahr bergen, Innovation zu hemmen, das Internet-Ökosystem zu beschädigen und negative Folgen für Verbraucher:innen zu haben.

Ebenso klar gegen den Ansatz haben sich zudem dutzende Nichtregierungsorganisationen, Verbraucherschutzverbände und kleinere Netzanbieter positioniert. Kritik kommt auch von Expert:innen wie der Internet Society, dem Standardisierungsgremium Internet Architecture Board oder der Netzneutralitätsexpertin Barbara van Schewick.

Uneingeschränkte Zustimmung kommt hingegen von den Branchenverbänden GSMA und ETNO. Neben einer Marktkonsolidierung und einem weiter ausgebauten EU-Binnenmarkt für Telekommunikationsdienstleistungen wünschen sie sich eine Verhandlungslösung für den Zugang in ihre Netze. Dabei zielen sie vor allem auf „Verursacher großer Datenmengen, die am meisten von Investitionen im Telekommunikationsbereich profitieren, während sie mit ihrem Datenaufkommen eine hohe Kostenlast erzeugen“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Rechtswidrige Zugriffe auf Datenbanken durch Polizist*innen, unachtsamer Umgang mit Gesundheitsdaten und Videoüberwachung. Auch 2022 verzeichneten die Landesdatenschutzbehörden grobe Mängel und Pannen in Bezug auf Datenschutz- und Auskunftsrechte. Ein Blick auf die größten Themen.

Die Polizei verstößt regelmäßig gegen die Datenschutz- und Auskunftsrechte von Bürger*innen. Wie Tätigkeitsberichte mehrerer Landesdatenschutzbehörden zeigen, wurde auch 2022 die Mehrzahl der Ordnungswidrigkeitsverfahren gegen Polizeibeamt*innen eingeleitet. Doch auch in anderen Bereichen verzeichneten die Behörden im letzten Jahr grobe Mängel und Verstöße. Beispielsweise beim Umgang mit sensiblen Gesundheitsdaten und im Bereich der Kamera- und Videoüberwachung. Teilweise verhängten die Behörden hohe Bußgelder.

Die Landesdatenschutzbehörden beraten in Fragen zu Datenschutz und Informationsfreiheit, führen Kontrollen durch, verfolgen Beschwerden und verhängen Bußgelder. Dabei stützen sie sich unter anderem auf die Europäische Datenschutzgrundverordnung (DSGVO). Um ihre Tätigkeiten transparent zu machen, sind sie verpflichtet, einen jährlichen Tätigkeitsbericht zu veröffentlichen. Für das Jahr 2022 hat bislang erst die Hälfte aller deutschen Landesdatenschutzbehörden einen Bericht vorgelegt.

Polizist*innen handeln bei privater Datenabfrage rechtswidrig

Der oft mangelhafte bis rechtswidrige Umgang der Polizei mit personenbezogenen Daten ist auch 2022 trotz Sanktionierungen nicht zurückgegangen, wie mehrere Tätigkeitsberichte zeigen. Datenschutz- und Auskunftsrechte von Bürger*innen wurden mehrfach missachtet oder falsch umgesetzt. Allein in Sachsen standen nach Angaben der Landesdatenschutzbeauftragten Juliane Hundert „in ca. 75 Prozent der Ordnungswidrigkeitsverfahren Bedienstete der sächsischen Polizei im Verdacht, unbefugt personenbezogenen Daten abgerufen und unerlaubt verarbeitet zu haben.“

Polizist*innen dürfen nur aus dienstlichen Zwecken zur Erfüllung einer konkreten Aufgabe auf die Daten zugreifen. Trotzdem missbrauchen Polizeibeamt*innen regelmäßig ihre Zugangsrechte für privat motivierte Datenabrufe, wie der Sächsische (PDF), aber auch die Tätigkeitsberichte aus Berlin (PDF), Baden-Württemberg, Hessen (PDF) und Hamburg offenlegen.

Diese Fälle sind weder selten noch neu. Der Hamburgische Datenschutzbeauftragte Thomas Fuchs schildert, es sei inzwischen „geübte Praxis des HmbBfDI, ohne weitere Zwischenschritte Ordnungswidrigkeitsverfahren einzuleiten.“ Mit Unwissen lässt sich ein solches Verhalten überdies kaum rechtfertigen, wie die scharfe Kritik von Hundert zeigt: „Es wäre im Übrigen lebensfremd und abwegig anzunehmen, dass Polizeibedienstete ernsthaft davon ausgehen könnten, es sei zulässig, sich ohne dienstliche Veranlassung mittels Abfragen in polizeilichen Dateien etwa darüber zu informieren, ob befreundete oder bekannte Personen in polizeilichen Verfahren erfasst sind, nur weil derartige Recherchen in den polizeilichen Datenbanken technisch möglich sind.“

Gravierende Mängel innerhalb der Polizeibehörden

Neben rechtswidrigen Datenabfragen durch Polizeibeamt*innen sehen die Datenschutzbeauftragten noch deutlich mehr Probleme innerhalb der Polizeibehörden. So behinderten beispielsweise „gravierende Mängel bei der Protokollierung der verdeckten Maßnahmen“ die Arbeit der hamburgischen Datenschutzbehörde in einem solchen Ausmaß, dass die Nachvollziehbarkeit der Datenverarbeitung „schlicht nicht vollumfänglich gewährleistet“ werden konnte.

Bei den gesetzlich vorgeschriebenen Prüfungen durch die Datenschutzbehörden wurden vermehrt fehlende, falsche und unzureichende Kennzeichnungen von personenbezogenen Daten festgestellt. Auch gaben mehrere Behörden Daten unerlaubt weiter, verweigerten Betroffenen die Auskunft über zu ihnen erhobene Daten oder informierten diese nicht oder unzureichend über die Speicherung ihrer Daten. Zudem wurden in mehreren Fällen Daten nicht fristgerecht gelöscht.

Die Mängel gehen so weit, dass die Europäische Kommission ein förmliches Vertragsverletzungsverfahren gegen Deutschland eingeleitet hat. Für Polizei, Staatsanwaltschaften, Strafgerichte und den Strafvollzug sollen die Vorgaben der JI-Richtlinie gelten, die – anders als die unmittelbar anwendbare DSGVO – in nationales Recht umgesetzt werden muss. Die JI-Richtlinie aus dem Jahr 2016 hätte bis Mai 2018 vollständig in nationales Recht umgesetzt werden müssen. Die Berliner Datenschutzbeauftragte Kamp warnt in ihrem Bericht: „So droht die Aufsichtsarbeit unserer Behörde stets nur rein politisch verhandelt zu werden, ohne durchsetzbar und justiziabel zu sein.“

Berliner Senatsverwaltung zeigt sich beratungsresistent

Auch bezüglich der Gesundheitsdaten gab es im Jahr 2022 einige Datenpannen. Besonders häufig gab es Pannen bei der Übermittlung von Informationen an Patient*innen, beispielsweise bei Terminerinnerungen und Corona-Testergebnissen. Die Datenschutzbehörden prüften und sanktionierten zudem mehrere Fälle, bei denen zu viele Daten erhoben wurden, unzureichend gesichert waren oder zu spät gelöscht wurden. Obwohl die Datenschutzbeauftragten von einem leichten Rückgang der coronabezogenen Fälle berichten, waren die meisten gesundheitsbezogenen Datenschutzverstöße in diesem Bereich zu verzeichnen.

Gegen ein Berliner Testzentrum wurde beispielsweise ein Bußgeldbescheid erlassen, weil dieses u.a. die Ausweis- bzw. Passnummer, den Impfstatus und die Staatsangehörigkeit bei der Onlineanmeldung für einen Corona-Test als Pflichtangaben erhob. Das sanktionierte Unternehmen entsorgte die rechtswidrigen Anmeldebögen zudem nicht ordnungsgemäß. Kamp berichtet: „Stattdessen wurden ausgefüllte Anmeldebögen – in Müllsäcken gemeinsam mit benutzten Corona-Tests – auf offener Straße gefunden.“ Zudem meldete das Unternehmen diese Datenpanne nicht bei der Behörde.

Berliner Datenschutzbeauftragte Kamp kritisiert in ihrem Bericht auch den Umgang der zuständigen Senatsverwaltung mit Daten von in Impfzentren geimpften Personen. Bei einer Datenpanne konnten Bürger*innen im Nutzer*innenkonto die persönlichen Impfdokumente anderer Personen einsehen. Sie habe wiederholt dazu aufgefordert, „Maßnahmen zu ergreifen, um einen datenschutzkonformen Zustand herzustellen.“ Die Gesundheitsverwaltung sei dieser Aufforderung nicht nachgekommen und habe „stattdessen den Vertrag mit dem Auftragsverarbeiter ohne die datenschutzrechtlich gebotene Anpassung verlängert.“ Auch sei für Kamp nicht ersichtlich, warum die Dokumente überhaupt ins Nutzer*innenkonto hochgeladen wurden.

Rechtswidrige Kameraüberwachung am Arbeitsplatz

Ein weiteres großes wiederkehrendes Thema in den Tätigkeitsberichten war der Umgang mit Kameras, Videoüberwachung und erzwungenen Einwilligungen zur Verarbeitung von Bildmaterial. Laut dem sächsischen Bericht bezogen sich erneut zwei Drittel der Anzeigen auf die Anfertigung von Videoaufnahmen. Besonders im deutschen Straßenverkehr gab es mehrere Verstöße bei der Nutzung von Dashcams durch Privatpersonen und Polizeibeamt*innen. Auch gab es immer wieder Beschwerden zu Autos, in die zur Ermöglichung des autonomen Fahrens und dem Schutz vor Beschädigung oder Diebstahl Videotechnik eingebaut ist.

In Berlin wurden zudem in mehreren Fällen Arbeitsplätze rechtswidrig durch Kameras oder Kameraattrappen überwacht. Datenschutzbeauftragte Kamp erklärt in diesem Zusammenhang, „dass auch Kameraattrappen oder deaktivierte Kameras einen Eingriff in die Privatsphäre darstellen können.“ Die Rechtsprechung sehe aufgrund eines damit verbundenen Überwachungsdrucks einen Eingriff in die Persönlichkeitsrechte der betroffenen Person.

Mehr Bußgelder als in Vorjahren

Mehrere Behörden berichten, in 2022 deutlich mehr Bußgelder als in den Vorjahren verhängt zu haben. Oft hatten die Behörden jedoch nur eine beratende Funktion. In Berlin wurden 1.525 Verfahren eingeleitet, 269 Verwarnungen ausgesprochen und 326 Geldbußen verhängt. Das höchste Bußgeld für 2022 wurde durch die Bremer Landesdatenschutzbehörde (PDF) gegen eine Wohnungsbaugesellschaft erlassen und betrug 1.900.000 Euro.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Plattformkonzerne wie Facebook sollen ihre Datenschätze für Wissenschaftler:innen öffnen und dadurch Forschung zu Themen wie Hassrede und politischer Polarisierung ermöglichen. So will es ein neues EU-Digitalgesetz. Doch Schlüsselfragen sind noch ungeklärt.

Die Studie macht weltweit Schlagzeilen: Twitter, das eine zentrale Plattform für die politische Debatte ist, verstärkt rechte Politiker:innen in einigen Ländern mehr als linke. In Deutschland ist das zwar nicht der Fall, aber laut der 2021 erschienenen Studie hat Twitter in Ländern wie den USA, Frankreich und Spanien bei der Frage, wessen Tweets der Algorithmus von Twitter User:innen öfter zeigt, eine klare rechte Schlagseite.

Datenbasis dafür ist ein Experiment mit mehreren Millionen Twitter-Nutzer:innen, die unterschiedliche Feeds zu Gesicht bekamen. Möglich ist eine solche aufwändige Untersuchung wohl nur deshalb, weil mehrere der Ko-Autor:innen zum Erhebungszeitpunkt bei Twitter arbeiteten. Denn die Technologiekonzerne geben unabhängigen Forscher:innen höchstens widerwillig Datenzugang. Freiwillige Initiativen der Plattformen seien oft sehr eng gefasst und die Zugangsbedingungen unvorhersehbar, klagt die EU-Kommission und die US-Regierung.

Im Gegenteil, die Plattformriesen behindern Wissenschaftler:innen, die Themen wie politische Polarisierung, Desinformation oder Hassrede auf ihren Plattformen beleuchten. Facebook hat sein Analysetool Crowdtangle immer weiter beschränkt, Twitter unter Konzernchef Elon Musk den Datenzugang über Schnittstellen sehr teuer gemacht. Deshalb wäre ein großangelegte Untersuchung, laut der rechte Stimmen im deutschsprachigen Twitter seit 2021 immer lauter werden, künftig nicht mehr möglich, klagen die Autor:innen Luca Hamma und Martina Schories. Und während Google Faktenprüfungen mit Millionenbeträgen unterstützt, kritisieren Faktchecker:innen fehlende Transparenz im Umgang der Konzerntochter YouTube mit Desinformation.

„Wie wenn Ölkonzerne Zugang zu Messwerten kontrollieren“

Daran etwas ändern soll der Digital Services Act der EU. Durch die neue Verordnung müssen 19 große Internet-Plattformen deutlich strengeren Regeln gehorchen als kleinere Internetdienste. Ein Kernpunkt ist die Verpflichtung für die Großen, gegen „systemische Risiken“ vorzugehen. Dazu zählt die Verbreitung illegaler Inhalte wie Kindesmissbrauchsdarstellungen. Ebenso als Gefahr zählt die systematische Verletzung von Grundrechten so wie jene auf Privatsphäre und freie Meinungsäußerung. Auch die großangelegte Manipulation von Nutzer:innen ist ein Risiko, gegen das Plattformen vorgehen müssen.

Tun sie es nicht, drohen Strafen in Milliardenhöhe. Das könnte etwa Twitter treffen, wenn die Plattform systematisch seine Pflicht verletzt, gegen zielgerichtete Desinformation vorzugehen. Das hat Twitter unter Führung von Konzernchef Elon Musk zumindest angedeutet, als es seine freiwillige Teilnahme am EU-Verhaltenskodex gegen Desinformation beendete.

Damit systemische Risiken überhaupt entdeckt werden können, räumt das EU-Gesetz Forscher:innen umfassenden Zugang zu den Daten der großen Plattformen ein. Artikel 40 schreibt fest, dass jedes Land Koordinierungsstellen einrichten muss, die Anträge aus der Forschung prüfen müssen. Sie können dann anordnen, dass Plattformen Zugang zu bestimmten Datensätzen gewähren müssen. Unabhängige Forschung soll zielgerichtete Prüfungen („Audits“) im Auftrag der Kommission ergänzen, die regelmäßig das Risikopotential der Plattformen checken.

Allerdings lässt das Gesetz vieles ungeklärt. Im nächsten Jahr will die EU-Kommission delegierte Rechtsakten vorlegen, die festlegen, welche Daten Forscher:innen beantragen können. Sie sollen auch klären, in welcher Form sie geliefert werden müssen.

Wissenschaftler:innen, die Plattformdaten für ihre Forschung brauchen, fordern einen robusten Datenzugang, der den Spielraum der Plattformen bei der Datenauswahl einschränkt. „Sonst wäre das wie Klimaforschung, bei der die Ölkonzerne den Zugang zu den Messewerten kontrolliert“, sagt Philipp Lorenz-Spreen. Der Wissenschaftler am Max-Planck-Institut für Bildungsforschung in Berlin untersucht Mechanismen, die das Verhalten auf Online-Plattformen bestimmen; es geht um Einstellungen zu Vertrauen, Partizipation und Gruppendynamik. Dafür braucht er Daten der Plattformen, an die er bislang nur schwer herankommt.

Forscher:innen wie Lorenz-Spreen wollen politisch heikle Fragen über die Rolle der Internetkonzerne in den großen politische Ereignissen des vergangenen Jahrzehnts klären. Haben Facebooks Algorithmen und WhatsApp den Massenmord an den Rohingya in Myanmar befeuert? Hat Donald Trump die US-Wahl 2016 mit russischer Hilfe auf Social Media gewonnen? Treiben YouTubes Empfehlungsalgorithmen die Leute in die Arme von Impfskepsis und Verschörungsmythen? Diese Fragen ließen sich mit Daten der Plattformen vermutlich beantworten.

Welche Daten sollen fließen?

Plattformen müssen bald nicht nur Zugang zu historischen Daten, sondern auch zu Daten in Echtzeit einräumen, „soweit dies technisch möglich ist“. So will es der Gesetzestext des Digital Services Act.

Vorher muss die EU-Kommission jedoch klären, wie das passieren kann, ohne Geschäftsgeheimnisse der Plattformen oder den Datenschutz zu verletzen. Keinesfalls soll es ein zweites Cambridge Analytica geben. In der Affäre gaben Forscher:innen private Daten von Millionen Menschen an die dubiose Datenfirma weiter, die diese für zielgerichtete Werbung für Donald Trump und die Pro-Brexit-Kampagne nutzte.

Solchen Bedenken zum Trotz sprechen sich Forscher:innen und NGOs für einen breiten Datenzugang aus. Die Plattformen müssten Forschung dort zulassen, wo sie bislang nur durch Methoden wie Scraping möglich ist. Dabei handelt es sich um eine Form der automatisierten Datensammlung, die gegen die Nutzungsbedingungen vieler Plattformen verstößt. Daten, die Forscher:innen heute mühsam auf eigene Faust sammeln, müssten von den Plattformen verfügbar gemacht werden, fordert die Stiftung Neue Verantwortung. Ähnlich äußern sich auch andere Stellungnahmen in einem Konsultationsverfahren der EU-Kommission.

Schutzmaßnahmen sollen einen hohen Datenschutzstandard auch dann sicherstellen, wenn millionenfach persönliche Daten im Spiel sind. In Hochrisikofällen könnten die Plattformen „virtuelle Reinräume“ einrichten, die Forscher:innen unter strengen Auflagen Zugang zu nicht-öffentlichen Daten geben sollen. Diesen Vorschlag erarbeiteten Expert:innen aus Wissenschaft, Zivilgesellschaft und Plattformen im Rahmen des European Digital Media Observatory. Ihr Bericht behandelt im Detail die Frage, wie der Zugang zu Plattformdaten mit den EU-Datenschutzgesetzen vereinbar gemacht werden kann.

Klären muss die EU-Kommission auch, wer Zugang zu der Datenfülle erhält. Das Gesetz spricht davon, dass Forscher:innen „unabhängig von kommerziellen Interessen“ sein sollen. Sie müssen die Finanzierung ihrer Forschung offenlegen und ihren Antrag auf Datenzugang begründen. Darüber entscheiden soll die Koordinierungsstelle in dem EU-Land, in dem die Forschung stattfindet.

Die Schranke für den Zugang dürfe jedoch nicht auf Wissenschaftler:innen beschränkt werden, fordern Stimmen aus der Zivilgesellschaft. Auch fachkundige NGOs und die Presse sollen gemeinsam mit Forscher:innen mit Plattformdaten arbeiten dürfen. Das fordern Organisationen wie AlgorithmWatch und die Mozilla-Stiftung in einem offenen Brief an die Kommission.

Journalist:innen wären dann in der Lage, Echtzeit-Daten für Berichterstattung über laufende Ereignisse zu nutzen, sagt die philippinische Friedensnobelpreisträgerin Maria Ressa. Datenanalyse könne helfen, Gewalt in der realen Welt vorherzusagen und zu verhindern.

Knappe Ressourcen als Schwachpunkt

Über den Zugang zu den Plattformdaten entscheiden sollen die Koordinierungsstellen der EU-Staaten, unter Beteiligung der Kommission. Expert:innen melden allerdings Bedenken an. Nationale Stellen bräuchten ausreichende Ressourcen, um komplexe Forschungsvorhaben beurteilen und den Plattformen Paroli bieten zu können, wenn diese die Herausgabe von Daten verweigern. Zumindest einige EU-Staaten sollten dafür eigene Forschungseinheiten in ihren Koordinierungsstellen aufbauen, argumentiert Julian Jaursch von der Stiftung Neue Verantwortung.

Um für die Überprüfung der großen Plattformen Kompetenzen aufzubauen, hat die EU-Kommission das Europäische Zentrum für Algorithmentransparenz in Sevilla eingerichtet. Es soll mit Wissenschaftler:innen und der Zivilgesellschaft zusammenarbeiten, um Risiken beim massenhaften Einsatz automatisierter Entscheidungssysteme zu entdecken. Aber reicht das?

Die Plattformen selbst äußern sich zu dem Vorhaben, ihre Datenschätze zugänglich zu machen, eher skeptisch. Wegen Datenschutzbedenken dürfe das Scraping von Daten keinesfalls erlaubt oder begünstigt werden, erklärt TikTok in einer Stellungnahme an die EU-Kommission. Google betont, es müsse in der Frage, in welcher Form es Zugang zu seinen Daten ermögliche, „Flexibilität“ haben. Auch brauche der Konzern ausreichend Zeit, um Anträge aus der Forschung zu prüfen.

Wird die Kommission die Datenhoffnung von Forscher:innen erfüllen oder die Regeln doch eher an den von den Plattformen vorgezeichneten Grenzen orientieren? Viel hänge an dieser heiklen Aufgabe, sagt der Forscher Lorenz-Spreen. Scheitere die Kommission daran, dass „Paradigma der Datenhoheit der Plattformen zu durchbrechen“, dann berge dies die Gefahr, über die gesellschaftlichen Auswirkungen ihrer Macht weiterhin im Dunkeln zu bleiben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn die öffentliche Verwaltung Software entwickelt oder einkauft, sollte sie diese unter freie und offene Lizenzen stellen. Die von der Bundesregierung angestoßene Reform des Vergaberechts bietet jetzt eine gute Gelegenheit, das im Gesetz zu verankern. Für ein echtes Umdenken braucht es aber mehr als eine Gesetzesreform.

Die digitale Verwaltung von Bund, Ländern und Kommunen ist heute abhängig von einzelnen proprietären Software-Anbietern. Dadurch sind öffentliche Stellen gezwungen, alle Bedingungen eines Software-Anbieters zu akzeptieren, zum Beispiel Preissteigerungen oder die Produktgestaltung. Gerade erst im April 2023 hat beispielsweise Microsoft die Preise für Cloudangebote wieder einmal erhöht, nachdem schon 2021 die Ausgaben der Bundesverwaltung für Microsoft-Lizenzen zum ersten Mal 200 Millionen Euro überstiegen.

Proprietäre Software bedeutet, dass die entsprechende Lizenz die Möglichkeiten der Nutzung, Weiter- und Wiederverwendung sowie die Änderung des Quellcodes durch Dritte stark einschränkt. Diese Abhängigkeit verhindert, dass Verwaltungen ihre IT-Architektur selbst gestalten und kontrollieren sowie zwischen verschiedenen Anbietern wechseln können.

Freie und Open Source Software (FOSS) ermöglicht einen Weg aus dieser Abhängigkeit. Denn FOSS-Lizenzen erlauben es prinzipiell allen Menschen, Einblick in den Quellcode zu nehmen, diesen frei und uneingeschränkt zu verwenden, zu verändern und auch in einer veränderten Form wieder weiterzuverbreiten. Die in der Verwaltung eingesetzte FOSS-lizenzierte Software ist dadurch unabhängig überprüfbar, gestaltbar und austauschbar und ermöglicht potenziell ein höheres IT-Sicherheits- sowie Datenschutzniveau.

Die Hürden für FOSS in der Verwaltung

Der Koalitionsvertrag der Ampelregierung formuliert ein klares Ziel: „Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht.“ So würde der Einsatz von FOSS in der Verwaltung dem Prinzip „Public Money, Public Code“ folgen: Öffentlich finanzierte Software muss der Allgemeinheit zur Verfügung stehen, da sie auch von der Allgemeinheit bezahlt wird.

Doch bisher ist FOSS in der Verwaltung weiterhin eher eine Ausnahme als die Regel. Oft scheitern öffentliche Stellen schon daran, dass ihnen unklar ist, wie sie FOSS beauftragen können und dürfen. Das Vergaberecht gibt strenge Regeln dafür vor, wie die Verwaltung Produkte und Dienstleistungen einkaufen muss, meist über Ausschreibungen.

Das ist auch sinnvoll, damit der Staat seine Mittel mit Bedacht verwendet und nicht ausschließlich auf bereits bestehende Anbieter zurückgreift oder einen Auftrag nach beliebigen Kriterien vergibt Doch die komplexen und langwierigen Prozesse und die bisher angelegten Kriterien legen gerade FOSS einige besonders große Steine in den Weg.

Denn FOSS schafft Mehrwerte, die in der etablierten Vergabe meist keine Berücksichtigung finden. Proprietäre Software können naturgemäß nur diejenigen nutzen, die die entsprechende Lizenz einkaufen. Bei FOSS ist das anders: Wenn eine öffentliche Stelle die Entwicklung von FOSS beauftragt oder sogar selbst entwickelt, vergrößert sich damit der Pool an Software, der auch anderen öffentlichen Stellen sowie der Wirtschaft und Gesellschaft allgemein zur Verfügung steht.

Dieser weitreichende positive Effekt auf die Gesellschaft kann von der auftraggebenden Stelle nicht berücksichtigt werden, wenn sie nur Preis und Nutzen für sich selbst bewerten darf. Auch können Behörden FOSS frei anpassen und mit anderen Diensten kombinieren. Das stellt zwar auf dem Papier keinen Mehrwert dar, der für ein FOSS-Angebot den Ausschlag geben kann, doch diese Interoperabilität schafft mehr Möglichkeiten, andere Dienste einzubinden. Und damit insgesamt mehr Gestaltungsfähigkeit für die Verwaltung.

Ein Funken Hoffnung: die Vergabetransformation

Das Bundesministerium für Wirtschaft und Klimaschutz will aktuell das Vergaberecht reformieren, um öffentliche Vergabeverfahren zu vereinfachen, zu professionalisieren, zu digitalisieren und zu beschleunigen. Außerdem soll die Vergabe wirtschaftlich, sozial, ökologisch und innovativ ausgerichtet werden. Über 400 Verbände, Organisationen, Unternehmen und Einzelpersonen haben dazu Stellungnahmen eingereicht. Auch Wikimedia Deutschland und die Open Source Business Alliance erklären dabei, wie FOSS in der Verwaltung auf die Ziele der Vergabereform einzahlt. Diese Reform ist eine ideale Gelegenheit für eine Gesetzesänderung, um es Behörden zu ermöglichen, rechtssicher bevorzugt FOSS zu beschaffen.

Wie genau soll das funktionieren? Ein von der Open Source Business Alliance in Auftrag gegebenes Gutachten zeigt, wie es gehen kannt: Wann immer die Verwaltung Software einkaufen oder entwickeln möchte und die Wahl zwischen zwei oder mehr gleich gut geeigneten Lösungen hat, soll FOSS Vorrang vor proprietärer Software haben. Der Gutachter Prof. Andreas Wiebe schlägt vor, den Vorrang für FOSS im E-Government-Gesetz des Bundes oder in der Vergabeverordnung für öffentliche Aufträge festzulegen. Auf Landesebene haben Thüringen und Schleswig-Holstein mit ihren E-Government-Gesetzen bereits diesen Weg gewählt.

Mehr Kompetenz in den Behörden

Eine Bevorzugung von FOSS ist jedoch nicht das einzige, was es für eine erfolgreiche digitale Transformation in der Verwaltung braucht. Mitarbeitende in Behörden müssen unbedingt lernen, geeignete Software auszuwählen und zu verwenden. In einem Beschluss zur Erarbeitung einer Open-Source-Strategie der sächsischen Landesregierung ist daher auch einer von sechs Punkten „die Förderung der Umgewöhnung und der Akzeptanz der Mitarbeiterinnen und Mitarbeiter der sächsischen Verwaltung in Open-Source-Software.“

Aber auch eine Umgewöhnung reicht noch nicht aus, um beim Einsatz von FOSS in der Verwaltung das volle Potenzial auszuschöpfen. Die Menschen in der Verwaltung müssen verstehen, welche aktuellen Technologien am besten die Anforderungen ihrer Behörde erfüllen. Erst mit einem solchen tiefergehenden Verständnis können sie selbstständig Software vergleichen, sie für ihre Zwecke anpassen, zwischen Anbietern wechseln und informiert FOSS von anderen öffentlichen Stellen einbinden und wiederverwenden.

Der behördliche Kompetenzaufbau ist daher neben der Reform des Vergaberechts die größte Herausforderung für eine effektive Verwaltungsdigitalisierung mit FOSS. Dazu gehört nicht zuletzt auch, dass die Einstellungsbedingungen bei Behörden dringend angepasst werden müssen: Gehälter, geforderte Abschlüsse und sonstige Benefits. Nur so wird es überhaupt attraktiv, als IT-Expert*in in einer Verwaltung zu arbeiten.

Die Bundesregierung hat sich in Koalitionsvertrag und Digitalstrategie zu freier und offener Software bekannt. Jetzt muss sie handeln!

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das iranische Regime versucht, ein abgeschottetes nationales Intranet aufzubauen, damit es das Internet besser abschalten kann. Beim Aufbau dieser Infrastruktur hilft die Firma ArvanCloud, die durch Recherchen von netzpolitik.org, taz und Correctiv international in die Schlagzeilen geriet. Nun belegen auch die USA das Unternehmen mit Sanktionen.

Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat am Freitag das im Iran ansässige Technologieunternehmen „ArvanCloud“ sowie zwei leitende Mitarbeiter der Firma und ein verbundenes Unternehmen mit Sitz in den Vereinigten Arabischen Emiraten „wegen ihrer Rolle bei der Unterstützung der Internetzensur des iranischen Regimes“ mit Sanktionen belegt. Die USA folgen damit dem Schritt, den die Europäische Union schon im November 2022 gegangen ist, etwa drei Wochen nach Veröffentlichung gemeinsamer Recherchen von netzpolitik.org, taz und Correctiv.

In der Pressemitteilung des US-Finanzministeriums heißt es:

Arvan Cloud ist ein wichtiger Partner des iranischen Ministeriums für Informations- und Kommunikationstechnologie bei der Entwicklung des Nationalen Informationsnetzes (NIN), eines landesweiten Intranets, das genutzt wird, um die iranische Bevölkerung vom globalen Internet abzuschneiden. ArvanCloud unterhält enge Beziehungen zu den iranischen Nachrichtendiensten, einschließlich des Ministeriums für Nachrichtendienste und Sicherheit (MOIS), und die Führungskräfte von Arvan Cloud haben weitreichende Verbindungen zu hochrangigen iranischen Regierungsbeamten.

Die Begründung der US-Sanktionen stützt die damaligen investigativen Recherchen. ArvanCloud habe eine wichtige Rolle bei der Entwicklung der NIN-Infrastruktur durch die iranische Regierung gespielt, einer zensierten Version des Internets unter der Kontrolle der iranischen Behörden. Wie in den Recherchen aufgezeigt, habe das Regime während der iranischen Revolte versucht, den inländischen Internetverkehr auf das NIN zu verlagern, um den Verlust von Wirtschaftsaktivitäten in Milliardenhöhe zu verringern, der entstehe, wenn es Internetdrosselungen oder -abschaltungen gäbe.

„Als Web-Hosting-Service und Content-Delivery-Netzwerk hat Arvan Cloud dazu beigetragen, den Grundstein für die integrierte Cloud-Netzwerk-Infrastruktur des NIN zu legen“, sagt das US-Finanzministerium. In Verträgen mit dem Ministerium für Informations- und Kommunikationstechnologie (ICT) habe sich Arvan Cloud ausdrücklich bereit erklärt, Abhördienste für die Regierung bereitzustellen, so dass die iranischen Behörden den ein- und ausgehenden Datenverkehr kontrollieren und zensieren und die Daten auf den Servern überwachen können. Arvan Cloud habe laut dem US-Finanzministerium auch auf Ersuchen des iranischen Ausschusses zur Ermittlung krimineller Inhalte (Committee to Determine Instances of Criminal Content, CDICC) Websites blockiert.

Das Unternehmen ArvanCloud weist, wie auch schon im Oktober 2022, all dies zurück. Das Unternehmen sagt auf Twitter, dass „Cloud-Dienste weder direkt noch indirekt eine Rolle bei der Filterung, Zensur oder Einschränkung spielen können“.

Auch deutsches Unternehmen damals verwickelt

Gemeinsame Recherchen von taz, Correctiv und netzpolitik.org sowie unabhängig davon ein Bericht des Tagesspiegels hatten im Oktober 2022 gezeigt, dass ein deutsches Unternehmen aus Meerbusch in Nordrhein-Westfalen zusammen mit ArvanCloud in den Aufbau eines abgeschotteten Internets im Iran verwickelt war. Das deutsche Unternehmen betrieb zum Zeitpunkt der Recherche und darüber hinaus mehrere Datenzentren in Europa, die bei einer Abschottung des Internets den Betrieb des internen iranischen Netzes hätten gewährleisten können. Im Rahmen dieser Recherche wurde die Rolle von ArvanCloud näher beschrieben und wie ein nationales Intranet als Zensurinstrument funktioniert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Am Montag beginnt in Berlin die diesjährige re:publica-Konferenz. An drei Tagen wird eine Vielzahl netzpolitischer Themen unter dem Motto „CASH“ diskutiert. Wir geben einen kleinen Ausblick auf das Programm.

Die re:publica ist die größte Konferenz für die digitale Gesellschaft in Europa und findet kommende Woche zum 17. Mal in Berlin statt. Unter dem Motto „CASH“ geht es dieses Jahr darum, wie Geld die Gesellschaft und das Klima beeinflusst. Aber auch Themen wie Datenschutz, digitales Recht und KI sind wie gewohnt in vielen Veranstaltungen vertreten.

Wie in den letzten Jahren werden Aufzeichnungen der Bühnen-Vorträge im Anschluss hochgeladen. Nicht online zu bekommen sind hingegen die Expo, Kunstinstallationen, Workshops und das Networking mit Gleichgesinnten.

Wir haben eine Auswahl einiger netzpolitisch relevanter Veranstaltungen hier zusammengetragen. Bei manchen davon sind auch Autor:innen von netzpolitik.org als Sprecher:innen oder Moderation beteiligt. Dies ist natürlich nur ein Bruchteil der Vorträge und Diskussionen, die vollständige Liste findet ihr in der Programmübersicht.

Montag, 5. Juni 2023

11:15 – 12:15 Meredith Whittaker: „AI, Privacy, and the Surveillance Business Model“

13:45 – 14:30 Markus Beckedahl: „Ein besseres Internet ist immer noch möglich“

13:45 – 14:45 Thuy Nga Trinh und Alvar Freude: „Informationeller Kapitalismus: Das Milliardengeschäft mit Daten und Datenschutz als Digitalisierungsschutz“

13:45 – 14:45 Workshop mit Julia Meisner und Linda Schwarz: „Ethische KI – aber wie?“

13:45 – 15:15 Tutorial mit Juliane Chakrabarti, Julia Bauer und Christina Hübers: „Weiblich gelesen und im Netz bedroht – Selbstschutz, digitale Zivilcourage und Moderation für ein Netz ohne Hass“

15:00 – 16:00 Björn Ommer: „Generative KI – schöne neue Welt?“

16:15 – 17:15 Ulf Buermeyer und Marina Weisband: „Zwischen DSA und Digitalem Gewaltschutzgesetz, oder: Was Betroffene von digitaler Gewalt (bislang nicht) bekommen“

17:30 – 18:30 Panel-Diskussion mit Julia Hildebrand, Philip Banse, Ingo Dachwitz und Linda Rath: „Am Tropf der Plattformen – Wie sieht ein werteorientiertes Tech-Stack aus?“

18:00 – 18:30 Helene Hahn und Bijan Moini: „Und täglich grüßt das Murmeltier: Wie der Deutsche Bundestag systematisch die Verfassung verletzt – am Beispiel des BND-Gesetzes“

18:00 – 18:30 Malte Engeler: „Was würde Karl Marx zur Datenschutz-Grundverordnung sagen?“

18:45 – 19:15 Jan Rau und Josefa Francke: „Rechtsextremismus im Internet. Was wissen wir und was können wir tun?“

Dienstag, 6. Juni 2023

10:00 – 10:30 Leonhard Dobusch: „Neues aus dem ZDF Verwaltungsrat“

10:00 – 11:00 Meetup mit Julia Kloiber und Geraldine de Bastion: „Forderungen für eine digital-souveräne Gesellschaft“

10:30 – 11:00 Sina Laubenstein und Benjamin Lück: „5 Schritte zur gerichtlich angeordneten Accountsperre für Betroffene digitaler Gewalt“

11:00 – 12:00 Panel-Diskussion mit Christiane Rohleder, Dirk Freytag, Lina Ehrig, Mario Martini und Ingo Dachwitz: „Einwilligung als „Cash“ Online-Design zwischen Dark Patterns und Verbraucherorientierung“

11:15 – 11:45 Constanze Kurz: „Ausmaß der Enthüllungen: 10 Jahre Snowden“

13:45 – 14:15 Konversation zwischen Markus Beckedahl und Volker Wissing: „Wie gehts der Digitalstrategie?“

13:45 – 14:45 Panel-Diskussion mit Lea Beckmann, Matthias Monroy, Milena Zajovic und Andreas Grünewald: „Tracked, read out, destroyed: smartphones of people on the move in the focus of state authorities“

16:45 – 17:15 Julian Jaursch: „Deutschland sucht den „Digital Services Coordinator“: Wie eine starke Plattformaufsicht aussehen sollte“

17:30 – 18:30 Elina “khaleesi” Eickstädt und Erik Tuchtfeld: „Wer nichts zu verbergen hat, hat nichts zu befürchten: Jahr 1 der politischen Diskussion um die Chatkontrolle“

18:45 – 19:15 Julia Kloiber und Daniel Motaung: „Content Moderation: Exploitation as a Service“

20:00 – 20:30 Sebastian Meineck: „Anonyme Pornos in Gefahr: Was Pornoseiten aus kleinen Nackt-Communitys lernen können“

Mittwoch, 7. Juni 2023

10:00 – 11:00 Panel-Diskussion mit Lea Frühwirth, Rita Jonušaitė, Heather Dannyelle Thompson und Cathleen Berger: „Going forward disinformation will have a price tag, or: What the EU’s Digital Services Act will bring“

11:15 – 11:45 Barbara Wimmer: „9,99 Euro für magische Wichs-Avatare“

11:15 – 12:15 Panel-Diskussion mit Theresa Züger, Aline Blankertz, Chris Piallat und Ingo Dachwitz: „Public interest on my mind. Gemeinwohl für die digitale Gesellschaft“

11:45 – 12:15 Christina Dinar und Fabian Wiedel: „Digital Streetwork – endlich eine Lösung für viele Social-Media-Probleme?“

13:45 – 14:45 Panel-Diskussion mit Misbah Khan, Anna Kassautzki, Bianca Herlo und Elisa Lindinger: „Today is gonna be the day: Auf dem Weg zu einer feministischen Digitalpolitik“

15:00 – 15:30 Daniel Thilo Schroeder, Stefan Brenner: „Die 5G-Apokalypse: Blick auf ein Digital Wildfire und seine Entstehung“

15:30 – 16:00 Kai Dittmann und Sylvia Hartmann: „Weltrettung 2.0: Was wir vom Klimaschutz für die Grundrechte in der digitalen Welt lernen können“

16:15 – 17:15 Miro Dittrich und Josef Holnburger: „Where’s the Money at? Über welche Wege sich Verschwörungsideolog:innen und Rechtsextreme finanzieren.“

16:15 – 17:15 Panel-Diskussion mit Roos Hopman, Franziska Peter, Nora Sagel, Judith Faßbender und Freia Kuper: „Data Care – Who is cleaning, sorting and maintaining data?“

16:45 – 17:15 Panel-Diskussion mit Sandra Wachter, Philipp Hacker und Matthias Spielkamp: „ChatGPT & Co – gepimpte Auto-Vervollständigung oder Code Red für die Gesellschaft?“

17:30 – 18:00 Vanessa Beule und Arne Orgassa: „Polarisierung überwinden: Warum es öffentlich-rechtliche Algorithmen braucht – konkurrenzfähig und Open Source“

Tickets für die re:publica sind noch verfügbar. Ein Ticket ohne Ermäßigung für die drei Tage kostet 299 Euro. Das Programm auf der Hauptbühne (Stage 1) wird darüber hinaus kostenlos auf der Website sowie auf YouTube live gestreamt.

Offenlegung: Die re:publica wurde von Markus Beckedahl mitgegründet, unser Kollege Ingo Dachwitz hat in diesem Jahr ehrenamtlich im Track-Team „Politik und Gesellschaft“ der Veranstaltung mitgewirkt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 22. Kalenderwoche geht zu Ende. Wir haben 9 neue Texte mit insgesamt 74.558 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

einmal die Woche setzen wir uns bei netzpolitik.org zusammen an einen Tisch, um unsere Pläne zu besprechen: Wochenkonferenz. Damit wir nicht einzeln herumwurschteln, einigen wir uns auf gemeinsame Wege und legen Prioritäten fest. Das klappt meist ganz gut, wohl auch, weil wir nicht mehr als 20 Menschen sind. Ziemlich anders ist das offenbar bei der staatlichen Verwaltung.

In einem Text von Daniel ging es diese Woche um den Beirat zur Digitalstrategie. Das 19-köpfige Gremium soll die Bundesregierung bei deren Umsetzung unterstützen. Die Vorsitzende des Vereins LOAD, Ann Cathrin Riedel, sagte: „Im Koalitionsvertrag ist das Ziel festgehalten, dass die Ampel das Silo-Denken zwischen den einzelnen Ministerien überwinden wolle.“ Aber: „Im Beirat merken wir, dass das bisher kein Thema ist.“ Nicht einmal Dateien könnten einfach geteilt werden, man schicke sich per E-Mail Infos zwischen den Ministerien hin und her.

Mit der Digitalstrategie will die Bundesregierung den „umfassenden digitalen Aufbruch“, letzten August wurde sie vorgestellt – mit allerhand Leuchtturmprojekten und Zielen. Und jetzt stockt es schon beim Informationsaustausch? Naja, nicht nur. Die Mitglieder des Gremiums berichten noch von anderen Problemen und wünschen sich zum Beispiel mehr Koordinierung und Steuerung.

„Ich habe nicht den Eindruck, dass wir an einer Digitalstrategie mitwirken“, sagt Beirätin Henriette Litta von der Open Knowledge Foundation, „sondern vielmehr eine To-do-Liste mit ganz unterschiedlichen Aufgaben abarbeiten.“ Das Hauptproblem scheint zu sein: Es fehlt eine Gesamtstrategie. Das wird nichts, wenn alle einzeln vor sich hinwurschteln – im schlimmsten Fall noch in Konkurrenz zueinander.

Einmal die Woche an einen großen Tisch kann man Deutschlands Ministerien und Behörden allerdings kaum setzen, es braucht andere Lösungen. Unsere freie Autorin Esther Menhard hat darüber zu einem ganz ähnlichen Thema mit einem IT-Experten gesprochen, das Interview lest ihr nächste Woche bei netzpolitik.org. So viel sei verraten: Es ist kompliziert, geradezu verwurschtelt.

In diesem Sinne ein unkompliziertes Wochenende euch allen!
anna

PS: Wer am nächsten Donnerstag in Berlin ist und mit uns und Wikimedia Deutschland unsere liebste Online-Enzyklopädie zu netzpolitischen Themen aktualisieren möchte, kann sich hier für einen Edit-a-thon anmelden. Wikipedia-Erfahrung braucht ihr nicht, bringt einfach einen Laptop mit. Wir freuen uns auf euch!

Transparenzbericht März 2023: Unsere Einnahmen und Ausgaben und kein Blog

Langsam steigen die Temperaturen im Mai im Vergleich zum zurückliegenden März. Die Spendenentwicklung bleibt währenddessen stabil – mit einem leichten Aufwind: Nur knapp 200 Euro Unterschied im Vergleich zum Vormonat Februar. Das verdanken wir vor allem euch! Von Stefanie Talaska –
Artikel lesen

Künstliche Intelligenz: „Eines der größten sozialen Experimente aller Zeiten“

Künstliche Intelligenz und andere innovative Technologien entwickeln sich stetig im rasanten Tempo weiter. Was aber braucht es dafür, damit diese Werkzeuge für uns als Gesellschaft wirken? Von Gastbeitrag, Gina Neff –
Artikel lesen

Linksklick: Taschenlampen im dunkelsten Kapitel deutscher Geschichte

In den vergangenen Jahren beginnen Spiele, ihr kollektives Stillschweigen über den Nationalsozialismus zu brechen. Das geschieht allerdings nicht ohne Fehltritte. Von Dom Schott –
Artikel lesen

Direkter Draht zum BKA: Medienaufsicht baut Internet-Überwachung aus

Die deutsche Medienaufsicht erweitert ihr System zur Kontrolle von Online-Inhalten. Nach einer Probephase in Nordrhein-Westfalen soll die Aufsicht nun deutschlandweit verdächtige Inhalte direkt ans Bundeskriminalamt (BKA) melden. Von Sebastian Meineck –
Artikel lesen

Digitalstrategie: Beirat fordert strategische Führung von Minister Wissing

Die Bundesregierung strebt „einen umfassenden digitalen Aufbruch“ für Deutschland an. Unterstützen soll sie dabei ein 19-köpfiger Beirat. Dessen Mitglieder zeigen sich jedoch überaus frustriert. Sie mahnen eine einheitliche Strategie, klare Zuständigkeiten und ministerielle Führung an. Von Daniel Leisegang –
Artikel lesen

Datenschutzgrundverordnung: 300.000 Euro Bußgeld gegen Bank wegen automatisierter Entscheidung

Wenn Banken alleine aufgrund von Algorithmen über ihre Kund:innen entscheiden, dann müssen sie zumindest die Kriterien und Gründe bei einer Ablehnung transparent machen. Sonst kann es ein Bußgeld geben. Von Markus Reuter –
Artikel lesen

Gegen den KI-Hype: Die große Science-Fiction-Show

„Künstliche Intelligenz“ verändert alles und könnte uns vernichten – diese Erzählung zieht gerade Teile der Öffentlichkeit in ihren Bann. Aber der aktuelle KI-Hype ist eine inszenierte Täuschung, die vor allem Geld bringen soll. Ein Kommentar. Von Sebastian Meineck –
Artikel lesen

Interne Dokumente: Juristen und Politiker streiten über Rechtmäßigkeit der Chatkontrolle

Der EU-Rat hält die geplante Chatkontrolle für rechtswidrig, die Kommission widerspricht. Eine politische Entscheidung auf höherer Ebene hat die Ratspräsidentschaft vertagt. Auch die Bundesregierung ist uneinig. Wir veröffentlichen ein Kommissionspapier und ein Verhandlungsprotokoll. Von Andre Meister –
Artikel lesen

DSGVO: Datenschutzbehörde stoppt Speicherung von Supermarkt-Bons in Norwegen

Um soziale Daten zu erheben, wollte die norwegische Statistikbehörde die Lebensmitteleinkäufe aller Einwohner:innen speichern. Diese Datenverarbeitung haben die Datenschutzkontrolleure des Landes nun verboten. Von Markus Reuter –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Um soziale Daten zu erheben, wollte die norwegische Statistikbehörde die Lebensmitteleinkäufe aller Einwohner:innen speichern. Diese Datenverarbeitung haben die Datenschutzkontrolleure des Landes nun verboten.

Die norwegische Datenschutzbehörde Datatilsynet hat die Überwachungspläne des Statistischen Zentralamts (SSB) des skandinavischen Landes gestoppt. Die Statistikbehörde hatte im letzten Jahr angekündigt, dass alle Supermärkte des Landes Kassenbons, auf Norwegisch: „bongdata“, mit allen dort verfügbaren Informationen an sie weiterleiten sollten.

Das Amt wollte aus diesen Daten sozio-ökonomische und regionale Unterschiede im Verbraucherverhalten ermitteln und Rückschlüsse auf Einkommen, Bildungsstand und Wohnort ziehen. Die Pläne hatten damals für Empörung bei Einzelhandel und Datenschützer:innen gesorgt. Bereits im Jahr 2012 hatte das Statistikamt 3.000 norwegische Haushalte dazu aufgefordert, in einem Büchlein aufzulisten, was sie konsumieren. Diese Auswertung wollte das SSB nun mit der Gesamtspeicherung aller Kassenbons ersetzen.

Alle Einkäufe festhalten

In der ersten Prüfung hatte die norwegische Datenschutzbehörde darauf hingewiesen, dass Informationen über fast alle Lebensmitteleinkäufe der gesamten norwegischen Bevölkerung gesammelt und auf unbestimmte Zeit gespeichert würden, ohne dass die betroffenen Personen ihre Rechte ausüben oder dieser Sammlung widersprechen könnten.

Die Datenschutzbehörde stellte fest, dass SSB mehr oder weniger in Echtzeit und mit einem hohen Maß an Genauigkeit umfangreiche Daten über die Lebensmitteleinkäufe jeder Person erhalten würde, einschließlich des Ortes, der Art und des Inhalts der Einkäufe in Geschäften. Im November 2022 erklärten die Datenschützer, dass sie das Projekt verbieten wollten. Daraufhin wehrte sich das Statistikamt.

In der Begründung der Datenschutzbehörde (PDF / englische Übersetzung) heißt es, dass es keine Rolle spiele, dass die Daten angeblich nur für andere Statistiken gesammelt würden. Die Datenschutzbehörde vertrat die Auffassung, dass die Erhebung und Speicherung personenbezogener Daten durch Behörden ein Eingriff in die Privatsphäre an sich ist, der die Grundlage für die Bewertung eines Eingriffs in die Privatsphäre bilden muss.

Datatilsynet entschied folglich, dass die SSB keine ausreichende Rechtsgrundlage für die beabsichtigte Verarbeitung der personenbezogenen Transaktionsdaten hatte, und verbot auf Grundlage von Artikel 58 der DSGVO die Verarbeitung. Die Datenschutzgrundverordnung gilt auch in Norwegen, das selbst kein Mitglied der Europäischen Union ist.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der EU-Rat hält die geplante Chatkontrolle für rechtswidrig, die Kommission widerspricht. Eine politische Entscheidung auf höherer Ebene hat die Ratspräsidentschaft vertagt. Auch die Bundesregierung ist uneinig. Wir veröffentlichen ein Kommissionspapier und ein Verhandlungsprotokoll.

In einem Jahr ist Europawahl. Bis dahin will die EU noch einige Gesetze verabschieden, auch die Verordnung gegen sexuellen Missbrauch von Kindern. Seit einem Jahr verhandeln Parlament und Rat über den Gesetzentwurf der Kommission. Doch der wichtigste Teil – die Chatkontrolle – sorgt weiter für Streit.

Die EU-Staaten verhandeln den Gesetzentwurf im Rat. Obwohl das Gesetz offiziell den Binnenmarkt reguliert, verhandelt die Arbeitsgruppe Strafverfolgung. Am 12. Mai verhandelte diese Arbeitsgruppe wieder ausschließlich die geplante Verordnung. Wir veröffentlichen ein weiteres Mal ein eingestuftes Protokoll der Verhandlungsrunde im Volltext.

Das Gesetz soll Anbieter von Internetdiensten verpflichten, per Anordnung die Inhalte ihrer Nutzer:innen zu durchsuchen und strafbare Kinderpornografie sowie Grooming an ein EU-Zentrum weiterzuleiten. Diese Chatkontrolle ist der Kern des Gesetzes, aber politisch und juristisch stark umstritten.

Die EU-Staaten verhandeln seit einem Jahr in der Arbeitsgruppe, bisher ohne Ergebnis. Ende April hat die schwedische Ratspräsidentschaft angekündigt, den Umfang der Chatkontrolle und den Umgang mit Verschlüsselung auf höherer Ebene zu verhandeln, im Ausschuss der Ständigen Vertreter. Doch diese Verhandlungen wurden „überraschend von der Tagesordnung gestrichen“.

Chatkontrolle verstößt gegen Grundrechte

Hintergrund ist ein Streit der juristischen Dienste von Rat und Kommission. Die Jurist:innen der EU-Staaten haben ein Gutachten erarbeitet, das wir nicht offiziell haben dürfen. Die Rats-Juristen halten das Gesetz für illegal: Die anlasslose Chatkontrolle verstößt gegen die Grundrechtecharta, ist unverhältnismäßig und wird wohl vom Europäischen Gerichtshof wieder gekippt.

In der Arbeitsgruppe verteidigte sich die Kommission. Die Chatkontrolle kontrolliert zwar Kommunikationsinhalte, aber das sei „kein größerer Eingriff als Metadaten“. Die Chatkontrolle beschränkt sich zwar nicht auf potenzielle Straftäter, dafür aber auf „bestimmte Dienste“. Die Chatkontrolle betrifft zwar „eine große Anzahl von Personen“, aber das sei nicht unverhältnismäßig.

Wenige Tage nach der Sitzung hat die EU-Kommission diese Position schriftlich ausgeführt. Wir veröffentlichen ihr 28-seitiges Non-Paper.

Zwei gegensätzliche rechtliche Gutachten

Die Jurist:innen des Rats sind von den Äußerungen der Kommission nicht beeindruckt. Sie werfen der Kommission vor, „juristische und politische Argumente“ zu vermischen.

Die schwedische Ratspräsidentschaft steht vor dem Problem, dass „nun zwei gegensätzliche rechtliche Gutachten auf dem Tisch“ liegen. Da die Arbeitsgruppe hier nicht weiter kommt, sollen die Ständigen Vertreter der EU-Staaten den Streit lösen und sich politisch einigen.

Die Ratspräsidentschaft geht zum Monatsende von Schweden an Spanien. Spanien unterstützt in der Arbeitsgruppe explizit die Position der EU-Kommission. Im April forderte Spanien sogar, „Diensteanbieter gesetzlich daran zu hindern, eine Ende-zu-Ende-Verschlüsselung einzuführen.“

Justizminister gegen Innenministerin

Am Tag der Sitzung hat der deutsche Justizminister Marco Buschmann (FDP) gemeinsam mit Kolleg:innen von Österreich, Schweiz, Luxemburg und Liechtenstein einen Brief an alle Justizminister:innen der EU geschickt, den wir veröffentlicht haben. Die Justizministerien sprechen sich gegen die Chatkontrolle aus, sie begründen ihre Position mit den juristischen Gutachten von Rat und Parlament.

In Brüssel verhandeln aber die Innenministerien. Die waren überrascht über den Brief und sprachen Deutschland darauf an. Die deutschen Verhandler erklärten, „dass es sich dabei um kein innerhalb der deutschen Bundesregierung abgestimmtes Dokument handele“.

Es gibt nur eine abgestimmte Position der Bundesregierung, die haben wir Mitte April veröffentlicht. Demnach ist Deutschland gegen das Scannen verschlüsselter Kommunikation, aber nicht gegen die Überwachung unverschlüsselter Inhalte.

Im weiteren Verlauf der Sitzung verhandelte die Arbeitsgruppe neue Kompromissvorschläge der Ratspräsidentschaft, vor allem die Kapitel zum neuen EU-Zentrum und Bestimmungen zur Durchführung und Durchsetzung der Verordnung.

Zu diesen Punkten sagt die gemeinsame Position der Bundesregierung nichts. Das Innenministerium von Nancy Faeser (SPD) verhandelt das Gesetz für Deutschland, während Justizminister Buschmann öffentlich widerspricht.

Hier das Dokument in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 17. Mai 2023
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJ, BMWK, BMDV, BMFSFJ, BKAmt, BMF
• Betreff: Sitzung der RAG Strafverfolgung am 12. Mai 2023
• Hier: Entwurf der CSA–VO
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80/4

Sitzung der RAG Strafverfolgung am 12. Mai 2023

I. Zusammenfassung und Wertung

Die Sitzung befasste sich ausschließlich mit dem Entwurf der CSA–VO. Grundlage der Beratungen waren die Kompromissvorschläge des Vorsitzes in Dok. 8845/2023. Während der Sitzung kündigte Vorsitz überraschend an, die ursprünglich für den 17. Mai 2023 vorgesehene AStV-Befassung zu verschieben. Ein neuer Termin für die Behandlung des Dossiers im AStV wurde nicht genannt.

II. Im Einzelnen

TOP 1: Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse

Zu Beginn der Sitzung kündigte Vorsitz zunächst eine AStV-Befassung mit den in der VO vorgesehenen Aufdeckungsanordnungen am 17. Mai 2023 an. Auf DEU Nachfrage führte Vorsitz aus, der weitere Zeitplan der SWE Sitzung hänge von den Ergebnissen des AStV ab. Im Verlauf der Sitzung teilte Vorsitz dann allerdings überraschend mit, dass die geplante AStV-Befassung am 17. Mai von der Tagesordnung gestrichen werde. Eine AStV-Befassung solle auch auf Grundlage einer schriftlichen Reaktion von JD–KOM auf Stellungnahme JD-Rat erfolgen. Die Stellungnahme von JD–KOM liege noch nicht vor. Ein neuer Termin für eine AStV-Befassung könne durch Vorsitz noch nicht mitgeteilt werden.

JD–KOM nahm mündlich zur Stellungnahme von JD-Rat vom 26. April 2023 Stellung. JD–KOM widerspreche der Bewertung von JD-Rat in wesentlichen Punkten, man sei aber an konstruktivem Vorgehen interessiert.

JD–KOM führte aus, der VO–E enthalte zwar unbestimmte Rechtsbegriffe, damit befinde er sich in Übereinstimmung mit EuGH case law. EuGH habe festgestellt, dass mit Blick auf die wirtschaftliche Freiheit der betroffenen Unternehmen innerhalb gesetzlicher Grenzen ein gewisser Ermessensspielraum zulässig, teilweise sogar erforderlich sei. Ähnliche Regelungen seien jüngst auch im DSA verabschiedet worden. Die Aufdeckungspraxis gem. CSA–VO werde von sehr enger behördlicher bzw. justizieller Aufsicht begleitet. Maßgeblich sei ein angemessener Ausgleich zwischen allen betroffenen Grundrechten. Artikel 52 biete hierfür die Grundlage. KOM betonte, dass der Inhalt der Daten bereits die Straftat darstelle. Es bedürfe zur wirksamen Bekämpfung dieser Onlinestraftat letztlich auch der Kenntnis der Inhalte. Der EuGH habe – anders als durch JD-Rat suggeriert – nicht immer in dem Sinne abgestuft, dass Inhaltsdaten einen größeren Eingriff als Metadaten darstellen würden. Das von JD-Rat zugrunde gelegte case law sei aus KOM Sicht in seinen Grundsätzen heranzuziehen, stelle allerdings keine abschließende Bewertungsgrundlage dar. KOM verwies auch auf laufende Verfahren vor dem EuGH. Die durch KOM vorgeschlagenen Aufdeckungsanordnungen seien differenziert und abgestuft konzipiert: Anordnung adressierten ausschließlich bestimmte Dienste. Gerichte könnten Anordnungen nur nach einer umfassenden Prüfung aller betroffenen Grundrechte erlassen. Der Anordnungsprozess sei risikobasiert und insofern spezifisch, als dass es ausschließlich um bestimmte schwerer Straftaten gehe. Die CSA–VO könne – in Übereinstimmung mit EuGH-Rechtsprechung – ggf. eine große Anzahl von Personen betreffen. Alleine die mögliche Betroffenheit Vieler mache eine Verordnung allerdings nicht unverhältnismäßig. Der EuGH habe bereits entschieden, dass eine objektive Verbindung, wie eine geografische Beschränkung (bspw. hohe Anzahl an Besuchern) reichen könne. CSA–VO sehe gerade keine anlasslose Schaffung eines großen Datenpools (im Sinne einer Vorratsdatenspeicherung) vor. Vielmehr seien gezielte Verpflichtungen vorgesehen. Im Rahmen der Verhältnismäßigkeitsprüfung seien die konkreten Maßnahmen mit den betroffenen Rechtsgütern in Verhältnis zu setze. Der EuGH habe festgestellt, dass zur Bekämpfung schwerer Straftaten auch grundrechtsinvasive Maßnahmen zulässig sein könnten. JD-Rat habe dies bei seinen Bewertungen außer Acht gelassen. JD-Rat habe die vorgesehenen Schutzvorkehrungen bei seiner Bewertung vollständig außer Acht gelassen. KOM bleibe bei der Verhältnismäßigkeit der vorgesehenen Maßnahmen. JD–KOM kündigte an, Ausführungen auch schriftlich zu übermitteln.

JD-Rat stellte fest, dass durch JD–KOM juristische und politische Argumente vermischt würden. Auf Nachfrage entgegnete JD-Rat, man könne nicht spontan allein auf Grundlage der mündlichen Stellungnahme ausführen, welches der vorgetragenen KOM Argumente ein politisches Argument sei. IRL dankte JD-Rat für die Übermittlung seiner Stellungnahme, es wäre aus IRL Sicht allerdings wünschenswert gewesen, diese bereits zu einem früheren Zeitpunkt zu übermitteln, schließlich sei der VO–E vor rund einem Jahr veröffentlicht worden. Inhaltlich unterstützten IRL und ESP die KOM Ausführungen. PRT stellte fest, dass JD–KOM hilfreiche, konstruktive Hinweise zur Bekämpfung von CSA gegeben hätte, anders als JD-Rat, der einen konstruktiven Ansatz habe vermissen lassen. DEU trug weisungsgemäß vor. Vorsitz erwiderte auf DEU Nachfrage zum geplanten weiteren Vorgehen betreffend Artikel 7-11, dass nun zwei gegensätzliche rechtliche Gutachten auf dem Tisch lägen. Die Behandlung im AStV verfolge das Ziel, diese Fragen zu behandeln. Ausgehend vom politischen Ergebnis im AStV werde Vorsitz das Vorgehen in seiner weiteren Präsidentschaft planen. [Anmerkung der Verfasser: Aussage erfolgte vor Ankündigung der Verschiebung der AStV-Debatte.]

Artikel 26:

FRA kritisierte die in Fn. 25 vorgeschlagene „Independence“, besser sei der Begriff „Autonomie“. Wichtig sei es, keine Differenzierung zwischen Staatsanwaltschaft und Gerichten einzuführen. KOM erläuterte, dass im KOM-Entwurf die Koordinierungsbehörden vollständig unabhängig vorgesehen worden seien. In der Logik, die sich aus den Ratsverhandlungen ergeben habe, sei jedenfalls das Unabhängigkeitsniveau der TCO–VO zu wahren. MS seien nun frei, jede Behörde als Koordinierungsbehörde zu benennen – mit Ausnahmen von Justizbehörden. Dies sei auch angebracht, da Koordinierungsbehörden administrative Aufgaben wahrnehmen, die regelmäßig durch Gerichte überprüft würden. Damit Justizbehörden nicht als weitere Safeguards entfielen, seien sie gesondert zu betrachten. BEL stimmte den vorgeschlagenen Änderungen im Wesentlichen zu. Die Unterscheidung zwischen Gerichten und Staatsanwaltschaften fände auf nationaler Ebene statt. Aus CZE-Sicht sollten auch Gerichte, insbesondere Verwaltungsgerichte, zuständige Behörden sein können. Aus PRT Sicht seien eindeutige Regelungen im verfügenden Teil erforderlich. DEU trug weisungsgemäß vor.

Artikel 36:

Vorsitz führte aus, KOM habe sich deutlich für eine Prüfung der Inhalte, die in die Datenbank aufgenommen werden, durch die Justiz ausgesprochen. Eine Mehrzahl der MS habe sich für hohe Datenqualität, nicht jedoch zwingend für eine justizielle Prüfung ausgesprochen. KOM bestätigte, dass Artikel 36 aus KOM Sicht große Bedeutung beikomme. Es gelte, die Illegalität der Inhalte zweifelsfrei zu bestätigen. KOM wiederholte, dass die Validierung der Inhalte durch nationale Strafverfolgungsbehörden unter justizieller Aufsicht stattfinden sollte. Die Umsetzung obliege den MS. Eine weitere Spezifizierung der Abläufe im VO-Text sei nicht anzustreben. FRA unterstützte KOM Ausführungen sowie die vorgeschlagenen Änderungen in Artikel 36 Absatz 1. Dem neu eingefügten Absatz 1a widersprachen FRA und IRL. Es sei nicht erforderlich, dass die Prüfung unter Einbeziehung der Koordinierungsbehörde stattfinde. Es sei nicht nachvollziehbar, die Inhalte auch in die Koordinierungsbehörden zu übermitteln, dies führe zu einer erneuten Viktimisierung. CZE regte an, der Koordinierungsbehörde nicht alle Informationen zur Verfügung zu stellen. KOM erläuterte, dass die Koordinierungsbehörden als Schnittstelle zwischen zuständigen Behörden und EU-Zentrum vorgesehen seien. DEU trug weisungsgemäß vor. IRL unterstütze KOM ebenfalls grundsätzlich, es bedürfe allerdings gewisser Anpassungen an nationale IRL Vorgaben.

DNK unterstützte den VO–E grundsätzlich. Es seien an einigen Stellen straffere Prozesse erforderlich. Auch mit Blick auf Artikel 36 sei zu verhindern, dass zu aufwändige Verfahren etabliert würden; Flexibilität für die MS sei zu begrüßen. PRT bat um Konkretisierung der vorgesehenen Abläufe. AUT fragte wie lange Daten von Verdachtsmeldungen im EU-Zentrum gespeichert würden. Vorsitz erwiderte, dass Speicherfristen im Rahmen der Debatte zum EU-Zentrum behandelt werden sollten.

Artikel 13:

ITA und BEL begrüßten Ergänzung von „including on a voluntary basis“ in Absatz 1 lit. i grundsätzlich. DEU trug weisungsgemäß zu Artikel 13 Abs. 1a vor. Vorsitz erwiderte auf DEU Vortrag, dass es in anderen Rechtsakten sicherlich bereits hinreichende Definitionen gebe, die für die Zwecke der CSA–VO herangezogen werden könnten. PRT begrüßte die vorgeschlagenen Änderungen grundsätzlich. Vorsitz stellte fest, dass man mit Artikel 13 weit vorangekommen sei.

Artikel 14:

DNK wies auf nationale Bedarfe hin, Norm weiter anzupassen. DNK und FRA fragten, was „disseminated to the public” praktisch bedeute. Vorsitz erläuterte, es gelte grundsätzlich die Erklärung in EG 14 TCO–VO. Im Rahmen der CSA–VO sei ggf. zusätzlich eine weitere Definition erforderlich für Inhalte, die nur einem kleinen Personenkreis bekannt würden. HUN regte an, stattdessen die Formulierung „zugänglich für andere“ zu verwenden. PRT äußerte Zweifel an der Ergänzung von „disseminated to the public“. Eine klare Abgrenzung zwischen nationalen und grenzüberschreitenden Sachverhalten sei erforderlich. DEU dankte für erste Erläuterung und trug auch im Übrigen weisungsgemäß vor. Auf DEU Fragen erläuterte Vorsitz, das „diligent assessment“ werde von der zuständigen Behörde vorgenommen. Die Frage nach „disable access“ sei u.a. bereits im Zusammenhang mit Artikel 27 DSA verhandelt worden. KOM erläuterte, dass Sperranordnungen Internetzugangsanbieter adressierten, Anordnungen zur Entfernung bzw. „disable access“ adressierten dagegen Hostingdienstanbieter. FRA begrüßte die Ergänzung des Absatz 1a sowie des in Fn. 12 angeregten EG. NLD begrüßte die vorgenommenen Änderungen grundsätzlich. ESP bat KOM um Erläuterung der Reichweite der Entfernungsanordnungen gem. Absatz 1. KOM erläuterte, dass die Regelung der Entfernungsanordnungen in Anlehnung an die Regelungen der TCO–VO konzipiert worden seien. Die Ergänzung von „disseminated to the public“ scheine nun in die gleiche Richtung zu gehen. KOM stimmte Vorsitz zu, für Inhalte, die nicht in öffentlich zugänglichen Diensten verbreitet werden, müsse eine zusätzliche Regelung gefunden werden.

Artikel 14a:

Aus FRA Sicht stellten sich Streichungen als kritisch dar.

Artikel 16:

BEL fragte, weshalb im letzten Satz in Absatz 1 UAbs. 1 von „may“ die Rede sei, besser sei die Formulierung „shall“. Vorsitz erläuterte auf Nachfrage, dass die Änderungen auch auf Anpassungen bei Artikel 14 zurück zu führen seien. HUN sprach sich für die Streichung von Absatz 7 aus. FRA wiederholte, die vorgesehene Höchstfrist von 5 Jahren sei nicht nachvollziehbar. Wenn der Inhalt auch nach 5 Jahren noch nicht entfernt worden sei, sollte der Inhalt weiterhin gesperrt bleiben. Vorsitz erläuterte, dass eine zeitliche Begrenzung seitens JD-Rat empfohlen werde.

Artikel 18a:

Vorsitz erläuterte, die Änderungen seien in Anpassung mit Artikel 18 und den Regelungen des EU-Zentrums vorgenommen worden. Die Liste des EU-Zentrums solle auch für Artikel 18a herangezogen werden.

FRA plädierte dafür, den territorialen Anwendungsbereich (grenzüberschreitende Anordnungen) klarzustellen. Vorsitz kündigte an, dies noch näher zu diskutieren.

Artikel 22:

Vorsitz wies darauf hin, dass Fn. 19 noch aktuell sei. FRA plädierte dafür, die Formulierung „shall preserve the content data and other data processed necessary to the measures taken to comply with this Regulation“ zu verwenden. DEU trug weisungsgemäß vor. Auch AUT plädierte für starke Datenschutzvorschriften.

Artikel 25:

HUN unterstützte den in Fn. 20 vorgeschlagenen EG und forderte im Übrigen, die Frist für die Benennung der Behörden zu verlängern und die Formulierung „supervision“ zu streichen. FRA begrüßte den letzten Satz in Fn. 20. DEU trug weisungsgemäß vor.

Vorsitz wies darauf hin, dass NLD einen schriftlichen Textvorschlag zu Artikel 27 vorgelegt habe. Dieser wurde aber aufgrund der fortgeschrittenen Zeit nicht diskutiert. PRT erläuterte seinen schriftlichen Textvorschlag zu Artikel 89.

POL wies auf ein non paper zur CSA–VO hin, das vom dortigen Ministerium für digitale Angelegenheiten am 11. Mai 2023 während der D9+ Treffens in Poznań präsentiert worden sei. Das Dokument stamme ausschließlich von POL, andere MS seien daran nicht beteiligt gewesen. Bei dem Treffen habe aber keine substantielle Diskussion des non papers stattgefunden und es sei auch in keiner Weise „indossiert“ worden.

Nachdem DEU Delegation vom Vorsitz und diversen anderen MS auf einen gemeinsamen Brief der Justizminister*innen von DEU, AUT, LUX, LIE und CHE vom 12. Mai 2023 angesprochen worden war, erläuterte DEU, dass es sich dabei um kein innerhalb der DEU Bundesregierung abgestimmtes Dokument handele. Das Schreiben sei aus einem Treffen der Justizminister*innen von 3 MS und 2 COMIX-Staaten hervorgegangen. Die in der DEU Bundesregierung abgestimmte Position zur CSA–VO ergebe sich aus der schriftlichen DEU Stellungnahme, die den Delegationen am 13. April 2023 übermittelt worden und im Del-Portal eingestellt sei (Dok. 8268/23).

Vorsitz kündigte eine zusätzliche zweitägige Sitzung am 25. und 26. Mai 2023 an. Vorsitz plane, die Diskussion mit Artikel 27 fortzusetzen. Die genaue Tagesordnung werde rechtzeitig bekannt gegeben.

TOP 2: AOB

Keine Beiträge der Delegationen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.