Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen kam es mehrfach zu Vorfällen, bei denen die Pressefreiheit eingeschränkt wurde. Betroffen waren Reporter:innen der taz und von freien Radiosendern.

Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen ist es an mehreren Stellen zu Einschränkungen der Pressefreiheit, Behinderung der Arbeit von Pressevertretern und einem Angriff auf einen Journalisten gekommen. Während der Fall des Springer-Reporters Paul Ronzheimer, den Demonstrierende aggressiv bedrängten und beschimpften, vielfach berichtet wurde, bleiben Einschränkungen der Pressefreiheit durch Polizeibeamte bislang eher unterberichtet.

So berichtete unter anderem die taz, dass ein Reporter der Zeitung von der Polizei aktiv bei der Arbeit behindert wurde. In einem Video auf Bluesky sieht man, wie sich ein Polizist immer wieder vor den filmenden Reporter stellt und diesem die Sicht versperren will. Auch darf der Reporter nicht näher an die Sitzblockade und die Polizeimaßnahme heran. Eigentlich muss die Polizei die Arbeit der Presse unterstützen und diese auch an Absperrungen vorbei lassen.

Auch der Bundesverband Freier Radios beklagt in einer Pressemitteilung Einschränkungen der Pressefreiheit. Die freien Radiosender hatten in einer gemeinsamen Aktion live aus Gießen gesendet. Während der Proteste seien „fast alle Radioredakteur*innen in ihrer Pressearbeit behindert“ worden, heißt es in der Pressemitteilung.

Trotz Presseausweis nicht durchgelassen

So hätten Einsatzkräfte Presseausweise und Auftragsbestätigungen ignoriert, den Zugang zu wesentlichen Orten des Geschehens erschwert oder gar verhindert. „Im Ergebnis war eine Berichterstattung von bestimmten polizeilichen Maßnahmen unmöglich“, so der Verband.

„Dass Journalist*innen durch die Polizei von der Berichterstattung über Räumungen von Sitzblockaden gehindert werden, ist eine massive Verletzung der Freiheit der Berichterstattung“, schreibt Aljoscha Hartmann aus dem Vorstand des Bundesverbandes Freier Radios. Der Verband berichtet, dass die Polizei einen Journalisten von Radio Corax aus Halle nicht in die Nähe der Räumung einer Sitzblockade gelassen habe – obwohl dieser einen Presseausweis und eine Auftragsbestätigung seines Mediums dabei hatte.

Roman Kalex vom Vorstand des Bundesverbands Freier Radios fordert einen professionellen Umgang der Polizei mit der Presse und keine willkürlichen Einschränkungen. „Anders kann sich die Öffentlichkeit kein eigenes Bild machen über die Verhältnismäßigkeit von Polizeimaßnahmen und auch die Absichten und das Handeln von Demonstrierenden“, so Kalex weiter.

Einschränkungen erlebten auch die Journalist:innen, die aus den Messehallen über die AfD-Veranstaltung berichtet haben. Dort hatte die AfD den Pressebereich laut Ann-Katrin Müller aus dem Spiegel-Hauptstadtbüro mit Bändern eingezäunt, so dass sie sich nicht zwischen den Delegierten bewegen konnten. Ein Wachmann der rechtsradikalen Partei hätte die Journalistin zudem angemeckert, weil sie Fotos gemacht habe.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Zwar hat ein deutsches Verwaltungsgericht die verhängten Netzsperren gegen Pornhub gekippt. Dennoch will die Plattform anscheinend Alterskontrollen in der EU einführen, wie der Konzern auf Anfrage von netzpolitik.org mitteilt. Hinter dem möglichen Kurswechsel steckt eine Strategie.

Lange hat sich Pornhub in Deutschland dagegen gewehrt, das Alter seiner Nutzer*innen zu kontrollieren. Pornhub ist eine der weltgrößten Pornoseiten und zugleich eine der meistbesuchten Websites. Im Namen des Jugendschutzes soll Pornhub etwa die Ausweise aller Besucher*innen prüfen, um Minderjährige fernzuhalten. In Deutschland setzt sich die Medienaufsicht dafür ein. Während sich die Pornoseite seit Jahren vor deutschen Gerichten gegen die Regulierungsbehörde stemmt, kündigt Mutterkonzern Aylo nun einen Kurswechsel an.

„Aylo ist einer der ersten Teilnehmer am Pilotprogramm der Europäischen Kommission zur Einführung der Altersverifikation über die europäische Altersverifikations-App“, schreibt ein Sprecher auf Anfrage von netzpolitik.org.

Die EU ist ein weiterer Player bei der Durchsetzung von Jugendschutz im Netz – und ein größerer als die deutsche Medienaufsicht. Aktuell arbeitet die EU-Kommission an einer App zur Alterskontrolle. Diese App können altersbeschränkte Dienste wie etwa Pornoseiten vorschieben, um ihre Besucher*innen zu filtern. Schon jetzt testen das fünf Mitgliedstaten. Künftig sollen die Funktionen der App in der digitalen Brieftasche (European Identity Wallet, EUDI) aufgehen, die laut Plan im Jahr 2026 kommen soll.

Widersprüchliche Signale von Pornhub-Mutter Aylo

Warum bekennt sich Pornhub plötzlich zum Einsatz dieser Alterskontroll-App – sogar als einer der ersten? Auf Anfrage teilt der Konzern mit, sich schon seit Jahren für effektive und durchsetzbare Alterskontrollen eingesetzt zu haben. „Wir alle wollen die Sicherheit von Minderjährigen im Internet gewährleisten, und wir alle tragen gemeinsam die Verantwortung dafür“, so ein Sprecher auf Englisch.

Noch vor einem Jahr führte die Argumentation von Pornhub allerdings in eine andere Richtung. In ihrem ersten Interview mit einem deutschsprachigen Medium sagte Alex Kekesi, Leiterin für Community- und Markenmanagement bei Pornhub, damals gegenüber netzpolitik.org: Wenn Websites des Alter von Nutzer*innen kontrollieren, berge das „reale Gefahren“. Konkret sagte sie:

Wie viele Websites für Erwachsene gibt es weltweit? Vermutlich Hunderttausende, wenn nicht Millionen. Wie soll eine Regierung all diese Seiten überwachen können? Es ist schlicht unmöglich, überall das Alter zu kontrollieren. Bei Kontrollen auf Website-Ebene werden gerade große Plattformen zur Zielscheibe, weil sie dann gesperrt werden oder schwerer zugänglich sind. Das treibt das Publikum zu kleineren Websites, die oft nicht einmal ihre Inhalte prüfen und sich an keine Altersvorgaben halten.

Stattdessen plädierte die Pornhub-Managerin für Kontrollen auf Ebene von Betriebssystemen. Demnach sollte das Alter direkt bei der Einrichtung eines Geräts geprüft werden. Nun scheint es, dass Pornhub doch klein beigibt und sich den Anforderungen der EU-Kommission beugen will.

Mit Sicherheit sagen lässt sich das derzeit aber nicht. Denn auf konkrete Rückfragen zu den geplanten Alterskontrollen reagierten sowohl die EU-Kommission als auch Aylo nebulös.

„Es gab Aufrufe, Pornos zu verbieten“

Die Pressestelle der EU-Kommission konnte auf Anfrage von netzpolitik.org zunächst nichts Näheres dazu sagen, ob Pornhub überhaupt Teil eines „Pilotprogramms“ ist. Wenn wir eine weitere Antwort erhalten, werden wir den Artikel ergänzen.

Alyo wiederum möchte auf Nachfrage nicht näher benennen, wann genau Pornhub die Alterskontroll-App für EU-Nutzer*innen einführen will. Einerseits schreibt der Sprecher: „Wir sind entschlossen, in allen Ländern, in denen wir geschäftlich tätig sind, stets die gesetzlichen Vorgaben einzuhalten.“ Das deutet auf eine zeitnahe Einführung der Alterskontrollen hin.

Andererseits schreibt der Sprecher: „Wir glauben, dass eine solche Lösung wirksam sein kann, wenn sie branchenweit eingesetzt wird.“ Zudem müsse die Abwanderung von Nutzer*innen zu anderen Websites verhindert werden. Das deutet darauf hin, dass Pornhub den Einsatz der App an Bedingungen knüpft – die auf absehbare Zeit nicht eintreten. Denn technisch lässt sich nicht zuverlässig verhindern, dass Menschen genervt eine Seite ohne Alterskontrollen ansteuern.

Strategie: Testballon

Die Widersprüche ergeben mehr Sinn, wenn man die zugrundeliegende Strategie der Plattform betrachtet. Während Regierungen weltweit den Druck auf Pornoseiten erhöhen, erprobt Pornhub je nach Land verschiedene Reaktionen – wohl um herauszufinden, was dem Konzern am meisten nutzt. Pornhubs Reaktionen lassen sich mit Testballons vergleichen.

• In einigen Bundesstaaten der USA hat Pornhub selbst den Zugriff auf die Seite blockiert. Statt sich den dortigen Gesetzen für Alterskontrollen zu beugen, hat Pornhub den Einbruch von Klicks in Kauf genommen.
• Im Juni 2025 hat Pornhub dasselbe in Frankreich getan und den Zugang für dortige Nutzer*innen blockiert. „Website-basierte Altersüberprüfung funktioniert nicht. Es schützt keine Kinder und setzt die Daten von Millionen Franzosen Datenschutzverletzungen und Hacking aus“, warnte der Konzern auf Englisch und plädierte einmal mehr für Alterskontrollen auf Ebene von Betriebssystemen. „Ihre Regierung wird Ihnen diesbezüglich nicht die Wahrheit sagen, aber wir werden es tun.“
• In Großbritannien wiederum hat Pornhub im Sommer 2025 Alterskontrollen eingeführt, wie es der dortige Online Safety Act verlangt.

Warum also zeigt sich Pornhub neuerdings offen für Alterskontrollen in der EU? Ein Faktor könnte sein, dass Brüssel ein weiteres Druckmittel in der Hand hat. Dort hat die EU-Kommission Pornhub nämlich als „sehr große Plattform“ (VLOP) nach dem Gesetz über digitale Dienste (DSA) eingestuft. Diesen Status haben nur die größten Online-Dienste in der EU. Er geht mit erweiterten Pflichten einher. Betroffene Dienste müssen besonders transparent sein und verstärkt Risiken eindämmen, auch für Minderjährige. Andernfalls drohen Geldbußen. Pornhub wehrt sich gegen die Einstufung als VLOP und beruft sich auf angeblich gesunkene Nutzungszahlen.

Ein weiterer Faktor dürfte sein, dass die geplante Alterskontroll-App der EU zumindest ein Stück weit den Anforderungen von Pornhub entgegenkommt. Zwar bringt die App keine Alterskontrolle auf Ebene des Betriebssystems, wie es der Konzern oftmals gefordert hat. Aber die App verspricht – je nach konkreter Ausgestaltung – Datensparsamkeit. Das könnte verhindern, dass zahlreiche externe Anbieter sensible Ausweisdaten horten, wie es Gutachter*innen jüngst in Australien beobachtet haben.

EU-Kommission gibt klares Jein zu Alterskontrollen

Verwaltungsgericht Düsseldorf kippt Netzsperren

Im Ringen zwischen Pornhub und EU-Kommission ist das letzte Wort also noch lange nicht gesprochen. Zumindest in Deutschland hat die Plattform jüngst einen Etappensieg erzielt. Am 19. November hat das Verwaltungsgericht Düsseldorf die gegen Pornhub und die Schwesterseite YouPorn verhängten Netzsperren wieder gekippt.

Angeordnet wurden die Netzsperren von der Landesanstalt für Medien Nordrhein-Westfalen, nachdem Pornhub in Deutschland keine Alterskontrollen einführen wollte. Sowohl Pornhub als auch betroffene Provider sind deshalb vor Gericht gezogen. Auch wenn sich Netzsperren kinderleicht umgehen lassen, gelten sie als besonders gravierende Maßnahme, das vor allem autoritäre Staaten gerne einsetzen.

Der Rechtsstreit auf Deutschland-Ebene macht anschaulich, wie unterschiedlich Pornhub gemäß seiner Testballon-Strategie handelt. In den USA und Frankreich hatte Pornhub den Zugang zur Website freiwillig blockiert. In Deutschland wiederum ging die Plattform vor Gericht, um nicht blockiert zu werden.

Der Grund für Pornhubs jüngsten Etappensieg in Düsseldorf liegt im Wandel der Zuständigkeiten auf nationaler und EU-Ebene. Die Plattform konnte mit Blick auf die verhängten Netzsperren erfolgreich argumentieren, dass nicht etwa die Anordnungen der deutschen Medienaufsicht Vorrang haben, sondern EU-Recht. Deshalb durften die betroffenen Internet-Provider die Netzsperren wieder aufheben.

Medienaufsicht kämpft um Zuständigkeit

All das ist aber nicht endgültig. Die deutsche Medienaufsicht will die Einschränkung ihrer Kompetenzen nicht hinnehmen und hat bereits Beschwerde gegen die Beschlüsse aus Düsseldorf eingelegt. Das bestätigt die Behörde auf Anfrage von netzpolitik.org. Darüber entscheiden wird das Oberverwaltungsgericht in Münster. Auch das Hauptsacheverfahren läuft weiter. In diesem Verfahren geht es ebenso darum, ob für Pornhub der europäische oder der nationale Rechtsrahmen Vorrang hat.

Vor den deutschen Verwaltungsgerichten werden also noch zwei Konflikte ausgetragen. Für Pornhub geht es darum, mit welcher Regulierungsbehörde sich die Plattform künftig herumschlagen muss. Für die deutsche Medienaufsicht geht es darum, ob sie nach jahrelangem Kampf gegen frei verfügbare Pornografie in Deutschland ihre Zuständigkeit gegenüber Brüssel einbüßt.

„Den betroffenen Kindern ist es vermutlich ziemlich egal, wer sie schützt, nur passieren müsste es“, kommentiert Tobias Schmid, Direktor der Landesanstalt für Medien NRW. Ganz so entspannt, wie das Zitat es nahelegt, dürfte die Haltung seiner Behörde jedoch nicht sein. Denn mit ihrem Vorgehen gegen Pornoseiten konnte die Landesanstalt für Medien über viele Jahre lang öffentliche Aufmerksamkeit für ihre Arbeit gewinnen und sogar ihre Instrumente erweitern.

Jüngst hat die Novelle des Staatsvertrags für Jugendmedienschutz (JMStV) der Medienaufsicht zwei neue mächtige Werkzeuge beschert. Diese Machterweiterung geht direkt auf das Engagement der Behörde gegen Pornoseiten zurück. So soll die Medienaufsicht künftig einfacher Netzsperren anordnen können und widerspenstigen Diensten über Zahlungsdienstleister den Geldhahn abdrehen dürfen. Selbst wenn die Medienaufsicht bald einen Teil ihrer Zuständigkeit für Pornoseiten verlieren sollte – diese Instrumente bleiben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.

Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.

Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.

Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.

„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“

netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?

Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.

In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.

netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?

Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.

Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.

netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?

Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.

Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.

„Es gibt im Omnibus auch Aspekte, die ich begrüße“

netzpolitik.org: Mit ihrem „Digitalen Omnibus“ fährt die EU-Kommission aktuell in die andere Richtung. Sie schlägt erstmals weitreichende Änderungen an der DSGVO vor. Verbraucher- und Datenschutzorganisationen sowie Teile des EU-Parlaments sprechen von einem Angriff auf die Grundlagen des europäischen Datenschutzes.

Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.

Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.

netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?

Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.

Was plant die EU-Kommission bei KI und Datenschutz?

„Datenschutz und KI gehen ganz schlecht zusammen“

netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.

Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.

netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?

Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.

Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.

Wo eine Reform ansetzen sollte

netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.

Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.

netzpolitik.org: Was fehlt Ihnen?

Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?

Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.

Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.

netzpolitik.org: Sondern?

Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.

Datenhändler verkaufen metergenaue Standortdaten von EU-Personal

Wie man das Problem der Databroker lösen könnte

netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?

Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.

Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.

Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.

netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.

Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.

Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.

„Eine Verpflichtung wäre eine großer Schritt“

netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?

Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.

Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.

Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.

„Hundertprozentige Sicherheit gibt es nicht“

netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?

Das gebrochene Versprechen

Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.

Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.

Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.

netzpolitik.org: Das war ja mal anders.

Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.

netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?

Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.

Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.

„Für eine patientenztentrierte ePA ist es noch nicht zu spät“

netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?

Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.

Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.

Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.

Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.

„Das würde meine Behörde und mich sehr schmerzen“

netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.

Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.

Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.

netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.

Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.

Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?

netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.

Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.

Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.

Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.

netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?

Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.

netzpolitik.org: Ihre Länderkolleg:innen rechnen mit deutlich höheren Zahlen.

Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit Blick auf das Reformpaket der EU-Kommission zeigen sich die Mitgliedstaaten gespalten. Einige setzen wie die Kommission auf Deregulierung und wollen so die europäische Digitalwirtschaft ankurbeln. Andere wiederum würden lieber die Umsetzung der bestehenden Regeln verbessern.

Vor zwei Wochen hat die Europäische Kommission ein Gesetzespaket unter dem Namen „Digitaler Omnibus“ vorgestellt. Damit sollen mehrere bereits beschlossene Gesetze verändert werden, um Unternehmen zu entlasten und Europas Digitalindustrie zu stärken. An dem Vorhaben gibt es von vielen Seiten massive Kritik.

Doch was halten eigentlich die 27 Mitgliedstaaten von den Plänen der Kommission? Neben dem Parlament müssen auch sie dem Vorhaben zustimmen. Anders als aus einigen Parlamentsfraktionen, die sich wiederholt sehr kritisch äußern, hört man aus den Mitgliedstaaten bislang wenige Reaktionen auf die konkreten Vorschläge. Vor ihrer offiziellen Vorstellung übermittelten die Mitgliedstaaten allerdings ihre Positionen an die Kommission. Manche davon konnten wir einsehen. Daraus lässt sich bereits einiges ablesen.

Viele Mitgliedstaaten forderten etwa, die Fristen für Hochrisiko-KI-Systeme aus der KI-Verordnung um mindestens 12 Monate zu verlängern. So positionierten sich unter anderem Deutschland, Polen, Dänemark und Frankreich. Die Kommission plant in ihrem Vorschlag tatsächlich eine Verschiebung von bis zu 16 Monaten.

Frankreichs Regierung äußerte sich auf dem Souveränitätsgipfel in Berlin klar: Die Digitalregeln sollen unbedingt verändert werden, um europäische Innovation zu unterstützen, vor allem im KI-Bereich. In diese Richtung argumentierte auch das deutsche Bundesdigitalministerium.

Mehr Klarheit statt Verzögerung

In seinem Positionspapier meint Lettland ebenfalls, es brauche „realistische“ Umsetzungsfristen für die KI-Verordnung. Eine Verzögerung forderte der baltische Staat aber nicht explizit. Stattdessen sprach sich Lettland für Ersatzmechanismen aus, die bei der Umsetzung der Vorgaben Rechtssicherheit geben sollten, solange die Standards noch fehlen.

Auch die Niederlande erklärten in ihrem Positionspapier, dass es deutlicher sein müsste, wie die KI-Verordnung erfüllt werden kann. Ziel sei, das Vertrauen zu stärken und einen europäischen Markt für menschenzentrierte KI zu schaffen. Dabei hält das Land mehr Klarheit für eine „bevorzugte Strategie“ im Vergleich zur Verlängerung der Fristen, heißt es im Papier.

Im Bereich des Datenschutzes schlugen die Niederlande praktische Instrumente vor, um insbesondere kleinen Organisationen bei der Umsetzung der Regeln zu helfen. In Bezug auf Cookies wollen sie, dass Nutzende im Browser entscheiden können, welche sie akzeptieren. So sollen ihre Grundrechte und Freiheiten geschützt werden. Im Kommissionsvorschlag findet sich eine solche Regelung. Darüber hinaus forderten die Niederlande aber keine Änderungen an der Datenschutz-Grundverordnung (DSGVO).

Kaum einer will die DSGVO ändern

Im Gegensatz dazu plädierte Dänemark in seinem Papier (PDF) für die Überarbeitung der Datenschutzvorschriften, um die „Belastungen für die Unternehmen zu verringern“ und „innovationsfreundlicher“ zu werden. Hier wird der „KI-Wettlauf“ erwähnt, in dem Europa ansonsten schlechte Chancen hätte.

Der nordische Staat würde im Datenschutz außerdem gerne einen stärker risikobasierten Ansatz verfolgen: Die Regularien sollen in einem „angemessenen Verhältnis“ zu den tatsächlichen Risiken der Datenverarbeitung stehen.

Auch Deutschland (PDF) habe maßgeblich auf die Änderungen der DSGVO hingewirkt, sagt die Nichtregierungsorganisation noyb. Sie hat ein Dokument veröffentlicht, in welchem neun Mitgliedstaaten ihre Meinung zu möglichen Änderungen der DSGVO abgeben. Darin zeigt sich auch Tschechien offen gegenüber Änderungen der Verordnung.

Estland, Österreich und Slowenien sehen hingegen keine Notwendigkeit, die DSGVO zu verändern. Finnland, Polen und Schweden sind offen für kleine, technische Anpassungen. Doch auch sie wollen keine Definitionen verändern, so wie es der Kommissionsvorschlag nun vorsieht. Frankreich will die DSGVO aktuell ebenfalls nicht anfassen, verschließt sich der Möglichkeit aber nicht völlig.

Vereinfachung doch nicht so einfach?

Ein weiterer Diskussionspunkt betrifft die gebündelte Meldung von Cybersicherheitsvorfällen über eine zentrale Plattform. Während viele Staaten diese Zusammenfassung begrüßen, darunter Lettland, sind andere skeptisch, ob dadurch tatsächlich die gewünschte Vereinfachung und Kosteneinsparung erreicht würden.

Die Niederlande weisen darauf hin, dass Meldungen nach der NIS-2-Richtlinie und der Richtlinie zur Resilienz kritischer Einrichtungen (CER) ohne Probleme zusammengefasst werden könnten. Bei Meldungen nach dem Cyber Resilience Act (CRA) und der DSGVO sehen sie hingegen Hürden, da sich hier die Häufigkeit der Meldung, der Zweck und die Zuständigkeiten erheblich unterscheiden würden.

Ähnlich äußerte sich auch das österreichische Innenministerium in der Konsultation zum Omnibus-Paket: Konkrete Maßnahmen hinsichtlich der Meldepflichten müssten „wohlüberlegt und technisch ausgereift“ sein, um tatsächlich einen Mehrwert darzustellen. Änderungen der Zuständigkeiten würden schließlich auch eine Änderung der Verwaltungsorganisation bedeuten und „gravierenden Aufwand und hohe Kosten“ verursachen.

Österreich merkte zudem an, dass die Kommission vor der Vereinfachung erst ein „umfassendes Mapping“ erstellen sollte. Es soll übersichtlich zeigen, welche Vorschriften es im Digitalbereich bereits gibt.

Unterschiedliche Prioritäten

Andere Länder formulieren derzeit noch ihre Haltung zum Kommissionsvorschlag. Zum Teil haben sie zu einzelnen Themen auch keine besonders starke Position. Dazu muss man wissen: Jede Regierung setzt für sich Schwerpunkte in der EU-Politik und widmet sich vor allem jenen Themen, die für sie besonders wichtig sind.

Am Freitag, den 5. Dezember, werden die Digitalminister:innen der 27 Mitgliedstaaten zum ersten Mal zu den geplanten Änderungen beraten. Dann trifft sich der Telekommunikations-Rat in Brüssel.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Seit gut einem Jahr gibt es das nationale KI-Transparenzregister. Der IT-Planungsrat will es nun auf alle Verwaltungsebenen ausweiten. Dennoch bleibt weiterhin unklar, in welchem Umfang die öffentliche Verwaltung sogenannte Künstliche Intelligenz einsetzt – und mit welchem Risiko.

Ob zur Grundwasseranalyse oder um den Zustand von Straßen zu erfassen – in der öffentlichen Verwaltung kommen immer mehr Werkzeuge zum Einsatz, die auf sogenannter Künstlicher Intelligenz basieren. Kaum eine Verwaltungswebsite verzichtet noch auf einen Chatbot. Seit einer Woche steht für die Mitarbeiter:innen der Berliner Verwaltung der KI-Assistent BärGPT bereit. Und das Verbraucherportal der Bundesnetzagentur setzt KAI ein.

Geht es nach Digitalminister Karsten Wildberger (CDU), wird der Erfolg der Digitalisierung in der öffentlichen Verwaltung maßgeblich von KI-Systemen abhängen. Daher dürfte es auch immer wichtiger werden, KI-Anwendungen zu erfassen. Seit gut einem Jahr gibt es dafür unter anderem das nationale KI-Transparenzregister. Es ist Teil des Marktplatzes der KI-Möglichkeiten, kurz MaKI. Daneben gibt es ein Dashboard mit Daten über KI-Nutzung in der Verwaltung und Steckbriefen über einzelne KI-Tools.

Für das Transparenzregister ist das Bundesministerium für Digitales und Staatsmodernisierung zuständig. Den Grundstein für MaKI legte eine Pilotinitiative des Beratungszentrums für Künstliche Intelligenz (BeKI) des Bundesinnenministeriums. Das Zentrum ist im Aufbau und soll „eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung“ sein.

Das KI-Transparenzregister soll die Vorgaben der KI-Verordnung umsetzen. Derzeit umfasst die Datenbank gut 240 Einträge zu KI-Anwendungen auf Bundesebene. Die Datensätze dazu liefern die nutzenden Bundesbehörden selbst. Zum 1. Dezember hat das Bund-Länder-Gremium IT-Planungsrat den Roll-out auf alle Verwaltungsebenen begonnen. Anfang 2027 will der IT-Planungsrat den MaKI samt Transparenzregister als eigenständiges Produkt unter seine Fittiche nehmen.

Register setzt auf Freiwilligkeit

Dass der Rat die anderen Verwaltungsebenen einbeziehen will, sei zu begrüßen, sagt der Jurist Jonas Botta gegenüber netzpolitik.org. Das sei eine wichtige Voraussetzung dafür, um ein umfassendes Bild über den behördlichen KI-Einsatz zu erhalten. Botta leitete ein Drittmittelprojekt zum KI-Transparenzregister, an dem auch die Nichtregierungsorganisation AlgorithmWatch, die gemeinnützige Verwaltungsplattform NExT e. V. und das Deutsche Forschungsinstitut für öffentliche Verwaltung (FÖV) beteiligt waren.

Im KI-Transparenzregister geben Behörden verschiedene Informationen zu ihren KI-Anwendungen an. Etwa dazu, ob diese gerade entwickelt werden oder schon im Einsatz sind. Das Register umfasst außerdem Daten zu nicht länger genutzten KI-Tools und Projektstarts. Daneben können Behörden eine Kontakt-E-Mail-Adresse und das nutzende Ressort angeben oder auch, ob der Auftrag extern oder inhouse vergeben wurde.

Ausschlaggebend ist hier jedoch das Wort „können“. Denn bislang geben Behörden die Angaben zu ihren KI-Tools freiwillig weiter. Damit sei das Register nach wie vor kein „umfassender, grundrechtssichernder Transparenz-Mechanismus“, sagt Jonas Botta.

Das KI-Transparenzregister müsste aber für die öffentliche Verwaltung verpflichtend sein, um den staatlichen KI-Einsatz grundrechtlich abzusichern. Als Vorbild könne ein entsprechendes Register namens Algoritmeregister aus den Niederlanden dienen.

Intransparentes Verwaltungshandeln

Wäre es verpflichtend, würde das Register Verwaltungshandeln verlässlich transparent machen. Das sei „im demokratischen Rechtsstaat nicht nur allgemein von hoher Bedeutung“, sagt Jonas Botta, sondern werde „angesichts des ‚Blackbox‘-Phänomens von KI-Systemen“ immer wichtiger.

Eine große Schwäche des Registers in seiner jetzigen Form sind die Hürden für Bürger:innen. Die zur Verfügung gestellten Daten sind unübersichtlich aufbereitet und in einer schier endlos langen Tabelle aufgeführt. Sie können zwar etwa nach Entwicklungsstatus oder Verwaltungsebene gefiltert werden. Exportieren lassen sie sich dann aber nur in Form einer Excel-Tabelle. Darüber hinaus sind die angegebenen Daten lückenhaft. So gibt es etwa nicht immer eine Angabe zum Lizenztyp oder zum Kooperationspartner.

Auch sind Angaben zu rechtlichen Grundlagen für den Einsatz von KI-Systemen unvollständig oder es fehlen Angaben dazu, welche Daten die Behörden während des Einsatzes erheben und nutzen, kritisiert Pia Sombetzki von AlgorithmWatch. „Wenn hinter der Angabe zur ‚Beschreibung der Verfahren des Betriebs‘ beispielsweise steht ‚vorhanden'“, sei das keine hilfreiche Auskunft, weil diese zu unspezifisch sei.

Risikostatus: unklar

Bürger:innen können kaum nachvollziehen, „wann sie mit welchem KI-System konfrontiert sind, warum die Behörde dieses System verwendet und welche potenzielle Risiken“ sie bergen, sagt Botta. Auch Abwägungsprozesse der jeweiligen Behörde blieben undurchsichtig: Welche KI setzt die Behörde aus welchen Gründen und für welchen Anwendungsfall ein? Welche Risiken spielen dabei eine Rolle? Und wie kann sie Risiken minimieren oder umgehen?

„Von echter Nachvollziehbarkeit über die KI-Einsätze beim Staat sind wir noch meilenweit entfernt“, sagt Sombetzki. Das Register versäume es, eine lückenlose Nachvollziehbarkeit beim Thema Risikobewertung zu schaffen. Hier fehlten klare Vorgaben. Das verdeutliche auch die Antwort der Bundesregierung auf eine Kleine Anfrage der Partei Die Linke. Die dort gemachten Angaben seien nicht mit denen im Transparenzregister deckungsgleich. Gleichzeitig verweise die Bundesregierung auf die Angaben im Register.

Zudem hätten Behörden bei mehr als einem Drittel der KI-Anwendungen keinerlei Risikobewertungen vorgenommen. Obwohl die KI-Verordnung voraussetze, dass die Bundesverwaltung das Risiko ihrer KI-Einsätze abschätzt, wie Pia Sombetzki anmerkt.

An der Verwaltung ausgerichtet

Botta kritisiert zudem die Anbindung des Transparenzregisters an den MaKI. Damit stünden bislang die Behördeninteressen im Fokus, wie die Qualitätssicherung und Nachnutzung von KI-Tools durch die Behörden selbst. Diese Interessen betonte auch Heiko Geue beim Pressegespräch anlässlich der 48. Sitzung des IT-Planungsrats Ende November. Geue ist Finanz- und Digitalisierungsminister Mecklenburg-Vorpommerns sowie Vorsitzender des Rats.

Doch Behördeninteressen bildeten nur eine der Anforderungen an das Transparenzregister ab. Dieses solle, so Botta, aber auch für Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft KI-Tools und deren Einsatz in der Verwaltung transparent machen. Für sie halte sich der Nutzen aber bislang stark in Grenzen, so der Jurist. Pia Sombetzki sieht derweil die Gefahr, dass das MaKI „zu einem unwirksamen Marktplatz unter vielen“ verkommt und mit ihm das Register.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Gegen ihren Willen veröffentlichte jemand im Namen einer Frau eine Online-Anzeige für sexuelle Dienstleistungen, inklusive Fotos und Telefonnummer. Nun sagt der EuGH: Der Marktplatz, wo das passiert ist, trägt eine Mitverantwortung. Die Entscheidung könnte weitreichende Folgen für die Haftung von Plattformen haben.

Betreiber von Online-Marktplätzen sind unter bestimmten Umständen für datenschutzrechtswidrige Inhalte mitverantwortlich, die von Nutzenden eingestellt wurden. Das hat der Europäische Gerichtshof (EuGH) heute in Luxemburg entschieden. Demzufolge müssen die Betreiber prüfen, ob (Werbe-) Anzeigen auf ihren Plattformen sensible Daten enthalten und ob sie von der Person stammen, die die Anzeige aufgibt.

Im Ausgangsfall ging es um ein Inserat für sexuelle Dienstleistungen auf dem rumänischen Anzeigen-Portal Publi24. Die Plattform ist vergleichbar mit Ebay oder Amazon Marketplace. Eine unbekannte Person hatte dort im August 2018 die Anzeige im Namen einer Frau geschaltet, ohne deren Wissen oder Einverständis.

Die Anzeige enthielt Fotos der Betroffenen, die ohne ihre Einwilligung genutzt wurden, sowie ihre Telefonnummer. Die Frau forderte den Betreiber auf, die Anzeige zu löschen. Dieser sei dem zwar innerhalb einer Stunde nachgekommen, so der EuGH. Allerdings wurde die Anzeige bereits auf anderen Websites verbreitet und blieb dort weiterhin verfügbar.

Welche Verantwortung trägt die Plattform?

Die Betroffene sah nicht nur ihr Recht am eigenen Bild verletzt, sondern beanstandete vor Gericht auch einen Datenschutzverstoß durch das Unternehmen Russmedia Digital, den Betreiber von Publi24.

Während ein Gericht ihr in erster Instanz Recht gab und das Unternehmen zu 7.000 Euro Schadensersatz verurteilte, sah das die Berufungsinstanz anders. Dieses Gericht stufte Russmedia als einen bloßen Hosting-Anbieter ein und sprach ihn von seiner Verantwortung für den Inhalt der Nutzenden frei. Um den Streit zu klären, hatte das Berufungsgericht Cluj den EuGH um Auslegung von EU-Recht gebeten, bevor es dann später im konkreten Rechtsstreit endgültig entscheidet.

Im Kern ging es um die Frage, ob Hosting-Anbieter, die zunächst nur die technische Plattform bereitstellen, für darauf veröffentlichte Inhalte im Sinne der DSGVO verantwortlich sind oder ob sie von der Haftung befreit sind. Russmedia hatte sich nämlich auf das sogenannte Haftungsprivileg berufen, das die E-Commerce-Richtlinie und der Digital Services Act (DSA) Plattformen bei nutzergenerierten Inhalten gewähren.

Die EU-Richter*innen haben sich für die Haftung der Plattform entschieden. Zwar werde die Anzeige von eine*r Nutzer*in erstellt. Im Internet veröffentlicht und im Umlauf gebracht werde sie aber durch den Online-Marktplatz. Das bringe bestimmte grundlegende Pflichten für den Betreiber mit sich, die sich aus der DSGVO ableiten.

In der Pflicht sieht der EuGH Russmedia vor allem deshalb, weil sich das Unternehmen in den Allgemeinen Nutzungsbedingungen das Recht vorbehalten hatte, veröffentlichte Inhalte kommerziell zu eigenen Zwecken zu nutzen.

Anzeigen müssen vorab geprüft werden

Die Entscheidung des Europäischen Gerichtshofes hat weitreichende Konsequenzen.

So legten die Richter*innen fest, dass Online-Marktplätze vor der Veröffentlichung einer Anzeige prüfen müssen, ob diese sensible Daten enthält und ob sie tatsächlich zu der Person gehören, die die Anzeige aufgeben will. Ist dies nicht der Fall, müssen sie prüfen, ob die eigentlich betroffene Person in die Veröffentlichung ausdrücklich eingewilligt hat oder ob eine andere Rechtsgrundlage gegeben ist. Sonst dürfe die Anzeige nicht online gehen, erklärte der Gerichtshof.

Außerdem müssten die Betreiber durch technische und organisatorische Maßnahmen sicherstellen, dass solche Anzeigen nicht kopiert und auf anderen Webseiten unrechtmäßig verbreitet werden. Schließlich betont der Gerichtshof explizit, dass sich Betreiber von Online-Marktplätzen diesen Verpflichtungen aus der DSGVO nicht unter Berufung auf die E-Commerce-Richtlinie entziehen können.

Entscheidung mit weitreichenden Folgen

Die unabhängigen Datenschutzbeauftragten von Berlin und Hamburg, Meike Kamp und Thomas Fuchs, sehen in der Entscheidung eine grundsätzliche Weichenstellung für die Verantwortlichkeit von Hosting-Anbietern. Damit sei klargestellt, dass deren Verantwortung nicht erst mit der Meldung eines Verstoßes beginne – wie es das DSA vorsieht – sondern bereits vor der Veröffentlichung der Daten.

„Der EuGH macht unmissverständlich deutlich, dass bestimmte Haftungsprivilegien für Unternehmen nicht gelten, wenn es um die Gewährleistung der Datenschutzrechte der europäischen Bürger*innen geht“, so Thomas Fuchs. Betreiber von Online-Plattformen sollten anhand der vom EuGH aufgestellten Kriterien prüfen, ob sie datenschutzrechtlich verantwortlich sind“, so Meike Kamp. „Wenn das der Fall ist, müssen sie fortlaufend sicherstellen, dass personenbezogene Daten rechtmäßig auf ihrer Plattform verarbeitet werden.“

Auch die Anwältin Elisabeth Niekrenz, Juristin für internationales Datenschutzrecht, betont gegenüber netzpolitik.org, dass das Urteil auch Konsequenzen für viele andere Plattformen haben könnte. „Die meisten kommerziellen Social-Media-Anbieter lassen sich in ihren Nutzungsbedingungen Inhalte von Usern lizenzieren und steuern mittels Empfehlungsalgorithmen die Verbreitung der Inhalte.“ Mit dem EuGH-Urteil könnten nun auch diese Plattformen zur Verantwortung gezogen werden, wenn Dritte datenschutzwidrige Inhalte verbreiten, so Niekrenz.

Zudem könne das Urteil Folgen für aktuell häufig vorkommende Fälle haben, bei denen in Werbeanzeigen mit den Namen Prominenter betrügerische „Anlagetipps“ gegeben werden. Auch hier könnten künftig die Plattformen selbst zur Verantwortung gezogen werden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ihr macht zu Weihnachten eine Spenden-Aktion in eurer Firma oder im Verein? Du hast Geburtstag oder hast einen anderen Grund zu feiern und möchtest lieber Spenden als Geschenke? Dann erstelle eine eigene Spendensammelaktion und unterstütze so unsere Arbeit.

Weihnachtszeit ist Spendenzeit. Auch in vielen Unternehmen fragen Menschen, ob sie mit ein wenig Geld noch etwas Gutes tun können. Immer wieder erreichen uns bei netzpolitik.org Anfragen zu diesem Thema. Deshalb rufen wir in diesem Jahr erstmalig zu Spendenaktionen von und in Unternehmen auf und haben dafür auch ein Werkzeug bereitgestellt, das wir euch hier vorstellen wollen. Genauso gut kannst du das Tool dafür benutzen, wenn du dir statt Geschenke lieber Spenden an uns wünschst.

Doch das Wichtigste zuerst:

Warum für netzpolitik.org spenden?

Wir sind das gemeinwohlorientierte Medium für die digitale Gesellschaft. Mit preisgekrönten Recherchen decken wir Missstände auf, mit langem Atem begleiten wir wichtige politische Debatten und mit praktischen Tipps unterstützen wir Menschen bei Fragen der digitalen Sicherheit.

• Wir sind unabhängig: Unser Finanzierungsmodell besteht fast ausschließlich aus Spenden von Leser:innen und Unterstützer:innen. Werbung, Tracking oder Paywalls gibt es bei uns nicht.
• Wir sind gemeinnützig: Getragen wird die Redaktion vom gemeinnützigen Verein netzpolitik.org e. V., Spenden an uns können also von der Steuer abgesetzt werden.
• Wir sind transparent: Wie kaum ein anderes Medium legen wir in unseren vierteljährlichen Transparenzberichten unsere Einnahmen und Ausgaben offen.
• Wir stehen für Freiheit: Aus Perspektive der Grund- und Freiheitsrechte setzen wir uns mit unserem Journalismus für eine freie und offene Gesellschaft ein.

Das reicht nicht? Hier sind zehn Gründe mehr, für netzpolitik.org zu spenden.

Wie kann man uns als Unternehmen oder aus einem Unternehmen heraus unterstützen?

• Viele größere Unternehmen starten zum Ende des Jahres offizielle Sammelaktionen für einen guten Zweck. Wir freuen uns, wenn ihr uns hier vorschlagt.
• Manche Unternehmen spenden auch selbst an gemeinnützige Organisationen. Auch hierfür schlagt uns gerne vor.
• Für alle, die unter Kolleg:innen oder im Freundkreis eine eigene Sammelaktion starten möchten, haben wir in diesem Jahr erstmalig ein fertiges Werkzeug.

So legt man eine eigene Sammelaktion an

• Besucht unsere Kampagnenseite und klickt auf „Spendenaktion starten“
• gebt ein paar Daten an
• optional: Bild zur Aktion hochladen
• optional: Spendenziel festlegen
• optional: individuellen Text zur Aktion formulieren, der die Hintergründe der Aktion beschreibt
• optional: individuelles Danke an deine Spender:innen schreiben
• Entscheiden, ob die Spendenaktion öffentlich sichtbar auf netzpolitik.org ist

Ihr bekommt dann eine Bestätigungsmail mit den folgenden Infos:

• Link zur Aktion zum Teilen
• Link zur Administration der Aktion
• Link teilen und weiterverbreiten

Ab jetzt könnt ihr euch freuen und zuschauen, wie die Spenden reinrieseln.

Bei Fragen, kontaktiert uns gerne

Bei all dem ist wichtig: Redaktionelle Unabhängigkeit ist unser höchstes Gut. Es gibt keine Gegenleistungen für Spenden. Deswegen erfährt die Redaktion erst gar nicht, wer uns mit Spenden unterstützt.

Bei Rückfragen jeglicher Art stehen wir euch gerne zur Verfügung. Schreibt uns eine Mail an spenden@netzpolitik.org. Gerne können wir auch ein Telefonat verabreden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eigentlich soll die Empfängerprüfung Fehlüberweisungen verhindern. Doch die praktische Umsetzung zeigt: In vielen Fällen legen Banken den vollständigen Namen der Kund*innen offen. Betroffen sind Millionen.

Seit Oktober müssen Banken eine Empfängerüberprüfung („Verification of Payee“, VOP) bei Überweisungen durchführen. Damit ist es nicht nur leichter geworden Fehlüberweisungen zu vermeiden. Leichter ist es gewissermaßen auch, sich ohne große Mühe einen Einblick in Daten der potenziellen Geldempfänger*in zu verschaffen. Denn so wie einige Kreditinstitute diese neue Funktion in Deutschland umsetzen, bekommt man bei der bloßen Absicht, einer Überweisung zu tätigen, schon den vollständigen Passnamen der entsprechenden Person angezeigt. Dafür braucht man häufig nur die IBAN und Teile des Namens.

Mindestens bei einem der beliebtesten Kreditinstitute in Deutschland reicht dafür neben der IBAN bereits der Nachname. Die Bank übermittelt sodann den kompletten im Konto hinterlegten Namen samt aller Vornamen. Wenn ich also „Mustermensch“ eingebe, bekomme ich als Vorschlag „Robin Lou Mustermensch“ zurück.

Das ist eher eine Ausnahme, bei den meisten Banken wird das so nicht funktionieren. Dennoch offenbaren viele Institute den vollständigen Passnamen, wenn man den Anfangsbuchstaben oder Teile eines der Vornamen eingibt. Millionen von Kund*innen sind betroffen.

Sollten auf diese Weise Zweitnamen der eigenen Freund*innen ans Licht kommen, kann es amüsant sein und die Freund*innen finden es eventuell nicht weiter schlimm. Heikler wird es bei Menschen, deren IBAN man aus Rechnungen oder anderweitigen geschäftlichen Beziehungen kennt. Auch bei der monatlichen Gehaltsüberweisung durch die Arbeitgeber*in wird gegebenenfalls eine Meldung mit dem vollständigen Namen aufploppen. Die Übermittlung von geschlechtlich konnotierten Vornamen kann ebenfalls Probleme nach sich ziehen. Das betrifft etwa trans Personen, die ihren Vornamen und Personenstand nicht geändert haben und deren „Deadname“ auf diesem Weg bekannt werden kann.

Bemerkenswert dabei ist: Die betroffene Person kriegt davon nichts mit. Das ist im Hinblick auf Datenschutz und informationelle Selbstbestimmung bedenklich.

Ein wesentliches Element der Empfängerüberprüfung

Seit dem 9. Oktober ist die neue Empfängerprüfung für Standard- und Echtzeitüberweisungen im Europäischen Zahlungsraum Pflicht. Die EU-Verordnung über Sofortzahlungen aus dem Jahr 2024 schreibt vor, dass Banken innerhalb von Sekunden prüfen müssen, ob Name und IBAN der Zahlungsempfänger*innen übereinstimmen. Das soll für mehr Sicherheit im Zahlungsverkehr sorgen und Betrug verhindern, wenn beispielsweise Rechnungen mit plausiblen Namen aber manipulierten IBAN verschickt werden.

Die Prüfung funktioniert folgendermaßen: Die Bank der Zahler*in schickt die angegebenen Daten in einer Anfrage an die Bank der Empfänger*in. Diese prüft, ob die IBAN und der Name mit denen der Kontoinhaber*in identisch sind und gibt eine der drei möglichen Antworten zurück: exakte Übereinstimmung („Match“), nahezu Übereinstimmung („Close Match“) oder keine Übereinstimmung („No Match“). Bei einem Match führt die Bank die Überweisung ohne Weiteres aus. In den letzten beiden Fällen informiert das Kreditinstitut die Zahler*in, sodass diese entscheiden kann, die Eingabe noch zu ändern oder die Überweisung ohne Änderung fortzuführen. In diesen Fällen trägt die Zahler*in das Risiko einer Fehlüberweisung. Die Bank haftet nur bei der exakten Übereinstimmung. Bei einem Close Match schickt die Empfängerbank außerdem den korrekten Namen der Kontoinhaber*in mit.

Das Ziel des „Close Match”-Szenarios ist es also, die Benutzer*innenfreundlichkeit bei Zahlungen zu gewährleisten und zu viele unnötige „No Match”-Antworten zu vermeiden. Das Close Match mit dem Namensabgleich ist damit ein wesentliches Element der Empfängerüberprüfung.

Was die Banken als Close Match werten und ab wann sie keine Übereinstimmung mehr sehen, entscheiden sie oder ihre IT-Dienstleister selbst. In Deutschland haben Kreditinstitute verschiedene Algorithmen entwickelt, sodass die praktische Umsetzung unterschiedlich ausfällt. Eine Eingabe, die eine Bank als No Match bewertet, gibt eine andere als Close Match zurück und umgekehrt. Das führt laut dem Bundesverband der Verbraucherzentrale bei vielen Kund*innen zu Irritationen.

Der Namensabgleich bei einem Close Match

Die EU-Verordnung besagt, dass der Name der Zahlungsempfänger*innen bei einem Close Match übermittelt werden muss. Allerdings ist nicht näher festgelegt, in welchem Umfang.

Der Europäische Zahlungsverkehrsausschuss, ein Zusammenschluss von Banken und Bankenverbänden auf EU-Ebene, hat konkrete Szenarien für eine Nahezu-Übereinstimmung erarbeitet. Ein Close Match liegt demnach beispielsweise vor, wenn zwei Buchstaben im Vor- oder Nachnamen vertauscht sind. Oder wenn ein bis zwei Buchstaben durch andere mit derselben Aussprache ersetzt wurden. Auch wenn nur der Anfangsbuchstabe des Vornamens zusammen mit dem Nachnamen eingegeben wird, könnten Banken das als Nahezu-Übereinstimmung werten. Diese Szenarien sind nicht bindend, sondern lediglich Empfehlungen.

Zu dem Namensabgleich schreibt die Organisation dennoch: „Der antwortenden Bank wird dringend empfohlen, in der „Close Match“-Antwort Datenminimierung anzuwenden und nur die Namensinformationen zur Verfügung zu stellen, die in der Anfrage genannt wurden.“

Die meisten Banken oder ihre IT-Dienstleister geben auf Anfrage von netzpolitik.org an, sich bei der Überprüfung an den Empfehlungen des Europäischen Zahlungsverkehrsausschusses zu orientieren. Und trotzdem offenbaren sie mehr Daten bei einem Close Match als bei der Eingabe getätigt wurden.

Lediglich ING-Diba hält sich an dieses Prinzip. „In einem beispielhaften Szenario, in dem jemand mehrere Vornamen trägt, werden nur die Vornamen übermittelt, die in der Überweisung nahezu eingegeben wurden“, schreibt der Pressesprecher auf Anfrage.

Identitätsprüfung oder Betrugsbekämpfung?

David-Jan Janse vom niederländischen Unternehmen SurePay, dem Dienstleister der Empfängerüberprüfung für die Online-Bank Bunq, hat laut eigenen Angaben das Prinzip des „Close Match“ erfunden. Der Schutz personenbezogener Daten nach der Datenschutzgrundverordnung galt in der Fintech-Branche zuvor als Hinderungsgrund für die Empfängerüberprüfung. Zusammen mit seinem Kollegen hat er sich deshalb die Frage gestellt, wie man bei einer Überweisung einen Namen offenbaren kann, ohne ihn gleich zu offenbaren – ähnlich wie bei einem Galgenmännchen-Spiel.

So entwickelte er eine Version der Empfängerüberprüfung, die in den Niederlanden seit etwa acht Jahren implementiert ist. In dieser Umsetzung gilt „Privacy by Design“. Das bedeutet, dass die eingegebenen Daten nur korrigiert werden. Neuen Daten werden nicht offengelegt.

Wenn die Bank den Anfangsbuchstaben des Vornamens und den Nachnamen beispielsweise als Close Match einstufen möchte, wäre laut Janse eine Meldung denkbar: „Der Name ist zu kurz. Bitte geben Sie den vollständigen Namen ein“, ohne unbekannte Teile des Namens gleich zu offenbaren.

Wie die Empfängerprüfung mancherorts in Deutschland umgesetzt ist, erinnert Janse eher an eine Identitätsprüfung. Bei der Empfängerüberprüfung im Zahlungsverkehr müsse im Vordergrund stehen, dass die Überweisung nicht an die falsche Person geht. „Es sollte weniger darum gehen, ob es der korrekte Passname ist oder nicht“, sagt der Unternehmer.

Bei der praktischen Umsetzung sei die Risikobereitschaft der Banken entscheidend. Da sie für die Überweisungen haftbar gemacht werden können, wollten diese sicherstellen, dass die Zahlung an die Empfänger*in mit genau dem richtigen Namen geht, anstatt die Funktion als Instrument zur Betrugsbekämpfung zu nutzen. Auch in Frankreich tendierten Banken eher zu dieser Art von Empfängerprüfung als Identitätsprüfung.

„Die Offenlegung des Namens hat einen Nachteil“, fügt Janse hinzu. „Das hilft letztlich den Betrügern. Und ist daher keine ideale Umsetzung.“

Ist Missbrauch möglich?

Gefragt nach Mechanismen gegen Missbrauch schreiben einige Banken, dass die Geheimhaltung des Matching-Algorithmus ein solcher Mechanismus sei.

Laut dem Bundesverband der Verbraucherzentrale haben Banken Schutzmechanismen eingerichtet, die eine systematische Nutzung für Identitätsrecherchen verhindern sollen. „Wie hoch das Risiko ausfällt, ist davon abhängig, wie gut die Schutzmechanismen ausgestaltet sind und wie stark ein Name abweichen darf, damit der richtige angegeben wird. Das Risiko dürfte sich daher von Bank zu Bank unterscheiden.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Auf Social Media wird Reichweite massenhaft mit intimen Details erzeugt. Während wir Fremden beim Oversharing zusehen, verlieren wir den Blick für die Menschen, die wirklich zählen. Wir wissen nicht zu viel übereinander, findet unsere Kolumnistin: Wir wissen das Falsche über die falschen Personen.

Es gibt Momente auf sozialen Medien, die man so sonst nicht mit völlig Fremden erlebt: Wenn ein Creator auf TikTok erklärt, welche neue Sexualpraktik sein Leben verändert hat. Wenn eine Instagram-Story intime Beziehungskonflikte mit der Welt teilt. Oder wenn ein Video namens „Get ready with me, während ich erkläre, was es mit meinem veränderten Stuhlgang auf sich hat“ plötzlich auf der eigenen For-You-Page landet. In solchen Momenten taucht ein Meme zuverlässig in den Kommentaren auf: ein Screenshot eines New-York-Times-Artikels mit dem Titel „We should all know less about each other“.

Der Artikel aus dem Jahr 2021 beschäftigte sich eigentlich mit den Polarisierungsmechanismen politischer Internetbubbles. Heute steht der Meme-gewordene Satz hauptsächlich unter Videos, in denen Menschen über ihre Kinks sprechen oder den Streit mit ihrem Partner nachstellen. Solche Inhalte scheinen in den gängigen sozialen Medien immer populärer zu werden und ihre Aufrufzahlen sind oftmals höher als bei anderen Videos desselben Accounts. Intimität ist zur öffentlich handelbaren Ressource geworden.

Aus Tabus wird Reichweite

Besonders persönliche Inhalte klicken sich eben besonders gut. Was früher als Tabuthema galt, ist heute Reichweitenquelle. Je intimer der Inhalt, desto stärker die Reaktion des Publikums. Likes, Shares und Kommentare sind längst Teil einer Aufmerksamkeitsökonomie, in der Selbstöffnung taktisch eingesetzt wird.

Hierbei geht es mir explizit nicht um diejenigen, die über Sex, Verhütungsmethoden, ihre chronische Krankheit oder andere tabuisierte Themen aufklären. Wir sollten nicht aufhören, Themen sichtbar zu machen, nur weil diese angeblich als anstößig wahrgenommen werden könnten. Es geht um das gezielte Verkaufen einer vermeintlich realen eigenen Intimität. Sie ist nicht viel mehr als eine Währung, auf die unserer Voyeurismus einzahlt.

Dabei werden nicht nur einwilligungsfähige Erwachsene zu Protagonist:innen eines digitalen Reality-Formats. Auch Kinder tauchen in viralen Challenges auf, obwohl sie der Veröffentlichung nicht zustimmen können.

Menschen mit Behinderungen werden für emotionalisierte Storytelling-Formate instrumentalisiert. Damit werden sie zum Material für algorithmisch optimierte Erzählungen. Warum manche Accountbetreiber scheinbar alles für die Likes tun und wem das schadet, durfte ich hier bereits vor über zwei Jahren aufschreiben.

Aber nicht nur gesellschaftliche Aspekte machen das ungefilterte Teilen intimster Details fragwürdig: Das massenhafte Sammeln und die zunehmende Verwertung von Daten durch Plattformbetreiber, etwa zum Trainieren ihrer generativen KIs, macht es unklug, allzu viele intime Informationen über sich zu teilen. Gerade gesundheitsbezogene, sexuelle oder reproduktive Inhalte gehören zu den sensibelsten Daten, die nicht leichtfertig in sozialen Medien veröffentlicht werden sollten – und gleichzeitig zu jenen, die oft besonders hohe Klickzahlen hervorrufen.

Inszenierte Intimität

Doch viele dieser „intimen Einblicke“ sind gar nicht intim. Sie sind Inszenierungen. Große Accounts produzieren Erzählungen über ihr Datingleben, ihre Konflikte oder ihre Sexualität, die eher an Mini-Episoden einer Soap erinnern als an Alltagserfahrungen. Professionalisierte Creator-Strukturen entwickeln Drehbücher und konstruieren Geschichten, die in erster Linie Engagement erzeugen sollen. Einem viralen Influencer zu folgen, ist heute das Gleiche wie eine Netflixserie zu schauen.

Wer regelmäßig viral gehen will, erzählt wahrscheinlich nicht mehr oft aus seinem Leben, sondern schreibt ein Drehbuch. Die angebliche Transparenz ist Kulisse. Die Millionen Follower:innen sehen ein ausgeklügeltes Skript und nicht das Leben einer realen Person. Das Ergebnis ist paradox: Wir meinen, viel zu viel von anderen zu wissen: zu intime Details in zu exhibitionistischen Geschichten. Tatsächlich wissen wir aber in Wirklichkeit weniger.

Während wir durch inszenierte Dramen scrollen, verlieren wir den Kontakt zu den Menschen, deren Alltag tatsächlich relevant wäre: Freund:innen, Familie, Kolleg:innen. Zwischen Lohnarbeit und vier, fünf oder sechs Stunden täglichem Doomscrolling lässt sich kaum noch die Zeit finden, reale Personen zu treffen und echte Gespräche zu führen.

Soziale Medien erzeugen eine doppelte Verschiebung: Erstens ersetzt der Konsum pseudointimer Inhalte die echte Auseinandersetzung mit realen Personen. Zweitens verschiebt sich unsere Wahrnehmung dessen, was „normal“ ist. Die dramaturgische Überhöhung sozialer Medien macht reale Erfahrungen unscheinbar. Warum sich für einen ehrlichen Austausch über Gefühle oder Beziehungen interessieren, wenn die Timeline mit Skandalen, Geständnissen und emotionalen Extremzuständen gefüllt ist?

Das Falsche von den Falschen

Vielleicht ist das eigentliche Problem nicht, dass wir „zu viel“ voneinander wissen. Sondern dass wir das Falsche von den falschen Personen wissen. Wir erfahren intime Details, die entweder künstlich produziert sind oder die niemals für die Öffentlichkeit bestimmt waren. Und zugleich wissen wir immer weniger über die Menschen, die unser Leben wirklich ausmachen.

Wenn wir wieder mehr von den Menschen um uns herum wissen wollen, müssen wir uns weniger für die Schauspieler:innen in unseren Feeds interessieren. Und welche Details wir selbst auf Instagram oder TikTok teilen, sollten wir uns auch besser zweimal überlegen: Nicht aus Prüderie, sondern aus Selbstschutz vor Datensammlung, emotionaler Abstumpfung und um die Beziehungen zu pflegen, die nicht algorithmisch optimiert sind.

Es tut gut, mit Freunden über das eigene Datingleben zu quatschen, mit seinem Vater über die Gesundheit und mit der besten Freundin über den letzten Sex – und es stärkt die Beziehung, wenn sie das ebenso tun. Diese Zeit und Kapazität sollten wir einander einräumen. Auch wenn das ab und zu bedeutet, auf den Dopaminrausch via Instafeed zu verzichten.

Wir alle sollten wieder mehr voneinander wissen. Darauf, auf sozialen Medien darüber zu posten, sollten wir hingegen verzichten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 48. Kalenderwoche geht zu Ende. Wir haben 16 neue Texte mit insgesamt 92.826 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

diese Woche hat das Parlament des einwohnerstärksten Bundeslandes einen folgenreichen Entschluss gefasst. Mit den Stimmen der schwarz-grünen Koalition verabschiedete Nordrhein-Westfalen eine Novelle des Polizeigesetzes, die es erlaubt, mit eindeutig identifizierenden Informationen wie Klarnamen oder Gesichtsfotos Überwachungs-KI zu trainieren. Die Polizei darf dabei nicht nur die Daten von Täter*innen und Verdächtigen nutzen, sondern auch die von Opfern und Zeug*innen.

Künftig ist es also möglich, dass nordrhein-westfälische Polizist*innen mit unseren Daten kommerzielle Überwachungswerkzeuge wie palantirartige Datenanalysen, Verhaltensscanner oder Gesichtserkennungssoftware füttert. Das liegt gerade im bundesweiten Trend: Hamburg hat vorgelegt, Baden-Württemberg nachgezogen, in Sachsen ist eine derartige Polizeigesetzänderung in der Pipeline, in Berlin soll sie kommende Woche verabschiedet werden.

Viele Bundesländer bereiten sich also gesetzgeberisch auf den Einsatz von KI-gestützten Überwachungstools vor. Die Gesetzestexte dazu sind teils wortgleich. Und die Hemmungen beim Einsatz solcher Tools offenbar weitgehend gefallen. Den waghalsigsten Überwachungsexzess will sich Sachsen ins Polizeigesetz schreiben: Dort sollen Drohnen künftig anlasslos in fahrende Fahrzeuge filmen.

Viel Spaß beim Lesen

Martin

Digital Fights: Digital Bytes: Wir jagen Datenhändler die Leiter hoch

Datenhändler verkaufen genaue Standortdaten von potenziell allen Menschen, die ein Handy haben. Seit zwei Jahren recherchieren wir im Dschungel der Databroker und haben dabei schon mehr als 13 Milliarden Standortdaten angehäuft, ohne einen Cent zu zahlen. Wie tief ist der Abgrund der Werbe-Industrie? Von netzpolitik.org –
Artikel lesen

Novelle des Polizeigesetzes: Sachsen will anlasslos mit Drohnen in fahrende Autos filmen

Die sächsische Polizei soll Menschen, die beim Autofahren ihr Handy bedienen, mit Drohnen jagen. Doch das ist nur ein Hammer im Polizeigesetz-Entwurf: Die Polizei soll in Zukunft auch Verhaltensscanner, Palantir-Datenanalyse, Live-Gesichtserkennung, Gesichter-Suchmaschinen und Staatstrojaner nutzen dürfen. Von Martin Schwarzbeck –
Artikel lesen

Digitaler Omnibus: Das EU-Parlament steuert auf den nächsten Konflikt zu

In Brüssel nimmt die Debatte um den „digitalen Omnibus“ an Fahrt auf. Während vier Fraktionen im EU-Parlament die Aufweichung von KI- und Datenschutzregeln kritisieren, begrüßen Konservative das Vorhaben grundsätzlich. Werden sie wieder mit Rechtsaußen-Fraktionen stimmen, um das Vorhaben durchzusetzen? Von Anna Ströbele Romero –
Artikel lesen

Verbotszone in Gießen: „Fatales Zeichen, wenn Protest verhindert werden soll“

Die Stadt Gießen hat mehrere Gegendemos in der Nähe der Gründungsveranstaltung der rechtsradikalen AfD-Jugend verboten. Die Anmelder wehren sich dagegen vor dem Verwaltungsgericht und kritisieren massive Einschränkungen der Versammlungsfreiheit. Von Markus Reuter –
Artikel lesen

Demoverbotszone in Gießen: Die Versammlungsfreiheit darf nicht der Polizeitaktik geopfert werden

Am Wochenende trifft sich die AfD-Jugend in Gießen. Mit einer faktischen Verbotszone in der Nähe der AfD-Veranstaltung beschränken Polizei und Stadt nun massiv das Grundrecht auf Versammlungsfreiheit. Doch Gegenproteste müssen in Hör- und Sichtweite stattfinden können. Ein Kommentar. Von Markus Reuter –
Artikel lesen

Frontex und Europol : Zwei EU-Agenturen sollen bei der Drohnenabwehr helfen

Die EU plant neue Strukturen zur Abwehr unbemannter Fluggeräte. Frontex könnte dazu ein erweitertes Mandat erhalten. Europol warnt vor zunehmender Nutzung durch organisierte und staatliche Akteure. Von Matthias Monroy –
Artikel lesen

EU-Rat einigt sich zur Chatkontrolle: Schlimmster Giftzahn gezogen, aber weiterhin gefährlich

Nach langer Blockade hat sich der EU-Rat bei der Chatkontrolle geeinigt. Zivilgesellschaftliche Organisationen sind erleichtert, dass die verpflichtende Chatkontrolle vom Tisch ist, warnen aber vor anderen problematischen Teilen im Gesetzentwurf. Von Markus Reuter –
Artikel lesen

Datenspende: „Digitaler Omnibus“ könnte Forschung zu Big-Tech erschweren

Weil Tech-Konzerne selten Zugang zu ihren Daten gewähren, ist unabhängige Forschung auf Datenspenden angewiesen. Damit könnte es jedoch bald vorbei sein, denn die EU-Kommission will das Datenauskunftsrecht einschränken. Ein offener Brief aus der Wissenschaft warnt vor schwerwiegenden Folgen für die Plattformforschung. Von Ingo Dachwitz –
Artikel lesen

Demoverbotszone Gießen: DGB legt Beschwerde gegen Beschluss des Verwaltungsgerichts ein

In der juristischen Auseinandersetzung um eine faktische „Demoverbotszone“ in Gießen hat das Verwaltungsgericht in einem Fall die Auflagen der Stadt bestätigt. Die möchte den Protest gegen die rechtsradikale AfD-Jugend auf die andere Seite der Stadt verlegen. Doch die Anmelder der Demos wehren sich weiter. Von Markus Reuter –
Artikel lesen

Lobbyismus: Palantir-Mitarbeiterin saß beim Souveränitätsgipfel mit Macron und Merz am Tisch

Eine hochrangige Palantir-Managerin nahm ausgerechnet am Gipfel zur digitalen Souveränität teil. Palantir gilt als Paradebeispiel für die Gefahren digitaler Abhängigkeiten. Das Bundeskanzleramt wusste offenbar nichts davon. Von Markus Reuter –
Artikel lesen

Interview zu WhatsApp: Von Emojis zum Mega-Datenleck

Forscher*innen aus Österreich entdeckten die freie Verfügbarkeit von 3,5 Milliarden WhatsApp-Profilen. Wie es zu dem spektakulären Fund kam und wie Meta auf ihre Warnung reagierte, erzählt Aljosha Judmayer, Co-Autor der Studie zum Datenleck. Von Paula Clamor –
Artikel lesen

Digitale Souveränität: Wie die EU Freie Software ausblendet

Wenn es nach den EU-Staatschef:innen geht, heißt „digitale Souveränität“, auf Technologie aus Europa zu setzen, so der Tenor auf dem Digitalgipfel Mitte November. Um sich von Big Tech unabhängig zu machen, ist aber weniger relevant, wo Lösungen herkommen, sondern vielmehr dass sie Open Source sind, entgegnen zivilgesellschaftliche Akteure. Von Esther Menhard –
Artikel lesen

Proteste gegen AfD-Jugend: Stadt Gießen will Demoverbotszone vor Gericht durchsetzen

Der Streit um eine von der Stadt Gießen verfügte Demoverbotszone geht nun in die nächste Instanz, vor den Hessischen Verwaltungsgerichtshof. Die Stadt beharrt darauf, die Proteste weit weg von der AfD-Veranstaltung zu verlegen. Von Markus Reuter –
Artikel lesen

Digital Fights: Digital Riots: Wie wir alle die verpflichtende Chatkontrolle gestoppt haben

Dank eines jahrelangen Kampfes ist die verpflichtende Chatkontrolle vorerst vom Tisch. Das ist ein Etappensieg für die Grundrechte. Doch die Befürworter von mehr Überwachung werden nicht locker lassen. Wir kämpfen weiter für die private und vertrauliche Kommunikation im Netz. Dafür brauchen wir deine Unterstützung! Von netzpolitik.org –
Artikel lesen

FAQ: Wie geht es weiter mit der Chatkontrolle?

Die verpflichtende Chatkontrolle ist vorerst vom Tisch, doch viele Fragen sind noch offen. Was ist der genaue Stand und welche Gefahren lauern im weiteren Prozess? Von Andre Meister, Anna Biselli, Markus Reuter –
Artikel lesen

Proteste gegen AfD-Jugend: Verwaltungsgerichtshof bestätigt Demoverbotszone in Gießen

Die Stadt Gießen hat sich mit einer versammlungsfeindlichen Demoverbotszone im gesamten Westteil der Stadt durchgesetzt, wo am Samstag der neue Jugendverband der AfD gegründet werden soll. Durch die Entscheidung wird Protest in Hör- und Sichtweite der Rechtsradikalen deutlich erschwert. Ein Eilantrag der Linken beim Bundesverfassungsgericht scheiterte. Von Markus Reuter –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Stadt Gießen hat sich mit einer versammlungsfeindlichen Demoverbotszone im gesamten Westteil der Stadt durchgesetzt, wo am Samstag der neue Jugendverband der AfD gegründet werden soll. Durch die Entscheidung wird Protest in Hör- und Sichtweite der Rechtsradikalen deutlich erschwert. Ein Eilantrag der Linken beim Bundesverfassungsgericht scheiterte.

Der Hessische Verwaltungsgerichtshof hat am Freitagabend die Demoverbotszone der Stadt Gießen bestätigt – und damit auch Beschlüsse des Verwaltungsgericht Gießens wieder kassiert. Damit darf keine Versammlung – weder Demonstration noch Kundgebung, Mahnwache oder Protestcamp – auf der Westseite der Stadt Gießen und damit in der Nähe der rechtsradikalen AfD-Veranstaltung stattfinden. Einzig und allein der Protest des Adenauer-Busses, der auf einem Privatgelände in der Nähe der Messe steht, ist bislang nicht verboten worden. Zudem ist in der mehr als zwei Kilometer von der Messe entfernten Gemeinde Heuchelheim eine Demonstration weiterhin erlaubt.

Zehntausende Menschen einer breiten politischen und bundesweiten Mobilisierung werden am Samstag zu Protesten gegen die AfD-Jugend in Gießen erwartet. Das Treffen der Rechtsradikalen findet in den privat geführten Messehallen im Westteil der Stadt statt. Gießen wird durch den Fluss Lahn in einen Ost- und Westteil getrennt. Die Stadt hatte am Dienstag die Versammlungen gegen die Rechtsradikalen wegen Sicherheitsbedenken per Verfügung auf die Ostseite verlegt. Dagegen wehrten sich die Anmelder:innen, unter anderem weil ein Protest in Hör- und Sichtweite des AfD-Treffens so nicht möglich sei.

Protest auf die andere Seite des Flusses verschoben

Während das Verwaltungsgericht Gießen am Donnerstag einige Versammlungen wieder am geplanten Ort erlaubte, hat nun die höhere Instanz, der Hessische Verwaltungsgerichtshof, die Auflagen der Stadt und damit eine faktische Demoverbotszone im Westen der Stadt bestätigt.

In einer Pressemitteilung des Gerichts (PDF) heißt es, dass auch auf der gegenüberliegenden Seite der Lahn ein Protest in Hör- und Sichtweite möglich sei. Zudem schreibt das Gericht:

Hinsichtlich der Versammlungen [..] spreche mit Blick auf die Ortsverlegungen ebenfalls Überwiegendes dafür, dass die Gefahrenprognose der Stadt Gießen rechtmäßig sei. Jedenfalls gehe aber eine aufgrund der Kürze der Zeit vorgenommene Folgenabwägung wegen Gefahren für Leib und Leben der Versammlungsteilnehmer, der eingesetzten Polizei- und Rettungskräfte sowie unbeteiligter Dritter zu Gunsten der Verlegung des Versammlungsortes aus.

Gegen den Beschluss kann nur noch vor dem Bundesverfassungsgericht in Karlsruhe ein Eilantrag gestellt werden. Bislang ist nicht bekannt, ob einer der Anmelder:innen dies tut. Eine kurzfristige Presseanfrage an den Anwalt blieb am Abend unbeantwortet.

Update 23 Uhr: Der Kreisverband der Linken in Gießen hat nun einen Eilantrag beim Bundesverfassungsgericht eingereicht, um die Kundgebung der Linken in der Nähe der Messehalle doch noch zu ermöglichen. Der Bundestagsabgeordnete Luke Hoß (Linke) unterstützt den Antrag. Er sagt gegenüber netzpolitik.org, dass es Aufgabe von Staat und Polizei sei, Versammlungen zu ermöglichen, nicht Einschränkungen bis ans Limit zu treiben oder gar zu verbieten. „Dass rund um die Hessenhalle nun eine widerspruchsfreie Zone für Rechtsextreme geschaffen werden soll, ist ein fatales Zeichen für unsere Demokratie. Protest darf und soll stören“, so Hoß weiter.

Update 29.11. – 16 Uhr: Das Bundesverfassungsgericht hat laut einer Mitteilung des linken MdB Luke Hoß den Antrag auf Erlass einer einstweiligen Anordnung gegen die Verlegung der Kundgebung in Gießen abgelehnt. Uns liegt die Ablehnung mittlerweile vor.

Luke Hoß kommentiert gegenüber netzpolitik.org: „Damit gab es keinen sicht- und hörbaren Kundgebungsort in der Nähe des Veranstaltungsortes, an dem gerade eine faschistische Jugendorganisation gegründet wird. Es kann nicht sein, dass Rechtsextreme unwidersprochen aufmarschieren dürfen! Wir kritisieren diese massiven Eingriffe in die Versammlungsfreiheit als unverhältnismäßig und als Verletzung von grundlegenden demokratischen Prinzipien.“

„Widersetzen“ kündigt zivilen Ungehorsam an

Ungeachtet der faktischen Demoverbotszone ist davon auszugehen, dass Menschen versuchen werden, auch im Westteil der Stadt zu protestieren. So hat das Bündnis Widersetzen (Ticker / Mastodon) zu Aktionen des zivilen Ungehorsams und Blockaden der AfD-Veranstaltung aufgerufen.

Gegenüber netzpolitik.org kritisierte Rieka Becker, Sprecherin von Widersetzen, die Kundgebungsverbote scharf: „Die Proteste haben ein Recht auf Sicht- und Hörweite zur Veranstaltung der AfD – es handelt sich um einen verfassungswidrigen Eingriff in die Versammlungsfreiheit, mit dem der unverhältnismäßigen Panikmache der Behörden nachgegeben wird.“ Das Bündnis Widersetzen werde sich aber nicht abhalten lassen, so Becker weiter: „Wir machen von unserem Recht auf zivilen Ungehorsam Gebrauch und werden uns morgen zu Tausenden dem Faschismus widersetzen.“

„Gericht und Stadt treten Grundrechte mit Füßen“

Ein Sprecher des Zentrums für politische Schönheit, das mit dem Adenauer-Bus in der Nähe der Halle steht, sagt gegenüber netzpolitik.org: „Wir sind fassungslos, dass wir jetzt die einzige Kundgebung sind, die überhaupt noch in der Nähe der Nazi-Veranstaltung möglich ist.“ Der Hessische Verfassungsgerichtshof erspare sich eine vernünftige Güterabwägung und folge unkritisch der fragwürdigen Gefahrenprognose der Polizei. „Gericht und Stadt treten die Grundrechte von zehntausenden Demonstranten mit Füßen. Den Schaden hat unsere Demokratie“, so der Sprecher weiter.

Schon am Dienstag hatte David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) die Verfügungen der Stadt Gießen gegenüber netzpolitik.org kritisiert: „Die Versammlungsfreiheit umfasst auch die freie Wahl des Ortes, dem insbesondere bei Gegenprotesten eine besondere Bedeutung zukommt.“ Der kommunikative Zweck einer Versammlung würde nur erreicht, wenn die Proteste in Sicht- und Hörweite ihres Gegenstandes – hier die Gründungsversammlung der AfD-Jugend – stattfinden könnten, so Werdermann. „Versammlungsfreie Zonen mögen zwar aus polizeitaktischer Sicht praktisch sein, sind aber unter Berücksichtigung der Versammlungsfreiheit unverhältnismäßig.“

Großeinsatz der Polizei

Zu den Protesten gegen die AfD werden laut Innenministerium und Polizei mehr als 50.000 Menschen erwartet. Gesichert dürfte sein, dass mindestens 10.000 Menschen mit Bussen aus dem ganzen Bundesgebiet anreisen, hinzu kommen die Gießener:innen, die zuletzt im Februar bei einer Demonstration gegen den Rechtsruck alleine 13.000 Menschen auf die Straße gebracht haben. Angekündigt sind neben klassischen Demonstrationen auch Aktionen des zivilen Ungehorsams wie Straßenblockaden. Insgesamt sind laut Polizeiangaben 20 Versammlungen gegen die AfD-Jugend angemeldet.

Die Polizei bereitet sich auf einen Großeinsatz mit laut Medienberichten 6.000 Polizist:innen sowie schwerem Gerät wie Wasserwerfern, Räumpanzern und Spezialfahrzeugen vor. Sie spricht von einem „herausfordernden Wochenende“, von verschiedener Seite wird das Schreckgespenst von Gewalt an die Wand gemalt, obwohl sich alle aufrufenden Bündnisse gegen eine Eskalation ausgesprochen haben.

Karte mit Protestaktionen

(nicht von netzpolitik.org gepflegt, keine Gewähr)

Vollbildanzeige

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die verpflichtende Chatkontrolle ist vorerst vom Tisch, doch viele Fragen sind noch offen. Was ist der genaue Stand und welche Gefahren lauern im weiteren Prozess?

Nach mehr als drei Jahren haben sich die Vertreter:innen der EU-Länder im Rat auf eine gemeinsame Position zur „Chatkontrolle“ geeinigt. Nachdem das Parlament schon 2023 eine Position fand, geht die Verordnung nun in den Trilog, die Verhandlungen zwischen Kommission, Parlament und Rat.

Die Verordnung enthielt mit der verpflichtenden Chatkontrolle eines der gefährlichsten Überwachungsprojekte überhaupt, das vertrauliche, private und verschlüsselte Kommunikation aufs Spiel setzt. Bei derzeitigem Stand scheint zumindest diese Gefahr gebannt. Aber die Verordnung enthält weitere Probleme.

Wir erklären, wie es auf dem Weg zum fertigen Gesetz jetzt weiter geht.

Inhalt

• Was hat die EU-Kommission vorgeschlagen?
• Was ist die Position des EU-Parlaments?
• Was ist die Position des Rats?
• Was ist der Trilog?
• Welche Knackpunkte gibt es bei den Trilog-Verhandlungen?
• Kann es sein, dass die verpflichtende Chatkontrolle doch noch kommt?
• Was ist eine freiwillige Chatkontrolle?
• Was ist das Problem an der freiwilligen Chatkontrolle?
• Ist der jetzt erreichte Stand ein Erfolg für die Grundrechte?
• Was kann ich als Einzelperson tun, um gegen problematische Vorhaben wie die Chatkontrolle aktiv zu werden?
• Wie lassen sich Kinder und Jugendliche vor sexualisierter Gewalt schützen?

Was hat die EU-Kommission vorgeschlagen?

Die EU-Kommission hat im Mai 2022 einen über 130-seitigen Gesetzentwurf vorgelegt. Erklärtes Ziel dessen ist es, Darstellungen sexualisierter Gewalt an Kindern und Jugendlichen zu bekämpfen. Dafür will die Kommission Folgendes:

• Anbieter von Hosting- und Kommunikationsdiensten sollen nach einer sogenannten Aufdeckungsanordnung die Kommunikation und Inhalte ihrer Nutzenden nach Darstellungen sexualisierter Gewalt gegen Kinder und Anbahnungsversuchen („Grooming“) scannen müssen.
• Wenn sie entsprechende Inhalte finden, müssen sie diese an ein EU-Zentrum melden. Das soll die Fälle prüfen und gegebenenfalls an Strafverfolgungsbehörden und Europol weiterleiten.
• Anbieter sollen dabei nicht nur nach bereits bekannten Inhalten suchen, sondern auch nach bisher unbekanntem Missbrauchsmaterial.
• Die Anordnungen beziehen sich auch auf verschlüsselte Kommunikation. Die müsste dafür umgangen werden – entweder indem bereits erfolgte Verschlüsselung gebrochen wird oder indem Inhalte auf den Geräten gescannt werden, bevor sie für den Versand verschlüsselt werden. Das nennt man Client-Side-Scanning.
• Neben dem als Chatkontrolle bekannten Scannen von Inhalten sieht der Vorschlag auch verstärkte Alterskontrollen vor, mit denen Anbieter ihr „Risiko“ verringern können, dass ihr Dienst etwa für Grooming missbraucht wird. Auch App Stores sollen eine Altersüberprüfung vornehmen.
• Wenn bei Hosting-Anbietern Missbrauchsdarstellungen gespeichert sind, soll es außerdem Netzsperren geben können, wenn diese trotz Anordnung nicht gelöscht werden.

Was ist die Position des EU-Parlaments?

Das EU-Parlament hat seine Position bereits im November 2023 festgelegt. Sie richtet sich in wichtigen Punkten gegen den Vorschlag der Kommission:

• Das Parlament will keine anlasslosen Aufdeckungsanordnungen für eine Chatkontrolle. Das Scannen soll nur für einzelne Nutzer:innen oder spezifizierte Gruppen erlaubt sein. Vorher muss es einen begründeten Verdacht geben, dass eine Verbindung zu Darstellungen sexualisierter Gewalt besteht. Die Anordnungen sollen außerdem mit einem Richtervorbehalt versehen sein.
• Verschlüsselte Kommunikation soll nicht gescannt werden dürfen. Damit lehnt das Parlament auch das sogenannte Client-Side-Scanning ab, bei dem Inhalte vor dem verschlüsselten Versand auf den Geräten der Nutzenden gescannt werden.
• Das Parlament will auch die Arten des Materials einschränken, nach denen gesucht werden darf. Eine Grooming-Erkennung, bei der nach Anbahnungsversuchen von Erwachsenen an Kinder gesucht wird, nimmt die Parlamentsposition aus.
• Bei der Altersüberprüfung setzt das Parlament auf Freiwilligkeit, außer bei Pornoseiten.
• Über den Kommissionsvorschlag hinaus gehen die Abgeordneten bei Schutzmaßnahmen, die Diensteanbieter etwa durch Standardeinstellungen treffen müssen. Nutzende sollen nicht mehr direkt ungewollte Nachrichten von Unbekannten empfangen müssen. Das Teilen von persönlichen Kontaktdaten soll eingeschränkt werden. Dienste sollen ihren Nutzer:innen leicht zugängliche Mechanismen bereitstellen, um andere zu blockieren, stummzuschalten oder mögliches Missbrauchsmaterial zu melden.

Bei der Parlamentsposition ist es wichtig zu wissen, dass sie vor der letzten Europawahl entstand. Seitdem haben sich die Mehrheitsverhältnisse geändert, es gab schon Anzeichen, dass sich die Position des Parlaments ändern könnte.

Was ist die Position des Rats?

Die EU-Staaten haben sich im November 2025 nach jahrelangen Verhandlungen auf ihre Position geeinigt.

• Die wichtigste Änderung: Internet-Dienste sollen nicht dazu verpflichtet werden, die Kommunikation ihrer Nutzer zu scannen. Der Rat streicht den ganzen Abschnitt zu „Aufdeckungspflichten“.
• Internet-Dienste dürfen die Inhalte ihrer Nutzer jedoch freiwillig scannen, wenn es nach den Mitgliedstaaten geht. Die E-Privacy-Richtlinie von 2002 verbietet das eigentlich. Das neue Gesetz soll die freiwillige Chatkontrolle jedoch dauerhaft erlauben.
• Das betrifft nicht nur Bilder und URLs, sondern auch Texte und Videos.
• Andere Teile des ursprünglichen Gesetzentwurfs bleiben nur wenig verändert.
• Wie im Kommissionsvorschlag sollen App Stores und Dienste für vertrauliche Kommunikation das Alter ihrer Nutzer prüfen und Kinder ausschließen.

Was ist der Trilog?

Beim informellen Trilog verhandeln Kommission, Rat und Parlament der EU. Ziel ist es, sich zwischen den drei EU-Organen auf eine gemeinsame Position zu einem Gesetzesvorhaben zu einigen. In der Regel haben sich Rat und Parlament vorher auf ihre jeweils eigenen Standpunkte zu einem Gesetzesvorschlag der Kommission geeinigt und gehen mit dem entsprechenden Verhandlungsmandat in die Gespräche.

Wichtiger Bestandteil des Trilogs sind die sogenannten Vier-Spalten-Dokumente. In den ersten drei Spalten sind die einzelnen Positionen der EU-Organe verzeichnet, die vierte Spalte enthält die aktuelle Einigung – sie wird beständig aktualisiert.

Bei den informellen Trilog-Verhandlungen gibt es erhebliche Transparenzprobleme, weil sie hinter verschlossenen Türen stattfinden. Die frühere EU-Bürgerbeauftragte Emily O’Reilly rügte etwa nach einer Beschwerde im Jahr 2023 das Parlament, weil es die wichtigen Vier-Spalten-Dokumente auf Anfrage von Nichtregierungsorganisationen viel zu spät herausgab. Sie forderte, dass diese proaktiv veröffentlicht werden müssen, damit Bürger:innen Entscheidungen nachvollziehen und sich beteiligen können.

Welche Knackpunkte gibt es bei den Trilog-Verhandlungen?

Aus einer Grundrechtsperspektive werden folgende Punkte bei den Verhandlungen besonders wichtig sein:

• Wird es ein verpflichtendes, freiwilliges oder anlassbezogenes Scannen geben?
• Wenn es eine freiwillige Chatkontrolle geben sollte – wie groß sind die Anreize, diese durchzuführen?
• Wonach sollen die Anbieter suchen dürfen? Nach bereits bekanntem Material oder mit fehleranfälligen Erkennungsmethoden auch nach unbekannten Darstellungen oder Anbahnungsversuchen?
• Bleibt verschlüsselte Kommunikation geschützt?
• Soll es Netzsperren für Darstellungen sexualisierter Gewalt geben oder setzt man auf konsequentes Löschen?
• Wird es Alterskontrollen geben – und für welche Anbieter oder App Stores?

Kann es sein, dass die verpflichtende Chatkontrolle doch noch kommt?

Es gilt der alte Grundsatz: „Nothing is agreed until everything is agreed“. Das heißt, bis alles geklärt ist, ist nichts in Stein gemeißelt. Im Trilog gibt es nun drei verschiedene Positionen: Die EU-Kommission will die verpflichtende Chatkontrolle nach Anordnung. Das EU-Parlament will verpflichtende Chatkontrolle nach richterlichem Beschluss und begrenzt auf verdächtige Nutzer:innen- und -gruppen, ausgenommen sollen verschlüsselte Kommunikationen sein. Der Rat will eine freiwillige Chatkontrolle, die Anbieter durchführen können, um „Risiken zu mindern“.

Was ist eine freiwillige Chatkontrolle?

Bei einer freiwilligen Chatkontrolle können Dienste-Anbieter Inhalte ohne rechtliche Verpflichtung scannen. Ob Dienste eine Chatkontrolle für alle oder nur manche Nutzer:innnen einführen, ist ihnen überlassen. Ob Dienste-Anbieter ihren Nutzer:innen erlauben, die Chatkontrolle an- oder auszuschalten, ist ihnen ebenfalls überlassen.

Bislang haben Anbieter wie Facebook unverschlüsselte Kommunikation gescannt. Sie überprüfen zum Beispiel, ob in einer Datenbank enthaltene Hashes verschickt werden. Die US-Organisation NCMEC etwa sammelt solche Hashes zu bekannten Darstellungen sexualisierter Gewalt. Viele Hinweise zu Besitz oder Verbreitung entsprechender Inhalte, welche die Polizei erhält, stammen aus der freiwilligen Chatkontrolle.

Was ist das Problem an der freiwilligen Chatkontrolle?

Egal ob ein Anbieter die Inhalte seiner Nutzer:innen freiwillig oder nach einer Anordnung scannt: Es verletzt das Recht auf vertrauliche Kommunikation. Das verstößt unter anderem gegen die Regeln aus der ePrivacy-Richtlinie.

Der EU-Datenschutzbeauftragte forderte bei Ausnahmen von diesem Grundsatz „klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme“ sowie Mindesterfordernisse.

Auch bei der freiwilligen Chatkontrolle kann es zu Fehlern kommen. Bekannt wurde der Fall eines Vaters, der eine Mail an den Arzt seines Sohnes schickte, die ein Foto des Genitalbereiches des erkrankten Kindes enthielt. Auf den Google-Servern schlug ein Erkennungsmechanismus an. Ein falscher Verdacht: Die Polizei ermittelte gegen den Vater, sein Google-Account samt aller Daten wurde gelöscht.

Ist der jetzt erreichte Stand ein Erfolg für die Grundrechte?

Das schlimmste Element des Kommissionsvorschlags, die verpflichtende Chatkontrolle für ganze Dienste, auch für verschlüsselte Kommunikation, wollen weder Parlament noch Rat. Dass diese Form der Chatkontrolle abgewehrt wurde, ist Menschen in Wissenschaft, Wirtschaft, Politik, Medien und Zivilgesellschaft zu verdanken. Sie haben zusammen an unterschiedlichen Stellen die Gefährlichkeit der Chatkontrolle sichtbar gemacht, dabei Bewusstsein geschaffen und einen öffentlichen Aufschrei ausgelöst.

Die Sache ist aber noch lange nicht ausgestanden: Es gibt weiterhin zahlreiche problematische Teile der Verordnung wie Netzsperren, freiwillige Chatkontrolle und Alterskontrollen, welche die Anonymität im Netz gefährden. Und es gibt neue Anläufe, um an verschlüsselte Kommunikation heranzukommen wie „Protect EU“.

Was kann ich als Einzelperson tun, um gegen problematische Vorhaben wie die Chatkontrolle aktiv zu werden?

Ein Schlüssel sind Information und Aufklärung: Erkläre in Deinem Umfeld in möglichst einfachen Worten und Bildern, was genau an diesen komplexen technischen Verfahren und Überwachungsprojekten gefährlich ist. Bei der Chatkontrolle war die Stärke, dass sachlicher Widerspruch in ungeahnter Breite von den unterschiedlichsten Akteur:innen und Allianzen vorgetragen wurde. Das macht Eindruck, wenn nicht nur die üblichen Verdächtigen „Alarm“ rufen. Eine solche gesellschaftliche Breite aufzubauen, liegt an jedem von uns und unseren Netzwerken.

Darüber hinaus kann man sich in Organisationen und Initiativen engagieren oder diesen Geld spenden, Petitionen unterschreiben, offene Briefe initiieren, Infoveranstaltungen machen, Abgeordnete anrufen, Aufkleber drucken oder auf der Straße protestieren gehen. Es gibt unzählige Möglichkeiten.

Sieben Werkzeuge für den Online-Rabatz

Wie lassen sich Kinder und Jugendliche vor sexualisierter Gewalt schützen?

Es ist wichtig, Kinder und Jugendliche vor sexualisierter Gewalt zu schützen. So sind Anlaufstellen für Kinder etwa im Netz möglich, damit sie einfach melden können, wenn sie sich beispielsweise in einem Spiele-Chat unwohl fühlen, weil ein Erwachsener sie bedrängt.

Viele Präventionsmöglichkeiten setzen jedoch in der analogen Welt an, damit es gar nicht erst zu den Taten kommt. Denn ein Großteil sexualisierter Gewalt findet im sozialen Nahfeld statt, also etwa in Familien, Schulen, Sportvereinen und an anderen Orten, wo sich Kinder aufhalten. Hier braucht es Schutzkonzepte, damit Erwachsene ihre Vertrauensverhältnisse zu Kindern nicht so leicht ausnutzen können und diese Ansprechpersonen haben.

Ein wichtiger Pfeiler der Präventionsarbeit sind auch Sozialarbeiter:innen und Jugendämter, damit jemand hinschauen und handeln kann, wenn ein Kind in Not gerät. Die sind jedoch unterbesetzt und nicht ausreichend finanziert.

Falls es zu sexualisierter Gewalt gekommen ist und Darstellungen davon im Netz verbreitet werden, gilt seit Jahren neben der konsequenten Strafverfolgung das Löschen der Inhalte als Erfolgsrezept. Fast alle Hosting-Anbieter sind dabei schnell und kooperativ. Es braucht eine Verpflichtung für Behörden, bei einem Fund von Gewaltdarstellungen immer auf deren Entfernung hinzuwirken, damit sich die Inhalte nicht weiter verbreiten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Dank eines jahrelangen Kampfes ist die verpflichtende Chatkontrolle vorerst vom Tisch. Das ist ein Etappensieg für die Grundrechte. Doch die Befürworter von mehr Überwachung werden nicht locker lassen. Wir kämpfen weiter für die private und vertrauliche Kommunikation im Netz. Dafür brauchen wir deine Unterstützung!

Die EU-Kommission verfolgt mit der Chatkontrolle den Plan, unsere Kommunikation über Messenger und E-Mail anlasslos zu überwachen – sogar wenn diese verschlüsselt ist. Doch eine demokratische Gesellschaft braucht vertrauliche Kommunikation und Privatsphäre. Eine sichere Ende-zu-Ende-Verschlüsselung schützt uns alle im Alltag – ob nun beim Online-Banking, im Familienchat oder im Gespräch mit der Rechtsanwältin.

Dank eines jahrelangen Kampfes von Menschen in Wissenschaft, Wirtschaft, Medien, Politik und Zivilgesellschaft ist die verpflichtende Chatkontrolle vorerst vom Tisch. Das ist ein Etappensieg für die Grundrechte. Doch die Befürworter von mehr Überwachung werden nicht locker lassen. Wir kämpfen daher weiter für das digitale Briefgeheimnis und die sichere Kommunikation im Netz!

Dafür brauchen wir deine Unterstützung.

In diesem Jahr fehlen uns noch 314.397 Euro.

Teile dieses Video: YouTube | YouTube Shorts | Mastodon | Bluesky | Instagram

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Streit um eine von der Stadt Gießen verfügte Demoverbotszone geht nun in die nächste Instanz, vor den Hessischen Verwaltungsgerichtshof. Die Stadt beharrt darauf, die Proteste weit weg von der AfD-Veranstaltung zu verlegen.

Im Vorfeld der erwarteten Großproteste gegen die Gründungsveranstaltung der rechtsradikalen AfD-Jugend am kommenden Wochenende ist die Stadt Gießen beim lokalen Verwaltungsgericht mit dem Versuch gescheitert, eine Art Demoverbotszone in der West-Hälfte der Stadt zu errichten. Vor dem Gericht waren etliche Eilanträge gegen die Stadt erfolgreich.

Nun legt die Stadt jedoch Beschwerde beim Hessischen Verwaltungsgerichtshof gegen die Beschlüsse des Verwaltungsgerichts ein. Damit ist wieder offen, ob die Versammlungen am angemeldeten Ort stattfinden können.

Das Treffen der Rechtsradikalen findet in den Messehallen im Westteil Gießens statt. Gießen wird durch den Fluss Lahn in einen Ost- und Westteil getrennt. Die Stadt will Versammlungen gegen die Rechtsradikalen wegen Sicherheitsbedenken auf die Ostseite verlegen – so wäre allerdings ein Protest in Hör- und Sichtweite des AfD-Treffens nicht möglich.

Rechtsstreit geht weiter

Dagegen hatten sich die Anmelder:innen von elf Versammlungen vor dem Verwaltungsgericht in Gießen gewehrt. Das Gericht hatte am Mittwoch zwar die Verlegung der Demonstration des Deutschen Gewerkschaftsbundes bestätigt, heute aber gleich mehrere Kundgebungen, Mahnwachen und ein Protestcamp im Westen der Stadt wieder erlaubt. Der DGB und der Anmelder einer weiteren Versammlung ziehen wegen der von der Stadt verfügten Verlegung nun in die nächste Instanz, vor den Hessischen Verwaltungsgerichtshof.

Eine Pressesprecherin der Stadt Gießen bestätigte am Donnerstagabend gegenüber netzpolitik.org, dass die Stadt gegen die heutigen Beschlüsse ebenfalls Beschwerde bei der nächsten Instanz einlegen wird. Bei den dadurch umstrittenen Veranstaltungen handelt sich laut einer Sprecherin um folgende:

• Versammlung von der Partei Die Linke – 1.000 Teilnehmer:innen angemeldet – Rodheimer Str. Ecke / An der Hessenhalle
• Versammlung Protestcamp für 1.000 Teilnehmer:innen auf der „Hundewiese“ hinter Lidl
• Versammlung Attac 1 / Kundgebung in der Hardtallee, 20-50 Teilnehmer:innen
• Versammlung Attac 2 / Kundgebung Krofdorfer Str/ Ecke Kropbacher Weg, 20-50 Teilnehmer:innen
• Versammlung Attac 3 Lehmweg, 20-50 Teilnehmer:innen

Die Versammlungsfreiheit darf nicht der Polizeitaktik geopfert werden

Versammlungsfreiheit heißt: Proteste in Hör- und Sichtweite

Das Ordnungsamt der Stadt argumentiert, dass wegen der Versammlungen und des fehlenden Platzes und der möglichen Blockade von Fluchtwegen die Unversehrtheit aller Beteiligten nicht gewährleistet werden könne. Dem gegenüber steht das Grundrecht auf Versammlungsfreiheit, das eigentlich die freie Wahl des Ortes sowie einen Protest in Hör- und Sichtweite des Adressaten garantiert.

David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) sagt gegenüber netzpolitik.org: „Die Versammlungsfreiheit umfasst auch die freie Wahl des Ortes, dem insbesondere bei Gegenprotesten eine besondere Bedeutung zukommt.“ Der kommunikative Zweck einer Versammlung würde nur erreicht, wenn die Proteste in Sicht- und Hörweite ihres Gegenstandes – hier die Gründungsversammlung der AfD-Jugend – stattfinden könnten, so Werdermann. „Versammlungsfreie Zonen mögen zwar aus polizeitaktischer Sicht praktisch sein, sind aber unter Berücksichtigung der Versammlungsfreiheit unverhältnismäßig.“

Großeinsatz der Polizei

Zu den Protesten gegen die AfD werden laut Innenministerium und Polizei mehr als 50.000 Menschen erwartet. Gesichert dürfte sein, dass mindestens 10.000 Menschen mit Bussen aus dem ganzen Bundesgebiet anreisen, hinzu kommen die Gießener:innen, die zuletzt im Februar bei einer Demonstration gegen den Rechtsruck alleine 13.000 Menschen auf die Straße gebracht haben. Angekündigt sind neben klassischen Demonstrationen auch Aktionen des zivilen Ungehorsams wie Straßenblockaden. Insgesamt sind laut Polizeiangaben 20 Versammlungen gegen die AfD-Jugend angemeldet.

Die Polizei bereitet sich auf einen Großeinsatz mit einer „mittleren vierstelligen Zahl“ von Polizist:innen sowie schwerem Gerät wie Wasserwerfern, Räumpanzern und Spezialfahrzeugen vor. Sie spricht von einem „herausfordernden Wochenende“.

Durch die Beschwerden vor dem Hessischen Verwaltungsgerichtshof bleibt vorerst offen, wo in der Stadt es am Wochenende offiziell angemeldete Versammlungen geben wird. Sollte sich die Stadt mit ihrer Demoverbotszone durchsetzen, dürfte die Polizei alle, die dennoch auf der Westseite protestieren, ohne den Schutz der Versammlungsfreiheit und mit deutlich weitergehenden Befugnissen am Protest hindern.

Die in der Messehalle versammelten Rechtsradikalen könnten sich dann freuen, dass die Polizei ihnen den Weg ebnet und direkt sichtbaren Protest vom Leib hält.

Übersicht der Versammlungen (Stand 28.11. – 16 Uhr):

• Mahnwache von Attac: Lehmweg/An den Hessenhallen: Eilantrag vor VG Gießen erfolgreich / Stadt legt Beschwerde ein
• Mahnwache von Attac Krofdorfer/Kropbacher: Eilantrag vor VG Gießen erfolgreich / Stadt legt Beschwerde ein
• Mahnwache von Attac Hardtallee: Eilantrag vor VG Gießen erfolgreich / Stadt legt Beschwerde ein
• Kundgebung der Linkspartei Rodheimer Str. / Hessenhalle: Eilantrag vor VG Gießen erfolgreich / Stadt legt Beschwerde ein
• Protestcamp von Anarchietage: Eilantrag vor VG Gießen erfolgreich / Stadt legt Beschwerde ein
• Mahnwache von Anarchietage Rodheimer Straße/Lidl: Eilantrag vor VG Gießen erfolgreich
• Demo des DGB: Eilantrag vor VG Gießen erfolglos / DGB reicht Beschwerde ein
• Kundgebung Lehmweg von Anarchietage: Eilantrag vor VG Gießen erfolglos / Anmelder legt Beschwerde ein

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn es nach den EU-Staatschef:innen geht, heißt „digitale Souveränität“, auf Technologie aus Europa zu setzen, so der Tenor auf dem Digitalgipfel Mitte November. Um sich von Big Tech unabhängig zu machen, ist aber weniger relevant, wo Lösungen herkommen, sondern vielmehr dass sie Open Source sind, entgegnen zivilgesellschaftliche Akteure.

Der dänischen Regierung reicht es. Sie will sich von Microsoft unabhängig machen. So titelte die dänische Zeitung Politiken. Hinter dem Entschluss steht die Politik des US-Präsidenten Donald Trump zu Grönland. Die Insel nördlich von Amerika, ist ein selbstverwalteter Teil des Königreichs Dänemark mit einem eigenen Regierungschef, Jens-Frederik Nielsen. Trump hat seit Anfang des Jahres immer wieder Besitzansprüche an Grönland angemeldet.

Dass Trump seine Macht über technologische Hebel ausspielen kann, zeigt sein Einfluss auf das Leben von Richtern am Internationalen Strafgerichtshof. Dazu gehört etwa der französische Richter Nicolas Guillou. Seit August sind die Dienste von US-amerikanischen Tech-Unternehmen wie Microsoft und Google für ihn gesperrt – als Folge der Sanktionierung durch Trump.

Gillou habe keinen Zugriff mehr auf seine Konten bei Amazon und Paypal, schreibt LeMonde; allen Dienstleistern sei untersagt, ihm Zugang zu Big-Tech-Diensten zu gewähren. Zusammen mit seinem Kollegen Karim Khan und anderen hatte er als Richter in Den Haag einen Haftbefehl gegen den israelischen Premierminister Benjamin Netanjahu und den ehemaligen israelischen Verteidigungsminister Joaw Galant ausgesprochen.

Gipfel zur europäischen digitalen Souveränität

Die autoritäre Politik Trumps hat das Thema digitale Souveränität aus seinem Nischendasein gehoben. Das zeigte der Gipfel zur europäischen digitalen Souveränität Mitte November in Berlin. Neben Unternehmen und Wirtschaftsverbänden fanden sich hier Politiker:innen aus mehreren europäischen Ländern zusammen. Eingeladen hatten Bundeskanzler Friedrich Merz und Frankreichs Präsident Emmanuel Macron.

Große Einigkeit bestand unter den Beteiligten vor allem darin: Man muss sich von US-amerikanischer wie auch chinesischer Technologie unabhängiger machen. Wie das geschehen soll? Darauf gab es zwei große Antworten. Einmal: „buy european“, also die Aufforderung, möglichst europäische Technologie einzukaufen.

Die zweite Antwort auf das Souveränitätsproblem lautete: Wettbewerbsfähigkeit fördern, um „Innovationsführerschaft“ zu erlangen. In den Worten Macrons: „Europa hat das Zeug dazu, im digitalen Zeitalter eine Führungsrolle zu übernehmen.“ Das soll durch eine umfassende Deregulierung erreicht werden. So wollen EU-Staaten und die Europäische Kommission EU-Digitalgesetze massiv schleifen, etwa beim Thema Datenschutz.

„Open Source ausgeblendet“

Eine naheliegende Antwort war auf dem Gipfel kein Thema: bei der Entwicklung, beim Einkauf und beim Betrieb öffentlicher IT auf Open-Source-Lösungen, also Freie Software setzen. Zwar sprach Merz in seiner Gipfel-Rede von der wichtigen Rolle des Zentrums für digitale Souveränität (ZenDiS) in Deutschland. Und er erwähnte openDesk, eine Open-Source-Lösung des ZenDiS für die öffentliche Verwaltung, mit der diese sich von Microsofts Bürosoftware unabhängig machen soll. Doch nach Vertreter:innen aus der Open-Source-Branche, geschweige denn nach Open-Source-Expert:innen aus der Zivilgesellschaft musste man beim Gipfel mit der Lupe suchen.

Dass der Gipfel Open Source weitgehend ausgeblendet habe, kritisierte etwa die Gesellschaft für Informatik e. V. (GI) als „das gravierendste Versäumnis“.

Dabei gäbe es inzwischen viele Positivbeispiele für einen erfolgreichen Wechsel zu Open-Source-Lösungen: Schleswig-Holstein stellt 30.000 Arbeitsplätze auf LibreOffice um und beendet Microsoft-Verträge. Die Thüringer Landesverwaltung pilotiert openDesk. Immer mehr Hochschulen nutzen für ihre Wissenschaftskommunikation Mastodon als soziales Medium. Und das österreichische Bundesheer stellt auf LibreOffice um.

„Buy european“

Auf den Gipfel-Panels stellten sich stattdessen mehrere europäische Technologiefirmen vor, so beispielsweise die Cloud-Hersteller OHVcloud oder Schwarz Digits. Auch der wirtschaftliche Zusammenschluss europäischer Unternehmen unter der Initiative EuroStack war vertreten.

Für viel Furore sorgte bereits im Vorfeld des Gipfels die geplante Kooperation des deutschen Unternehmens SAP und des französischen KI-Herstellers Mistral AI. Sie wollen eine souveräne KI-Lösung für die öffentliche Verwaltung entwickeln. Beide Unternehmen stellen proprietäre Software-Lösungen her. Für beide Unternehmen spielt zudem der Tech-Riese Microsoft eine wesentliche Rolle. Erst letztes Jahr investierte Microsoft in Mistral; der Tech-Gigant ist langjähriges Partnerunternehmen von SAP.

„Es ist gut, dass die Bundesregierung und andere europäische Länder endlich darüber nachdenken, wie sie die Abhängigkeit ihrer Verwaltung und ihrer digitalen Infrastrukturen lösen können“, so Johannes Näder von der Free Software Foundation Europe (FSFE). „Doch der Appell ‚buy european‘ allein reicht nicht aus.“ Wenn die öffentliche Hand wirklich digital souverän werden wolle, brauche es ein klares Bekenntnis zu Freier Software, die vier grundlegenden Prinzipien entspricht: Die Software muss für alle nutzbar sein, alle müssen den Code einsehen und weitergeben dürfen. Und alle müssen die Freiheit haben, den Code weiterzuentwickeln.

Für Freie Software

Dafür brauche es vor allem eine klare Entscheidung für Freie Software und eine nachhaltige Finanzierung, nicht nur für die Entwicklung, sondern auch für Wartung und Betrieb. „Wenn ab sofort ein steigender Anteil der öffentlichen Gelder, die jetzt noch für Softwarelizenzen ausgegeben werden, in Freie Software fließt, stärkt das nicht nur Europas Souveränität, sondern auch den europäischen Standort.“

In Europa gebe es viele kleine und mittlere Unternehmen, die hervorragende Freie Software anbieten. „Diese Lösungen sind auf dem Markt. Der Staat sollte seine Souveränität steigern, indem er sie beschafft, finanziert und nutzt. Das ist einfacher und aussichtsreicher, als europäische Einhörner aufzubauen.“

Umso erfreulicher ist eine Nachricht von der vierten Digitalministerkonferenz (DMK). Sie stimmte einem Antrag Schleswig-Holsteins zu, wonach beim Deutschland-Stack Open Source bevorzugt eingesetzt werden soll. Am Montag trafen sich die Digitalminister:innen der Länder mit Bundesdigitalminister Karsten Wildberger (CDU), Klaus Müller von der Bundesnetzagentur und Claudia Plattner vom Bundesamt für die Sicherheit in der Informationstechnik. Auf der Themenliste dominierte die Digitalisierung der öffentlichen Verwaltung. Kernprojekt der Bundesregierung ist hier der Deutschland-Stack (D-Stack).

Die Idee dazu hat sie in ihrer Modernisierungsagenda (PDF) als „eine sichere, interoperable, europäisch anschlussfähige und souveräne Technologie-Plattform zur Digitalisierung der gesamten Verwaltung“ umschrieben. Bereits im Sommer hatte Schleswig-Holstein ein Impulspapier zum Stack veröffentlicht. Eines der Anliegen: Die Politik soll die Digitalwirtschaft aktiv „in die Entwicklung von Open-Source-Lösungen“ einbinden.

„Bürger:innen in Stack-Überlegungen einbeziehen“

Auch die FSFE fordert für den Stack, dieser müsse vollständig als Freie Software veröffentlicht werden. Alle enthaltenen Komponenten sollten demnach unter einer Freie-Software-Lizenz stehen.

Zudem empfiehlt die FSFE, dass Deutschland hierzu mit anderen europäischen Partnerländern zusammen an Lösungen arbeitet. Nur so könnten diese europaweit anschlussfähig sein. Um zu gewährleisten, dass sie nachhaltig sind, müsse die Finanzierung für Entwicklung, Wartung und Betrieb langfristig abgesichert sein.

Besonders wichtig sei jedoch auch, dass die Politik die Bürger:innen in die Stack-Überlegungen einbezieht. Neben Staat und Verwaltung brauchen auch europäische Unternehmen, Zivilgesellschaft und „Organisationen von Schulen bis hin zu freiwilligen Feuerwehren“ digital souveräne Lösungen. Für sie sollte der Stack nachnutzbar sein, und dies könne nur gelingen, wenn die Zivilgesellschaft bei der Planung des Stacks einbezogen wird.

Wie genau der Beschluss umgesetzt wird, Open Source bevorzugt zu beschaffen und zu nutzen, muss sich noch zeigen. Der Konsultationsprozess zum D-Stack läuft noch bis Ende November.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Forscher*innen aus Österreich entdeckten die freie Verfügbarkeit von 3,5 Milliarden WhatsApp-Profilen. Wie es zu dem spektakulären Fund kam und wie Meta auf ihre Warnung reagierte, erzählt Aljosha Judmayer, Co-Autor der Studie zum Datenleck.

Am 18. November machte eine Forschungsgruppe der Universität Wien und des Forschungszentrums SBA Research einen der „größten Datenabflüsse aller Zeiten“ bekannt. Der Gruppe war es gelungen, 3,5 Milliarden Nutzer-Profile des Messengerdienstes WhatsApp zu sammeln, inklusive Profilbildern, Infotexten und öffentlichen Schlüsseln. Die dazugehörige Studie „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“ veröffentlichten sie, nachdem Mutterkonzern Meta die Sicherheitslücke geschlossen hatte.

Die abgeflossenen Daten stuft WhatsApp als öffentlich ein. Dennoch konnten die Forscher*innen vieles aus ihnen ablesen. Auch Profile von WhatsApp-Nutzenden in China, Myanmar und Nordkorea fanden sie. In diesen Ländern ist der Instant-Messenger verboten. Aljosha Judmayer ist Teil der Fakultät für Computerwissenschaften der Universität Wien und Co-Autor der Studie. Er spricht über den erstaunlichen Fund des Datenlecks und dessen Implikationen.

netzpolitik.org: Herr Judmayer, Ihnen ist es gelungen, praktisch das gesamte WhatsApp-Nutzerverzeichnis mit rund 3,5 Milliarden Profilen ungehindert abzurufen und zu analysieren. Wie haben Sie es geschafft, eine so große Menge an Daten zu sammeln?

Aljosha Judmayer: Unsere Forschungsgruppe befasst sich schon länger mit Instant-Messengern wie WhatsApp oder Signal. Im Zuge anderer Projekte sind wir auf eine kleine Sicherheitslücke bei einer Funktion von WhatsApp gestoßen. Ein Kollege ist dann auf die Idee gekommen, die Software-Schnittstelle zwischen WhatsApps Teilnehmerverzeichnis und dem Smartphone-Adressbuch auch auf diese Sicherheitslücke zu untersuchen.

netzpolitik.org: Was fanden Sie dort?

Aljosha Judmayer: Durch die Programmschnittstelle zwischen Nutzerverzeichnis und Adressbuch können Nutzende schauen, ob ihre Kontakte bei WhatsApp registriert sind. Wir haben das einfach in sehr großem Stil gemacht. Wir haben es geschafft, einen Katalog von Milliarden von generierten, aber möglichen Telefonnummern mit dem Nutzerverzeichnis abzugleichen und konnten so ungefähr 3,5 Milliarden WhatsApp-Profile ausfindig machen.

„Es gab keine Obergrenze“

netzpolitik.org: WhatsApp hat die Zahl der Anfragen nicht begrenzt?

Aljosha Judmayer: Es gab keine Obergrenze, wie viele Telefonnummern man in einer gewissen Zeit abfragen kann, also kein Rate-Limiting. Anhand der Telefonnummern konnten wir durch andere Abfragen auch an Nutzerinfos gelangen, wie das Profilbild, den Info-Text und die öffentlichen Schlüssel des Profils.

netzpolitik.org: Waren Sie überrascht über das Ausmaß der Sicherheitslücke?

Aljosha Judmayer: Ja, wir waren sehr überrascht. Zwischen dem ersten Projekt, durch das wir auf fehlendes Rate-Limiting bei einer Funktion von WhatsApp aufmerksam wurden, und dem Aufdecken des Datenlecks haben wir uns noch mit sogenannten One-time Prekeys beschäftigt. Dabei haben wir die schon angesprochene kleine Sicherheitslücke gefunden. Die haben wir Meta gemeldet und darauf hingewiesen, dass das dort fehlende Rate-Limiting vielleicht auch in anderen Bereichen zum Tragen kommen könnte, zum Beispiel beim Nutzerverzeichnis.

netzpolitik.org: Wie hat Meta reagiert?

Aljosha Judmayer: Wir haben sehr generische Antworten erhalten, im Sinne von: „Danke, schauen wir uns an.“ Wir dachten dann, dass man sich bei Meta offenbar sehr sicher ist, dass es bei Telefonnummern ein Rate-Limit gibt. Also haben wir angefangen, uns das selbst anzuschauen. Wir haben erwartet, dass wir relativ schnell geblockt werden, weil das ja doch etwas heikel ist. Wir sind ja nicht die ersten, die auf die Idee kamen, Telefonnummern zu enumerieren. Als es dann doch funktioniert hat, waren wir sehr überrascht.

„Wir wollten das System ausreizen“

netzpolitik.org: Sie haben gerade ein anderes Projekt erwähnt, durch das Sie als erstes auf fehlendes Rate-Limiting bei WhatsApp gestoßen sind. Worum ging es in dem Projekt?

Aljosha Judmayer: Es basierte auf der Funktion von WhatsApp, bei der man mit Emojis auf Nachrichten reagieren kann. Wenn wir in einem Messenger wie Signal oder WhatsApp Nachrichten bekommen, schickt unser Gerät automatisch Nachrichten an den Sender zurück, auch ohne dass wir antworten. In denen sagt unser Gerät so viel wie: Ja passt, habe ich bekommen, konnte ich entschlüsseln, alles erfolgreich. Diese Bestätigungen werden automatisch verschickt, ohne das man es merkt. Und sie werden auch dann verschickt, wenn jemand mit einem Emoji auf eine Nachricht reagiert und dann das Emoji noch mal verändert. Nur bekomme ich als Empfänger das nicht mit.

netzpolitik.org: In welchem Zusammenhang steht das mit Rate-Limiting?

Aljosha Judmayer: Wir dachten uns: Na gut, wenn der Empfänger das nicht merkt, kann man das ja auch sehr oft machen, im Sekundentakt. Vielleicht kann man aus den Zeiten, die die Anfrage braucht von Handy zu WhatsApp-Server und wieder zurück, interessante Daten herauslesen. Wir haben dann sehr schnell sehr viele Anfragen gemacht und wollten das System ausreizen. Bis uns aufgefallen ist, dass das sehr schwierig ist, es also kein sogenanntes Rate-Limiting gibt. Dieser fehlende Schutz vor übermäßigen Abfragen ist auch die Grundlage des Datenlecks.

netzpolitik.org: Inhaltsdaten sind bei dem Leck nicht abgeflossen, also keine Nachrichten. Dafür aber Metadaten wie Telefonnummern, Profilbilder und öffentliche Schlüssel. Lassen sich durch eine Verknüpfung dieser Daten einzelne Nutzer*innen identifizieren?

Aljosha Judmayer: Wenn das Profilbild auf öffentlich gestellt ist und das Gesicht der jeweiligen Person zeigt, dann ja. Wir haben exemplarisch eine kleine Stichprobe an Profilbildern auf ihren Inhalt untersucht. Ein signifikanter Prozentsatz beinhaltete wirklich Gesichter. In diesen Fällen hätte man einzelne Nutzende identifizieren können. Vorausgesetzt, das gezeigte Gesicht gehört auch wirklich dem oder der Nutzenden.

netzpolitik.org: Sie haben Meta vor der Veröffentlichung mehrfach über Ihre Entdeckungen informiert. Wie hat das Unternehmen darauf reagiert?

Aljosha Judmayer: Wir haben in unserem Paper zum Datenleck auch eine sehr detaillierte Timeline zum Kontakt mit Meta, die kann ich nur empfehlen. Dort sieht man, dass wir Meta zum ersten Mal im September 2024 auf Probleme mit dem Rate-Limiting aufmerksam gemacht haben. Erst 2025 haben wir aber explizit darauf hingewiesen, dass Enumeration von Telefonnummern auch möglich ist. Wir bekamen einen standardmäßigen Fragebogen, den wir ausfüllten und dann schloss Meta das Anliegen.

„Davor war die Zusammenarbeit recht einseitig“

netzpolitik.org: Wie lange hat es ab da noch gedauert, bis Meta das Ausmaß des Problems erkannt hat?

Aljosha Judmayer: Man kann widersprechen und das eingereichte Anliegen wieder öffnen, was wir taten. Wirklich Notiz genommen von unserer Entdeckung hat Meta aber erst im August oder September dieses Jahres. Da haben wir ihnen quasi das fertige Paper geschickt und darauf hingewiesen, dass es bereits für eine Konferenz akzeptiert wurde und dass wir es bald online stellen. Plötzlich wollte Meta am nächsten Tag einen Call. Ab dem Zeitpunkt ging es schnell. Sie haben dann angefangen, Maßnahmen zu ergreifen und uns gebeten, die Veröffentlichung zurückzuhalten. Das haben wir  auch getan, weil wir gemerkt haben, dass es Meta jetzt ernst meint. Sie haben Rate-Limiting implementiert und wir konnten bestätigen, dass man über die Endpunkte, die wir benutzt haben, nicht mehr WhatsApp-Profile en masse abfragen kann.

netzpolitik.org: Hat Meta das Problem damit behoben?

Aljosha Judmayer: Ja. Wir haben natürlich nicht die gesamte WhatsApp-Infrastruktur auf Herz und Nieren getestet. Ausschließen können wir nichts, aber so, wie wir es gemacht haben, geht auf jeden Fall nicht mehr.

„Selbst aus diesen öffentlichen Daten kann man interessante Dinge herauslesen“

netzpolitik.org: Meta hat gegenüber Heise ein Statement abgegeben, in dem von einer Zusammenarbeit mit Ihrer Forschungsgruppe im Rahmen von Metas Bug-Bounty-Programm die Rede ist. In Ihrem Paper werden viele erfolglose Kontaktaufnahmen mit Meta geschildert, bevor sich der Konzern dem Anliegen Ihrer Forschungsgruppe annahm. Was halten Sie von dieser Stellungnahme, in der Meta von Zusammenarbeit spricht?

Aljosha Judmayer: Man kann die Zeitspanne ab dem Zeitpunkt, wo Meta reagiert hat, schon als Zusammenarbeit betrachten. Von da an gab es fast jede oder jede zweite Woche eine Abstimmung. Davor war die Zusammenarbeit recht einseitig. Was intern bei Meta passiert ist, kann ich nicht beurteilen.

netzpolitik.org: Das Bug-Bounty-Programm belohnt Finder von Sicherheitslücken bei Meta. Werden Sie im Rahmen des Programms auch eine Kompensation erhalten?

Aljosha Judmayer: Es gibt bis jetzt nur eine mündliche Zusage von Meta. Laut der sollen wir für das Finden des Datenlecks 11.000 Euro bekommen. Dazu kommen noch die anderen kleineren Schwachstellen, die wir gefunden haben, sodass sich der Betrag insgesamt auf ungefähr 17.000 Euro beliefe. Aber uns war es auch einfach ein Anliegen, dass diese Daten nicht mehr so leicht zugänglich sind. Auch wenn die Daten aus WhatsApps Sicht alle öffentlich sind. Wir wollten halt zeigen, dass man selbst aus diesen öffentlichen Daten interessante Dinge herauslesen kann.

„Ob und wie WhatsApp verwendet wird, muss jeder einzeln entscheiden“

netzpolitik.org: Eine der brisantesten Erkenntnisse ist, dass der Messenger auch in Ländern wie China oder Myanmar genutzt wird, wo er eigentlich verboten ist. Das kann Menschen ins Gefängnis oder gar in Lebensgefahr bringen. Machen die Maßnahmen, die Meta getroffen hat, die Lage für Nutzer*innen in diesen Ländern sicherer? Gibt es dort überhaupt sichere Nutzung?

Aljosha Judmayer: Ich kenne mich mit der Rechtslage in den jeweiligen Ländern nicht genügend aus, um einschätzen zu können, was da konkret die Bedrohungsszenarien sind. Durch den Fix ist es auf jeden Fall nicht mehr so leicht, an WhatsApp-Nutzerdaten zu kommen. Unser Projekt war jetzt keine sehr elaborierte Teststellung mit verschiedenen wechselnden IP-Adressen und unterschiedlichen Telefon-Nummern. Wir haben nichts verschleiert und es hat trotzdem funktioniert. Das geht jetzt nicht mehr und das ist auf jeden Fall gut. Ob es ausreicht, kann ich nicht sagen.

Genau deswegen war es uns auch ein Anliegen, unsere Ergebnisse öffentlich zu machen. So können Menschen in den Ländern mit WhatsApp-Verbot erfahren, wie leicht man sie als Nutzer*innen aufspüren kann und das in ihre persönliche Risikobewertung mit einfließen lassen. Ob und wie WhatsApp verwendet wird, muss jeder einzeln entscheiden.

netzpolitik.org: Müssen sich Nutzende Sorgen machen, dass andere vor Ihnen die Lücke ebenfalls bemerkt haben und in der Lage waren, im gleichen großen Stil Daten abzufragen, um diese zum Beispiel für illegale Zwecke zu nutzen?

Aljosha Judmayer: Das ist eine Frage, die nur WhatsApp im Detail beantworten kann. Oder diejenigen, die die Daten potenziell illegal abgefragt haben, aber die werden es wahrscheinlich nicht. Wir können nur Aussagen über den Zeitraum treffen, in dem wir getestet haben, also von Ende letzten Jahres bis ungefähr zum Oktober dieses Jahres. Da konnte man Daten abfragen, das hätten auch Dritte gekonnt. Laut WhatsApp gibt es keine Indikatoren, dass das jemand anderes gemacht hat.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine hochrangige Palantir-Managerin nahm ausgerechnet am Gipfel zur digitalen Souveränität teil. Palantir gilt als Paradebeispiel für die Gefahren digitaler Abhängigkeiten. Das Bundeskanzleramt wusste offenbar nichts davon.

Beim „Gipfel zur Europäischen Digitalen Souveränität“ saß ausgerechnet eine hochrangige Mitarbeiterin des umstrittenen Unternehmens Palantir mit am Tisch. Laura Rudas war Teil eines sogenannten Round Tables der „EU AI Champions Initiative“. Allerdings war sie dort nicht als leitende Mitarbeiterin von Palantir gelistet, sondern vertrat offiziell ebenjene Initiative. Das hat das Zentrum für Digitalrechte und Demokratie in einer Recherche herausgefunden.

Laura Rudas ist eine ehemalige Spitzenpolitikerin der österreichischen Sozialdemokraten und seit 2015 bei Palantir Technologies tätig. Für das Unternehmen firmiert sie heute laut ihrem LinkedIn-Profil als Executive Vice President. In ihrem Profil heißt es:

Heute unterstützt sie das Big-Data-Unternehmen Palantir Technologies aus dem Silicon Valley bei der Entwicklung seiner Strategie und der Ausweitung seiner internationalen Präsenz. Zu diesem Zweck arbeitet Laura mit globalen Führungskräften und leitenden Angestellten aus verschiedenen Branchen und Sektoren zusammen, um deren digitale Transformation zu unterstützen. (Übersetzung: netzpolitik.org)

Rudas war als Zeugin für Palantir im Untersuchungsausschuss zu „Hessendata“ eingeladen und sagte dort offenbar zur Zufriedenheit der CDU-Fraktion aus.

Auf dem Souveränitätsgipfel ist Rudas sowohl auf einem auf LinkedIn veröffentlichten Gruppenfoto als auch in einem Video der „EU AI Champions Initiative“ gut zu erkennen.

Digitale Souveränität ganz, ganz wichtig – nur nicht bei Palantir

Nach eigenen Angaben wird die „EU AI Champions Initiative“ von der US-amerikanischen Venture-Capital-Firma General Catalyst geleitet. Laut dem Zentrum für Digitalrechte und Demokratie hat General Catalyst bestätigt, dass Laura Rudas neben ihrer Palantir-Funktion auch als Beraterin für das Unternehmen tätig sei. Ihrem LinkedIn-Profil zufolge berät sie General Catalyst seit Juli 2025.

Beim Europäischen Souveränitätsgipfel organisierte General Catalyst den Round Table „EU AI Champions Initiative“ und lud Rudas als Vertreterin der Initiative ein. General Catalyst ist laut einem Artikel in Business Punk eng mit der Rüstungsindustrie verwoben und hat auch Investitionen aus dem Palantir-Umfeld erhalten. Gegenüber dem Zentrum für Digitalrechte und Demokratie betonte General Catalyst, dass Palantir weder Mitglied noch Unterstützer der Initiative sei.

Im Kanzleramt wusste man laut dem Bericht offenbar nicht, dass Friedrich Merz beim Souveränitätsgipfel mit einer Palantir-Vertreterin am Tisch saß.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In der juristischen Auseinandersetzung um eine faktische „Demoverbotszone“ in Gießen hat das Verwaltungsgericht in einem Fall die Auflagen der Stadt bestätigt. Die möchte den Protest gegen die rechtsradikale AfD-Jugend auf die andere Seite der Stadt verlegen. Doch die Anmelder der Demos wehren sich weiter.

Die Stadt Gießen hat für das kommende Wochenende mehrere Gegendemos in der Nähe der Gründungsveranstaltung der rechtsradikalen AfD-Jugend verboten und diese auf die andere Seite des Flusses Lahn verlegt. Die Anmelder:innen mehrerer Demonstrationen wehren sich dagegen vor dem Verwaltungsgericht und kritisieren massive Einschränkungen der Versammlungsfreiheit.

Das Verwaltungsgericht Gießen hatte am Mittwochnachmittag einen Eilantrag des Deutschen Gewerkschaftsbundes abgewiesen und die Verlegung des Versammlungsortes bestätigt. Dagegen zieht die Gewerkschaft nun in die nächste Instanz. Laut Informationen der Gießener Allgemeinen liegen dem Gießener Gericht zehn weitere Eilanträge vor, die es noch entscheiden muss. Das Verwaltungsgericht hat auf eine Presseanfrage zu diesen Eilanträgen noch nicht geantwortet.

Gericht sieht Platzmangel

Das Gericht begründet seine Entscheidung zur DGB-Demonstration unter anderem mit Platzmangel auf der Westseite der Stadt und rund um das Veranstaltungsgelände, das die rechtsradikale AfD-Jugend nutzt. Kritiker:innen sehen die Auflagen der Stadt vielmehr in polizeitaktischen Überlegungen begründet. Laut dem Grundrecht auf Versammlungsfreiheit müsse ein Protest aber in Hör- und Sichtweite des Adressaten möglich sein.

Der DGB Hessen-Thüringen hat nun in einer Pressemitteilung angekündigt, dass er gegen den am Mittwoch ergangenen Beschluss des Verwaltungsgerichts Gießen Beschwerde beim Hessischen Verwaltungsgerichtshof einlegen wird. Das Gericht in Gießen hatte die versammlungsrechtlichen Beschränkungen der Stadt Gießen weitgehend bestätigt, dem Eilantrag des DGB jedoch in einzelnen Punkten stattgegeben.

„Fatales Zeichen, wenn Protest verhindert werden soll“

„Hör- und Sichtweite von zentraler Bedeutung“

Michael Rudolph, Vorsitzender des DGB Hessen-Thüringen, sagt: „Für demokratische Gegenproteste ist die Möglichkeit, in Hör- und Sichtweite des Anlasses präsent zu sein, von zentraler Bedeutung.“ Die Kundgebungen des DGB seien frühzeitig, transparent und mit einem umfassenden Sicherheitskonzept angemeldet worden. „Deshalb wenden wir uns gegen die massive Einschränkung der von den Ordnungs- und Sicherheitsbehörden selbst vorgeschlagenen Versammlungsorte, die wir im Konsens übernommen und angemeldet haben.“

Ungeachtet des Ausgangs des Verfahrens kündigte der DGB an, dass man am kommenden Samstag „ein sichtbares, solidarisches und demokratisches Zeichen gegen Menschenfeindlichkeit und Spaltung setzen“ werde  – egal, wo die Kundgebungen am Ende stattfinden würden.

Updates:

• 20:10 Uhr: Die Stadt legt Beschwerde gegen die Beschlüsse des Verwaltungsgerichts ein. Unsere Berichterstattung geht in diesem Artikel weiter.
• 15:10 Uhr: Laut Nils Spörkel, dem Anwalt verschiedener Anmelder:innen, hat das Verwaltungsgericht nun auch entschieden, dass das Protestcamp der Anarchietage und die beiden Mahnwachen von Attac an der Krofdorfer Straße /Ecke Kropbacher Weg und an der Hardtallee dort stattfinden dürfen. Dies bestätigen auch Pressemitteilungen (1, 2) des Gießener Verwaltungsgerichts.
• 11:37 Uhr: Gericht bestätigt in einer Pressemitteilung, dass die Kundgebung der Linkspartei auf der Westseite der Stadt stattfinden darf.
• 10:20 Uhr: Laut Nils Spörkel, dem Anwalt verschiedener Anmelder:innen, hat das Verwaltungsgericht entschieden, dass auch die Versammlung der Linkspartei an der Rodheimer Str. / Hessenhalle dort stattfinden darf. Das Verwaltungsgericht wird später eine Pressemitteilung versenden, so eine Sprecherin des Gerichts gegenüber netzpolitik.org.
• 07:50 Uhr: Nils Spörkel, der Anwalt verschiedener Anmelder:innen in Gießen, hat netzpolitik.org folgenden Stand bei den Eilanträgen vor dem Verwaltungsgericht Gießen zugeschickt. Es sei alles „sehr dynamisch“ und ändere sich stündlich.
  • Kundgebung Lehmweg: verlegt, Beschwerde läuft
  • Protestcamp: noch offen
  • Mahnwache Rodheimer Straße/Lidl: Eilantrag gewonnen / darf stattfinden
  • Mahnwache Lehmweg/An den Hessenhallen: Eilantrag gewonnen / darf stattfinden
  • zwei andere verlegte Mahnwachen: offen
  • Kundgebung der Linkspartei: Noch offen
  • Demo des DGB: verlegt, Beschwerde läuft
• 07:10 Uhr: Zu weiteren Anmelder:innen gehören die Anarchietage Gießen, die drei Versammlungen in der Nähe der Veranstaltung der AfD-Jugend angemeldet haben. Sie berichten gegenüber netzpolitik.org, dass das Verwaltungsgericht die Verlegung der Mahnwache an der Rodheimer Straße aufgehoben, aber das Verbot der Kundgebung in der Lehmstraße bestätigt habe. Hier gehen die Anmelder:innen in die nächste Instanz. Über das Protestcamp, das auch auf der Westseite von Gießen liegt, habe das Gericht noch nicht entschieden. Das Verwaltungsgericht Gießen hat eine Presseanfrage nach dem Stand der verschiedenen Verfahren noch nicht beantwortet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Weil Tech-Konzerne selten Zugang zu ihren Daten gewähren, ist unabhängige Forschung auf Datenspenden angewiesen. Damit könnte es jedoch bald vorbei sein, denn die EU-Kommission will das Datenauskunftsrecht einschränken. Ein offener Brief aus der Wissenschaft warnt vor schwerwiegenden Folgen für die Plattformforschung.

Eigentlich will die EU-Kommission mit ihrem „digitalen Omnibus“ Regulierung zurückbauen und so unter anderem die Verfügbarkeit von Daten für innovative Zwecke erhöhen. Doch in einem Bereich könnte das Sammelgesetz das genaue Gegenteil erreichen, kritisieren nun Forscher:innen europäischer Universitäten. In einem offenen Brief warnen sie, dass eine der geplanten Änderungen Datenspenden für wissenschaftliche Forschung unmöglich machen würde.

Als Datenspenden bezeichnet man es, wenn Menschen freiwillig Daten über sich zur Verfügung stellen, damit mit ihnen Forschung betrieben werden kann. Die Wissenschaft ist immer dann auf Datenspenden angewiesen, wenn es keine Möglichkeit gibt, selbst Daten zu erheben oder auf bestehende Daten zuzugreifen. Dies ist besonders häufig bei Untersuchungen zur Funktionsweise algorithmischer Systeme und digitaler Plattformen der Fall, weil Tech-Konzerne die bei ihnen vorhandenen Daten geheim halten wollen.

Geplante Einschränkungen beim Recht auf Datenauskunft würden Datenspenden künftig verhindern, heißt es in dem Brief. Dabei seien diese ein Paradebeispiel für partizipative Wissensgewinnung und für die demokratische Steuerung digitaler Ökosysteme unerlässlich. Außerdem würden sie europäische Bürger:innen durch Citizen-Science-Projekte stärken. Als Beispiele aktueller Forschung auf Basis von Datenspenden nennt der Brief unter anderem Untersuchungen zum digitalen Wohlbefinden junger Menschen, zu Suchtverhalten auf TikTok, zu politischer Polarisierung oder zu algorithmischer Ausbeutung beim Fahrtvermittler Uber.

„Das Recht auf Datenzugang ist für Bürger:innen eines der sichtbarsten Beispiele dafür, wie die europäische Gesetzgebung ihre Nutzer:innenrechte stärkt, was durch die Arbeit der Forschungsgemeinschaft noch verstärkt wird“, so die Unterzeichner:innen von mehreren renommierten Universitäten in Europa. Aus Deutschland sind beispielsweise Wissenschaftler:innen vom Weizenbaum-Institut für die vernetzte Gesellschaft, vom Leibniz-Institut für Medienforschung der Uni Hamburg und von der Ludwig-Maximilians-Universität München dabei.

Wettbewerbsnachteil für europäische Forschung

Das digitale Omnibus-Paket (vom lateinischen „für alle“) soll zahlreiche Digitalgesetze der EU anpassen, darunter die KI-Verordnung, der Data Act und die Datenschutzgrundverordnung (DSGVO). Die EU-Kommission betont, dass das Ziel eine Vereinfachung des rechtlichen Rahmens für die digitale Welt sei, damit europäische Unternehmen wettbewerbsfähiger sind. Kritiker:innen aus der Zivilgesellschaft und dem Europäischen Parlament sprechen von einem Angriff auf digitale Grundrechte.

Insbesondere bei der DSGVO gehen die geplanten Änderungen weit über kosmetische Änderungen oder technische Vereinfachungen hinaus. So will die Kommission etwa Tech-Konzernen einen Freifahrtschein für die Nutzung von personenbezogenen Daten für KI-Modelle ausstellen und pseudonymisierte Daten teilweise vom Datenschutz ausnehmen.

Auch Betroffenenrechte wie das Recht auf Datenauskunft sollen eingeschränkt werden, weil es Unternehmen und Behörden zu viel Arbeit macht. Nach der Änderung, die unter anderem die deutsche Regierung vehement gefordert hatte, könnten Datenverarbeiter vermeintlich missbräuchliche Anfragen künftig ablehnen. Gestellt werden dürften Anfragen dann nur noch zu „Datenschutzzwecken“.

Verwendung zu Forschungszwecken wird verhindert

Die Verwendung solcher Daten zu Forschungszwecken würde damit verhindert, kritisieren die Unterzeichner:innen des englischsprachigen Briefes:

Die vorgeschlagene Änderung würde es Datenverantwortlichen ermöglichen, betroffenen Personen ihr Recht auf Zugang mit der Begründung zu verweigern, dass Forschungsanfragen unter „andere Zwecke als den Datenschutz“ fallen. Selbst wenn diese Argumentation unzutreffend wäre, müssten Bürger:innen zeitaufwändige Beschwerden bei unterfinanzierten Vollzugsbehörden oder kostspielige Rechtsstreitigkeiten in Kauf nehmen. Hinzu kommt, dass europäische Forscher:innen bei der Entwicklung und Nutzung von Datenspenden als Erfolgsmodell für unabhängige Plattformforschung (…) eine Vorreiterrolle einnehmen. Eine Einschränkung würde sie nicht nur wieder in die Abhängigkeit von Verbindungen zwischen Wissenschaft und Industrie zwingen, sondern sie auch gegenüber US-Forschern:innen benachteiligen, die oft über direkte Kontakte Zugang zu Plattformdaten erhalten.

Nachdem die EU-Kommission ihren Vorschlag für den digitalen Omnibus vorgestellt hat, hat inzwischen die Meinungsbildung im Europäischen Parlament und dem Rat der Mitgliedstaaten begonnen. Unter anderem drängt die größte Fraktion des EU-Parlaments, die konservative Europäische Volkspartei, auf eine schnelle Beratung und Verabschiedung.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Nach langer Blockade hat sich der EU-Rat bei der Chatkontrolle geeinigt. Zivilgesellschaftliche Organisationen sind erleichtert, dass die verpflichtende Chatkontrolle vom Tisch ist, warnen aber vor anderen problematischen Teilen im Gesetzentwurf.

Die EU-Staaten haben sich auf eine gemeinsame Position zur CSA-Verordnung geeinigt. Die Verordnung zum Schutz von Kindern vor sexuellem Missbrauch ist in der Öffentlichkeit vor allem wegen der „Chatkontrolle“ bekannt.

Die EU-Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer anlasslos auf Hinweise zu Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das lehnt das EU-Parlament schon im November 2023 ab, nach mehr als drei Jahren Verhandlungen jetzt auch der EU-Rat.

Die jetzt geeinigte Position enthält nicht mehr die besonders umstrittene verpflichtende Chatkontrolle, welche eine private, verschlüsselte und vertrauliche Kommunikation extrem erschwert hätte. Internet-Dienste dürfen jedoch weiterhin „freiwillig“ Kommunikation durchleuchten.

Weiterhin problematisch

Der Kompromiss im Rat enthält weiterhin problematische Regelungen. Auch eine freiwillige Chatkontrolle ist eigentlich verboten. Die EU-Kommission kann ihre Verhältnismäßigkeit nicht belegen. Der Europäische Datenschutzbeauftragte und die deutsche Datenschutzbeauftragte lehnen die freiwillige Chatkontrolle ab.

Eine Reihe an Wissenschaftlern kritisiert den beschlossenen Kompromiss. Die freiwillige Chatkontrolle bezeichnen sie als nicht angemessen. „Ihr Nutzen ist nicht nachgewiesen, während das Potenzial für Schaden und Missbrauch enorm ist.“

Das Gesetz fordert auch verpflichtende Altersprüfungen. Die Wissenschaftler kritisieren, dass Altersprüfungen „ein inhärentes und unverhältnismäßiges Risiko schwerwiegender Datenschutzverletzungen und Diskriminierung mit sich bringen, ohne dass ihre Wirksamkeit garantiert ist“. Auch die Bundesdatenschutzbeauftragte befürchtet eine „weitgehende Abschaffung der Anonymität im Netz“.

Darüber hinaus enthält die Verordnung die Möglichkeit, dass Behörden Netz-Sperren anordnen dürfen.

„Verpflichtende Chatkontrolle erfolgreich verhindert“

Internet-Dienste, Wissenschaftler und zivilgesellschaftliche Organisationen aus der ganzen Welt haben seit mehr als vier Jahren vor dem Gesetzesprojekt gewarnt. Nun sind sie froh, dass zumindest der schlimmste Giftzahn der Verordnung gezogen ist.

Konstantin Macher von der Digitalen Gesellschaft schreibt auf Mastodon: „Damit haben wir in langen, harten Kämpfen erfolgreich verhindert, dass im Rat die ursprünglich geplante Position nach einer verpflichtenden Chatkontrolle für alle beschlossen wird!“

Er warnt aber ausführlich davor, dass auch die freiwillige Chatkontrolle den Schutz der Privatsphäre unterlaufe und dass die Position des EU-Parlamentes deutlich zielgerichteter sei als die des Rates. Zudem könnte der Zusatz im Gesetzentwurf, dass mit der Verordnung keine Verpflichtung zum Scannen entstehen soll, in den jetzt folgenden Verhandlungen wieder verschwinden. Hier sei Vorsicht geboten.

„Noch nicht aus dem Schneider“

Vorsichtig optimistisch äußert sich Ella Jakubowska vom Europäischen Digitalverband EDRi gegenüber netzpolitik.org: „Wir sind beruhigt, dass der Rat die verpflichtende Entschlüsselung ausgeschlossen hat. Das ist eine sehr klare politische Aussage.“

Dennoch seien die digitalen Grundrechte „noch nicht aus dem Schneider“. Es sei von entscheidender Bedeutung, dass in den anstehenden Verhandlungen die Verschlüsselung – einschließlich des Verzichts auf clientseitiges Scannen – eindeutig geschützt und das Scannen privater Chats ohne begründeten Verdacht abgelehnt würde. Jakubowska fordert darüber hinaus, dass „der gefährliche Vorschlag einer flächendeckenden Altersüberprüfung korrigiert wird“.

Elina Eickstädt, Sprecherin des Chaos Computer Clubs, ergänzt im Hinblick auf die jetzt anstehenden Trilog-Verhandlungen: „Jetzt ist es wichtig, dass das Parlament in seiner Position stabil bleibt.“ Es müsse sichergestellt werden, dass die Ende-zu-Ende-Verschlüsselung wirklich geschützt und eine verpflichtende Altersverifikation abgewehrt wird.

Jetzt folgt der Trilog

Nach der Einigung des EU-Rates steht nun der Trilog an. In diesem verhandeln Kommission, Parlament und Rat, um aus ihren drei eigenen Gesetzentwürfen einen Kompromiss zu erzielen. Das endgültige Gesetz wird nach dem Trilog im EU-Parlament abgestimmt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU plant neue Strukturen zur Abwehr unbemannter Fluggeräte. Frontex könnte dazu ein erweitertes Mandat erhalten. Europol warnt vor zunehmender Nutzung durch organisierte und staatliche Akteure.

Beim Treffen einiger EU-Innen- und Justizminister*innen in München kündigte der EU-Migrationskommissar Magnus Brunner Anfang Oktober an, dass Frontex künftig eine Rolle in der Drohnenabwehr übernehmen könnte. Die Aussage fiel aus aktuellem Anlass: Das Treffen fand statt, während der Münchner Flughafen wegen mutmaßlicher Drohnensichtungen zum zweiten Mal innerhalb von 24 Stunden den Betrieb einstellen musste. Es war nur einer von inzwischen Dutzenden Vorfällen, bei denen sogenannte kritische Infrastrukturen in Europa durch Drohnenüberflüge unbekannten Ursprungs gestört wurden.

Neu sind die Anti-Drohnen-Aktivitäten von Frontex nicht. Die Grenzagentur testet seit Jahren Technologien, um unerwünschte Drohnen an den EU-Außengrenzen zu erkennen. Ziel ist es etwa, Schmuggel und unerlaubte Überwachung zu verhindern. Die Frontex-Systeme könnten aber in Amtshilfe für andere Behörden zur Strafverfolgung eingesetzt werden. Ein weiteres Szenario ist es, die entdeckten Fluggeräte anschließend mit verschiedener Technik zu „neutralisieren“.

Im Sommer hat die EU-Grenzagentur in Estland dazu einen „Counter-Unmanned Aircraft Systems (C-UAS) Prize Contest“ gestartet. In die zweite Phase des Wettbewerbs schafften es die Firmen Adevex Soluciones, Dat-Con, Hertz Systems, MBDA France und Nordic Air Defence. Sie wurden bereits mit jeweils 20.000 Euro prämiert. Insgesamt gibt Frontex für den Wettbewerb 480.000 Euro aus.

Wettbewerb ohne Öffentlichkeit

Das Finale mit „Live-Tests“ der Systeme sollte im Oktober in Lissabon stattfinden. Öffentlichkeit wollte Frontex nicht dabei haben. Auf Anfragen von netzpolitik.org zu Termin und Ort des „Wettbewerbs“ und Bedingungen für eine journalistische Beobachtung antwortete die Grenzagentur wochenlang nicht – beziehungsweise erst, nachdem die Veranstaltung auf einem Militärgelände in Portugal bereits stattgefunden hatte.

„Vielen Dank für Ihre Geduld. Ich freue mich, Ihnen nun die Informationen über den Abschluss der Testphase für den Counter-UAS-Preiswettbewerb mitteilen zu können“, hieß es in einer E-Mail. Da es sich um sensible Technologie handele, hätten Details bis zum Abschluss dieser Phase geheim gehalten werden müssen. Eine ungewöhnliche Maßnahme, denn Frontex ist kein Geheimdienst, sondern eine Grenzpolizei, die parlamentarisch und durch Öffentlichkeit kontrolliert werden soll.

Auf Ebene des Rates diskutieren die EU-Mitgliedstaaten derzeit, wie Frontex bei Luftraumverletzungen durch Drohnen stärker unterstützen kann. Voraussetzung wäre der Antrag eines Mitgliedstaats. Migrationskommissar Brunner kündigte an, dass weitere 250 Millionen Euro aus dem Grenzschutzfonds „speziell für Drohnen“ ausgegeben werden sollen. Das Geld könne für Überwachungssysteme, Anti-Drohnen-Verteidigung und grenzüberschreitende Koordination verwendet werden. Offen blieb, ob diese Gelder auch an Mitgliedstaaten fließen sollen.

Ein Kommissionssprecher präzisierte, dass es bei den Drohnenplänen für Frontex „um Grenzüberwachung“ gehe, „also darum, Dinge zu entdecken und zu finden, die zum Beispiel auf See passieren“. Unter anderem soll der Flughafenschutz „definitiv Teil des künftigen Aufgabenbereichs von Frontex sein“, sagte Brunner. Allerdings bräuchte die Agentur für die „Neutralisierung“ der entdeckten Fluggeräte eine Erlaubnis. Die Kommission arbeitet dazu an einem Reformvorschlag für das Frontex-Mandat, der bis Ende 2026 vorgelegt werden soll.

Neue EU-Strukturen für Drohnenabwehr

Aus einem Ratsdokument, das die britische Bürgerrechtsorganisation Statewatch vergangene Woche veröffentlicht hat, geht hervor, wie die EU ein institutionelles Fundament für den Umgang mit Drohnenbedrohungen aufbaut. Die Kommission hat dazu eine „Counter-Drone Expert Group“ eingerichtet, in der Innen- und Verteidigungsministerien, Strafverfolgungsbehörden und nationale Geheimdienste vertreten sind. Die Runde soll operative Erfahrungen bündeln und strategische Empfehlungen vorbereiten. Außerdem prüft die Kommission die Harmonisierung der Regeln für den Einsatz von Abwehrtechnik mit dem Ziel, ein einheitliches EU-Regelwerk vorzulegen.

Unter Horizon Europe gibt es weitere Forschungsprogramme zu Anti-Drohnen-Technologien. Ab 2028 könnten zusätzliche Mittel aus dem geplanten European Competitiveness Fund bereitstehen. Die Kommission erwägt zudem, die Mitgliedstaaten über den Grenzverwaltungsfonds bei Beschaffungen im Umfang von bis zu 250 Millionen Euro zu unterstützen, etwa durch gemeinsame Ausschreibungen.

Polizeiagentur kündigt Bericht an

Die EU-Polizeiagentur Europol will noch dieses Jahr einen umfangreichen Bericht zu Bedrohungen durch unbemannte Systeme vorlegen. Viele Inhalte sind bereits bekannt – andere sickern durch. Seit 2022 will Europol etwa beobachtet haben, dass Drohnen in allen Einsatzumgebungen zum Standardrepertoire organisierter Kriminalität, terroristischer Gruppen und staatlicher Akteure gehören. Sorgen bereitet Europol, dass neue Geräte über größere Reichweiten verfügen, autonomer agieren und zunehmend koordiniert einsetzbar sind.

Als technologische Haupttreiber für Drohnen-Bedrohungen sieht Europol künstliche Intelligenz, das Wachstum der Robotikindustrie und militärische Innovationen. Die Agentur empfiehlt daher, ein europäisches Kompetenzzentrum für unbemannte Systeme zu schaffen sowie einheitliche Standards, Zertifizierungen und Beschaffungsprozesse für Anlagen zur Detektion und Abwehr. Ebenso soll eine europaweite Datenbasis zum kriminellen Einsatz von Drohnen aufgebaut werden, um forensische Analysen und Abwehrmaßnahmen zu verbessern.

Zudem rät Europol zu gemeinsamen Testumgebungen, sogenannten physischen Sandboxes, und erweiterten Trainingsprogrammen für Polizei und Sicherheitsbehörden. Dazu will die Kommission ein Drohnen-„Living Lab“ an einem der Standorte des EU-Forschungszentrums einrichten. Vorgesehen sind standardisierte Testverfahren sowie Schulungen für Einsatzkräfte und Betreiber kritischer Infrastrukturen. Hinzu kommt der Ausbau gemeinsamer Kapazitäten in den spezialisierten Polizeinetzwerken, darunter ATLAS, in dem Europol Spezialeinheiten aus europäischen Ländern koordiniert. Diese könnten die unerwünschten Drohnen dann abschießen – sofern die jeweiligen nationalen Polizeigesetze dies erlauben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Am Wochenende trifft sich die AfD-Jugend in Gießen. Mit einer faktischen Verbotszone in der Nähe der AfD-Veranstaltung beschränken Polizei und Stadt nun massiv das Grundrecht auf Versammlungsfreiheit. Doch Gegenproteste müssen in Hör- und Sichtweite stattfinden können. Ein Kommentar.

Wenn sich am Wochenende die Neo-Nazis und Rechtsradikalen der AfD-Jugend zu ihrer vermeintlich weniger radikalen Neugründung in Gießen treffen, dann wird das nicht ohne zivilgesellschaftlichen Widerspruch ablaufen. Breite Bündnisse von Gewerkschaften über Kirchen bis zur FDP rufen zum Protest auf.

Tausende Menschen aus dem ganzen Bundesgebiet werden die Gießener Bevölkerung dabei auf unterschiedliche Weise unterstützen. Alle Protestierenden eint, dass sie keinen reibungslosen und unwidersprochenen Verlauf der AfD-Veranstaltung hinnehmen, sondern deutlich sichtbar demonstrieren wollen.

Doch genau einen reibungs- und störungslosen Ablauf versucht nun die Hessische Polizei zusammen mit der Stadt Gießen zu erreichen, indem sie ausgerechnet diesen bunten Gegenprotest bekämpft. Die Stadt hat letztlich auf Anraten der Polizei angekündigt, dass in der Weststadt – und damit dort, wo sich die Rechtsextremen treffen – keine Demos stattfinden dürfen. Der antifaschistische Protest soll auf die Ostseite des Flusses Lahn verdrängt werden, die gut kontrollierbaren Brücken werden von der Polizei gesperrt, nur Anwohner:innen kommen durch.

„Fatales Zeichen, wenn Protest verhindert werden soll“

Gewalt herbeireden

Medial begleitet wird die Maßnahme durch den Verweis des Innenministers auf einen angeblich anarchistischen Aufruf zur Gewalt aus dem Internet, den allerdings jeder dahergelaufene Agent Provocateur geschrieben haben könnte, um den Protest zu diskreditieren und Öl ins Feuer zu gießen.

Daraus konstruieren Polizei und Versammlungsbehörde, flankiert von rechtsradikaler Desinformation und Panikmache in sozialen Netzwerken, mit Verweis auf angebliche frühere Straftaten von aufrufenden Organisationen nun eine Gefährdung für Leib und Leben.

Das Recht auf Unversehrtheit aller Teilnehmenden mache die Verlegung der Gegendemonstrationen nötig, so die Argumentation der Versammlungsbehörde. Sie schafft damit faktisch eine Demonstrationsverbotszone in der Nähe der AfD-Veranstaltung.

Durchschaubare Strategie

Doch die ganze Nummer ist durchschaubar: Es geht vermutlich weniger um die Unversehrtheit als vielmehr darum, dass sich die Polizei mit der Verbotszone einen taktischen Vorteil verschafft. Durch die wenigen Brücken über die Lahn kontrolliert sie den Zugang zur Weststadt. Sie will damit letztlich absichern, dass die Rechtsradikalen ungestört, unbehelligt und ohne in Proteste zu geraten zu ihrer Veranstaltung anreisen können.

Die Demonstrierenden sollen so auf die andere Seite des Flusses verbannt werden und dort rein symbolisch für ein buntes Gießen demonstrieren, während die Rechtsextremisten ungestört auf der anderen Seite ihren braunen Jugendverband gründen. Die Polizei kann auf der Westseite, alle die dort dennoch protestieren, ohne den Schutz der Versammlungsfreiheit und mit deutlich weitergehenden Befugnissen am Protest hindern. Die anreisenden Jungnazis werden sich freuen, dass die Polizei ihnen den Weg ebnet und sichtbaren Protest vom Leib hält.

Freie Wahl des Ortes

Das geht so nicht: Die Versammlungsfreiheit ist ein elementares Grundrecht, sie steht höher als polizeitaktische Erwägungen und Pläne. Im Zweifel muss die Polizei sich eben einer schwierigeren Aufgabe stellen, denn Protest muss in Hör- und Sichtweite des Adressaten stattfinden können. Zur Versammlungsfreiheit gehört auch die freie Wahl des Ortes. Das hat das Bundesverfassungsgericht in seiner Rechtsprechung betont – und dieses Grundrecht muss die Polizei mit welcher Taktik auch immer absichern, um die Unversehrtheit aller Beteiligten zu gewährleisten.

Es ist deswegen richtig, dass die Anmelder jetzt vor dem Verwaltungsgericht ihr Recht einklagen, um diese unverschämten Demoverbote auf den letzten Metern doch noch zu kippen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Stadt Gießen hat mehrere Gegendemos in der Nähe der Gründungsveranstaltung der rechtsradikalen AfD-Jugend verboten. Die Anmelder wehren sich dagegen vor dem Verwaltungsgericht und kritisieren massive Einschränkungen der Versammlungsfreiheit.

Am kommenden Wochenende hat die AfD-Jugend vor, sich auf dem privaten Messegelände der hessischen Stadt Gießen neu zu gründen. Dazu hat die Nachfolgeorganisation der als rechtsextrem eingestuften „Jungen Alternative“ auch zahlreiche Vertreter aus parteinahen rechtsextremen Netzwerken eingeladen.

Gegen die Gründungsveranstaltung gibt es antifaschistische Proteste, zu denen aus dem gesamten Bundesgebiet mobilisiert wird. Tausende Menschen werden erwartet, breite politische Bündnisse bis ins bürgerliche Lager rufen zum Widerstand auf. Mehr als 200 Busse mit Demonstrierenden sollen aus dem ganzen Land in die hessische Universitätsstadt fahren, auch Blockaden der Anfahrtswege der Rechtsradikalen sind angekündigt.

Faktische Demonstrationsverbotszone geplant

Bislang war geplant, dass die Proteste auf der Westseite der Stadt in der Nähe des Messegeländes stattfinden. Die Versammlungsorte hatte die Stadt Gießen laut einem Bericht der dpa selbst den Anmeldern vorgeschlagen. Laut dem Bericht hat der Deutsche Gewerkschaftsbund dort zwei Kundgebungen und die Partei die Linke eine Kundgebung angemeldet. Es gab zudem noch weitere Demonstrationen und Mahnwachen, die dort stattfinden bzw. hinziehen sollten.

Doch die Stadt Gießen hat nun die gesamte Westseite der Stadt zur demonstrationsfreien Zone erklärt – aus angeblichen Sicherheitsgründen. Sie beteuert gleichzeitig, dass es sich nicht um Versammlungsverbote oder eine allgemeine Verfügung handele. Jeder einzelne Anmelder erhalte eine individuelle Bearbeitung und Verfügung, so die Pressesprecherin der Stadt gegenüber netzpolitik.org. Faktisch bedeuten diese Verfügungen aber, dass in der Nähe der rechtsradikalen Veranstaltung keine Gegenproteste stattfinden können.

Sowohl die Linke wie auch der DGB wehren sich vor dem Verwaltungsgericht Gießen gegen die Verlegung der Kundgebungen in weite Ferne der Messehallen. Wann die Eilanträge entschieden werden, ist laut der dpa noch nicht bekannt.

„Fatales Zeichen, wenn der Protest verhindert werden soll“

„Unsere Versammlung wird gezielt weg von der Hessenhalle verlegt – also weg aus Sicht- und Hörweite der AfD-Jugend“, sagt Natalie Maurer, Kreisvorsitzende der Linken in Gießen, gegenüber netzpolitik.org. „Das ist ein schwerer Eingriff in ein zentrales Grundrecht.“ Weil die Stadt keine tragfähige Gefahrenprognose geliefert habe, sowie mit falschen Behauptungen und formellen Fehlern agiere, habe die Linke einen Eilantrag gegen diese Verfügung eingereicht. „Wir als Linke Gießen verteidigen damit nicht nur unsere eigene Versammlung, sondern das Recht aller Menschen, sichtbar und wirksam gegen Faschismus und die extreme Rechte zu demonstrieren“, so Maurer weiter.

Desiree Becker, Landesvorsitzende der Linkspartei in Hessen, hält es für ein fatales Zeichen, wenn jetzt Kundgebungen vor Ort untersagt würden durch unbegründete Eingriffe. Sie fordert: „Die Beschränkungsverfügungen müssen zurückgenommen werden.“

Die Versammlungsfreiheit darf nicht der Polizeitaktik geopfert werden

Ein ominöser Aufruf und Fluchtwege

Die Stadt beruft sich auf eine Gefahrenanalyse der Polizei, wonach durch die Demos in der Nähe der rechtsradikalen Veranstaltung eine „Gefahr für die Unversehrtheit der Teilnehmer“ bestünde. Davor hatte Hessens Innenminister Roman Poseck in Medien auf einen dubiosen anonymen Aufruf auf einer schweizerischen Webseite verwiesen. Darin ist von einem „brennenden Gießen“ die Rede. Laut einem weiteren Medienbericht rechnet die Polizei mit Gewalt am Wochenende, rechtsradikale Accounts in sozialen Medien befeuern ein Gewaltszenario und schüren Angst.

In der 23 Seiten langen Verfügung des Ordnungsamtes, die netzpolitik.org einsehen konnte, erlässt die Behörde Einschränkungen auf Grundlage des § 14 Abs. 1 des Hessischen Versammlungsfreiheitsgesetzes (HVersFG), also wegen einer Gefährdung der öffentlichen Sicherheit und Ordnung.

In der Begründung schreibt das Amt sinngemäß, dass es rund um die Veranstaltungshalle nicht genug Platz gäbe und dass Einsatzfahrzeuge behindert werden könnten. „Eine Verlegung der Versammlungsfläche zur Freihaltung dieser Wege ist aus diesem Grund zwingend erforderlich und verhältnismäßig, da sie der Wahrung überragender Schutzgüter, sprich Leben und Gesundheit, dient“, heißt es im Schreiben.

Weitere harte Auflagen

Zudem argumentiert die Stadt mit angeblichen Straftaten anderer in Gießen aufrufender Organisationen und postuliert eine „Durchmischung des erwarteten friedlichen (Massen-) Protestes mit Personen, die dem gewaltbereiten Spektrum zuzuordnen sind“.

Durch die Verlegung der Versammlungsflächen auf die andere Seite der Stadt bleibe die anzustrebende Hör- und Sichtweite in einem angemessenen Umfang weiterhin bestehen, behauptet das Ordnungsamt.

Die Verfügung verlegt nicht nur die Versammlung auf die andere Seite der Stadt, sondern erteilt auch weitere ungewöhnlich harte Auflagen. Unter anderem enthält sie eine Lautstärkebegrenzung auf 65 Dezibel für die Kundgebung, die Auflage pro 25 Demonstrierenden einen Ordner zu stellen sowie zahlreiche weitere Einschränkungen.

Polizeitaktik vs. Versammlungsfreiheit

Für die Polizei bedeutet eine faktische Verbotszone auf der Westseite der Stadt einen taktischen Vorteil. Sie kann durch die natürliche Grenze des Flusses Lahn und mit wenigen kontrollierbaren Brücken die Demonstrierenden davon abhalten, in der Nähe des Messegeländes zu protestieren und so einfacher dafür sorgen, dass das Rechtsradikalen-Treffen ohne Störung stattfindet.

Gleichzeitig hätte die Polizei im Umgang mit dann unangemeldet demonstrierenden Personen deutlich mehr Befugnisse als wenn diese den Schutz einer Versammlung genießen würden.

Auf einer Informationsseite hat die Stadt verkündet, dass die Brücken gesperrt sind und Anwohner:innen einen Ausweis dabei haben sollen, um zu beweisen, dass sie in der Weststadt wohnen.

Proteste müssen in Hör- und Sichtweite stattfinden können

Dass die Maßnahme dem Grundrecht auf Versammlungsfreiheit widersprechen, sagen nicht nur die Anmelder, sondern auch David Werdermann von der Gesellschaft für Freiheitsrechte (GFF): „Die Versammlungsfreiheit umfasst auch die freie Wahl des Ortes, dem insbesondere bei Gegenprotesten eine besondere Bedeutung zukommt.“

Der kommunikative Zweck würde nur erreicht, wenn die Proteste in Sicht- und Hörweite ihres Gegenstandes – hier die Gründungsversammlung der AfD-Jugend – stattfinden könnten, so Werdermann. „Versammlungsfreie Zonen mögen zwar aus polizeitaktischer Sicht praktisch sein, sind aber unter Berücksichtigung der Versammlungsfreiheit unverhältnismäßig.“

Auch Muraj Mailitafi vom Bündnis Widersetzen, das zu Blockaden aufruft, kritisiert die Einschränkungen gegenüber dem ND: „Die Stadt Gießen muss sich entscheiden: Ist sie für Demokratie und Weltoffenheit – oder rollt sie dem Faschismus den roten Teppich aus. Beides zusammen geht nicht. Aber wir lassen uns nicht aufhalten: Wir werden uns der Gründung der AfD-Jugend widersetzen“.

Aufhalten lassen hat sich auch nicht das Zentrum für politische Schönheit (ZPS). Die Aktionskünstler haben in der „Verbotszone“ direkt an der Messehalle ein Privatgelände gemietet und dort schon am Montag eine Versammlung angemeldet, die noch bis Sonntag laufen soll. Auf dem Gelände steht seit Montag der bundesweit bekannte Adenauer-Protestbus. Diese Kundgebung ist bislang noch nicht verboten, wie ein Sprecher des ZPS berichtet.

Update 26.11.:

16:05 Uhr: Das Verwaltungsgericht Gießen hat nach Informationen der Gießener Allgemeinen einen Eilantrag des DGB abgewiesen. Der Beschluss ist noch nicht rechtskräftig, der DGB kann in die nächste Instanz gehen. Laut der Zeitung sind noch zehn weitere Eilanträge anhängig, unter anderem von der Partei die Linke.

08:00 Uhr: Wir haben ergänzt, dass nicht nur die beiden Demos des DGB und die der Linkspartei auf der Westseite angemeldet waren, sondern zahlreiche weitere.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In Brüssel nimmt die Debatte um den „digitalen Omnibus“ an Fahrt auf. Während vier Fraktionen im EU-Parlament die Aufweichung von KI- und Datenschutzregeln kritisieren, begrüßen Konservative das Vorhaben grundsätzlich. Werden sie wieder mit Rechtsaußen-Fraktionen stimmen, um das Vorhaben durchzusetzen?

Vergangene Woche hat die EU-Kommission den „Digitalen Omnibus“ vorgestellt. Mit dem Sammelgesetz will sie Teile ihrer Digitalregulierung vereinfachen, Kritiker:innen sprechen von einem Angriff auf Grundrechte. Ihre Änderungsvorschläge an zahlreichen Gesetzen kann die Kommission allerdings nicht im Alleingang beschließen. Auch das Europäische Parlament und der Rat der Mitgliedstaaten müssen dem Vorhaben zustimmen und diskutieren jetzt ihre Positionen.

Einige Fraktionen im Parlament haben bereits Widerstand angekündigt. Schon in Reaktion auf geleakte Entwürfe hatten die Fraktionen der Sozialdemokraten (S&D), Liberalen (Renew) und Grünen mit Kritik reagiert.

Grundsätzlich scheinen die Konfliktlinien entlang erwarteter parteipolitischer Präferenzen zu verlaufen. Während Sozialdemokraten, Grüne und Linke deutlich gegen das Vorhaben positioniert sind und auch Liberale Bedenken äußern, sehen Konservative einen Schritt in die richtige Richtung. Rechtsradikale und europakritische Parteien fordern einen noch weitergehenden Regulierungsabbau.

S&D: Digitalgesetze stärken statt untergraben

Die Sozialdemokraten (S&D) halten den Kommissionsvorschlag für problematische Deregulierung. Der Vizepräsident der Fraktion, Alex Agius Saliba, argumentiert, dass die Europäischen Digitalgesetze im demokratischen Prozess entstanden seien und jetzt nicht untergraben werden sollten. Stattdessen sollte der Digitale Omnibus dazu dienen, die unterschiedlichen Gesetze kohärenter und transparenter zu machen. Ziel sei eine „auf Rechten basierende digitale Wirtschaft“.

Dazu erklärt Birgit Sippel, die innenpolitische Sprecherin der S&D-Fraktion: „Statt sich von globalen Konzernen auf der Nase herumtanzen zu lassen oder sie sogar zu hofieren, sollte die Kommission dafür einstehen, dass wir Technologien nach unseren europäischen Grundrechten ausrichten.“ Ende-zu-Ende-Verschlüsselung, digitale Grundrechte und europäische Datenschutzstandards seien nicht nur technische Details, die man nach Belieben aufweichen könne, sondern „unsere Anker gegen Überwachung, Manipulation und Machtmissbrauch“.

Die Vizepräsidentin des EU-Parlaments, Katarina Barley (SPD), warnt unterdessen davor, im Zuge des Omnibusses den Schutz vor KI zu senken. Tatsächlich hat die Kommission in ihrem Vorschlag eine Verschiebung von Vorgaben für Hochrisiko-Systeme aus dem AI Act vorgesehen. Barley glaubt: „Jegliche Aussetzung der Regeln, auch vorübergehend, würde Bürger:innen erheblichen Risiken aussetzen – das wäre fatal.“

Grüne skeptisch, Liberale noch nicht entschieden

Ähnlich sieht das auch die Grünen-Abgeordnete Kim van Sparrentak. Durch die Verschiebung der Frist werde es Hochrisiko-Systeme auf dem Markt geben, die nicht reguliert werden. Das würde das Vertrauen der Menschen in KI noch weiter schwächen. Schon jetzt sei die Skepsis hoch. Auch die Änderungen an der DSGVO kritisieren die Grünen stark. Digitalpolitikerin Alexandra Geese etwa glaubt nicht, dass Innovation durch Regulierung verhindert wird und im Umkehrschluss auch nicht, dass Deregulierung Europas Innovationskraft stärken werde.

Die liberale Renew-Fraktion sieht deutliche Verbesserungen des offiziellen Vorschlages im Vergleich zum geleakten Entwurf. Die Fraktion hatte vorab gefordert, dass die Definition von sensiblen Daten in Artikel 9 der DSGVO nicht geändert wird. Tatsächlich wurde dieser Teil aus dem offiziellen Vorschlag gestrichen. Renew betont einerseits viele positive Aspekte im Omnibus, etwa die Bündelung der Meldewege für IT-Sicherheitsvorfälle und die Zusammenfassung von Datennutzungsgesetzen im Data Act.

Andererseits dürfe die Vereinfachung nicht auf Kosten von Datenschutzstandards gehen, so die liberale Abgeordnete Fabienne Keller in einer Pressemitteilung. Einige der Vorschläge seien „besorgniserregend“, würden den Schutz sensibelster Daten schwächen und zu einer diskriminierenden Verarbeitung beitragen. Über das Abstimmungsverhalten der Abgeordneten sei noch nicht gesprochen worden, teilt ein Sprecher der Fraktion auf Anfrage von netzpolitik.org mit.

EVP fordert schnelles Verfahren

Klar gegen den digitalen Omnibus positioniert sich die Fraktion der Linken. „Wir brauchen keine Deregulierung im Eiltempo, sondern starke, durchsetzbare Regeln für eine digitale Welt, die den Menschen dient und nicht Konzerninteressen oder geopolitischem Kalkül“, so der Fraktionsvorsitzende Martin Schirdewan in einem Pressestatement.

Doch nicht alle im Europäischen Parlament sind mit dem Omnibus unzufrieden. Die Europäische Volkspartei (EVP), zu der unter anderem CDU und CSU gehören, sieht die Änderungen grundsätzlich positiv und fordert eine schnelle Annahme durch das Parlament und den Rat. Das bedeute zwar nicht, dass sie überhaupt keine Vorbehalte hätten, sagt ein Fraktionssprecher auf Nachfrage. Zu konkreten Inhalten wolle man sich aber noch nicht ausführlich äußern, da die Debatte erst beginne.

Am Dienstagnachmittag wird der Vorschlag zum ersten Mal im Parlament diskutiert. Jetzt müssen die Fraktionen ihre Verhandler:innen festlegen. Außerdem wird bestimmt, welche Ausschüsse sich um welche Teile des Omnibusses kümmern werden. Zentral werden dabei der Binnenmarkt- und Verbraucherausschuss (IMCO), der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) sowie der Ausschuss für Industrie, Forschung und Energie (ITRE) sein. In den Ausschüssen erarbeiten die Abgeordneten dann ihre Änderungsanträge.

Beobachter:innen befürchten, dass einige Fraktionen hier sogar noch über den Vorschlag der Kommission hinausgehen könnten, um zum Beispiel weitere Teile des AI Acts zu verändern. Die nationalkonservative und europaskeptische Fraktion der Europäischen Konservativen und Reformer (EKR) hat sich schon so positioniert. Sie glaubt, dass weniger Regeln die Wettbewerbsfähigkeit Europas stärken würden.

Konservative schließen Zusammenarbeit mit Rechtradikalen nicht aus

Sowohl unter den Sozialdemokraten als auch den Grünen geht man davon aus, dass die EVP erneut eine Mehrheit mit den Rechtsaußen und Rechtsextremen im Parlament bilden würde, um den Omnibus nach ihrer Vorstellung durchzubringen. Das ist erst kürzlich in der Abstimmung über ein erstes Omnibus-Paket passiert, mit dem unter anderem die EU-Lieferkettenrichtlinie weitgehend entkernt wird. Die EKR sowie die rechtsextremen „Patrioten für Europa“ hatten anschließend den Fall der Brandmauer gefeiert.

So betont etwa Sergey Lagodinsky von den Grünen, dass das Omnibus-Verfahren anders ablaufen müsse als das erste. Fertige Gesetze gemeinsam mit Rechtsextremen aufzubrechen, sei keine Lösung. „Ich fordere Manfred Weber auf, diesen Weg kein zweites Mal zu beschreiten“, sagt der deutsche Abgeordnete in Richtung des Fraktionsvorsitzenden der EVP.

Dazu erklärt ein EVP-Fraktionssprecher gegenüber netzpolitik.org: „Wir suchen zuallererst eine Mehrheit in der Mitte des Parlaments.“ Gemeint sind damit Sozialdemokraten und Liberale. Dafür wolle die Fraktion konstruktiv in die Debatte gehen. Eine Zusammenarbeit mit Kräften am rechten Rand schließt die EVP jedoch nicht explizit aus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die sächsische Polizei soll Menschen, die beim Autofahren ihr Handy bedienen, mit Drohnen jagen. Doch das ist nur ein Hammer im Polizeigesetz-Entwurf: Die Polizei soll in Zukunft auch Verhaltensscanner, Palantir-Datenanalyse, Live-Gesichtserkennung, Gesichter-Suchmaschinen und Staatstrojaner nutzen dürfen.

Menschen, die ein Auto steuern, dürfen nicht gleichzeitig elektronische Geräte in der Hand halten, die zur Kommunikation, Information oder Organisation dienen. Wer dabei erwischt wird, wie er beim Autofahren auf ein Telefon tippt, muss 100 Euro zahlen und kassiert einen Punkt im Flensburger Fahreignungsregister. Baut man tippend einen Unfall, drohen 200 Euro Strafe und ein Monat Fahrverbot. Handy am Steuer ist eine Ordnungswidrigkeit.

In Sachsen nimmt man sie sehr ernst. Dort soll die Polizei künftig mit Drohnen in vorbeifahrende Autos filmen, um Handy-Sünder zu jagen. Jede Polizeidirektion soll ein dazu geeignetes, fliegendes Überwachungssystem bekommen, so die Begründung des Entwurfs eines neuen Polizeigesetzes. Die Bilder können – wenn sie Tatverdächtige erfassen – mit Kennzeichen, Ort, Zeit und Fahrtrichtung gespeichert werden. Das anlasslose Filmen von Einzelpersonen in ihrer mindestens gefühlt privaten Umgebung ist ein erheblicher Grundrechtseingriff.

Ob die Videobilder händisch geprüft werden, oder von einer Software nach der Kombination „Hand+Handy“ durchforstet, ist im Gesetzentwurf nicht definiert, doch in Rheinland-Pfalz wird schon seit Jahren ein System genutzt, das von Brücken aus in Autos filmt und Telefon-Nutzer*innen automatisiert identifiziert. Die Technik wäre also da.

Viele Verschärfungen im neuen Polizeigesetz

Der Polizeigesetz-Entwurf, der die Handy-Sünder-Drohnen einführen soll, ist ein ziemlicher Hammer. Die sächsische schwarz-rote Minderheitsregierung will damit auch den Einsatz von Staatstrojanern legalisieren und den Einsatz von Software ermöglichen, die Daten zusammenführt und automatisch analysiert, wie es Produkte des Unternehmens Palantir tun.

Daten-Analyse-Plattformen, aber auch andere privatwirtschaftliche IT-Produkte wie zum Beispiel Gesichter-Suchmaschinen darf die Polizei künftig mit personenbezogenen Daten trainieren und testen, dafür die Daten auch an Dritte weiterleiten. Neben den Daten von Beschuldigten darf sie dabei auch die Daten von Opfern und Zeug*innen speichern und verarbeiten. Teils im gleichen Wortlaut haben zuvor bereits Hamburg und Baden-Württemberg ihren Polizeien KI-Training erlaubt. Am Mittwoch soll ein entsprechendes Gesetz in NRW verabschiedet werden.

Die sächsische Landesregierung will mit ihrem neuen Polizeigesetz die ganze Bandbreite automatisierter Bildanalyse erlauben: Die sächsische Polizei darf demnach künftig Verhaltensscanner einsetzen, also Kameras, die mit Programmen verknüpft sind, die menschliche Bewegungsmuster kategorisieren. Die Technologie wird in Mannheim und mittlerweile auch in Hamburg erprobt, ist jedoch bislang fern der Marktreife.

Sachsen will Live-Gesichtserkennung

Auch Programme, die in Videobildern Waffen finden, sollen in Sachsen künftig genutzt werden. Zudem ist angedacht, mutmaßlich bewaffnete Menschen über mehrere Kameras hinweg automatisiert verfolgen zu können. Zur Gefahrenabwehr und Suche nach Vermissten ist dem Gesetzentwurf nach auch eine automatisierte biometrische Fern-Identifikation von Gesichtern anhand von Polizeidatenbanken möglich, wie sie im Frankfurter Bahnhofsviertel erprobt wird. Der sächsischen Polizei soll es künftig auch erlaubt sein, das Internet nach den Gesichtern von Menschen zu durchsuchen, von denen sie bereits Fotos vorliegen hat – um so beispielsweise die Identität der Gesuchten festzustellen.

Die automatischen Kennzeichenlesegeräte, die die sächsische Polizei zuvor probeweise einsetzen durfte, sollen nun dauerhaft im Gesetz festgeschrieben werden. Das Polizeigesetz wird zudem um den Begriff der Vorfeldstraftat erweitert – damit erhält die Polizei teils weitreichende Befugnisse, wenn sie glaubt, der Vorbereitung einer Straftat auf der Spur zu sein. Dem Entwurf nach können künftig auch Kontakt- und Begleitpersonen von potenziellen Straftäter*innen zur Fahndung ausgeschrieben werden. Und die sächsische Polizei soll Telefon- und Datenverbindungen kappen, ja ganze Funkzellen zusammenbrechen lassen dürfen.

Als Minderheitsregierung braucht die schwarz-rote Koalition zur Verabschiedung des Entwurfs die Stimmen aus der Opposition, von BSW, Grünen, Linken oder auch der AfD. Ministerpräsident Michael Kretschmer, CDU, schließt eine Zusammenarbeit mit der Partei nicht aus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.