Die 30. Kalenderwoche geht zu Ende. Wir haben 16 neue Texte mit insgesamt 103.299 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

während ihr euch auf unserer Seite wie gewohnt über die neuesten Staatstrojaner-Ideen, den ersten Erfolg gegen Bezahlkarten vor Gericht und weitere Recherchen zu den Databroker Files informieren könnt, läuft bei uns im Hintergrund die Konferenzvorbereitung auf Hochtouren.

Seit Montag könnt ihr euch anmelden, wenn ihr am 13. September in Berlin dabei sein wollt, und heute haben wir die ersten Einblicke ins Programm veröffentlicht. Weitere werden bald folgen!

Die meiste Arbeit zur Konferenz passiert hinter den Kulissen: Wir sortieren und puzzeln die Programmpunkte, damit es zu jeder Uhrzeit für verschiedene Interessen etwas Spannendes zu gucken gibt. Wir gestalten freie Flächen, damit es schöne Orte zum Quatschen und Kennenlernen gibt. Wir planen Schichten von Einlass bis zum flexiblen Feuerlöschen, machen Werbung und sind zunehmend aufgeregt und voller Vorfreude.

Von Sommerloch-Stimmung merken wir hier jedenfalls nichts. Aber egal, wie viel wir planen: Ohne euch wird das nix. Das Motto unserer Konferenz lautet „Bildet Netze!“ und das können wir nur zusammen. Im August werden wir 20 Jahre alt und dafür ist unser Wunsch: Wenn ihr im Spätsommer noch ein wenig Zeit in eurem Kalender findet, schaut doch vorbei und lernt, diskutiert und feiert mit uns!

Ein erholsames Wochenende wünscht euch
anna

Deepfakes: Panik, Pop und Propaganda

In sozialen Medien kursieren unzählige Deepfakes. Viele manipulierte Inhalte bewegen sich auf dem schmalen Grat zwischen flacher Unterhaltung, Satire und politischem Aktivismus. Plattformen und Gesetzgeber arbeiten an Richtlinien und Verboten – mit zweifelhafter Wirkung. Von Vincent Först –
Artikel lesen

Bezahlkarten für Asylsuchende: Praktische Solidarität gegen diskriminierende Symbolpolitik

Dass Geflüchtete mit einer Bezahlkarte nur wenig Bargeld abheben dürfen, stellt sie vor große Probleme. In einigen Städten entstehen deshalb Tauschorte, die diese Diskriminierung aushebeln wollen. Ein Interview über die Freude am Kampf gegen die Ohnmacht und Solidarität im Franchise-Prinzip. Von Anna Biselli –
Artikel lesen

Bildet Netze!: Jetzt für Konferenz am 13. September anmelden

Ab heute könnt ihr euch für unsere Konferenz „Bildet Netze!“ anmelden, die am 13. September stattfindet. Euch erwartet ein Tag voller Vorträge, Workshops und Vernetzung. Nach der Konferenz wollen wir gemeinsam 20 Jahre netzpolitik.org feiern. Wir hoffen, ihr seid dabei! Von netzpolitik.org –
Artikel lesen

UN-Cybercrime-Konvention: Mangelhaft und gefährlich

Internationale Menschenrechts- und Journalistenorganisationen fordern von europäischen Delegierten, den aktuellen Entwurf der geplanten UN-Konvention zu Computerkriminalität abzulehnen. Die Unterzeichner weisen auf zahlreiche kritische Mängel hin und brandmarken den Entwurf als menschenrechtsfeindlichen Überwachungsvertrag. Von Constanze –
Artikel lesen

Gesetzentwurf: Mit Staatstrojanern gegen Geldautomatensprengungen

Ein Referentenentwurf des Innenministeriums fordert höhere Haftstrafen für die Sprengung von Geldautomaten. Die Täter*innen sollen auch mit Staatstrojanern verfolgt werden können. Von Martin Schwarzbeck –
Artikel lesen

Netzausbau: Warum das Gesetz für schnelleres Internet so lange braucht

Mehrfach wurde es bereits verschoben, am Mittwoch soll es nun endlich soweit sein: Das Bundeskabinett will einen Gesetzentwurf beschließen, der den Netzausbau beschleunigt. Seit einem Jahr stockt die Einigung, weil sich Digital- und Umweltministerium um ein entscheidendes Wörtchen streiten. Von Tomas Rudl –
Artikel lesen

Vierbeiniger Saboteur: Dieser gruselige Roboterhund soll Smarthomes abschalten

Das US-Department of Homeland Security hat ein neues Spielzeug. Der Roboter NEO kann angeblich mit Denial-of-Service-Attacken Smarthomes lahmlegen. Von Martin Schwarzbeck –
Artikel lesen

Polizei Sachsen: Kritik an „Fantasiezahlen“ zum Erfolg der Videoüberwachung in Görlitz

Die Polizei in Sachsen hält große Stücke auf die stationäre Videoüberwachung in Görlitz. Mit der Technik sollen fast 800 Straftaten aufgeklärt worden sein. Doch an den Zahlen und ihrer Erhebung gibt es Kritik. Von Markus Reuter –
Artikel lesen

Sozialgericht Hamburg: Pauschale Bargeld-Limits bei Bezahlkarten sind rechtswidrig

50 Euro Bargeld für Geflüchtete und dann ist Schluss? Nein, sagt nun ein Gericht in einer Eilentscheidung. Wie viel Bargeld Betroffene für ihr Existenzminimum brauchen, hänge vom Einzelfall ab. Damit steht das Modell einer restriktiven Bezahlkarte auf der Kippe. Von Anna Biselli –
Artikel lesen

Gesetzentwurf: Netzausbau soll im „überragenden öffentlichen Interesse“ stehen

Künftig soll der Ausbau digitaler Infrastrukturen schneller und einfacher werden, geht es nach der Bundesregierung. Bis 2030 steht er deshalb im „überragenden öffentlichen Interesse“ – allerdings mit Einschränkungen. Von Tomas Rudl –
Artikel lesen

Databroker Files: Datarade – geschickte Geschäfte im Graubereich

Der Berliner Online-Marktplatz Datarade macht international Schlagzeilen, weil Händler dort Standortdaten von Millionen Menschen anbieten. Gefördert mit teils öffentlichem Geld mischt das Start-up in einem globalen Geschäft mit, das die öffentliche Sicherheit gefährdet. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Abschiebungen: Was Niedersachsen ausgibt, um Geräte zu durchsuchen

Niedersachsen investierte in den letzten zwei Jahren fast 80.000 Euro in Softwarelizenzen, um die Geräte von Ausreisepflichtigen zu durchsuchen. Von dem Geschäft profitiert das Forensik-Unternehmen Cellebrite – das seine Preise und Vertragsbedingungen am liebsten geheim halten will. Von Chris Köver –
Artikel lesen

Alexei Soldatov: Russischer Internet-Pionier zu Haftstrafe verurteilt

Alexei Soldatov war in den Wendejahren maßgeblich daran beteiligt, das Internet in die Sowjetunion und nach Russland zu holen. Nun wurde der Internet-Pionier zu einer mehrjährigen Haftstrafe verurteilt. Das kommt einem Todesurteil gleich, kritisiert sein Sohn, der prominente Regimekritiker Andrei Soldatov. Von Tomas Rudl –
Artikel lesen

Bildet Netze!: Programm-Sneak-Peek mit Hackerethik, Standortüberwachung und KI als Heilsversprechen

In rund 50 Tagen beginnt unsere Konferenz „Bildet Netze!“ in Berlin. Höchste Zeit also, dass wir den Vorhang ein wenig lüften und Einblicke in das netzpolitische Programm gewähren. Insgesamt erwarten Euch mehr als 35 Vorträge, Panels und Workshops. Und eine große Party! Von netzpolitik.org –
Artikel lesen

Bezahlkarten für Asylsuchende: Keine Eilentscheidung beim Hamburgischen Landessozialgericht

Nach einer Eilentscheidung zum Bargeldlimit bei Bezahlkarten für eine Familie am Mittwoch ging der Fall eines alleinstehenden Geflüchteten anders aus: Das Landessozialgericht Hamburg lehnte hier eine Eilentscheidung ab. Ob ein pauschales Bargeld-Limit rechtmäßig ist, hat damit nichts zu tun. Von Anna Biselli –
Artikel lesen

KI-Verordnung: Ampel-Abgeordnete wollen weiterhin biometrische Echtzeit-Überwachung verbieten

Eigentlich hatte die Ampel-Koalition zugesichert, biometrische Überwachung auf nationaler Ebene strenger zu regulieren. Ein SPD-Innenpolitiker fordert nun, Ausnahmen bei der biometrischen Überwachung wegen „der gestiegenen Bedrohungslage“ zu belassen. Wir haben daher erneut bei Abgeordneten nachgefragt. Von Daniel Leisegang –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eigentlich hatte die Ampel-Koalition zugesichert, biometrische Überwachung auf nationaler Ebene strenger zu regulieren. Ein SPD-Innenpolitiker fordert nun, Ausnahmen bei der biometrischen Überwachung wegen „der gestiegenen Bedrohungslage“ zu belassen. Wir haben daher erneut bei Abgeordneten nachgefragt.

Ob die zahllosen Verheißungen der sogenannten Künstlichen Intelligenz irgendwann einmal eingelöst werden, ist überaus zweifelhaft. Fest steht aber, dass der Einsatz von KI-Systemen schon jetzt unsere Grundrechte bedroht. Nicht zuletzt aus diesem Grund ist um die KI-Verordnung hart gerungen worden. Und noch bevor sie im März auf EU-Ebene verabschiedet wurde, hatten die Ampel-Parteien zugesichert, die Technologie auf nationaler Ebene strenger zu regulieren, als es das EU-Gesetz vorsieht.

Doch nur wenige Tage, bevor die KI-Verordnung zum 1. August in Kraft tritt, wachsen Zweifel, ob sich die Ampel an diese Zusage hält. So forderte Lars Castellucci, SPD-Bundestagsabgeordneter und stellvertretender Vorsitzender des Innenausschusses, gegenüber Tagesspiegel Background [€], dass Ausnahmen bei der biometrischen Überwachung „der gestiegenen Bedrohungslage“ gerecht werden müssten. Strengere Regeln für die Sicherheitsbehörden lehnt der Innenpolitiker ab.

Wir haben daher bei Abgeordneten der Ampel nachgefragt, welche Regelungen sie für die nationale Umsetzung anstreben. Demnach gibt es in der Koalition weiterhin deutliche Fürsprecher:innen für eine strengere Regulierung. Allerdings ist unklar, wie weitgehend diese sein wird und wann sie genau erfolgt. Fest steht nur, dass ein besserer Schutz vor biometrischer Überwachung nur dann möglich ist, wenn sich die Mehrheit der Abgeordneten aktiv dafür einsetzt.

Große Schlupflöcher für die Strafverfolgungsbehörden

Die KI-Verordnung der EU setzt Regeln für Unternehmen und Behörden, die entsprechende Technologien entwickeln und einsetzen. Das Gesetz teilt KI-Systeme dazu in verschiedene Kategorien auf. Je riskanter ein KI-System, desto strikter sind die Vorgaben, etwa für die Qualität der Daten, die Dokumentation oder für Risikobewertungen, die vor einem Einsatz gemacht werden müssen. Bestimmte Systeme mit unannehmbaren Risiko sollen verboten werden, etwa Social Scoring.

Wenn die KI-Verordnung am kommenden Donnerstag in Kraft tritt, erfolgt damit zugleich der Startschuss für die schrittweise nationale Umsetzung in den EU-Mitgliedstaaten. KI-Praktiken, die ein sogenanntes inakzeptables Risiko für die Grundrechte der EU Bürger:innen darstellen, müssen bereits in sechs Monaten verboten sein. Und die genaue Ausgestaltung für die Sicherheitsbehörden muss bis zum 2. August 2025 erfolgen.

Bislang lassen die europaweiten Regeln biometrische Überwachungstechniken wie Gesichtserkennung teilweise zu – mitunter sogar in Echtzeit, etwa bei einer „konkreten, erheblichen und unmittelbaren Gefahr für das Leben oder die körperliche Unversehrtheit natürlicher Personen oder einer tatsächlichen und gegenwärtigen oder tatsächlichen und vorhersehbaren Gefahr eines Terroranschlags“. Damit bietet das Gesetz Strafverfolgungsbehörden große Schlupflöcher.

SPD-Abgeordnete wollen strengere Regeln

Diese Schlupflöcher stellen aus Sicht von Abgeordneten der SPD eine Gefahr dar. So betont Carmen Wegge (SPD), Mitglied im Innen- sowie im Rechtsausschuss, gegenüber netzpolitik.org an den Vereinbarungen im Koalitionsvertrag festhalten zu wollen. „Biometrische Echtzeit-Fernidentifizierung greift tief in die Grund- und Persönlichkeitsrechte der betroffenen Bürger:innen ein. Daher sollten wir in meinen Augen die biometrische Erkennung im öffentlichen Raum durch KI in Deutschland ausschließen“, so Wegge.

Dem schließt sich ihr Parteikollege Parsa Marvi an. Er ist Berichterstatter der SPD-Bundestagsfraktion für die KI-Verordnung im Digitalausschuss. „Wir werden auf strengere Regeln für den Einsatz biometrischer Fernidentifizierung jeder Spielart hinwirken“, sagt Parsa. Das gebiete nicht nur der Koalitionsvertrag, sondern sei auch im Sinne eines wirksamen Schutzes von Grund- und Persönlichkeitsrechten „der einzig richtige Weg“.

Grüne streben „wasserdichte Regelung“ an

Auch die Grünen streben offenbar weiterhin strenge nationale Regulierungen an. So schreibt Misbah Khan, die für die Grünen im Ausschuss für Inneres und Heimat sowie im Digitalausschuss des Deutschen Bundestags sitzt: „Eine Gesellschaft, in der jede Bewegung, jede Geste und jeder Gesichtsausdruck erfasst und analysiert werden kann, ohne das Wissen oder die Zustimmung der Betroffenen, ist eine Gesellschaft, die ihre fundamentalen demokratischen Werte gefährdet.“ Der nationale Spielraum der KI-Verordnung solle daher genutzt werden, um eine KI-gestützte biometrische Überwachung auszuschließen, so Khan.

Konstantin von Notz sieht ebenfalls Nachjustierungsbedarf – „gerade mit Blick auf die nationale Umsetzung der Regelungen für nationale Sicherheitsbehörden, das gebietet auch unser Verfassungsrecht“. Aus Sicht des stellvertretenden Fraktionsvorsitzenden der Grünen geben die Vereinbarungen des Koalitionsvertrags dabei klar die Richtung vor. „In ihm haben sich SPD, Grüne und FDP unter anderem darauf verständigt, die Anonymität im öffentlichen Raum zu schützen“, so von Notz. „Vor diesem Hintergrund lehnen wir den flächendeckenden Einsatz intelligenter Videoüberwachung und Überwachung durch den Rückgriff auf Biometrie klar ab.“

Auch Tobias Bacherle, grüner Obmann im Ausschuss für Digitales, kritisiert gegenüber Tagesspiegel Background [€], dass die KI-Verordnung den Strafverfolgungsbehörden zu viele Sonderbefugnisse einräume. Die Grünen verfolgten daher das Ziel, „in Deutschland KI-gestützte biometrische Überwachung auszuschließen und eine wasserdichte Regelung zu schaffen.“ Derzeit prüfe seine Fraktion, „welche Option die größte Wirkung hat“, so Bacherle.

FDP-Abgeordnete gegen Echtzeit-Überwachung

Maximilian Mordhorst (FDP), ebenfalls Mitglied im Digitalausschuss, bedauert auf Anfrage zwar, „dass auf EU-Ebene der Weg für die biometrische Echtzeitidentifikation freigemacht wurde“. Seine Fraktion werde „alle Möglichkeiten ausschöpfen, um den Einsatz biometrischen Echtzeitidentifikation im öffentlichen Raum einzugrenzen“, so der Abgeordnete.

Zugleich spricht sich Mordhorst für die nachträgliche biometrische Identifikation aus. Sie sollte jedoch „nur bei Vorliegen einer richterlichen Genehmigung und bei Ermittlungen von schwerwiegenden Straftaten ermöglicht werden“. Aus Mordhorsts Sicht stelle es allerdings „eine immense Bedrohung der Bürgerrechte“ dar, dass nicht genau definiert sei, was „nachträglich“ heißt. Hier brauche es noch klare Vorgaben, so der FDP-Politiker.

Sein Parteikollege Maximilian Funke-Kaiser zeigt sich in dieser Frage derweil deutlicher restriktiver. „Wir sollten uns als westliche Demokratie nicht der Methoden von Autokratien und Überwachungsregimen bedienen“, so Funke-Kaiser. KI-gestützte biometrische Überwachung sei „in jeder Form“ bürgerrechtswidrig.

Der digitalpolitische Sprecher der FDP-Bundestagsfraktion plädiert für „ein vollständiges nationales Verbot von KI-gestützter biometrischer Echtzeit-Identifizierung im öffentlichen Raum“. Es sei dabei nachrangig, ob die Identifikation in Echtzeit oder nachträglich erfolge – „in beiden Fällen öffnen wir dem Missbrauch Tür und Tor“, mahnt Funke-Kaiser gegenüber netzpolitik.org.

Um ein bundesgesetzliches Verbot der Technologie für die Sicherheitsbehörden herbeizuführen, brauche es eine Änderung der Strafprozessordnung. „Im Koalitionsvertrag haben wir uns darauf geeinigt, dass die Verwendung von KI-gestützter Biometrie grundsätzlich untersagt wird und dieses Versprechen muss die Ampelkoalition einlösen“, so der Abgeordnete.

Zivilgesellschaft und BfDI fordern strikte Verbote

Diese Position steht im Einklang mit den Forderungen der digitalen Zivilgesellschaft. Bereits im März hatte mehr als ein Dutzend Digital- und Bürgerrechtsorganisationen – darunter der Chaos Computer Club, Wikimedia und Amnesty International – die Abgeordneten des Deutschen Bundestages dazu aufgefordert, „jede Form der biometrischen Fernidentifizierung zu verbieten“.

Die zivilgesellschaftlichen Organisationen verwiesen auf den Koalitionsvertrag der Ampel. Dort heißt es: „Flächendeckende Videoüberwachung und den Einsatz von biometrischer Erfassung zu Überwachungszwecken lehnen wir ab. Das Recht auf Anonymität sowohl im öffentlichen Raum als auch im Internet ist zu gewährleisten.“

Nachdem ein europarechtliches Verbot der biometrischen Überwachung „nicht vollständig umzusetzen“ war, müsse die Ampel nun mit einem nationalen Verbot gegenhalten. Andernfalls drohten dystopische Verhältnisse, in denen jeder Mensch bei jeder Bewegung im öffentlichen Raum permanent identifizierbar und überwachbar würde.

Den Forderungen schloss sich der scheidende Bundesdatenschutzbeauftragte Ulrich Kelber an. Er empfahl der Bundesregierung, die Möglichkeit der nationalen Anpassungen „im Kontext der biometrischen Fernidentifizierung zu nutzen und striktere nationale Verbote umzusetzen“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Nach einer Eilentscheidung zum Bargeldlimit bei Bezahlkarten für eine Familie am Mittwoch ging der Fall eines alleinstehenden Geflüchteten anders aus: Das Landessozialgericht Hamburg lehnte hier eine Eilentscheidung ab. Ob ein pauschales Bargeld-Limit rechtmäßig ist, hat damit nichts zu tun.

Erst am Mittwoch hatte das Sozialgericht Hamburg im Fall einer geflüchteten Familie mit einer Eilentscheidung festgestellt: Das pauschale Bargeldlimit von Bezahlkarten für Geflüchtete von 50 Euro pro Erwachsenem und 10 Euro pro Kind ist unrechtmäßig. Das Landessozialgericht Hamburg, die nächsthöhere gerichtliche Instanz, hat nun in einem weiteren Fall jedoch eine Eilentscheidung abgelehnt.

Das bedeutet: Das Gericht sieht es in diesem Fall als nicht so dringend an, direkt etwas zu entscheiden. Anders als in der Eilentscheidung von Mittwoch ging es um eine alleinstehende Person, die sich in einer Erstaufnahmeeinrichtung befindet. „Eine Entscheidung über die Rechtmäßigkeit der Bezahlkarte oder einer pauschalen Bargeldobergrenze trifft das Landessozialgericht Hamburg somit nicht“, heißt es auf der Fall-Seite der Gesellschaft für Freiheitsrechte (GFF). Gemeinsam mit Pro Asyl vertritt sie beide der Fälle vor Gericht.

Die Entscheidung muss also im Hauptsacheverfahren getroffen werden, was eine lange Zeit dauern kann. „Gemeinsam mit dem Kläger werden wir in einem umfassenden Klageverfahren gegen die restriktiven Beschränkungen der Bezahlkarte vorgehen, um das Recht des Klägers auf ein menschenwürdiges Existenzminimum durchzusetzen“, so Lena Frerichs, Verfahrenskoordinatorin bei der GFF, gegenüber netzpolitik.org.

Verwirrendes Statement

Für Verwirrung hatte im Rahmen des Falls ein Statement eines Sprechers der Hamburger Innenbehörde geführt, der den Kurs des 50-Euro-Bargeldlimits „klar bestätigt“ sah, obwohl keine Entscheidung dazu fiel.

Mit den beiden unterschiedlichen Entscheidungen zu beantragten Eilentscheidungen deutet sich an, dass eine pauschale Behandlung aller Bezahlkarten-Nutzer:innen unabhängig von ihren Lebensumständen wenig angemessen erscheint. Jede Person aber hinsichtlich der etwaigen Beschränkungen einzeln zu behandeln, dürfte ein nicht zu stemmender Aufwand sein.

„Wir haben von Anfang an davor gewarnt, dass Bargeldobergrenzen aus der Bezahlkarte ein Bürokratiemonster machen könnten“, sagte Mareike Engels, sozialpolitische Sprecherin der Grünen-Fraktion Hamburg gegenüber der dpa. „Tausende Einzelfallprüfungen würden das Amt für Migration noch weiter überlasten“, warnt sie. „Deshalb machen wir uns für eine Rücknahme der Obergrenzen und eine Bezahlkarte ohne Einschränkungen stark.“

In Hannover funktioniert es ohne Bargeld-Limit

Ein solches Modell hat beispielsweise die Stadt Hannover eingeführt. Dort können Geflüchtete am Geldautomaten frei über das Geld auf der Karte verfügen. Der dortige Oberbürgermeister Belit Onay sieht sich durch das Urteil von Mittwoch bestätigt. „Unser Ziel ist es, Geflüchteten einen diskriminierungsfreien Zugang zum bargeldlosen Bezahlen zu ermöglichen“, sagte er dem NDR.

Auch mit der Verwaltungsentlastung hat es dort offenbar funktioniert. „Sechs Mitarbeitende des Fachbereichs Soziales der Landeshauptstadt Hannover, die nach dem alten Verfahren an bestimmten Tagen jeweils am Ende des Monats für die Auszahlung der Gelder zuständig gewesen waren, konnten andere Aufgaben übernehmen“, heißt es in einer Mitteilung der Stadt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In rund 50 Tagen beginnt unsere Konferenz „Bildet Netze!“ in Berlin. Höchste Zeit also, dass wir den Vorhang ein wenig lüften und Einblicke in das netzpolitische Programm gewähren. Insgesamt erwarten Euch mehr als 35 Vorträge, Panels und Workshops. Und eine große Party!

Wie verteidigen wir digitale Freiheitsrechte? Wie stellen wir technologischen Wandel in den Dienst der Gesellschaft? Welche Netze müssen wir spannen, um das Netz gemeinsam voranzubringen? Diesen Fragen wollen wir – 20 Jahre nach Gründung von netzpolitik.org – auf einer eintägigen Konferenz in der Alten Münze Berlin nachgehen. Und natürlich wollen wir auch feiern: Seit 20 Jahren gibt es netzpolitik.org! Den Konferenztag lassen wir daher mit einer großen Party ausklingen. Alle Infos auf der Konferenz-Website.

Die Hackerethik für eine solidarische Gesellschaft

Freier Zugriff auf Computer. Freier Zugriff auf Wissen. Verbesserung der Welt durch das Verbreiten von Technologien. – Das sind Prinzipien, die auch unsere Arbeit bei netzpolitik.org bestimmen. Sie entstammen der ersten Version der Hackerethik, die in diesem Sommer ebenfalls ein rundes Jubiläum feiert. Formuliert hat sie vor genau 40 Jahren der US-amerikanische Autor Steven Levy in seinem Klassiker „Hackers – Heroes of the Information Revolution“ aus dem Jahr 1984.

Die Hackerethik verbreitete sich rasch über den Atlantik hinaus und wurde vom Chaos Computer Club in den 1980er Jahren um zwei weitere Grundsätze ergänzt: „Mülle nicht in den Daten anderer Leute“. Und: „Öffentliche Daten nützen, private Daten schützen.“

Heute stehen diese Grundsätze mehr denn je unter Druck, durch monopolistische Strukturen, Black Boxen wie KI und immerwährende Abwehrkämpfe. Auf der Konferenz „Bildet Netze!“ wollen wir daher mit Steven Levy über die Ursprünge der Hackerethik und dabei den Bogen von den Wurzeln der anti-autoritären, technikaffinen Hackerszene hin zum Überwachungskapitalismus des Silicon Valley schlagen. Und wir wollen der Frage nachgehen, was die Hackerethik heute noch beitragen kann zu einer lebenswerten und solidarischen digitalen Gesellschaft und ob sie aktualisiert werden müsste.

Databroker: Eine neue Dimension der Massenüberwachung

Diese Frage stellt sich auch angesichts der Ergebnisse einer monatelangen Recherche unserer Kollegen Sebastian Meineck und Ingo Dachwitz. Sie konnten nachweisen, wie Datenhändler mit Hilfe von Werbedaten die Standorte von Millionen Menschen horten und weitergeben. Mit den Standortdaten lassen sich genaue Bewegungsprofile erstellen, was nicht nur eine neue Dimension der Massenüberwachung ermöglicht, sondern auch eine ernste Gefahr für die nationale Sicherheit darstellt.

In den analysierten Daten fanden sich auch die Bewegungsprofile von Mitarbeitenden aus Militär, Geheimdiensten und Ministerien. Sie bieten ein Einfallstor für Geheimdienste anderer Länder, die wissen wollen, wer dort arbeitet und was diese Menschen in ihrer Freizeit machen. Denn die Standortdaten verraten viel über Lebensgewohnheiten, Hobbys oder auch Suchterkrankungen – Informationen, die Menschen vielleicht nicht in der Öffentlichkeit sehen wollen.

Auf der Konferenz werden Sebastian und Ingo darlegen, wie sie an die Daten gelangten, wie sie diese in Kooperation mit dem Bayerischen Rundfunk ausgewertet haben und welche Schlüsse sie aus ihrer umfangreichen Recherche ziehen.

KI als Heilsversprechen in den Schulen

Ein weiteres Thema auf der Konferenz wird, wie kann es anders sein, die sogenannte Künstliche Intelligenz sein.

Der KI-Hype macht auch vor den Schultoren nicht halt. In den Klassenzimmern gilt KI gleich in mehrfacher Hinsicht als Heilsversprechen, nämlich gegen PISA-Schock, Lehrkräftemangel und den digitalen Rückstand. Doch hinter diesen Verheißungen steckt vor allem geschicktes Marketing der EdTech-Start-Ups sowie viel Unkenntnis kommunaler Entscheidungsträger:innen, wie Nina Galla von AlgorithmWatch in ihrem Vortrag präsentieren wird.

Konkret beschreibt Galla, auf welche Weise KI-Unternehmen in die Schulen drängen. Und sie gibt Tipps, welche Lernsysteme Schulen tatsächlich benötigen und worauf Bildungseinrichtungen bei deren Anschaffung achten müssen, damit am Ende alle vom digitalen Lernen profitieren – Eltern, Lehrkräfte und Schüler:innen gleichermaßen.

Weitere Sneak Peeks zum Programm der Konferenz folgen in Kürze auf netzpolitik.org. Alle Infos zur Konferenz gibt es auf der Website. Direkt zur Anmeldung via pretix.eu geht es hier entlang.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Alexei Soldatov war in den Wendejahren maßgeblich daran beteiligt, das Internet in die Sowjetunion und nach Russland zu holen. Nun wurde der Internet-Pionier zu einer mehrjährigen Haftstrafe verurteilt. Das kommt einem Todesurteil gleich, kritisiert sein Sohn, der prominente Regimekritiker Andrei Soldatov.

Der russische Internet-Pionier Alexei Soldatov ist von einem Moskauer Gericht zu einer zweijährigen Haftstrafe verurteilt worden. Wie die Nachrichtenagentur AP berichtet, wurde dem 72-Jährigen Machtmissbrauch vorgeworfen. Soldatov bestreitet die Vorwürfe, ein politischer Hintergrund wird vermutet.

Zu 18 Monaten Haft wurde der Mitangeklagte und ehemalige Geschäftspartner Soldatovs, Yevgeny Antipov, verurteilt. Auch Alexei Shkittin, ein weiterer Geschäftspartner Soldatovs, sollte vor Gericht erscheinen. Details über sein Schicksal ließen sich nicht in Erfahrung bringen. Profile auf LinkedIn und Xing deuten darauf hin, dass er sich in Berlin aufhält.

Von Nuklearphysik zur ersten E-Mail

Der studierte Nuklearwissenschaftler Soldatov machte in der damaligen Sowjetunion Karriere am Kurtschatow-Institut. Dort baute er noch vor der Wende das Russian Institute for Public Networks (RIPN) auf, das ab den frühen 1990er-Jahren als RIPE-Mitglied für die Verwaltung und Vergabe von IP-Adressblöcken in Russland zuständig war.

Zeitgleich entstand am Kurtschatow-Institut rund um Soldatov das Forschungsnetzwerk Relcom. Die Anfänge des russischen Internets hat Soldatovs Sohn, der Investigativjournalist und exilierte Regimekritiker Andrei Soldatov, gemeinsam mit Irina Borogan für das Center for European Policy Analysis (CEPA) nachgezeichnet. Demnach wurden über Relcom im Sommer 1990 die ersten E-Mails mit einer finnischen Universität ausgetauscht. Schmalbandig, aber funktional: Die Sowjetunion war im globalen Internet.

Das junge Netzwerk blieb zunächst unter dem Radar anderer Behörden. Beim kurzlebigen KGB-Putsch im August 1991 wurde Relcom, anders als traditionelle Medien, nicht besetzt oder blockiert. Soldatov habe damals insistiert, die Leitungen unter allen Umständen offen zu halten, erinnert sich sein Sohn.

Zu dieser Zeit verfügten rund 400 Organisationen und Einzelpersonen in 70 Städten über einen Internetanschluss. Sie konnten damit als Augenzeugen in Echtzeit über die Geschehnisse berichten. So sei ein „kaleidoskopisches Bild“ über die Vorgänge im Land entstanden, schreiben Soldatov und Borogan für CEPA: Truppen gab es nur in Moskau und Leningrad, der Putschversuch brach zusammen.

Unbeliebter Vize-Minister

Alexei Soldatov blieb seiner Liebe für Computer treu. 1992 gründete er einen der ersten privaten Netzbetreiber in Russland, unter dem gut eingeführten Namen Relcom. Als gestandener Internetexperte blieb er unter anderem im Vorstand von RIPN und wurde schließlich im Jahr 2008 vom damaligen (Schein-)Präsidenten Dmitri Medwedew zum stellvertretenden Minister für Kommunikation berufen.

Seine Amtszeit dauerte kaum zwei Jahre. Schon damals gab es Überlegungen, Russland und sein Internet weiter vom Rest der Welt abzuschotten. Soldatov wollte dabei nicht mitmachen, sehr zum Missfallen der damaligen politischen Führung.

Seine Umtriebigkeit holte Soldatov spätestens im Jahr 2019 ein. Wie die Investigativplattform Meduza damals berichtete, wurde Anklage gegen Soldatov und seine Geschäftspartner Antipov und Shkittin erhoben. Das geschah auf Betreiben des Kreml und Andrey Lipov. Letzterer ist inzwischen Chef der russischen Internetaufsichtsbehörde Roskomnadsor und aufgrund des laufenden Angriffskriegs auf die Ukraine international sanktioniert.

Die drei Angeklagten sollen umgerechnet rund 8 Millionen US-Dollar veruntreut haben, so der offizielle Vorwurf, weil RIPN illegal IP-Adressblöcke an die in Tschechien sitzende „Reliable Communications“ weitergegeben habe – eine Firma, die Alexei Soldatov und Alexei Shkittin gehört haben soll.

Kontrolle über „souveränes“ russisches Internet

In Wahrheit aber soll es bei dem Politikum vielmehr darum gegangen sein, schreibt Meduza unter Berufung auf ein RIPN-Vorstandsmitglied, dass RIPN im Jahr 2019 kurz vor der Auflösung stand. Dabei soll aus Sicht der russischen Regierung die Gefahr bestanden haben, dass die Verwaltung der Top-Level-Domain (TLD) .su von RIPN an die gemeinnützige „Internet Development Foundation“ übergegangen wäre, die Soldatov kontrollierte.

Etwa zur gleichen Zeit trat ein umfangreiches Gesetz in Kraft, mit dem Russland ein „Souveränes Internet“ schaffen wollte. Auf dem Programm stand dabei auch, TLDs wie .ru, .рф und eben auch .su unter staatliche Kontrolle zu bekommen. Die .su-TLD war einst für die Sowjetunion geschaffen worden und hätte Mitte der 1990er von der .ru-TLD ersetzt werden sollen. Auf Antrag der russischen Regierung kam es jedoch nie dazu, die TLD war einfach zu beliebt. Sie wird weiterhin von RIPN beziehungsweise dem Russian Institute for Development of Public Networks (ROSNIIROS) verwaltet.

„Juristische Absurdität“

Zwar sei das damalige Handeln Soldatovs schwer durchschaubar, insgesamt aber weder illegal noch ungewöhnlich gewesen, resümierte Meduza. Für Andrei Soldatov, den Sohn des nun verurteilten und todkranken Soldatov, ist die Sache klar: „Der russische Staat, von Natur aus rachsüchtig und zunehmend gewalttätig, beschloss, ihm seine Freiheit zu nehmen – ein perfektes Beispiel dafür, wie Russland die Menschen behandelt, die zur Modernisierung und Globalisierung des Landes beigetragen haben.“

Das Urteil sei eine „juristische Absurdität“ und käme einem Todesurteil gleich, schreiben Soldatov und Borogan. „Sein wahres Verbrechen in den Augen dieses grausamen Regimes? Ein unabhängiger Geist, echte Integrität und ein Sohn, der im Exil lebt und gleichzeitig über den Abstieg seines Heimatlandes in die Diktatur schreibt.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Niedersachsen investierte in den letzten zwei Jahren fast 80.000 Euro in Softwarelizenzen, um die Geräte von Ausreisepflichtigen zu durchsuchen. Von dem Geschäft profitiert das Forensik-Unternehmen Cellebrite – das seine Preise und Vertragsbedingungen am liebsten geheim halten will.

Niedersachsen gab im vergangenen Jahr rund 45.000 Euro für Software-Lizenzen aus, um die Handys von Ausreisepflichtigen zu durchsuchen. Im Jahr davor waren es etwa 35.000 Euro, die das Land in IT-Forensik investierte. Das teilt die zuständige Landesaufnahmebehörde Niedersachsen auf Anfrage von netzpolitik.org mit.

Seit 2022 können Ausländerbehörden in Niedersachen Geräte an die Landesaufnahmebehörde schicken, um in den Daten nach Hinweisen auf Identität oder Staatsangehörigkeit zu suchen. Gesetzlich ist das erlaubt, wenn ausreisepflichtige Ausländer:innen ihre Identität nicht auf anderen Wegen nachweisen können, etwa über ein Passdokument.

Die zentrale Behörde in Braunschweig durchsucht die Geräte in solchen Fällen nicht selbst, teilt uns eine Sprecherin mit, sondern extrahiert lediglich die Daten. Das heißt: Personal der Behörde schließt das Handy an ein spezielles Gerät an, umgeht im Zweifel auch Zuganngssperren und extrahiert dann die darauf befindlichen Daten – von Fotos, verschlüsselt versendeten Nachrichten und angerufenen Nummern bis zur Browserhistorie. Dieses Daten-Paket bekommen anschließend die Ausländerbehörden.

Fast 80.000 Euro, um 81 Geräte zu durchsuchen

Für diese Arbeit greift die Landesaufnahmebehörde auf Werkzeuge des Forensik-Unternehmens Cellebrite zurück. Diese kämen auch in den niedersächsischen Polizeidienststellen zum Einsatz, teilt ein Sprecher des Innenministeriums mit. Allerdings wollte das Ministerium und die Behörde bisher nichts zu den Kosten sagen. Diese seien „Bestandteil vertraulicher Vertragsverhandlungen“.

Erst nach mehrfachem Nachhaken teilt uns die Landesaufnahmebehörde weitere Details mit. Demnach nutzt die Behörde die Software von Cellebrite innerhalb eines Rahmenvertrages, der von der Zentralen Polizeidirektion Niedersachsen geschlossen wurde. Die Kosten für die Lizenz: 33.328 Euro für das Jahr 2022 und 44.910 Euro für 2023. Zusammengenommen sind das fast 80.000 Euro allein für die Software.

Wie viele Geräte sind bislang mit Hilfe der Software bearbeitet worden? 81 Geräte hätten Ausländerbehörden seit Anfang 2022 eingeschickt, teilt ein Sprecher des Ministeriums mit. Damit gab das Land in den vergangenen zwei Jahren rund 1.000 Euro pro Durchsuchung aus.

Zuständiger Innenminister war in dieser Zeit Boris Pistorius (SPD), der seit Januar 2023 als Verteidigungsminister in die Bundesregierung gewechselt ist. Seinen Posten übernahm danach Daniela Behrens (SPD).

„Unkomplizierter Zugriff auf gesperrte Geräte“

Cellebrite vertreibt Geräte und Software, mit denen man Computer oder Smartphones knacken und durchsuchen kann. Das Unternehmen mit Sitz in Israel sammelt zu diesem Zweck Schwachstellen in Betriebssystemen oder Programmen, über die es auf die Geräte zugreifen kann. Vermarktet werden diese Produkte vor allem an Strafverfolgungsbehörden.

Welches Produkt aus dem Katalog von Cellebrite in Niedersachsen zum Einsatz kommt, sagen die Behörden nicht. Allerdings bietet Cellebrite für den Zugriff auf Smartphones nur eine Produkt-Serie an: Sie heißt „UFED“, kurz für „Universal Forensics Extraction Device“. Beworben wird UFED als „unkomplizierter Zugriff auf gesperrte Geräte“. Muster-, Kennwort- oder PIN-Sperren der gängigen Handys ließen sich damit umgehen.

Sollte UFED auch in Braunschweig bei der Handydurchsuchungen zum Einsatz kommen, bekommen Ausländerbehörden damit einen umfassenden Zugang zu den Daten auf dem Gerät. Sie können die Anrufhistorie oder das Adressbuch nach Kontakten durchsuchen, über die Standortdaten Bewegungsprofile der Person sehen oder ihre verschlüsselt versendeten Nachrichten lesen.

Das Aufenthaltsgesetz schreibt vor, dass eine Person mit einem juristischen Staatsexamen diese Daten sichten muss, um sicherzustellen, dass keine Informationen aus dem privaten „Kernbereich“ in den Akten landen, etwa Nacktaufnahmen. Allerdings lässt sich kaum vermeiden, dass diese Person zunächst alles zu sehen bekommt.

Geheime Preispolitik

Seine Lizenzvereinbarungen und Preise hält Cellebrite geheim. Auch Kund:innen verpflichtet das Unternehmen im Rahmen von Verträgen, die Kosten für die Lizenzen geheim zu halten. Das geht etwa aus Ablehnungsbescheiden hervor, die netzpolitik.org von verschiedenen Behörden und Ministerien erhalten hat. Sie führen teils die Vertragsbedingungen als Grund dafür an, warum sie keine Auskunft zu den Kosten erteilen könnten.

So schreibt uns etwa das Regierungspräsidium Karlsruhe, das in Baden-Würtemberg für die Geräte-Durchsuchungen zuständig ist, die Preise von Cellebrite seien Geschäftsgeheimnisse. Sie würden „nach Anfrage durch den Kunden in Abhängigkeit der Ausgestaltung des jeweiligen Vertragsverhältnisses individuell festgelegt“ und seien ansonsten geheim.

Behörden müssen Unternehmen beteiligen, wenn sie von Informationsfreiheitsanfragen betroffen sind. Geht es bei den erbetenen Informationen um Betriebs- und Geschäftsgeheimnisse, braucht die Behörde vor der Herausgabe in der Regel die Einwilligung des Unternehmens. Die gab es von Cellebrite offenkundig nicht: „Die Fa. Cellebrite hat nach Anhörung vom 24.06.2024 mit E-Mail vom 24.06.2024 ausdrücklich erklärt, in den Zugang zu den die Geschäftsgeheimnisse enthaltenden Informationen nicht einzuwilligen“, schreibt die baden-württembergische Behörde.

Wir haben Cellebrite um eine Bestätigung der Vertragsauflagen für Kunden gebeten und auch nach Details zu der Preisgestaltung gefragt, jedoch keine Antwort bekommen.

„Gefahr für die öffentliche Sicherheit“

Deutsche Bundesländer zahlen jährlich mehrere Hunderttausend Euro, um Handys von Ausreisepflichtigen auf der Suche nach Spuren zu durchleuchten. Allein aus Bayern fließen vom Landesamt für Asyl und Rückführungen jedes Jahr 200.000 Euro Lizenzgebühren an Cellebrite, wie Recherchen von netzpolitik.org zeigen.

In der Vergangenheit hatten Ausländerbehörden die Geräte teils noch von Hand durchsucht. In einigen Ländern bekommen sie Amtshilfe von Polizeibehörden oder vom Zoll, die eigene Forensik-Abteilungen haben.

Mittlerweile haben mindestens fünf Bundesländer eigene zentrale Stellen eingerichtet, die die Ausländerbehörden bei ihren Aufgaben unterstützen sollen – auch bei der „Identitätsfeststellung“ mit Hilfe von IT-Forensik. Bayern, Baden-Württemberg, Rheinland-Pfalz, Nordrhein-Westfalen und Niedersachsen haben dafür auch in Forensik-Werkzeuge investiert.

Von dem Geschäft profitiert vor allem Cellebrite: Neben Niedersachsen kauften auch Bayern und Baden-Würtemberg nach eigener Auskunft bei Cellebrite ein. Rheinland-Pfalz und Nordrhein-Westfahlen halten den Namen des Anbieters dagegen geheim.

Die Begründung: Die Kenntnis des Herstellers und dadurch der eingesetzten Software würde Ausreisepflichtigen einen Vorteil verschaffen und die Arbeit der Behörden bei der Identitätsfeststellung behindern, teilt etwa das zuständige Familien- und Integrationsministerium Nordrhein-Westfalen mit. Das sei eine Gefahr für die öffentliche Ordnung und Sicherheit.

Durchsuchung als "reine Schikane"

Fachleute bezweifeln, dass die Handydurchsuchungen überhaupt Vorteile für das erklärte Ziel der Identitätsfeststellung bringen. Anrufhistorie, Browserdaten oder auch Geodaten auf den Geräten seien wenig aufschlussreich, um auf die Identität oder Staatsbürgerschaft einer Person zu schließen, kritisiert die Anwältin Sarah Lincoln, die bei der Organisation Gesellschaft für Freiheitsrechte zum Thema arbeitet.

Die Ampelregierung hält trotzdem an der Maßnahme fest. In der jüngsten Verschärfung des Asyl- und Aufenthaltsrechts hat sie nicht nur klargestellt, dass die Durchsuchungen weiter stattfinden sollen, sondern die Befugnisse noch erweitert: Behörden dürfen nun auch in die Privaträume von Menschen eindringen, die abgeschoben werden sollen, um darin nach Dokumenten oder Geräten zu suchen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Berliner Online-Marktplatz Datarade macht international Schlagzeilen, weil Händler dort Standortdaten von Millionen Menschen anbieten. Gefördert mit teils öffentlichem Geld mischt das Start-up in einem globalen Geschäft mit, das die öffentliche Sicherheit gefährdet.

Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.

Viele bestellen im Internet neue Kleider, Schuhe oder Handys. Ein ähnlich einfaches „Shopping-Erlebnis“ verspricht das Unternehmen Datarade. Allerdings findet man dort andere Angebote: Vermittelt über Datarade können sich Kund*innen zum Beispiel von Datenhändlern aus aller Welt ein paar Hundert Gigabyte Standortdaten gönnen oder ein Paket mit mehreren Millionen E-Mail-Adressen.

Datarade ist ein Marktplatz für Daten. Ähnlich wie auf Ebay bieten Verkäufer*innen dort ihre angehäuften Schätze an, und Kund*innen können zugreifen. Nach eigenen Angaben will Datarade den Zugang zu kommerziellen Daten „demokratisieren“. Das heißt: Daten für alle.

Allerdings bieten Händler auf Datarade auch Daten an, die sich für Spionage und Stalking missbrauchen lassen. Vergangene Woche zeigten wir in einer gemeinsamen Recherche mit dem Bayerischen Rundfunk: Über Datarade bieten Datenhändler auch Standortdaten von Millionen Menschen in Deutschland an. Sogar Angehörige von Sicherheitsbehörden ließen sich darin identifizieren.

Die Recherchen schlagen seither Wellen. Ein US-Senator schaltete das Pentagon ein. Abgeordnete aus Bundestag und EU-Parlament forderten besseren Schutz vor kommerzieller Überwachung und Datenhandel; ebenso das Bundesministerium für Verbraucherschutz.

Globaler Player aus Berlin

Mit mehr als 2.000 Anbieter*innen sei man „der größte Datenmarktplatz der Welt“, heißt es auf der Website von Datarade. Seinen Sitz hat das Unternehmen in Deutschland. „Für uns ist Berlin Heimat, wir sind hier geboren und aufgewachsen“, sagt Geschäftsführer Thani Shamsi im Interview mit #ai_berlin, einem Blog im Auftrag der Berliner Senatsverwaltung für Wirtschaft. Bevor er 2018 Datarade mitgegründet hat, arbeitete Shamsi beim Berliner AdTech-Unternehmen Zeotap.

Bei Datarade selbst arbeiten Leute, die „lieben was sie tun“, wie das Unternehmen auf seiner Website schreibt. Auf Gruppenfotos des Teams sieht man etwa 15 heitere Menschen im Grünen, die sich teils die Arme um die Schultern legen. Ein Start-up, das man „unbedingt im Blick behalten sollte“, findet das Branchenmagazin deutsche-startups.de.

Drei Datenschutz-Skandale dank Datarade-Vermittlung

Auch wir haben Datarade in den Blick genommen. Vermittelt über den Marktplatz haben wir vom US-Unternehmen Datastream Group 3,6 Milliarden Standortdaten aus Deutschland erhalten und mussten dafür nicht einmal etwas bezahlen. Denn bei dem Datensatz handelte sich nur um eine kostenlose Vorschau auf das eigentliche Produkt – ein gut 14.000 US-Dollar teures, monatliches Daten-Abo. Die wirklich wertvolle Ware ist also der kontinuierliche Strom an frischen Daten.

Ähnliche Einblicke erhielt Monate zuvor bereits Eric van den Berg. Er ist Investigativ-Journalist des niederländischen Senders „BNR Nieuwsradio“. Vermittelt über Datarade erhielt auch er die Standortdaten von potenziell Millionen Menschen, in diesem Fall aus den Niederlanden. Sein Bericht über die Gefahr für die nationale Sicherheit der Niederlande gab den Anstoß für unsere Recherche.

Im Juni reproduzierte der Schweizer Rundfunk die Recherche für die Schweiz. Auch dort vermittelte Datarade den Kontakt, der zu den gefährlichen Daten führte.

Das sagt Datarade zu den Vorwürfen

Auf unsere Presseanfrage vom 1. Juli hatte Datarade zunächst nicht reagiert. Erst nach wiederholtem Nachhaken erhielten wir am 23. Juli eine Antwort. Die E-Mail war nicht mit einem Namen unterzeichnet; deshalb ist nicht klar, wer sie verfasst hat. Die ausgelösten, öffentlichen Bedenken nehme man „sehr ernst“, heißt es.

Mit Blick auf den US-Händler Datastream schreibt das deutsche Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“

Das könnten wir bestätigen: Spätestens seit dem 19. Juli bietet Datastream nicht mehr unter dem gewohnten Link Handy-Standortdaten über Datarade an. Der Link führt stattdessen zum Hinweis : „Dieses Produkt ist derzeit nicht verfügbar“. Direkt darunter sind Standortdaten-Angebote von anderen Händlern zu finden.

Weiter schreibt Datarade über Datastream: „Wir befinden uns dazu im Austausch und Klärung mit dem Datenanbieter.“ Als er sich ein Profil bei Datarade anlegte, habe der Anbieter explizit angegeben, mit der Datenschutzgrundverordnung (DSGVO) „konform zu sein“.

Die Angebote auf dem Marktplatz prüft Datarade allerdings nicht alle einzeln, wie aus der Antwort hervorgeht. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten“, schreibt das Datarade mit Blick auf den Digital Services Act (DSA).

„Datarade unternimmt dennoch alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern.“ Unter anderem können Nutzer*innen Inhalte über ein Formular melden; rechtswidrige Inhalte würden umgehend entfernt.

Wärmstens empfohlen von Datarade

Anstrengungen unternimmt Datarade allerdings auch, damit die Kontakte zwischen Anbietern und potenziellen Käufer*innen gelingen. Als wir auf der Plattform eingegeben hatten, dass wir uns für Standortdaten interessieren, wurden uns gleich mehrere Anbieter vorgeschlagen. Wenig später erkundigte Datarade sich per E-Mail, ob die Vermittlung erfolgreich war. „Wie läuft es mit den Datenanbietern, mit denen wir dich verbunden haben?“, hieß es auf Englisch in einer freundlichen Service-Mail. „Bitte lass mich wissen, ob die Daten für dein Projekt geeignet sind. Und wenn nicht, lass uns nach alternativen Datenquellen suchen.“

Auf der eigenen Website preist Datrade die Vielfalt der Angebote an, darunter Gesundheitsdaten („alle Informationen, die während der Patientenversorgung gesammelt werden“); politische Daten (darunter Parteizugehörigkeit) oder Daten aus dem Job- und Personalwesen (darunter persönliche Angaben und Gehalt).

Wie man es aus Online-Shops gewohnt ist, können Kund*innen ihre Suche zudem mit Filtern eingrenzen. Interessiert man sich nur für die Angebote bestimmter Unternehmen, nur für E-Mail-Adressen oder Fax-Nummern? Sollen es nur Daten aus den USA sein, aus Deutschland, China, Saudi-Arabien oder Sri Lanka? Datarade macht es möglich.

Jetzt testen: Wurde mein Handy-Standort verkauft?

Bei diesen praktischen Funktionen belässt es der Datenmarktplatz nicht. Datarade hat potenziellen Käufer*innen auch eine Liste mit den 100 „vertrauenswürdigsten und erfolgreichsten Anbietern“ auf der Plattform zusammengestellt. Auf dieser Liste – Stand 2023 – steht auch Datastream. Also der Datenhändler, der uns Milliarden Standorte hinterhergeworfen hat.

Bei der Liste handele es sich „um eine Auswahl von Datenanbietern, die für ihre außergewöhnliche Qualität, Zuverlässigkeit und Vielfalt an Datenangeboten bekannt sind“, heißt es dort auf Englisch. Die Liste werde sorgfältig überprüft, man könne den Händlern „absolut“ vertrauen.

Unsere Recherchen zeigten jedoch: Ohne nennenswerte Prüfung erhielten wir Standortdaten, aus denen wir sogar die Bewegungsprofile von sicherheitsrelevanten Personen ablesen konnten. Unsere Frage, woran genau Datarade Erfolg und Vertrauenswürdigkeit von Datastream gemessen habe, beantwortete das Unternehmen nicht.

In Datarade steckt öffentliches Geld

Ihr Wachstum hat die Datarade GmbH teils öffentlichem Geld zu verdanken: Eine Million Euro investierte der High-Tech Gründerfonds (HTGF) in das junge Unternehmen. In dem Fonds steckt Geld unter anderem vom Bundeswirtschaftsministerium (BMWK) und einer Reihe von Unternehmen.

Das Wirtschaftsministerium bezeichnet den Fonds als „Erfolgsgeschichte“ und spricht von „Rückenwind“ für Start-ups.

Wir haben BMWK und HTGF mit den Ergebnissen der Recherchen konfrontiert. „Das BMWK nimmt diesen Vorgang und dessen Implikationen für das BMWK sehr ernst“, schreibt ein Sprecher. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds, von dem Datarade profitierte, stammt demnach vom Ministerium: 170 Millionen Euro.

Ein Sprecher des HTGF schreibt: „Wir nehmen diesen Vorgang auch unabhängig von Ihrer Anfrage sehr ernst und wir stehen dazu im engen Austausch mit dem Team von Datarade.“ Noch immer habe der Fonds eine Beteiligung von weniger als 20 Prozent an Datarade, also knapp ein Fünftel. Die Anlagerichtlinien des Fonds schließen Unternehmen aus, die illegale Geschäfte machen, wie aus der Antwort hervorgeht. Weiter schreibt der Sprecher:

„Datarade hat uns folgendes versichert: Ihr Vorgehen entsprach und entspricht allen rechtlichen und regulatorischen Vorgaben. Die Einhaltung von Datenschutzbestimmungen der Firma Datarade ist von der Berliner Datenschutzbehörde nicht beanstandet worden.“ Mit Blick auf Datastream heißt es weiter: Der Datenanbieter habe versichert, DSGVO-konform zu sein. „Vor diesem Hintergrund gehen wir nicht davon aus, dass ein Kriterium der Ausschlussliste des HTGF verletzt wurde“, schreibt der Sprecher.

Das heißt, der High-Tech-Gründerfonds hält offenbar an Datarade fest.

Hinweise auf PayPal, Google und Amazon verschwinden

Als Teil der „School of Entrepreneurship“ wurde Datarade zudem von der Start-up-Schmiede des Hasso-Plattner-Instituts „intensiv unterstützt“, etwa durch Mentoring. Der Sprecher des gemeinnützigen Instituts erklärt auf Anfrage, zuständig dafür sei hier nicht das Institut selbst, sondern die juristisch unabhängige HPI Seed Fund GmbH. Diese habe die Geschäftsführung von Datarade „aufgefordert, die im Raum stehenden Vorwürfe rasch aufzuklären“.

Auf der Datarade-Startseite stand bis vor Kurzem, Tech-Konzerne wie Google, Amazon, PayPal und SAP würden Datarade täglich nutzen. PayPal hat das auf Anfrage bestritten: „Es ist nicht korrekt, dass PayPal das Unternehmen Datarade nutzt“, schrieb uns eine Sprecherin. PayPal habe daraufhin Datarade kontaktiert. Wenig später war der Hinweis auf alle genannten Unternehmen von der Datarade-Startseite verschwunden.

Auch Amazon teilt mit, Datarade nicht täglich zu nutzen und dem weiter nachzugehen. SAP wiederum hat uns bestätigt, Datarade zu nutzen. Der deutsche Konzern kaufe dort zwar keine Daten, übernehme von Datarade aber Anbieter-Informationen für den eigenen Datenmarktplatz. Google gibt auf Aufrage an, kein Datarade-Kunde zu sein; vielmehr nutze Datarade die Cloud-Dienste von Google.

Welche Verantwortung trägt die Plattform?

Wenn es – wie im Fall des US-Händlers Datastream – einen Skandal gibt, dann sieht Datarade offenbar den entsprechenden Händler in der Verantwortung. Wenn dagegen alle mit dem Geschäft zufrieden sind, schmückt sich Datarade gerne damit. „Anerkannt als eine der besten Plattformen für den Datenaustausch“, schreibt das Unternehmen auf seiner Website.

Man möchte „DAS zentrale Portal für das Universum externer Daten sein“, sagte Geschäftsführer Thani Shamsi gegenüber #ai_berlin. In diesem Interview sagte er auch: Datarade könne Käufer*innen dabei helfen, Anbieter zu erkennen, die es mit dem Datenschutz ernst meinen.

Dass Datenschutz ein Problem sein kann, ist Datarade also durchaus bewusst. Der globale Datenmarkt ist „extrem komplex und undurchsichtig geworden“, räumt Geschäftsführer Shamsi im Unternehmensblog ein. Es gebe „anhaltendes Misstrauen“, auch was die Einhaltung von Datenschutzregeln angeht.

Die Recherchen aus den Niederlanden, der Schweiz und Deutschland zeigen: Das Misstrauen ist begründet. Und Datarade muss sich die Frage gefallen lassen, welche Mitverantwortung es am Geschäft mit gefährlichen Daten hat.

Auf seinem Unternehmensblog beschreibt Datarade, welche Vorkehrungen ein Datenmarktplatz treffe, damit dort alles mit rechten Dingen zugeht. Demnach müssten Händler beweisen, dass ihre Daten gemäß der DSGVO gesammelt wurden. Außerdem müssten sie Daten aggregieren, mit denen man einzelne Personen identifizieren kann. Aggregieren heißt: Sie rühren die Daten von mehreren Menschen zusammen, sodass Einzelne nicht mehr darin erkennbar sind. Zuletzt müssten Anbieter einen Vertrag mit Nutzungs- und Zahlungsbedingungen unterzeichnen.

Datarade-CEO versprach „radikale Transparenz“

„Erst wenn ein Anbieter geprüft und zugelassen ist, kann er mit dem Verkauf von Daten über einen Datenmarktplatz beginnen“, schreibt Datarade. Zu solchen Prüfungen könne auch gehören, ob ein Anbieter bereits negativ in Nachrichtenmedien aufgefallen sei. Ein Datenmarktplatz mache diese Prüfungen, damit die einzelnen Kund*innen das nicht selbst übernehmen müssten. Datenmarktplätze stellen sicher, „dass Käufer mit einer Reihe von vertrauenswürdigen Anbietern gleichzeitig in Verbindung treten können“, heißt es.

Du weißt mehr über die Databroker-Branche oder hast andere Hinweise für das Recherche-Team? Hier kannst du Sebastian oder Ingo erreichen. Bitte nutze möglichst verschlüsselte Wege sowie ein Gerät, das nicht deinem Arbeitgeber gehört.

Der Blogbeitrag ist teils eigenartig formuliert: Datarade schreibt von Datenmarktplätzen im Allgemeinen, obwohl es doch selbst ein solcher Marktplatz ist. Muss man daraus folgern: Auch bei Datarade passieren all diese genannten Prüfungen? Aus der bisherigen Antwort des Unternehmens wissen wir zunächst bloß: Anbieter würden versichern, dass sie nur rechtmäßige Inhalte veröffentlichen. Tiefergehende Fragen hat uns Datarade nach wie vor nicht beantwortet.

Die eher allgemein gehaltene Antwort des Unternehmens irritiert. Immerhin sagte CEO Shamsi laut Datarade-Website vor dem Hintergrund des „anhaltenden Misstrauens“: Zur Mission von Datarade gehöre es, „radikale Transparenz in den Datenmarkt zu bringen“.

Allerdings ließ Datarade beispielsweise folgende Fragen unbeantwortet:

• Was unternimmt Datarade, um Verkäufer für den Marktplatz zu prüfen?
• Wie genau muss ein Datenhändler ein Angebot mit Standortdaten aggregieren, um die Anforderungen von Datarade zu erfüllen?
• Wie oft mussten Datenhändler Datarade wieder verlassen, weil sie gegen Datenschutz-Regeln verstoßen haben; wie oft wurden sie gar nicht erst für den Marktplatz zugelassen?
• Sind Datarade Fälle bekannt, in denen Behörden aus autoritären Regimen wie z.B. China, Iran oder Russland direkt oder indirekt über Subunternehmen als Käufer oder Verkäufer auf Datarade tätig werden wollten oder tätig wurden?

Falls das Unternehmen Antworten auf unsere noch offenen Fragen nachreicht, werden wir den Artikel entsprechend aktualisieren.

Mehrere Händler bieten Standortdaten auf Datarade an

Nicht alle via Datarade vermittelten Datenhändler waren so freigiebig wie Datastream. Wir hatten für die Recherche zunächst mit drei weiteren Anbietern Kontakt, die uns jedoch zuerst per Videocall kennenlernen wollten. Zu diesem Zeitpunkt waren wir mit Klarnamen und E-Mail-Adresse von netzpolitik.org auf der Plattform unterwegs.

Ein Anbieter stellte uns im Gespräch zwar detaillierte Standortdaten von geschätzt 2,8 Millionen verschiedenen Geräten aus Deutschland in Aussicht. Wenig später kam allerdings eine Absage per E-Mail: Man habe das Gefühl, die Daten würden nicht zu uns passen.

Ein anderer Anbieter konfrontierte uns im Videocall direkt damit, dass netzpolitik.org doch kritisch über die Datenindustrie berichte. Derart detaillierte Standortdaten könne man aufgrund der DSGVO nicht herausgeben. Und Mobile Advertising IDs seien wie Klarnamen, die gebe man auch nicht her. Wenn eine andere Firma so etwas täte, dann sei sie unseriös, warnte der Datenhändler.

Wenige Monate später wollten wir herausfinden: Ändert sich das Verhalten der Datenhändler, wenn wir getarnt als Software-Firma auftreten? Der Verdacht bestätigte sich: Der Tonfall war anders, offener. Mindestens fünf Händler versprachen unserer fiktiven Firma weitere Standortdaten von Abermillionen Menschen aus Deutschland, gewonnen aus populären Handy-Apps für Wetter, Dating oder Navigation.

Gesehen haben wir von diesen Daten jedoch nichts. Denn diese Datenhändler verlangten von uns zuerst die Unterschrift einer Verschwiegenheitserklärung – und darauf haben wir verzichtet. Die Prüfung der potenziellen Kund*innen liegt also bei den Datenhändlern selbst.

Datenmarktplätze erfüllen Schlüsselrolle

Weltweit versuchen Unternehmen, massenhaft angehäufte Daten zu Geld zu machen. Ursprünglich ging es dabei vor allem um die Analyse von Zielgruppen und zielgerichtete Werbung. Doch längst werden die Daten auch für andere Zwecke genutzt, etwa von Geheimdiensten und Strafverfolgungsbehörden. Markt-Beobachter*innen überbieten sich mit Schätzungen, wie viel Geld in der Branche steckt. Die Rede ist von Hunderten Milliarden US-Dollar Umsatz jährlich, Tendenz steigend.

Datenmarktplätze erfüllen in der Branche eine „Schlüsselrolle“, schreiben Forschende der Technischen Universität Delft aus den Niederlanden in einem Paper über Datenhandel, veröffentlicht im Jahr 2021. Datarade stand dabei sogar im Zentrum: Über den Marktplatz haben sich die Forschenden die anderen Akteure für ihre Forschung erschlossen.

Im selben Jahr verschafften sich Forschende des spanischen IMDEA Networks Institute und der Technologischen Universität Zypern einen Überblick über die Branche. Demnach war Datarade mit Abstand der Marktplatz mit den meisten Anbietern.

Und Datarade versucht noch mehr Unternehmen für seine Plattform zu gewinnen, selbst wenn bei den Unternehmen nur beiläufig Daten anfallen. Zum Beispiel könnten Anbieter für Reisebuchungen ihre Daten über Ferienapartments, Flüge und Online-Aktivitäten zu Geld machen, regt ein Blogartikel von Datarade an. Angesprochen werden auch Hersteller von Navigationssystemen, also Unternehmen, die Standorte sammeln. „Warum sollte man diese Daten in internen Datenbanken schlummern lassen?“, heißt im Blogartikel. Die Monetarisierung sei „einfacher denn je“.

Und was hat Datarade davon? Geld verdienen Marktplätze durch eine Provision, sobald die Vermittlung geklappt hat. So erklärt es auch Datarade auf seinem Blog.

Berliner Datenschutzbeauftragte: „Großes Unbehagen“

Kann das alles legal sein? Niederlande, Schweiz, Deutschland – zum dritten Mal innerhalb eines halben Jahres zeigen Recherchen: Als Marktplatz fördert Datarade den Handel mit gefährlichen Daten. Und die Plattform prüft offenbar weder ihre eigenen Anbieter noch die Käufer*innen ausreichend, denn mindestens drei Mal gelangten Journalist*innen an hoch sensible Bewegungsprofile.

Viele Datenschützer*innen sind sich einig: Datenhandel in dieser Form dürfte es wohl gar nicht erst geben. Denn laut DSGVO müssen Nutzer*innen informiert in die Verarbeitung ihrer Daten einwilligen. Die Verarbeitung müsse für sie nachvollziehbar sein, die Daten für einen eindeutigen Zweck erhoben werden.

Das kann jedoch kaum der Fall sein, wenn im Hintergrund unzählige Datenhändler die Standortdaten immer weiterverkaufen – oder gar als gratis Kostprobe verschenken. Erhebliche Zweifel äußerte im Gespräch mit netzpolitik.org und BR auch die Berliner Datenschutzbeauftragte Meike Kamp.

Trotzdem sieht es danach aus, als könnte zumindest Datarade datenschutzrechtlich nicht zur Verantwortung gezogen werden. Der Grund: Die DSGVO greift nur, wenn ein Unternehmen über die „Zwecke und Mittel der Datenverarbeitung“ entscheidet. Eine zentrale Voraussetzung dafür ist nach Auffassung der Berliner Datenschutzbehörde, dass die Verantwortlichen selbst über die Daten verfügen.

Datarade aber hat selbst offenbar keinen Zugriff auf die Daten. Die Plattform fungiert nach eigenen Angaben als Maklerin, bringe also lediglich Käufer*innen und Verkäufer*innen zusammen. Gespeichert und übermittelt werden die Daten von den Verkäufer*innen.

US-Senator schaltet Pentagon ein; Bundesministerium fordert EU-Gesetze

Datenschutzrechtlich befindet sich Datarade offenbar in einer ziemlich komfortablen Position. Das Berliner Unternehmen präsentiert zwar die Angebote der Datenhändler. Es bahnt die Deals an. Es motiviert Käufer*innen mit Erinnerungs-E-Mails. Und es kassiert bei erfolgreichen Vermittlungen eine Provision. Trotzdem kommt die die Berliner Datenschutzbehörde nach einer vorläufigen rechtlichen Prüfung zu dem Schluss, dass die DSGVO auf den Makler keine Anwendung findet.

Dennoch blickt Meike Kamp skeptisch auf Datenmarktplätze: Es könne nicht sein, dass Unternehmen zwar den Datenhandel fördern, aber sich aus der Verantwortung ziehen, indem sie den Austausch der Daten woanders stattfinden lassen. Wenn so etwas ein Geschäftsmodell werde, müsse das reguliert werden. „Das ist auf jeden Fall etwas, was besorgniserregend ist und was mir großes Unbehagen verschafft“, sagt sie im Interview mit netzpolitik.org und BR.

Bundestag könnte Rechtsschutzlücke schließen

Kann man da gar nichts machen? Jurist Martin Baumann von der Datenschutz-NGO noyb fordert: „Plattformbetreiber*innen müssten unseres Erachtens spätestens dann aktiv werden, wenn ihnen die Rechtswidrigkeit der von ihnen vermittelten Inhalte zur Kenntnis gelangt.“ Allein der Umstand, dass der Anbieter des Datenmarkplatzes die Daten nicht selbst hostet, schließe eine datenschutzrechtliche Verantwortlichkeit nicht aus. Dies habe der Europäische Gerichtshof erst vor kurzem in einem Verfahren gegen einen wichtigen Akteur der Werbebranche festgehalten.

Die designierte Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider spricht im Kontext von Datenmarktplätzen von einer „Rechtsschutzlücke“. Im Blick habe sie Dienste, die zwar selbst keine Daten verarbeiten, aber dazu beitragen, etwa indem sie Kontakte zwischen Datenhändlern und Käufer*innen anbahnen. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beispiel im derzeit zu reformierenden BDSG“. Die Abkürzung steht für das Bundesdatenschutzgesetz, über das der Bundestag gerade verhandelt.

Das Bundesministerium für Verbraucherschutz schreibt uns: „Die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist mit dem Datenschutzrecht nicht vereinbar.“ Und Ramona Pop, Präsidentin vom Verbraucherzentrale Bundesverband, möchte das Geschäft mit den Daten gleich ganz beenden: „Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden“.

noyb prüft rechtliche Schritte

Bis zu einer möglichen politischen Lösung für den unkontrollierten Datenhandel ist es allerdings ein weiter Weg. Einen Einfluss auf das Unternehmen könnten der High-Tech Gründerfonds und das daran beteiligte Wirtschaftsministerium ausüben. Doch es sieht danach aus, als würden sie sich mit Datarades Erklärung zufrieden geben.

Nachdem auch die Berliner Datenschutzbehörde keine weiteren Schritte gegen Datarade angekündigt hat, ruht die Hoffnung wieder mal auf der Zivilgesellschaft: Die Bürgerrechtsorganisation noyb kündigte an, sie werde die Aufdeckung zum Anlass nehmen, ein Vorgehen zu prüfen und rechtliche Schritte in Erwägung zu ziehen.

Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Künftig soll der Ausbau digitaler Infrastrukturen schneller und einfacher werden, geht es nach der Bundesregierung. Bis 2030 steht er deshalb im „überragenden öffentlichen Interesse“ – allerdings mit Einschränkungen.

Zumindest die erste Hürde ist nun genommen: Heute hat das Bundeskabinett einen Entwurf des Telekommunikation-Netzausbau-Beschleunigungs-Gesetzes (TK-Nabeg) beschlossen. Damit kann das lange erwartete Gesetz in die weitere Behandlung durch Bundestag und Bundesrat gehen.

„Mit diesem Gesetz beschleunigen wir den dringend notwendigen Ausbau unserer digitalen Infrastruktur“, freute sich Digitalminister Volker Wissing (FDP) über die Einigung. Quer gestellt hatte sich zuvorderst Umweltministerin Steffi Lemke (Grüne), dem Vernehmen nach hatte sie lange für Naturschutzstandards verhandelt.

Der nun gefundene Kompromiss bringe „Umweltschutz und die Modernisierung“ des Landes in Einklang, heißt es aus dem federführenden Digitalministerium (BMDV). Künftig liegt der Ausbau von Telekommunikationsnetzen im „überragenden öffentlichen Interesse“. Das heißt, dass der Netzausbau Vorfahrt erhält, wo er bislang in Abwägungen mit anderen gleichrangigen Belangen unterlegen war. Allerdings gibt es hierbei Einschränkungen.

Befristetes „überragendes“ öffentliches Interesse

So ist die „überragende“ Bedeutung von Infrastrukturprojekten bis ins Jahr 2030 befristet. Ein Kompromiss dieser Art hatte sich bereits abgezeichnet, damit kann auch die Industrie leben. Auf teils heftige Kritik stößt jedoch die Beschränkung auf Mobilfunk in naturschutzrechtlichen Verfahren.

Nach einer weiterhin erforderlichen Abwägung können künftig Landesämter beispielsweise Funkmasten in unterversorgten Naturparks schneller errichten lassen, Festnetz- beziehungsweise Glasfaserleitungen jedoch nicht. Der Branchenverband Breko unterstellt der Regierung deshalb gar, mit ihrem Anspruch für mehr Tempo beim Glasfaser- und Mobilfunkausbau „krachend gescheitert“ zu sein. Tabea Rößner (Grüne) aus dem Digitalausschuss spricht hingegen von einem „ausgewogenen und tragfähigen Kompromiss“.

Wie und ob sich dieser auf den Ausbau auswirkt, soll nach drei Jahren evaluiert werden: „Dabei werden insbesondere die Anzahl, die Dauer und der Ausgang der Genehmigungsverfahren zur Verlegung und Änderung von Telekommunikationslinien sowie deren Umweltauswirkungen betrachtet“, heißt es in einem neu hinzugekommenen Paragrafen.

Beschleunigte Genehmigungsverfahren

Die restliche Entschlackung von Bürokratie war deutlich weniger umkämpft. Eine Genehmigung zum Ausbau gilt etwa nach zwei statt bisher drei Monaten nach Eingang des Antrags als erteilt (Zustimmungsfiktion). Auch die Frist, innerhalb derer auf einen unvollständigen Antrag aufmerksam gemacht werden muss, ist auf drei Wochen verkürzt worden. Hingegen können sich künftig Ämter zwei statt bislang einen Monat lang Zeit bei der Bewilligung lassen, „wenn dies wegen der Schwierigkeit der Angelegenheit gerechtfertigt ist“.

Mehr Auflagen kommen auf Netzbetreiber bei ihren Dokumentationspflichten zu. Das bereits bestehende Gigabit-Grundbuch soll deutlich aufgewertet und zu einer „zentralen Datendrehscheibe“ für alle Informationen werden, die für den Glasfaser- und Mobilfunkausbau relevant sind. Schon heute bietet das Datenportal Informationen zum Ausbaustand an, unter anderem mit öffentlichen Versorgungskarten oder nur Behörden zugänglichen Analysetools.

Im Vorfeld hatten manche Branchenverbände den erhöhten Aufwand und potenzielle Sicherheitsprobleme kritisiert, allerdings kommt eine bessere Datenlage auch ihnen zugute. Ausdrücklich begrüßt etwa der VATM-Verband die „verbesserte zentrale Informationsbereitstellung über das Gigabit-Grundbuch“. Dies helfe nicht nur Unternehmen beim Ausbau, sondern auch staatlichen Stellen auf Bundes-, Länder- und kommunaler Ebene. Die könnten sich nun nach dem „One-Stop-Shop“-Prinzip bei einer zentralen Stelle informieren.

Präzisiert wird das vor einigen Jahren eingeführte Minderungsrecht, wenn Netzanbieter nicht die bezahlte Leistung liefern. In solchen Fällen ist das vertraglich vereinbarte Entgelt mindestens um zehn Prozent herabzusetzen. Auf einen pauschalierten Anspruch auf Schadensersatz hatten lange Zeit Verbraucherschutzverbände hingewirkt, offenkundig erfolgreich: Im Referentenentwurf des Gesetzes aus dem Vorjahr war diese Regelung noch nicht enthalten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

50 Euro Bargeld für Geflüchtete und dann ist Schluss? Nein, sagt nun ein Gericht in einer Eilentscheidung. Wie viel Bargeld Betroffene für ihr Existenzminimum brauchen, hänge vom Einzelfall ab. Damit steht das Modell einer restriktiven Bezahlkarte auf der Kippe.

Asylbewerber:innen sollen mit Bezahlkarten nur 50 Euro Bargeld im Monat an Geldautomaten abheben können, so lautet eine Beschlussempfehlung der Ministerpräsidentenkonferenz. Bindend ist das für Bundesländer und Kommunen, die bereits Bezahlkarten an Antragstellende ausgeben, nicht. Doch vielerorts wird die Einschränkung umgesetzt – zum Beispiel in Hamburg.

Dieses pauschale Limit ist rechtswidrig, hat das Sozialgericht Hamburg nun in einer Eilentscheidung festgestellt. Das Bargeld-Limit müsse eine Ermessensentscheidung sein, dabei sollen auch Besonderheiten wie Alter, Behinderung, Krankheit oder Familienumstände berücksichtigt werden. Das bedeutet: Damit die betroffenen Personen ihren individuellen Bedarf decken können, muss das Limit gegebenenfalls angehoben werden.

Die Gesellschaft für Freiheitsrechte (GFF) und Pro Asyl waren gegen die Beschränkung gemeinsam mit einer schutzsuchenden Familie vor Gericht gezogen und haben diesen Etappenerfolg errungen. Die Familie darf bisher monatlich über 110 Euro Bargeld verfügen, je 50 Euro für die zwei Erwachsenen und 10 Euro zusätzlich für das Kind.

„Die Einführung einer Bezahlkarte mit erheblichen Beschränkungen missachtet die Grundrechte der Betroffen“, so Lena Frerichs, Verfahrenskoordinatorin und Juristin bei der GFF. „Die Entscheidung aus Hamburg bestätigt, dass eine pauschale Bargeldobergrenze von maximal 50 Euro für Schutzsuchende nicht haltbar ist, ohne das menschenwürdige Existenzminimum zu gefährden.“

Günstige Einkaufsoptionen fallen weg

Durch die Bargeld-Obergrenze haben Betroffene etwa nicht die Möglichkeit, günstige Einkaufsmöglichkeiten auf Flohmärkten wahrzunehmen. Auch an Orten, wo Kartenzahlung nicht akzeptiert wird, beispielsweise bei der Zahlung von Kopiergeld an der Schule, entstehen für die Personen Probleme. Daher gibt es mittlerweile solidarische Initiativen, bei denen Betroffene in Supermärkten mit den Karten Gutscheine kaufen und in Bargeld zurücktauschen können.

Zusätzlich zum Bargeld-Limit bestehen bei den Bezahlkarten weitere Hindernisse. Überweisungen sind nicht einfach möglich, auch Online-Käufe werden eingeschränkt. Diese Fragen seien „rechtspolitisch umstritten“ und müssten „gegebenenfalls über das Hauptsacheverfahren“ geklärt werden, heißt es im Beschluss des Hamburger Sozialgerichts. Gegen die Eilentscheidung kann das Hamburger Amt für Migration Beschwerde einlegen.

Neben dem dortigen Verfahren gehen GFF und Pro Asyl gemeinsam an mehreren Orten gegen die restriktiven Zahlungsmittel vor. Wiebke Judith, rechtspolitische Sprecherin von Pro Asyl, stellt das gesamte Bezahlkartensystem in Frage. Die jetzige Entscheidung zeige auch, „welcher bürokratische Irrsinn auf die Kommunen zukommt, die eine Bezahlkarte einführen wollen. Sie sollten sich dreimal überlegen, ob sie sich diese Mehrbelastung ihrer Verwaltung wirklich leisten können.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Polizei in Sachsen hält große Stücke auf die stationäre Videoüberwachung in Görlitz. Mit der Technik sollen fast 800 Straftaten aufgeklärt worden sein. Doch an den Zahlen und ihrer Erhebung gibt es Kritik.

Laut einem Bericht der Sächsischen Zeitung sollen die 2019 eingeführten Überwachungskameras in der Stadt Görlitz angeblich fast 800 Straftaten aufgeklärt oder bei deren Aufklärung geholfen haben. Die Görlitzer Überwachungstechnik „PerIS“ kann auch Kennzeichen von durchfahrenden Kraftfahrzeugen sowie Gesichtsbilder der Fahrer:innen und Beifahrer:innen aufnehmen und automatisch auswerten.

Zuletzt kam über eine Beschwerde der Piraten-Politikerin Anne Herpertz bei der sächsischen Datenschutzbeauftragten heraus, dass die Görlitzer Polizei in 21 Ermittlungsverfahren automatisierte Nummernschild- und Gesichtserkennung nachweislich eingesetzt hat. Die Datenschutzbehörde hält diese Technik für verfassungswidrig. Doch wie verhalten sich diese 21 Ermittlungsverfahren zu den angeblich „fast 800“ aufgeklärten Straftaten aus dem Bericht in der sächsischen Zeitung? Wir haben nachgefragt.

Auch Verfahren aus anderen Bundesländern

Die Polizei in Görlitz sagt auf Anfrage, dass sich die Zahl der Straftaten auf das Stadtgebiet Görlitz bezögen. Die Zahl beziehe sich auf die Frage „Gibt es konkrete Zahlen zu Straftaten, die in Görlitz durch die Videoüberwachung aufgeklärt und/oder verhindert worden sind?“

Unklar bleibt, wie die Zahl eigentlich erhoben wurde, hierzu liefert die Antwort der Polizei nur Anhaltspunkte. In Bezug auf die automatisierte Erkennung verweist die Polizei darauf, dass ein Verfahren mehrere Straftaten beinhalten könne. Außerdem sei eine einzelne Auflistung der Straftaten „nur bedingt möglich“, da nur neun der Verfahren, bei der die Nummernschild- und Gesichtserkennung eingesetzt wurde, auch sächsische Verfahren seien.

Die Mehrheit der Verfahren wird demnach in anderen Bundesländern geführt. Bekannt sind bislang weitere Verfahren in Berlin und in Niedersachsen, in die Treffer aus dem Görlitzer Überwachungssystem eingeflossen sind. Auch würde nicht erhoben, ob der Treffer über Biometrie oder einer Kennzeichenerkennung erfolgt ist, berichtet die Polizei.

Aus den Angaben der Polizeisprecherin geht hervor, dass der „Hauptanteil“ der Kameraaufnahmen „händisch“ ausgewertet würde. Dabei komme es vor allem auf die Expertise des auswertenden Beamten an, der das Material sichte. Im Rahmen von Ermittlungen schauten sich die Beamten Videoclips an – beispielsweise auf der Suche nach Tatbeute. Werde ein Fahrrad oder Fahrzeug erkannt, würden dann weitere klassische polizeiliche Fahndungswege bedient.

Kritik an „Fantasiezahlen“

Anne Herpertz ist mit der Herleitung der Zahlen nicht zufrieden: „Es ist im negativen Sinne beeindruckend, dass sich die Polizei Sachsen beim Einsatz von Überwachungstechnik mit Fantasiezahlen schmückt. Mit tatsächlicher Evidenz haben diese 800 genannten Fälle nämlich nichts zu tun.“ Der Fall zeige aus ihrer Sicht, das „viele Mittel recht“ seien, um Überwachungsmechanismen zu rechtfertigen – auch Fantasiezahlen. Herpertz geht davon aus, dass die Polizei „vermutlich auch Fälle präventiver Überwachung hinzugerechnet“ habe. Dabei gehe es allerdings nicht einmal ersichtlich um Strafverfolgung.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das US-Department of Homeland Security hat ein neues Spielzeug. Der Roboter NEO kann angeblich mit Denial-of-Service-Attacken Smarthomes lahmlegen.

NEO ist so groß wie ein Hund, hat vier Beine und kann mit Bordcomputer und Antennenset Denial-of-Service-Attacken auf Netzwerke ausführen. So soll er menschliche Einsatzkräfte vor Sprengfallen schützen, die über das Internet of Things (IoT) gesteuert werden. NEO wird vom US-Ministerium für Innere Sicherheit, Department of Homeland Security, kurz DHS, entwickelt.

Das berichtet 404 Media. Das Medium beruft sich dabei auf ein Transkript einer Rede, die Benjamine Huffman auf der Sicherheitsmesse „Border Security Expo 2024“ in Texas gehalten hat. Huffman ist Direktor der Ausbildungszentren für Einsatzkräfte des DHS, in denen auch Mitarbeiter*innen von 127 weiteren Behörden und Organisationen geschult werden.

Die „Border Security Expo“ ist nur für Strafverfolgungsbehörden und Firmen, die im Auftrag von Militär oder Geheimdiensten arbeiten, zugänglich. Dave Maass von der Electronic Frontier Foundation hat das Transkript unter Berufung auf den Freedom of Information Act angefragt, erhalten und 404 Media zugespielt. 404 Media hat es mit dem dazugehörigen Bericht veröffentlicht.

Schutz vor dem Internet der Dinge

NEO überlaste ein Netzwerk mit Anfragen, so dass die Geräte die darüber verbunden sind, nicht mehr kommunizieren können, so Huffman laut des Transkripts. Außerdem habe das DHS ein Trainings-Smarthome gebaut, in dem Strafverfolger*innen das Durchsuchen vernetzter Gebäude üben können. Dort sollen sie auch lernen, dass sich in IoT-Geräten wertvolle Beweise verbergen können. Sowohl NEO als auch das Trainings-Smarthome seien Reaktionen auf eine prognostizierte Bedrohung: Menschen könnten Sprengfallen in Gebäuden installieren und sie über IoT zünden.

Die Sorge sei ausgelöst worden durch einen Vorfall von 2021, bei dem ein Verdächtiger in Florida, der durch seine Türklingelkamera Beamt*innen des FBI sah, zwei erschoss und drei verletzte. Bei einer darauf folgenden Recherche sei das DHS auf die theoretische Möglichkeit von internetgestützten Sprengfallen gestoßen, die Verdächtige auch nach einer Verhaftung beispielsweise per Sprachbefehl auslösen könnten, um Einsatzkräften zu schaden oder Beweise zu vernichten. Möglich sei auch die ferngesteuerte Verteilung gefährlicher Chemikalien über das Belüftungssystem.

Spitzel auf vier Beinen

Mit NEO könnten eventuell vorhandene, über das Internet gesteuerte Fallen vor einer Durchsuchung vom Netz genommen werden, so die Argumentation. Außerdem könne der Roboter den Beamt*innen vor dem Betreten des Gebäudes Audio- und Videofeedback geben, unter anderem mittels einer Infrarotkamera, und Kommunikation mit Personen ermöglichen, die sich im Gebäude aufhalten. Ebenso könne NEO Funkverkehr mitschneiden.

NEO ist laut 404 Media eine vom DHS modifizierte Version des „Vision 60“, eines „Quadruped Unmanned Ground Vehicle“ (Q-UGV), das von der Firma Ghost Robotics an Strafverfolgungsbehörden und militärische Einheiten verkauft wird. Das Q-UGV hat laut Herstellerwebsite ein Gewicht von 51 Kilogramm und kann zehn zusätzliche Kilogramm transportieren. Der Akku hält 3 Stunden, die maximale Reichweite beträgt 10 Kilometer, die Höchstgeschwindigkeit liegt bei rund elf Stundenkilometern.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mehrfach wurde es bereits verschoben, am Mittwoch soll es nun endlich soweit sein: Das Bundeskabinett will einen Gesetzentwurf beschließen, der den Netzausbau beschleunigt. Seit einem Jahr stockt die Einigung, weil sich Digital- und Umweltministerium um ein entscheidendes Wörtchen streiten.

Fast 20.000 Wörter, das ist ganz schön viel für ein geplantes Gesetz. Und doch liegt es an einem Wörtchen, weswegen sich die Ampelkoalition seit bald einem Jahr in den Haaren liegt. Soll der Ausbau digitaler Infrastruktur im „öffentlichen Interesse“ liegen oder im „überragenden öffentlichen Interesse“?

Auch wenn es sich um einen „unbestimmten Rechtsbegriff“ handelt, könnte der Vokabelstreit spürbare Folgen haben – wenn es etwa gilt, neue Funkmasten oder Leitungstrassen zu genehmigen. Bei einer Abwägung unterschiedlicher Interessen könnte eine Behörde dann leichter zugunsten von Netzbetreibern entscheiden, während beispielsweise der Natur- oder Denkmalschutz zurückstecken müsste.

Ein „rechtsfreier Raum“ entstünde dabei aber nicht, betont der SPD-Digitalpolitiker Johannes Schätzl auf Anfrage von netzpolitik.org. Es würde nur so manche „Abwägungsentscheidung von Landesämtern ändern“, sagt der Bundestagsabgeordnete und fordert: Der rasche Ausbau digitaler Infrastruktur müsse dem der erneuerbaren Energien gleichgesetzt werden, der inzwischen ganz offiziell im überragenden öffentlichen Interesse liegt.

Derzeit sei es etwa kaum möglich, Funkmasten in Naturschutzgebieten aufzustellen oder für durchgängige Mobilfunkversorgung in denkmalgeschützten Bahntunnels zu sorgen, sagt Schätzl. Das soll sich ändern, fordert der Abgeordnete und betont, dass dies nicht hieße, dass dann denkmalgeschützte Gebäude oder Naturparks zerstört würden.

Langsam den Ausbau verschnellern

Der Streit um den Begriff ist Teil des sogenannten Telekommunikations-Netzausbau-Beschleunigungsgesetzes (TK-Nabeg). Die Novelle des Telekommunikationsgesetzes (TKG) zielt vor allem darauf ab, bisher langwierige Genehmigungsverfahren zu verkürzen und mit einem aufgebohrten Gigabit-Grundbuch die Planung zu verbessern. Das soll den Ausbau von Fest- und Mobilfunknetzen schneller und billiger machen.

Indes lässt das Tempo der Regierung selbst zu wünschen übrig: Die Vorschläge sind im Groben seit drei Jahren im Koalitionsvertrag und seit zwei Jahren in der Gigabit-Strategie von Digitalminister Volker Wissing (FDP) festgeschrieben. Ein vom Bundesministerium für Digitales und Verkehr (BMDV) erstellter Referentenentwurf des Gesetzes stammt bereits aus dem Sommer des Vorjahres und ist das letzte Lebenszeichen, das die Tempooffensive öffentlich von sich gegeben hat.

Diesen Mittwoch soll es nun endlich so weit sein. Nach mehreren erfolgslosen Anläufen soll das Bundeskabinett einen abgestimmten Vorschlag beschließen: Sofern sich das BMDV auf der einen und das von der Grünen-Politikerin Steffi Lemke geleitete Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV) auf der anderen Seite bis dahin einigen. Selbst Gespräche im Bundeskanzleramt sollen bislang nicht den erhofften Durchbruch gebracht haben.

Auf Anfrage wollen die beiden beteiligten Ministerien die laufenden regierungsinternen Abstimmungen „grundsätzlich nicht kommentieren“, wie es aus dem BMDV heißt. Beide geben sich jedoch zuversichtlich, dass es diesmal klappt. Als Bremser will sich das Umweltministerium jedenfalls nicht dargestellt wissen. Ein schneller Ausbau der Telekommunikationsinfrastruktur liege im Interesse aller beteiligten Ressorts, sagt ein BMUV-Sprecher.

„In Fällen, in denen es tatsächlich einmal zu einem Konflikt zwischen TK-Ausbau und dem Umwelt- und Naturschutz kommt, muss eine ausgewogene Abwägung stattfinden“, so der Sprecher. Was die Frage der „pauschalen gesetzlichen Festlegung eines überragenden öffentlichen Interesses“ betreffe, habe das BMUV stets für eine differenzierte Betrachtung geworben, sagt der Sprecher.

Kompromissbereitschaft angesagt

Wie diese aussehen könnte, bleibt vorerst offen. An Vorschlägen mangelt es allerdings nicht. SPD-Berichterstatter Johannes Schätzl kann sich etwa eine zeitliche Befristung des „überragenden“ öffentlichen Interesses vorstellen. Sonst ließen sich beispielweise die geplanten Versorgungsauflagen der Bundesnetzagentur für Mobilfunkbetreiber kaum umsetzen, die bis zum Jahr 2030 eine praktisch flächendeckende Abdeckung vorsehen.

Betont kompromissbereit gibt sich auch Tabea Rößner, die grüne Vorsitzende des Digitalausschusses. Der Kompromiss müsse jedoch „tragfähig“ ausfallen und dabei weder den Umweltschutz noch die „notwendige Beschleunigung“ des Netzausbaus aus den Augen verlieren. „Ich finde eine geografische Eingrenzung des überragenden öffentlichen Interesses auf Gebiete, wo es wirklich gebraucht wird, sehr charmant“, sagt Rößner.

Etwas abgehängt fühlen sich derweil die Bundesländer, die mehrheitlich auf schnellere Verfahren drängen. „Dass der Streit um das überragende öffentliche Interesse ohne Einbindung der Länder geführt wird, ist eine Ausnahme zur sonst in der Regel guten Zusammenarbeit mit dem BMDV“, beklagt etwa ein Sprecher des niedersächsisches Digitalministeriums gegenüber netzpolitik.org.

Unter niedersächsischer Federführung sei im Länderkreis „vorsorglich ein Kompromissvorschlag zum Diskurs um das überragende öffentliche Interesse erarbeitet“ worden, weist der Sprecher hin. Jetzt könnten die Länder „nur abwarten“, ob dieser Kompromiss, eine andere Regelung oder gar keine Festlegung im Gesetzesvorschlag enthalten sein wird. Vielleicht bleibt es aber auch beim ursprünglichen Entwurf, in dem lediglich vom „öffentlichen Interesse“ die Rede ist.

Weniger Aufwand für Landes- und Kommunalbehörden

Die praktischen Auswirkungen des Wortes „überragend“ sollten aber weder über- noch unterschätzt werden, heißt es aus Niedersachsen: „Die Festlegung eines überragenden öffentlichen Interesses ist nur für einige wenige Genehmigungsverfahren überhaupt relevant“.

Außerdem gehe es in solchen Fällen ohnehin nur vornehmlich darum, dass bestimmte Sachen „erneut gesondert begründet und dokumentiert“ werden müssten – etwa die Verfügbarkeit von Mobilfunk für Notrufe, auch und gerade in dünn besiedelten Gebieten. „Die Festlegung im Gesetz würde diesen Aufwand vermeiden“, sagt der Sprecher des niedersächsischen Digitalministeriums.

Dabei gehe es um Entbürokratisierung und nicht darum, der Umwelt zu schaden: „Der einzige nennenswerte Eingriff in Natur und Umwelt entsteht während der Bauphase, die meist nach wenigen Tagen beendet ist.“ Anders als Autobahnen, deren Ausbau jüngst ein überragendes öffentliches Interesse beigemessen wurde, verursachten Telekommunikationsleitungen und Mobilfunkmasten „weder umweltrelevante Emissionen noch langfristige Baumaßnahmen mit entsprechenden Belastungen für Mensch und Umwelt“, betont der Sprecher.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ein Referentenentwurf des Innenministeriums fordert höhere Haftstrafen für die Sprengung von Geldautomaten. Die Täter*innen sollen auch mit Staatstrojanern verfolgt werden können.

Die Sprengung von Geldautomaten gefährdet Menschenleben, so das Bundesinnenministerium im Vorwort eines aktuellen Referentenwurfs. Außerdem entstünden der Finanz- und Versicherungswirtschaft dadurch erhebliche finanzielle Schäden.

Deshalb soll, so der Entwurf, die Sprengung von Geldautomaten in den Paragraf 100a der Strafprozessordnung aufgenommen werden. Das ermöglicht den Strafverfolgern den verdeckten Einsatz von Telekommunikationsüberwachung – und zugleich auch von Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), also Staatstrojanern. Mit einer solchen heimlichen Spionagesoftware können verschlüsselte Nachrichten auf den Endgeräten unverschlüsselt abgefangen werden.

Das Problem: Die betroffenen Computer oder Smartphones müssen für den Staatstrojanereinsatz gehackt werden. Ein weiteres Problem: Staatstrojaner können theoretisch viel mehr als nur Nachrichten überwachen. Zum Beispiel alle Daten auslesen, Mikrofon und Kamera fernsteuern und sogar Daten verändern. So könnten mit dieser Art Spionagesoftware sogar gefälschte Beweise auf den betroffenen Mobiltelefonen oder Computern platziert werden.

Einschränkungen für Staatstrojaner

Der Entwurf des Innenministeriums wurde gemeinsam mit dem Justizministerium entwickelt. Justizminister Marco Buschmann (FDP) ist die Bedrohung, die Staatstrojaner für die Privatsphäre und die IT-Sicherheit darstellen, durchaus bewusst. Er wollte deshalb eigentlich die Liste an Straftaten entschlacken, für deren Verfolgung Staatstrojaner eingesetzt werden können, so ein Referentenentwurf aus dem Jahr 2023, den wir veröffentlicht haben.

Außerdem soll, so der Entwurf, die Quellen-TKÜ technisch so eingerichtet werden, dass sich damit nur noch laufende Kommunikation auslesen lässt. Zudem soll nicht ein einzelner Richter über den Einsatz der Quellen-TKÜ entscheiden, sondern die Kammer eines Landgerichts.

Von der Verfolgbarkeit mit Quellen-TKÜ ausnehmen will Buschmann mit dem Entwurf beispielsweise Urkundenfälschung und Wettbewerbsstraftaten. Weiter mit einem Staatstrojaner in Form einer Quellen-TKÜ verfolgbar blieben demnach unter anderen Mord und Totschlag, Verstöße gegen das Betäubungsmittelgesetz oder das Einschleusen von Ausländern.

Schon der Versuch soll strafbar werden

Laut dem aktuellen Referentenentwurf zur Verfolgung von Geldautomatensprengungen soll auch schon der Versuch des Erwerbs und der Überlassung von – sowie der versuchte Umgang oder Handel mit – Sprengstoffen unter Strafe gestellt werden. Das ist vermutlich im Kontext der möglichen Telekommunikationsüberwachung zu lesen. Denn für deren Einsatz muss die oder der Betroffene entweder bereits eine schwere Straftat begangen haben oder es muss allein der Versuch, diese Straftat zu begehen, schon strafbar sein.

Außerdem sollen mit den angestrebten Gesetzesänderungen die Mindeststrafen erhöht werden. Bislang lag die Strafe für das Herbeiführen einer Sprengstoffexplosion bei nicht unter einem Jahr. Nach dem Entwurf sollen es künftig mindestens zwei Jahre sein, wenn damit ein Diebstahl begangen wird. Werden mehrere Menschen durch die Explosion gesundheitlich geschädigt oder ein Mensch schwer verletzt, beträgt die Mindeststrafe bislang zwei Jahre, künftig sollen es fünf Jahre sein.

Zusätzlich sollen bandenmäßige und gewerbsmäßige Verstöße gegen das Sprengstoffgesetz mit Freiheitsstrafen nicht unter sechs Monaten bestraft werden.

Schutz gegen Sprengung

2022 versuchten Kriminelle deutschlandweit in 496 Fällen Geldautomaten zu sprengen, in rund 60 Prozent der Fälle waren sie erfolgreich, so das aktuellste Bundeslagebild des Bundeskriminalamts. Die Zahl der Taten war so hoch wie noch nie seit Beginn der Erfassung 2005. Von 2021 auf 2022 stieg sie um 26,5 Prozent.

In 399 der 496 Fälle verwendeten die Täter:innen feste Explosivstoffe, oft wohl Schwarzpulver aus legaler Pyrotechnik. Zuvor war das Sprengmittel meist ein sprengfähiges Gemisch aus Luft und beispielsweise Propangas oder Acetylen.

2023 ist die Zahl der Taten laut Vorwort des Referentenentwurfs allerdings bereits leicht gesunken, angeblich aufgrund von mit der Deutschen Kreditwirtschaft vereinbarten Sicherungsmaßnahmen. Nach einem Runden Tisch im Jahr 2022 hatte sich diese verpflichtet, Geldautomaten zumindest mit einem Grundschutz gegen Sprengungen auszustatten.

Es ist wohl möglich, die Automaten abzusichern. Die R+V-Versicherung, die Banken diesbezüglich berät, empfiehlt, die Automaten in freistehenden Pavillons aus bis zu 15 Zentimeter starkem Stahlbeton unterzubringen. Die seien „massiv wie ein Bunker“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Internationale Menschenrechts- und Journalistenorganisationen fordern von europäischen Delegierten, den aktuellen Entwurf der geplanten UN-Konvention zu Computerkriminalität abzulehnen. Die Unterzeichner weisen auf zahlreiche kritische Mängel hin und brandmarken den Entwurf als menschenrechtsfeindlichen Überwachungsvertrag.

Bei den Vereinten Nationen verhandeln die Staaten seit mehreren Jahren Vorschläge, die in Kürze in eine Cybercrime-Konvention münden sollen. Die letzte Verhandlungsrunde findet ab 29. Juli in New York statt. In einem offenen Brief schlagen nun internationale Bürgerrechts- und Journalistenorganisationen Alarm und wenden sich mit einem „dringenden Appell zur Behebung der kritischen Mängel des jüngsten Entwurfs der UN Cybercrime Convention“ an die EU-Delegierten.

22 internationale zivilgesellschaftliche Organisationen haben den Brief unterzeichnet, darunter Privacy International, die Electronic Frontier Foundation (EFF), Access Now, das International Press Institute (IPI), Epicenter.works sowie European Digital Rights (EDRi) als Dachorganisation vieler weiterer NGOs. Die Delegierten der EU-Staaten und auch die Europäische Kommission werden darin dringend aufgefordert, entweder die zahlreichen Mängel des Entwurfs zu verbessern oder aber die Notbremse zu ziehen.

Der Konventionsentwurf, der das Ziel der Kriminalitätsbekämpfung hat, sei faktisch nach wie vor ein Überwachungsvertrag mit zu wenig Bestimmungen zum Datenschutz und zu Menschenrechten. In der jetzigen Fassung erlaube der Vertragsentwurf „eine umfassende grenzüberschreitende Überwachung“ unter Missachtung internationaler Menschenrechtsvorschriften.

Konkret kritisieren die Organisationen die breiten Befugnisse bei Echtzeitüberwachung, beim Datenaustausch sowie bei Beschlagnahme und Durchsuchung von Daten, die auch Verschlüsselungsmaßnahmen schwächen könnten. Daher sollen die Delegierten der Europäischen Union den Vertragstext ablehnen. Träte der Vertrag so in Kraft, könne er für drastische Repressionen missbraucht werden. Er müsse noch stark verbessert werden, um ihn mit grundlegenden Menschenrechten in Einklang zu bringen.

Zweck des Abkommens untergraben

Die geplante UN-Konvention trägt den offiziellen Namen „International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes“ (Konvention zur Bekämpfung des Einsatzes von Informations- und Kommunikationstechnologien für kriminelle Zwecke). Cybercrime meint hier also Computerkriminalität in einem sehr weiten Sinne. Die Organisationen kritisieren einen „übermäßig weit gefassten Anwendungsbereich“ des geplanten Vertrags.

Eine UN-Konvention kann große Auswirkungen entfalten: Die Vereinten Nationen haben 193 Mitgliedstaaten. Die mit dem Konventionsvertrag eigentlich geplante Bekämpfung von Computerkriminalität könnte sich allzu leicht gegen ethische Hacker und IT-Sicherheitsforscher, aber auch gegen Journalisten oder Menschenrechtsaktivisten wenden. Für all diese Akteure gäbe es nur einen unzureichenden Schutz. Informanten, Aktivisten oder Journalisten müssten aber „vor einer übermäßigen Kriminalisierung“ geschützt werden, heißt es im offenen Brief.

Viele der unterzeichnenden Organisationen hatten schon seit Monaten immer wieder die Risiken für Menschenrechte und IT-Sicherheit angeprangert, die der geplante UN-Vertragstext enthält. Trotzdem gingen auch die jüngsten Änderungen im Entwurf nicht auf die schweren Bedenken ein. Es bestehe „weiterhin die Gefahr, dass Personen und Institutionen unsicherer und anfälliger für Cyberkriminalität werden, wodurch der eigentliche Zweck des Abkommens untergraben wird“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ab heute könnt ihr euch für unsere Konferenz „Bildet Netze!“ anmelden, die am 13. September stattfindet. Euch erwartet ein Tag voller Vorträge, Workshops und Vernetzung. Nach der Konferenz wollen wir gemeinsam 20 Jahre netzpolitik.org feiern. Wir hoffen, ihr seid dabei!

Wie verteidigen wir digitale Freiheitsrechte? Wie stellen wir technologischen Wandel in den Dienst der Gesellschaft? Welche Netze müssen wir spannen, um das Netz gemeinsam voranzubringen? Diesen Fragen wollen wir – 20 Jahre nach Gründung von netzpolitik.org – auf einer eintägigen Konferenz nachgehen.

Wann? 13. September 2024, 10 bis circa 19 Uhr Konferenz, danach Party.

Wo? Alte Münze, Molkenmarkt 2, 10179 Berlin.

Der Konferenzort liegt zentral in der Nähe des Berliner Alexanderplatzes und ist dadurch mit öffentlichen Verkehrsmitteln sehr gut zu erreichen. Für die klimafreundliche An- und Abreise nach und von Berlin bieten wir in Kooperation mit der Deutschen Bahn ein Veranstaltungsticket zu vergünstigten Konditionen an. Ihr könnt das Bahn-Ticket über diesen Link buchen.

Anmeldung? Anmelden könnt ihr euch über Pretix.eu.

Kosten? Die reguläre Teilnahmegebühr beträgt 50 Euro. Das ermöglicht uns, kostendeckend zu arbeiten.

Wenn das nicht in euer Budget passt, habt ihr die Möglichkeit, eine ermäßigte Teilnahmegebühr von zum Beispiel 30 Euro (je nach Selbsteinschätzung, ab 10 Euro) zu zahlen. Wir verlangen keine Nachweise von euch und vertrauen, dass ihr verantwortungsvoll mit den ermäßigten Tickets umgeht.

Um ermäßigte Tickets zu finanzieren, braucht es allerdings auch Menschen, die solidarisch mehr beitragen. Wenn Du genug Geld hast oder ein Unternehmen, das mehr bezahlen kann, kannst du eine frei gewählte solidarische Teilnahmegebühr zahlen, zum Beispiel 80 Euro. Damit unterstützt du Menschen, die sich eine Teilnahme sonst nicht leisten könnten.

Programm? In drei Sälen wird es Vorträge und Workshops geben. In einem weiteren Saal könnt ihr zusammenkommen, Ideen schmieden und Netze knüpfen.

Wir haben uns sehr über viele interessante Einreichungen zu unserem Call for Participation gefreut! In den nächsten Tagen werden wir euch nach und nach einige Programmpunkte vorstellen, bis wir im August den vollständigen Fahrplan veröffentlichen. Mit dabei sind Workshops zum Fediverse und zur Frage, wie wir Überwachungskritik auf die Straße bringen. Talks zu Themen von digitalem Kapitalismus bis Notfalldigitalisierung. Und natürlich werden Menschen aus unserem Team Einblicke in ihre inhaltliche Arbeit mitbringen. Bleibt gespannt!

Keine Zeit? Zu weit? Auch wenn wir hoffen, euch vor Ort begrüßen zu können: Ihr könnt die Konferenz auch per Stream verfolgen, online Fragen stellen und mitdiskutieren. Die Aufzeichnungen werden wir euch im Nachhinein zur Verfügung stellen.

Mehr Infos? Alles Wichtige zur Konferenz findet ihr nach und nach gesammelt unter netzpolitik.org/bildet-netze.

Die Konferenz „Bildet Netze!“ wird unterstützt von Wikimedia Deutschland, dem Chaos Computer Club und dem Kongressfond für nachhaltiges Tagen des Landes Berlin. Vielen Dank!

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Dass Geflüchtete mit einer Bezahlkarte nur wenig Bargeld abheben dürfen, stellt sie vor große Probleme. In einigen Städten entstehen deshalb Tauschorte, die diese Diskriminierung aushebeln wollen. Ein Interview über die Freude am Kampf gegen die Ohnmacht und Solidarität im Franchise-Prinzip.

Auch wenn sich die bundesweite Vergabe verzögert, viele Kommunen, Landkreise und einige Bundesländer haben sie schon eingeführt: die Bezahlkarte für Asylbewerber:innen. Im Gegensatz zu einem normalen Konto ist diese vielerorts mit Auflagen verbunden: nur wenig Bargeld, eingeschränkte Überweisungen, gültig nur in der Region. Geflüchtete stellt das vor große Probleme.

An einigen Orten bildet sich praktischer Widerstand gegen dieses Kontrollinstrument. In Hamburg und in München können Bezahlkarten-Nutzer:innen durch einen Tausch Bargeld erhalten, über das sie dann frei verfügen können.

Wir haben mit Katharina Grote von der Initiative “Offen bleiben!” München über die Tauschaktionen geredet – und wie man sie nachmachen kann.

netzpolitik.org: Seit wann gibt es in Bayern Bezahlkarten für Asylsuchende?

Katharina Grote: Die ersten Pilotprojekte haben am 1. April 2024 angefangen. Der Rollout auf das gesamte Landesgebiet ist danach ziemlich schnell erfolgt. Die Stadt München war gar nicht besonders erpicht darauf, Bezahlkarten so schnell wie möglich einzuführen. Aber auf Druck der Staatsregierung wird sie eigentlich bayernweit in allen Kommunen und Landkreisen bis Ende Juli umgesetzt.

netzpolitik.org: Wer hat so eine Karte? Alle, die als Geflüchtete nach Deutschland gekommen sind?

Katharina Grote: Karten bekommen die Personen, die Leistungen nach dem Asylbewerberleistungsgesetz erhalten. Nach ihrer Ankunft bekommen Asylbewerber:innen diese Leistungen für 36 Monate – außer sie fangen vorher schon an zu arbeiten. Das ist aber nicht so einfach.

Wenn man im Dublinverfahren ist, darf man nicht arbeiten. Wenn man alle paar Monate wieder in eine neue Unterkunft umziehen muss, ergibt es für die Arbeitgeber keinen Sinn, die Leute anzustellen und die zuständigen Ämter brauchen dann noch rund ein halbes Jahr, um über Anträge auf Arbeitsaufnahme zu entscheiden.

Außerdem bekommen auch Personen Asylbewerberleistungen, deren Asylanträge abgelehnt werden und die eine Duldung haben. Diese Personen erhalten meist keine Arbeitserlaubnis und sind in den Leistungsbezug gezwungen.

Kein normales Konto

netzpolitik.org: Wie unterscheidet sich so eine Bezahlkarte von einem normalen Konto mit einer Giro-Karte?

Katharina Grote: Der große Unterschied für die Asylbewerber:innen sind die Restriktionen, die mit einer Bezahlkarte verbunden sind.

In Bayern ist es so, dass man nur Überweisungen an Empfänger einrichten kann, die vorher geprüft worden sind – zum Beispiel an Anwält:innen oder an den Sportverein. Zu Beginn musste das einzeln freigeschaltet werden. Die Leute müssen dann für jede Überweisung zum Amt gehen. In Zukunft soll es so sein, dass an bestimmte freigegebene Empfänger auch selbst Überweisungen eingerichtet werden können. Da muss man schauen, wie gut das in der Umsetzung funktioniert.

netzpolitik.org: Und wie kommt man damit an Bargeld?

Katharina Grote: Leute dürfen pro Monat nur 50 Euro Bargeld mit der Karte abheben. Diese Begrenzung ist vor allem auf dem Land ein großes Problem, wo oft nicht überall Kartenzahlung möglich ist. Da kann man im Bus nicht einfach mit Karte zahlen.

Wenn die Leute eine Residenzpflicht haben, also sich nur in einem bestimmtem Gebiet aufhalten dürfen, kann die Karte auch zusätzlich eine regionale Beschränkung haben. Dann können sie zum Beispiel nur in einem Landkreis mit der Karte bezahlen. Wenn die günstigen Supermärkte im Landkreis nebenan sind, können sie dort nicht einkaufen.

Und viele fahren auch gern in größere Städte, um dort bestimmte Dinge zu kaufen. Zum Beispiel Lebensmittel aus ihren Heimatländern, die man nicht überall bekommen kann, die sie aber gerne essen.

Keine Lösung für niemand

netzpolitik.org: Euer Ziel ist es, dass die Menschen mehr als diese 50 Euro Bargeld zur Verfügung haben.

Katharina Grote: Weil wir die massiven Einschränkungen von den Leuten in ihrem Alltag sehen. Das ist eine Diskriminierung. Die Betroffenen müssen ständig darüber nachdenken: „Kann ich jetzt das noch kaufen?“ Wenn Schuldgeld anfällt, müssen sie erstmal zur Leistungsbehörde gehen und einen Mehrbedarf melden.

Das ist keine gute Lösung. Nicht für die geflüchteten Personen, nicht für die unterstützenden Strukturen und auch nicht für die Ämter. Es wurde ja gesagt, dass Bezahlkarten die Behörden entlasten sollen. Das sehen wir überhaupt nicht.

netzpolitik.org: Wie funktioniert das, wenn Asylbewerber:innen bei euch Bargeld tauschen wollen?

Katharina Grote: Die Personen gehen mit ihrer Bezahlkarte in einen Super- oder Drogeriemarkt einer größeren Kette und kaufen Gutscheine für den Laden. Wir empfehlen 50 Euro. Diese Gutscheine bringen sie an unsere Tauschorte und bekommen dafür Bargeld.

Dorthin kommen auch Leute, die sich solidarisch zeigen und diese diskriminierende Symbolpolitik nicht unterstützen. Die können für Bargeld die Gutscheine abholen. Dann können sie damit in den entsprechenden Läden einkaufen gehen.

netzpolitik.org: Wie viele solcher Tauschstellen gibt es?

Katharina Grote: In München haben wir im Moment drei Tauschorte. Dreimal die Woche kann man bei uns Gutscheine zu Bargeld umtauschen oder abholen.

Nachdem die Aktion bekannter wurde, haben sich aber schon weitere Orte gemeldet, die auch gerne mitmachen wollen.

Bis zu anderthalb Stunden Anfahrt

netzpolitik.org: Wie viele Menschen nutzen euer Angebot?

Katharina Grote: Die Aktion läuft jetzt gerade die zweite Woche. Wir haben sehr viele Leute, die gerne Gutscheine abnehmen würden. Das ist sehr schön, weil wir am Anfang Bedenken hatten, dass wir auf den Gutscheinen sitzen bleiben. Diese Befürchtung hat sich gar nicht bestätigt.

In München beginnen die Behörden gerade erst, die Bezahlkarten auszugeben, da gibt es noch nicht so viele betroffene Personen. Wir haben aber sehr viele Leute, die aus den anliegenden Landkreisen kommen. Teilweise hatten die bis zu anderthalb Stunden Anfahrt und sind gekommen, um einen Gutschein einzutauschen.

netzpolitik.org: Wenn Leute euer Angebot woanders nachmachen wollen: Wie fängt man an? Wie findet man Tauschorte und macht auf sich aufmerksam?

Katharina Grote: „Offen bleiben!“ in München ist ein großes Bündnis, aber mit einer kleinen aktiven Gruppe an Personen. Uns war klar, dass wir das allein nicht stemmen können. Aber wir wussten, dass es Orte gibt, wo solidarische Menschen regelmäßig zusammenkommen – und die haben wir angefragt, ob sie sich vorstellen können, einen Kartentausch anzubieten.

Jetzt finden die Kartenaktionen zum Beispiel während der Abholzeiten einer solidarischen Landwirtschaft statt, in einem Kulturzentrum oder zu den Öffnungszeiten eines Parteibüros der Linken. Das waren die Orte, die wir sofort gewinnen konnten. Interessiert waren auch Läden im Kollektivbetrieb oder selbstverwaltete Räume. Wenn Leute mitmachen wollen, nehmen wir sie in die Liste auf der Homepage auf, damit sie gefunden werden.

Vieles danach läuft in Eigenregie: Wie wird am Anfang die Kasse gefüllt? Wer kann zu den Zeiten da sein? Aber gerade am Anfang sind wir mit den Orten in einem regen Austausch und unterstützen.

Wie ein Franchise-Prinzip

Das funktioniert ein bisschen wie ein Franchise-Prinzip. Wir haben die Idee ja auch von der Initiative „Nein zur Bezahlkarte“ aus Hamburg übernommen, die damit angefangen hat. Wir wollen das Wissen zugänglich machen: „So gehts, macht das selbst nach!“ Das ist gar nicht so schwer.

Es macht auch Freude, aus der Ohnmacht rauszukommen, die man wegen dieser wirklich ekelhaften, rechtspopulistischen Diskussion zur Bezahlkarte empfindet. Wir setzen dem was entgegen mit unserer praktischen Solidarität. Und das macht Spaß.

netzpolitik.org: Eine Frage, die mir schon oft gestellt wurde, wenn Leute über solche Tausch-Aktionen nachdenken: Ist das legal?

Katharina Grote: Das haben sich viele Leute gefragt, vor allem in den Sozialen Medien. Die Polizei München hat aufgrund der vielen Nachfragen die Info der Staatsanwaltschaft München gepostet: Ja, das ist legal. Es gibt keine Möglichkeiten, rechtlich dagegen vorzugehen.

Auch das bayerische Innenministerium ist dieser Einschätzung gefolgt. Auch, wenn es ihnen nicht passt, im Moment sehen sie keine Handhabe.

netzpolitik.org: Könnte es für die Geflüchteten zum Problem werden, wenn sie am Kartentausch teilnehmen und das jemand merkt?

Katharina Grote: Momentan eher nicht. Die Behörden können zwar den Kontostand auf den Bezahlkarten einsehen, aber nicht den gesamten Zahlungsverkehr. Sie wissen also nicht, was eine Person wo eingekauft hat und können nicht ermitteln, ob vor allem Gutscheine gekauft werden.

Wir werden aber wachsam sein und beobachten, ob eine Behörde irgendwann versucht, hier dennoch Repressionen aufzuerlegen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In sozialen Medien kursieren unzählige Deepfakes. Viele manipulierte Inhalte bewegen sich auf dem schmalen Grat zwischen flacher Unterhaltung, Satire und politischem Aktivismus. Plattformen und Gesetzgeber arbeiten an Richtlinien und Verboten – mit zweifelhafter Wirkung.

Auf TikTok wünscht sich Alice Weidel nichts lieber als einen Köftespieß. Kanzler Olaf Scholz ist Bodybuilder und tanzt zu Popmusik. Markus Söder erteilt Karl Lauterbach mit einem Schlagersong endgültig „Bayern Verbot“.

Dabei handelt es sich um Deepfakes. Das sind mit sogenannter künstlicher Intelligenz manipulierte Medien wie Bilder, Audios oder Videos. Für die Herstellung von Deepfakes gibt es ein breites Angebot relativ einfach zu bedienender Programme.

Was früher Satirezeitschriften wie der Titanic mit ihren berüchtigten Titelbildern vorbehalten war und guter Skills in Photoshop bedurfte, kann heute jede:r in wenigen Minuten selber machen: Mit Deepfakes die mächtigsten Politiker:innen des Landes vorführen. Das ermöglicht eine niedrigschwellige politische Partizipation auf sozialen Medien durch die Nutzer:innen – und birgt dennoch Gefahren.

Verschiedene Ziele und Formen

Deepfakes haben im Netz unterschiedliche Ausprägungen. Sie verbreiten sich in Foren und sozialen Medien als Memes, dienen ihren Ersteller:innen als Instrumente für Satire, Propaganda, Desinformation oder sind digitale Gewalt, insbesondere gegen Frauen.

Schwerwiegende Deepfakes mit dem Ziel der politischen Täuschung sind bisher von Nutzer:innen und Journalist:innen relativ schnell entlarvt worden. Plattformen wie YouTube oder Instagram haben die Videos daraufhin entfernt.

Zu Beginn des russisch-ukrainischen Krieges kursierte auf YouTube und Instagram kurzzeitig ein Deepfake-Video des ukrainischen Präsidenten. Darin rief ein vermeintlich realer Volodymyr Selenskyj die Ukrainer:innen zur Kapitulation auf. Der echte Selenskyj konterte die Fälschung nach wenigen Minuten mit einem authentischen Video.

Ein weiterer Deepfake zeigte einen französischen Autohändler, der berichtete, dass Olena Zelenska, Selenskyjs Ehefrau, ein Luxusauto im Wert von knapp fünf Millionen Euro von ihm gekauft hatte. Laut dem Nachrichtensender CNN war der Deepfake Teil einer russischen Desinformationskampagne.

Dagegen ist die Masse an Deepfakes aus der deutschen Politik leicht als Fälschung zu identifizieren. Auch Künstler:innen und Content Creator:innen nutzen hierzulande die Technologie, um gesellschaftliche Debatten anzustoßen und Aufmerksamkeit zu generieren.

Einen realistischen Deepfake von Olaf Scholz, der darin ein Verbot der AfD forderte, hatte das Landgericht Berlin Anfang dieses Jahres verboten. Prinzipiell gehen Gesetzgeber und Plattformen verstärkt gegen Deepfakes vor.

Regulierung von „realistisch“ wirkenden Deepfakes

Kürzlich hat der Bundesrat ein neues Gesetz gegen Deepfakes vorgelegt, das ihre Verbreitung unter Strafe stellen soll. TikTok „ermutigt“ seine Creator:innen in den Community-Richtlinien, KI-generierte Inhalte zu kennzeichnen. Auf YouTube müssen alle „manipulierten oder synthetischen“ Inhalte, „die realistisch wirken“, gekennzeichnet werden.

Facebook und Instagram verpassen KI-generierten Inhalten das Label „KI-Info“, insofern die Plattform-internen Systeme die Nutzung von KI erkennen. Die Creator:innen sind auch verpflichtet, Inhalte als KI-generiert zu kennzeichnen, wenn sie „fotorealistisches Video- oder realistisch klingendes Audiomaterial enthalten, das digital erstellt oder bearbeitet wurde – einschließlich mit KI“.

Die offiziellen Richtlinien der Plattformen lassen anscheinend einen gewissen Spielraum. Von Olaf Scholz existieren etliche Deepfakes, die sich mitunter seit Monaten auf TikTok befinden und ohne Kennzeichnung auskommen. Dabei garantiert auch eine Kennzeichnung nicht, dass alle Zuschauer:innen den Unterschied zwischen Realität und Fake erkennen.

Wann ist ein Deepfake politisch?

Zwar hat TikTok bereits die Funktionen für Accounts von politischen Akteuren wie Regierungen, Politiker:innen und Parteien eingeschränkt. Deepfakes und Memes werden jedoch meist von privaten Accounts hochgeladen und verbreitet.

Ein ungekennzeichneter Deepfake mit dem Titel „Alice Weidel spricht arabisch“ hat rund eine Million Aufrufe. Die Mehrheit der Kommentare zeigen Gutgläubigkeit und Sympathie der Zuschauer:innen gegenüber Weidel: „Sie ist hallt [sic] gebildet und kennt bestimmt noch mehr Sprachen“, „Die neue Bundeskanzlerin halt“ oder „Super Aussprache 💙💙💙“.

Selbst wenn Deepfakes durch Wasserzeichen und Hashtags gekennzeichnet sind, scheinen die Fälschungen vielen Nutzer:innen nicht aufzufallen. Auch sehen die Fans von Alice Weidel im Deepfake womöglich gar keinen Widerspruch mit ihrer eigenen Realität. Für sie sind die manipulierten Videos lediglich Meinungsverstärker.

In der Politisierung des Contents sehen die Plattformen wohl eine Gefahr für ihre Geschäftsmodelle. TikTok, Instagram und Threads haben angekündigt, ihre Algorithmen zu verändern und wollen weniger politische Inhalte anzeigen.

Was dabei als „politisch“ gelten soll, ist bisher noch unklar. Die Deepfakes von Weidel, Söder und Co. wirken im Vergleich mit den gefälschten Selenskyj-Videos eher harmlos. Dennoch steckt mehr als nur flaches Entertainment hinter den Deepfakes.

Traditionelle rechte Propagandataktik

In einem Interview mit Michael Lewis von Bloomberg sagte Steve Bannon, Donald Trumps ehemaliger Chefberater und Medienmanager: “The real opposition is the media. And the way to deal with them is to flood the zone with shit”. Laut Jonathan Rauch, Buchautor und Journalist, gehe es dabei nicht um politische Überzeugung, sondern um politische Verwirrung.

Deepfakes sind ein ausgezeichnetes Instrument, um Verwirrung zu stiften – ein klassisches Mittel rechter Propagandataktik und bezeichnend für den Politikstil von Trump und anderer rechter Populist:innen.

Gradmesser für politische Stimmung

Mit wenigen Klicks fällt auf, dass im Feed auf TikTok Deepfakes dominieren, die Politiker:innen der Grünen, insbesondere Annalena Baerbock, Ricarda Lang und Robert Habeck sowie SPD-Kanzler Olaf Scholz zu ihrem Nachteil remixen.

Darüber hinaus zeigt eine aktuelle Studie, inwiefern der Algorithmus von TikTok AfD-nahe Inhalte bevorzugt. Die Ampelparteien kommen also auf ganzer Linie sehr schlecht weg. Dabei böten AfD-Politiker:innen wie Maximilian Krah mit seinem gewohnt schlecht sitzenden Anzug und der charakteristischen 10-Euro-Frisur eigentlich ausgezeichnete Vorlagen für Meme- und Deepfakemacher:innen.

Solange es keinen kreativen Gegenpol zur TikTok-Dominanz rechter Inhalte gibt, heißt es wohl weiterhin: The left can’t meme. Dabei gibt es guten Grund, sich von TikTok fernzuhalten. Das Unternehmen steht nicht nur wegen fehlendem Datenschutz in der Kritik.

Keine Panik

Raushalten scheint leider keine Alternative zu sein. Aus Angst vor der Übermacht der AfD rüsten die Altparteien nun auch bei TikTok auf. An Deepfakes und Memes traut sich das „teambundeskanzler“ noch nicht heran.

Falls die politischen Akteure die auf sozialen Medien geführte Schlammschlacht, die allzu häufig unter der Gürtellinie ausgetragen wird, gleichermaßen brutal gestalten, könnte sich der Netzdiskurs in Deutschland einem amerikanisch-inhaltsfeindlichen Modell annähern. Das dürfte ganz im Sinne Steve Bannons sein.

Letztendlich lassen sich auch die politischen Deepfakes in ästhetische Kategorien einordnen. Als kreatives Satire-Tool können sie mitunter witzige, durchdachte und dennoch politisch spitze Inhalte vermitteln. Das beweist der Instagram-Kanal „Schlantologie“, der laut Kanalinfo „KI-Satire aus eigenem Anbau“ betreibt.

Deepfakes sind ähnlich wie Memes ein effizientes Kommunikationsmittel auf sozialen Medien und fungieren als Sprachrohr für politischen Aktivismus.

Misstrauen in soziale Medien ist nötig

Nun dienen soziale Medien seit jeher den kommerziellen Interessen von Unternehmen mehr als dem Gemeinwohl der Gesellschaft. Ihre Architektur bestimmt maßgeblich, was die Nutzer:innen sehen. Solange Klicks für Geld und Reichweite sorgen, sind polarisierende Inhalte im Vorteil.

Noch lohnen sich performativer Rassismus und hochemotionaler Content, ob Deepfake oder Meme. Dafür bilden die sozialen Medien glücklicherweise nur einen Teil des gesamtgesellschaftlichen Diskurses ab.

Für manche Bereiche wie der bildbasierten sexualisierten Gewalt durch Deepfakes wird es intelligente Regulierung brauchen, die auch die Profiteure in der Tech-Industrie in die Pflicht nimmt. Doch bei künstlerischen und aktivistischen Deepfakes könnte eine voreilige Regulierung wie zuletzt im Bundesrat mehr schaden als helfen.

Denn schon vor der Verbreitung von Deepfakes war eine grundlegende Skepsis gegenüber Inhalten im Internet angebracht. Im besten Fall sind die Nutzer:innen durch die Deepfakes zukünftig noch stärker gezwungen, ihren Blick für Fälschungen zu schärfen. Und eigentlich ist es auch gar nicht so schwer: Oft hilft eine kurze Internetsuche beim Enttarnen von Desinformation.

Grundlegend braucht es von der Grundschule an mehr Vermittlung von Medienkompetenz statt Panik und voreiliger Verbote, welche die Nutzung ganzer Technologien unter Strafe stellen.

Wer ernsthaft glaubt, dass Alice Weidel im Bundestag ihre Reden auf Russisch oder Arabisch hält, kann auch mit anderen Mitteln als Deepfakes hinter das Licht geführt werden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 29. Kalenderwoche geht zu Ende. Wir haben 26 neue Texte mit insgesamt 271.912 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

manchmal vergraben sich Kolleg:innen in Recherchen und sind dann über lange Zeit etwas unsichtbarer in der Redaktion. Und dann kommt nach Monaten plötzlich die Anfrage, ob man nicht mal auf ein paar Artikel draufschauen könne. Dann stehst Du vor einem halben Dutzend Artikeln, liest gegen und denkst: Wow, darin haben sie sich also vergraben. Und gleichzeitig: WTF! Das wird ein richtiger Knaller.

Durch die Databroker-Recherche von netzpolitik.org und BR Data kam heraus, wie gefährlich Werbedaten werden können, die Apps aus unseren Handys abfließen lassen. Mit einem kostenlosen Probe-Datensatz, den die Kollegen von einem Datenhändler bekamen, konnten sie 3,6 Milliarden Standort-Daten auswerten.

Und diese Auswertung hat es in sich: In den Daten fanden sich die Bewegungsprofile von Mitarbeiter:innen von Militärs, Geheimdiensten und Ministerien, mittels der Daten konnten sie teilweise persönlich identifiziert werden. Ein Einfallstor für Geheimdienste anderer Länder, die wissen wollen, wer dort arbeitet und was diese Menschen in ihrer Freizeit machen. Denn die Standortdaten verraten viel über Lebensgewohnheiten, Hobbys, Suchterkrankungen und andere Dinge, die Menschen vielleicht nicht in der Öffentlichkeit sehen wollen. Standortdaten können Menschen erpressbar machen.

Für mich ist die Databroker-Recherche investigativer Journalismus vom Feinsten. Ein extrem komplexer Zusammenhang wird mit großem Aufwand heruntergebrochen und plötzlich erscheint sehr, sehr klar, was das Problem ist.

Die Geschichte hat ganz schön Staub aufgewirbelt, sogar das Pentagon ist eingeschaltet. Aber ob irgendwer in der Politik sich wirklich dem derzeitigen Modell der Werbe- und Datenindustrie mutig entgegenstellt oder zumindest die allerschlimmsten Datenschutzlücken schließt? Wir dürfen gespannt sein.

Eines ist jedoch sicher: Diese Methoden der Werbeindustrie und Datenhändler sind gesellschaftlich vollkommen unverantwortlich. Wir müssen sie beenden. So schnell wie möglich.

Ein standortdatenfreies Sommerwochenende und viel Spaß beim Lesen wünscht

Markus Reuter

Degitalisierung: Systemisch achtloses Vorgehen

Deepfake-Verbot, Online-Alterskontrollen und Registermodernisierung haben eines gemeinsam: Es fehlt der Blick aufs Ganze. Eine Kolumne und ein Appell für einen differenzierteren und systemischen Blick auf Probleme und vermeintliche Lösungen. Von Bianca Kastl –
Artikel lesen

Facebook und Instagram: Trump muss Meta nicht mehr fürchten

Meta kündigt an, dass Donald Trump keinen besonderen Beschränkungen auf Facebook und Instagram mehr unterliegt. Der Ex-US-Präsident soll so vor seiner Nominierung als Präsidentschaftskandidat auf Metas Plattformen mit Amtsinhaber Joe Biden gleichgestellt werden. Von Constanze –
Artikel lesen

Privatsphäre: Firefox sammelt jetzt standardmäßig Daten für die Werbeindustrie

Der eigentlich für guten Datenschutz bekannte Browser Firefox sammelt seit neuestem Daten über das Verhalten der Nutzer:innen. Das sei indirekt gut für deren Privatsphäre, sagen die Firefox-Macher. Gegner sehen hingegen darin eine weitere Schwächung der Privatsphäre. Die Funktion lässt sich abschalten. Von Markus Reuter –
Artikel lesen

Data Broker Files: How data brokers sell our location data and jeopardise national security

The AdTech industry is torpedoing the privacy of millions of people in Germany and is a threat to national security. But the underlying problem is global: databrokers sell location data without sufficient control. This is the summary of a joint research by netzpolitik.org and BR. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: Dieses Staatsversagen schadet uns allen

Unsere Recherche zeigt einen wuchernden Markt mit intimsten Daten. Gegen die Databroker sind aktuelle Gesetze machtlos. Das gefährdet nicht nur unsere Privatsphäre, sondern auch die nationale Sicherheit. Politik und Datenschutzbehörden müssen jetzt endlich handeln. Ein Kommentar. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: Jetzt testen: Wurde mein Handy-Standort verkauft?

Unsere Recherche mit dem BR zeigt: Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland. Uns liegt ein Datensatz mit Kennungen von bis zu 11 Millionen Geräten vor. Mit diesem Databroker-Checker kannst du jetzt testen, ob auch dein Gerät getrackt wurde. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: Wie Datenhändler Deutschlands Sicherheit gefährden

Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland. Sie wurden angeblich nur zu Werbezwecken erfasst. Aber Recherchen von netzpolitik.org und BR zeigen: Mit den Daten lassen sich sogar Angestellte von Regierung, Militär und Geheimdiensten ausspionieren. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: Die große Datenhändler-Recherche im Überblick

Der unkontrollierte Datenhandel der Online-Werbeindustrie ist eine Gefahr für den Datenschutz von Abermillionen Menschen und für die nationale Sicherheit Deutschlands. Das zeigen Recherchen von netzpolitik.org und dem Bayerischen Rundfunk. Die Databroker Files im Überblick. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: So stoppt man das Standort-Tracking am Handy

Telefone von Millionen Menschen in Deutschland verraten der Werbeindustrie genau, wo sie sich gerade aufhalten. Bei unserer Recherche mit BR fanden wir massenhaft Bewegungsprofile von nichts ahnenden Nutzer*innen, erfasst von Handy-Apps. Mit wenigen Handgriffen lässt sich das stoppen. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

Datenhändler verbreiten die Standorte von Menschen in Deutschland – teils sogar kostenlos, wie Recherchen von netzpolitik.org und BR zeigen. Ein Datensatz mit 3,6 Milliarden Einträgen offenbart genaue Bewegungsprofile und eine neue Dimension der Massenüberwachung. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

AfD in TikTok-Studie: Mit der Erregungsmaschine in den Kaninchenbau

Die AfD wird in TikToks weiterführenden Suchvorschlägen öfter empfohlen als andere Parteien. Zudem sind über 20 Prozent der Vorschläge extremistisch oder dessen verdächtig. Die Autor*innen einer aktuellen Studie sehen darin eine systemische Bedrohung der Demokratie. Von Martin Schwarzbeck –
Artikel lesen

Compact-Verbot: „Unter freiheitsrechtlichen Gesichtspunkten immer problematisch“

Das Bundesinnenministerium hat das rechtsradikale Sprachrohr „Compact“ nach dem Vereinsrecht verboten. Geht das überhaupt, ist das juristisch sicher und inwieweit ist die Pressefreiheit davon betroffen? Wir haben den GFF-Juristen Benjamin Lück dazu interviewt. Von Markus Reuter –
Artikel lesen

Standstill in EU Parliament: How Conservatives are stalling the Digital Euro

The European Parliament is negotiating a law on the Digital Euro – until now, with no result. Leading the negotiations is the European People’s Party. The party has established connections to banks, which are critical of the project. We’re publishing a complaint from other Parliament groups. Von Maximilian Henning –
Artikel lesen

Stillstand im EU-Parlament: Wie Konservative den Digitalen Euro verzögern

Das Europäische Parlament verhandelt das Gesetz zum Digitalen Euro – bisher ohne Ergebnis. Federführend ist die konservative Europäische Volkspartei. Dort gibt es einige Verbindungen zu Banken, die sehen das Vorhaben kritisch. Wir veröffentlichen eine Beschwerde anderer Fraktionen. Von Maximilian Henning –
Artikel lesen

Chatkontrolle : EU-Kommission hält Gesprächsnotizen mit Lobbyorganisation Thorn weiter geheim

Bei der Chatkontrolle und den Beziehungen zur US-Organisation Thorn möchte sich die EU-Kommission weiterhin nicht in die Karten schauen lassen. Die EU-Bürgerbeauftragte hatte die Kommission zur Herausgabe von Dokumenten aufgefordert und bedauert nun, dass diese dem nicht nachkommt. Von Markus Reuter –
Artikel lesen

Next Generation Internet: EU will Open-Source-Förderprogramm wohl beenden

Das Next Generation Internet-Programm der EU-Kommission fördert seit Jahren freie, quelloffene Software. Nun scheint aber ein stilles Aus zu drohen. Laut einem internen Dokument könnte die Finanzierung bald enden. Entwickler:innen sind entgeistert und fordern das Weiterleben des Programms. Von Maximilian Henning –
Artikel lesen

Kinderpornografische Inhalte: Löschen statt Sperren funktioniert noch schneller

So genannte kinderpornografische Inhalte werden nach einem Hinweis ans Bundeskriminalamt immer schneller gelöscht. Die Löschquoten bleiben im Inland und Ausland gegenüber dem Vorjahr etwa gleich. Von Markus Reuter –
Artikel lesen

Next Generation Internet: EU apparently set to end open source programme

The EU’s Next Generation Internet programme has supported free, open source software for years. But now a silent death seems to be looming: An internal document suggests that financing may soon end. Developers are surprised and call for the programme’s survival. Von Maximilian Henning –
Artikel lesen

Databroker: Belgischer Datenmarktplatz veröffentlicht Passdaten von Tausenden im Netz

Auf einem Datenmarktplatz standen wochenlang Passdaten von Tausenden Personen offen im Netz. Erst lange nach unseren Hinweisen nahm das belgische Unternehmen die Daten offline. Menschen aus mehreren Ländern waren einem hohen Risiko für Datenmissbrauch und Betrug ausgesetzt. Von Chris Köver –
Artikel lesen

J. D. Vance: Kreuzritter voller Widersprüche

Der Präsidentschaftswahlkampf in den USA biegt langsam in die Zielgerade ein. Diese Woche entscheiden die Republikaner über ihre beiden Kandidaten. Mit J.D. Vance hat sich nun Donald Trump für einen Stellvertreter entschieden, der enge Kontakte zu reaktionären Tech-Mogulen pflegt. Von Tomas Rudl –
Artikel lesen

Databroker Files: ADINT – gefährliche Spionage per Online-Werbung

Die Technologie hinter Online-Werbung lässt sich für Überwachung und Spionage missbrauchen. Um diese Risiken sichtbar zu machen, prägten Forschende vor sieben Jahren den Begriff ADINT. Unsere jüngsten Recherchen mit dem BR zeigen: Ihre Warnungen waren berechtigt, die Gefahr wird noch immer unterschätzt. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: US-Senator schaltet Pentagon ein; Bundesministerium fordert EU-Gesetze

Politik und Behörden reagieren auf unsere Recherchen mit dem BR zum Handel mit Standortdaten. Ein US-Senator schaltet das Pentagon ein, das Verbraucherschutzministerium fordert EU-Gesetze. Und eine Rechtsanwältin sagt: Schon jetzt könnten sich Händler und Käufer*innen strafbar machen. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Databroker: Belgian data marketplace publishes passport data of thousands of people

For weeks, the personal data of thousands of people was openly available on a data marketplace. It was only after we had alerted the Belgian company that they took the data offline. People from several countries were at high risk of data misuse and fraud. Von Chris Köver –
Artikel lesen

Open-Source-Förderung: Noch mehr Kritik an Finanzierungsstopp der EU-Kommission

Wichtige Organisationen aus der Open-Source-Szene fordern, dass die Förderung für das „Next Generation Internet“-Programm fortgesetzt wird. Ein von der EU-Kommission selbst beauftragter Bericht bewertete das Programm erst vergangenen Monat positiv. Noch besser wäre eine langfristige Lösung. Von Maximilian Henning –
Artikel lesen

Zum Abschied von Ylva Johansson: Chatkontrolle mit der Brechstange

Die #Chatkontrolle wird in Zukunft von jemand anderem forciert werden. EU-Innenkommissarin Ylva Johansson, die das Projekt mit allen Mitteln durchsetzen wollte, ist nicht wieder nominiert worden. Ein Kommentar zum Abschied. Von Markus Reuter –
Artikel lesen

Von der Leyen wiedergewählt: Was in ihrem digitalen Fahrplan steht

Die alte und neue Kommissionpräsidentin hat Leitlinien für ihre zweite Amtszeit vorgestellt. Europa soll mehr KI entwickeln, das Personal von Sicherheitsbehörden soll verdoppelt und verdreifacht werden, das Buchen von grenzübergreifenden Zugfahrten einfacher werden. Die Chatkontrolle wird nicht erwähnt. Von Maximilian Henning –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die alte und neue Kommissionpräsidentin hat Leitlinien für ihre zweite Amtszeit vorgestellt. Europa soll mehr KI entwickeln, das Personal von Sicherheitsbehörden soll verdoppelt und verdreifacht werden, das Buchen von grenzübergreifenden Zugfahrten einfacher werden. Die Chatkontrolle wird nicht erwähnt.

Gestern hat das Europäische Parlament Ursula von der Leyen wiedergewählt. Sie wird die EU-Kommission weitere fünf Jahre als Präsidentin leiten – und in dieser Zeit wahrscheinlich weiter die mächtigste Frau der Welt bleiben.

Für sie gestimmt haben große Teile ihrer eigenen Partei, der Europäischen Volkspartei (EVP). Aber auch viele Sozialdemokraten, Liberale und Grüne. Zumindest sagen die Abgeordneten das jetzt, denn die Abstimmung war geheim. Eine andere Kandidatin gab es nicht: Im aktuellen EU-System schlagen die Regierungschefs eine Kandidatin vor. Das Parlament kann dann nur noch Ja oder Nein sagen.

Um sich die Stimmen der Mitte-Fraktionen zu sichern, hatte von der Leyen in den Wochen vor der Wahl intensiv verhandelt. EVP, Sozialdemokraten und Liberale hatten zwar rechnerisch genug Stimmen – es war aber klar, dass manche Abgeordnete aus diesen Fraktionen ausscheren würden. Die Sozialdemokraten hatten außerdem zur Bedingung gemacht, dass von der Leyen nicht mit den rechten Europäischen Konservativen und Reformern verhandeln durfte. Damit blieben nur die Grünen als zusätzliche Unterstützer.

Am Ende dieser Verhandlungen standen gestern die politischen Leitlinien der Kommission für die nächsten fünf Jahre. Sie sind ein ziemlich bunter Mix, mit einer Basis von EVP-Ideen und einer Garnitur aus Vorschlägen der anderen Fraktionen. Einige digitale Stichpunkte: Kinder schützen, Sicherheit, Verteidigung, Daten und KI.

Mal wieder kein Wort zur Chatkontrolle

„Ich glaube, dass der Schutz der psychischen Gesundheit unserer Kinder und Jugendlichen, insbesondere im Internet, eine unserer größten Herausforderungen dieses Jahrzehnts ist“, heißt es in den Leitlinien. Dieser etwas unerwartete Fokus fand sich vorher im Forderungskatalog, den die Sozialdemokraten für ihre Verhandlungen mit von der Leyen aufgestellt hatten.

Darin hatten sie aber auch klar geschrieben: Die Ende-zu-Ende-Verschlüsselung soll gestärkt werden. Vielleicht auch deshalb findet sich in den politischen Leitlinien keine Erwähnung des Chatkontrolle-Vorschlags, den die Kommission bis zum Ende der letzten Amtszeit vorangetrieben hat.

Das Gesicht hinter der Chatkontrolle war bisher die jetzt ehemalige EU-Innenkommissarin, Ylva Johansson. Sie stand mit voller Energie hinter dem Vorschlag und beschuldigte ihre Kritiker:innen auch schon mal, Falschinformationen zu verbreiten.

Sie wird nicht mehr Teil der nächsten Kommission sein: Schweden hat an ihrer Stelle Jessika Roswall von der regierenden, konservativen Moderaten Sammlungspartei als EU-Kommissarin nominiert. Sie ist aktuell Ministerin für EU-Angelegenheiten. Welchen Posten sie in der Kommission übernehmen wird, ist noch unklar.

Kinder trotzdem schützen

Genauso unklar ist, was die personelle Neuaufstellung oder die fehlende Erwähnung des Chatkontrolle-Vorschlags in den Leitlinien genau bedeuten wird. Die Verhandlungsmusik spielt gerade sowieso bei den Mitgliedstaaten im Rat, wo eine Sperrminorität nach wie vor eine Einigung zur Chatkontrolle blockiert.

Eine umgestimmte EU-Kommission könnte aber in den abschließenden Trilogverhandlungen für weniger Überwachung plädieren – oder den Vorschlag sogar ganz zurückziehen. Viel wahrscheinlicher ist aber, dass auch eine neue Innenkommissar:in die Chatkontrolle weiter vorantreiben wird.

Was will von der Leyen also stattdessen im Bereich Kinderschutz tun? Sie will eine EU-weite Untersuchung dazu einleiten, wie sich soziale Medien auf die psychische Gesundheit von Kindern und Jugendlichen auswirken. Außerdem will sie gegen suchterzeugende Gestaltung von Online-Diensten vorgehen – etwa endloses Scrollen, automatische Wiedergaben und ständige Push-Benachrichtigungen. Dazu soll es einen „Aktionsplan gegen Cyberbullying“ geben.

Einfacher Zugtickets in Europa buchen

Ein weiterer Plan ist von den Grünen abgeschrieben: Menschen sollen Tickets für Zugreisen über europäische Grenzen hinweg auf einer Plattform buchen können, auch wenn sie dabei mit mehreren Unternehmen fahren. Von der Leyen kündigt dafür sogar schon konkret eine Verordnung an, also die Art EU-Gesetz, bei der die Mitgliedstaaten in der Umsetzung weniger in den Sand setzen können.

Mit diesen einheitlichen Diensten soll man in Zukunft auch Anspruch auf Rückerstattungen haben, wenn sich einer dieser Züge verspätet. (Eine kleine Anmerkung: Offen verfügbare Daten zu Verspätungen wären auch sehr praktisch.) Solche Buchungsdienste sind bei Flugreisen bereits gang und gäbe und erleichtern das Buchen von mehreren zusammenhängenden Reisen. Nun soll auch das klimafreundlichere Zugfahren so attraktiver gemacht werden.

Daten einfacher austauschen

Künstliche Intelligenz findet von der Leyen sehr wichtig. Um KI besser entwickeln zu können, muss Europa ihrer Meinung nach „das ungenutzte Potenzial von Daten ausschöpfen“. Dafür plant sie eine Strategie für eine Europäische Datenunion: einen „vereinfachten, klaren und kohärenten Rechtsrahmen“, in dem Unternehmen und Verwaltungen „nahtlos und in großem Maßstab“ Daten austauschen können. Unter Wahrung hoher Datenschutzstandards, versteht sich.

Die beiden großen Digitalgesetze ihrer ersten Amtszeit, zu digitalen Diensten und digitalen Märkten, sollen in den nächsten fünf Jahren intensiver durchgesetzt werden. Bei E-Commerce-Plattformen scheint von der Leyen dagegen noch Tatbedarf zu sehen. Hier fordert sie „wirksame Zoll-, Steuer- und Sicherheitskontrollen“: ein Verweis auf die verschiedenen Konflikte zwischen der EU und den chinesischen Plattformen Shein und Temu in den letzten Monaten.

Mehr von allem für Sicherheitsbehörden

Ansonsten geht es in den Leitlinien viel um Sicherheit – innen und außen. Das Personal von Europol soll verdoppelt werden, das von Frontex verdreifacht. „Jedes Todesopfer im Mittelmeer ist eines zu viel“, deshalb brauche Frontex mehr Überwachungskapazitäten, steht dort zynischerweise. Auch ansonsten sollen Polizeibehörden „geeignete moderne Instrumente für den rechtmäßigen Zugriff auf digitale Daten“ bekommen. Natürlich, ohne die Grundrechte anzutasten.

Das sind allerdings Wahlversprechen. Wie sehr die Behörden tatsächlich vergrößert werden, wird sich bei der nächsten Verhandlung zum EU-Haushalt herausstellen.

Im Verteidigungsbereich soll die EU zur Cybersicherheit mit der NATO kooperieren und eine gemeinsame Cyberabwehr aufbauen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die #Chatkontrolle wird in Zukunft von jemand anderem forciert werden. EU-Innenkommissarin Ylva Johansson, die das Projekt mit allen Mitteln durchsetzen wollte, ist nicht wieder nominiert worden. Ein Kommentar zum Abschied.

Politische Auseinandersetzungen sind oftmals mit Gesichtern verbunden. Bei der Chatkontrolle war eines der Gesichter die schwedische Sozialdemokratin Ylva Johansson. Sie war seit Winter 2019 EU-Innenkommissarin, also die Innenministerin Europas – und damit die große Gegenspielerin von Bürgerrechtsorganisationen und der europäischen Digitalszene. Nun hat Schweden Jessika Roswall für die EU-Kommission nominiert – für welches Amt ist noch nicht bekannt. Damit ist klar, dass Ylva Johansson nicht im Amt bleiben wird.

Die Einführung der Chatkontrolle war eines von Johanssons politischen Großprojekten und offenbar auch eine Herzensangelegenheit, bei der die Politikerin nicht nur einmal den politischen Anstand und das Fingerspitzengefühl beiseite ließ. Für die Chatkontrolle, die Online-Diensten vorschreiben soll, private Inhalte der Nutzer zu durchleuchten, begab sie sich mehrfach und lange in extreme Nähe zu Lobbyorganisationen, machte Bilder und Videos für diese und ermöglichte Lobbyisten einen schnellen und direkten Zugang zu ihrem Amt. Dokumente der EU-Kommission über Treffen mit Lobbyorganisationen gab sie auch nach Beschwerden der EU-Bürgerbeauftragten nicht an Journalisten heraus.

Lügen und irreführende Werbung

Als der Gegenwind für das Projekt Chatkontrolle zunahm, schaltete sie mittels umstrittenem Microtargeting irreführende Werbung auf Twitter. Johansson wollte die Chatkontrolle mit der Brechstange durchsetzen, da war ihr fast jedes Mittel recht. Sie ignorierte die breite Kritik, traf sich nicht mit Gegnern der Chatkontrolle und wurde nicht nur einmal der Lügen und irreführenden Aussagen überführt. In Debatten und Sitzungen wiederholte sie gebetsmühlenartig und oft schwer erträglich ihre Version der Chatkontrolle, die angeblich konform mit Grundrechten sei. Dabei malte sie Schreckensbilder an die Wand, versuchte ihre Gegner mit Kinderleid für mehr Überwachung zu erpressen.

Letztlich hat sich der ganze Einsatz nicht gelohnt, Johansson ist bei der Chatkontrolle gescheitert. Die Chatkontrolle wird ihr großer Misserfolg als EU-Kommissarin bleiben, bis zuletzt gab es keine Zustimmung für den gefährlichen Vorschlag. Aus Sicht der Grund- und Freiheitsrechte ist das und auch der Abschied von Johansson eine gute Nachricht. Dass danach allerdings jemand kommt, der die Privatsphäre mehr achtet oder gar Abstand von den Plänen nimmt, ist leider nicht zu erwarten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wichtige Organisationen aus der Open-Source-Szene fordern, dass die Förderung für das „Next Generation Internet“-Programm fortgesetzt wird. Ein von der EU-Kommission selbst beauftragter Bericht bewertete das Programm erst vergangenen Monat positiv. Noch besser wäre eine langfristige Lösung.

Die Europäische Kommission unterstützt Open-Source-Projekte mit dem „Next Generation Internet“-Programm (NGI). Es finanziert Entwickler:innen – mit kleinen Summen und unbürokratisch. Das funktioniert seit Jahren gut, aber nun droht das Ende. Laut einem internen Dokument soll es 2025 kein Geld mehr für das Programm geben.

Dagegen gehen Entwickler:innen und Organisationen aus der Open-Source-Szene auf die Barrikaden. Die französische Organisation petites singularités hat einen offenen Brief aufgesetzt, in dem sie fordert, dass die EU-Kommission das Überleben des Programms sicherstellt. Einige namhafte Organisationen haben unterzeichnet, unter anderem Matrix.org, die Entwickler:innen des Matrix-Protokolls, die Open Knowledge Foundation aus dem Vereinigten Königreich oder Homo Digitalis aus Griechenland.

Auch Patrick Breyer, bis Dienstag Europaabgeordneter für die Piraten, äußerte sich gegenüber netzpolitik.org kritisch. „Freie Software dient der IT-Sicherheit, Resilienz, technologischen Souveränität und Autonomie der EU. Sie fördert Interoperabilität, Wettbewerb und Wahlfreiheit der Nutzer“, sagte er. Wenn jetzt viel weniger Fördermittel verteilt und auf wenige Großprojekte konzentriert werden sollten, gefährde das europäische Interessen. Die Kommission hätte bislang schon vergleichsweise wenig in das Programm investiert, ein weiterer Abbau sei „nicht hinnehmbar“.

Schlecht für das ganze Internet

Die Free Software Foundation Europe hat heute einen eigenen Aufruf zur Weiterfinanzierung von NGI veröffentlicht. „Der Mangel an öffentlicher Finanzierung für so zentrale Technologien hat nicht nur negative Auswirkungen auf freie Software, sondern auf die gesamte Zukunft des Internets“, heißt es dort.

„Die Finanzierung einstellen heißt unsere eigene Autonomie einschränken“, schreibt die FSFE. „Diese Debatte zeigt mal wieder ein fundamentales Problem: Wir brauchen eine nachhaltige, sichere und dezidierte Finanzierung für NGI und freie Softwarelösungen, die Europa dabei helfen, seine Technologie zu kontrollieren.“ Der Grund für die Mittelkürzung scheint laut der FSFE zu sein, dass die Gelder stattdessen bei Projekten mit „Künstlicher Intelligenz“ landen sollten.

Eigener Bericht fiel positiv aus

Erst im vergangenen Monat hat ein Bericht der EU-Kommission dem Programm ein sehr gutes Zeugnis ausgestellt. „Das NGI-Programm hat einen wichtigen Einfluss darauf gehabt, eine Tech-Landschaft in der EU zu formen, die nachhaltig, souverän und mit EU-Programmen und Werten im Einklang ist“, heißt es dort.

Für den Bericht wurden auch Empfänger:innen der NGI-Gelder zu ihren Erfahrungen mit dem Programm befragt. Die sind sehr positiv, heißt es: „Das unterstreicht die positive Aufnahme des aktuellen Finanzierungsmodels, und betont die Notwendigkeit von fortgesetzter finanzieller Unterstützung, um Nachhaltigkeit und Wachstum von Open-Source-Initiativen zu gewährleisten.“

Laut dem Bericht finden die Empfänger:innen besonders gut, dass NGI seine Gelder ohne große Bürokratie auszahlt. Das Programm habe eins der „schlanksten, leichtesten Antragverfahren, die wir bisher gesehen haben“, wird eine Person zitiert. Die NGI-Finanzierung hätte sich positiv auf viele Projekte ausgewirkt und ihnen erlaubt, innovativen Ideen nachzugehen.

Muss langfristiger aufgestellt werden

Ein grundlegendes Problem mit dem Programm ist die Struktur der Finanzierung. Die EU-Kommission vergibt das Geld als Teil des Forschungsförderprogramms „Horizont Europa“, einem gewaltigen, mehrere Jahre dauernden Schwergewicht mit fast 100 Milliarden Euro Gesamtsumme. Die Finanzierung von Next Generation Internet, 27 Millionen Euro, ist im Verhältnis winzig und fällt kaum ins Gewicht.

Unter dem Dach von Horizont Europa wird die Finanzierung für NGI aber in unregelmäßigen, kurzen Abständen neu ausgeschrieben. Damit ist das Programm ständigen Modewünschen aus der Kommission unterworfen: Im einen Jahr soll es sich auf Blockchain konzentrieren, im nächsten auf Künstliche Intelligenz. Eine stetige, unabhängigere Finanzierung würde eine langfristigere Planung erlauben. Als Beispiel könnte dafür der deutsche Sovereign Tech Fund dienen.

Die Niederlande, Estland, Frankreich und Deutschland arbeiten gerade an einer ähnlichen Idee, mit einem etwas komplizierten Namen: ein Europäisches Digitalinfrastruktur-Konsortium für die digitale Allmende. Dieses Konsortium soll Open-Source-Entwickler:innen einen einfachen Zugang zu Finanzierung und Ressourcen bieten. Die Staaten müssen ihre Idee aber erst einmal formell umsetzen. Die Ausgestaltung und Finanzierung steht dann noch einmal auf einem anderen Blatt. Das NGI-Programm direkt ersetzen kann das Konsortium also nicht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

For weeks, the personal data of thousands of people was openly available on a data marketplace. It was only after we had alerted the Belgian company that they took the data offline. People from several countries were at high risk of data misuse and fraud.

A Belgian data marketplace has published the passport data of thousands of people on the internet. For months, lists with the names, dates of birth and passport numbers of the people concerned could be downloaded from the website of Databroker. Not hidden away in some corner of the dark web, but on a website where search engines could easily find the data. (The page can no longer be reached via the domain.)

Around 30 such lists were available for free download on the site until the beginning of July – months after netzpolitik.org had pointed out the problem to the company.

The data includes information on citizens of Germany, France, Belgium, the Netherlands, Hungary, Estonia and the UK. It also includes passport data of children. It’s unclear where the data comes from or who uploaded it to the platform. Databroker does not sell its own data, but acts as a trading platform – a marketplace where others can offer or buy data.

The data is apparently genuine. netzpolitik.org has tracked down several people whose names were found in the data, who confirmed that their information is correct.

A smorgasbord for fraudsters

The lists are free samples: a kind of preview of even larger data sets that providers use to show what they have to offer.

Offering potential customers such samples is widespread in the industry. However, they are usually protected by a password or only sent on request. It’s unusual for a seller to make the data publicly available on the internet – and dangerous for those affected.

Passports are among the most widely used forms of identification, making them a popular target for fraudsters. The passport number, in combination with the name, date of birth and expiry date of the passport – as in this case – opens up a range of possibilities for fraud.

Anyone who receives this smorgasbord of data can, for example, conclude contracts on the internet – or create fake passports with the real data. Phishing attacks also become more credible if fraudsters already know their victim’s name and date of birth – this way they can get hold of further data.

„The publication of this data can have far-reaching consequences for those affected“, warns Felix Mikolasch of the data protection organization noyb. „They could, for example, be wrongly affected by debt collection claims or criminal proceedings because someone has impersonated them.“ Especially on the internet, many contracts can be easily concluded with ID data.

Blockchain company operates data marketplace

Databroker is part of the blockchain company Settlemint, registered in Belgium. The two founders, CEO Matthew Van Niekerk and CTO Roderik van der Veer, are very active on LinkedIn. Van Niekerk publishes his own newsletter and a “Blockchain Podcast” called “Chief Digital Heroes”.

They founded Settlemint in Belgium in 2016. According to their own information, the company has offices in India, Singapore, Japan and Dubai in addition to its headquarters in Leuven. Its customers are said to include well-known companies such as Fujitsu and the supermarket chain Carrefour. Settlemint provides training and a platform that companies can use to build their own blockchain applications.

As part of the Horizon 2020 funding program, Settlemint received more than 1.8 million euros from the EU Commission: innovation funding to expand its business in other countries.

netzpolitik.org contacted Databroker and Settlemint in several ways to ask questions – without receiving a response. We also tried to reach the company at its location in Leuven, close to Brussels. There is a doorbell with the name of the company, but on ringing, nobody opens the door.

netzpolitik.org reported on the data leak back in April. At the time, we did not name the marketplace or the company because the lists of passport data were still on the internet – even after we had pointed it out several times. netzpolitik.org had initially only discovered one file containing passport data, mostly of German citizens. After further research we realized the problem was much bigger.

„Keeping control of your data“

Settlemint advertises the idea behind Databroker in a blog post: other data marketplaces either buy the data themselves or rely on the infrastructure of third parties, the company writes.

Databroker, on the other hand, is designed to function in a decentralized manner – and thus to be particularly secure and smooth. Sellers can offer data via the platform, and interested buyers can request it. Transfer and payment are to be handled in a decentralized and automated manner via a blockchain infrastructure. A kind of global classified ads portal for data, peer-to-peer, without intermediaries.

“Keeping control of your data,” Settlemint advertises its platform: providers can decide for themselves whether they want to share their data „publicly or privately“. But what if providers do not publish „their“ data at all, but rather data belonging to other people – presumably without their consent?

Sensitive passport data of Germans published online

Passport data of thousands of people

netzpolitik.org was able to download a total of 30 files with passport data from the marketplace website. They were stored in a subfolder for sample data sets that was openly accessible. Some of the files are Excel tables, some PDFs or Word documents.

A few of the files are named with a country code: HUN for lists with passport data mainly from Hungary or GBR for Great Britain. Sometimes there are 200, sometimes 500 names per list. In total, the data of thousands of people was openly available on the internet in this way.

netzpolitik.org was able to identify several people on the lists. They live in Bavaria or Lower Saxony, in Budapest or in the Hungarian countryside. Some confirmed that their data is genuine when we contacted them. In other cases, the names and dates of birth that we found online match the information on the lists.

All those contacted were surprised to find their data on the marketplace. „Data protection, you hear about it all the time,“ says one of them over the phone. „But when you see your own data openly on the internet, it’s a different feeling.“

A trail leading to airlines

There are indications that the ID data could have found its way onto the internet via airlines. Some of the file names refer to the Turkish airline Corendon, a holiday airline. Two of the people affected, with whom netzpolitik.org spoke, stated that they had flown with Corendon.

We found some of the lists not by searching in the browser, but via offer pages on Databroker. The seller was an account named “Wizzair airlines”. The offer: allegedly passenger data of passengers from Germany, France or Belgium. This page was deleted after our first inquiries.

Wizz Air is a Hungarian low-cost airline. When we asked whether the data came from actual airline passengers, Wizz Air did not respond. However, it is not unlikely that the data came from another source.

Data sellers on Databroker can give their accounts any name they like, including misleading names. All you need to register is a working e-mail address. File can also be named freely  – for example, if someone wants to give the impression that they have obtained passenger data from a legitimate source.

Meta-data of a nocturnal seller

In the travel industry, data passes through many hands. Customers book through a travel agent or use portals to find cheap offers. In some cases, you are already asked to enter your passport details before proceeding to an airline for booking. At all these points, data could be leaked or passed on without authorization.

The metadata of the files could provide a clue to the seller: they show when a file was created and with what. the earliest lists are from August 2023, the most recent from the beginning of February. They were created with Microsoft Word or Excel on a Dell computer, and mostly late in the evening – at a time when most people in an office have long since gone home.

The data does not say whether the seller actually found buyers on the Belgian marketplace. If someone sells data on the platform, Settlemint also earns money from the transaction. According to its own information, the platform retains ten percent of the selling price as a fee.

Settlemint did not answer our questions about Databroker’s turnover and business model. Questions about whether and how it checks whether offers are legal and whether providers have the right to sell the data offered also remained unanswered.

How data brokers sell our location data and jeopardise national security

„Most likely illegally posted on the internet“

„The sale of such data sets is probably illegal,“ writes Elisabeth Niekrenz, a lawyer specializing in data protection at the law firm Spirit Legal.

In theory, it is conceivable that the provider would have obtained consent to sell the passport data. However, the hurdles for this are very high: such consent must be informed, voluntary and unambiguous. This means that people must understand what is to be done with their data and they must explicitly agree to it.

„A note in the small print is definitely not enough,“ says the lawyer. She doubts that those affected would consent to the sale of such sensitive data if they were informed of the details.

„It is hard to imagine that there is a legal basis for this,“ says Felix Mikolasch, a lawyer at the Austrian data protection organization noyb. He also believes it is highly likely that the data ended up on the internet illegally.

Entitled to compensation

Because ID data can be misused so easily, companies must not only notify the data protection authorities in the event of a data leak, but also the persons concerned themselves. This apparently did not happen. People contacted by netzpolitik.org say they only found out about the publication of their data through us.

Elisabeth Niekrenz points out that those affected are likely to be entitled to compensation and can take legal action. This applies to the unknown company where the data was originally stored. But also to the data marketplace that published the lists on its website.

Data from passports is considered personal data because it can be used to identify individuals. For the EU, the General Data Protection Regulation (GDPR) sets out the conditions under which such data may be stored and shared.

Possible consequences for data marketplace

It is not yet clear whether and how data marketplaces such as Databroker can be held responsible if illegal data is traded on their platforms. A recent investigation by netzpolitik.org and Bayerischer Rundfunk into the trade in location data of an estimated million Germans showed how easy it is to construct movement profiles from this data – including those of people in security-relevant areas. In this case, the contact to the data dealer was mediated by a marketplace based in Berlin.

The operator of the marketplace is unlikely to be held responsible under the GDPR. The company was only a broker in this case. And anyone who does not process data themselves cannot be held responsible under the GDPR – the Berlin data protection authority concluded.

In the case of the Belgian marketplace that published the passport data, however, the situation could be different. Databroker is apparently more than a broker: the lists with the passport data were publicly available on the internet – uploaded directly to Databroker’s website.

The Belgian data protection authority is now responsible for investigating whether Databroker has violated the GDPR by publishing the data. In April, the authority did not want to comment on the specific case, saying that it was not allowed to comment publicly on “ongoing or potential proceedings”. We received no response to our renewed request. (After our publication, the authority contacted us with the same statement as before.)

According to the GDPR, failure to comply with consent requirements can result in penalties of up to four percent of annual turnover or 20 million euros.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Politik und Behörden reagieren auf unsere Recherchen mit dem BR zum Handel mit Standortdaten. Ein US-Senator schaltet das Pentagon ein, das Verbraucherschutzministerium fordert EU-Gesetze. Und eine Rechtsanwältin sagt: Schon jetzt könnten sich Händler und Käufer*innen strafbar machen.

Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.

Am Dienstag haben wir eine gemeinsame Recherche mit dem Bayerischen Rundfunk zum unkontrollierten Handel mit Standortdaten veröffentlicht. In den „Databroker Files“ haben wir über einen Datensatz mit 3,6 Milliarden Standorten von bis zu elf Millionen Handys in Deutschland berichtet, den wir über einen Berliner Datenmarktplatz von einem Datenhändler aus den USA erhalten haben. Wir konnten daraus detaillierte Bewegungsprofile von zahlreichen Menschen aus sicherheitsrelevanten Bereichen ableiten, etwa aus Behörden, Militär und Geheimdiensten.

Seitdem schlägt die Veröffentlichung hohe Wellen. Zahlreiche deutsche Medien haben die Recherche aufgegriffen. „Handydaten werden missbraucht wie im Thriller, nur noch schlimmer“, titelte etwa die Süddeutsche Zeitung. Der SPIEGEL zitiert den irischen Datenschutzaktivisten Johnny Ryan, der den unkontrollierten Datenhandel im Allgemeinen als „größtes Datenleck aller Zeiten“ bezeichnete. Das österreichische ORF schreibt von einer „schmutzigen Praxis“, die durch die Recherche aufgedeckt wurde.

US-Senator informiert Pentagon

Inzwischen sind die Wellen auch über den Atlantik geschwappt: „Es ist empörend, dass US-amerikanische Datenhändler Standortdaten weitergeben, die von Tausenden von Handys gesammelt wurden, die US-Militärstützpunkte in Deutschland besucht haben“, schreibt uns der demokratische US-Senator Ron Wyden auf Anfrage. Unsere Recherche hatte gezeigt, dass selbst Bewegungsprofile von Personen zu finden sind, die an einem Standort in Bayern arbeiten, an dem der US-amerikanische Auslandsgeheimdienst NSA mit dem BND kooperieren soll.

„Die unkontrollierte Branche der Datenhändler stellt eine klare Bedrohung für die nationale Sicherheit dar“, schreibt uns Wyden weiter. „Ich habe beim Pentagon bereits ein Briefing angefordert und setze mich weiterhin für ein Gesetz ein, das die Ausfuhr personenbezogener Daten streng regelt.“ Das Pentagon ist das US-Verteidigungsministerium.

Wyden ist seit 1996 Senator für den Bundesstaat Oregon und eine treibende Kraft im US-Kongress für den Schutz von Grundrechten und eine bessere Kontrolle von Sicherheitsbehörden. In diesem Zuge hat er, gemeinsam mit der Federal Trade Commission (FTC) in den vergangenen Jahren auch verstärkt Databroker ins Visier genommen. Seine Untersuchungen hatten erst Anfang des Jahres aufgedeckt, dass Datenhändler Standortdaten an Abtreibungsgegner verkauften, die damit Menschen in Visier nahmen, die Abtreibungen suchen. Gemeinsam mit anderen hat er ein Gesetz eingebracht, dass das Geschäft von Datenhändlern einschränken soll. Anfang 2024 hat die FTC sogar US-Brokern den Handel mit Standortdaten untersagt.

Bundesregierung: Ministerin Lemke (Grüne) fordert EU-Gesetze

Eine strenge Regulierung des Datenhandels fordert in Reaktion auf unsere Recherche auch das Bundesministerium für Umwelt- und Verbraucherschutz von Steffi Lemke (Grüne). „Standortdaten sind äußerst sensibel, sie können dazu führen, dass Menschen konkret gefährdet werden, daher halten wir es für erforderlich, den Schutz von Standortdaten im EU-Recht deutlich zu verbessern“, sagte ein Sprecher der Ministerin gestern in der Bundespressekonferenz.

Sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für Dritte verfügbar seien, so der Sprecher weiter. Das Ministerium sei darüber hinaus der Auffassung, dass der Handel mit personenbezogenen Daten schon heute illegal ist, denn „die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist aus unserer Sicht mit dem Datenschutzrecht nicht vereinbar.“

Im Zuge unserer Veröffentlichung hatte bereits die Präsidentin des Verbraucherzentrale Bundesverbandes ein generelles Verbot gefordert: „Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern. Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden.“

EU-Parlament: „Erwarten dringend Gesetzesvorschlag“

Zumindest manche Abgeordnete im neu gewählten Europa-Parlament wären für eine Reform zu haben. „Das Grundrecht auf Schutz personenbezogener Daten verlangt, dass uns die Kontrolle der Verwendung unserer Daten möglich sein muss und wir mithin von Missbrauch geschützt werden“, sagt etwa Katharina Barley (SPD), Vizepräsidentin des EU-Parlaments. „Die Recherche zeigt eine klaffende Lücke dieses Schutzes auf, die geschlossen werden muss; unter Umständen auch durch eine Nachbesserung der Gesetzeslage“,

Weniger Zweifel daran, dass aktuelle Gesetze nicht reichen, hat Alexandra Geese (Grüne). „Wir brauchen eine komplette Neuordnung der Online-Werbung, die Datenprofile ausschließt“, sagt sie in Reaktion auf die Databroker Files. Persönliche Daten von Nutzer*innen würden nicht in die Hände der Werbeindustrie oder undurchsichtiger Datenbroker gehören. Aktuelle Gesetze wie Digitale-Dienste-Gesetz (DSA) und Datenschutzgrundverordnung (DSGVO) seien nicht ausreichend. „Wir erwarten dringend einen Gesetzesvorschlag der gerade neu gewählten EU-Kommissionspräsidentin Ursula von der Leyen“, sagt Geese.

Wir haben auch die FDP-Europapolitikerin und Verteidigungsexpertin Marie Agnes Strack-Zimmermann mit kurzer Frist um eine Statement gebeten und ergänzen es, wenn wir eine Antwort erhalten.

Bundestag: Abgeordnete fordern Konsequenzen

Bereits im Zuge der Veröffentlichung hatten mehrere Bundestagsabgeordnete Konsequenzen gefordert. „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden“, sagte etwa der Bundestagsabgeordnete Konstantin von Notz (Grüne). Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Geheimdienste des Bundes beaufsichtigt. Die Verfügbarkeit solcher Datensätze für fremde Dienste bezeichnete er als „relevantes Sicherheitsproblem“.

Roderich Kiesewetter (CDU), stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium sprach davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und „unsere Bürger vom Datenabgriff durch ausländische Staaten zu schützen.“

„Es kann nur einen Schluss geben: solche Geschäftsmodelle müssen beendet werden“, sagte Bundestagsabgeordnete Martina Renner (Linkspartei). Sowohl von Notz als auch Renner sehen zudem Klärungbedarf beim möglichen Kauf von Daten durch deutsche Geheimdienste. „Das wäre aus meiner Sicht schlicht illegal“, sagte Renner. Auch von Notz sah mit Blick auf die Rechtsgrundlage Diskussionsbedarf. Im Zuge der laufenden Geheimdienstreform „werden wir uns auch diesen Bereich noch mal genauer angucken.“

Konsequenzen hatte auch die designierte Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider gefordert. Sie sprach angesichts des Geschäftsmodells von Datenmarktplätzen von einer Rechtsschutzlücke. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beispiel im derzeit zu reformierenden Bundesdatenschutzgesetz.“

Rechtsanwältin: Datenhandel könnte bereits strafbar sein

Die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz von der Kanzlei Spirit Legal hält den in den Recherchen beschriebenen Datenhandel schon jetzt für rechtswidrig. „Das Datenschutzrecht kennt keine Generaleinwilligung, mit der personenbezogene Daten zur freien Handelsware werden“, schreibt sie. „Eine informierte Einwilligung ist daher unmöglich.“ Dabei verweist sie etwa auf Papiere der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Außerdem verstoße das Vorhalten von Daten für unbestimmte Zwecke gegen den Zweckbindungsgrundsatz der DSGVO, in dem es heißt: „Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“

„Unter Umständen können diese Praktiken sogar strafbar sein“, schreibt Niekrenz weiter und verweist auf das Bundesdatenschutzgesetz (BDSG). Demnach steht es unter Strafe, nicht allgemein zugängliche personenbezogenen Daten einer großen Zahl von Personen ohne Berechtigung einem Dritten zu übermitteln oder anderweitig zugänglich zu machen, wenn man dabei gewerbsmäßig handelt. „So wie es die Verkäufer der Datensätze wohl tun“, schreibt sie.

Sogar die Käufer*innen der Datensätze könnten sich Niekrenz zufolge strafbar machen – wenn sie etwa mit der Absicht, sich zu bereichern oder andere zu schädigen, die Daten weiterverarbeiten. Abschließend beurteilen könne man die strafrechtliche Verantwortung nur im Einzelfall, so Niekrenz. Betroffene oder die Datenschutzaufsicht müssten dafür einen Strafantrag stellen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Technologie hinter Online-Werbung lässt sich für Überwachung und Spionage missbrauchen. Um diese Risiken sichtbar zu machen, prägten Forschende vor sieben Jahren den Begriff ADINT. Unsere jüngsten Recherchen mit dem BR zeigen: Ihre Warnungen waren berechtigt, die Gefahr wird noch immer unterschätzt.

Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.

Im Jahr 2017 machen sich drei Forschende der Universität Washington auf die Spur eines neuen Überwachungsskandals. Sie beschreiben, wie sich die Technologie hinter personalisierter Werbung missbrauchen lässt, um gezielt Menschen zu verfolgen.

Es ist ein Jahr, bevor Harvard-Professorin Shoshana Zuboff ihr einflussreiches Buch „Das Zeitalter des Überwachungskapitalismus“ veröffentlichen wird. Große Teile des Internets sind längst in der Hand mächtiger, kommerzieller Plattformen. Damals wie heute fließen Milliarden US-Dollar durch das Geschäft mit Online-Werbung und das zugrunde liegende Tracking. Die Beobachtungen der Forschenden aus Washington betreffen also nichts weniger als eine tragende Säule des kommerziellen Internets.

„Einzelpersonen können die Infrastruktur des Targeted Advertising nutzen, um Zielpersonen physisch und digital zu überwachen“, fasst das Team rund um Informatiker Tadayoshi Kohno damals zusammen. Sie können demnach den Standort einer Zielperson in Echtzeit verfolgen und herausfinden, welche Apps sie nutzt.

ADINT als neue Form der Überwachung

Spätestens seit den Enthüllungen des NSA-Whistleblowers Edward Snowden im Jahr 2013 war bekannt, dass sich US-amerikanische Geheimdienste in großem Stil an Daten bedienen, die Tech-Konzerne sammeln. Seither warnen Forschende und Aktivist*innen immer wieder: Die Daten aus der kommerziellen Überwachung des Internets sind ein Schatz für alle, die ganz klassische, staatliche Überwachung betreiben.

Tadayoshi Kohno, Franziska Roesner und Paul Vines können aufzeigen, wie das im Ökosystem der Online-Werbung funktioniert. Für diese bis dahin kaum diskutierte Form von Überwachung schlagen sie einen neuen Begriff vor: ADINT.

Das steht für „advertising-based intelligence“, auf Deutsch: werbebasierte Erkenntnisse. Der Begriff ist angelehnt an Abkürzungen, die auch Geheimdienste zur Gewinnung von Erkenntnissen verwenden. Zum Beispiel HUMINT, „human intelligence“ – Erkenntnisse durch menschliche Quellen. Oder SIGINT, „signal intelligence“ – Erkenntnisse durchs Abfangen von Kommunikationssignalen.

„ADINT ist ein nützlicher Begriff, weil er speziell einen auf Online-Werbung basierenden Mechanismus benennt, der die Privatsphäre gefährden kann“, schreibt uns Tadayoshi Kohno heute, also sieben Jahre später, in einer E-Mail. Er hat den Eindruck: Vor allem Forschende und Journalist*innen sprechen inzwischen von ADINT – nicht aber die Behörden, Geheimdienste und Überwachungs-Dienstleister, die selbst ADINT betreiben.

Das deckt sich mit den Beobachtungen, die wir bei unseren Recherchen mit dem BR zum Handel mit Standortdaten aus Apps gemacht haben. Die einschlägigen Akteure sprechen eher allgemein von „Big Data“ oder Erkenntnissen aus dem Internet. In der Begründung zur Reform des deutschen BND-Gesetzes heißt der Ankauf von Werbedatenbanken schlicht „Informationen aus allgemein zugänglichen Quellen“.

„Risiken von ADINT vielen Menschen unbekannt“

„Ich denke, dass die Risiken von ADINT unterschätzt werden – oder vielen Menschen unbekannt sind“, schreibt Kohno weiter. Ob man es nun ADINT nennt oder anders, ist für den Forscher eher zweitrangig. Wichtiger ist ihm, dass Menschen die wesentlichen Risiken verstehen und darüber sprechen, wie man sie mindert.

Vor wenigen Tagen haben wir gemeinsam mit BR enthüllt, wie ADINT die nationale Sicherheit gefährdet. Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland, wir haben einen solcher Datensätze ausgewertet. Die GPS-Daten darin wurden mithilfe von Handy-Apps gewonnen.

Möglich machen das die Technologien, die für den Werbemarkt geschaffen wurden. Da sind zum Beispiel die individuellen Werbe-IDs, die Apple und Google unseren Smartphones zuordnen, damit die Werbebranche sie wiedererkennen kann. Da sind Cookies, Tracking-Pixel und Code-Bausteine von Tracking-Firmen in populären Apps und auf Websites. Und dann ist da das Real Time Bidding. Das sind Auktionen, bei denen unzählige Firmen in Millisekunden darauf bieten, Nutzer*innen mit einem bestimmten Profil Werbung anzeigen zu dürfen.

Damit das Real Time Bidding funktioniert, senden Websites und Apps umfangreiche Informationen über ihre Nutzer*innen an tausende Firmen. Das Team um Kohno beschrieb 2017 ein Szenario, in dem Angreifer*innen diese Auktionen für Überwachung nutzen. Hier mussten Angreifer*innen zunächst selbst Werbeanzeigen kaufen und dafür sorgen, dass diese Werbung auf dem Gerät einer Zielperson angezeigt wird.

Die von uns beobachtete Überwachung ist sogar noch einfacher. Denn wir haben einfach Standortdaten von einem Datenhändler erhalten, die Apps zu Werbezwecken gesammelt und weiterverkauft haben. Diese haben wir auf eine Karte geworfen – und fertig war die Massenüberwachung. Unsere Recherche zeigte: Mit solchen Daten lassen sich sogar Angehörige von Regierung, Militär und Geheimdiensten ausspionieren.

Databroker-Enthüllungen aus fünf Ländern

Unsere jüngsten Veröffentlichungen beschreiben die Dimension der Gefahr durch ADINT in Deutschland, nachdem ähnliche Recherchen bereits für die USA, Norwegen die Niederlande und die Schweiz erschienen sind. All diese Recherchen führen eindrücklich vor Augen, wovor Fachleute wie Kohno bereits seit Jahren warnen.

In Februar 2024 veröffentlichte der US-Journalist Byron Tau sein Buch „Means of Control“. Darin erzählt er am Beispiel von US-Behörden, wie für Werbezwecke erhobene Daten zum Rohstoff für staatliche Überwachung werden. Er nennt es eine „seltsame, unheilige Allianz aus Staat und Wirtschaft“.

Die Daten würden auf einem Markt gehandelt, dessen Existenz die meisten Menschen nicht einmal kennen. Was Tau in seinem Buch nachzeichnet, ist nicht weniger als die Entstehung einer neuen Dimension globaler Überwachung. Frei aus dem Englischen übersetzt:

Kein Verbraucher oder Bürger kann wissen – geschweigedenn sein Einverständnis dafür geben – welche Daten über ihn gesammelt werden oder wofür sie genutzt werden. Es ist eine Lüge zu behaupten, dass irgendjemand zugestimmt hat, in einer solchen Welt zu leben. Denn es gibt für gewöhnliche Nutzer keine Möglichkeit, auch nur ansatzweise diesen Datenfluss zu verstehen, angefangen von Endgeräten über US-amerikanische Unternehmen bis hin zu den Sicherheitsbehörden aus fast allen mächtigen Staaten dieser Welt. All das wurde vollbracht, ohne dass in der Öffentlichkeit auch nur darüber diskutiert wurde, was für eine Welt wir da im 21. Jahrhundert errichten.

„Fast jeder Top-Datenhändler ist schon einmal gehackt worden“

Neben dem Schaden für die Grundrechte aller Menschen und für die Autonomie von durchleuchteten Nutzer*innen: Auch für Betroffene von digitaler Gewalt ist ADINT ein massives Sicherheitsrisiko, wie uns Anna Wegscheider schrieb. Sie ist Juristin bei der gemeinnützigen Organisation HateAid. Zum Beispiel Stalker*innen könnten solche Daten nutzen, um andere ausfindig zu machen, entsprechende Fälle sind ihr aber nicht bekannt. Vielmehr wird ADINT aktuell vor dem Hintergrund nationaler Sicherheit diskutiert.

Das NATO-Forschungszentrum Stratcom (Strategic Communications Centre of Excellence) beschrieb im Jahr 2021 konkrete Risiken von ADINT. Zum Beispiel könnten feindliche Akteur*innen mithilfe von Standort-Daten militärisches Schlüsselpersonal identifizieren. Sie könnten herausfinden, wo militärische Operationen passieren. Hinzu komme die Gefahr, dass auch die Datenhändler selbst gehackt werden können und deren Datenschätze in fremde Hände fallen. „Fast jeder Top-Datenhändler ist schon einmal gehackt worden“, heißt es im Bericht.

Forschende der US-amerikanischen Duke Universität fanden vergangenes Jahr heraus: Es ist nicht schwer, sensible Daten von individuell identifizierbaren Angehörigen des Militärs und ihrer Familien zu erhalten, darunter Daten über Gesundheit, Finanzstärke und Religion.

Ebenso 2023 warnte die irische Menschenrechtsorganisation ICCL gemeinsam mit dem Tracking-Forscher Wolfie Christl eindringlich vor ADINT als „ernstem Sicherheitsrisiko“. Der Werbemarkt sei „eine Goldgrube an Erkenntnissen“ für Geheimdienste und nichtstaatliche Akteure.

Firmen versprechen „unbegrenzte“ Erkenntnisse in Echtzeit

Diese Goldgrube wollen inzwischen auch Unternehmen gezielt heben. Sie bieten ADINT als Dienstleistung für Sicherheitsbehörden und Geheimdienste. Die Gefahren, die wir in unseren Veröffentlichungen mit BR beschreiben, sind also nicht nur theoretisch.

Die Daten mögen zwar mit Mitteln der Werbeindustrie gesammelt worden sein. Jetzt dienen sie aber auch für Überwachung, Verfolgung und Spionage.

Im Jahr 2020 berichtete das US-Magazin Forbes über israelische Spionage-Unternehmen, die „massenhaft Standortdaten von Smartphone-Apps absaugen“ und dabei die Infrastruktur des Werbemarkts ausnutzen. Das Magazin beruft sich teils auf Insider, teils auf öffentliche Produktbeschreibungen. Zwei Unternehmen nennt Forbes beim Namen: Bsightful und Rayzone.

Hinter Bsightful steht Forbes zufolge das Software-Unternehmen Verint, das seit Jahren in der Branche für Überwachungsprodukte unterwegs ist. Auf seiner Website gibt sich Bsightful jedoch geheimnisvoll. Kein Impressum, keine Postadresse. Nur ein Slogan und ein Kontaktformular. Dort steht auf Englisch: „Wir lieben unsere Kunden, also zögern Sie nicht, uns zu kontaktieren (Jederzeit)“. Das haben wir getan, eine Antwort erhielten wir nicht.

Im Vergleich dazu gibt sich Rayzone auf seiner Website geradezu gesprächig. Das Unternehmen bietet demnach unter anderem Erkenntnisse aus Geodaten, außerdem könne man „Verhaltensmuster“ beobachten. Ergebnisse gebe es „in Echtzeit“; Berichte würden „automatisch“ generiert. Das Ausmaß sei „unbegrenzt“. Mit 200 Angestellten operiere man in 80 Ländern weltweit. Die Kundschaft: Strafverfolgung, Sicherheitsbehörden, Zoll.

ADINT-Werkzeuge für China?

In einem Werbe-Dokument, veröffentlicht auf einer israelischen Regierungswebsite, prahlt Rayzone mit Geheimdienst-Expertise. „Rayzones Außendienstmitarbeiter sind alle ehemalige Sondereinsatzbeamte, die an höchst sensiblen Operationen beteiligt waren“, heißt es auf Englisch. Man erlange Erkenntnisse unter anderem durchs Abfangen von Kommunikationsinhalten („SIGINT“), durch offen zugängliche Online-Quellen („OSINT“), durch Ortsdaten („GEOINT“) sowie durch etwas, das Rayzone schlicht als „Cyber“ bezeichnet. Der Begriff ADINT steht in dem Dokument nicht.

Ein Produkt aus dem Rayzone-Portfolio erweckt allerdings den Eindruck, als würde es auch auf ADINT basieren, und zwar „TA9 IntSight“. In einem Werbe-Video auf YouTube wird es in Aktion präsentiert, hinterlegt mit heroischer Abenteuer-Musik. Im Video detektiert das Werkzeug zunächst eine Häufung verdächtiger Telefonverbindungen und verknüpft sie mit einer Zielperson namens Stefan. Mithilfe von unter anderem GPS-Daten lässt sich Stefan orten. Eine Karte zeigt an, wo Stefan wohnt, wo er arbeitet und wo er am liebsten Kaffee trinken geht. Später wird auch die Browser-Historie von Stefan aufgefächert.

Woher all die Daten für TA9 kommen sollen, erklärt das Werbevideo nicht. Aber sowohl GPS-Daten als auch die Browser-Historie wären klassische Fälle von ADINT. Solche Daten lassen sich über die technische Infrastruktur der Online-Werbebranche anhäufen. Einiges spricht also dafür, dass ADINT ein wichtiger Teil von Überwachungswerkzeugen wie TA9 ist. Wir haben Rayzone mehrere Fragen zum Thema ADINT geschickt und wollten unter anderem wissen, welche ADINT-Produkte das Unternehmen anbietet. Wir erhielten keine Antwort.

Das Werbevideo suggeriert: Stefans Leben ist für die Ermittler*innen ein offenes Buch. Sie werden ihn problemlos schnappen können. In den falschen Händen lässt sich ein solches Überwachungswerkzeug missbrauchen, um Menschen gezielt zu verfolgen und festzunehmen. Autoritäre Staaten zum Beispiel stecken auch Menschen ins Gefängnis, die für Demokratie protestieren. Durch ADINT ließe sich in großem Stil nachverfolgen, wer auf einer Demo war und wo die Personen wohnen. Und was wäre, wenn Behörden mithilfe von ADINT künftig gezielt queere Menschen verfolgen – oder Menschen, die eine Klinik für Schwangerschaftsabbrüche besucht haben?

Auf dem YouTubeKanal von „TA9“ gibt es das Werbevideo neben Englisch und Spanisch auch auf Chinesisch. Verkauft das israelische Unternehmen seine Spionage-Software also auch an chinesische Behörden? Das haben wir Rayzone gefragt und erhielten keine Antwort.

Staatstrojaner im Gewand von Werbeanzeigen

ADINT soll sogar dabei helfen, Handys mit Spähsoftware zu infizieren, wie Recherchen der israelischen Zeitung Haaretz zeigten.

„Sherlock“ heißt laut Haaretz etwa ein Trojaner der Firma Insanet. Das Spähprogramm soll demnach in der Lage sein, sowohl Android- und iOS-Smartphones als auch Windows-Computer zu infiltrieren. Das Perfide: Der Trojaner soll mit Werbeanzeigen in Apps oder auf Websites ausgeliefert werden. Wie genau die Infektion abläuft und welche Schwachstelle dafür genutzt werden sollen, führt Haaretz nicht aus. Gerne hätten wir von Insanet mehr Details zu dem Thema erfahren. Doch das Unternehmen, mit dem nach Angaben der Bundesregierung seit 2023 die deutsche Zentralstelle für Informationstechnik im Sicherheitsbereich Gespräche führt, hat keine Website und bietet auch sonst keinen öffentlich auffindbaren Kontaktmöglichkeiten an.

Dem Bericht der Haaretz zufolge hatte Insanet im Jahr 2023 Sherlock an mehrere demokratische sowie an mindestens ein nicht-demokratisches Land verkauft. Der Einsatz von Spähsoftware durch autokratische Regime, aber auch durch Regierungen demokratischer Staaten, sorgt immer wieder für Schlagzeilen. Auch NSO Group, die Firma hinter dem weltweiten Pegasus-Überwachungsskandal, soll laut Haaretz einen Trojaner entwickelt haben, der mit Online-Werbung ausgespielt wird. Wir haben das Unternehmen nach der Software sowie weiteren möglichen ADINT-Produkten gefragt und eine freundliche Absage erhalten. Man werde sich „dieses Mal“ nicht äußern.

US-Firmen werben mit Fähigkeit zur Massenüberwachung

Auch in den USA gibt es Unternehmen, die mit ADINT Geld verdienen, darunter „Anomaly Six“, das laut Medienberichten aus dem Jahr 2022 behauptet, mehrere Milliarden Geräte in Echtzeit verfolgen zu können. Auf unsere Presseanfrage mit Fragen zum Thema ADINT und seinen Produkten reagierte das Unternehmen nicht.

Anfang diesen Jahres knüpfte das US-Magazin 404 Media an Enthüllungen des irischen ICCL an. Es berichtete von einer Firma, die werbebasierte Überwachung als Produkt anbietet : Das Werkzeug namens Patternz soll einzelne Personen mithilfe gesammelter Daten gezielt tracken können.

Zu den erfassten Daten gehören demnach häufig besuchte Orte und engste Kontakte, aber auch Vorlieben und Hobbys. Betroffen seien potenziell Abermillionen Handy-Nutzer*innen. Die Daten sollen unter anderem von millionenfach heruntergeladenen Apps wie dem Imageboard 9gag und dem Messenger Kik stammen.

Das Beispiel zeigt: Standortdaten sind nur ein Baustein für eine viel umfassendere Überwachung. Aus den riesigen Datensätzen der Werbeindustrie lassen sich Erkenntnisse gewinnen, die auch das soziale Umfeld und die Persönlichkeit einer Person ausleuchten.

US-Behörden shoppen beim Datenhändler

Ein weiterer wichtiger Akteur in der Branche ist die US-Firma Venntel. Sie verkaufte Standortdaten vom Werbemarkt an US-Behörden, darunter Einwanderungsbehörden und Grenzschutz. Berichte hierzu gab es bereits 2020, es folgte eine Untersuchung des US-Ministeriums für innere Sicherheit. Die Behörden hielten sich dabei nicht einmal an notwendige, interne Kontrollen, heißt es im Bericht. Auch das FBI hatte einen Vertrag mit Venntel abgeschlossen.

Nach kritischen Berichten darüber, wie Venntel Bewegungsprofile an Behörden verkauft, meldete sich allerdings 2022 Venntels Mutterfirma – Gravy Analytics – in einem Blogbeitrag zu Wort. Gravy weist darin die Vorwürfe zurück. Man habe von Anfang an Privatsphäre von Nutzer*innen „im Kopf“ gehabt. Nutzer*innen hätten in die Datensammlung eingewilligt.

Ob auch deutsche Behörden bei kommerziellen Datenhändlern einkaufen, ist bislang nicht bekannt. Eine Studie der Berliner Denkfabrik Interface (früher: Stiftung Neue Verantwortung) kam kürzlich zu dem Schluss, dass dies sehr plausibel sei. Fragen dazu im Rahmen unserer Databroker-Recherche hat die Bundesregierung jedoch nicht beantwortet.

ADINT ist fehleranfällig

Wie jedes Werkzeug, das auf großen Datenmengen basiert, können auch ADINT-Werkzeuge Fehler produzieren. Gerade die riesigen Datenberge, die von kommerziellen Händlern eigentlich zu Werbezwecken gesammelt werden, stecken oft voller Ungenauigkeiten und Fehler. Eine Studie des NATO-Forschungszentrum Stratcom zur Gefahr durch ADINT schreibt dazu: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“

Das kann zum Problem werden, wenn Ermittler*innen aus scheinbar vertrauenswürdigen Daten falsche Schlüsse ziehen. Was, wenn die Polizei eine unbeteiligte Person verdächtigt, weil sie zur falschen Zeit am falschen Ort gewesen sein soll?

Aus den USA gibt es bereits mehrere Berichte über irrtümliche Verhaftungen aufgrund von fehlerhafter Gesichtserkennung. Das heißt, Unbeteiligte landeten in Gewahrsam, nachdem eine Software sagte: Ihr Gesicht sehe aus wie das Gesicht eines Verdächtigen. Denkbar wären auch irrtümliche Verhaftungen aufgrund von ADINT. Etwa, weil die Software nahelegt: Eine Person hat ein verdächtiges Bewegungsmuster.

Wie die Blobs in einer Lavalampe

Inzwischen ist Gravy Analytics – das Unternehmen hinter Venntel – mit dem norwegischen Datensammler Unacast verschmolzen. Mit den Akteuren in der Branche verhält es sich in etwa so wie mit den Blobs in einer Lavalampe: Sie sind ständig in Bewegung, verändern ihre Form, verschmelzen miteinander und trennen sich wieder.

Unsere Recherchen spiegeln nur einen kleinen Ausschnitt der Online-Werbebranche wieder. Sie ist ein verzweigtes System, in dem tausende Firmen verschiedene Aufgaben erfüllen: Daten sammeln, Daten zusammenführen, datenbasierte Zielgruppen erstellen, Online-Werbeflächen verwalten, diese Werbeflächen verkaufen – und vieles mehr.

Eines aber haben die Akteure in der Branche gemeinsam: Sie profitieren davon, dass Handy-Apps und Websites die Daten von Abermillionen Menschen abzapfen.

Intransparenz gehört zum System

Bürger:innen sind dieser Form der Überwachung bislang oft ausgeliefert. Wer nicht besonders auf die Datenschutzeinstellungen achtet, landet schnell in den Datentöpfen, aus denen sich Werbefirmen und Geheimdienste bedienen. Datenschutzbehörden sind bislang kaum gegen das Werbe-Ökosystem vorgegangen, auf dem auch ADINT basiert.

Aber: Die Datenschutzgrundverordnung gibt Nutzer*innen das Recht, ihre Daten bei Unternehmen anzufragen. Das nutzte der norwegische Journalist Martin Gundersen im Jahr 2022 – und erhielt vom US-Unternehmen Venntel eine Datei mit 75.406 Standorten. Aus diesen Daten ging hervor: Gundersen konnte auf Schritt und Tritt verfolgt werden.

Seine Recherche für den norwegischen öffentlich-rechtlichen Rundfunk NRK zeigte auch, dass Venntel nur ein Glied in einer längeren Verwertungskette ist. Gundersens Standortdaten sind demnach von seinem Handy über bestimme Apps an andere Unternehmen geflossen, und von dort zu Venntel. An wen Venntel die Daten wiederum weitergereicht hat, wollte das US-Unternehmen für sich behalten.

Der Fall zeigt: Die ADINT-Industrie will alle Menschen durchleuchten, selbst aber im Schatten bleiben.

Wer von Werbung spricht, muss auch von Überwachung sprechen

Im Zuge unserer Recherchen zu den Databroker Files zogen Fachleute ein vernichtendes Fazit. Der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte: Der umfassende Handel von personenbezogenen Daten widerspreche letztlich der Menschenwürde. Es sei eine der „Grundvoraussetzungen unserer Demokratie“, dass sich Menschen „unbeobachtet und ungestört in diesem Land bewegen können“.

ADINT ist dazu geeignet, genau diese Grundvoraussetzung zu gefährden. Im Wissen um das Tracking könnten Menschen etwa von der Teilnahme an einer Demo absehen, warnt das Bundesministerium für Verbraucherschutz. Das Beispiel macht anschaulich: Selbst wenn die gezielte Überwachung zunächst nur einen Bruchteil der Nutzer*innen trifft – der Einschüchterungseffekt kann alle treffen.

„Verbraucher*innen sind der Werbeindustrie offenbar ausgeliefert“, sagte etwa Ramona Pop, Präsidentin des Verbraucherzentrale Bundesverbands. „Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden.“

Genau das hatten einige EU-Abgeordnete vor ein paar Jahren versucht – vergeblich Die neusten Recherchen zeigen allerdings, dass die damalige Debatte auf falschen Annahmen beruhte. Viele Kritiker*innen eines Verbots taten Bedenken damit ab, dass es doch nur um Werbung gehe.

Die Geschichte von ADINT zeigt: Wer heute von Online-Werbung spricht, muss immer auch von Überwachung sprechen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Präsidentschaftswahlkampf in den USA biegt langsam in die Zielgerade ein. Diese Woche entscheiden die Republikaner über ihre beiden Kandidaten. Mit J.D. Vance hat sich nun Donald Trump für einen Stellvertreter entschieden, der enge Kontakte zu reaktionären Tech-Mogulen pflegt.

J. D. Vance ist ein Politiker der Widersprüche. Ein einfacher Mann des Volkes, wie er sich gerne präsentiert, aber mit einem Hochschulabschluss der prestigeträchtigen Yale Law School. Ein Kreuzritter gegen übermächtige IT-Konzerne aus dem Silicon Valley, wo er selbst reich geworden ist und wohin er bis heute beste Kontakte pflegt. Und nicht zuletzt ein ehemals lautstarker Gegner von Donald Trump – der ihn am Montag zu seinem Vize-Präsidentschaftskandidaten kürte.

Seit vergangener Nacht steht James David Vance, wie er mit vollem Namen heißt, offiziell auf dem republikanischen Ticket für die US-Wahl im November. Auf dem Parteitag der Republikaner wird heute auch Donald Trump seine Nominierung zum Kandidaten akzeptieren, um (höchstwahrscheinlich) gegen den amtierenden US-Präsidenten Joe Biden anzutreten. Im Unterschied zu den Demokraten geben sich die Republikaner geschlossen, trotz aller Widersprüche.

So zählt Vance zu den sogenannten „Khanservatives“, eine Anspielung auf Lina Khan, Chefin der US-Wettbewerbsbehörde FTC (Federal Trade Commission). Die progressive Juristin gilt als Schrecken der großen IT-Unternehmen wie Amazon, Google oder Meta, während der US-Kongress zuletzt kaum über Ankündigungen hinauskam. Wiederholt hatte Vance öffentlich sein Lob über Khan ausgeschüttet, sie sei eine der wenigen Leute innerhalb der Biden-Regierung, die „einen ziemlich guten Job“ mache.

Seine Forderungen, etwa nach einer Aufspaltung Googles, begründet Vance indes oft ideologisch und weniger ökonomisch. „Die monopolistische Kontrolle über Informationen in unserer Gesellschaft liegt bei einem explizit progressiven Technologieunternehmen“, reagierte er beispielsweise auf eine Studie, die Google News eine vermeintliche Linkslastigkeit unterstellt.

Reich werden mit Peter Thiel

Nach dem Abschluss seines Jura-Studiums im Jahr 2013 zog Vance zunächst ins kalifornische San Francisco. Dort arbeitete er unter anderem für eine Investmentfirma des umstrittenen PayPal- und Palantir-Mitgründers Peter Thiel. Mit dem ist er weiterhin freundschaftlich wie politisch verbunden, genauso wie mit anderen prominenten Tech-Unternehmern, unter ihnen Elon Musk und David Sacks. Sie zählten zu wichtigen Geldgebern seiner Wahlkampagne in Ohio, mit der Vance im Jahr 2022 einen Sitz im US-Senat erringen konnte.

Zuvor machte sich Vance einen Namen als Tech-Investor. Seine eigene Wagniskapitalfirma Narya Capital wird unter anderem von Branchengrößen wie Ex-Google-Chef Eric Schmidt, Marc Andreessen und Peter Thiel finanziert. Narya Capital steckte etwa Geld in Rumble, eine rechtslastige Videoplattform, die sich als Alternative zu YouTube andient. Auch macht sich Vance für die Crypowährung Bitcoin stark, die tunlichst nicht zu regulieren sei.

Ebenso wenig wissen will der 39-Jährige von staatlichen Eingriffen in das aufstrebende Geschäft mit sogenannter Künstlicher Intelligenz rund um ChatGPT & Co. Einschlägige Gesetze würden bloß die Marktmacht der Platzhirschen zementieren, warnte Vance erst vergangene Woche bei einer Anhörung im Senat – ein bemerkenswerter Kontrast zu seinem sonstigen Kreuzzug gegen Big Tech.

Die junge und von nur wenigen Unternehmen wie OpenAI dominierte Branche unterliegt in den USA bislang kaum regulatorischen Regeln. Erste zaghafte Versuche wie eine Verfügung Joe Bidens aus dem Vorjahr, die zumindest Bundesbehörden gewisse Schranken beim KI-Einsatz auferlegt hatte, könnten sich zudem leicht rückgängig machen lassen, sollten die Republikaner die Präsidentschaftswahl gewinnen.

Für Alterskontrollen und gegen Providerprivileg

Für mehr Regulierung setzt sich Vance hingegen ein, wenn es um den vermeintlichen Schutz von Kindern im Internet geht. Er unterstützt den Kids Online Safety Act (KOSA), der derzeit im Kongress seine Runden dreht. Das Gesetz soll neben Social-Media-Seiten auch Messenger, Streaming-Dienste oder Videospiele in die Pflicht nehmen, Kinder vor schädlichen Inhalten zu schützen. Wie viele andere Konservative, darunter auch Trump, will Vance zudem Online-Diensten das Providerprivileg wegnehmen. Beide Initiativen werden von Bürgerrechtsorganisationen als Angriff auf die Internetfreiheit gewertet.

Wie viel Einfluss J.D. Vance, der sogenannte Neoreaktionäre wie Curtis Yarvin oder Rod Dreher zu seinen Vorbildern und Freunden zählt, in einer etwaigen Trump-Regierung hätte, bleibt allerdings offen. Traditionell beschränken sich Vize-Präsident:innen auf eine weitgehend repräsentative Rolle, zuweilen werden sie aber auch zu politischen Nachfolgern des jeweiligen Amtsinhabers aufgebaut.

Gleichwohl ist Trump nicht sonderlich dafür bekannt, seinen Platz an der Sonne mit Konkurrent:innen zu teilen. In jedem Fall zeigt die Wahl von Vance, dass die rechten Tech-Netzwerke weiter zusammengewachsen und belastbar sind – auch oder gerade wenn sich Einzelne wie Peter Thiel inzwischen schrittweise von Trump distanzieren. Andere rücken derweil noch näher an Trump heran: „Ausgezeichnete Entscheidung“, kommentierte etwa Elon Musk die Nominierung von Vance.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.