Die 45. Kalenderwoche geht zu Ende. Wir haben 20 neue Texte mit insgesamt 200.571 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

für meinen Kollegen Ingo Dachwitz und mich ging diese Woche eine größere Recherche zu Ende, die uns seit vielen Monaten begleitet hat. Zuerst möchte ich euch eine Grafik zeigen, die für die Recherche eine wichtige Rolle spielt.

Hier seht ihr die Umrisse des Berlaymont-Gebäudes in Brüssel; das ist der Sitz der Europäischen Kommission. Hunderte Punkte liegen wie Konfetti auf dem Gebäude-Umriss verteilt. Jeder Punkt ist eine Handy-Ortung.

Die Standorte kommen aus Datensätzen, die wir – wieder einmal – kostenlos von Databrokern erhalten haben. Angeblich nur zu Werbezwecken über Apps erhoben, werden solche Standortdaten zur Handelsware – und damit auch zur potenziellen Beute für Geheimdienste.

Der Sitz der EU-Kommission ist eines der Machtzentren der EU. Klar nutzen auch die Menschen, die dort arbeiten, Apps und Handys. Dass sie damit allerdings auf Schritt und Tritt überwacht werden können, macht den Standortdaten-Handel auch zu einer Frage der nationalen Sicherheit.

Mit mulmigem Gefühl im Bauch

Ein paar der roten Punkte, die ihr auf der Grafik seht, gehören einer Person, die in hoher Position für die Kommission arbeitet. Ihr Bereich ist Kommissionspräsidentin Ursula von der Leyen zugeordnet.

Was ihr auf dieser Grafik nicht sehen könnt: Für jeden einzelnen Punkt gibt es eine Werbe-ID, eine eindeutige Kennung. Sie ist wie ein Nummernschild fürs Handy. Auf diese Weise können wir sehen, welche Ortungen zum gleichen Gerät gehören. So zeichnen sich aus dem Wust an Ortungen klare Bewegungsprofile einzelner Personen ab.

Eines dieser Bewegungsprofile führte uns vom Berlaymont-Gebäude zu einer Privatadresse in einem noblen Stadtteil von Brüssel. Kollegen vor Ort sind dorthin gefahren – und zu einigen anderen Adressen auch.

Falls ihr euch fragt, ob wir so etwas gerne tun: Nein!

Man bekommt schon ein mulmiges Gefühl im Bauch, wenn man bei fremden und wichtigen Menschen zu Hause aufkreuzt, um ihnen zu eröffnen, dass man ihr Bewegungsprofil kennt. Das weiß ich von den Kollegen aus Brüssel, die sich zu diesem Zweck aus ihrer Komfortzone begeben haben. Warum wir diese Besuche trotzdem gemacht haben?

Weil vor uns niemand so eindrücklich demonstriert hat, was es bedeutet, wenn Datenhändler massenhaft Handy-Standortdaten horten und verticken. Dass man anhand dieser Daten selbst sicherheitsrelevante Beamt*innen ausspionieren kann. Dass wir dann wirklich bei denen im Vorgarten stehen und klingeln: 🏡 🛎️ 👋.

Zumindest ein Datensatz aus Belgien lag uns schon eine Weile vor. Wir waren uns aber nicht sicher, ob wir ihn überhaupt auswerten sollen. Denn im Prinzip hatten wir das Problem bereits im Sommer 2024 anhand von Daten aus Deutschland ausführlich behandelt.

Der Gedanke ließ uns aber nicht los, dass eine ähnliche Recherche mit Daten aus Belgien noch mal anders Wellen schlagen könnte. Denn Gesetze für Datenschutz werden in Brüssel gemacht. Und auch Menschen in Brüssel blicken anders auf ein Problem, wenn es buchstäblich vor ihrer Haustür passiert.

Kommission droht, Datenschutz zu schleifen

Im Sommer 2025 haben Ingo und ich uns also doch in die Standortdaten aus Belgien vertieft. Arbeitstitel: Targeting the EU. Eher durch Zufall kam ein Kontakt mit belgischen Kollegen der Zeitung L’Echo zustande. Wir haben erfahren, dass sie gerade an einer ähnlichen Geschichte arbeiten, und kurzerhand entschieden: Wir machen gemeinsam weiter.

Auch einige Medien aus unseren vorigen Databroker-Recherchen hatten wieder Interesse. So kamen auch Le Monde, BNR und der Bayerische Rundfunk wieder an Bord. Das Ergebnis könnt ihr jetzt bei uns auf der Seite lesen.

Das Timing hätte kaum besser sein können. Denn direkt nach unseren Veröffentlichungen wurden die Pläne der EU-Kommission bekannt, im Rahmen angeblicher Vereinfachungen auch den Datenschutz zu schleifen. Während die Databroker Files auf beispiellose Weise zeigen, wie der Handel mit Daten aus der Werbeindustrie Privatsphäre und nationale Sicherheit gleichermaßen bedroht, scheinen zumindest für manche die Zeichen auf Deregulierung zu stehen. Dabei brauchen wir mehr Datenschutz, nicht weniger!

Zugleich beobachten wir, wie die neusten Entdeckungen der Databroker Files international Kreise ziehen – obwohl das Problem dahinter bereits zuvor bekannt war. Viele internationalen Medien haben die Recherche aufgegriffen, darunter zahlreiche aus Belgien, einige aus den USA und sogar eine Tageszeitung aus Malaysia. Hoffentlich konnten unsere Hausbesuche mit mulmigem Gefühl im Bauch etwas ins Rollen bringen.

🏡 🛎️ 👋
Sebastian

Trugbild: Zündeln für Reichweite

Der digitale Debattenzirkus polarisiert vor sich hin. Geht es wirklich um Meinungen oder nur noch ums Geschäft? Von Vincent Först –
Artikel lesen

Databroker Files: Datenhändler verkaufen metergenaue Standortdaten von EU-Personal

Exakte Ortungen, verräterische Bewegungsmuster: Die Handy-Standortdaten von Millionen Menschen in der EU stehen zum Verkauf. Angeblich nur zu Werbezwecken erhoben, lassen sich die Daten auch für Spionage nutzen. Der europäische Datenschutz versagt, selbst EU-Spitzenpersonal in Brüssel ist betroffen. Die EU-Kommission sagt: „Wir sind besorgt.“ Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Databroker Files: Das Wichtigste zur Spionage-Gefahr durch Handy-Standortdaten in der EU

Unsere neueste Recherche zu 278 Millionen Standortdaten, mit denen sich EU und NATO ausspionieren lassen, schlägt in Brüssel hohe Wellen. Die EU-Kommission zeigt sich besorgt, EU-Abgeordnete fordern Konsequenzen. Allen ist klar: Werbe-Tracking und Datenhandel gefährden die Sicherheit Europas. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Databroker Files: Targeting the EU

Precise locations and revealing movement patterns: the mobile phone location data of millions of people in the EU is up for sale. Collected supposedly only for advertising purposes, this data can also be used for espionage. European data protection is failing – even top EU officials in Brussels are affected. The EU Commission says: ‚We are concerned.“ Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Databroker Files: All you need to know about how adtech data exposes the EU to espionage

Our latest investigation has shaken up Brussels by revealing that commercial datasets containing 278 million locations can be used to spy on the EU and NATO. The European Commission has expressed its concern, Members of Parliament are calling for action. One thing is clear: ad tracking and data brokers threaten Europe’s security. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Interaktive Webseite: Wie autoritäre Tech-Netzwerke die europäische Souveränität gefährden

In den USA übernehmen private Plattformen und Konzerne immer mehr staatliche Funktionen. Wissenschaftler:innen machen dieses System nun sichtbar: Auf einer interaktiven Webseite zeigen sie den „Authoritarian Stack“ und wie dieser zunehmend auch nach Europa greift. Von Markus Reuter –
Artikel lesen

Dänischer Vorschlag: Der Kampf um die Chatkontrolle ist noch nicht vorbei

Internet-Dienste sollen nicht zur Chatkontrolle verpflichtet werden, aber mit Chatkontrolle freiwillig das Risiko für Straftaten mindern. Das schlägt die dänische Ratspräsidentschaft in einem Debattenpapier vor. Die EU-Kommission soll später prüfen, ob das reicht – oder nochmal ein Chatkontrolle-Gesetz vorschlagen. Von Andre Meister –
Artikel lesen

Surveillance under Surveillance: Weltkarte der Videoüberwachung gerettet

Das Projekt „Surveillance under Surveillance“ visualisiert Videoüberwachung auf einer Weltkarte. Kurzfristig stand der Weiterbetrieb auf der Kippe, jetzt geht es unter dem Dach des Chaos Computer Club Hamburg weiter. Von Markus Reuter –
Artikel lesen

Drahtbericht: Deutsche Diplomaten fordern undiplomatisch Chatkontrolle

Die deutsche Vertretung in Brüssel beschwert sich über den Widerstand gegen die Chatkontrolle. Das geht aus einem internen Drahtbericht hervor, den wir veröffentlichen. Die Diplomaten wollen, dass Deutschland der Chatkontrolle zustimmt – und kritisieren sogar die Justizministerin. Von Andre Meister –
Artikel lesen

Extra dünn: Generative KI verzerrt unser Körperbild

KI-Generatoren produzieren nicht nur Bilder und Videos, sondern reproduzieren auch Diskriminierung. Eine Wissenschaftlerin der Universität Cambridge fand heraus, dass KI Menschen mit großen Körpern häufiger einen negativen Gesichtsausdruck verleiht und teilweise Probleme bei deren anatomischer Darstellung hat. Von Paula Clamor –
Artikel lesen

Einigung rückt näher: EU-Rat könnte verpflichtende Chatkontrolle verwerfen

Die dänische Ratspräsidentschaft sieht genügend Unterstützung für einen Kompromissvorschlag bei der Chatkontrolle. Sollte sich der Rat darauf einigen, wäre die verpflichtende Chatkontrolle vorerst vom Tisch – aber die freiwillige Chatkontrolle soll zementiert werden. Von Markus Reuter –
Artikel lesen

Elektronische Patientenakte: Bundestag beschließt doppelte Rolle rückwärts

Der Bundestag hat mit den Stimmen von Schwarz-Rot zwei Änderungen bei der elektronischen Patientenakte beschlossen. Das Echo darüber fällt geteilt aus: Einerseits wird die Rückkehr zu mehr Datenhoheit vorsichtig begrüßt, andererseits werden gesenkte Sicherheitsstandards kritisiert. Von Daniel Leisegang –
Artikel lesen

Digitaler Omnibus: EU-Kommission strebt offenbar Kahlschlag beim Datenschutz an [UPDATE]

Freifahrtschein für KI-Training, weniger Schutz für pseudonymisierte und sensible Daten, Beschneidung von Betroffenenrechten: Es verdichten sich die Hinweise, dass die EU-Kommission einen Frontalangriff auf die DSGVO plant. Auch die Bundesregierung fordert dahingehend Einschnitte, wie ein Dokument belegt, das wir veröffentlichen. Von Ingo Dachwitz –
Artikel lesen

Digitaler Euro: Während das Parlament streitet, geht die Entwicklung weiter

Das Europäische Parlament ist sich beim Digitalen Euro nicht einig. Der zuständige Berichterstatter will zunächst eine reine Offline-Lösung, progressive Fraktionen sehen das ganz anders. Währenddessen treibt die Zentralbank die Umsetzung weiter voran. Von Leonhard Pitz –
Artikel lesen

Cookie-Manager: Ohne Pflicht zum Scheitern verurteilt

Einwilligungsdienste sollen es Menschen erlauben, selbst darüber zu bestimmen, wer im Internet ihre Daten nutzt. Doch die Bundesregierung stellt es Websites und Tracking-Firmen frei, ob sie die Dienste anerkennen. Macht sie keine Verpflichtung daraus, bleibt es Pseudo-Selbstbestimmung. Ein Kommentar. Von Ingo Dachwitz –
Artikel lesen

Videoüberwachung: Stadt Mannheim bedroht die Versammlungsfreiheit

Die teils KI-gestützte Videoüberwachung Mannheims wird bei Versammlungen angeblich ausgeschaltet. Doch laut Rechtsprechung reicht das nicht. Denn auch eine ausgeschaltete Kamera kann Menschen davon abbringen, Demonstrationen zu besuchen. Von Martin Schwarzbeck –
Artikel lesen

Nach Databroker Files: Rundmail warnt EU-Angestellte vor Gefahr durch Tracking

Tracking zum Schutz für alle verbieten? Das will die EU nicht. Aber das eigene Personal soll sich schützen. Wir veröffentlichen die interne Rundmail, die nach unseren Veröffentlichungen zur Spionage-Gefahr durch Handy-Standortdaten verschickt wurde. Von Sebastian Meineck –
Artikel lesen

European SFS Award: VLC-Mitentwickler erhält Preis für Freie Software

Jean-Baptiste Kempf, Mitentwickler des VLC Media Players, erhält eine Auszeichnung für seinen besonderen Beitrag zur Einführung Freier Software in Europa. Die Veranstalter einer Konferenz zu Open Source sehen ihn als „Ritter der Freien Software“. Von Paula Clamor –
Artikel lesen

„Digitaler Omnibus“: EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen

In weniger als zwei Wochen will die EU-Kommission einen umfassenden Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende Datenschutz- und Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission. Von Daniel Leisegang, Ingo Dachwitz –
Artikel lesen

Automatisierte Datenanalyse: Der grüne Palantir-Spagat

Baden-Württemberg hat bereits Millionen ausgegeben, um Software des US-Konzerns Palantir in die Polizeiarbeit zu integrieren. Im Petitionsausschuss wurde nun das Anliegen angehört, nicht mit Palantir zusammenzuarbeiten. Die Grünen sind dabei zerrissen: Die Bundespartei positioniert sich gegen Palantir, doch die Regierungspartei in Stuttgart trägt den Deal mit. Von Constanze –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Baden-Württemberg hat bereits Millionen ausgegeben, um Software des US-Konzerns Palantir in die Polizeiarbeit zu integrieren. Im Petitionsausschuss wurde nun das Anliegen angehört, nicht mit Palantir zusammenzuarbeiten. Die Grünen sind dabei zerrissen: Die Bundespartei positioniert sich gegen Palantir, doch die Regierungspartei in Stuttgart trägt den Deal mit.

Das Land Baden-Württemberg hat mehr als 25 Millionen Euro ausgegeben, um eine Lizenz für Software des US-Konzerns Palantir zu kaufen, die in der Polizeiarbeit zum Einsatz kommen soll. Doch die Polizei hat rechtlich noch gar keine Befugnis, sie auch zu nutzen. Denn ein neues Polizeigesetz ist gerade erst auf dem Weg durch den Landtag in Stuttgart, um eine solche Befugnis zu schaffen.

Doch es regt sich erheblicher Widerstand, auch in Form einer öffentlichen Landtagspetition. Die Petition fordert unter anderem, den Palantir-Vertrag offenzulegen und ihn „rückabzuwickeln“.

In Baden-Württemberg sind solche Online-Petitionen eine ganz neue Beteiligungsform, die es erst seit dem Sommer gibt. 13.473 Menschen haben ihren Namen unter die Petition gegen den Einsatz der Palantir-Software gesetzt. Das Quorum von 10.000 Stimmen war damit erreicht, so dass gestern die erste öffentliche Online-Anhörung des Petitionsausschusses folgte.

Grüne auf den Barrikaden

Der Petent Sebastian Müller, der die Sache ins Rollen brachte, setzte sich in seiner Rede vor dem Ausschuss dafür ein, dass die Polizei in Baden-Württemberg nicht mit der Palantir-Software ausgestattet wird. Sich von diesem abgründigen US-Konzern abhängig zu machen, sei eine falsche Weichenstellung. Die Vereinigten Staaten seien insgesamt kein verlässlicher Partner mehr.

In der Rede vor dem Petitionsausschuss regt er an, von Experten rechtlich prüfen zu lassen, „welche Optionen es zum Kündigen der Verträge [mit Palantir] gibt“. Das Gesetzesvorhaben, das die polizeiliche automatisierte Datenanalyse erlauben würde, sieht Müller ebenfalls kritisch.

Das Problem heißt nicht nur Palantir

Der Petent ist langjähriger Umweltaktivist und aktives Grünen-Mitglied. Er trägt sein Anliegen auch innerhalb der grünen Landespartei vor und unterstützt eine Urabstimmung dazu. Nun werden Unterschriften gesammelt, um den Palantir-Einsatz zu verhindern. Wenn fünf Prozent der Grünen-Mitglieder zustimmen, wird ein Mitgliederentscheid fällig.

Weil die Grünen in Baden-Württemberg bekanntlich regieren und den Ministerpräsidenten stellen, könnte der Palantir-Protest im anstehenden Wahlkampf eine Rolle spielen. Denn im März 2026 will Cem Özdemir gern das Amt von Winfried Kretschmann übernehmen.

Zwar ist der zuständige Innenminister Thomas Strobl von der CDU, aber die für den Palantir-Einsatz notwendige Polizeigesetzänderung ist eine gemeinsame Sache der grün-schwarzen Koalition, die Kretschmann in seiner dritten Amtszeit als Ministerpräsident anführt. Auf der anstehenden Landesdelegiertenkonferenz ab 12. Dezember 2025, auf der das Landtagswahlprogramm festgezurrt werden soll, könnte Palantir zum Thema werden.

Beamte in Strobls Ministerium hatten im Sommer den Vertrag mit Palantir geschlossen, ohne den grünen Koalitionspartner vorab zu konsultieren. Die Grünen reagierten irritiert. Und es erzürnte auch die grüne Basis, die jetzt gern noch ein Wörtchen mitreden würde. Mehrere grüne Kreisverbände haben sich bereits gegen den Einsatz von Palantir positioniert. Dazu gehören Ulm, Tübingen, Mannheim und Karlsruhe.

Die grüne Landtagsfraktion hingegen trägt nach einem Kompromiss mit der CDU den Palantir-Einsatz mit, wenn auch mit Unmut. Der Süddeutschen Zeitung sagte Landtagsfraktionschef Andreas Schwarz, man habe Bedenken und Sorgen aufgegriffen. Doch das Innenministerium habe den Palantir-Vertrag geschlossen, das könne man nicht mehr ändern.

Die Anhörung im Petitionsausschuss könnte nun mehr Grüne auf die Barrikaden bringen. Petent Müller sagte der Schwäbischen Zeitung, er wolle, „dass die Entscheidung noch gedreht wird“. Gegenüber netzpolitik.org zeigte sich Müller nach der Anhörung überrascht davon, dass viele Abgeordnete konkrete Regelungen im Polizeigesetz „gar nicht zu kennen schienen“.

Wie autoritäre Tech-Netzwerke die europäische Souveränität gefährden

Ein grüner Spagat

Rückenwind könnte nun von den Grünen im Bund kommen. Denn die veröffentlichten heute einen Sechs-Punkte-Plan mit dem Titel: Das Internet befreien! Freiheit im Internet garantieren! Darin wenden sie sich ausdrücklich auch gegen Palantir: „Wir lehnen jede Form digitaler Massenüberwachung ab, von der Chatkontrolle über die anlasslose Vorratsdatenspeicherung und öffentliche Gesichtserkennung bis hin zum Einsatz von Palantir-Software.“ Solche Vorhaben „schwächen unsere Freiheit und unsere Souveränität“, heißt es in dem Papier.

Iniitiert wurde der Beitrag von der Bundesvorsitzenden Franziska Brantner und grünen Innenexperten wie dem stellvertretenden Fraktionsvorsitzenden Konstantin von Notz. Auch die Europaabgeordneten Alexandra Geese und Sergey Lagodinsky unterstützen ihn. Wie auch der Petent fordern die Spitzengrünen mehr „Unterstützung für freie und offene Software als Alternative zu den proprietären Anbietern“, zu denen auch Palantir mit seiner geschlossenen Software gehört. Die hohen Kosten für die Lizenzen könne man sich sparen.

Die Grünen auf Bundesebene positionieren sich damit klar gegen die automatisierte Rasterfahndung in den Polizeidatenbanken mit Palantir. Doch im Bund ist die Partei in der Opposition. Wie der Spagat funktionieren soll, dass die Regierungspartei in Baden-Württemberg zur selben Zeit die gesetzliche Grundlage für die automatisierte Datenanalyse schafft und Palantir auch ganz praktisch einzusetzen plant, müssen die Grünen erklären.

Landesdatenschutzbeauftragter bleibt kritisch

Der in den Ausschuss eingeladene Landesdatenschutzbeauftragte, Tobias Keber, ist schon Monate in die Beratungen zu Palantir und zum Polizeigesetz einbezogen. Er kritisierte, dass ihm die flankierende Verwaltungsvorschrift noch immer nicht vorgelegt worden sei. Diese sei jedoch „entscheidend“, um etwa Zugriffsrechte und weitere Details der praktischen Umsetzung bewerten zu können.

Generell sieht Keber die neue Vorschrift zum Data Mining im Polizeigesetz nicht vollständig im Einklang mit den Vorgaben des Bundesverfassungsgerichts, das sich 2023 im Palantir-Urteil mit den Polizeigesetzen Hessens und Hamburgs auseinandergesetzt hatte. Die Paragraphen zur automatisierten Datenanalyse des hessischen Sicherheits- und Ordnungsgesetzes und des hamburgischen Gesetzes über die Datenverarbeitung der Polizei waren nicht verfassungsgemäß und teilweise nichtig.

Das Gericht stellte die enorm hohe Streubreite und Intensität der Grundrechtseingriffe fest. Im Urteil wurden detailreiche Anforderungen formuliert, wie eine automatisierte Datenanalyse überhaupt rechtmäßig sein kann.

Keber hatte seine Kritikpunkte am neuen Polizeigesetz bereits in einer schriftlichen Stellungnahme ausgeführt und im Innenausschuss dargelegt. Er fasste sie im Petitionsausschuss nochmal zusammen. Er forderte Änderungen und vor allem Präzisierungen. Denn die Regelungen seien in mehrfacher Hinsicht zu unbestimmt: Der Polizei selbst und nicht dem Gesetzgeber sei es teilweise überlassen, darüber zu bestimmen, welche Daten in die Analyse einflössen.

Die Eingriffe in die informationelle Selbstbestimmung durch die Datenanalyse seien tief. Beschuldigte und Verdächtige dürften nicht ohne rechtliche Schutzmaßnahmen mit unbeteiligten Dritten, Opfern oder Zeugen in einen Topf geworfen werden. Mehrere Regelungen seien mit den verfassungsrechtlichen Anforderungen nicht vereinbar.

Landespolizeipräsidentin sieht in Palantir den „technologischen Marktführer“

Die Landespolizeipräsidentin von Baden-Württemberg, Stefanie Hinz, verteidigte im Ausschuss die Entscheidung für den US-Konzern. Sie nannte Palantir den „technologischen Marktführer“ bei der Datenanalyse im Sicherheitsbereich. Es gebe „nach unserem Wissen keine vergleichbaren Produkte, die zeitnah funktionsbereit wären und alle fachlichen Anforderungen erfüllen“. Dem widersprechen Palantir-Konkurrenten vehement.

Man wolle die Software dennoch nur für fünf Jahre nutzen und strebe dann eine deutsche oder europäische Lösung an, so Hinz. Das betonte auch Innenminister Strobl bereits mehrfach.

Die Polizei in Baden-Württemberg nutzt nach Angaben der Polizeivertreter im Ausschuss hessische Infrastruktur, um Palantir anzuwenden. Die hessischen Landesrechenzentren der Polizei seien Partner. Der Rahmenvertrag, den das Bundesland Bayern mit einer deutschen Tochter von Palantir schloss, ermöglichte Baden-Württemberg, auf eine eigene Ausschreibung zu verzichten und den Vertragsschluss damit erheblich zu beschleunigen.

Petitionsausschuss entscheidet geheim

Die ursprünglich vorgesehene Stunde zur öffentlichen Besprechung des Anliegens des Petenten wurde durch die zahlreichen Fragen der Abgeordneten deutlich überschritten. Was aber der Petitionsausschuss entscheiden wird, bleibt der Öffentlichkeit vorenthalten. Denn das wird in nicht-öffentlicher Sitzung beraten.

Der Ausschuss könnte zwar Vorschläge machen, etwa zur Rückabwicklung des Palantir-Vertrages im Sinne des Petenten, die das Parlament dann berücksichtigen kann. Landespolizeipräsidentin Hinz gab aber bereits einen Hinweis, wie es ausgehen könnte. Zwar als Vertreterin der Exekutive geladen, nahm sie sich dennoch die Freiheit, das Anliegen der Petition insgesamt zu beurteilen. Die Juristin beendete schon ihr Eingangsstatement mit der Bemerkung, dass „der Petition nicht abgeholfen werden“ könne.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In weniger als zwei Wochen will die EU-Kommission einen umfassenden Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende Datenschutz- und Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

Es geht um nicht weniger als eine Generalüberholung der europäischen Digitalregulierung: Am 19. November will die EU-Kommission einen umfassenden Gesetzesvorschlag vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll laut Kommission Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen.

Vier Regulierungsbereiche stehen im Fokus des umfangreichen Reformvorhabens: der Datenschutz, Regeln für die Datennutzung, der Umgang mit Cybersicherheitsvorfällen und die KI-Verordnung. Daher auch der Begriff Omnibus („für alle“) – er wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zugleich geändert werden. Die Kommission hat ihre zahlreichen Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt.

Wir veröffentlichen einen Zwischenstand des Gesetzespakets.

• Omnibus-Gesetz zu Data Act und DSGVO (PDF)
• Omnibus-Gesetz zu KI (PDF)

Aus vier mach eins: der überarbeitete Data Act

Mit dem ersten „Digital-Omnibus“ plant die EU-Kommission eine umfassende Konsolidierung verschiedener Datengesetze.

Im Zentrum steht hier der vor rund zwei Jahren verabschiedete Data Act, der nach einer Übergangsfrist erst seit September EU-weit anwendbar ist und nun überarbeitet werden soll. Im neuen Data Act sollen gleich drei weitere Gesetze aufgehen: die Open-Data-Richtlinie, die Verordnung über den freien Fluss nicht-personenbezogener Daten und der Data Governance Act.

Die Kommission präsentiert das erste Omnibus-Gesetz als „eine ehrgeizige Liste technischer Änderungen an einem umfangreichen Korpus digitaler Rechtsvorschriften, die den breitesten Bereich digitaler Unternehmen abdecken.“ Ziel sei es, „Unternehmen, öffentlichen Verwaltungen und Bürgern gleichermaßen sofortige Erleichterungen zu verschaffen“.

Kommission will die Datenschutzgrundverordnung aufbohren

Dabei will die Kommission auch die Datenschutzgrundverordnung (DSGVO) aufbohren und in Teilen zurückschneiden. So bestätigt das Dokumente Gerüchte aus den vergangenen Tagen, wonach der Schutz an mehreren Stellen deutlich zurückgefahren werden soll, um mehr Datennutzung zu ermöglichen.

Das gilt etwa für das Training von KI-Systemen mit personenbezogenen Daten. Dies soll künftig auf Basis des berechtigten Interesses von Tech-Konzernen möglich sein. Die noch immer heftig geführte Debatte um möglicherweise notwendige Einwilligungen der Betroffenen hätte sich damit erledigt. Deutlich enger gefasst werden soll auch die Definition von pseudonymisierten Daten.

Im Fokus stehen zudem Online-Tracking und Cookies. Auch hier enthält der Vorschlag einen Passus, der den momentan bereits unzureichenden Schutz massiv aufweichen würde: Das Speichern und Auslesen von nicht-notwendigen Cookies auf dem Gerät der Nutzer:innen soll nämlich nicht wie bislang nur nach deren Einwilligung erlaubt sein. Stattdessen soll die ganze Palette der Rechtsgrundlagen eröffnet werden, die die DSGVO zu bieten hat. Dazu zählt auch: das berechtigte Interesse von Website-Betreibern und Tracking-Firmen. Nutzer:innen hätten dann nur noch die Möglichkeit zum nachträglichen Opt-Out.

Gleichzeitig will die Kommission der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden begegnen und „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.

Konkret bedeutet das: Etwa Browser oder Betriebssysteme sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.

Weniger Schutz für sensible Daten

Darüber hinaus nimmt die Kommission Artikel 9 der DSGVO zu besonderen Kategorien von Daten ins Visier. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, die oben genannte Informationen explizit offenbaren. Das bedeutet: Gibt etwa eine Person in einem Auswahlfeld an, welche sexuelle Orientierung sie hat, wäre das weiterhin besonders geschützt. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen.

Zugleich betont die Kommission, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“.

KI-Verordnung soll aufgeweicht werden

Weitergehende Regelungen zum Umgang mit Künstlicher Intelligenz finden sich im zweiten Gesetzespaket zur KI-Verordnung.

Die hier geplanten Änderungen begründet die Kommission damit, dass es bei der KI-Verordnung noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Kommission schlägt daher „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“.

Konkret sieht der zweite Omnibus unter anderem vor, die KI-Aufsicht teilweise bei dem sogenannten AI Office zu bündeln, das direkt bei der Kommission angesiedelt ist. Davon wären vor allem sehr große Online-Plattformen (VLOPS) und Anbieter großer Suchmaschinen betroffen.

VLOPs sind laut dem Digital Services Act (DSA) solche Angebote, die monatlich mehr als 45 Millionen Nutzer:innen in der EU erreichen. Dazu zählen große soziale Netzwerke und Marktplätze wie Facebook, Instagram oder Amazon.

Außerdem will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Dateschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Zudem will sie Sonderregeln für kleine und mittlere Unternehmen schaffen, um sie von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring auszunehmen.

Unklar ist derzeit offenbar noch, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird. Eine solche Verschiebung wäre im Sinne der Bundesregierung. Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür. Als Grund führt der Minister an, dass die technischen Standards noch nicht vorlägen.

Update, 16:30 Uhr: Wir haben den Text um weitere Aspekte ergänzt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Jean-Baptiste Kempf, Mitentwickler des VLC Media Players, erhält eine Auszeichnung für seinen besonderen Beitrag zur Einführung Freier Software in Europa. Die Veranstalter einer Konferenz zu Open Source sehen ihn als „Ritter der Freien Software“.

Jean-Baptiste Kempf erhält den Europäischen South Tyrol Free Software Award (European SFS Award) 2025. Der Preis für besondere Beiträge zur „Kultur der Freien Software“ wird seit 2023 jährlich auf der South Tyrol Free Software Conference (SFSCon) im NOI Techpark in Bozen, Südtirol, vergeben.

Kempf wird ausgezeichnet für seine Mitentwicklung des VLC Media Players und die Gründung des zugehörigen Vereins und Unternehmens VideoLAN und Videolabs. Der VLC Player ist eine quelloffene Anwendung, die viele Multimedia-Formate abspielen kann.

Die Entwicklung begann als Studenten-Projekt an der École Centrale Paris. Jean-Baptiste Kempf erhielt die Software nach dem Abschluss der Hauptgründer am Leben und überführte die Entwicklung später in die beiden oben genannten Organisationen. „Für viele Menschen, die herstellergebundene Betriebssysteme verwendeten, war es die allererste Freie Software, die sie jemals installiert haben“, sagt einer der Laudatoren über das Programm.

Verteidiger der Freien Software

Der Europäische SFS Award ist ein Ableger des SFS Awards, der seit 2004 von der Linux User Group Bozen-Bolzano-Bulsan vergeben wird. Der SFS Award hebt besondere Beiträge zur Einführung Freier Software in der Bozen-Region hervor und ging dieses Jahr an Adrian Kuntner. Der Europäische SFS Award erweitert diesen Wirkraum auf ganz Europa und wird von der Linux User Group Bozen-Bolzano-Bulsan in Zusammenarbeit mit der Free Software Foundation Europe (FSFE) seit 2023 vergeben.

Beide Preise werden auf der SFSCon vergeben, einer internationalen Open-Source-Konferenz, die dieses Jahr zum 25. Mal Entwickler*innen, Forschende und Interessierte zusammenbringt. Die SFSCon 2025 dreht sich um Gesundheit, digitale Souveränität, IT-Sicherheit und mehr, immer mit Bezug zu Freier Software. Insgesamt 150 Expert*innen versammeln sich zu Vorträgen und Workshops.

Dieses Jahr sprechen dort unter anderem Karen Sandler, Direktorin der Software Freedom Conservancy, Martin Häuer, der Wissenschaftliche Direktor der deutschen Martin-Luther-Universität und Preisträger Jean-Baptiste Kempf selbst. Zu den Workshops zählen ein Hackathon und die Weiterbelebung von ausrangierten Rechnern, die nicht für ein Windows-11-Update geeignet sind, durch die Installation von Linux-Betriebssystemen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Tracking zum Schutz für alle verbieten? Das will die EU nicht. Aber das eigene Personal soll sich schützen. Wir veröffentlichen die interne Rundmail, die nach unseren Veröffentlichungen zur Spionage-Gefahr durch Handy-Standortdaten verschickt wurde.

Dieser Text ist Teil der Recherche-Reihe zu den Databroker Files.

Handy-Standortdaten bedrohen nicht nur die Privatsphäre, sondern auch die Sicherheit der Europäischen Union. Angeblich ausschließlich für Werbezwecke erhoben, fließen sie über Smartphone-Apps in die Hände von Databrokern und von dort an alle, die sich dafür interessieren. Anhand von zwei kostenlosen Vorschau-Datensätzen mit 278 Millionen Handy-Ortungen konnte ein Recherche-Team um netzpolitik.org demonstrieren, wie leicht sich solche Daten für Spionage nutzen lassen.

Gemeinsam mit dem Bayerischen Rundfunk, Le Monde aus Frankreich, L’Echo aus Belgien und BNR aus den Niederlanden fanden wir Bewegungsprofile von teils hochrangigem EU-Personal in den Daten. So konnte das Team etwa die Bewegungen einer Person verfolgen, die in einem Kommissionspräsidentin Ursula von der Leyen (CDU) unterstellten Bereich tätig ist – vom Arbeitsplatz bis zur Privatadresse.

Die EU-Kommission teilte mit: „Wir sind besorgt.“ Abgeordnete des EU-Parlaments forderten mit Nachdruck Konsequenzen, gerade mit Blick auf eine militärische Bedrohung durch Russland. In Reaktion auf unsere Presseanfragen zur Recherche habe die Kommission ihren Mitarbeitenden am 23. Oktober neue Richtlinien für Werbe-Tracking auf Dienst- und Privatgeräten vorgelegt. Außerdem habe sie weitere Einrichtungen der EU informiert.

Eine zentrale Anlaufstelle für Fragen der IT-Sicherheit in der EU ist der Cybersicherheitsdienst CERT-EU. Er soll dazu beitragen, die IT „aller Organe, Einrichtungen und sonstigen Stellen der EU“ sicherer zu machen. Am 4. November, einige Stunden nach Veröffentlichung der Recherchen, erhielten mindestens Angestellte des EU-Parlaments eine Rundmail mit Empfehlungen des CERT-EU auf Englisch und Französisch. Thema: „Bewährte Verfahren für die Sicherheit mobiler Geräte“.

Die Empfehlungen handeln davon, wie sich Werbe-Tracking und Standortzugriffe am Handy einschränken lassen. Ausdrücklich werden auch private Geräte erwähnt. Hier veröffentlichten wir die E-Mail im Volltext.

Alle sollen personalisierte Werbung abschalten

Die Empfehlungen des Cybersicherheitsdiensts enthalten keine Hinweise auf die jüngsten Recherchen von netzpolitik.org und Partnermedien. Sie gehen nicht darauf ein, welche konkreten Gefahren hinter Standort-Tracking stecken – etwa, dass sich mit Handy-Standortdaten metergenaue Bewegungsprofile erstellen lassen. Aus solchen Profilen lassen sich oftmals mühelos Arbeitsplatz und Privatadressen ablesen, ebenso private Ausflüge sowie Besuche in Arztpraxen, Kitas, Restaurants oder gar Bordellen. Entsprechend hoch sind die Gefahren für Spionage sowie die Privatsphäre.

Stattdessen weist die E-Mail unscheinbar darauf hin, die Empfehlungen wurden „zur Unterstützung der IT-Sicherheit“ herausgegeben. Unsere Fragen zum Zusammenhang der E-Mail des CERT-EU mit den Databroker Files ließ die EU-Kommission unbeantwortet. Sie wollte auch nicht offenlegen, welche Rundmail zuvor Angestellte der EU-Kommission erhalten haben.

Sieben Wege, um deinen Standort vor Databrokern zu schützen

Im Wesentlichen decken sich die Empfehlungen des CERT-EU mit denen, die etwa netzpolitik.org im Zuge der Recherchen zu den Databroker Files veröffentlicht hat. Es geht darum, so wenigen Apps wie möglich Zugriff auf Standortdaten zu gewähren, und das nur, wenn es nötig ist. Mit wenigen Klicks sollen EU-Mitarbeitende zudem personalisierte Werbung abschalten, indem sie ihre Werbe-ID tilgen.

Diese sogenannte Mobile Advertising ID (MAID) ist wie ein Nummernschild fürs Handy. Von Databrokern verbreitete Handy-Standortdaten sind oftmals mit einer solchen Werbe-ID versehen, wodurch sich Geräte – und ihre Besitzer*innen – einfach ausspionieren lassen. Von der ursprünglich für Werbetreibende gedachten Kennung profitieren also auch Überwachungsfirmen. Google und Apple sind dafür verantwortlich, dass die verräterischen Werbe-IDs ab Werk aktiv sind.

Berechtigungen nach jedem Update prüfen

Geht es nach dem Cybersicherheitsdienst der EU, sollten sich EU-Mitarbeitende zudem kontinuierlich und regelmäßig der IT-Sicherheit ihrer Handys widmen. Insgesamt sieben Empfehlungen handeln davon, etwas zu blockieren oder abzulehnen („disable“, „block“, „deny“, „turn off“). Nutzende sollten „monatlich und möglichst nach jedem Update“ die Zugriffsberechtigungen von Apps prüfen.

Nach eigenen Angaben arbeiten für die EU rund 60.000 Beamt*innen und sonstige Angestellte. Wie realistisch ist es, dass die meisten diesen Empfehlungen folgen?

Doch nicht nur EU-Personal ist von der Massenüberwachung durch Handy-Standortdaten betroffen, sondern potenziell alle, die ein Smartphone nutzen. Insgesamt leben in der Europäischen Union rund 450 Millionen Menschen. Sollten nicht auch sie „monatlich und möglichst nach jedem Update“ die Zugriffsberechtigungen ihrer Apps prüfen?

Fachleute aus Politik und Zivilgesellschaft fordern seit Jahren ein Verbot von Tracking und Profilbildung für Werbezwecke. Auf diese Weise würde Databrokern der Nachschub an Daten ausgehen und Nutzer*innen müssten nicht zu Expert*innen für digitale Selbstverteidigung werden, um ihr Grundrecht auf Privatsphäre zu schützen.

In Deutschland setzt sich etwa der Verbraucherzentrale Bundesverband für ein solches Verbot ein und verlangt entsprechende Regeln im kommenden Digital Fairness Act. In der Vergangenheit hatten sich Bestrebungen zur wirksameren Eindämmung von Tracking in der EU-Gesetzgebung nicht durchsetzen können. Nach wie vor sprechen sich EU-Abgeordnete vehement für ein Tracking-Verbot aus, zuletzt Alexandra Geese (Greens/EFA) gegenüber netzpolitik.org.

EU-Kommission will Datenschutz eher schwächen als stärken

Die EU-Kommission sieht mit Blick auf unsere Recherchen jedoch keinen Bedarf für strengere Gesetze. Vielmehr droht, dass die Kommission im Rahmen der Vereinfachung von Digitalgesetzen den europäischen Datenschutz weiter schwächt. Wenn es um den illegalen Handel mit Standortdaten geht, sollen Mitgliedstaaten die Datenschutzgrundverordnung über ihre Aufsichtsbehörden durchsetzen, wie die Kommission mitteilt.

Das Wichtigste zur Spionage-Gefahr durch Handy-Standortdaten in der EU

Unsere Recherchen zeigen jedoch, wie Datenschutzbehörden mit ihren bisherigen Bemühungen zum Datenhandel allenfalls an der Oberfläche kratzen. Im Ökosystem der Werbeindustrie können Daten auf so vielen Wegen abfließen, dass Behörden und Nutzer*innen wie vor einem dichten Dschungel stehen. Selbst auf Privatsphäre bedachte Nutzer*innen können sich nur bedingt schützen, wenn sie nicht auf einen Großteil populärer Dienste verzichten wollen.

Ein Verbot von Tracking und Profilbildung für Werbezwecke würde auch EU-Mitarbeitende vor Spionage schützen. Stattdessen haben sie eine Rundmail bekommen. Sie und andere Nutzer*innen müssen sich demnach selbst helfen – „monatlich und möglichst nach jedem Update“.

Rundmail: „Mobile device security good practice“

Dear colleague,

Mobile devices are now the main way in which we communicate, shop, bank, or check out social media. Increasingly, EU entities rely on services that staff can access from their personal devices. This complicates the enforcement of cybersecurity best practices and allows for the possibility of staff exposing personal data or accidentally leaking corporate data.

To help with IT security, the Cybersecurity Service for the Union institutions, bodies, offices and agencies (CERT-EU) has issued advice to staff for protecting their data and privacy. Therefore, we would like to bring to your attention the following recommendations addressing tracking prevention on mobile devices.

Location permissions and metadata

• Disable location services when not needed and limit location tracking, including options like Significant Locations and Precise Location on iOS or Location accuracy on Android
• Review app permissions regularly and cancel unnecessary permissions. Only allow location access for apps that need it to function, like maps or traffic apps, and only while using the app
• Use Allow Once function: audit monthly and, if possible, after every update
• Block all location requests to browsers
• Block unnecessary notification requests from websites
• Disable location history and geotagging. Clear your existing location history
• Disable geotagging on your photos and videos to prevent apps from storing or sharing your location data. If geotagging is needed for personal use, then read the vendor’s documentation on how to clean GPS metadata from photos before sharing

Ad-tracking limiters

• Turn off personalised ads. For iOS: Settings > Privacy & Security > Tracking. For Android: Setting > Security and privacy > More privacy settings > Ads (some versions or models may differ)

Fitness/social apps

• Deny location to running, cycling or social apps if possible. Set exercise routes to private
• Be cautious about social-media posts: avoid real-time location or check-ins and check the picture for any unintended background detail before you share

Bonnes pratiques en matière de sécurité des appareils mobiles

Cher collègue,

Les appareils mobiles sont désormais le principal moyen que nous utilisons pour communiquer, faire des achats, effectuer des opérations bancaires ou consulter les réseaux sociaux. Les entités de l’UE s’appuient de plus en plus sur des services auxquels le personnel peut accéder à partir de ses appareils personnels. Cela complique l’application des bonnes pratiques en matière de cybersécurité et augmente le risque que le personnel expose des données à caractère personnel ou divulgue accidentellement des données d’entreprise.

Afin de contribuer à la sécurité informatique, le service de cybersécurité des institutions, organes et organismes de l’Union (CERT-EU) a émis des conseils à l’intention du personnel pour protéger leurs données et leur vie privée. Nous souhaitons donc attirer votre attention sur les recommandations suivantes concernant la prévention du suivi sur les appareils mobiles.

Autorisations de localisation et métadonnées

• Désactivez les services de localisation lorsque vous n’en avez pas besoin et limitez le suivi de localisation, notamment les options telles que «Lieux importants» et «Localisation précise» sur iOS ou «Précision de la localisation» sur Android.
• Vérifiez régulièrement les autorisations des applications et supprimez celles qui ne sont pas nécessaires. N’autorisez l’accès à la localisation qu’aux applications qui en ont besoin pour fonctionner, comme les applications de cartographie ou de trafic, et uniquement pendant l’utilisation de l’application.
• Utilisez la fonction «Autoriser une fois»: vérifiez-la tous les mois et, si possible, après chaque mise à jour
• Bloquez toutes les demandes de localisation adressées aux navigateurs.
• Bloquez les demandes de notification inutiles provenant de sites web.
• Désactivez l’historique de localisation et la géolocalisation. Effacez votre historique de localisation existant.
• Désactivez la géolocalisation sur vos photos et vidéos afin d’empêcher les applications de stocker ou de partager vos données de localisation. Si la géolocalisation est nécessaire pour un usage personnel, lisez la documentation du vendeur sur la manière de nettoyer les métadonnées GPS des photos avant de les partager.

Limiteurs de suivi publicitaire

• Désactivez les annonces personnalisées. Pour iOS: Paramètres > Confidentialité et sécurité > Suivi. Pour Android: Paramètres > Sécurité et confidentialité > Plus de paramètres de confidentialité > Publicités (certaines versions ou certains modèles peuvent différer)

Applications de fitness/réseaux sociaux

• Si possible, refusez de partager votre position avec les applications de course à pied, de cyclisme ou les réseaux sociaux. Définissez vos itinéraires d’entraînement comme privés.
• Soyez prudent lorsque vous publiez sur les réseaux sociaux: évitez de partager votre position en temps réel ou de vous enregistrer à un endroit, et vérifiez qu’il n’y a pas de détail d’arrière-plan involontaire sur les photos avant de les partager.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die teils KI-gestützte Videoüberwachung Mannheims wird bei Versammlungen angeblich ausgeschaltet. Doch laut Rechtsprechung reicht das nicht. Denn auch eine ausgeschaltete Kamera kann Menschen davon abbringen, Demonstrationen zu besuchen.

Viele Demonstrationen in Mannheim starten oder enden auf dem Alten Messplatz. Am Rand des Platzes, an der Alten Feuerwache, hängen acht Überwachungskameras, weitere sind über den Platz verteilt. Insgesamt filmen 70 Kameras die Innenstadt, 46 davon sind an eine KI-Verhaltenserkennung gekoppelt.

Das ist spätestens dann ein Problem, wenn Menschen hier demonstrieren wollen. David Werdermann, Jurist bei der Gesellschaft für Freiheitsrechte, sagt: „Die Versammlungsfreiheit lebt davon, dass Menschen ohne Angst und Einschüchterung ihre Meinung auf der Straße kundtun können.“ Videoüberwachung und KI-gestützte Auswertung könne Menschen von der Versammlungsteilnahme abhalten, „zumal sie sich wegen des Vermummungsverbots nicht gegen eine mögliche Erfassung wehren können“, sagt Werdermann.

Beständige Unsicherheit

Um eine Einschränkung des Versammlungsrechts zu vermeiden, schaltet die Polizei einzelne Kameras angeblich aus, wenn im Überwachungsbereich angemeldete Versammlungen stattfinden – und keine erheblichen Gefahren für die innere Sicherheit und Ordnung bestehen. Protokolle dazu, wann welche Kamera ab- und wieder angeschaltet wurde, will die Mannheimer Polizei allerdings nicht herausgeben. Für Versammlungsteilnehmer*innen bleibt somit die beständige Unsicherheit, ob sie nicht gerade doch gefilmt werden.

„Schon der bloße Eindruck, während einer Demonstration gefilmt zu werden, entfaltet eine erhebliche abschreckende Wirkung – auch wenn die Kameras tatsächlich ausgeschaltet sind“, sagt David Werdermann. Die deutsche Rechtsprechung unterstützt seine Argumentation.

Teilnehmer*innen können nicht hinreichend verlässlich erkennen, ob Kameras in Betrieb sind oder nicht, entschied das Oberverwaltungsgericht Nordrhein-Westfalen 2020. Damit bestätigte es die vorgelagerte Entscheidung, dass öffentliche Videokameras während Versammlungen verhüllt werden müssen. Das Oberverwaltungsgericht Niedersachsen entschied schon 2015, dass auch eine halbausgefahrene Mastkamera eines Polizeifahrzeugs während einer Demonstration nicht rechtens ist, egal ob sie läuft. Allein die Präsenz der Kamera ist zu viel.

Es gibt technische Lösungen

Eigentlich müssten Mitarbeiter*innen der Stadt Mannheim vor jeder Demonstration entlang der Route Kameras vorübergehend außer Betrieb setzen. Dazu könnten sie mit Leitern zu allen Kameras hinaufsteigen und Blenden vor die Linsen schrauben oder einfach Säcke über die Geräte stülpen.

Es gibt allerdings smartere Lösungen: Ein deutscher Hersteller produziert für seine Videoüberwachungssysteme beispielsweise neongelbe Jalousien, die per Mausklick vor die Linsen fahren.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Einwilligungsdienste sollen es Menschen erlauben, selbst darüber zu bestimmen, wer im Internet ihre Daten nutzt. Doch die Bundesregierung stellt es Websites und Tracking-Firmen frei, ob sie die Dienste anerkennen. Macht sie keine Verpflichtung daraus, bleibt es Pseudo-Selbstbestimmung. Ein Kommentar.

In einer an Datenschutznachrichten nicht gerade armen Woche wäre die Meldung fast untergegangen: Deutschland hat seinen ersten offiziellen Einwilligungs-Manager! Das teilte die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider am Dienstag mit. Ihre Behörde hat den Dienst zertifiziert.

Mit Consenter sollen Menschen einfach und übersichtlich darüber entscheiden können, wem sie im Internet eine Erlaubnis zur Nutzung ihrer Daten erteilen und wem nicht. Das gilt insbesondere für Cookies, die auf Computern und Telefonen gespeichert werden und dafür verwendet werden können, das Online-Verhalten von Menschen zu verfolgen.

Menschen wollen selber bestimmen

Cookies bleiben ein leidiges, aber wichtiges Thema. Eine repräsentative Umfrage im Auftrag der Bundesdatenschutzbeauftragten zeigt: 83 Prozent der Menschen in Deutschland wollen selbst festlegen können, ob und wofür ihre Daten im Internet verwendet werden. Doch nur 43 Prozent der Internetnutzer:innen wissen überhaupt, was genau Cookies sind und wofür sie eingesetzt werden.

Dabei kann es weitreichende Folgen haben, ob wir zustimmen oder nicht. Firmen sehen die Einwilligung oft als Freifahrtschein für sie und ihre 845 Partner, die behaupten, den Datenschutz sehr ernst zu nehmen, aber uns komplett durchleuchten wollen. Wir können aufgrund unseres Online-Verhaltens in eine von hunderttausenden Kategorien gesteckt werden, zum Beispiel in „Moms who shop like crazy“, „Spielsüchtig“ oder „LGBTQ“. Unsere Standortdaten können bei Datenhändlern landen und Fremden unsere Bewegungsmuster offenbaren. Der Umgang mit unseren Daten ist vollkommen außer Kontrolle geraten.

Gegen Kontrollverlust und Einwilligungsmüdigkeit

Einwilligungsmanager sollen nicht nur diesem Kontrollverlust ein Ende bereiten, sondern auch der sogenannten Einwilligungsmüdigkeit. Die hat sich im Laufe all der Jahre bei vielen einstellt, die tagein tagaus scheinbar sinnlose Cookie-Banner wegklicken mussten, die einerseits das Wegklicken mit manipulativen Design erschweren und andererseits nicht gut informieren, was mit den Daten passiert. Es nervt einfach: Ich möchte nicht jeden Tag auf jeder Webseite immer wieder aufs Neue klicken müssen, wenn doch klar ist, dass ich immer die für mich datenschutzfreundlichste Variante haben will. Wieviele Stunden meines Lebens habe ich mit sinnlosem Klicken verbracht?

Hier könnten Einwilligungsmanager eigentlich helfen. Deutschland ist auf dem Feld Pionier, denn es ist das erste Land in der EU, das dem schon lange bestehenden Konzept einen rechtlichen Rahmen gegeben hat. Es gibt gesetzliche Anforderungen an die Consent-Manager und eine Prüfung durch die BfDI, an deren Ende eine offizielle Zertifizierung stehen kann. Geregelt wird das vom Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG) und von der Einwilligungsverwaltungsverordnung. Innovation made in Germany halt.

Spaß beiseite: Es ist natürlich richtig, dass die Dienste klaren Regeln folgen, schließlich sollen die Menschen ihnen vertrauen. So schreibt das TDDDG zum Beispiel vor, dass Einwilligungsmanager „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.

Ausgerechnet vom guten Willen der Tracking-Industrie abhängig

Die Sache hat nur einen Haken, und zwar einen ziemlich großen, der das ganze Konzept zum Scheitern verurteilt: Die Einwilligungsverwaltungsverordnung regelt auch, dass die „Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Anbieter von digitalen Diensten“ freiwillig erfolgen soll.

Mit anderen Worten: Nutzer:innen können so viel managen wie sie wollen – keine Website und keine Tracking-Firma muss die Einwilligungsdienste anerkennen.

Webseiten und Medien leben aber vom Cookie-Werbezirkus, sie setzen auf dieses invasive Erlösmodell auf Kosten unserer Privatsphäre. Hunderte Datenunternehmen profitieren von der Ausleuchtung der Internetnutzer:innen per Cookie und Tracking, sie existieren nur, weil es dieses Modell gibt. Und sie handeln völlig schamlos mit den Daten, wie unsere Recherchen immer wieder zeigen.

Ausgerechnet diesen Firmen wollen wir mit Freiwilligkeit beikommen? Das ist lächerlich: Es gibt keinen Grund dafür, warum sie sich freiwillig dem Regime eines Einwilligungsmanagers unterwerfen sollten, der letztlich ihr Geschäftsmodell angreifen würde. Ohne Verpflichtung bleibt das Modell ein Papiertiger.

Bundesregierung könnte es einfach ändern

Man kann darüber streiten, ob Einwilligungsmanager wirklich ein gutes Werkzeug sind. Ich habe das mit einem der Köpfe hinter Consenter, Maximilian von Grafenstein, neulich in unserem Podcast Off/On getan. Was man nicht tun kann: Einwilligungsmanager als Lösung für ein Problem darstellen und dann darauf hoffen, dass die Tracking-Industrie schon freiwillig den Willen der Nutzer:innen akzeptieren wird.

Wenn die Bundesregierung wollen würde, dass Einwilligungsmanager überhaupt eine Chance haben und nicht zu noch mehr Pseudo-Selbstbestimmung führen, dann müsste sie ihre Anerkennung schnellstmöglich verpflichtend machen. Sie kann das jederzeit und einfach tun, wenn sie wollte – denn die Verordnung muss nicht einmal vom Bundestag beschlossen werden.

Tut sie es nicht, verurteilt sie die Dienste zum Scheitern, bevor diese überhaupt ihre Arbeit aufnehmen können.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Europäische Parlament ist sich beim Digitalen Euro nicht einig. Der zuständige Berichterstatter will zunächst eine reine Offline-Lösung, progressive Fraktionen sehen das ganz anders. Währenddessen treibt die Zentralbank die Umsetzung weiter voran.

Immerhin sechs Minuten konnte die christdemokratisch-konservative EVP-Fraktion im Europarlament den Digitalen Euro noch verzögern. Denn als der Wirtschaftsausschuss (ECON) zum Digitalen Euro (D€) debattieren wollte, fehlte jemand: Fernando Navarrete Rojas, seines Zeichens spanischer EVP-Abgeordneter – und ausgerechnet Berichterstatter für den Digitalen Euro.

Auch wenn die mehrminütige Verspätung von Navarrete Zufall gewesen sein sollte, Freund:innen im Ausschuss wird er sich damit nicht gemacht haben. Schließlich bremste seine Fraktion den Digitalen Euro nicht zum ersten Mal. Und auch inhaltlich widersprachen die anderen Fraktionen von Linke bis Renew seinem Entwurf. Auf das Parlament dürften daher noch scharfe Debatten und intensive Verhandlungen zukommen, denn andere Institutionen machen beim Digitalen Euro Druck.

Seit mindestens 2020 denkt die Europäische Zentralbank (EZB) über den digitalen Euro nach. Seit 2023 gibt es auch ein Gesetzespaket der Europäischen Kommission, das sogenannte Single Currency Package. Dass das Parlament erst jetzt richtig darüber debattieren kann, liegt auch an der konservativen EVP-Fraktion, zu der auch CDU und CSU gehören.

EVP hatte den D€ immer wieder verzögert

Der zuständige Berichterstatter der letzten Legislatur, Stefan Berger (CDU), habe die Arbeit an einer gemeinsamen Parlamentsposition immer wieder verzögert, beschwerten sich die zuständigen Abgeordneten von S&D (Sozialdemokraten), Renew (Liberale) und Grünen.

Nun ist der Ex-Zentralbanker und spanische Abgeordnete Navarrete am Zug. Auch er ist ein Kritiker des Digitalen Euro, selbst wenn er das im Ausschuss abstritt. Seine Haltung spiegelt sich in seinem Bericht wieder. Er setzt nach wie vor auf eine private Lösung – und eine Aufteilung des Digitalen Euro.

Der Digitale Euro (D€) soll auch laut Vorschlag der EZB in zwei Systemen kommen. Ein Online-System, das mit dem eigenen Bankkonto verknüpft ist und das man etwa für Online-Einkäufe nutzen könnte. Und ein Offline-System, das nicht nur ohne Verbindung zum Zahlungssystem oder Internet funktioniert, sondern auch „Bargeld-ähnliche“ Anonymität garantieren soll.

Online-D€? Nur unter einer Bedingung!

Nur zu letzterem bekennt sich Navarrete. „Das Offline-System bringt eine zusätzliche Resilienz“, sagte er im Ausschuss. Der Online-€ solle nur unter einer Bedingung kommen: Wenn es bis zu seiner Einführung keine paneuropäische private Lösung gebe, die marktfähig ist. „Die EZB sollte nur dann einschreiten, wenn es hier ein Marktversagen gibt“, sagte Navarrete im Ausschuss.

Denn aus seiner Sicht ist „die einzige legitime Motivation“ für den D€ die digitale Souveränität und damit die Reduktion der Abhängigkeit des europäischen Zahlungsverkehrs von nicht-europäischen Dienstleistern. Aktuell funktioniert das grenzüberschreitende Bezahlen vor oft nur mit Mastercard und Visa oder Anbietern wie PayPal.

Wero aktuell nur in drei EU-Ländern

Aus Sicht von Navarrete sei man aktuell „näher als je zuvor“ an der Verwirklichung europäischer Souveränität im Zahlungsbereich. Navarrete spielte damit vermutlich auf „Wero“ an.
Wero ist der jüngste Versuch der European Payment Initiative (EPI), ein europäisches Zahlungssystem zu etablieren. Die EPI ist ein Zusammenschluss von europäischen Banken und Zahlungsdienstleistern, aus Deutschland sind unter anderem die Sparkassen, Volks- und Raiffeisenbanken sowie die Deutsche Bank an Bord.

Wero steckt jedoch noch in den Kinderschuhen. Es ist bisher nur 75 Prozent der privaten Bankkunden zugänglich und auch das nur in Belgien, Deutschland und Frankreich. Die Niederlande und Luxemburg sollen im kommenden Jahr folgen.

Das Hauptargument ist Souveränität

Navarretes Entwurf und sein Auftritt im Ausschuss stießen auf Kritik – nicht nur im Parlament, sondern auch in der Zivilgesellschaft. So sagte Carolina Melches, bei der NGO Finanzwende zuständig für den D€, zu netzpolitik.org: „Der Digitale Euro ist bisher unsere beste Chance, die bestehende Abhängigkeit von US-Konzernen im Zahlungsverkehr zu reduzieren und drohende Abhängigkeiten etwa von Big Tech-Konzernen im Zahlungsverkehr abzuwenden.“ Die Online-Variante des Digitalen Euros zu verzögern, sei eine riskante Wette auf Kosten von Europas Souveränität.

Das sehen die vier europäischen Fraktionen The LEFT (mit der deutschen Die Linke), Grüne (mit den Grünen und Volt), Renew (mit den deutschen Parteien FDP und Freie Wähler) und die Socialist&Democrats (SPD) genauso. So warnt Damian Boeselager (Volt) in einer Pressemitteilung: „Wenn Washington es will, könnte es unser Zahlungssystem lahmlegen – und zwölf Prozent des EU-Bruttoinlandsprodukts wären von einem Tag auf den anderen vernichtet.“

Private Lösung zu spät und zu teuer

Ähnlich sehen das die Sozialdemokrat:innen im EU-Parlament. „Milliarden Euro fließen jedes Jahr aus den Geldbeuteln der Bürger zu den Zahlungsdienstleistern außerhalb Europas – und mit ihnen die Zahlungsdaten“, sagte Nikos Papandreou, der den D€ für seine Fraktion verhandelt. „Wir haben 20 Jahre auf eine private Lösung gewartet – es gibt keine!“ Für ihn sei der Vorschlag von Navarrete „keine Strategie, sondern Paralyse“, sagte der Grieche unter Applaus im ECON-Ausschuss.

Eine privatwirtschaftliche Lösung birgt zudem die Gefahr, dass Händler unter hohen Abgaben leiden. Händler sollten von einem digitalen europäischen Zahlungssystem profitieren und nicht gleich schlecht dastehen, sagte etwa Damian Boeselager im Ausschuss.

Die vier progressiven Fraktionen betonen im Ausschuss unisono, dass die Online-Funktion das Kernstück des D€ sei, nicht seine Offline-Variante. „Es kann keinen Offline-D€ ohne die Online-Version geben“, sagte etwa der italienische Abgeordnete Gaetano Pedullà aus der Fraktion The Left. Ein reines Offline-System wäre etwa im Online-Handel nicht anwendbar. Aus Sicht von Boeselager (Volt) würde ein reiner Offline-D€ „viele Vorteile eines digitalen Euro verschenken, ihn für Nutzerinnen und Nutzer weniger attraktiv machen und weit hinter dem möglichen Potenzial zurückbleiben.“

Gilles Boyer aus der Renew-Fraktion sieht die stärkere Rolle der EZB bei digitalen Zahlungen positiv. In einer zunehmend digitalen Welt müsse es auch öffentliches Geld geben, forderte der französische Abgeordnete. „Öffentliches Geld“ meint: von der Zentralbank geschaffenes und garantiertes Geld wie Bargeld. „Privates Geld“, also Buch- oder Giralgeld, existiert hingegen nur auf den Konten der privaten Banken.

Rechtsextreme gegen den D€

Neben seiner eigenen Fraktion unterstützte auch die euroskeptisch-rechtspopulistische Fraktion ECR Navarretes Bericht. In dieser sind etwa die Mussolini-verehrende Partei von Giorgia Meloni, Fratelli die Italia, sowie die polnische PiS organisiert. Der kroatische Abgeordnete Stephen Bartulica sagte, er unterstütze den Vorschlag, dem Privatsektor mehr Zeit zu verschaffen. Die EZB würde in den Markt eingreifen und ihre Aufsichtsrolle verlassen. Die einzig andere existierende Digitale Zentralbankwährung gebe es in China. Auch in Europa werde die Digitale Währung „von oben oktroyiert“.

Die Erzählung von einer übergriffigen, alles überwachenden Zentralbank findet vor allem auf der rechtspopulistischen und rechtsextremen Seite großen Anklang. Rechtsextreme und Libertäre mobilisieren seit langem gegen den D€ und nutzen ihn für Verschwörungserzählungen, berichten etwa Tagesschau und Politico.

EU-Kommission, EZB und demokratische Parlamentarier:innen betonen immer wieder, dass der D€ Bargeld keinesfalls ersetzen solle. „Niemand wird verpflichtet, den Digitalen Euro zu nutzen.“ Weder die Kommission noch Parlament und Rat wollten das Bargeld abschaffen, betonte der Renew-Abgeordnete Boyers. Ein Teil des Gesetzgebungs-Pakets zum D€ ist deshalb auch die „Legal Tender“-Verordnung, die die gesetzliche Rolle von Bargeld als Zahlungsmittel festschreibt.

Viel Arbeit für den Ausschuss

Die Mehrheitsverhältnisse im EU-Parlament machen es den Befürworter:innen eines Digitalen Euros nicht leicht. Gemeinsam mit der euroskeptischen und rechtspopulistischen ECR-Fraktion sowie den beiden rechtsextremen Fraktionen PfE (unter anderem FPÖ, Front National sowie Vox aus Spanien) und ESN (unter anderem AfD) hat die EVP eine Mehrheit. Immer wieder stimmt die EVP mit den extrem rechten Parteien, etwa um Klima- und Umweltschutzregeln abzuschwächen.

Ob die EVP bei diesem Thema mit Rechtspopulisten oder Rechtsextremen kooperiert, ist bislang unklar. Im Unterschied zu den Parteien rechts seiner Fraktion betonte der EVP-Abgeordete Navarrete, sein Vorschlag sei nicht gegen den Digitalen Euro gerichtet, er würde dessen Einführung auch nicht verzögern. Sein Fraktionskollege Markus Ferber (CSU), der in der letzten Legislaturperiode ebenfalls als Verzögerer des D€ galt, will sich bei dem Projekt nicht zeitlich unter Druck setzen lassen: „Wir haben nur einen Schuss frei und der muss sitzen.“

Wollen sich EVP und die progressiven Fraktionen annähern, braucht es wohl noch viele Verhandlungen. Bis zum 12. Dezember müssen alle Änderungsanträge zum Entwurf von Navarrete feststehen, Ende Januar sollen diese im Ausschuss debattiert werden. Seine endgültige Verhandlungsposition will das Europäische Parlament im Mai 2026 beschließen. Danach geht es in den Trilog, also die Verhandlungen zwischen Parlament, EU-Kommission und Ministerrat.

Was macht der Ministerrat?

Letzterer ist die Vertretung der EU-Mitgliedstaaten. Die Regierungen haben zuletzt im Europäischen Rat ihre Unterstützung des Projekts betont. „Wir begrüßen die jüngsten Fortschritte bei der Weiterentwicklung des Projekts zum digitalen Euro und betonen, wie wichtig es ist, die Gesetzgebungsarbeiten zügig abzuschließen und andere vorbereitende Schritte zu beschleunigen“, hieß es in der Abschlusserklärung des Treffens.

Die EU-Finanzminister haben sich derweil schon mit der EZB geeinigt, dass sie das letzte Wort bei den Haltelimits für den Digitalen Euro haben. Solche Begrenzungen sollen die Menge der D€ begrenzen, die ein Mensch gleichzeitig halten kann. Das soll verhindern, dass zu viel Geld von den Konten der Geschäftsbanken verschwindet.

Im Gespräch sind Haltelimits von 500 bis 3000 D€. Laut Einigung soll die EZB die genaue Grenze festlegen, die Finanzminister sollen aber die Obergrenze dieser Limits gemeinsam entscheiden dürfen.

Die dänische Ratspräsidentschaft plant, die Einigung der Mitgliedstaaten auf eine Position bis Ende des Jahres auszuverhandeln.

EZB plant schon die Umsetzung

Während die Verhandlungen der EU-Gesetzgeber noch laufen, schreitet die Europäische Zentralbank mit der Umsetzung voran. Letzte Woche teilte die EZB mit, dass sie beim D€ in die nächste Phase übergehe.

In dieser will die EZB weiterhin die technischen Voraussetzungen für eine mögliche Einführung eines digitalen Euro vorbereiten. „Damit wollen wir sicherstellen, dass das Eurosystem bereit ist, die nächsten möglichen Schritte zu gehen, sobald die Rechtsvorschriften in Kraft sind“, sagte eine EZB-Sprecherin auf Anfrage von netzpolitik.org.

Der endgültige Beschluss des EZB-Rats darüber, ob und wann ein digitaler Euro ausgegeben wird, werde erst dann getroffen, wenn die Rechtsvorschriften angenommen worden sind, teilte die EZB weiter mit. „Unter der Annahme, dass die EU-Mitgesetzgeber die Verordnung zur Einführung des digitalen Euro im Jahr 2026 annehmen, könnten ein Pilotprojekt und erste Transaktionen ab Mitte 2027 stattfinden.“ Die Ausgabe des Digitalen Euro könnte dann im Jahr 2029 starten.

Vorausgesetzt, das Parlament spielt mit.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Freifahrtschein für KI-Training, weniger Schutz für pseudonymisierte und sensible Daten, Beschneidung von Betroffenenrechten: Es verdichten sich die Hinweise, dass die EU-Kommission einen Frontalangriff auf die DSGVO plant. Auch die Bundesregierung fordert dahingehend Einschnitte, wie ein Dokument belegt, das wir veröffentlichen.

Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.

Freie Fahrt für pseudonymisierte Daten

So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.

[Update am Ende des Textes: Euractiv berichtet, dass die Kommission das „legitime Interesse“ als Rechtsgrundlage für Online-Tracking etablieren will.]

Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.

Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.

Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.

Weniger Schutz für sensible Daten

Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.

Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.

KI-Training: Freifahrtschein für Tech-Konzerne

Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.

Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.

Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.

Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.

„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.

Bundesregierung will Auskunftsrecht einschränken

Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.

Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.

Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.

Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.

Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.

Die Reformwelle rollt erst los

Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.

Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird die EU-Kommission ein weiteres Reformvorhaben vorlegen, das sogenannte Digital Package. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.

—
Update, 07.11.2025, 11:30 Uhr: Inzwischen kursiert ein Entwurf der EU-Kommission für den digitalen Omnibus. Euractiv berichtet darüber [hinter Paywall] mit Blick auf den Datenschutz. Demzufolge könnten künftig auch nicht-notwendige Cookies auf Basis der Rechtsgrundlage des legitimen Interesses gesetzt werden. Nutzer:innen müssten dann nicht mehr vorab gefragt werden, bevor sie für Werbezwecke überwacht werden. Tracking-Firmen und Datenhändler dürften sich freuen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Bundestag hat mit den Stimmen von Schwarz-Rot zwei Änderungen bei der elektronischen Patientenakte beschlossen. Das Echo darüber fällt geteilt aus: Einerseits wird die Rückkehr zu mehr Datenhoheit vorsichtig begrüßt, andererseits werden gesenkte Sicherheitsstandards kritisiert.

Der Bundestag hat heute das „Gesetz zur Befugniserweiterung und Entbürokratisierung in der Pflege“ verabschiedet. Dabei hat das Plenum mehrheitlich auch einen Änderungsantrag der Fraktionen CDU/CSU und SPD angenommen, den der Gesundheitsausschuss gestern beschlossen hatte. Er enthält unter anderem zwei relevante Neuerungen bei der elektronischen Patientenakte.

Zum einen können künftig nur noch die Versicherten selbst ihre Abrechnungsdaten in der elektronischen Patientenakte (ePA) einsehen. Bisher war das standardmäßig auch für Behandelnde möglich. Zum anderen dürfen Krankenkassen wieder mit dem Video-Ident-Verfahren die Identität von Versicherten bestätigen. Damit will Schwarz-Rot die Hürden bei den Versicherten senken, ihre ePA zu aktivieren.

Beide Änderungen stellen teilweise einen früheren Status wieder her. Das Echo darüber fällt geteilt aus. Während Verbraucherschützer:innen die eine Rolle rückwärts in Teilen begrüßen, kritisieren Sicherheitsfachleute die andere als risikoreich.

Zurück zu etwas mehr Selbstbestimmung

Dass Behandelnde in der ePA bislang standardmäßig auf die Abrechnungsdaten der Versicherten zugreifen konnten, hatten Verbraucherschützer:innen mit Nachdruck kritisiert.

Die Daten stammen von den Krankenkassen und fließen automatisch in die ePA ein. Aus ihnen gehen – ebenso wie aus der Medikationsliste mit den verordneten Medikamenten – sensible Diagnosen hervor. Das erschwert es Versicherten, Befunde vor den Blicken einzelner Behandelnder zu verbergen.

„Wir wollen, dass die Abrechnungsdaten künftig auch ausschließlich für die Versicherten selbst in der ePA sichtbar sind, nicht für die Leistungserbringenden“, sagt Simone Borchardt, gesundheitspolitische Sprecherin der CDU/CSU-Bundestagsfraktion, auf Anfrage von netzpolitik.org. „Damit stellen wir sicher, dass keine Informationen über Abrechnungsdetails, etwa zu Diagnosen oder Leistungsumfängen, ohne ausdrückliche Zustimmung des Patienten für Dritte zugänglich sind.“ So wolle man das Vertrauen der Versicherten in die digitale Infrastruktur des Gesundheitswesens stärken, sagt Borchardt.

Zuspruch und Forderungen nach mehr

Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, hatte die Optionen hier deutlich eingeschränkt. Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen erfahren. Die nun beschlossene Gesetzesänderung verfeinert das sogenannte Beschwerdemanagement für Versicherte wieder ein wenig.

Lucas Auer, Gesundheitsexperte im Verbraucherzentrale Bundesverband, begrüßt das. „Die Abrechnungsdaten drohen ungewollt Aufschluss über sensible Diagnosen zu geben. Zugleich ist ihre Aussagekraft für zukünftige Behandlungsbedarfe stark limitiert“, so Auer gegenüber netzpolitik.org. „Die enthaltenen Informationen sind häufig fehlerbehaftet, veraltet oder beruhen auf versehentlicher oder beabsichtigter falscher Kodierung.“

Auch Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, wertet die Gesetzesänderung als Fortschritt. Nachholbedarf sieht er aber weiterhin etwa bei der Medikationsliste: „Aus verordneten Medikamenten lässt sich ebenfalls auf sensible Diagnosen schließen, etwa eine HIV-Infektion oder psychische Erkrankungen“, sagt Hofmann. „Die Medikationsliste generiert sich automatisch aus E-Rezepten und ist im Standard für alle sichtbar in der ePA eingestellt.“ Auch dafür könne man gemeinsam bessere Lösungen finden, ohne dass die Liste an Nutzen einbüße.

Als rein kosmetisch wertet Anne-Mieke Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, die Änderungen. Aus ihrer Sicht wird das ausgegebene Ziel der Datenhoheit für Versicherte weiterhin verfehlt. „Patient:innensouveränität erfordert, dass Versicherte über sämtliche Daten frei entscheiden, deren Freigabe aktiv steuern und deren Speicherung gegebenenfalls ablehnen oder löschen können“, sagt Bremer. Der Fokus auf die Sichtbarkeit verschleiere, dass eine feingranulare Steuerungsmöglichkeit der Versicherten über alle in der ePA gespeicherten Daten weiterhin fehle.

Video-Ident kehrt zurück

Die Wiederzulassung des Video-Ident-Verfahrens ist ebenfalls eine Rolle rückwärts, wird von Sicherheitsfachleuten allerdings skeptisch gesehen. Video-Ident ist ein Online-Verfahren zur Identitätsprüfung, bei dem eine Person ihre Identität per Video-Chat mithilfe eines Ausweises von einer geschulten Person prüfen lässt.

Bereits im August hatte die Gematik das Video-Ident-Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect zugelassen. Aus sicherheitstechnischer Sicht darf es somit für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die elektronische Gesundheitskarte (eGK) genutzt werden. Mit der Karte lassen sich dann eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Bislang mussten sich Versicherte, wenn sie die eigene ePA aktivieren wollten, digital mit der eGK oder die Online-Ausweisfunktion des Personalausweises ausweisen – inklusive PIN-Abfrage. Nun können sie das wieder ohne PIN tun.

Vor drei Jahren hatte die Gematik Video-Ident-Verfahren für unzulässig erklärt, nachdem Sicherheitsforschende des Chaos Computer Clubs mehrere gängige Video-Ident-Verfahren überlistet hatten – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“. Offenkundig geht die Gematik davon aus, dass bestimmte Video-Ident-Verfahren für die damals aufgezeigten Schwachstellen nicht mehr anfällig sind.

ePA soll endlich bei den Versicherten ankommen

Das wieder zugelassene Verfahren soll helfen, die Zahl der Versicherten zu erhöhen, die die elektronische Patientenakte aktiv nutzen. Zwar haben rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch gerade einmal drei Prozent der Versicherten nutzen sie aktiv.

Unter anderem der Vorstandschef der Techniker Krankenkasse, Jens Baas, hatte dafür den aus seiner Sicht zu komplizierten Registrierungsprozess verantwortlich gemacht. Anfang August forderte er, die rechtlichen Rahmenbedingungen so anzupassen, dass dafür Video-Ident-Verfahren wieder möglich sind.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die auch eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. Aus ihrer Sicht handele es sich dabei um eine Art 1,5-Faktor-Authentifizierung. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, bei der zwei unterschiedliche und voneinander unabhängige Komponenten geprüft werden.

Bei Video-Ident-Verfahren seien weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt Kastl. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Die Linken-Abgeordnete Anne-Mieke Bremer sieht die Entscheidung ebenfalls kritisch und befürchtet, dass sie Schule macht: „Es ist zu erwarten, dass diese risikoreichere Option zum Standard erhoben und als ‚Willen der Versicherten‘ deklariert wird“, sagt Bremer. „Statt erneut risikoreiche Verfahren zuzulassen und die Verantwortung auf unzureichend informierte Versicherte abzuwälzen, braucht es eine Strategie, die Datensicherheit, Transparenz und Mitbestimmung konsequent in den Mittelpunkt stellt.“

Es gibt eine sichere Alternative: der PIN-Rücksetzbrief

Eine sichere Alternative zum Video-Ident-Verfahren gibt es bereits. Um diese zu nutzen, bräuchte es nur eine weiteren Rolle rückwärts – indem die Bundesregierung den „PIN-Rücksetz- und Aktivierungsdienst per Pin-Brief“ reaktiviert.

Bis Anfang 2024 konnten Bürger:innen mit diesem Dienst einen Code auf dem Postweg bestellen. Mit dessen Hilfe konnten sie dann die Onlinefunktion ihres Personalausweises nachträglich aktivieren oder eine vergessene PIN erneuern.

Im Dezember 2023 verkündete die Ampel-Regierung jedoch überraschend das Aus für den Dienst. Als Grund gab sie „unkalkulierbare Kosten“ in zweistelliger Millionenhöhe an. Außerdem sei ein wesentlicher Teil der versandten PINs nicht eingesetzt worden.

Diese Gründe sollten zurückstehen, wenn es um die Sicherheit der sensiblen Gesundheitsdaten von Millionen Versicherten geht. Und obendrein ist der PIN-Rücksetzbrief inzwischen noch attraktiver als vor zwei Jahren. Denn er könnte nun nicht nur beim ePerso und der ePA zum Einsatz kommen, sondern bald auch für die EUDI-Wallet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die dänische Ratspräsidentschaft sieht genügend Unterstützung für einen Kompromissvorschlag bei der Chatkontrolle. Sollte sich der Rat darauf einigen, wäre die verpflichtende Chatkontrolle vorerst vom Tisch – aber die freiwillige Chatkontrolle soll zementiert werden.

In die seit Jahren feststeckenden Verhandlungen im EU-Rat zur sogenannten Chatkontrolle ist Bewegung gekommen. Die nationalen Botschafter haben laut einem Bericht von Politico (€) in der gestrigen Sitzung einem neuen Anlauf aus Dänemark zugestimmt. Wie MLex berichtet, habe mit Deutschland auch ein großes Kritikerland Zustimmung signalisiert. Damit ließe sich die Sperrminorität, die den Rat bisher gebremst hat, überwinden.

Seit Jahren ist der Gesetzentwurf der Europäischen Union zur Bekämpfung von Material über sexuellen Kindesmissbrauch (CSAM) umstritten; im EU-Rat gab es dazu seit drei Jahren keine Einigung. Knackpunkt bei den Verhandlungen ist immer wieder die verpflichtende, anlasslose Chatkontrolle, also die massenhafte Durchleuchtung privater und auch verschlüsselter Kommunikation.

Dänemark hatte, nachdem es keine Mehrheit für seinen Vorschlag erhalten hatte, einen neuen Kompromiss (PDF) vorgelegt. Demnach sollten die „Aufdeckungspflichten“ aus dem Gesetzentwurf entfallen, also Artikel 7 bis 11 – und damit auch die Anordnungen, die Dienste zur Chatkontrolle verpflichten könnten.

Es gibt allerdings widersprüchliche Signale über die mögliche, bevorstehende Einigung. Ein EU-Diplomat sagte am Mittwoch gegenüber netzpolitik.org, die EU-Ratspräsidentschaft sei zum Schluss gekommen, dass es genügend Unterstützung für den vorgeschlagenen Weg gebe, obwohl mehrere Mitgliedstaaten sich einen ehrgeizigeren Ansatz gewünscht hätten. Ein neuer Kompromissvorschlag würde nächste Woche in der Sitzung der Arbeitsgruppe diskutiert werden.

Ausreichende Mehrheit nicht sicher

Ein Sprecher des EU-Rates formulierte es deutlich verhaltener: „Der Vorsitz hat die nötige Unterstützung bekommen, um den neuen Vorschlag, der noch nicht vorliegt, auf technischer Ebene zu besprechen. Der heutige AStV hat sich nicht inhaltlich mit dem neuen Vorschlag auseinandergesetzt. Ob es eine ausreichende Mehrheit gibt, lässt sich zum jetzigen Zeitpunkt von daher nicht sagen.“

Auch ohne eine verpflichtende Chatkontrolle wäre die Überwachung vertraulicher Kommunikation nicht vom Tisch. Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation – also die freiwillige Chatkontrolle – will Dänemark nämlich „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen eigentlich nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle wurde allerdings 2021 vorübergehend erlaubt. Mit dem neuen Vorschlag soll sie dauerhaft erlaubt werden. Die Bundesdatenschutzbeauftragte kritisierte gegenüber der Bundesregierung jedoch auch das „freiwillige“ Scannen als rechtswidrig.

Nach Einigung im Rat käme der Trilog

Laut einer Notiz an Diplomaten, die netzpolitik.org veröffentlicht hat, sehen die dänischen Pläne eine Überprüfungsklausel vor, um verpflichtende Scans in Zukunft erneut zu erwägen. Demnach dürfte die verpflichtende Chatkontrolle immer wieder als Thema auftauchen und auf EU-Ebene diskutiert werden.

Einen neuen Vorschlag soll es erst in der kommenden Woche geben; Dänemark hatte bislang nur eine Zusammenfassung geliefert. Laut dem MLex-Bericht haben einige Länder gesagt, dass sie ihre Zustimmung vom endgültigen Text abhängig machen. Sollte der EU-Rat letztlich grünes Licht geben, dann geht die Verordnung in den sogenannten Trilog, also die finalen Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Rat.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

KI-Generatoren produzieren nicht nur Bilder und Videos, sondern reproduzieren auch Diskriminierung. Eine Wissenschaftlerin der Universität Cambridge fand heraus, dass KI Menschen mit großen Körpern häufiger einen negativen Gesichtsausdruck verleiht und teilweise Probleme bei deren anatomischer Darstellung hat.

Soziale Medien werden derzeit von Bildern und Videos geflutet, die von sogenannter Künstlicher Intelligenz (KI) generiert wurden. Das wirkt sich auch auf unsere kollektive Vorstellungskraft aus. Eine Untersuchung der Universität Cambridge warnt nun vor negativen Folgen für das Selbst- und Körperbild von Menschen.

Die Forscherin Aisha Sobey vom Leverhulme Centre for the Future of Intelligence hat untersucht, wie unterschiedliche Körperformen von KI-Generatoren repräsentiert werden. Ihr Befund: Darstellungen unrealistisch dünner Menschen sind der Standard, große und dicke Körper werden diskriminierend dargestellt.

„Ich bin besorgt über die steigende Zahl von Fällen von Körperunzufriedenheit und Essstörungen und dem daraus resultierenden Zeit-, Energie- und Geldaufwand“, schreibt Sobey auf Anfrage von netzpolitik.org. KI-Generatoren würden diesen Trend verstärken.

Unrealistisch dünne Körper als Standard

Für die Untersuchung verfasste die Forscherin 20 Anweisungen, auch Prompts genannt, zum Erstellen von Bildern mit generativer KI. Alle Darstellungen sollten Personen in unterschiedlichen Situationen zeigen. Manche Prompts erhielten als Zusatz eine medizinische Beschreibung größerer Körper wie „übergewichtig“ oder den Begriff „fat“, zu deutsch „fett“. Das häufig abwertend verwendete Wort wurde von Aktivist*innen zurückerobert und wird inzwischen von vielen Menschen als positive Selbstbezeichnung verwendet.

Die Prompts ließ die Wissenschaftlerin durch neun öffentlich zugängliche Bildgeneratoren laufen, darunter Adobe Firefly, Canva, Runway ML und Stable Diffusion. Ohne den Zusatz „fat“ zeigten die meisten Bilder Menschen mit sogenannter „Sample Size“. Also Menschen, die zu einer besonders dünnen Untergruppe der nicht-dicken Menschen gehören, mit für die meisten Menschen unrealistischen Maßen.

Größere Körper hingegen wurden fast ausschließlich nur nach ausdrücklicher Aufforderung gezeigt – oder gar nicht. Manche KI-Generatoren stuften die Prompts mit dem Wort „fat“ als schädlich ein. Sie verweigerten den Dienst und produzierten keine Bilder.

Verzerrte Darstellungen

Auch waren die Bilder von dicken Menschen öfters fehlerhaft als die von dünnen Menschen. Bilder sind dann fehlerhaft, wenn die KI bestimmte anatomische Details wie einzelne Finger oder den Winkel eines Arms nicht passend nachahmen kann und deswegen unnatürlich aussehen. Aisha Sobey schließt daraus, dass die Systeme mit Datensätzen trainiert werden, in denen Abbildungen von dicken Menschen unterrepräsentiert sind. Bemerkenswert ist zudem, dass Bilder mit dem Prompt „fat“ übermäßig viele weiße Männer zeigen.

Ebenfalls auffällig sind die unterschiedlichen Gesichtsausdrücke, die die Personen in den verschiedenen Bildern tragen. Fast 25 Prozent der dargestellten dicken Personen haben laut Studie einen negativen Gesichtsausdruck, im Vergleich zu nur drei Prozent der Menschen, die ohne den Prompt „fat“ generiert wurden.

Menschen mit Behinderungen werden von generativer KI ebenfalls unterrepräsentiert. Von den insgesamt 649 generierten Bildern zeigte nur eines eine Person mit äußerlich erkennbarer körperlicher Einschränkung.

Darstellungen von dicken Menschen zeigten zudem deutlich häufiger Personen mit Charakteristika, die gemeinhin mit Lernbehinderungen, Downsyndrom und anderen Behinderungen assoziiert werden. Die Forscherin fand diese Darstellungen bei acht Prozent der Bilder, die mit dem Prompt „fat“ generiert wurden, und nur bei zwei Prozent der Abbildungen ohne den Zusatz.

KI kann Unzufriedenheit schüren

Wissenschaftler*innen bezeichnen generative Künstliche Intelligenz auch als Spiegel der Gesellschaft. Trainiert werden die Systeme mit großen Datenmengen, die oft aus dem Internet abgeschöpft werden. Die Diversität der verwendeten Daten steht dabei in engem Zusammenhang mit der Diversität der generierten Inhalte. Die für das Training verwendeten Datensätze scheinen also große Körper nur unzulänglich abzubilden.

Sie spiegeln damit einen online immer noch vorherrschenden Standard wider, bei dem überdurchschnittlich dünne und weiße Körper ohne Behinderungen als Norm dargestellt werden. Allerdings scheint generative KI das Problem nicht nur fortzuschreiben, sondern sogar zu verschärfen, denn KI-generierte Bilder, die diskriminierende Körperbilder repräsentieren, werden wiederum für das Training der Generatoren verwendet.

Über die Sozialen Medien sickern die diskriminierenden Bilder zudem in unsere kollektive Vorstellungswelt ein. AI Forensics, ein europäischer Verein, der undurchsichtige Algorithmen überprüft, nahm im Juli 2025 eine Stichprobe und fand, dass ungefähr jedes vierte Video auf TikTok von KI generiert war. Der Unterschied zu menschlichen Creatoren ist, dass KI ausschließlich in den Trainings-Datensätzen vorhandene Muster reproduzieren kann, während Menschen umdenken und ihre Einstellungen ändern können.

„Die [durch generative KI] implizierten Erwartungen folgen einer langen Tradition von Modell- und Idealkörpern, aber ich würde sagen, dass es durch generative KI viel heimtückischer ist“, so Aisha Sobey gegenüber netzpolitik.org. Aus ihrer Sicht stärkt generative KI jene Systeme, „die Fettleibigkeit verteufeln und die Unsicherheiten der Menschen ausnutzen“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die deutsche Vertretung in Brüssel beschwert sich über den Widerstand gegen die Chatkontrolle. Das geht aus einem internen Drahtbericht hervor, den wir veröffentlichen. Die Diplomaten wollen, dass Deutschland der Chatkontrolle zustimmt – und kritisieren sogar die Justizministerin.

Befürworter der Chatkontrolle beschweren sich über die politische Gegenwehr. Sie wollen das Framing „Chatkontrolle“ loswerden und stattdessen über „Kinderschutz“ sprechen.

Die deutsche Botschaft in Brüssel hat letzte Woche einen Drahtbericht an die Bundesregierung verschickt. Innenpolitiker der Ständigen Vertretung fordern darin, dass Deutschland dem Chatkontrolle-Gesetz zustimmt. Wir veröffentlichen das Dokument in Volltext: „Es geht um Kinderschutz, nicht um ‚Chatkontrolle‘. Keine Verordnung ist auch keine Lösung.“

Diplomaten sind eigentlich diplomatisch. Sie vertreten ihren Staat und ihre Regierung im Ausland. Diplomaten handeln nicht nach ihren eigenen Überzeugungen, sondern nach Weisungen ihrer Regierung. Vor diesem Hintergrund ist der Ton dieses Drahtberichts ungewöhnlich.

Anlasslose Chatkontrolle tabu

Anfang Oktober verkündete Justizministerin Stefanie Hubig (SPD): „Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein. Private Kommunikation darf nie unter Generalverdacht stehen.“

Am selben Tag machte Regierungs-Sprecher Stefan Kornelius widersprüchliche Äußerungen. Einerseits sagte er: „Die Bundesregierung hat stets betont, dass die anlasslose Chatkontrolle für sie ein Tabu ist“. Andererseite sagte er: „Wir machen hier keine Chatkontrolle. Es geht in diesem Verfahren darum, Prävention im Fall von Kindsmissbrauch durchzusetzen.“

Die Botschaft in Brüssel widerspricht der Ministerin ebenfalls. Die Diplomaten schreiben: „‚Wir wollen keine anlasslose Chatkontrolle‘, schallt es aus Berlin, obwohl selbige in Brüssel niemand fordert.“ Und: „Es geht um Kinderschutz, nicht um ‚Chatkontrolle‘.“

Irreführend bis falsch

Diese Aussagen sind irreführend bis falsch. Der Gesetzentwurf soll Internet-Dienste verpflichten, die Kommunikation ihrer Nutzer auf mutmaßliche Straftaten zu durchsuchen. Das Gesetz will Kinderschutz durch Chatkontrolle, nicht Kinderschutz statt Chatkontrolle.

Darüber hinaus fordern manche Politiker bereits eine Ausweitung der Chatkontrolle auf andere Inhalte.

Die EU-Kommission will auf Anordnung Dienste dazu verpflichten, die Chats all ihrer Nutzer zu durchsuchen – auch wenn die Nutzer keiner Straftat verdächtig sind und deshalb keinen Anlass für eine Chatkontrolle geben. Das EU-Parlament will nur Nutzer durchsuchen, die verdächtig sind – also einen Anlass zur Kontrolle geben.

Befürworter argumentieren, dass manche Dienste einen Anlass zur Chatkontrolle geben, zum Beispiel wenn sie Anonymität und Verschlüsselung anbieten. Das erinnert an die anlasslose Massenüberwachung der Geheimdienste wie NSA und BND, die milliardenfach Kommunikation der ganzen Welt abhören – ihr „Anlass“ ist die Suche nach Terroristen. Dieser Definition von „Anlass“ widerspricht unter anderem das Bundesverfassungsgericht.

Lautstarke Internet-Community

Die Innenpolitiker der Botschaft behaupten weiter, dass „eine lautstarke Internet-Community und einige großer Tech-Konzerne“ einen „enormen Druck“ aufbauen und „die Wahrnehmung im politischen Raum und der Öffentlichkeit einseitig prägen“. Demgegenüber falle es „den Kinderschutzorganisationen schwer, im öffentlichen Diskurs Gehör zu finden“.

Als Beleg für das mangelnde Gehör nennt die Vertretung eine Veranstaltung in Brüssel. Organisiert wurde die Veranstaltung von über 70 Kinderschutz-NGOs. Kinderschutz-Organisationen wie der Deutsche Kinderschutzbund, die eine Chatkontrolle ablehnen, waren offenbar nicht dabei.

Lobbyismus auf höchster Ebene

Zur Begrüßung sprachen der EU-Innenkommissar Magnus Brunner und die deutsche Missbrauchsbeauftragte Kerstin Claus. Auf dem Podium diskutierten die Kinderschützer mit Europol-Polizisten, Kommissions-Beamten und EU-Abgeordneten.

Eine Kinderschutz-Referentin von ECPAT Deutschland und die Geschäftsführerin der Internet Watch Foundation haben sogar eigene Gesprächstermine mit der Ständigen Vertretung bekommen. Vor zwei Jahren haben Recherchen aufgedeckt, wie Tech-Firmen, Stiftungen, Sicherheitsbehörden und PR-Agenturen auf höchster EU-Ebene für die Chatkontrolle lobbyieren.

Im Gegensatz dazu werden Vertreter der digitalen Zivilgesellschaft immer wieder ausgegrenzt und ausgeladen.

Chatkontrolle für WhatsApp und Signal

Die Missbrauchsbeauftragte Kerstin Claus sagte auf der Veranstaltung: „Hauptziel der CSA-Verordnung ist, Kinder vor Missbrauch und Ausbeutung online und offline zu schützen, nicht Massenüberwachung europäischer Bürger. Ja, wir müssen darüber diskutieren, welche Schutzmaßnahmen oder Einschränkungen wir benötigen, um Verstöße gegen die Privatsphäre der Kommunikation auszugleichen.“

Claus befürwortet offenbar eine Chatkontrolle. Vor drei Jahren warb sie für „ein gestuftes Verfahren bei der Chatkontrolle“ – explizit für „Chat-Dienste wie WhatsApp, Signal sowie E-Mail-Anbieter“.

Webseiten in Deutschland

Auf der Konferenz notierten die deutschen Vertreter: „62% der Webseiten mit Darstellungen des sexuellen Missbrauchs von Kindern werden in Europa gehostet.“ Die Quelle dafür ist die Internet Watch Foundation 2022.  Weiter schreiben sie: „Die Anzahl der aus Deutschland gehosteten Seiten hat sich allein zwischen 2020 und 2022 verzehnfacht.“ Auch das stammt von der Internet Watch Foundation 2022.

Diese Zahlen widersprechen denen der Bundesregierung. Laut Bundeskriminalamt sind fast die Hälfte der Verdachtsmeldungen aus den USA nach deutschem Recht strafrechtlich nicht relevant.

Bundeskriminalamt und Meldestellen erhielten 2020 relevante 1.728 Fälle und 2022 7.868 Fälle. Wenn die Polizei aktiv wird, sind diese Inhalte schnell weg. Über 99 Prozent dieser Inhalte werden innerhalb einer Woche erfolgreich gelöscht.

Immer wieder könnte die Polizei pädokriminelle Inhalte löschen, tut das aber nicht. Eine Bund-Länder-Gruppe hat einen Bericht dazu verfasst. Der soll jedoch geheim bleiben und nicht öffentlich werden.

Deutsche Sprachlosigkeit

Die deutsche Vertretung betitelt den Drahtbericht mit dem Satz „Keine Verordnung ist auch keine Lösung.“ Der erste Satz lautet: „Der Kampf gegen den sexuellen Missbrauch von Kindern droht auf EU-Ebene aufgrund der deutschen Sprachlosigkeit verloren zu gehen.“

Diese Absolutheit irritiert. Selbst vehemente Kritiker der Chatkontrolle sind nicht gegen die Bekämpfung von Missbrauch oder das gesamte Gesetz. Im Gegenteil, es gibt viele sinnvolle Vorschläge für besseren Kinderschutz im Internet. Diese werden aber von der Chatkontrolle überschattet.

Das EU-Parlament hat einen Verhandlungsentwurf beschlossen, der anlasslose Chatkontrolle ausschließt. Stattdessen sollen Internet-Dienste mehr Kinderschutz-Mechanismen einführen, wie eine Zustimmung zu unaufgeforderten Nachrichten und bessere Optionen zum Blockieren und Stummschalten. Die EU-Staaten könnten diese Position einfach übernehmen.

Stattdessen prognostiziert der Bericht, dass „noch ein schwieriger Trilog mit dem EU-Parlament wartet“. Das klingt, als ob die Innenpolitiker in Brüssel die parlamentarische Ablehnung der Chatkontrolle bedauern und in den anstehenden Verhandlungen wieder ändern wollen.

Endlich sprechfähig sein

Heute haben die Ständigen Vertreter der EU-Staaten über die Chatkontrolle verhandelt. Im Vorfeld forderte die deutsche Vertretung von der Bundesregierung: „Deutschland muss endlich sprechfähig sein.“

Hier das Dokument in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 29. Oktober 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BKAmt, BMI, BMJV, BMBFSFJ, BMWE, BMG
• Betreff: VO-Vorschlag Child Sexual Abuse: Es geht um Kinderschutz, nicht um „Chatkontrolle“. Keine Verordnung ist auch keine Lösung.
• Bezug: DKOR vom 29.07.2025 (BRUEEU_2025-07-29_67559)
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80
• DKOR-ID: BRUEEU_2025-10-29_64445

VO-Vorschlag Child Sexual Abuse: Es geht um Kinderschutz, nicht um „Chatkontrolle“. Keine Verordnung ist auch keine Lösung.

I. Zusammenfassung und Wertung

Der Kampf gegen den sexuellen Missbrauch von Kindern droht auf EU-Ebene aufgrund der deutschen Sprachlosigkeit verloren zu gehen. Wo es um die brutalste und perverseste Form des Missbrauchs von Kindern (insbesondere auch Säuglingen und Kleinkindern) geht, wird in Deutschland eine datenschutz- und verfassungsrechtliche Debatte geführt, die in ihrer Einseitigkeit irritiert. „Wir wollen keine anlasslose Chatkontrolle“, schallt es aus Berlin, obwohl selbige in Brüssel niemand fordert. Eine Antwort auf die uns seit Monaten gestellte Frage, was wir eigentlich wollen und wie Pädokriminelle im Netz entdeckt werden sollen, bleiben wir hingegen schuldig – trotz maximaler Kooperations- und Kompromissbereitschaft der dänischen Ratspräsidentschaft, die nach langem Warten auf unsere Vorschläge zur „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ inzwischen aber zu realisieren beginnt, dass sie – bei welchem Lösungsansatz auch immer – ohne uns planen muss.

In Brüssel wird die deutsche Nichtpositionierung heftig kritisiert und maßgeblich dafür verantwortlich gemacht, dass die dringend erforderliche Einigung im Rat nicht erfolgen kann. Klar ist, dass wir (wie andere MS) unter enormen Druck einer lautstarken Internet-Community und einiger großer Tech-Konzerne stehen, die die Wahrnehmung im politischen Raum und der Öffentlichkeit einseitig prägen.

Dass es den Kinderschutzorganisationen demgegenüber schwerfällt, im öffentlichen Diskurs Gehör zu finden, wurde auch hier in Brüssel anlässlich einer Konferenz der European Child Sexual Abuse Legislation Advocacy Group (ECLAG) sowie einiger begleitend geführter Gespräche der StäV deutlich. Es lohnte aber, zuzuhören.

Rund 29,2 Millionen Fälle mutmaßlichen sexuellen Missbrauchs von Kindern gab es im Jahr 2024 ausweislich eines Berichts des „National Center for Missing and Exploited Children“ (NCMEC), einer gemeinnützigen Organisation, die 1984 vom Kongress der Vereinigten Staaten gegründet wurde und bei ihr eingehende Meldungen zu sexuellen Missbrauchsdarstellungen nach einer Überprüfung an die zuständigen Strafverfolgungsbehörden u.a. in Deutschland und Europa weiterleitet. Diese Meldungen enthielten insgesamt 62,9 Millionen Missbrauchsdarstellungen. Anders formuliert: In jeder Minute gibt es nachweislich 55 Fälle mutmaßlichen sexuellen Kindesmissbrauchs und 120 Fotos oder Videos dazu. Zudem geht das BKA von einem sehr hohen Dunkelfeld aus. Eine nähere Auswertung von rund 580.000 Bildern mit 650.000 sexuell missbrauchten Kindern durch die Internet Watch Foundation ergab, ebenfalls für das Jahr 2024, dass die Opfer meist zwischen 7 und 10 (228.928 Fälle, i.e. 35%) oder aber zwischen 11 und 13 Jahre alt sind (217.780 Fälle / 33,5%). In 101.240 Fällen, also rund einem Sechstel der untersuchten Bilder, sind die Opfer zwischen 3 und 6 Jahre alt. Auf immerhin 13.032 Bildern (2%) finden sich Säuglinge und Kleinkinder zwischen 0 und 2 Jahren, die meist besonders schwerem sexuellen Missbrauch ausgesetzt sind (sog. „Kategorie A“: Penetration, Sex mit Tieren und/oder Sadismus).

Im Jahr 2025 zeigt sich bislang ein derart dramatischer Anstieg der Zahlen, dass sich das NCMEC erstmals zu einem Halbjahresbericht veranlasst sah. Im Vergleich zum ersten Halbjahr 2024 ergab sich fast eine Verdopplung der Zahlen beim sog. „Online Enticement“ (Anlocken einer Person über das Internet, oft um sie zu einer bestimmten Handlung zu bewegen) von 292.951 auf 518.720. Der Sexhandel mit Kindern stieg von 5.976 auf 62.891 Fälle. Die Zahl KI-generierter Missbrauchsdarstellungen erhöhte sich von 6.835 auf 440.419.

62% der Webseiten mit Darstellungen des sexuellen Missbrauchs von Kindern werden in Europa gehostet. Die Anzahl der aus Deutschland gehosteten Seiten hat sich allein zwischen 2020 und 2022 verzehnfacht. Nach einer Untersuchung von „Protect Children“ ist Deutsch zudem die vierthäufigste Sprache von Nutzern, die im Darknet kinderpornographische Bilder und Filme suchen und anschauen (nach Englisch, Spanisch und Russisch).

Vor diesem Hintergrund sahen auf der o.g. Konferenz sowohl Magnus Brunner, Kommissar für Inneres und Migration, als auch Kerstin Claus, Unabhängige Beauftragte für Fragen des sexuellen Kindesmissbrauchs in Deutschland, dringenden Handlungsbedarf. Eine „Nicht-Verabschiedung der Verordnung sei keine Lösung“, so Kerstin Claus. Sexueller Missbrauch sei der schwerste Verstoß gegen Kinderrechte. Es sei wichtig, dass dies auch in der öffentlichen Diskussion wahrgenommen und berücksichtigt werde („a shift of mindset is necessary“). MdEP Jeroen Lenaers, EPP NLD, schloss sich diesem Appell an. Es gehe vor allem nicht um „Chatkontrolle“, sondern um Kinderschutz. Man müsse sich auf den tatsächlichen Inhalt der Verordnung konzentrieren und den politischen Entscheidungsträgern „real life stories“ nahebringen. Eine Vertreterin von Microsoft plädierte für eine gesetzliche Regelung, da eine solche den Status-quo verbessern würde und staatliche Akteure sich zudem nicht allein auf freiwillige kooperierende Diensteanbieter verlassen sollten. Weitere Diskussionsteilnehmer stellten ebenso auf den dringend notwendigen Schutz der Kinder ab. Die EU stünden nun vor der Wahl, zu handeln oder das Phänomen zu ignorieren. Jeder weitere Tag des Nichthandels führe zu irrreversiblen Schäden.

Wir lassen mit unserer eingangs skizzierten Sprachlosigkeit gerade die Gelegenheit verstreichen, die Verhandlungen im Rat zu prägen und den Kindesschutz grundrechtskonform zu verbessern.

Schlimmer noch: Wir sind drauf und dran dafür zu sorgen, dass sich die Rechtslage verschlechtert und sexueller Missbrauch von Kindern und Säuglingen künftig nur noch in Ausnahmefällen entdeckt, beendet, verfolgt und bestraft werden kann. Derzeit können Diensteanbieter auf Basis der sog. Interims-VO noch freiwillig nach Missbrauchsdarstellungen von Kindern in ihren Diensten suchen und diese melden. Diese Möglichkeit wird mit dem Auslaufen der Interims-VO im April wegfallen. Die online gestellten Bilder und Videos sind für die Polizei aber oft die einzige Möglichkeit, um auf Fälle sexuellen Missbrauchs aufmerksam zu werden, auch weil Kinder selten über ihren Missbrauch sprechen und oft erst Jahre später verstehen, dass sie Opfer einer Straftat geworden sind. Eine schnellstmögliche Einigung des Rates auf eine allgemeine Ausrichtung ist vor diesem Hintergrund dringend geboten (siehe auch schon Bezugs-DKOR).

II. Handlungsempfehlungen

Nach drei Jahren Verhandlungen mit insgesamt 47 Sitzungen im Rat sollte auch Deutschland eine Position zu der Frage finden, wie der massenhaft stattfindende sexuelle Missbrauch von Kindern bekämpft werden kann. Im AStV vom 5. November muss Deutschland endlich sprechfähig sein. Die Zeit drängt, da nach der zunächst erforderlichen Positionierung des Rates noch ein schwieriger Trilog mit dem EP wartet, der vor dem Auslaufen der Interim-VO abgeschlossen sein sollte.

III. Im Einzelnen

Zum in der Öffentlichkeit ausschließlich unter Datenschutz/Schutz privater Kommunikation Aspekten diskutierte Vorschlag einer „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ (CSA–VO) fand am 16.10. eine Veranstaltung des der European Child Sexual Abuse Legislation Advocacy Group (ECLAG) unter dem Titel „Back to basics: Fighting sexual abuse with children at the centre“ statt. ECLAG vereint mehr als 70 europäische und internationale NRO im Bereich des Schutzes von Kindern, u.a. Terre des Hommes, Eurochild, ECPAT International, Internet Watch Foundation und Thorn.

In ihren Begrüßungsansprachen machten sowohl Magnus Brunner, Kommissar für Inneres und Migration, als auch Kerstin Claus, Unabhängige Beauftragte für Fragen des sexuellen Kindesmissbrauchs, klar, dass eine Verpflichtung der Diensteanbieter beim Schutz von Kindern vor sexuellem Missbrauch online sowie bei der Bekämpfung der Verbreitung von Missbrauchsdarstellungen (im Folgenden: CSAM) dringend notwendig sei.

Fiona Jennings, Irish Society for the Prevention of Cruelty to Children (ISPCC), unterstrich, dass sexueller Missbrauch von Kindern historische Ausmaße erreicht habe. Anton Toni Klančnik, Specialist in AP Twins, Europol, unterlegte diese Aussage. Insbesondere Grooming sei ein wachsendes Problem. Für Europol sei es immer eine Priorität, anhand gemeldeter Bilder und Filme das Opfer zu identifizieren. So habe man in einer 2-wöchigen Task Force mehr als 50 Opfer entdeckt und identifiziert. Er erwähnte ebenso die Operation „Cumberland“ (KI-generierte Missbrauchsdarstellungen, 19 Länder, 273 Verdächtige, 25 Festnahmen, Stand Feb 2025). Erschreckend sei auch, dass es sogenannte Pädo-Handbücher mit detaillierten Anleitungen zu sexuellem Missbrauch von Kindern gäbe.

Antonio Labrador Jimenez, DG Home European Commission, stellte klar, dass die CSA–VO einen Fokus auf Prävention setzte und in großen Teilen unumstritten sei. So werde z.B. die Einrichtung eines EU-Zentrums einstimmig begrüßt. Lediglich zu den sogenannten Detection Orders (Aufdeckungsanordnungen) gäbe es noch keine Einigung. Es sei nicht sinnvoll, sich auf Meldungen von Opfern oder ihren Angehörigen zu verlassen. Kinder würden sich nicht melden, weil sie entweder zu jung oder zu verängstigt seien. Eltern oder soziales Umfeld seien oft unwissend oder gar selbst Täter. Es sei gut, dass die Diensteanbieter Erfahrung bei der Aufdeckung von CSAM hätten. Man dürfe aber nicht außer Acht lassen, dass mittlerweile 80% der bei NCMEC eingehenden Berichte aus privater Kommunikation sei. Der VO-Entwurf stelle auch nicht auf Fragen der verschlüsselten Kommunikation ab, sondern sei bewusst technologieneutral gehalten. Fakt sei aber z.B. ein deutlicher Rückgang der Meldungen seitens Facebook, nachdem dort Ende-zu-Ende-Verschlüsselung im Messenger eingeführt worden sei. Man müsse sich zudem die Frage stellen, warum in der öffentlichen Diskussion immer Art. 7 der Grundrechtecharta der EU (Achtung der Kommunikation) über die Rechte der Kinder z.B. aus Art. 3 (Recht auf körperliche Unversehrtheit) und Art. 4 (Verbot der Folter und unmenschlicher oder erniedrigender Strafe oder Behandlung) gestellt werde. Wenn eines der Grundrechte Vorrang haben könne, dann wohl eher Art. 3, da sexueller Missbrauch von Kindern eindeutig eine unmenschliche und erniedrigende Behandlung darstelle.

MEP Jeroen Lenaers (Niederlande, EPP), Berichterstatter zur Überarbeitung der CSA-Richtlinie, nannte es einen Skandal, dass der Rat sich immer noch nicht auf eine Position geeinigt habe und zugleich die MS der blocking minority keine Ideen zur Kompromissfindung einbrächten. Man müsse auch ganz deutlich machen, dass es nicht um „Chatkontrolle“ sondern um Kinderschutz ginge. Auch er bedauere, dass der Vorschlag in der Öffentlichkeit komplett einseitig wahrgenommen werde und man mittlerweile nicht mehr über den Inhalt diskutiere. Die Position des EP zur CSA–VO sei sicher nicht optimal, aber man sei zumindest bereit für den Trilog und damit für ein Vorankommen des Vorschlags. Bei der CSA-Richtlinie komme man im Trilog leider auch nicht voran, da die Ambitionen der MS sehr gering seien.

Das zweite Podium der Veranstaltung konzentrierte sich auf technologische Aspekte.

Jasper van Heugten, KI-Experte, stellte klar, dass es bereits verlässliche Technologien zur Feststellung von CSAM gebe. Dies würden nicht unbedingt einen Eingriff in die Privatsphäre oder eine Berichtsautomatismus enthalten. Die Prämisse müsse allerdings sein, dass die gemeinsamen Werte die Technik bestimmen müsse, nicht umgekehrt. Auch sei es sinnvoll, für unterschiedliche Plattformen spezifische Technologien zu entwickeln. Bei der Diskussion zur Aufdeckung von Grooming müsse klargestellt werden, dass die Wortwahl eindeutig und deutliche unterscheidbar von normaler Kommunikation sei.

Lea Peters, ECPAT Germany, erinnerte daran, dass das Internet in seinen Anfängen nicht für Kinder designed worden sei. Mittlerweile enthalte aber fast jeder sexuelle Missbrauch von Kindern auch eine online-Komponente.

Julie Guichard, Microsoft, erläuterte die Maßnahmen von Microsoft in den Chatfunktionen der Xbox. Die KI-gestützte Software erfasse 90 Sprachen. In 2025 habe Microsoft 4,5 Millionen Inhalte entfernt, bevor diese weitergeleitet wurden. Es gäbe auch die Möglichkeit, die Sperrung von privaten Bildern bei Microsoft zu beantragen. Hinsichtlich des Problems KI-generierter Missbrauchsdarstellungen würden die Gegenmaßnahmen von Microsoft derzeit noch halten. Microsoft sehe die Möglichkeit der freiwilligen Aufdeckung als guten Anreiz für Unternehmen an; auch im Hinblick auf die Weiterentwicklung von Technologien einschließlich der notwendigen Investitionen. Auch Microsoft plädiere dafür, dass eine rechtliche Regelung den Status-quo verbessere. Dazu gehöre, die nicht kooperativen Plattformen zu verpflichten, Prävention zu gewährleisten. Die staatlichen Akteure und Entscheidungsträger dürften sich nicht auf die gutwilligen Betreiber alleine verlassen. Client-Side Scanning werde bereits gemacht, allerdings ohne die Treffer weiterzuleiten. Man dürfe nicht akzeptieren, dass Straftäter sich immer sicherer fühlten. Auch Julie Guichard sah es als wichtig an, klarzumachen, dass es um Aufdeckung und nicht um Überwachung gehe. Auf Nachfrage erläuterte sie, dass Microsoft Xbox Accounts aussetzen und sperren könne, abhängig von der Schwere des Verstoßes. Man kommuniziere dies offen und transparent, um auch dem Nutzer klar zu machen, dass z.B. Grooming Versuche nicht toleriert würden.

Alle im DKOR dargestellten Zahlen stammen aus der vorstehend skizzierten Konferenz und aus Gesprächen, die StäV auf entsprechende Anfragen am 15.10.2025 namentlich mit Lea Peters, Referentin Digitaler Kinderschutz bei ECPAT Deutschland e.V., sowie am heutigen 29.10.2025 mit Kerry Smith, CEO der Internet Watch Foundation, geführt hat. Sie sind im Internet frei zugänglich.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Projekt „Surveillance under Surveillance“ visualisiert Videoüberwachung auf einer Weltkarte. Kurzfristig stand der Weiterbetrieb auf der Kippe, jetzt geht es unter dem Dach des Chaos Computer Club Hamburg weiter.

Die im Jahr 2016 gestartete Weltkarte der Videoüberwachung „SunderS“ ist gerettet. Seit 2016 hatte eine Einzelperson das Projekt betreut, wegen mangelnder persönlicher Kapazitäten war das Projekt nun bedroht. Spontan ist jetzt der Chaos Computer Club Hamburg eingesprungen, und auch der Gründer und  andere haben sich entschieden weiterhin am Projekt mitzuarbeiten.

Der Vorgang zeigt, dass auch langjährige zivilgesellschaftliche Dokumentationsprojekte oft am seidenen Faden hängen. „Nachdem der Weiterbetrieb zeitweise auf der Kippe stand, betreibt nun auch der CCC Hamburg eine Instanz, um das Projekt verfügbar zu halten“, sagt Matthias Marx, Sprecher des Vereins.

Standorte, Typen, Blickrichtung

Unter dem Projektnamen „Surveillance under Surveillance“ werden sogenannte Surveillance-Einträge von OpenStreetMap visualisiert. „Das ist ein wichtiges Projekt, das Überwachung sichtbar macht und zeigt, wie allgegenwärtig Kameras im öffentlichen Raum inzwischen sind. Auf Basis von Openstreetmap-Daten werden Informationen zu Kamera-Standorten, Kamera-Typen und Blickrichtung zugänglich gemacht“, erklärt Marx.

Es handelt sich dabei um Überwachungskameras, die zwar in der Datenbank erfasst, aber nicht auf der regulären OpenStreetMap-Karte angezeigt werden. „Damit schafft SunderS Transparenz über die Überwacher und erinnert daran, dass wir unsere Freiheit aktiv verteidigen müssen“, so Marx weiter.

Das Projekt gibt auch Aufschluss über die Explosion der Videoüberwachung im Verlauf mehrerer Jahre. Bei unserem letzten Bericht über das Projekt im Jahr 2017 waren weltweit etwa 50.000 Kameras kartografiert, heute sind es mehr als 250.000. Die reale Zahl von Kameras liegt allerdings deutlich darüber. Schon im Jahr 2020 ging eine Schätzung von 770 Millionen Überwachungskameras weltweit aus, die Hälfte davon sollte damals in China installiert sein. Da OpenStreetMap ein Mitmachprojekt ist, hängt die Kartografierung an Freiwilligen, die Kameras bei Openstreetmap eintragen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Internet-Dienste sollen nicht zur Chatkontrolle verpflichtet werden, aber mit Chatkontrolle freiwillig das Risiko für Straftaten mindern. Das schlägt die dänische Ratspräsidentschaft in einem Debattenpapier vor. Die EU-Kommission soll später prüfen, ob das reicht – oder nochmal ein Chatkontrolle-Gesetz vorschlagen.

Seit dreieinhalb Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, auf Anordnung die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten können sich im Rat bisher nicht auf eine gemeinsame Position einigen. Letzte Woche hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Euractiv hat den Vorschlag veröffentlicht. Wir veröffentlichen das Dokument ohne Wasserzeichen.

Anderer Ansatz erforderlich

Dänemark erklärt darin den bisherigen Verlauf des Gesetzgebungsverfahrens. Die EU-Staaten haben ganze 37 Mal in der Ratsarbeitsgruppe Strafverfolgung und mehrmals auf Ebene der Ständigen Vertreter verhandelt.

Einigen konnten sie sich nicht. Manche Staaten wollen eine weitreichende verpflichtende Chatkontrolle. Andere Staaten haben „Bedenken hinsichtlich des Schutzes der Grundrechte der Nutzer und der Cybersicherheit“ und „Zweifel hinsichtlich der Verfügbarkeit zuverlässiger und genauer Technologien zur Erkennung“ strafbarer Inhalte.

Deshalb ist Dänemark „der Ansicht, dass ein anderer Ansatz erforderlich ist“.

Verpflichtende Chatkontrolle streichen

Dänemark schlägt vor, im Gesetzentwurf den ganzen Abschnitt zu „Aufdeckungspflichten“ zu streichen, also Artikel 7 bis 11. Das sind die „Aufdeckungsanordnungen“, also die Verpflichtung zur Chatkontrolle.

Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation will Dänemark hingegen „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle war seit 2002 verboten, ist seit 2021 vorübergehend erlaubt, mit dem Gesetz soll sie dauerhaft erlaubt werden.

Risiko für Straftaten mindern

Internet-Dienste sollen das Risiko mindern, dass ihre Dienste für Straftaten genutzt werden. Dazu zählt unter anderem eine Altersüberprüfung. Jetzt soll auch die freiwillige Chatkontrolle als mögliche Minderungsmaßnahme gelten.

Dienste, die ein „hohes Risiko“ haben, für Straftaten genutzt zu werden, sollten „weiterhin verpflichtet werden, Maßnahmen zur Entwicklung relevanter Technologien zu ergreifen, um das Risiko des sexuellen Missbrauchs von Kindern, das auf ihren Diensten festgestellt wurde, zu mindern“.

Sprungbrett für weitere Arbeiten

Dänemark will die verpflichtende Chatkontrolle aber nicht vollständig aufgeben. Die Ratspräsidentschaft will eine „Überprüfungsklausel“ einführen. Die fordert die EU-Kommission auf, „die Notwendigkeit und Durchführbarkeit der künftigen Aufnahme von Aufdeckungspflichten unter Berücksichtigung der technologischen Entwicklungen zu bewerten“. Das kann „zu einem neuen Legislativvorschlag der Kommission führen“.

Die EU-Kommission hat die verpflichtende Chatkontrolle überhaupt erst vorgeschlagen und treibt sie unermüdlich voran. Dänemark schlägt also vor, dass die Kommission die freiwillige Chatkontrolle bewerten soll. Wenn es ihr nicht reicht, soll sie nochmal ein EU-Gesetz mit verpflichtender Chatkontrolle vorschlagen.

Die Ratspräsidentschaft bezeichnet den Kompromissvorschlag „als Sprungbrett für weitere Arbeiten zum Schutz von Kindern im Internet“.

Zustimmung nicht absehbar

Ob die EU-Staaten diesen Kompromiss mitgehen, ist bisher nicht absehbar. Im ersten Halbjahr hat die polnische Ratspräsidentschaft einen sehr ähnlichen Vorschlag gemacht. Dieser Vorschlag fand nicht genug Zustimmung, die Mehrheit der EU-Staaten beharrte auf verpflichtender Chatkontrolle.

Morgen tagen die Ständigen Vertreter der EU-Staaten erneut und diskutieren den Vorschlag.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In den USA übernehmen private Plattformen und Konzerne immer mehr staatliche Funktionen. Wissenschaftler:innen machen dieses System nun sichtbar: Auf einer interaktiven Webseite zeigen sie den „Authoritarian Stack“ und wie dieser zunehmend auch nach Europa greift.

Im Juli dieses Jahres hat das Pentagon einen 10-Milliarden-Dollar-Vertrag mit dem Unternehmen Palantir abgeschlossen. Für die Wirtschafts- und Sozialwissenschaftlerin Francesca Bria haben die USA damit zentrale militärische Funktionen an ein privates Unternehmen übergeben, dessen Gründer Peter Thiel erklärt hat, dass „Freiheit und Demokratie nicht mehr miteinander vereinbar sind“.

Ausgehend von diesem Deal zeichnet Bria, die sich zuletzt eingehend mit der Frage nach digitaler Souveränität in Europa beschäftigt hat, ein düsteres Bild auch für die politische Zukunft Europas. In den USA habe sich ein „Authoritarian Stack“ gebildet, der eine Infrastruktur der Kontrolle aufbaue – und zwar in den Bereichen Cloud, KI, Finanzen, Drohnen und Satelliten, schreibt sie. Es entstünde ein Bereich, in dem nicht die allgemeinen Gesetze gelten, sondern Unternehmensvorstände die Regeln festlegen würden.

Auf der englischsprachigen Webseite authoritarian-stack.info zeigen Wissenschaftler:innen jetzt die personellen und finanziellen Verbindungen hinter dem „Authoritarian Stack“ auf – und warnen davor, das Modell nach Europa zu exportieren. Das Projekt kartiert mit interaktiven Grafiken ein Netzwerk aus Unternehmen, Fonds und politischen Akteuren, die zentrale staatliche Funktionen in private Plattformen umwandeln. Es basiert auf einem Open-Source-Datensatz mit über 250 Akteuren, Tausenden von verifizierten Verbindungen und dokumentierten Finanzströmen in Höhe von 45 Milliarden US-Dollar.

„Systematische Auslagerung der europäischen Souveränität“

Dieses Netzwerk teilen die Wissenschaftler:innen auf in die Bereiche Unternehmen, Staat, Risikokapital und Ideologie und zeigen die Querverbindungen zwischen diesen Bereichen. Dabei nimmt das Projekt auch europäische Verstrickungen zum Authoritarian Stack ins Visier, zum Beispiel die Verbindung von Springer-Chef Mathias Döpfner zu Peter Thiel, die Verbindungen von deutschen Landespolizeien zu Palantir oder die von Rheinmetall zum Rüstungskonzern Anduril. In der interaktiven Grafik lässt sich per Schieberegler die europäische Perspektive anzeigen.

Francesca Bria warnt angesichts der Erkenntnisse deutlich, dass Europa vor einer existenziellen Entscheidung stehe: „Entweder jetzt echte technologische Souveränität aufbauen oder die Herrschaft von Plattformen akzeptieren, deren Architekten Demokratie als veraltetes Betriebssystem betrachten“, heißt es auf der Seite. Derzeit verfolge Europa eine „systematische Auslagerung der europäischen Souveränität an amerikanische Oligarchen“, die sich mit jedem Vertrag vertiefe und irgendwann unumkehrbar werde.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Our latest investigation has shaken up Brussels by revealing that commercial datasets containing 278 million locations can be used to spy on the EU and NATO. The European Commission has expressed its concern, Members of Parliament are calling for action. One thing is clear: ad tracking and data brokers threaten Europe’s security.

A German version of this article was published under the title „Das Wichtigste zur Spionage-Gefahr durch Handy-Standortdaten in der EU“.

New datasets containing millions of mobile phone location data reveal how easily the European Union can be spied on using data from the advertising industry. The investigative team obtained the data as free samples offered by data brokers to potential subscribers – and was able to use them to trace the movements of high-ranking EU personnel. The dataset even includes location pings from inside NATO headquarters in Brussels.

„We are concerned with the trade of geolocation data from citizens and Commission officials,“ the European Commission said in response to the findings. Members of the European Parliament describe the situation as a threat to Europe’s security and are calling for legislative action to curb rampant ad tracking and the largely uncontrolled trade of personal data.

The investigation published today together with BR, L’Echo, Le Monde and BNR is part of the Databroker Files. In this project, netzpolitik.org, Bayerischer Rundfunk, and international media partners have been shedding light on the global data industry since summer 2024.

Here’s an overview of the key questions regarding the current status of the investigation:

• 1. Who is affected by the risk of espionage from mobile location data?
• 2. Why is the trade in tracking data dangerous?
• 3. How do these sensitive data end up with data brokers?
• 4. Why doesn’t the GDPR stop data brokers?
• 5. What needs to be done to solve the problem?

1. Who is affected by the risk of espionage from mobile location data?

• No place is safe from surveillance using commercially traded mobile location data. Altogether, the investigative team now holds 13 billion location records from almost every EU country, the United States, and many other parts of the world.
• For the part of the investigation focusing on the EU, we analysed 278 million location pings from Belgium, covering a few weeks in both 2024 and 2025. At the Berlaymont building in Brussels – the European Commission’s headquarters – the dataset showed roughly 2,000 location pings from 264 different devices. Within the European Parliament, there were about 5,800 pings from 756 devices, in the NATO headquarters there were 9,600 location pings from 543 devices. The Council of the European Union, the European External Action Service, the European Data Protection Supervisor, and other EU institutions are also affected.
• All records are linked to unique device identifiers, allowing for the reconstruction of movement profiles that often reveal a person’s workplace, home address, and other places they frequent. Such data enables deep insights into people’s lives – from the grocery stores they frequent to trips abroad, and even visits to clinics or brothels.
• Even the limited datasets that we received as free samples led us to identify the home addresses of five individuals who are currently or have previously worked for the EU, including three in senior positions. Among the EU staff we identified are a top official at the Commission, a high-ranking diplomat representing an EU member state, and employees of the European Parliament and the European External Action Service. We also found data linked to a digital rights activist and a journalist.
• Earlier investigations had already shown that similar datasets could be used to spy on senior government officials, military sites, police departments, and even intelligence personnel in Germany – as reported in previous Databroker Files research.
• Independent investigations by colleagues in the Netherlands, Norway, Switzerland and Ireland reached similar conclusions, showing that even critical infrastructure, such as nuclear power plants, can be targeted.

2. Why is the trade in tracking data dangerous?

• The uncontrolled trade of such data not only poses an unprecedented threat to users’ privacy and informational self-determination. In times of an increased risk of espionage, it also endangers Europe’s security. As early as 2021, a study by NATO’s Stratcom research center warned that commercially traded advertising data could be exploited for espionage. Using such data, hostile actors could identify key military personnel, track them, or even monitor military operations. Other potential risks include the blackmail of high-profile individuals and the preparation of sabotage.
• At the Helsinki-based think tank HybridCoE, experts working on behalf of the EU and NATO study ways of counter hybrid threats. In light of our findings, spokesperson Kirsi Pere stated: “Mobile location data could be exploited by hostile actors to facilitate hybrid activities to harm the democratic society and undermine the decision-making capability of a state.​​​​​​​” It seems “only logical,” she added, that China and Russia would use advertising data for such purposes. In wartime, data from the advertising industry could help track military movements.
• In recent years, a dedicated branch of the global surveillance industry has emerged that specializes in harnessing data from the adtech ecosystem and data brokers for intelligence services and government agencies. The technical term is ADINT, short for advertising-based intelligence.
• The Belgian datasets once again illustrate how extensively the advertising industry collects near-meter-accurate location data from millions of people and distributes it globally through data brokers. This represents a new form of mass surveillance that is largely invisible to the public and enables deep intrusion into people’s private lives.

3. How does sensitive data end up with data brokers?

• The sometimes meter-accurate location data originates from smartphone apps and is allegedly collected only for advertising purposes. However, our investigation shows that such data can leak through virtually any commercial app. In January 2025, we reported on a dataset containing 380 million mobile location data points from 137 countries and linked to around 40,000 different apps. Within the advertising ecosystem, hundreds of companies often enjoy largely unrestricted access to such data. Data brokers acquire it, bundle it into packages, and sell it on.
• These datasets are marketed on data marketplaces. One key player identified in our research is Datarade, based in Berlin, whose platform has been used by several journalists to contact providers offering massive troves of European location data. Datarade itself does not process or sell the data, but rather facilitates contact between buyers and sellers.
• Apple and Google enable this form of tracking by assigning phones unique identifiers known as Mobile Advertising IDs.
• Several players in the location data trade are based in the EU. Journalists have repeatedly made contact with brokers via the Berlin-based Datarade marketplace. Germany’s most popular weather app, WetterOnline, shared precise location data with third parties without valid user consent, as confirmed by the competent data protection authority following our reporting. The Lithuania-based marketing firm Eskimi was reportedly a source of mobile location data from Germany for a U.S. data broker, although Eskimi denies this.

4. Why doesn’t the GDPR stop data brokers?

• Data brokers, tracking companies, and app operators involved in the trade of mobile location data claim that their business is legal and that they rely on users’ supposed consent. However, data protection authorities and legal experts – including Germany’s Federal Commissioner for Data Protection, Louisa Specht-Riemenschneider – disagree. The data trade uncovered in the Databroker Files is not compatible with the GDPR for several reasons.
• Under the General Data Protection Regulation, consent must be informed to be valid, meaning users must know who is receiving their data and for what purposes. Yet, location data is often passed on to hundreds of entities and resold multiple times. The GDPR’s purpose limitation principle is also violated when data become a traded commodity without any defined purpose. Moreover, data subject rights, such as the ones to access, correct, or delete personal data, are effectively nullified.
• Location data can also reveal information considered particularly sensitive under the GDPR, such as visits to medical facilities, political party headquarters, religious institutions, or trade union offices. Since mobile data can also disclose home addresses, it is rarely anonymous.
• Until our investigations, data protection authorities had apparently not grasped the full scale of the problem. They are underfunded and typically act only when citizens file complaints about specific data processors, barely scratching the surface of the issue.

5. What needs to be done to solve the problem?

• In response to our findings, civil society organisations such as Germany’s Federation of Consumer Organisations and even the Federal Ministry for Consumer Protection have called, in response to our findings, for a ban on tracking and profiling for advertising purposes, which woul cut off the data trade at its source.
• The European Commission expressed its concern in response to the investigation but saw no immediate need for new regulation. Instead, it argues that the GDPR should be enforced more effectively by national supervisory authorities.
• For the conservative European People’s Party (EPP), German MEP Axel Voss (CDU) commented: „In view of the current geopolitical situation, we must take this threat very seriously and put an end to it.” The EU, he said, must act decisively: “We need a more precise definition of the use of location data and therefore a clear ban on trading particularly sensitive location data for other purposes“. He also called for a Europe-wide registration requirement for data brokers and for the consistent enforcement of existing data protection rules.
• For the Socialists and Democrats (S&D), Spanish MEP Lina Gálvez Muñoz stated that while the EU already has a strong legal framework in place, “we need to keep working on strengthening it and adapting it to the current geopolitical context as well as on implementing and enforcing it.​​​​​​​“
• For the Greens/EFA group, German MEP Alexandra Geese commented: “If the bulk of European personal data remains under the control of U.S. firms and opaque data brokers, defending Europe against a Russian attack becomes markedly more difficult.” She added: “Europe must prohibit large scale data profiling.“

Contact the investigative team and find all netzpolitik.org coverage of the Databroker Files here. Use your browser – for example, Firefox’s built-in translation feature – to quickly translate our German texts into English. The first draft of this text was machine-translated using GPT-4 and then revised by three editors.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Precise locations and revealing movement patterns: the mobile phone location data of millions of people in the EU is up for sale. Collected supposedly only for advertising purposes, this data can also be used for espionage. European data protection is failing – even top EU officials in Brussels are affected. The EU Commission says: ‚We are concerned.“

This is a joint investigation with Bayerischer Rundfunk, L’Echo (Belgium), Le Monde (France), BNR (Netherlands). It is part of the “Databroker Files”. Here’s a summary of the EU-investigation. A German version of this article was published under the title „Datenhändler verkaufen metergenaue Standortdaten von EU-Personal“.

There are detached houses with front gardens in an upmarket district of Brussels, and the political centre of the European Union is not far away. When they are out and about early in the morning, a top EU official only needs about 20 minutes by car to get to their workplace. They work in a unit under the authority of Commission President Ursula von der Leyen at the Berlaymont building, the European Commission’s headquarters. Conveniently, there’s a spa and fitness centre along their way to work – they have passed by it, too.

We know this and more because we have their exact location data. The data even tells us exactly where their office is in the EU Commission building. We discovered their movement patterns, along with those of millions of other Europeans, in commercially traded data.

This data reveals where people live and work, as well as their behaviour and preferences. It can also show visits to clinics, religious buildings, party and trade union headquarters, as well as brothels and swingers‘ clubs.

The investigative team has data records from several data brokers. They are giving these away as a sample — a free preview of what is on offer with a paid subscription. For this investigation, we analysed two new datasets containing around 278 million records of mobile phone locations in Belgium.

Danger of espionage like during the Cold War

Almost ten years ago, a revolution with four letters took place here in Brussels: GDPR. In December 2015, the European Parliament, the Council and the European Commission agreed on the text of the General Data Protection Regulation. It was intended to harmonise the protection of fundamental rights in the digital world with a data-based economy. And it came with the promise of informational self-determination: that people should generally have sovereignty over who does what with their data.

This promise remains unfulfilled to this day. Instead, the Databroker Files reveal an unprecedented loss of privacy that can affect all people who participate in digital life by using apps on smartphones or tablets. The uncontrolled data business is no longer just an issue of consumer and fundamental rights protection; it also poses a threat to Europe’s security.

The risk of espionage in the EU is high, at least since Russia launched its large-scale war of aggression against Ukraine in February 2022. Authorities warn of Russian sabotage suspicious drones violate European airspace, a Chinese spy infiltrated the EU Parliament​​​​ – hardly a month goes by without a new espionage scandal. Back in 2020, the then president of the German domestic intelligence service compared the situation to that of the Cold War.

Those responsible have apparently not yet sufficiently recognised the extent of the danger posed by commercially collected data in this context. When confronted with the results of our research, the EU Commission stated: „We are concerned with the trade of geolocation data from citizens and Commission officials.“ The Commission has now issued new guidance to its staff regarding ad tracking settings on both corporate and private devices. It has also informed other Union entities and Computer Security Incident Response Teams (CSIRTs) in Member States.

In response to this investigation, members of the European Parliament (MEP) are demanding decisive action. „In view of the current geopolitical situation, we must take this threat very seriously and put an end to it,“ writes Axel Voss (CDU) from the conservative EPP group. Lina Gálvez Muñoz, a Spanish MEP from the Socialist Group S&D, calls for the EU to treat the issue „as a priority security threat, not just a privacy concern“. With regard to the military threat posed by Russia, German MEP Alexandra Geese (Greens/EFA) demands: „Europe must prohibit large-scale data profiling.“

Hundreds of potentially sensitive employees targeted

Our investigation shows how easy it is to spy on top EU staff using commercially traded location data. Based only on the preview data sets available to us, and without paying a cent, we were able to spot hundreds of devices belonging to people working for the European Union in sensitive areas. In the EU Commission headquarters alone, there were around 2,000 location pings from 264 different devices. In the European Parliament, there were around 5,800 location pings from 756 devices.

For example, a movement profile illustrates the daily commute of an EU Parliament employee. They travelled from a community near Brussels to the city centre via the urban motorway. The tracking shows how the employee visits several buildings of the EU Parliament, a supermarket and a restaurant.

Furthermore, we found thousands of location pings in various other institutions, ranging from the Council of the European Union to the European External Action Service and the European Data Protection Supervisor. The preview data sets used for this analysis are just the tip of the iceberg. Paid subscriptions promise large-scale mass surveillance with a constant supply of up-to-date location data.

Even with this limited data, we were able to identify the private addresses of five individuals who work or have worked for the EU, including three people in senior positions. Among the EU staff we identified are a the top Commission official mentioned at the beginning, a high-ranking diplomat from an EU country, and employees of the EU Parliament and the European External Action Service. Initially, they were all suspicious when we contacted them. Some preferred to speak to us only briefly or not at all. None of them wanted to be quoted publicly. Two of the individuals in question confirmed to us that the location data indeed shows their place of residence and workplace, as well as their movements in Brussels. We also found a digital rights activist and a journalist in the data, who confirmed its accuracy.

The data travels along winding paths through an opaque ecosystem, beginning with apps that claim to only track users for advertising purposes. Ultimately, it ends up in the hands of data brokers, and, potentially, anyone who asks for it. These could be advertising companies, journalists – or even foreign intelligence services.

Location data is not anonymous

The data sets offered by data brokers do not contain the names or addresses of mobile phone users who are tracked at every step. Nevertheless, we were able to identify several individuals. This was made possible, among other things, by the so-called Mobile Advertising ID, which is a unique identifier for the online advertising industry that Google and Apple automatically assign to each phone.

Each location in our data sets is linked to such an ID. This allows loose data points to be combined to form detailed movement profiles. Places of residence and work can easily be identified because locations are noticeably concentrated here. Particularly in the case of freestanding houses with publicly visible doorbell signs, it quickly becomes clear whose location data is involved. In some cases, the residents of a house can also be identified online, for example in the telephone directory or through the imprint on their website. Our investigation proves that location data is not anonymous.

Reactions to the Databroker Files in political Brussels are often characterised by surprise or nervousness. Even high-ranking employees responsible for data protection and digital regulation would not have expected the precision of openly traded mobile phone location data.

Urgent warning from NATO

NATO also has its headquarters in Brussels. In our sample data sets alone, there are 9,600 mobile phone location pings on NATO premises, recorded by 543 different devices. The alliance is under extraordinary pressure due to the tense military situation and Russian espionage, among other things. What is its response to the findings of our investigation?

„We are fully aware of the general risks that third-party data collction poses to the Alliance“ writes a NATO representative in French. Measures had been taken to mitigate these risks – but when asked, he would not explain what they were.

The fact that the military alliance apparently perceives such cell phone tracking by the advertising industry as a threat is demonstrated by the urgent request made by the NATO representative to the reporters. „We take the security of our staff very seriously, and trust that you will do your utmost not to publish any information that could harm them,“ he writes. „It is essential that no telephone located at NATO headquarters be identified or associated with named persons, and that no telephone linked to NATO be located in any other place.“

The Belgian military also responded to our research after L’Echo’s team discovered movement profiles on Belgian military sites. „We are fully aware of the problem,“ says the press office. The use of private devices is often already prohibited, but not in military quarters. They are working on a new directive that strongly advises personnel not to use applications that allow conclusions about their place of residence or workplace. However, our investigation shows that location data can potentially leak via almost any app

What intelligence services can do with advertising data

Several years ago, a study by the NATO research centre Stratcom (Strategic Communications Centre of Excellence) highlighted that such data poses a threat not only to our privacy, but also to military security. With the help of such data, enemy actors would be able to identify and spy on key military personnel or track military operations.

Neither NATO nor the EU or its member states have been able to find an antidote since then. In 2024, together with Bayerischer Rundfunk, we analysed commercially traded location data from Germany to demonstrate how it can be exploited to identify and spy on high-ranking government officials, as well as members of the military and intelligence services. Using the data, the most important US and NATO bases in Germany could also be spied on. It even revealed visits to brothels​​. We obtained the data from a US data broker, mediated through a Berlin-based data marketplace.

Similar journalistic investigations from European countries such as the Netherlands, Norway and Switzerland have also proven the problem. The new research by our partner L’Echo today demonstrates how vulnerable Belgium is due to openly traded location data. Police forces, prisons and critical infrastructure, such as nuclear power plants, can be spied on.

The dangerous business of advertising intelligence

If the investigative team was able to target high-ranking EU personnel with just two free data samples and these simple methods, what could well-resourced intelligence services or other malicious actors achieve with commercially available data?

In recent years, a new branch of the global surveillance industry has emerged. It specialises in making data from the online advertising ecosystem available to government agencies. The US company Babel Street, for example, claims to have developed a kind of „Google Maps for mobile phones“ with its service Locate X. The system is said to allow law enforcement agencies to easily track down individuals.​​​​​​​

The technical term for this is „ADINT“, which stands for Advertising Based Intelligence. The dangers posed by ADINT, for example from foreign intelligence services, can be described as hybrid threats. This term describes attacks that are not overtly military in nature, such as espionage or sabotage.

Researchers warn: „Extremely worrying“ ​​​​​​

At the Helsinki-based research centre Hybrid CoE, experts from several disciplines are conducting research on behalf of the EU and NATO into defending against hybrid threats. Regarding the results of our investigation, spokesperson Kirsi Pere writes: „Mobile location data could be exploited by hostile actors to facilitate hybrid activities to harm the democratic society and undermine the decision-making capability of a state.​​​​​​​“

As Pere explains, it seems „only logical“ for China and Russia to acquire​​​​ data from the advertising industry. It could be used, for example, to track people who oppose the regime or attend mass protests. High-ranking individuals abroad could be identified and spied on, including politicians and journalists, members of the government, the military, and the secret services. In wartime, data from the advertising industry could be used to track military movements.

Corbinian Ruckerbauer researches surveillance and digital rights at the non-profit think tank interface in Germany. When asked by netzpolitik.org, he expresses considerable doubt that European intelligence services and security authorities are truly aware of the threat posed by mobile phone location data from the advertising industry.

„Neither do government agencies nor parliamentary committees publicly discuss such threat scenarios, nor is there any discussion of what contribution we Europeans would actually have to make in order to tackle this problem in a sustainable manner“, writes Ruckerbauer. He adds that EU states „should develop legal solutions and enforcement mechanisms to restrict this sprawling data market“.

His colleague Thorsten Wetzling from interface writes: „Especially at the current time, when the European security and defence landscape is being tested daily by Russia for possible attack vectors, it is extremely worrying that sensitive location data can still be acquired so easily on the data market to such an extent.“

However, it is worth noting that Western intelligence services and other government agencies are also reportedly using data from the advertising industry. In the USA, their services are used by the ICE deportation troops authority, among others.

In the jungle of data brokers

But how does this data end up in the hands of these companies in the first place? Our previous investigations habe given us unique insights into the depths of the data industry. In our explanatory article, we compare the tangled paths of the data trading ecosystem to a jungle.

It all starts with apps that people give permission to, either consciously or unconsciously, to collect their location data. In order to monetise their services, developers either embed code from tracking companies directly into their apps or offer advertising space to third parties. By doing the latter, they broadcast extensive information about their users to dozens or even hundreds of companies that participate in auctions, bidding for the opportunity to display ads to their target groups. Some use this data not only for advertising purposes, but also as a commodity – which is a tempting offer for data brokers.

The quality of the data varies. Data brokers sometimes present their data sets as larger than they really are, for example by adding fake advertising IDs to real location data. It is therefore possible that the data records available to us with 2.6 million different advertising IDs are actually based on fewer than 2.6 million different devices. Nevertheless, our investigation shows how individuals and institutions can be targeted even with inaccurate data.

The Databroker Files also reveal that many European companies are heavily engaged in the data industry. A data marketplace called Datarade, for example, is an important infrastructure for the industry. It is based in Berlin. Meanwhile, our conversations with developers show that they are often unaware of who their apps share users‘ data with. What they do notice, is the increase in revenue when the number of users increases, whether through payments from tracking companies or advertising revenue.

What tracked people in Brussels say

Only two individuals from our dataset are willing to publicly share their perspective. However, neither of them is employed by the EU. The first is Shubham Kaushik, who works for European Digital Rights (EDRi), an umbrella organisation for digital rights organisations. She volunteered her advertising ID to us – score. She says:

„It felt really invasive. Without my knowledge, personal information about me is out there for anyone with money to buy and access.“​​​​​​​. The only way to preserve people’s right to privacy and live their lives freely is to ban the tracking industry.“​​​​​​​
Only a single location ping of Kaushik appears in our data records. In contrast, a journalist from the Belgian newspaper L’Echo was tracked several times. The location data showed where he lives and where he had been on holiday. He says:

„I make efforts not to be tracked​​​​​​​, but apparently they are not enough​​​​​​​. Imagine if I were a journalist writing about China – and China could track and spy on me.“​​​​​​​

Data protection as a race to the bottom

How is all this possible when the EU has the General Data Protection Regulation in place? This question shakes the very foundations of the European self-image. Through its comprehensive digital regulation, the European Union has sought to demonstrate how it can democratically shape the digital world by finding a fair compromise: Economically oriented forces got a regulation that did not contain any harsh prohibitions, but merely rules and guidelines for data processing. Fundamental rights orientated forces obtained individual rights, such as the right to information or deletion of data, as well as strengthened supervisory authorities.

Much of this is held together by the instrument of consent. It is the legal basis for many cases of data processing and is intended to give people freedom of choice. Particularly when it comes to data processing for apps and online services, the idea was that people do not actually have to consent – but they can, as long as they are informed and do it voluntarily.

The idea was that this would lead to a competition and a race to the top, resulting in only trustworthy providers receiving consent. In the words of the the EU Commission: „Data protection as a competitive advantage“. In practice, however, it has become a race to the bottom, with companies doing everything they can to collect as much consent as possible. They trick users with manipulative design or simply give them no choice but to consent to tracking. The Databroker Files are a direct consequence of this competition for the worst data protection.

Illegal on paper

On paper, there is little doubt among data protection experts that the data broker business we have uncovered is illegal. This view was expressed, for example, by the Federal Data Protection Commissioner of Germany, Louisa Specht-Riemenschneider.

The problem begins with the issue of consent. According to the unanimous legal interpretation of data protection authorities, consent is the only legal basis on which advertising tracking can be based. In addition to the aforementioned problems with voluntariness, the main issue here is that the consent is often not informed. For instance, anyone who has agreed to the privacy policy when installing a weather app would not be able to understand where their data ends up, especially if it is being traded freely.

This also undermines the rights of data subjects, since they cannot make requests for information or deletion to companies they are not familiar with. In addition, location data can reveal sensitive personal information that is specially protected by the GDPR. This could include location tracking in rehab clinics, religious buildings, party and trade union buildings or queer sex clubs, for example.

Another issue is the purpose limitation, a principle of the GDPR, according to which data may only be used for the purposes for which it was collected. However, with data brokers, data that is allegedly only collected for advertising purposes becomes a commodity without a more precisely defined purpose. According to data protection experts, this constitutes a clear violation.

The problem of GDPR enforcement

There are two related reasons why the authorities have not taken stronger action against the system of advertising tracking and data trading. Firstly, the authorities only tend to take action when they receive complaints from citizens, and citizens can only complain about companies they know. This is why there are so many complaints about faulty cookie banners, but not about the invisible infrastructure behind them. Tracking companies have made themselves comfortable in the shadow of the GDPR, which is why Irish data protection activist Johnny Ryan coined the term „data protection free zone“​​​ for everything that happens behind the cookie banner.

Secondly, European data protection authorities are often still inadequately equipped. They receive so many complaints from citizens that they have hardly any resources left for conducting strategic ex officio investigations. Additionally, the authorities are primarily legally equipped and lack the technical expertise and personnel required for more complex analyses.

In Germany, our reporting has triggered first investigations and consequences from state data protection authorities. However, the Data Protection Commissioner of Berlin, Meike Kamp, is also calling for legislative support to get the systematic problem under control. According to her, “clearer statutory regulation of online tracking and profiling” would be “desirable.”

Her colleague Bettina Gayk from North Rhine-Westphalia says that, as a data protection authority, she can only take action in individual cases. “A truly comprehensive impact could only be achieved by a legal ban that precisely defines permissible processing of location data for specific purposes, tightly limits it, and fundamentally prohibits any personal or identifiable onward sharing of the data.”​​​​​​​ She warns that location tracking in hospitals or at political events, for example, can reveal particularly sensitive data. “This kind of thing must never become a commodity.“

From the siding to the graveyard

Can the European Union muster the strength for further digital regulation in the current situation? Laws such as the AI Act, the Digital Services Act and Digital Markets Act are under massive pressure from companies and countries within and outside Europe. When discussing a reform of the data protection, it is almost always just about making things easier for businesses.

This spring, the EU Commission buried a proposed regulation intended to solve the problem of consent online, after years of stagnation. The ePrivacy Regulation was actually due to be adopted in 2018 to supplement the GDPR, which came into effect that year. Had the EU Parliament had its way, users would have been able to decide centrally, in their browser or smartphone operating system, whether and by whom they wanted to be tracked. This decision would have been legally binding.

The prospect of users actually being able to decide who receives their data online caused sheer panic in the data industry. Online advertising companies, Silicon Valley corporations and time-honoured European media companies joined forces in a broad alliance to prevent the regulation. They compared it to a nuclear bomb for the internet and warned of the end of free – meaning ad-financed – journalism on the internet.

With success: Under the constant fire of their lobbying initiatives, the project was pushed further and further onto the back burner. Although the European Parliament adopted an ambitious draft in 2018, the member states were unable to reach an agreement in the Council for years. In spring 2025, the EU Commission finally withdrew the proposed regulation.

The Digital Fairness Act gives little hope

The EU Commission has vaguely promised a follow-up initiative, but it is uncertain whether it will actually materialise. First up is the Digital Fairness Act, which Commission President Ursula von der Leyen first announced at the start of her second term of office.

The law is intended to close gaps in digital consumer protection. The Commission collected feedback on this in a public consultation until October; the wish list of possible regulations is long. It remains to be seen whether the problem of consent, advertising tracking and data trading will be included.

Parliamentary circles say that hopes should not be too high. It is considered unlikely that comprehensive regulation will be put on the agenda in the current political climate, in which reducing bureaucracy is the order of the day.

Civil society organisations such as the Chaos Computer Club and the Federation of German Consumer Organisations are calling for an approach that tackles the root of the problem head on: a blanket ban on advertising tracking and data trading.

In fact, there was already a cross-party initiative in the EU Parliament in 2020 that aimed to achieve just that. The „Tracking-Free Ads Coalition“ wanted to enshrine a corresponding ban in the Digital Services Act (DSA) being negotiated at the time, but failed to gain a majority in favour. Today, the DSA only prohibits targeting with data relating to minors and sensitive data, such as religion, sexuality, health or politics.

MEP: „Ban tracking completely“

In response to our investigation, the European Commission prefers not to talk about new regulation. „We already have put strong legislation in place in the EU, namely the GDPR,“ writes a spokesperson. He states that it is a matter for the national supervisory authorities, including the national data protection authorities, to determine whether EU data protection laws have been breached. „The Commission stands ready to cooperate with those authorities.“

Axel Voss, a German digital politician from the conservative EPP group in the EU Parliament, believes the EU should take decisive action in light of the investigation. „We need a more precise definition of the use of location data and therefore a clear ban on trading particularly sensitive location data for other purposes“. For reasons of data protection and security, he believes that „strict restrictions are necessary, especially where movement or behavioural data allow conclusions to be drawn about sensitive areas“. The aim must be to „protect citizens and security interests without unnecessarily burdening European companies“.

Voss also calls for „a Europe-wide registration obligation for data traders and consistent enforcement of existing data protection rules“. In contrast, he is cautious about a comprehensive ban on tracking and profiling for advertising purposes: „A complete ban is a far-reaching step that needs to be carefully considered.“ However, it must be clear that location data should not be treated as an „economic object“.

Spanish MEP Lina Gálvez Muñoz commented on the research on behalf of the Socialist Group S&D in the EU Parliament. With regard to data trafficking, she writes: „In a context of escalating geopolitical tensions, this poses direct threats to national and collective security.“ The EU has „a good legal framework as a starting point​​​​​​​,“ she continues, citing the Cyber Solidarity Act and the Cybersecurity Act as examples. „We need to keep working on strengthening and adapting it to the current geopolitical context as well as on implementing and enforcing it.​​​​​​​“ Gálvez Muñoz also believes that the EU needs to expand the scope of the existing legislation.

Alexandra Geese, a German MEP from the Green Group, reiterates the call for a ban on tracking and profiling for advertising purposes. „I have championed such a prohibition for years,“ writes Geese. „Detailed knowledge about individuals held by data brokers constitutes a national security risk.​​​​​​​“ She warns: „If the bulk of European personal data remains under the control of U.S. companies and opaque data brokers, defending Europe against a Russian attack becomes markedly more difficult.​​​​​​​“ She sees „compelling grounds to ban tracking outright and to create a new, privacy respectful advertising ecosystem​​​​​​​“.

Team L’Echo: Nicolas Baudoux, Benjamin Verboogen. Team Le Monde: Martin Untersinger, Damien Leloup. Team BNR: Lisanne Wichgers, Bart van Rijswik. Team BR: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Florian Heinhold. Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Maximilian Henning, Anna Biselli, Daniel Leisegang, Anna Ströbele Romero. The first draft of this text was machine-translated using DeepL and then revised by three editors.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Unsere neueste Recherche zu 278 Millionen Standortdaten, mit denen sich EU und NATO ausspionieren lassen, schlägt in Brüssel hohe Wellen. Die EU-Kommission zeigt sich besorgt, EU-Abgeordnete fordern Konsequenzen. Allen ist klar: Werbe-Tracking und Datenhandel gefährden die Sicherheit Europas.

Eine Englische Fassung des Artikels haben wir unter dem Titel „All you need to know about how adtech data exposes the EU to espionage“ veröffentlicht.

Neue Datensätze mit Millionen Handy-Ortungen zeigen, wie leicht sich die Europäische Union mit Daten aus der Werbeindustrie ausspionieren lässt. Das Rechercheteam hat die Daten als Gratis-Vorschau für kostenpflichtige Abonnements von Databrokern erhalten und konnte damit Bewegungsprofile von hochrangigem EU-Personal ausspionieren. Auch Ortungen aus dem NATO-Hauptquartier in Brüssel finden sich in den Daten.

„Wir sind besorgt über den Handel mit Standortdaten von Bürgern und Angestellten der Kommission“, teilte die EU-Kommission in Reaktion auf die Recherchen mit. Abgeordnete des Europäischen Parlaments sprechen von einer Gefahr für die Sicherheit Europas und fordern legislative Konsequenzen, um ausuferndes Werbetracking und den kontrollierten Handel mit personenbezogenen Daten einzudämmen.

Die heute mit BR, L’Echo, Le Monde und BNR veröffentlichte Recherche ist Teil der Databroker Files, mit denen seit Sommer 2024 netzpolitik.org, Bayerischer Rundfunk und internationale Partnermedien die Datenindustrie beleuchten.

Hier geben wir einen Überblick über die wichtigsten Fragen zum aktuellen Stand der Recherchen:

• 1. Wen betrifft die Spionage-Gefahr durch Handy-Standortdaten?
• 2. Wieso ist der Handel mit Tracking-Daten gefährlich?
• 3. Wie landen die sensiblen Daten bei Datenhändlern?
• 4. Warum verhindert die DSGVO Datenhandel nicht?
• 5. Was muss jetzt passieren, um das Problem zu lösen?

1. Wen betrifft die Spionage-Gefahr durch Handy-Standortdaten?

• Kein Ort ist vor Spionage mithilfe kommerziell gehandelter Handy-Standortdaten sicher. Insgesamt liegen dem Rechercheteam inzwischen 13 Milliarden Standortdaten aus fast allen Ländern der EU, den USA und vielen weiteren Ländern der Welt vor.
• Für die EU-Recherche haben wir 278 Millionen Standortdaten aus Belgien ausgewertet, die auf wenige Wochen in den Jahren 2024 und 2025 datiert sind. Allein im Berlaymont-Gebäude in Brüssel, wo die EU-Kommission ihren Hauptsitz hat, gab es rund 2.000 Standortdaten von 264 verschiedenen Geräten. Im EU-Parlament waren es rund 5.800 Standortdaten von 756 Geräten. Im NATO-Hauptquartier waren es 9.600 Handy-Ortungen von 543 Geräten. Betroffen sind auch der Rat der Europäischen Union, der Europäische Auswärtige Dienst, der Europäische Datenschutzbeauftragte und weitere EU-Institutionen.
• Alle Standortdaten sind mit Geräte-Kennungen verknüpft. So lassen sich Bewegungsprofile ablesen, die oftmals Arbeitsplatz, Wohnadresse und weitere Aufenthaltsorte der getrackten Personen offenbaren. Solche Daten erlauben tiefgreifende Einblicke in das Leben von Menschen – von regelmäßig frequentierten Supermärkten über Auslandsreisen bis hin zu Besuchen in Kliniken oder Bordellen.
• Bereits die begrenzten Datensätze, die wir als kostenlose Vorschau erhielten, führten uns zu den Privatadressen von fünf Menschen, die für die EU tätig sind oder waren, darunter drei in hoher Position. Zu dem von uns identifizierten EU-Personal gehören eine Spitzenbeamtin der Kommission, ein hochrangiger Diplomat eines EU-Landes und Angestellter des EU-Parlaments und des Europäischen Auswärtigen Dienstes. Außerdem fanden wir Standorte einer Digitalaktivistin und eines Journalisten in den Daten.
• Zuvor konnte das Rechercheteam zeigen, wie sich mit ähnlichen Datensätzen auch in Deutschland hochrangige Regierungsbeamte, Militärstützpunkte, die Polizei und selbst Mitarbeitende von Geheimdiensten ausspionieren lassen.
• Unabhängige Recherchen von Kolleg*innen aus den Niederlanden, Norwegen, der Schweiz und Irland kamen zu ähnlichen Ergebnissen, wonach kritische Infrastruktur wie etwa Atomkraftwerke ausspionierbar sind.

2. Wieso ist der Handel mit Tracking-Daten gefährlich?

• Der unkontrollierte Datenhandel bedroht ​​​​​​​nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas. Schon 2021 hat eine Studie des NATO-Forschungszentrums Stratcom davor gewarnt, das sich kommerziell gehandelte Daten aus Werbe-Tracking auch für Spionage nutzen lassen. Mithilfe solcher Daten können feindliche Akteur*innen etwa militärisches Schlüsselpersonal identifizieren und ausspionieren oder militärische Operationen verfolgen. Weitere Gefahren sind beispielsweise Erpressung von exponierten Personen oder die Vorbereitung von Sabotage.
• Bei der Organisation HybridCoE in Helsinki erforschen Fachleute aus mehreren Disziplinen im Auftrag von EU und NATO, wie sich hybride Bedrohungen abwehren lassen. Mit Blick auf unsere Recherche-Ergebnisse schreibt Sprecherin Kirsi Pere: „Mobile Standortdaten können von feindlichen Akteuren missbraucht werden, um hybride Operationen durchzuführen, die die demokratische Gesellschaft schädigen und die Handlungsfähigkeit eines Staates schwächen.“ Es sei „nur logisch“, wenn zum Beispiel China und Russland Daten aus der Werbeindustrie einsetzen. Im Krieg könnten Daten der Werbeindustrie dabei helfen, militärische Bewegungen zu verfolgen.
• In der globalen Überwachungsindustrie ist in den vergangenen Jahren ein eigener Zweig entstanden, der darauf spezialisiert ist, personenbezogene Daten aus dem Werbe-Ökosystem und von Datenhändlern für Geheimdienste und andere staatliche Stellen aufzubereiten. Ein Fachbegriff dafür ist ADINT, kurz für Advertising-based Intelligence, werbebasierte Aufklärung.
• Die Recherchen mit Daten aus Belgien zeigen erneut, wie umfassend die Werbeindustrie teils metergenaue Standortdaten von Millionen Menschen anhäuft und Databroker diese Daten weltweit als Handelsware verbreiten. Dies ist eine neue Form der Massenüberwachung, die überwiegend ohne das Wissen der betroffenen Personen geschieht und diese umfassend durchleuchtbar macht.

3. Wie landen die sensiblen Daten bei Datenhändlern?

• Die teils metergenauen Standortdaten stammen von Smartphone-Apps und wurden angeblich nur zu Werbezwecken erhoben. Abfließen können sie über potenziell jede kommerzielle App, wie unsere Recherchen zeigen. Im Januar 2025 berichteten wir über einen Datensatz mit 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps. Oftmals haben Hunderte Unternehmen im Ökosystem der Werbeindustrie weitgehend unkontrollierten Zugriff auf diese Daten. Datenhändler erwerben diese Daten, schnüren sie zu Paketen und bieten sie zum Kauf an.
• Angeboten werden die Datensätze unter anderem auf Datenmarktplätzen. Eine besondere Rolle spielt den Recherchen zufolge das Unternehmen Datarade aus Berlin, über dessen Datenmarktplatz bereits mehrere Journalist*innen Kontakt zu Anbietern von riesigen Datensätzen mit Standortdaten aus Europa erhielten. Datarade selbst verarbeitet und verkauft diese Daten nicht, sondern ist Plattform für die Kontaktaufnahme zwischen Interessenten und Anbietern.
• Apple und Google ermöglichen dies Form des Trackings, indem sie Telefonen eindeutige Kennungen zuordnen, die Mobile Advertising IDs.
• Mehrere Akteure des Geschäfts mit Standortdaten haben ihren Sitz in der EU. Journalist*innen konnten über den Berliner Datenmarktplatz Datarade mehrfach Kontakt zu Databrokern herstellen. Deutschlands beliebteste Wetter-App Wetter Online hat genaue Standortdaten ohne wirksame Einwilligung an Dritte weitergegeben, wie die zuständige Datenschutzbehörde nach unseren Recherchen feststellte. Die in Litauen ansässige Marketing-Firma Eskimi soll einem US-Databroker zufolge Quelle für Handy-Standortdaten aus Deutschland gewesen sein, Eskimi bestreitet das jedoch.

4. Warum verhindert die DSGVO Datenhandel nicht?

• Am Handel mit Handy-Standortdaten beteiligte Databroker, Tracking-Firmen und Apps bezeichnen ihre Geschäfte als legal und berufen sich meist auf die angebliche Einwilligung der Betroffenen. Anders sehen das jedoch Datenschutzbehörden und Fachleute für Datenschutz, darunter die deutsche Bundesbeauftragte für Datenschutz, Louisa Specht-Riemenschneider. Der in den Databroker Files aufgedeckte Datenhandel ist demnach aus mehreren Gründen nicht mit der DSGVO vereinbar.
• So muss die Einwilligung in die Verarbeitung personenbezogener Daten laut Datenschutzgrundverordnung (DSGVO) informiert erfolgen, um wirksam zu sein. Nutzer*innen müssen erfahren, wer genau ihre Daten für welche Zwecke erhält. Allerdings fließen Standortdaten teils an Hunderte Akteure und werden von ihnen weiterverkauft. Auch die von der DSGVO vorgesehene Zweckbindung ist nicht erfüllt, wenn Daten zu Handelsware ohne näheren Zweck werden. Ausgehebelt sind zudem Betroffenenrechte, wonach Menschen Auskunft, Korrektur oder Löschung ihrer Daten verlangen dürfen.
• Standortdaten können darüber hinaus Informationen preisgeben, die durch die DSGVO als besonders geschützt eingestuft werden. Sie können zum Beispiel zeigen, welche medizinischen Einrichtungen, Parteizentralen, religiösen Gebäude, Parteien oder Gewerkschaften Menschen aufsuchen. Da Handy-Standortdaten auch die Wohnadresse einer Person offenbaren können, sind sie oftmals nicht anonym.
• Datenschutzbehörden haben das Problem bis zu unseren Recherchen offenbar nicht in vollem Umfang erfasst. Sie sind unterfinanziert und werden in der Regel erst dann aktiv, wenn Bürger*innen Beschwerden über bestimmte Datenverarbeiter einreichen und kratzen damit lediglich an der Oberfläche.

5. Was muss jetzt passieren, um das Problem zu lösen?

• Zivilgesellschaftliche Organisationen wie der deutsche Verbraucherzentrale Bundesverband und selbst das deutsche Verbraucherschutzministerium forderten in Reaktion auf unsere Recherchen ein Verbot von Tracking und Profilbildung zu Werbezwecken. Auf diese Weise könnte dem unkontrollierbaren Handel der Nachschub an Daten ausgehen.
• Die Europäische Kommission äußert sich in Reaktion auf die Recherche zwar besorgt, benennt aber keinen Bedarf für weitere Regulierung. Stattdessen müsse die Datenschutzgrundverordnung besser durchgesetzt werden. Zuständig seien die Aufsichtsbehörden in den Mitgliedstaaten.
• Für die konservative Fraktion im EU-Parlament, EVP, fordert Axel Voss (CDU) mit Blick auf die Recherchen: „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen.“ Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke“, fordert Voss. Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln.“
• Für die sozialdemokratische Fraktion S&D hat die spanische Abgeordnete Lina Gálvez Muñoz die Recherchen kommentiert: Zwar verfüge die EU über einen guten rechtlichen Rahmen als Ausgangspunkt. „Wir müssen jedoch weiterhin daran arbeiten, ihn zu stärken und an den aktuellen geopolitischen Kontext anzupassen – ebenso wie an seiner Umsetzung und Durchsetzung.“
• Für die Fraktion der Grünen/EFA kommentiert die deutsche Abgeordnete Alexandra Geese: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie fordert: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“

Hier gibt es Kontakt zum Recherche-Team und alle Texte von netzpolitik.org zu den Databroker Files.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Exakte Ortungen, verräterische Bewegungsmuster: Die Handy-Standortdaten von Millionen Menschen in der EU stehen zum Verkauf. Angeblich nur zu Werbezwecken erhoben, lassen sich die Daten auch für Spionage nutzen. Der europäische Datenschutz versagt, selbst EU-Spitzenpersonal in Brüssel ist betroffen. Die EU-Kommission sagt: „Wir sind besorgt.“

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, L’Echo (Belgien), Le Monde (Frankreich), BNR (Niederlande). Sie ist Teil der „Databroker Files“. Hier ist eine Zusammenfassung der EU-Recherche. Eine Englische Fassung des Artikels haben wir unter dem Titel „Targeting the EU“ veröffentlicht.

In einem noblen Brüsseler Stadtteil stehen Einfamilienhäuser mit Vorgärten, das politische Zentrum der Europäischen Union ist nicht fern. Wenn sie früh morgens unterwegs ist, braucht eine Person, die in einer Spitzenposition für die EU arbeitet, von hier nur etwa 20 Autominuten zu ihrem Arbeitsplatz. Ihr Bereich ist der Kommissionspräsidentin Ursula von der Leyen unterstellt, im Berlaymont-Gebäude, dem Hauptsitz der Europäischen Kommission. Fast auf dem Weg zur Arbeit liegt praktischerweise ein Spa- und Fitness-Center; auch hier war sie schon unterwegs.

Das und mehr wissen wir, weil uns die exakten Standortdaten dieser Person vorliegen. Sie verraten sogar, wo genau im Gebäude der EU-Kommission ihr Büro liegt. Ihr Bewegungsmuster und viele weitere fanden wir in kommerziell gehandelten Daten von Millionen Menschen in Europa.

Solche Daten offenbaren Wohn- und Arbeitsorte genauso wie Verhalten und Vorlieben der getrackten Personen. Sie können auch Besuche in Kliniken zeigen, in religiösen Gebäuden, Partei- und Gewerkschaftszentralen oder in Bordellen und Swinger-Clubs.

Dem Recherche-Team liegen Datensätze von mehreren Datenhändlern vor. Databroker verschenken sie als Kostprobe – als Vorschau auf kostenpflichtige Abos. Für diese Recherche haben wir zwei neue Datensätze ausgewertet, die rund 278 Millionen Handy-Standortdaten aus Belgien beinhalten.

Jeder Standort ist einer Werbe-ID zugeordnet. Das ist eine einzigartige Kennung, wie ein Nummernschild fürs Handy. So lassen sich die Bewegungen bestimmter Geräte genau verfolgen – und damit die Gewohnheiten ihrer Besitzer*innen. Rund 2,6 Millionen Werbe-IDs allein aus Belgien stecken in den uns vorliegenden Daten, datiert auf wenige Wochen in den Jahren 2024 und 2025. Es sind 2,6 Millionen Nadelstiche für den Datenschutz in Europa.

Spionagegefahr wie im Kalten Krieg

Knapp zehn Jahre ist es her, dass sich hier in Brüssel eine Revolution mit fünf Buchstaben ereignete: DSGVO. Im Dezember 2015 einigten sich das Europäische Parlament, der Rat und die EU-Kommission auf den Text der Datenschutzgrundverordnung. Sie sollte den Schutz von Grundrechten in der digitalen Welt mit einer datenbasierten Wirtschaft in Einklang bringen. Und sie kam mit dem Versprechen der informationellen Selbststimmung: Dass Menschen in der Regel selbst die Hoheit darüber haben sollen, wer was mit ihren Daten anstellt.

Dieses Versprechen ist bis heute uneingelöst. Stattdessen enthüllen die Databroker Files einen beispiellosen informationellen Kontrollverlust, der alle Menschen treffen kann, die am digitalen Leben teilnehmen, indem sie Apps auf Smartphones oder Tablets nutzen. Längst ist der unkontrollierte Datenhandel nicht mehr nur ein Thema für den Verbraucher- und Grundrechteschutz, sondern auch eine Bedrohung für die Sicherheit Europas.

Denn die Spionagegefahr in der EU ist hoch, spätestens seit Beginn des großflächigen Angriffskriegs Russlands auf die Ukraine im Februar 2022. Behörden warnen vor russischer Sabotage, verdächtige Drohnen verletzen den europäischen Luftraum, ein chinesischer Spion hat das EU-Parlament beschattet – es vergeht kaum ein Monat ohne neuen Spionageskandal. Schon 2020 verglich der damalige Präsident des deutschen Inlandsgeheimdienstes die Lage mit der im Kalten Krieg.

Wie groß die Gefahr ist, die hierbei von kommerziell gesammelten Daten ausgeht, haben Verantwortliche bislang offenbar nicht ausreichend auf dem Schirm. Konfrontiert mit den Ergebnissen unserer Recherchen teilt die EU-Kommission auf Englisch mit: „Wir sind besorgt über den Handel mit Standortdaten von Bürgern und Angestellten der Kommission“. In Reaktion habe die Kommission ihren Mitarbeitenden jetzt neue Richtlinien für Werbe-Tracking auf Dienst- und Privatgeräten vorgelegt. Außerdem habe man weitere Stellen informiert, namentlich andere EU-Einrichtungen sowie für IT-Sicherheit zuständige Anlaufstellen in den Mitgliedstaaten.

Auch aus dem EU-Parlament gibt es Reaktionen. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, schreibt Axel Voss (CDU) von der konservativen Fraktion EVP. Aus der sozialdemokratischen Fraktion S&D fordert Abgeordnete Lina Gálvez Muñoz aus Spanien, die EU solle das Thema „als vorrangige Sicherheitsbedrohung behandeln – nicht nur als Datenschutzproblem“. Die Abgeordnete Alexandra Geese aus Deutschland (Greens/EFA) fordert mit Blick auf die militärische Bedrohung durch Russland: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“

Hunderte potenziell sensible Angestellte im Visier

Unsere Recherche zeigt, wie leicht es ist, Spitzenpersonal der EU mit kommerziell gehandelten Standortdaten auszuspionieren. Ohne einen Cent zu bezahlen, konnten wir allein anhand der uns vorliegenden Vorschau-Datensätze Hunderte Geräte von Personen ausmachen, die in sensiblen Bereichen für die Europäische Union arbeiten. Allein im Hauptsitz der EU-Kommission gab es rund 2.000 Standortdaten von 264 verschiedenen Geräten. Im EU-Parlament waren es rund 5.800 Standortdaten von 756 Geräten.

So zeigt etwa ein Bewegungsprofil den Arbeitsweg eines Angestellten des EU-Parlaments. Aus einer Gemeinde in der Nähe von Brüssel geht es über die Stadtautobahn ins Zentrum der Stadt. Die Ortungen zeigen, wie der Angestellte mehrere Gebäude des EU-Parlaments besucht. Auch der Besuch in einem Supermarkt und einem Restaurant lässt sich ablesen.

Tausende weitere Ortungen fanden wir in anderen Institutionen, vom Rat der Europäischen Union über den Europäischen Auswärtigen Dienst bis zum Europäischen Datenschutzbeauftragten. Dabei sind die uns vorliegenden Vorschau-Datensätze nur die Spitze des Eisbergs. Kostenpflichtige Abos versprechen großflächige Massenüberwachung mit ständigem Nachschub an aktuellen Standortdaten.

Bereits die begrenzten Datensätze führten uns zu den Privatadressen von fünf Menschen, die für die EU tätig sind oder waren, darunter drei in hoher Position. Zum von uns identfizierten EU-Personal gehören die eingangs erwähnte Person aus der EU-Kommission, ein hochrangiger Diplomat eines EU-Landes und Personen, die für das EU-Parlament und den Europäischen Auswärtigen Dienst tätig sind.

Alle waren zunächst misstrauisch, manche wollten lieber nicht oder nur flüchtig mit uns sprechen. Keine*r von ihnen möchte öffentlich zitiert werden. Zwei bestätigten uns, dass die Standortdaten ihren Wohnort und ihren Arbeitsplatz zeigen, ihre Bewegungen in Brüssel. Auch eine Digitalaktivistin und ein Journalist, die wir in den Daten finden, bestätigen uns deren Korrektheit.

Von Apps, die Nutzer*innen angeblich nur für Werbezwecke tracken, wandern die Daten auf verschlungenen Wegen durch ein undurchsichtiges Ökosystem. Am Ende landen sie in den Händen von Databrokern, und von dort bei potenziell allen, die danach fragen. Das können Werbefirmen sein, Journalist*innen – oder auch fremde Geheimdienste.

Standortdaten sind nicht anonym

Die von Databrokern gehandelten Datensätze enthalten zwar weder Namen noch Adressen der auf Schritt und Tritt verfolgten Handy-Nutzer*innen. Trotzdem konnten wir mehrere Personen eindeutig identifizieren. Ermöglicht wird das unter anderem durch die sogenannte Mobile Advertising ID, eine eindeutige Kennung für die Online-Werbeindustrie, die Google und Apple automatisch jedem Telefon zuordnen.

Für jeden Standort in unseren Datensätzen gibt es eine solche Werbe-ID. So lassen sich lose Datenpunkte zu aussagekräftigen Bewegungsprofilen zusammensetzen. Wohn- und Arbeitsorte lassen sich leicht ablesen, weil sich genau dort die Ortungen auffällig häufen. Gerade bei einzeln stehenden Häusern mit öffentlich einsehbarem Klingelschild ist in kurzer Zeit klar, um wessen Standortdaten es sich handelt. Teils lassen sich Bewohner*innen eines Hauses auch im Telefonbuch oder durch das Impressum ihrer Website online ermitteln. Die Recherche zeigt: Standortdaten sind nicht anonym.

Hört man sich im politischen Brüssel zu den Databroker Files um, erlebt man oftmals überraschte oder nervöse Reaktionen. Selbst hochrangige Angestellte, die sich mit Datenschutz und Digitalem beschäftigen, hätten nicht erwartet, wie exakt die offen gehandelten Handy-Standortdaten sind.

Eindringliche Warnung der NATO

In Brüssel hat auch die NATO ihr Hauptquartier. Allein in unseren Datensätzen gibt es 9.600 Handy-Ortungen auf dem NATO-Gelände, erfasst von 543 verschiedenen Geräten. Angesichts der angespannten militärischen Lage steht die NATO unter außergewöhnlichem Druck, auch wegen russischer Spionage. Wie kommentiert das Bündnis die Recherche-Funde?

„Wir sind uns der allgemeinen Risiken, die die Datenerfassung durch Dritte für das Bündnis darstellt, voll bewusst“, schreibt ein NATO-Vertreter auf Französisch. Man habe Maßnahmen ergriffen, um die Risiken zu mindern – welche das sind, will er auf Nachfrage allerdings nicht erläutern.

Dass das Militärbündnis solche Handy-Ortungen der Werbe-Industrie offenbar als Bedrohung empfindet, zeigt eine eindringliche Bitte des NATO-Vertreters an das Recherche-Team. „Die Sicherheit unserer Mitarbeitenden nehmen wir sehr ernst und vertrauen darauf, dass Sie alles in Ihrer Macht Stehende tun, um keine Informationen zu veröffentlichen, die ihnen schaden könnten“, schreibt er. „Es ist zwingend erforderlich, dass kein Telefon am Hauptquartier der NATO identifiziert oder namentlich mit Personen in Verbindung gebracht wird und dass kein mit der NATO in Verbindung stehendes Telefon mit einem anderen Ort in Verbindung gebracht wird.​​​​“

Auch das belgische Militär hat auf unsere Recherchen reagiert, nachdem das Team von L’Echo Bewegungsprofile auf belgischen Militärgelände entdeckt hatte. „Wir sind uns des Problems voll bewusst“, teilt die Pressestelle mit. Oftmals seien private Geräte bereits verboten, nicht aber bei Unterkünften des Militärs. Man arbeite an einer neuen Anweisung, die Personal dringend davon abrate, Anwendungen zu nutzen, die es erlauben, Rückschlüsse auf Wohnort und Arbeitsplatz zu ziehen. Unsere Recherchen zeigen jedoch: Standortdaten können potenziell über nahezu jede Anwendung abfließen.

Was Geheimdienste mit Werbedaten anfangen können

Schon vor mehreren Jahren warnte eine Studie des NATO-Forschungszentrums Stratcom (Strategic Communications Centre of Excellence), dass solche Daten nicht nur eine Gefahr für die Privatsphäre von uns allen darstellen, sondern auch für die militärische Sicherheit. Mit Hilfe solcher Daten können feindliche Akteur*innen demnach etwa militärisches Schlüsselpersonal identifizieren und ausspionieren oder militärische Operationen verfolgen.

Seitdem haben weder die NATO noch die EU oder ihre Mitgliedstaaten ein Gegenmittel finden können. Gemeinsam mit dem Bayerischen Rundfunk haben wir 2024 am Beispiel von Daten aus Deutschland enthüllt, wie sich mit kommerziell gehandelten Standortdaten hochrangige Regierungsbeamte, Angehörige des Militärs und von Geheimdiensten identifizieren und ausspionieren lassen. Auch die wichtigsten US- und NATO-Stützpunkte in Deutschland ließen sich mit den Daten ausspähen. Sogar Besuche in Bordellen gingen daraus hervor​​. Erhalten hatten wir die Datensätze von einem US-Databroker, vermittelt über einen in Berlin ansässigen Datenmarktplatz.

Zuvor gab es ähnliche journalistische Recherchen aus europäischen Ländern wie den Niederlanden, Norwegen und der Schweiz. Die neuen Recherchen von L’Echo zeigen, wie verwundbar auch Belgien durch offen gehandelte Standortdaten ist. Dort lassen sich Polizeien, Gefängnisse und kritische Infrastruktur wie Atomkraftwerke ausspionieren.

Das gefährliche Geschäft mit Werbeüberwachung

Wenn das Recherche-Team bereits mit diesen einfachen Methoden und zwei kostenlosen Vorschau-Datensätzen hochrangiges EU-Personal identifizieren und ausspionieren konnte – was können dann gut ausgestattete Geheimdienste oder andere böswillige Akteure mit kommerziell verfügbaren Daten anstellen?

In den vergangenen Jahren ist ein eigener Zweig der globalen Überwachungsindustrie entstanden, der darauf spezialisiert ist, Daten aus dem Ökosystem der Online-Werbung für staatliche Stellen nutzbar zu machen. Das US-Unternehmen Babel Street etwa will mit seinem Programm Locate X eine Art „Google Maps für Handys“ entwickelt haben. Strafverfolgungsbehörden sollen damit ganz einfach Personen aufspüren können.

Ein Fachbegriff dafür ADINT, die Abkürzung steht für Advertising Based Intelligence, also werbebasierte Aufklärung. Gefahren durch ADINT, etwa durch fremde Geheimdienste, lassen sich als hybride Bedrohung bezeichnen. So nennt man Angriffe, die nicht offen militärisch sind, unter anderem Spionage oder Sabotage.

ADINT – gefährliche Spionage per Online-Werbung

Forschende warnen: „Äußerst besorgniserregend“ ​​​​​​

In Helsinki erforschen Fachleute aus mehreren Disziplinen im Auftrag von EU und NATO, wie sich hybride Bedrohungen abwehren lassen. Die Einrichtung nennt sich Hybrid CoE. Mit Blick auf unsere Recherche-Ergebnisse schreibt Sprecherin Kirsi Pere: „Mobile Standortdaten können von feindlichen Akteuren missbraucht werden, um hybride Operationen durchzuführen, die die demokratische Gesellschaft schädigen und die Handlungsfähigkeit eines Staates schwächen.“

Es sei „nur logisch“, wenn zum Beispiel China und Russland Daten aus der Werbeindustrie einsetzen, wie Pere erklärt. Mit Handydaten ließen sich etwa Oppositionelle oder Demo-Teilnehmende verfolgen. Im Ausland ließen sich hochrangige Personen identifizieren und ausspionieren, darunter Politiker*innen und Journalist*innen, Angehörige von Regierung, Militär und Geheimdiensten. Im Krieg könnten Daten der Werbeindustrie dabei helfen, militärische Bewegungen zu verfolgen.

Corbinian Ruckerbauer forscht für die gemeinnützige Denkfabrik interface zu Überwachung und digitalen Rechten. Auf Anfrage von netzpolitik.org äußert er erhebliche Zweifel daran, dass sich Geheimdienste und Sicherheitsbehörden in Europa wirklich der Bedrohung durch Handy-Standortdaten aus der Werbeindustrie bewusst sind.

„Weder werden solche Bedrohungsszenarien von Regierungsbehörden oder parlamentarischen Gremien öffentlich diskutiert noch wird hinterfragt, welchen Beitrag wir Europäer:innen eigentlich leisten müssten, um dieses Problem nachhaltig anzugehen“, schreibt Ruckerbauer. EU-Staaten „sollten rechtliche Lösungen und Durchsetzungsmechanismen erarbeiten, die diesen ausufernden Datenmarkt einschränken.“

Sein Forschungskollege Thorsten Wetzling von interface schreibt: „Gerade in der aktuellen Zeit, wo die europäische Sicherheit und Verteidigungslandschaft täglich durch Russland auf mögliche Angriffsvektoren hin getestet wird, ist es äußerst besorgniserregend, dass weiterhin so leicht in solchem Ausmaß sensible Standortdaten auf dem Datenmarkt zu erwerben sind.“

Zur Wahrheit gehört allerdings, dass offenbar auch westliche Geheimdienste und andere Regierungsbehörden Daten aus der Werbeindustrie nutzen. In den USA nehmen ihre Dienste unter anderem die Abschiebe-Behörde ICE in Anspruch.

Im Dschungel des Datenhandels

Doch wie gelangen die Daten überhaupt in die Hände dieser Firmen? Wir haben durch unsere bisherigen Recherchen einmalige Einblicke in die Abgründe der Datenindustrie erhalten. Die Pfade im Ökosystem des Datenhandels sind so verschlungen, dass wir es in unserem Erklärtext mit einem Dschungel vergleichen.

Im Dschungel der Datenhändler

Alles nimmt seinen Anfang bei Apps, denen Menschen bewusst oder unbewusst eine Erlaubnis zum Sammeln ihres Standorts geben. Um Geld zu verdienen, binden Entwickler*innen entweder direkt Programmcode von Tracking-Firmen in ihre Apps ein. Oder sie bieten Werbe-Plätze an und übermitteln umfangreiche Informationen über ihre Nutzer*innen an Dutzende oder Hunderte Firmen, die in Auktionen auf die Chance bieten, ihrer Zielgruppe die passende Werbung anzuzeigen. Manche nutzen diese Daten nicht nur für Werbezwecke, sondern auch als Handelsware – ein verlockendes Angebot für Databroker.

Die Qualität dieser Daten fällt unterschiedlich aus. Mitunter stellen Databroker ihre Datensätze größer dar, als sie wirklich sind, etwa indem sie reale Standortdaten mit falschen Werbe-IDs versehen. Deshalb kann es sein, dass hinter den uns vorliegenden Datensätze mit 2,6 Millionen verschiedenen Werbe-IDs in Wahrheit weniger als 2,6 Millionen verschiedene Geräte stecken. Dennoch belegen unsere Recherchen, wie sich auch mit teils ungenauen Daten Personen und Institutionen gezielt ins Visier nehmen lassen.

Die Databroker Files zeigen zudem, wie tief auch zahlreiche europäische Firmen in dieses Geschäft mit den Daten verstrickt sind. Mit dem Datenmarktplatz Datarade hat etwa eine wichtige Infrastruktur der Branche ihren Sitz in Berlin. Unsere Gespräche mit Entwickler*innen zeigen unterdessen: Wer eine App anbietet, weiß oftmals selbst nicht, an wen welche Daten fließen. Anbieter*innen bemerken lediglich, dass mit steigender Nutzer*innen-Zahl auch die Einnahmen steigen, sei es durch Zahlungen von Tracking-Firmen oder durch Werbung.

Das sagen getrackte Menschen in Brüssel

Nur zwei Personen aus unseren belgischen Datensätzen waren bislang bereit, ihre Perspektive öffentlich zu teilen. Beide sind jedoch nicht bei der EU angestellt. Die erste ist Shubham Kaushik, die für European Digital Rights (EDRi) arbeitet, den Dachverband von Organisationen für digitale Freiheitsrechte. Sie hat uns ihre Werbe-ID freiwillig zur Verfügung gestellt – Treffer. Sie sagt:

Es fühlt sich übergriffig an. Ohne mein Wissen sind persönliche Informationen über mich für jeden verfügbar, der genug Geld hat, sie zu kaufen und darauf zuzugreifen. Der einzige Weg, das Recht auf Privatsphäre zu schützen und ein freies Leben zu ermöglichen, ist ein Verbot der Tracking-Industrie.

Von Kaushik taucht nur ein einzelner Standort in unseren Datensätzen auf. Mehrfach geortet wurde dagegen ein Journalist der belgischen Zeitung L’Echo. Die Standortdaten zeigten etwa, wo er wohnt und wo er Urlaub gemacht hat. Dazu sagt er:

Ich gebe mir bereits Mühe, nicht getrackt zu werden, aber offenbar reichen solche Bemühungen nie aus. Stell dir vor, ich würde als Journalist über China schreiben – und China könnte mich verfolgen und ausspionieren.

Datenschutz als Unterbietungswettbewerb

Wie ist all das möglich, obwohl in der EU doch die Datenschutzgrundverordnung gilt? Diese Frage rüttelt an den Grundfesten des europäischen Selbstverständnisses. Mit ihrer umfassenden Digitalregulierung wollte die Europäische Union demonstrieren, wie sie die digitale Welt demokratisch gestalten kann. Wirtschaftlich orientierte Kräfte erhielten eine Verordnung, die keine harten Verbote enthält, sondern lediglich Voraussetzungen und Leitplanken für die Datenverarbeitung. Grundrechtlich orientierte Kräfte erhielten individuelle Rechte etwa auf Datenauskunft oder -löschung sowie gestärkte Aufsichtsbehörden, die ihnen Wirkung verschaffen sollen.

Zusammengehalten wird all das vom Element der Einwilligung. Die Idee: Man lässt Menschen in vielen Fällen die Wahlfreiheit. Gerade wenn es um Datenverarbeitungen für Apps und Online-Dienste geht, über die wir hier berichten, müssen Menschen also eigentlich nicht einwilligen – können es aber, sofern das informiert und freiwillig geschieht.

Das sollte zu einem Überbietungswettbewerb führen, in dem nur diejenigen Anbieter Einwilligungen erhalten, denen man vertrauen kann. In den Worten der EU-Kommission: „Datenschutz als Wettbewerbsvorteil“. In der Praxis aber wurde es ein Unterbietungswettbewerb, bei dem Unternehmen alles daran setzen, so viele Einwilligungen wie möglich einzusammeln. Sie tricksen zum Beispiel mit manipulativem Design oder lassen Nutzer*innen schlicht keine Wahl, als dem Tracking zuzustimmen. Die Enthüllungen der Databroker Files sind eine direkte Folge dieses Wettbewerbs um den schlechtesten Datenschutz.

Auf dem Papier illegal

Auf dem Papier, daran gibt es unter Datenschützer*innen wenig Zweifel, ist der von uns aufgedeckte Handel mit Standortdaten schon heute illegal. Zu dieser Einschätzung kommt etwa die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider.

Das Problem beginnt schon mit Einwilligung, die nach einhelliger Rechtsauslegung der Datenschutzbehörden die einzige Rechtsgrundlage ist, auf die Werbetracking gestützt werden kann. Neben den schon genannten Problemen mit der Freiwilligkeit hängt es hier vor allem an der Informiertheit. Keine Person, die etwa bei Installation einer Wetter-App den Datenschutzbestimmungen zugestimmt hat, kann nachvollziehen, wo ihre Daten landen – erst recht nicht, wenn sie frei gehandelt werden.

Damit werden auch die Betroffenenrechte ausgehebelt, weil niemand Auskunfts- oder Löschanfragen an Unternehmen stellen kann, die er nicht kennt. Hinzu kommt, dass Standortdaten sensible personenbezogene Informationen preisgeben können, die durch die DSGVO besonders geschützt sind. So zum Beispiel durch Ortungen in Suchtkliniken, religiösen Gebäuden, Partei- und Gewerkschaftsgebäuden oder queeren Sexklubs.

Und dann ist da noch das Problem mit der Zweckbindung, einem Grundsatz der DSGVO, wonach Daten nur für die Zwecke verwendet werden dürfen, für die sie erhoben wurden. Beim Datenhandel werden jedoch angeblich nur zu Werbezwecken erhobene Daten zur Handelsware ohne näher definierten Zweck. Ein klarer Verstoß, so die Einschätzung von Datenschützer*innen.

Behörden können DSGVO nicht durchsetzen

Dass die Behörden trotzdem nicht längst stärker gegen das System von Werbe-Tracking und Datenhandel vorgehen, hat zwei zusammenhängende Gründe. Erstens werden die Behörden vor allem dann aktiv, wenn sie Beschwerden von Bürger*innen erhalten, und diese können sich nur über Firmen beschweren, die sie kennen. Deshalb gibt es zwar zuhauf Beschwerden über fehlerhafte Cookie-Banner, nicht jedoch über die unsichtbare Infrastruktur dahinter. Die Datenhändler haben es sich im Schatten der DSGVO bequem gemacht, der irische Datenschutzaktivist Johnny Ryan nennt alles, was hinter dem Cookie-Banner passiert, eine „datenschutzfreie Zone“.

Zweitens sind europäische Datenschutzbehörden häufig immer noch unzureichend ausgestattet. Sie erhalten so viele Beschwerden von Bürger*innen, dass ihnen kaum Ressourcen für strategische Untersuchungen von Amts wegen bleiben. Darüber hinaus fehlt es den in erster Linie juristisch ausgestatteten Behörden an technischem Know-how und Personal für aufwendigere Analysen.

In Deutschland hat unsere Berichterstattung zwar erste Ermittlungen und Konsequenzen von Landesdatenschutzbehörden ausgelöst. Die Berliner Datenschutzbeauftragte Meike Kamp fordert aber auch legislative Unterstützung, um das systematische Problem unter Kontrolle zu bekommen. Als „wünschenswert“ bezeichnet sie eine „klarere gesetzliche Regulierung des Onlinetrackings und -profilings“.

Ihre Amtskollegin Bettina Gayk aus Nordrhein-Westfalen betont, dass ihre Behörde mit Aufsichtsmitteln nur gegen einzelne Stellen vorgehen könne. „Eine flächendeckende Durchschlagskraft hätte nur ein gesetzliches Verbot, das eine zulässige Verarbeitung von Standortdaten für konkrete Zwecke klar beschreibt, eng begrenzt und eine personenbezogene oder beziehbare Weitergabe der Daten grundsätzlich verbietet.“ Sie warnt, dass beispielsweise Ortungen in Krankenhäusern oder bei politischen Veranstaltungen besonders sensible Daten offenbaren können. „So etwas darf keinesfalls eine Handelsware werden.“

Vom Abstellgleis auf den Friedhof

Kann die Europäische Union in der aktuellen Lage noch einmal die Kraft für weitere Digitalregulierung aufbringen? Gesetze wie die KI-Verordnung oder die Gesetze über digitale Dienste und Märkte stehen unter massivem Druck durch Unternehmen und Staaten inner- und außerhalb Europas. Über eine Reform des Datenschutzes wird in der EU zwar diskutiert, dabei geht es aber fast immer nur um Erleichterungen für die Wirtschaft.

Einen Verordnungsvorschlag, der das Einwilligungsproblem im Internet hätte lösen sollen, hat die EU-Kommission nach jahrelangem Stillstand in diesem Frühjahr beerdigt. Die ePrivacy-Verordnung sollte eigentlich noch 2018 verabschiedet werden und die DSGVO ergänzen, die in jenem Jahr erstmalig Anwendung fand. Wäre es nach dem EU-Parlament gegangen, hätten Nutzer*innen damit die Möglichkeit bekommen, zentral in ihrem Browser oder im Betriebssystem ihres Smartphones zu entscheiden, ob und von wem sie getrackt werden wollen. Und zwar rechtsverbindlich.

Die Aussicht, dass Nutzer*innen tatsächlich selbst bestimmen könnten, wer im Internet ihre Daten erhält, löste in der Datenindustrie blanke Panik aus. In einem breiten Bündnis schlossen sich Online-Werbefirmen, Silicon-Valley-Konzerne und altehrwürdige europäische Medienhäuser zusammen, um die Verordnung zu verhindern. Sie verglichen sie mit einer Atombombe für das Internet und warnten vor einem Ende des freien – also werbefinanzierten – Journalismus im Netz.

Mit Erfolg: Unter dem Dauerfeuer ihrer Lobby-Initiativen wurde das Vorhaben immer weiter aufs Abstellgleis geschoben. Zwar verabschiedete das EU-Parlament noch 2018 einen ambitionierten Entwurf, doch die Mitgliedstaaten im Rat wurden sich jahrelang nicht einig. Im Frühjahr 2025 zog die EU-Kommission den Verordnungsvorschlag zurück.

Wenig Hoffnung beim Digital Fairness Act

Eine Nachfolge-Initiative stellte die EU-Kommission vage in Aussicht, doch ob sie tatsächlich kommt, ist ungewiss. Zunächst steht der Digital Fairness Act vor der Tür, den Kommissionspräsidentin Ursula von der Leyen erstmals beim Antritt ihrer zweiten Amtszeit ankündigte.

Das Gesetz soll Schutzlücken im digitalen Verbraucherschutz schließen. Bis Oktober sammelte die Kommission hierzu in einer öffentlichen Konsultation Feedback; die Wunschliste an möglichen Regulierungen ist lang. Ob das Problem von Einwilligungen, Werbe-Tracking und Datenhandel dazugehören wird, ist offen.

Allzu große Hoffnungen solle man sich nicht machen, heißt es aus Parlamentskreisen. Es gilt als unwahrscheinlich, dass im aktuellen politischen Klima, in dem Bürokratieabbau das Gebot der Stunde ist, eine umfassende Regulierung auf die Agenda kommt.

Zivilgesellschaftliche Organisationen wie der Chaos Computer Club oder der Verbraucherzentrale Bundesverband fordern einen Ansatz, der das Problem direkt bei der Wurzel packt: ein grundsätzliches Verbot von Werbe-Tracking und Datenhandel.

Tatsächlich gab es 2020 bereits eine parteiübergreifende Initiative im EU-Parlament, die genau das erreichen wollte. Die „Tracking-Free Ads Coalition“ wollte ein entsprechendes Verbot im damals verhandelten Gesetz über digitale Dienste (DSA) verankern, fand dafür aber keine Mehrheit. Heute verbietet der DSA lediglich Targeting mit Daten von Minderjährigen sowie mit sensiblen Daten, etwa zu Religion, Sexualität, Gesundheit oder Politik.

US-Senator schaltet Pentagon ein; Bundesministerium fordert EU-Gesetze

EU-Abgeordnete: „Tracking vollständig verbieten“

In Reaktion auf unsere Recherche spricht die Europäische Kommission lieber nicht über neue Regulierung. „Wir haben in der EU bereits strenge Vorschriften eingeführt, nämlich die DSGVO“, schreibt ein Sprecher. Es sei Aufgabe der nationalen Aufsichtsbehörden, einschließlich der nationalen Datenschutzbehörden, festzustellen, ob gegen europäische Datenschutzvorschriften verstoßen wurde, so der Sprecher weiter. „Die Kommission ist bereit, mit diesen Behörden zusammenzuarbeiten.“

Digitalpolitiker Axel Voss von der konservativen EVP-Fraktion im EU-Parlament fordert mit Blick auf die Recherchen von der EU entschiedenes Handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke“. Aus Gründen von Datenschutz und Sicherheit halte er „strikte Beschränkungen für notwendig, insbesondere dort, wo Bewegungs- oder Verhaltensdaten Rückschlüsse auf sensible Bereiche zulassen.“ Ziel müsse sein, „Bürger und Sicherheitsinteressen zu schützen, ohne europäische Unternehmen unnötig zu belasten.“

Weiter fordert Voss „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“. Zu einem umfassenden Verbot von Tracking und Profilbildung zu Werbezwecken äußert er sich dagegen zurückhaltend: „Ein vollständiges Verbot ist ein weitreichender Schritt, der sorgfältig abgewogen werden muss.“ Allerdings müsse klar sein, dass Standortdaten kein „Wirtschaftsobjekt“ sein dürfen.

Für die sozialdemokratische Fraktion S&D im EU-Parlament hat die spanische Abgeordnete Lina Gálvez Muñoz die Recherchen kommentiert. Mit Blick auf den Datenhandel schreibt sie: „Dies stellt im Kontext zunehmender geopolitischer Spannungen eine direkte Bedrohung für die nationale und gemeinsame Sicherheit in der EU dar.“ Zwar verfüge die EU über einen „guten rechtlichen Rahmen als Ausgangspunkt“, schreibt sie weiter und nennt etwa den Cyber Solidarity Act und den Cybersecurity Act. „Wir müssen jedoch weiterhin daran arbeiten, ihn zu stärken und an den aktuellen geopolitischen Kontext anzupassen – ebenso wie an seiner Umsetzung und Durchsetzung.“ Auch müsse die EU den Anwendungsbereich der bestehenden Gesetzgebung erweitern.

Aus der Fraktion der Grünen bekräftigt die deutsche Abgeordnete Alexandra Geese die Forderung eines Verbots von Tracking und Profilbildung zu Werbezwecken. „Dafür setze ich mich seit Jahren ein“, schreibt Geese. Es sei ein Risiko für die nationale Sicherheit, wenn Datenhändler detailliertes Wissen über Einzelpersonen anhäufen. „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie sieht „zwingende Gründe, Tracking vollständig zu verbieten und ein neues, datenschutzfreundliches Werbeökosystem zu schaffen.“

Team L’Echo: Nicolas Baudoux, Benjamin Verboogen. Team Le Monde: Martin Untersinger, Damien Leloup. Team BNR: Lisanne Wichgers, Bart van Rijswik. Team BR: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Florian Heinhold. Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Maximilian Henning, Anna Biselli, Daniel Leisegang, Anna Ströbele Romero.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der digitale Debattenzirkus polarisiert vor sich hin. Geht es wirklich um Meinungen oder nur noch ums Geschäft?

Wir befinden uns im Schwitzkasten der Polarisierung. Meinungsmacher und Moral-Apostel machen den „Kulturkampf“ zum schaurig-schönen Spektakel – manchmal bis zur Unerträglichkeit für das Publikum.

Der Soziologe Steffen Mau bezeichnet die lautesten Stimmen unter ihnen als „Polarisierungsunternehmer“. Sie politisieren ein „gesellschaftliches Thema so, dass es zur Lagerbildung und affektiven Polarisierung beiträgt“.

Ein besonders erfolgreicher Polarisierungsunternehmer ist der Journalist Ulf Poschardt mit seiner aktuellen Wutschrift „Shitbürgertum“, eine Abrechnung mit allem, was er zum linksliberalen Bürgertum zählt. Auf der anderen Seite des Medien-Mainstreams halten Provokateure wie Jan Böhmermann oder Sophie Passmann dagegen.

Sie alle empören sich über die Empörung der anderen. Für die Polarisierungsunternehmer stehen die Schuldigen fest, an der Spitze der Meinungspyramide ist kein Platz für Ambivalenz. Hier geht es um die Platzierung der eigenen Themen – und das Geschäft dahinter.

Persona benennt Target Points

„Du musst deine Persona so bauen, dass sie nicht zu komplex ist, dass sie aber die Target Points klar benennt“, beschreibt Poschardt im Podcast der Finanz-Bros Hoss und Hopf seine Strategie. Die „Persona“ ist hier als eine für die Öffentlichkeit angelegte Rolle zu verstehen.

Wer seine Persona richtig inszenieren will, hat wenig bis keinen Spielraum für Abweichungen von seinen Themen. Für die Benennung der „Target Points“ muss die eigene Integrität also zwangsläufig leiden.

Damit ist die Suppe der US-amerikanischen Medienlandschaft mit ihrem Hang zum Spektakel endlich auch nach Deutschland übergeschwappt.

Polarisierung generiert Klicks

Beflügelt von der Reichweite der amerikanischen Vorbilder machen nun auch im deutschsprachigen Raum bizarre Figuren Karriere. Dazu gehören beispielsweise der „Ketzer der Neuzeit“, nach eigener Aussage ein „Christ, der sein Ding macht“, Ernährungs-Creator Fabian Kowallik aka „Exiled Medic“ oder eben Hoss und Hopf.

Fesselnde Geschichten brauchen Konflikte und Widersprüche. Starke und schrille Meinungen wirken besonders berichtenswert. Das kennen wir zur Genüge von Trump. Je abstruser die Inhalte und je verrückter die Persona, desto höher ist die Wahrscheinlichkeit, von bereits etablierten Medienakteuren aufgegriffen zu werden.

In diesem Spiel braucht der eine also den anderen. Jan Böhmermann etwa hat durch einen kritischen Videobeitrag über den Youtuber Clownswelt ebenjenem tausende neue Follower beschert. Das Antwortvideo (1,4 Mio.) von Clownswelt hat beinahe genauso viel Klicks wie Böhmermanns Original (1,8 Mio.) generiert. Es ist das mit großem Abstand meistgeklickte Video auf dem Kanal.

Provokation und Polemik

Der von Poschardt und Konsorten wütend angegangene „Meinungskorridor“ der „Cancel Culture“ ist längst zum offenen Feld geworden – und dort ist nun massig Platz für Inhalte aller Art. Entsprechend ist auch Poschardts Büchlein über das „Shitbürgertum“ weniger ein riskanter Versuch, gegen die angeblich uneinnehmbare Festung der „woken“ Meinungselite anzukämpfen, als vielmehr ein Produkt, das zum günstigen Zeitpunkt einen bestimmten Zeitgeist trifft.

Für Persona und Target Points provoziert Poschardt gezielt mit dem Abfeiern seiner Helden Trump („Instinktpolitiker mit unverwechselbarem Verständnis politischer Kommunikation“), Musk („Chefentbürokratisierer“) oder Milei („mutiger Mann, der den Lauf der Welt ändert“).

Poschardts Polemiken stehen damit auch in der Tradition einer Gruppe vermeintlich aktivistischer Akteure in den sozialen Medien, die dort auf dem Empörungsniveau der Bild-Zeitung gegen alles austeilen, was nicht in das eigene begrenzte Weltbild passt.

Qualität vor Labeling

Und auch wenn die ein oder andere von den Polarisierungsunternehmern ausgeteilte Backpfeife eine empfindliche Stelle trifft, nutzen sie dieselben Strategien wie ihre politischen Antagonisten im Debattenzirkus. „Gebetsmühlenhaft wiederholen sie immer wieder dieselben Phrasen, die ihren ideologischen Kern nur unzulänglich verbergen“, wirft Poschardt den „Shitbürgern“ vor – und spiegelt sich selbst in diesem Bild, wenn er gegen den so verhassten „Staat“ anschreibt.

Die simplen und egozentrischen Botschaften begeistern vor allem diejenigen, die ohnehin schon auf derselben Seite stehen. Alle anderen, und vielleicht auch die für einen „echten“ Diskurs interessanteren Leser, wenden sich entweder direkt ab oder lassen sich zur Weißglut treiben. Beides verstärkt wiederum die Polarisierung.

Wenn sich einer der mächtigsten Medienmenschen des Landes als „kleiner rebellischer Punk“ inszeniert und sich eine Champagnerfeministin aus bürgerlichem Haushalt nicht um Klassenunterschiede schert, läuft etwas falsch. Jenseits von pseudoaktivistischen Labeln und Signalen könnte man die Inhalte danach ordnen, was im Diskurs eigentlich zählt: Qualität.

Komplexitätsexplosion der Kommunikation

Leider gelten zynische Aussagen heute oft als smart. Zwar schaffen es die Polarisierungsunternehmer mitunter sogar, die drängenden Probleme der Gegenwart zu beschreiben, sie bieten allerdings keine Lösungen an. Ihr „Erfolg“ in der Debattenkultur hängt dabei auch mit der Funktionsweise digitaler Kommunikation auf den sozialen Medien zusammen, wie Nils Kumkar in seinem Buch „Polarisierung“ beschreibt.

Denn soziale Medien verknüpfen zwei Welten, die eigentlich nicht zusammengehören: die Kommunikation in Echtzeit zwischen Anwesenden und die schriftliche, zeitlich versetzte Kommunikation unter Abwesenden. Auf sozialen Medien laufen die beiden Formen gleichzeitig ab, ohne dass der Sprecher – wie es von Angesicht zu Angesicht möglich wäre – direkt auf seine Gesprächspartner reagieren kann.

Trotzdem fehlt die Möglichkeit, sich Zeit für eine Antwort zu lassen, wie es die schriftliche Kommunikation erlaubt. Da sich der Austausch auf sozialen Medien wie Kommunikation in Echtzeit anfühlt, erwarten Publikum und Gesprächspartner unmittelbare Reaktionen.

Zusätzlich kann auf diesem „Marktplatz der Ideen“ praktisch jeder jederzeit teilnehmen. Diese wilde, entgrenzte Konstellation führt unweigerlich dazu, dass die Komplexität der Kommunikation nahezu explodiert.

Zeigefinger runter

Polarisierung bricht die Komplexität auf und erlaubt einen universellen Anschluss. Laut Kumkar betreiben deshalb auch die meisten Akteure auf der digitalen Bühne in irgendeiner Form Polarisierung und stellen das Publikum damit vor simple Ja-oder-Nein-Wahlen („Grenzen auf oder zu“, „links oder rechts“).

Wenn Polarisierung also unausweichlich ist, bleibt die Themenwahl für den „Wert“ der Kommunikation entscheidend. Um hier filtern zu können, sollte man die Polarisierungsunternehmer als das verstehen, was sie tatsächlich sind: Anbieter einseitiger Entertainment-Produkte, die sich entlang einer banalen Marktlogik ausrichten.

Interessanter sind jene Personen, die das Publikum inspirieren, im besten Fall mit Hoffnung statt Zynismus – und ohne erhobenen Zeigefinger, der entweder nur auf die Sprecher selbst oder streng in die vermeintliche korrekte Richtung weist. Die Poschardts, Pass- und Böhmermanns dieser Welt zählen nicht dazu.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 44. Kalenderwoche geht zu Ende. Wir haben 16 neue Texte mit insgesamt 111.433 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

Deutschland soll wieder „Innovationsführer“ werden. Das forderte Bundeskanzler Friedrich Merz am Mittwoch auf einer Auftaktveranstaltung zur Hightech Agenda Deutschland. Es ging dort viel um Aufbruch, Wettbewerbsfähigkeit und Wertschöpfung. Und um sogenannte Künstliche Intelligenz. Bis 2030 sollen zehn Prozent der deutschen Wirtschaftsleistung „KI-basiert“ erwirtschaftet werden.

All diese Buzzwords lassen mich etwas ratlos zurück. Ein solcher Event-Zirkus soll wohl vor allem Entschlossenheit und Tatkraft demonstrieren. Schaut her, wir krempeln die Ärmel hoch und packens an! Die Tagesschau ist auch vor Ort.

Dieses Mal wirkte das Schauspiel noch bizarrer als sonst. Denn alle Welt warnt derzeit vor einer wachsenden KI-Blase. Ökonom:innen ziehen Vergleiche zum Dotcom-Crash vor 25 Jahren. Es läuft wohl auf „eine reale, schmerzhafte Disruption“ für uns alle hinaus, schreibt der „Atlantic“. Doomsday is coming, wenn auch anders als gedacht.

Die Regierung verliert dazu kein Wort. Stattdessen will sie die Umsetzung der europäischen KI-Regulierung hinauszögern, wie meine Kollegin Anna Ströbele Romero schreibt. Sie gibt damit dem Druck der Industrieverbände nach. Alles für die angebliche Wettbewerbsfähigkeit – und zulasten der Verbraucher:innen.

Wenig überraschend interessiert Schwarz-Rot auch die ökologische Frage nur am Rande. Dabei ist der Ressourcenhunger von KI immens. Mancherorts wird bereits das Trinkwasser knapp, weil es KI-Rechenzentren kühlt. Tech-Konzerne reaktivieren stillgelegte Atomkraftwerke, selbst fossile Energieträger sind wieder stark gefragt.

Einer Mehrheit der Bevölkerung bereitet diese Rolle rückwärts offenbar große Sorgen, wie Julian Bothe von AlgorithmWatch für uns in einem Gastbeitrag darlegt. Die NGO hat dafür eine repräsentative Umfrage in mehreren europäischen Ländern durchführen lassen. Demnach wünscht sich eine Mehrheit auch strengere Regulierung beim Bau neuer Rechenzentren.

Statt zu bizarren KI-Events einzuladen wäre die Bundesregierung gut beraten, solchen Bedenken Gehör zu schenken.

Habt ein schönes Wochenende

Daniel

Breakpoint: Lasst ihr ChatGPT auch eure Liebesbriefe schreiben?

Während generative KI immer mehr in unseren Alltag einsickert, drohen wir den Kern dessen zu verlieren, was uns sein lässt. Große Sprachmodelle zu nutzen, mag praktisch sein, doch sollten wir darüber nicht vergessen, dass wir Menschen sind. Von Carla Siepmann –
Artikel lesen

Cybercrime-Konvention: Menschenrechtsverletzungen über Grenzen hinweg

Die UN-Cybercrime-Konvention wurde am Wochenende symbolisch unterzeichnet. Deutschland hat seine Unterschrift nicht unter den Vertrag gesetzt, die Vereinigten Staaten ebenfalls nicht. Internationale Menschenrechts- und Digitalrechte-Organisationen lehnen das Abkommen weiterhin ab und fordern die Staaten auf, es nicht zu ratifizieren. Von Constanze –
Artikel lesen

Zehn Jahre Landesverrat: Netzpolitischer Abend zum Thema Pressefreiheit

Zehn Jahre nach den Ermittlungen wegen Landesverrats veranstaltet netzpolitik.org zusammen mit der Digitalen Gesellschaft einen Netzpolitischen Abend. Am 4. November werfen drei Vorträge einen kritischen Blick auf die globale Lage der Pressefreiheit. Dabeisein geht in Berlin oder im Stream. Von Paula Clamor, Ingo Dachwitz –
Artikel lesen

Neues MAD-Gesetz: Ein Militärgeheimdienst wird aufgerüstet

Die schwarz-rote Regierung will die Geheimdienstgesetze grundlegend erneuern. Los geht es mit einer neuen Rechtsgrundlage für den Militärischen Abschirmdienst. Der Entwurf aus dem Verteidigungsministerium würde dem bislang kleinsten Geheimdienst des Bundes deutlich mehr erlauben. Von Anna Biselli –
Artikel lesen

Sächsisches Polizeigesetz: Polizeiwunschliste auf Mehrheitssuche

Die sächsische Regierung möchte das Polizeigesetz deutlich verschärfen und der Polizei KI-Videoüberwachung, biometrische Internetsuche und staatliches Hacken erlauben. Kritik daran kommt aus Zivilgesellschaft und Opposition. Doch gerade letztere braucht die Regierung, um ihren autoritären Entwurf zum Gesetz zu machen. Von Leonhard Pitz –
Artikel lesen

Gegen Regulierung: Big Tech steckt so viel Geld in EU-Lobbyarbeit wie noch nie

EU-Digitalgesetze wie der Digital Services Act sollen Big Tech in Schach halten. Das macht Meta, Microsoft & Co. das Leben schwer. Mit einer mächtigen Lobby arbeiten sie dagegen. Das zeigt eine gemeinsame Analyse von LobbyControl und Corporate Europe Observatory. Von Esther Menhard –
Artikel lesen

In Echtzeit: US-Abschiebebehörde ICE baut Überwachungsarsenal weiter aus

Die US-amerikanische Auswanderungsbehörde ICE kauft immer mehr Überwachungssoftware. Jetzt arbeitet ICE mit einem Unternehmen zusammen, mit dessen Software das Militär soziale Medien in Echtzeit observiert. Von Paula Clamor –
Artikel lesen

Zivilgesellschaft: Kritik an Debatte um „Missbrauch von Sozialleistungen“

Um „organisierten Leistungsmissbrauch“ im Sozialbereich zu verhindern, will Arbeitsministerin Bärbel Bas den Datenaustausch zwischen Polizei, Ordnungsämtern und Jobcenter fördern und das Strafrecht verschärfen. Sozialverbände und Organisationen von Betroffenen warnen vor verheerenden Folgen. Von Timur Vorkul –
Artikel lesen

Digital Fairness Act: Große Wünsche für mehr Verbraucherschutz im Netz

Manipulatives Design im Netz ist seit langer Zeit ein Problem. Mit dem geplanten Digital Fairness Act will die EU-Kommission gegen solche Tricks vorgehen. Verbraucherschützer:innen, Forscher:innen und Regulierungsbehörden fordern einen grundlegenden Ansatz. Von Tomas Rudl –
Artikel lesen

Etappensieg: Dänemark nimmt Abstand von verpflichtender Chatkontrolle

Die dänische Ratspräsidentschaft schlägt vor, die Chatkontrolle freiwillig zu erlauben, statt sie verpflichtend zu machen. Die EU-Staaten haben diesen Vorschlag bereits einmal abgelehnt, ob sie jetzt zustimmen, ist offen. Viele Akteure lehnen eine freiwillige Chatkontrolle ab – auch die EU-Kommission. Von Andre Meister –
Artikel lesen

Sorge vor US-Sanktionen: Internationaler Strafgerichtshof kickt Microsoft aus seiner Verwaltung

Der Internationale Gerichtshof will sich von Microsoft unabhängig machen und schwenkt auf openDesk um, die Open-Source-Bürosoftware des Zentrums für Digitale Souveränität. Die Bundesregierung könnte sich daran ein Beispiel nehmen. Denn während openDesk bei europäischen Nachbarn gefragt ist, fremdelt die Bundesverwaltung noch immer damit. Von Esther Menhard –
Artikel lesen

AI Act: Wird sich die KI-Regulierung verzögern?

Eigentlich sollen zentrale Teile der europäischen KI-Verordnung im August 2026 in Kraft treten. Weil aber bestimmte Standards noch fehlen, fordern Unternehmen, die Frist nach hinten zu verschieben. Organisationen wie European Digital Rights (EDRi) sehen darin einen großen Fehler, doch die Aufschiebung scheint immer wahrscheinlicher. Von Anna Ströbele Romero –
Artikel lesen

Neue irische Datenschutzbeauftragte: Menschenrechtsorganisation reicht Beschwerde bei EU-Kommission ein

Der Streit um die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur irischen Datenschutzbeauftragten erreicht Brüssel. Doch auch nach einer formalen Beschwerde des Irish Council for Civil Liberties will die EU-Kommission offenbar nicht in das Verfahren eingreifen. Von Paula Clamor –
Artikel lesen

Rasterfahndung: Daten von 153 Millionen Fluggästen landen 2024 beim BKA

Das Bundeskriminalamt hat vergangenes Jahr fast 548 Millionen Fluggastdaten erhalten und gerastert. Das geht aus einer Antwort der Bundesregierung hervor. Mittlerweile landen 90 Prozent aller Passagiere in Deutschland in Datenbanken bei der Polizei. Von Timur Vorkul –
Artikel lesen

Transparenzbericht 3. Quartal 2025: Unsere Einnahmen und Ausgaben und verschiedene Hüte

Im dritten Quartal trugen wir quietschrote Bauhelme und besichtigten eine Ruine. Und wir zogen Delegationshüte fürs Pokern auf. Nun hoffen wir, dass wir im nächsten Transparenzbericht „Hut ab!“ rufen können. Dafür braucht es eure Unterstützung. Von netzpolitik.org –
Artikel lesen

Umfrage zu Rechenzentren: Die Mehrheit folgt dem Hype nicht

Die Bundesregierung will Deutschland zur „KI-Nation“ machen, die EU verfolgt eine „AI-First“-Mentalität. Eine Umfrage in mehreren europäischen Ländern zeigt nun, dass die Mehrheit der Befragten diesen Hype nicht mitträgt. Ihr bereitet vor allem der wachsende Strom- und Wasserverbrauch Sorge. Und sie wünscht sich eine strengere Regulierung. Von Gastbeitrag, Julian Bothe –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Bundesregierung will Deutschland zur „KI-Nation“ machen, die EU verfolgt eine „AI-First“-Mentalität. Eine Umfrage in mehreren europäischen Ländern zeigt nun, dass die Mehrheit der Befragten diesen Hype nicht mitträgt. Ihr bereitet vor allem der wachsende Strom- und Wasserverbrauch Sorge. Und sie wünscht sich eine strengere Regulierung.

Ich öffne mein Bahn-Ticket. “Dieses Dokument scheint lang zu sein. Spare Zeit und lies eine Zusammenfassung”, empfiehlt mir prompt mein PDF-Reader. Ein Paradebeispiel dafür, wie immer mehr Anwendungen den Nutzer*innen KI-Tools aufdrängen, in den meisten Fällen, ohne dass sich ein Nutzen daraus ergibt.

Weltweit versuchen Regierungen und große IT-Firmen, sich im KI-Wettbewerb zu überbieten. Dabei benötigen die zugrunde liegenden Systeme immer mehr Rechenleistung, für die irgendwo Computer laufen müssen, die Strom und Wasser verbrauchen. Doch während das Thema Rechenzentren längst in der politischen Debatte und bei Fachleuten angekommen ist, wusste man bislang kaum etwas darüber, wie die Bevölkerung diese Entwicklung einschätzt.

Aus diesem Grund hat AlgorithmWatch in mehreren europäischen Ländern eine repräsentative Umfrage zu Rechenzentren und ihren Auswirkungen durchführen lassen. Gemeinsam mit internationalen Partnerorganisationen wie der spanischen Initiative Tu Nube Seca mi Rio, Friends of the Earth Ireland und der europäischen Klimaschutzallianz Beyond Fossil Fuels wurden Menschen in Deutschland, der Schweiz, Spanien, Irland und dem Vereinigen Königreich befragt.

Wunsch nach mehr Transparenz und mehr Regulierung

Die Ergebnisse sind überraschend deutlich: In allen beteiligten Ländern spricht sich jeweils eine große Mehrheit der Befragten für eine stärkere Regulierung und mehr Transparenz von Rechenzentren aus. In einigen Ländern ist die Zustimmung dabei besonders hoch, so zum Beispiel in Spanien und Irland. Dort ist der Wasser- beziehungsweise Stromverbrauch der KI- und Cloud-Fabriken schon länger Gegenstand öffentlicher Diskussionen und Proteste. Denn sowohl im grünen Irland als auch im trockenen Spanien wirken sich die Rechenzentren bereits spürbar auf Energiepreise und Wasserverfügbarkeit aus. In Spanien befürchten knapp 90 Prozent der Befragten, dass der Wasserverbrauch der Einrichtungen ihre eigene Versorgung beeinträchtigen könnten.

Auch beim Blick auf die Gesamtergebnisse sprechen die Zahlen eine eindeutige Sprache: Drei Viertel der Befragten aller Länder sorgen sich, dass der Wasserverbrauch die umliegenden Ökosysteme beeinträchtigen könnte. Fast genauso viele befürchten Auswirkungen auf den eigenen Wasserverbrauch und immerhin nahezu zwei Drittel denken, dass der Energieverbrauch von Rechenzentren bereits heute einen relevanten Anteil des Stromverbrauchs in den jeweiligen Ländern ausmacht.

Groß ist aber nicht nur der Anteil derer, die sich Sorgen machen, sondern auch die Unterstützung für politische Forderungen, die Betreiber stärker in die Verantwortung nehmen. Mehr als sieben von zehn Befragten wollen, dass der Bau neuer Rechenzentren nur dann erlaubt ist, wenn der zusätzliche Strombedarf durch zusätzliche Kapazitäten an erneuerbaren Energien gedeckt wird. Ebenso viele wollen klare Kriterien, nach denen Energie verteilt wird – wobei die Befragten Rechenzentren und KI-Modelle konsequent als unwichtig bewerten.

Bei der Verteilung der Energie sollten gemäß der Umfrage vor allem die Sektoren priorisiert werden, die erneuerbare Energien zur Umstellung auf eine klimafreundliche Produktion benötigen. Rechenzentren gehören nicht dazu – ihr Stromverbrauch entsteht ja gerade zusätzlich. Häufig werden diese aktuell direkt mit Strom aus fossilen Brennstoffen betrieben. Vielerorts werden sogar Gaskraftwerke neu errichtet, um den Bedarf zu decken. Aber selbst wenn neue Rechenzentren mit erneuerbaren Energien betrieben werden, wie es in Deutschland ab 2027 für größere Einrichtungen vorgeschrieben ist, fehlt ohne weiteren Ausbau diese Energie dann in anderen Sektoren und verlangsamt dort die Dekarbonisierung. Ob direkt oder indirekt: Der Strombedarf für Rechenzentren und KI-Anwendungen gefährdet die Klimaziele.

Verbräuche steigen an, verlässliche Zahlen fehlen

Der Blick auf die Zahlen zeigt: Die in der Umfrage deutlich werdenden Sorgen sind mehr als berechtigt. In Irland verbrauchen Rechenzentren mittlerweile 22 Prozent des gesamten Stroms und tragen erheblich zu den teils enormen Strompreissteigerungen bei. Auch in Deutschland entfallen aktuell mehr als vier Prozent des gesamten Stromverbrauchs auf Rechenzentren. Schätzungen zufolge sind es in Frankfurt am Main bereits jetzt 40 Prozent des Stromverbrauchs, in Dublin sogar 80 Prozent. In der gesamten EU sind es mehr als drei Prozent – Tendenz stark steigend.

Hinzu kommt das für die Kühlung benötigte Wasser: In Spanien werden die größten KI-Fabriken ausgerechnet in den trockensten Regionen gebaut. Auch in Deutschland könnte laut einer Studie der Gesellschaft für Informatik der Wasserverbrauch von Rechenzentren zu Problemen führen – beispielsweise im Rhein-Main-Gebiet und in Brandenburg.

Während die Politik und Betreiberunternehmen offensiv für einen starken Ausbau von Rechenzentren und KI-Infrastruktur werben, mehren sich die Proteste der lokalen Bevölkerung. In Deutschland konzentrieren sich diese bislang vor allem auf Frankfurt und Umgebung. In Irland oder Spanien, wo bereits länger protestiert wird, sind die Bürgerinitiativen weiter verbreitet und dauerhafter organisiert, beispielsweise in der Initiative Tu Nube Seca Mi Rio – “Deine Cloud trocknet meinen Fluss aus”.

Vielerorts ist die mangelnde Transparenz ein großes Problem. Selbst offizielle Stellen müssen größtenteils auf Schätzungen zurückgreifen, wie viel Wasser und Strom die Rechenzentren tatsächlich verbrauchen. Sind valide Daten vorhanden, bleiben diese meist geheim. Zwar sollen Betreiber größerer Rechenzentren die Verbräuche mittlerweile an nationale Stellen wie dem deutschen Energieeffizienzregister für Rechenzentren und die EU melden – aber auch diese Daten werden nur aggregiert veröffentlicht. Hinzu kommt der Unwillen der Betreiber, diese Informationen bereitzustellen. Ein aktueller Bericht der Europäischen Kommission schätzt für das Jahr 2024, dass nur gut ein Drittel aller Rechenzentren in der gesamten EU dies tun. Selbst die Gesamtzahl aller Rechenzentren kann sie dabei nur mutmaßen.

Ein ähnliches Bild zeigt sich auch in Deutschland

In der Bundesrepublik wird der Strom- und Wasserverbrauch von Rechenzentren erst in der jüngsten Zeit stärker thematisiert. Hier liegt der Anteil der Menschen, die sich Sorgen machen, noch etwas niedriger als in anderen europäischen Ländern. Die Betonung liegt hier auf dem „noch“, denn auch in Deutschland nimmt die Zahl der Rechenzentren stark zu – und soll nach dem Willen der Bundesregierung noch stärker wachsen.

Wie drastisch die Entwicklungen sind, zeigen beispielsweise die Zahlen der Bundesnetzagentur. Diese hatte erst vor kurzem die Schätzungen bezüglich des zukünftigen Stromverbrauchs stark nach oben korrigiert: Die im April 2025 veröffentlichten Szenarien gehen davon aus, dass bis zum Jahr 2037 Rechenzentren 78 bis 116 Terawattstunde (TWh) Strom verbrauchen – doppelt bis viermal so viel, wie es die ursprünglichen Abfragen ergeben hatten. Zur Einordnung: Der gesamte Bruttostromverbrauch lag in Deutschland im Jahr 2023 bei gut 550 TWh.

Da die Bundesnetzagentur nur die Rechenzentren berücksichtigt, die sich aktuell in der Planung befinden, könnten die tatsächlichen Zahlen sogar noch weiter ansteigen. Damit würde der Gesamtbedarf der Rechenzentren 2037 nicht nur bis zu 10 Prozent des deutschen Stromverbrauchs betragen. Der Zuwachs an Rechenzentren sorgt vor allem dafür, dass große Mengen Strom zusätzlich bereitgestellt werden müssen, dass fossile Kraftwerke länger laufen und dass wahrscheinlich auch die Strompreise steigen.

Angesichts dieser Zahlen überraschen die Umfrageergebnisse in Deutschland nicht: Auch hier unterstützen zwei Drittel der Befragten die Auflage, dass Rechenzentren nur gebaut werden dürfen, wenn dafür entsprechend auch weitere Kapazitäten erneuerbarer Energien geschaffen werden. Mehr als drei Viertel der Befragten fordern, dass Betreiber von Rechenzentren ihren Energieverbrauch (76 Prozent), ihre Energiequellen (77 Prozent) und ihre Umweltauswirkungen (81 Prozent) offenlegen.

Die Umfrageergebnisse offenbaren damit auch eine Kluft zwischen der Mehrheitsmeinung in der Bevölkerung und dem Kurs der Bundesregierung. Digitalminister Karsten Wildberger (CDU) hatte erst Ende September gegenüber der Süddeutschen Zeitung angegeben, dass es für ihn “erst einmal primär um das Rechnen” gehe und Nachhaltigkeit demgegenüber nachrangig sei. Die Mehrheit der Befragten sieht das offensichtlich anders.

Und noch eines wird deutlich: Es reicht nicht aus, nur etwas an der Effizienz zu schrauben oder die Nutzung der Abwärme zu optimieren. Angesichts der Größe des erwarteten Wachstums muss es auch darum gehen, den Verbrauch von Rechenzentren absolut zu begrenzen – und dort, wo er unvermeidbar ist, durch zusätzliche erneuerbare Energien zu decken.

KI-Hype begrenzen – Rechenzentren nachhaltig gestalten

Rechenzentren sind zweifelsfrei wichtige Infrastrukturen und werden in Zukunft weiter an Bedeutung gewinnen. Umso wichtiger ist es, diese Infrastruktur nachhaltig zu gestalten und die Fehler der Vergangenheit nicht zu wiederholen. Dazu gehört auch die Frage: Wie viele solcher Rechenzentren brauchen wir eigentlich? Welche der neuerdings überall eingebauten KI-Anwendungen haben einen gesellschaftlichen Nutzen – und welche nicht?

Wie auch in anderen Bereichen darf sich die Debatte um den nachhaltigen Einsatz von KI nicht in erster Linie auf der Ebene von individuellen Konsum- beziehungsweise Nutzungsentscheidungen abspielen. Es braucht vielmehr eine politische Diskussion und Regulierung.

Aktuell wird einem bei jeder noch so kleinen PDF-Datei eine algorithmische Zusammenfassung aufgedrängt, führt jede Google-Anfrage zum Aufruf von Sprachmodellen und soll auch die staatliche Verwaltung nach dem Willen der Bundesregierung an so vielen Stellen wie möglich KI-Systeme benutzen. Hier bringt es wenig, nur an das Individuum zu appellieren. Stattdessen braucht es politische Entscheidungen, die sowohl bei KI-Systemen als auch bei Rechenzentren die ökologischen Folgen mitdenken. Statt der „KI-Nation“, zu der sich Deutschland laut dem Koalitionsvertrag entwickeln soll, braucht es – wenn man schon von Nation sprechen will – eine „KI-sensible Nation“, die neben dem Nutzen auch die Nebenwirkungen und häufig leeren Versprechungen solcher Anwendungen im Auge behält.

Mein Bahnticket jedenfalls drucke ich mir weder aus, noch lasse ich es mir zusammenfassen. Gar nicht so selten ist der Nicht-Einsatz von KI nämlich ihr bester Einsatz.

Julian Bothe ist als Senior Policy Manager bei der gemeinnützigen NGO AlgorithmWatch verantwortlich für das Thema „KI und Klimaschutz“. An der Schnittstelle von Digital- und Energiepolitik arbeitet er daran, den Ressourcenverbrauch und den Klimaschaden des aktuellen KI-Booms in Grenzen zu halten. Promoviert hat er zur Akzeptanz der Energiewende.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Im dritten Quartal trugen wir quietschrote Bauhelme und besichtigten eine Ruine. Und wir zogen Delegationshüte fürs Pokern auf. Nun hoffen wir, dass wir im nächsten Transparenzbericht „Hut ab!“ rufen können. Dafür braucht es eure Unterstützung.

Kürzlich waren wir in einem Kernkraftwerk nördlich von Berlin. Ein Betriebsausflug zu Beginn unserer dreitägigen Klausur in Brandenburg. Die Anlage ist schon lange stillgelegt und wird seit nunmehr 30 Jahren zurückgebaut.

Wir bekamen rote Bauhelme aufgesetzt und eine Führung durch die Ruine. Schwere Stahltüren, Kontrollräume mit längst erloschenen Signalleuchten, an jeder Ecke verblichene Hinweisschilder. Am Ende dann der Blick durch ein gläsernes Bullauge, dahinter, in grüngelbem Zwielicht, der leere Reaktorkern.

Rund 130 Menschen arbeiten noch im Kernkraftwerk. Der Rückbau sei kompliziert und kleinteilig, sagte man uns. Und die Anträge zögen sich hin, auch wegen des Naturschutzgebiets drumherum. Vor 2040 werde man hier nicht fertig. Am Ende soll da, wo jetzt noch Beton in den Himmel ragt, grüne Wiese sein.

Auf der Klausur haben wir uns dann imaginäre Hüte aufgesetzt und nach vorn geschaut: Wer im Team hat welchen Hut auf, trägt also für was Verantwortung? Und wie viel Beteiligung wünscht sich das Team bei welchen Entscheidungen?

Um darauf Antworten zu finden, haben wir „Delegationspoker“ gespielt. Der Name führt in die Irre, weil es nicht ums Bluffen geht, sondern darum, besser Entscheidungen im Team zu treffen. Und am Ende gewinnt auch nicht eine Person den begehrten „Pot“, sondern wir alle mehr Klarheit darüber, wie wir zusammenarbeiten wollen.

Ein wenig Kopfzerbrechen bereitete uns der Blick auf unsere Spendenentwicklung. Das Jahr startete erstaunlich gut, dann aber flacht die Kurve ab. Schlagen sich hier Verteuerung, Konjunkturkrise oder gar politische Resignation nieder? Ausgerechnet jetzt, wo allerorten Grundrechte geschliffen und Überwachung massiv ausgebaut werden? Oder ist es doch nur eine zufällige Delle?

Genauer wissen wir das wohl erst nach dem vierten Quartal und unserer Jahresendkampagne. Vielleicht machen wir uns ja nur unnötigerweise einen Kopf und sagen am Ende all unseren Spender:innen: „Dankeschön, Chapeau und Hut ab!“

Die harten Zahlen

Und damit zu den harten Zahlen des dritten Quartals dieses Jahres.

Von Juli bis September lagen wir bei den Spendeneinnahmen deutlich unter unseren Erwartungen. Insgesamt haben uns in den drei Monaten etwas mehr als 182.800 Euro an Spenden erreicht. Damit sind wir fast 35.700 Euro beziehungsweise 16,3 Prozent unter dem Plan.

Das liegt vor allem daran, dass ihr uns im vergangenen Jahr zum 20. Geburtstag sehr viele Spendengeschenke gemacht habt. Wir hatten gehofft, dass sich einige dieser Geschenke nicht einmalig, sondern über die nächsten Jahre auspacken lassen. Wie ihr wisst, stehen wir auf Dauerspenden.

Nun richten wir unseren Blick erwartungsvoll auf die Jahresendkampagne, die wir derzeit vorbereiten. Wir bauen darauf, dass wir uns mit eurer Unterstützung am Ende des Jahres nicht mehr an das Kopfzerbrechen von heute erinnern.

Unsere Spendeneinnahmen

Der Anteil der Einnahmen aus Spenden beträgt im dritten Quartal 93,8 Prozent unserer Gesamteinnahmen, die sich auf fast 195.000 Euro belaufen.

Wie im Transparenzbericht zum 2. Quartal beschrieben, reichen unsere Einnahmen zwischen Februar bis Mitte November in der Regel nicht dazu aus, um unsere Ausgaben zu decken. Zur Finanzierung dieses „Spendentals“ halten wir jedes Jahr eine größere Spendensumme aus der vorangegangen Jahresendkampagne zurück.

Wir wollen diese Situation langfristig aber verbessern und bitten euch deshalb regelmäßig um Dauerspenden. Diese richtet ihr entweder als Lastschrift über unsere Spendenseite oder als Dauerauftrag über euer Bankkonto ein.

Vielleicht habt ihr unsere letzte Dauerspendenkampagne „30 – 300 -3000“ gesehen. Wir wollten in 30 Tagen, 300 Menschen gewinnen, die uns dauerhaft monatlich 10 Euro spenden. Mit einer Beteiligung von 188 Spender:innen haben wir das angepeilte Ziel zwar nicht erreicht. Dennoch werten wir das Ergebnis als Erfolg, weil viel mehr Menschen eine Dauerlastschrift eingerichtet haben als in vielen anderen Monaten. Das verschafft uns ab dem Herbst zusätzliche jährliche Einnahmen in Höhe von 26.000 Euro und damit größere Planungssicherheit. Herzlichen Dank dafür!

Unsere Ausgaben im 3. Quartal

Bei den Ausgaben bewegen sich die Personalkosten im dritten Quartal bei rund 220.600 Euro. Trotz der neuen Volontariatsstelle, die wir Anfang September mit Timur besetzen konnten, haben wir fast 10.000 Euro weniger verausgabt, als im Stellenplan kalkuliert. Das liegt nach wie vor am Tarifabschluss im öffentlichen Dienst, dessen Ergebnis wir bei der Budgetrechnung zu Jahresanfang höher angesetzt haben, als er dann für 2025 eingetroffen ist.

Bei den Sachkosten haben wir für das dritte Quartal 66.800 Euro ausgegeben, rund 5.500 Euro weniger als gedacht. Hier sind so gut wie alle Ausgabenbereiche unauffällig oder liegen unter dem Plan. Im Bereich Spendenverwaltung sind Gebühren fällig geworden, die halbjährlich abgerechnet werden. In unseren Planungen haben wir diese Kosten als Monatsdurchschnitt berechnet. Deshalb ist dieser Bereich über dem Plan. Diese Entwicklung reguliert sich im Jahresverlauf.

Für Umbaumaßnahmen in unseren Büroräumen haben wir etwas mehr als 5.000 Euro ausgegeben. Der Umbau war nötig, um neue Arbeitsplätze für die neuen Stellen im Volontariat und im Projekt Reichweite zu schaffen.

Unser Projekt Reichweite hatten wir im letzten Quartalsbericht vorgestellt. Wir haben 200.000 Euro zurückgelegt für diese Maßnahmen – einen Relaunch unserer Website, eine höhere Verbreitung unserer Inhalte in den sozialen Medien sowie eine neue Software, um mehr und schnelleren Überblick zu unseren Spendeneinnahmen zu bekommen. Seit dem Sommer läuft die Arbeit an dem Relaunch; und seit Anfang September kümmert sich Fio in unserem Team um unsere Reichweite in den sozialen Medien.

Unterm Strich haben wir für Personalkosten und Sachkosten im dritten Quartal rund 287.400 Euro verausgabt. Das sind knapp 15.600 Euro weniger, als wir kalkuliert haben.

Das vorläufige Ergebnis

Im Jahresverlauf haben wir Einnahmen in Höhe von 655.700 Euro erzielt und liegen zum Ende des dritten Quartals mit 27.200 Euro knapp über dem Plan. Grund sind vor allem die sehr guten Spendeneinnahmen zu Jahresbeginn. Da unsere Ausgaben in Höhe von 860.500 Euro unter den kalkulierten Kosten liegen, fällt unser derzeitiges Ergebnis von minus 204.800 Euro immerhin um 72.700 Euro geringer aus als erwartet. Trotz der Delle in den Spendeneinnahmen im dritten Quartal bleiben wir optimistisch. Das Jahr kann so gut ausgehen, wie es angefangen hat!

Wenn ihr uns unterstützen möchtet, findet ihr hier alle Möglichkeiten. Am besten ist eine monatliche Dauerspende. Damit können wir langfristig planen.

Inhaber: netzpolitik.org e.V.
IBAN: DE62430609671149278400
BIC: GENODEM1GLS
Zweck: Spende netzpolitik.org

Wir freuen uns auch über Spenden via Paypal.

Wir sind glücklich, die besten Unterstützer:innen zu haben.

Unseren Transparenzbericht mit den Zahlen für das 2. Quartal 2025 findet ihr hier.

Vielen Dank an euch alle!

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Bundeskriminalamt hat vergangenes Jahr fast 548 Millionen Fluggastdaten erhalten und gerastert. Das geht aus einer Antwort der Bundesregierung hervor. Mittlerweile landen 90 Prozent aller Passagiere in Deutschland in Datenbanken bei der Polizei.

Wer in letzter Zeit von oder in die EU geflogen ist, dessen Daten hat das Bundeskriminalamt mit hoher Wahrscheinlichkeit analysiert.

Die Daten von 153 Millionen Fluggästen haben die Fluggesellschaften im zurückliegenden Jahr an die Fluggastdatenzentralstelle im Bundeskriminalamt übermittelt. Insgesamt waren es 548 Millionen Datensätze. Das geht aus der Antwort der Bundesregierung auf eine Kleine Anfrage der Fraktion Die Linke hervor. Gegenüber dem Vorjahr sind es etwa 94 Millionen mehr Datensätze und 28 Millionen mehr betroffene Passagiere.

Das BKA gleicht die Daten der Flugreisenden automatisch mit polizeilichen Datenbanken ab und sucht nach Mustern, „um Personen zu identifizieren, die mit terroristischen Straftaten oder schwerer Kriminalität in Zusammenhang stehen könnten“, so die Website des BKA.

Die maschinelle Prüfung erzielte im vergangenen Jahr auf diese Weise über 200.000 Datensatztreffer und rund 6.800 Mustertreffer. Nach einer händischen Überprüfung haben BKA-Mitarbeitende nur rund 90.000 von ihnen als echt-positive Treffer bestätigt.

Im Vergleich zum Vorjahr waren es deutlich weniger automatische Treffer. Dennoch konnten die Fahnder*innen nach ihrer Überprüfung mehr Treffer bestätigen als vergangenes Jahr.

Aus diesen Treffern ergaben sich wiederum lediglich 10.426 polizeiliche Maßnahmen, wenn beispielsweise die angetroffenen Flugreisenden mit den gesuchten Personen tatsächlich übereinstimmten. In ungefähr einem Fünftel der Fälle ging es um Aufenthaltsermittlungen. Mehr als 1.500 Menschen wurden festgenommen. Am häufigsten haben die Beamt*innen die angetroffenen Fluggäste durchsucht.

Damit geht die Tendenz der letzten Jahre weiter: Die Menge der erfassten und übermittelten Daten wächst, ohne dass sich damit mehr Treffer erzielen lassen. Der Anteil der für die Grenzbehörden interessanten Personen an allen betroffenen Fluggästen ist und bleibt verschwindend gering.

Immer mehr Datenflut

Nicht nur wächst die Menge der erfassten Daten, der Anteil der betroffenen Passagiere am gesamten Flugaufkommen in Deutschland ist auch größer geworden. Aktuell sind es ungefähr 90 Prozent aller Flugreisenden, deren Daten das BKA verarbeitet (Stand August 2025). Das ist die überwältigende Mehrheit. Im vergangenen Jahr waren es noch 72 Prozent.

Denn immer mehr Luftfahrtunternehmen übermitteln die Daten ihrer Fluggäste an die Fluggastdatenzentralstelle. Aktuell sind es 391 Unternehmen, die an das Fluggastdateninformationssystem angeschlossen sind. Das sind 160 mehr als im Vorjahr. Welche und wie viele Unternehmen an das System noch angebunden werden müssen, wollte die Bundesregierung nicht beantworten.

Zugelassen waren im vergangenen 1710 ausländische und 101 deutsche Fluggesellschaften, so das Luftfahrt-Bundesamt.

Begehrte Daten

Beim Fluggastdatensatz handelt es sich um Daten, die bei der Buchung des Fluges anfallen. Dazu gehören der Name, Telefonnummer und E-Mail-Adresse, alle Arten von Zahlungsinformationen einschließlich der Rechnungsanschrift sowie Informationen zum Gepäck, zum Tarif, zur Zahlungsweise und zu Mitreisenden. Auch Angaben zum Reisebüro und zur Sachbearbeiter*in sind enthalten.

Die Fluglinien sind gesetzlich verpflichtet, die Daten aller Flüge über EU-Außengrenzen sowie für ausgewählte Strecken innerhalb der EU an die Fluggastdatenzentralstelle weiterzugeben und tun dies in Deutschland seit 2018.

Als wesentlich stichhaltiger gelten die sogenannten API-Daten (Advance Passenger Information-Daten), die über den normalen Geschäftsverlauf hinausgehen und viel detailliertere Informationen enthalten: neben der Flugverbindung sind es Daten aus den mitgeführten Identitätsdokumenten, unter anderem Ausstellungsland und Ablaufdatum des Dokuments, Staatsangehörigkeit, Familienname, Vorname, Geschlecht sowie Geburtsdatum. Da EU-Gesetzgebende diese Daten als „verifiziert“ betrachten, müssen die Fluggesellschaften nun auch sie in Kombination mit den Fluggastdatensätzen erheben und an Behörden übermitteln. Anfang dieses Jahres sind zwei EU-Verordnungen dazu in Kraft getreten.

Die EU richtet dafür einen zentralen Router ein, von dem aus die Daten an die zuständigen Behörden in jeweiligen EU-Ländern übermittelt werden. Fluggesellschaften müssen ihre automatisierten Systeme daran anschließen.

Bisher erhoben die Flugunternehmen diese Daten in unterschiedlicher Tiefe und auch nicht in einem standardisierten Format. An Behörden mussten sie vorab nur „etwaige erhobene“ API-Daten weiterleiten, weitere Vorschriften fehlten bis dahin.

Neues Bundespolizeigesetz

Seit 2008 fordert auch die Bundespolizei API-Daten zu bestimmten Flügen an, um sie vor Eintreffen des Fliegers zu prüfen. Im Zuge des neuen Bundespolizeigesetzes soll diese Einschränkung auf ausgesuchte Flüge entfallen. Im Gesetzesentwurf heißt es, dass nun die API-Daten aller Flüge über EU-Außengrenzen von und nach Deutschland an die Bundespolizei übermittelt werden müssen.

Wer also beispielsweise aus Großbritannien nach Deutschland fliegt, deren Daten landen sowohl bei der Fluggastdatenzentralstelle des BKA als auch bei der Bundespolizei, noch bevor man das Flugzeug betreten hat.

Von der anlasslosen Flugdatenspeicherung sind nicht alle Flugreisenden betroffen. Privatflüge sind vom Anwendungsbereich des Fluggastdatengesetzes nicht erfasst und fliegen unter dem BKA-Radar. Diese Behörde wertet die Daten aller anderen Passagiere nicht nur aus, sondern speichert sie für ein halbes Jahr. Verifizierte und ausgeleitete Treffer können auch bis zu fünf Jahre lang gespeichert werden.

Hinweis: In der alten Version war die Löschfrist nach dem alten Stand angegeben. Wie die Bundesregierung in der Antwort auf die Kleine Anfrage der Partei Die Linke im Jahr 2024 mitteilte, werden die Datensätze gemäß der Rechtsprechung des Europäischen Gerichtshofes nach einem halben Jahr automatisch gelöscht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.