Rezensions- und Kommentarspalten sind kleine Oasen des Internets. Denn überall dort, wo Menschen ins Netz schreiben können, entsteht Leben.

Gelegentlich sitze ich in der Kneipe und beobachte die Leute. An eine Szene erinnere ich mich besonders gern. Ein unscheinbarer Mann, flankiert von einem Rotweinglas und einer Zigarettenschachtel, haut kurz vor Mitternacht in die Tasten eines uralten Lenovo-Laptops – ein exzellentes Setup, um Poesie oder Tagebucheinträge zu verfassen. Doch ein flüchtiger Blick über die gebeugten Schultern offenbart ein schaurig-schönes Geheimnis: Der Mann schreibt Amazon-Rezensionen.

Wer viel auf Amazon kauft oder gar rezensiert, erntet in manchen Kreisen ein verächtliches Schnauben. Ähnlich sieht es mit Kommentaren in den sozialen Medien aus. „Da sind ja ohnehin nur Trolle oder Bots unterwegs“, lautet eine geläufige Meinung. Die feinen Leute veröffentlichen lieber gefahr- und witzlos auf Networking-Plattformen wie LinkedIn. Dabei verstecken sich in den Kommentar- und Rezensionsspalten des restlichen Internets die weitaus wichtigeren Texte.

Amazon-Rezensionen als Kunstform

Kevin Killian war der bislang wohl schillerndste Amazon-Rezensent. Der Schriftsteller erlitt in den frühen 2000er-Jahren einen Herzinfarkt und bekam deshalb Medikamente verschrieben, die ihn nach eigener Aussage „zu glücklich zum Schreiben“ machten. Um die Blockade zu überwinden, begann Killian Rezensionen auf Amazon zu veröffentlichen. So entstanden über einen Zeitraum von fünfzehn Jahren zigtausende Texte, von denen 2024 eine Auswahl als Buch mit dem Titel „Selected Amazon Reviews“ erschien.

Killian schreibt in diesen Texten hauptsächlich über Popkultur, darunter Filme wie „Scream 4″ („Manche sagen, der Film sei der Beste seit dem ersten Scream, ich gehe sogar noch weiter und sage, es ist der Beste aller Screams“) oder „Twilight“ bis hin zu Klassikern des französischen Kinos wie „Cléo from 5 to 7“ von Agnès Varda.

Mit viel Liebe zum Detail nimmt er auch gewöhnlichere Produkte unter die Lupe, zum Beispiel Ibuprofen-Tabletten („ihre heilenden Atome beschleunigen die Genesung meines Fußes“) oder eine Barbie-Puppe aus dem Jahr 2002. Mal klingt Killian wie ein normal neurotischer Bürger, dessen ganze Aufmerksamkeit auf ein zuvor gekauftes Kochbuch für Schongarer gerichtet ist, eine Rezension später bespricht er literarische Werke in Feuilleton-Qualität.

Killian bewertet meist großzügig mit fünf Sternen. Immer sind seine Rezensionen witzig, warmherzig und tiefgründig. Das sind Eigenschaften, die mit dem Einkaufserlebnis auf Amazon eigentlich nichts zu tun haben. Wenn sich Killian etwa über die Vor- und Nachteile eines Stabmixers auslässt, mit dem sich kostengünstig Mandelmilch im Hotelzimmer zubereiten lässt, blüht aber selbst die trostlose Shopping-Wüste auf. In dieser subversiven Begrünung liegt Killians großer Verdienst.

Kommentarspalten sind Zufluchtsorte

Nachdem Bilder und Videos den Text als vorherrschendes Medium im Netz abgelöst haben, gehören Kommentar- und Rezensionsbereiche zu den letzten Bastionen für das geschriebene Wort im Netz. Von Amazon bis Pornhub und YouTube – und eigentlich immer dort, wo Leute etwas schreiben können – lassen sich digitale Textschätze finden.

Wer flexibel genug ist, kann auch in Google-Maps-Rezensionen einen Schuss Gesellschaftskritik mit Radikalisierungspotenzial herauslesen. Etwa bei 1-Stern-Bewertungen von Michelin-Restaurants in Dubai („Ein einzelner Gang wurde von mehr als zehn Mitarbeitern zusammengestellt. Das war plump und unnötig“) oder in München („Ich war mit meinen Eltern dort, und unser Besuch bescherte uns ein kulinarisches Erlebnis, das zu keinem Preis akzeptabel wäre – geschweige denn für die 560 € pro Person, die wir bezahlten“).

Auch den Videos auf Instagram oder TikTok geben die Kommentare oft ihren letzten Schliff. Nicht umsonst sind die beliebtesten Reaktionen selbst meist Aussagen wie „I went straight to the comments“ (dt.: Ich bin gleich zu den Kommentaren gegangen) oder Popcorn-Emojis und GIFs, was so viel bedeutet wie: Hier folgt man aufmerksam dem Geschehen.

Manche Kommentare helfen auch über die Betrachtung selbst schlimmster Content-Verbrechen hinweg. Etwa wenn sich ein Mensch mit Rasierschaum einreibt und sich auf dem Wohnzimmerboden windet, um den Weg eines Spermiums zur Eizelle zu „simulieren“ und der Top-Kommentar mit über hunderttausend Likes kommentiert: „Stellt euch vor, ihr fahrt an einem Haus vorbei und dort drinnen passiert DAS.“

Auch die schönsten meiner persönlichen Netz-Erinnerungen hängen mit Kommentaren zusammen. Darunter eine Antwort auf die Frage nach dem Verbleib des Musikers „John Fitch“ unter seiner einzigen auf YouTube hochgeladenen EP mit dem grandiosen Song „Romantic Attitude“. „He’s alive and well in Philadelphia. He’s my dad. Still making music.😊“, schreibt die Tochter von Fitch dem Fragesteller zwei Jahre später in die Kommentare.

Das Netz mit Leben fluten

Leider bilden die positiven Lese-Erlebnisse eine Ausnahme in der digitalen Öffentlichkeit. Ein Klüngel aus politischen Aktivisten, Werbemachern, Plattformbetreibern, Geschäftsleuten und Trollen tut sein Bestes, um das Netz mit Müll zu fluten. Dagegen steht der Gedanke, dass auch kleine Textgattungen wie Rezensionen oder Kommentare in einem Haufen Schrott eine besondere Strahlkraft entwickeln können.

Einige denken sich nun: „Ja, aber die Trolle sind ohnehin in der Überzahl!“, „Lösch doch einfach TikTok!“ oder „Dann bestell eben nix bei Amazon!“. So einfach geht das aber nicht. Amazon, Google Maps und die sozialen Medien zählen zu den bedeutendsten Knotenpunkten im Netz, die täglich von unzähligen Menschen besucht werden. An ihnen kommen wir alle nur schwer vorbei.

Soll ich aus der Großstadt wegziehen, weil mich die Autos und Shopping-Malls stören? Nein. Ich unterstütze lieber die wenigen Orte und Menschen, die diese Stadt lebenswert machen. Gleichsam kann jeder Text im Netz, und mag er noch so unbedeutend scheinen, zu einer Oase in einer Wüste der digitalen Trostlosigkeit werden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 1. Kalenderwoche geht zu Ende. Wir haben 14 neue Texte mit insgesamt 80.230 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

das Jahr ist erst drei Tage alt und ich bin derzeit noch vor allem damit beschäftigt, die vergangene Woche zu verarbeiten. Der Jahreswechsel ist ja ohnehin für viele Menschen eine emotionale Zeit, für mich in jedem Fall. Das liegt nicht nur an diesem symbolisch aufgeladenen Datum, das zur Rückschau und zum Ausblick einlädt, sondern auch an dem Ereignis, das sich traditionell zwischen Weihnachten und Silvester abspielt: die jährliche Versammlung auf dem Kongress des Chaos Computer Clubs.

Es ist schwer in Worte zu fassen, was diese Veranstaltung ausmacht. Mehr als 15.000 Menschen kommen hier zusammen, um für vier Tage einen Ort zu erschaffen (mit Auf- und Abbau sind es noch mehr), der in vielerlei Hinsicht anders funktioniert als die Welt außerhalb. Sie programmieren, löten und knacken Schlösser zum Spaß. Vor allem aber sind sie solidarisch miteinander, sie vernetzen sich, sie teilen ihr Wissen und ihre Arbeitskraft. Sie schmieren Brötchen, kontrollieren den Einlass, bringen leere Flaschen weg und kümmern sich auch sonst rührend umeinander  – alles im Ehrenamt, alles selbstorganisiert. Das zu erleben, ist für mich jedes Jahr aufs Neue berührend und gibt mir Mut und Energie fürs neue Jahr.

Wenn mich jemand fragt, wie es auf dem Congress war, dann beschreibe ich meist genau diese Gefühle. Congress bedeutet Liebe, Dankbarkeit und Anerkennung. Ich fühle sie für viele der anderen Besucher*innen, die hier zusammenkommen. Denn es geht ja nicht nur um die Strukturen, die hier für eine viertägige Großkonferenz gemeinsam erbaut werden (auch wenn die unglaublich unterhaltsam und beeindruckend sein können). Viele der Menschen auf dem Congress arbeiten über das ganze Jahr daran, Strukturen zu schaffen und zu erhalten, die eine Gesellschaft besser machen. Sie kämpfen für Informationsfreiheit, gegen eine rassistische Migrationspolitik oder decken Sicherheitslücken auf. Die Vernetzung, Solidarität und Empathie, die es in Zeiten der faschistischen Bedrohung so dringend braucht und die in den vergangenen Jahren immer weiter abhandenkommt? Auf dem Congress findet man sie in allen Ecken.

Und wenn man das Glück hat, für eine Organisation wie netzpolitik.org zu arbeiten, dann bedeutet Congress umgekehrt auch: Liebe und Anerkennung zu erhalten. Menschen kommen nach den Vorträgen auf uns zu. In vielen der Talks greifen andere unsere Berichterstattung auf. Oder wie mein Kollege Markus Reuter schreibt:

„Es ist ein krasses Gefühl, einen Vortrag auf dem #39c3 zu hören und der Speaker bittet plötzlich um Applaus für @netzpolitik_feed – und dann klatschen da mehr als 2000 Menschen für das Medium, für das Du arbeitest. Mehr Vertrauen und Anerkennung kann ich mir kaum vorstellen.“

Nach dem mehrtägigen Bad in dieser wohligen Gefühlssuppe saß ich dann gerade völlig übermüdet im Zug auf dem Rückweg nach Berlin, als ich die Nachricht erhielt, dass wir unser Spendenziel für das Jahr 2025 erreicht haben. Und das bereits am 30. Dezember. In nur sechs Wochen hatten uns sehr viele Menschen zusammen fast eine halbe Million Euro gespendet und so dafür gesorgt, dass unsere Arbeit weiter finanziert ist. Ich kam dann sehr müde und sehr glücklich zu Hause an. #blessed

Ich weiß, dass der Jahreswechsel für viele eine eher ernüchternde und deprimierende Zeit ist. Es ist verständlich und okay, sich angesichts der Weltlage mutlos zu fühlen. Fürs nächste Jahr wünsche ich euch, dass ihr einen Ort findet, der euch so gute Gefühle gibt wie mir der Congress.

Auf ein Neues

Chris

Sicherheitslücke: Wenn die Nachricht vom Fake-Doktor kommt

Das KIM-System soll garantieren, dass Ärzt:innen und Krankenhäuser geschützt sensible Gesundheitsdaten austauschen können. Auf dem Chaos Communication Congress weist der IT-Forscher Christoph Saatjohann nach, dass das System gravierende Sicherheitslücken aufweist. Verantwortlich dafür sei vor allem die Gematik. Von Daniel Leisegang –
Artikel lesen

Maximaler Nervenkitzel: Das sind die Tricks der Glücksspiel-Industrie

Katsching und Klimper-klimper: Mit raffinierten Mechanismen fesseln Anbieter von Glücksspielen Menschen an die Geräte und verdienen Milliarden. In ihrem Vortrag auf dem 39C3 nimmt Forscherin Elke Smith die Tricks auseinander – und zeigt, wo Regulierung ansetzen könnte. Von Sebastian Meineck –
Artikel lesen

Der Countdown läuft: Uns fehlen noch knapp 63.000 Euro!

Uns bleiben nur noch wenige Tage, um unser Spendenziel zu erreichen. Nur dann können wir unsere Arbeit wie gewohnt auch im kommenden Jahr fortsetzen. Spende jetzt! Von netzpolitik.org –
Artikel lesen

Breakpoint: Netzpolitik ist Machtpolitik

Netzpolitik wird allzu oft als technische Detailfrage für Nerds verkannt. Doch dort verhandeln wir längst individuelle wie kollektive Freiheit, Hoheit und Macht. Zwischen staatlichen Kontrollansprüchen und der Dominanz globaler Techkonzerne geraten die Interessen der Nutzer:innen ins Hintertreffen. Von Carla Siepmann –
Artikel lesen

bund.ee: Vertippt und umgekippt

Beim Umgang mit Domains kann einiges schiefgehen. Einige Probleme ließen sich leicht verhindern, das würde die IT-Sicherheit verbessern und es Betrüger:innen schwerer machen. Doch bei Bundesbehörden deckt ein Sicherheitsforscher immer wieder Probleme auf. Von Anna Biselli –
Artikel lesen

Erfundene Quellen: Wie Chatbots die Wikipedia vergiften

Manche Nutzer:innen lassen sich Wikipedia-Artikel von Sprachmodellen generieren, inklusive erfundener Referenzen. Ein Wikipedia-Urgestein stolperte zufällig über die halluzinierten Artikel – ausgerechnet mit der Hilfe von einem Sprachmodell. Von Leonhard Pitz –
Artikel lesen

Digitale Brieftasche: „Auf einem ähnlich unguten Weg wie die elektronische Patientenakte“

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt. Von Daniel Leisegang –
Artikel lesen

Dezentrale Netzwerke: „Es braucht dauerhaft zivilgesellschaftliche Power“

Mastodon galt vielen als Alternative zu Twitter, nachdem Elon Musk die kommerzielle Plattform übernommen hatte. Marco Wähner sprach auf dem 39. Chaos Communication Congress darüber, warum das dezentrale Netzwerk mehr als nur eine Alternative ist und was wir als Zivilgesellschaft tun müssen, um dessen Idee zu stärken. Von Esther Menhard –
Artikel lesen

Huduma Namba: Wie Kenias Zivilgesellschaft die Totalerfassung der Bevölkerung bekämpfte

Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg. Von Ingo Dachwitz –
Artikel lesen

Digital Fights: Wir sagen tausend Male Dankeschön!

Die Finanzierung von netzpolitik.org für 2026 ist gesichert. Wir sind überglücklich und erleichtert. Vielen Dank euch allen! Ihr seid die beste Community der Welt. Von netzpolitik.org –
Artikel lesen

Neutralität und Grundgesetz: Widerstand ist Pflicht

Bundestagspräsidentin Julia Klöckner pocht darauf, doch wer kann heutzutage noch neutral sein? Um die Demokratie zu verteidigen, sei Rückgrat sogar Pflicht, ordnen Hannah Vos und Vivian Kube auf dem 39. Chaos Communication Congress die Debatte rund ums Neutralitätsgebot ein. Von Esther Menhard –
Artikel lesen

Public Domain Day: Diese Werke sind ab heute gemeinfrei

Mit Beginn des Jahres 2026 gehen viele Kunstwerke, Schriften und Musikstücke in die Public Domain über. In Europa sind das die Werke von Urheber*innen, die im Jahr 1955 gestorben sind. Mit dabei sind Thomas Mann, Fernand Léger und Clemence Housman. Von Timur Vorkul –
Artikel lesen

Strategien für politisches Engagement: Vier Vorträge vom Hackerkongress, die Mut machen

Politisch Einfluss nehmen, ohne auszubrennen. Privatsphäre verteidigen, obwohl die Zeichen auf Überwachung stehen. Demokratische Räume stärken – in braunen Nestern. Vier Vorträge vom 39C3 geben interessierten Menschen Motivation und praktische Tipps an die Hand. Von Sebastian Meineck –
Artikel lesen

#304 Off The Record: Recherche-Highlights live vom 39C3

Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet! Von Ingo Dachwitz –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet!

Wir waren live, das erste Mal seit fünf Jahren: Auf der Bühne des 39C3-Sendezentrums habe ich mit meinen Kolleg:innen Esther, Markus und Chris geplaudert. Wie war ihr Chaos Communication Congress bislang? Was hat in den letzten Wochen super geklappt und was weniger gut? Und vor allem: Wie liefen ihre Lieblingsrecherchen des Jahres ab?

Chris erzählt vom mSpy-Leak, für den wir 3,6 Millionen Nachrichten an den Support einer Überwachungs-App ausgewertet haben. Markus spricht über eine außergewöhnliche Crowd-Recherche zwischen Berlin und Belgrad. Und Esther berichtet von den Mühen der Berichterstattung über Verwaltungsdigitalisierung.

Außerdem beantworten wir Hörer:innenfragen: Welche Recherchen sind so richtig schief gelaufen? Wie viele Admins arbeiten bei netzpolitik.org? Und welche Drähte haben wir ins Parlament?

In dieser Folge: Chris Köver, Esther Menhard, Ingo Dachwitz und Markus Reuter.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.

Links und Infos

Blattkritik

• Der Congress-Talk von Chris darüber, wie Ausländerbehörden Handys durchsuchen
• Esthers Artikel zum Datenatlas der Bundesregierung
• Der Beitrag von Markus: „netzpolitik.org wirkt“
• Ingos und Sebastians Artikel zu möglichen Datenkäufen durch deutsche Sicherheitsbehörden

Hausmitteilungen

• Jahresrückblick: Unser Jahr in Zahlen
• Ausgezeichnet: Daniel Leisegang und Anna Biselli als drittbeste „Chefredaktion des Jahres“
• Unsere Spendenkampagne zum Jahresende: Videos, Merch und mehr

Aus dem Maschinenraum/Thema des Monats

• Chris‘ und Martins Recherche zu einer Stalking-App: Der mSpy-Leak
• Markus‘ Recherche zu einer neuartigen Bedrohung für die Versammlungsfreiheit: Was wir über die mysteriöse Waffe wissen, die in Belgrad gegen friedliche Proteste eingesetzt wurde
• Esthers Recherche zur Planlosigkeit bei digitaler Souveränität: Keine Strategie für Umstieg auf Windows 11

Kapitel

00:00:00 Begrüßung
00:03:32 Blattkritik
00:07:44 Hausmitteilungen
00:09:18 Thema des Jahres
00:37:57 Postfach
00:44:52 Credits

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Politisch Einfluss nehmen, ohne auszubrennen. Privatsphäre verteidigen, obwohl die Zeichen auf Überwachung stehen. Demokratische Räume stärken – in braunen Nestern. Vier Vorträge vom 39C3 geben interessierten Menschen Motivation und praktische Tipps an die Hand.

2025 war kein erbauliches Jahr für Grund- und Menschenrechte. Während die rechtsradikale Trump-Regierung die USA zu einer Autokratie umkrempelte, brachten Regierungen in der EU und Deutschland teils uralte Überwachungs-Vorhaben wieder voran, und ausgerechnet die deutsche Kanzlerpartei nahm wiederholt die demokratische Zivilgesellschaft ins Visier.

Wenig spricht dafür, dass sich der Tenor im Jahr 2026 ändern wird. Was tun, um nicht in Resignation und Verzweiflung zu verfallen?

Antworten hierzu liefern viele Vorträge vom jüngsten Chaos Communication Congress in Hamburg. Vier mit besonders praktischen Impulsen fassen wir hier kurz zusammen – sie kommen von Jurist*innen, Aktivist*innen und Insider*innen aus dem Bundestag.

1. Politisch Einfluss nehmen: Tipps von Bundestag-Insider*innen

📋 Worum geht es? Wer Politik und Gesetzgebung selbst positiv beeinflussen möchte, bekommt im Vortrag „Power Cycles statt Burnout – Wie Einflussnahme nicht verpufft“ eindringliche und konkrete Tipps – mit besonderer Rücksicht darauf, dass man als engagierter Mensch nur begrenzt Zeit und Energie hat.

🗣️ Wer spricht da? Anna Kassautzki war von 2021 bis 2025 Bundestagsabgeordnete der SPD und stellvertretende Vorsitzende des Digitalausschusses. Rahel Becker hat sie als wissenschaftliche Mitarbeiterin unterstützt, unter anderem beim Einsatz gegen das als Chatkontrolle bekannte Überwachungsvorhaben der EU.

💡 Was kann man lernen? Stück für Stück erklären Kassautzki und Becker, wie man zunächst die für das eigene Anliegen relevanten Köpfe identifizieren kann: etwa Abgeordnete (und deren Mitarbeitende) im zuständigen Ausschuss oder Abgeordnete aus dem eigenen Wahlkreis. Außerdem raten sie dazu, das eigene Anliegen prägnant zu verpacken: Auf einem One Pager mit konkreten Beispielen, die auch „Oma“ versteht. Schließlich geben sie Tipps, wie man Bündnisse schmiedet und sich im Netzwerk die Arbeit aufteilt, um sich Gehör zu verschaffen – zu strategisch klug gewählten Anlässen.

🥽 Für wen lohnt sich der ganze Vortrag? Für Menschen, die bereits politische Arbeit machen und sich einen Effizienz-Boost geben wollen – und für alle, die überlegen, damit anzufangen. „Wir glauben, dass es fundamental wichtig ist, dass nicht nur große Konzerne in den Büros von Abgeordneten sitzen“, sagt Rahel Becker, „sondern dass da auch sehr viel Zivilgesellschaft sitzt.“

2. Narrative ändern: Tipps von Digital-Aktivist*innen

📋 Worum geht es? Der englischsprachige Vortrag „The Last of Us – Fighting the EU Surveillance Law Apocalypse“ unternimmt zunächst eine Zeitreise: von den frühen Angriffen auf Verschlüsselung in den Neunzigerjahren bis hin zu den frischen Plänen der EU-Kommission für ein Revival der Vorratsdatenspeicherung. Zuletzt gibt es einen Ausblick, wie sich Überwachungsvorhaben in Zukunft bekämpfen lassen.

🗣️ Wer spricht da? Svea Windwehr ist Co-Vorsitzende von D64, einem Verein für progressive Digitalpolitik, und Policy Advisor bei Mozilla. Chloé Berthélémy ist Policy Advisor bei European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte.

💡 Was kann man lernen? Die Aktivist*innen warnen vor einer Wende im Kampf gegen digitale Überwachung: Ob höchste Gerichte weiterhin gefährliche Vorhaben stoppen, sei inzwischen nicht mehr sicher. „Die digitale Zivilgesellschaft muss umdenken“, warnt Windwehr auf Englisch. „Es ist ein Kampf um Narrative, nicht um Gerichtsverfahren.“ Man müsse neue Wege finden, zu erzählen, warum Datenschutz und Privatsphäre wichtig sind. „Wenn wir das tun, glaube ich, dass Widerstand definitiv möglich ist und dass es noch Hoffnung gibt.“ Notwendig seien zudem breite Allianzen mit bisher ungewohnten Partnern – wie etwa Kinderschutz-Organisationen im Kampf gegen die Chatkontrolle.

🥽 Für wen lohnt sich der ganze Vortrag? Der stufenweise Ausbau staatlicher Überwachung zieht sich wie ein roter Faden durch die letzten drei Jahrzehnte: von den bereits in den 90ern gestarteten Crypto Wars über Fluggastdatenspeicherung und Vorratsdatenspeicherung bis hin zu Chatkontrolle. Der Vortrag zeichnet diesen Faden nach und gibt am Ende Impulse für Interessierte, die sich einbringen wollen.

3. Widerstand als Pflicht: Tipps von Jurist*innen

📋 Worum geht es? Rechte bis Rechtsextreme von Union bis AfD nutzen die Forderung nach „Neutralität“ als Waffe gegen die demokratische Zivilgesellschaft. Der Vortrag „Wer hat Angst vor dem Neutralitätsgebot?“ buchstabiert aus, in welchen begrenzten Fällen Menschen und Organisationen tatsächlich auf sogenannte Neutralität achten sollten – und wann sie ganz im Gegenteil beherzt Zivilcourage zeigen müssen. Hier haben wir ausführlicher darüber berichtet.

🗣️ Wer spricht da? Hannah Vos und Vivian Kube arbeiten beide als Rechtsanwält*innen in der Berliner Kanzlei KM8 und gehören zum Legal Team von FragDenStaat.

💡 Was kann man lernen? Egal, ob man Bundeskanzlerin oder Abgeordneter ist, Verwaltungsbeamt*in, Lehrer*in, Aktivist*in oder einfach nur angestellt in einem Unternehmen – Kritik und Widerstand gegen Menschenfeindlichkeit sind legal, möglich und in manchen Kontexten sogar Pflicht. „Es gibt keine Neutralität vor den Werten des Grundgesetzes“, bringt Hannah Vos es auf den Punkt.

🥽 Für wen lohnt sich der ganze Vortrag? Der Vortrag entzaubert das sogenannte Neutralitätsgebot als Schreckgespenst, das in vielen Kontexten nicht oder nur unter bestimmten Voraussetzungen gilt. Wer bis zum Ende schaut (oder dorthin springt) erfährt zudem die Geschichte des Druckers Dieter Schlichting, der ein legendäres Grundsatzurteil erstritt: zur Arbeitsverweigerung aus Gewissensgründen, weil er keine Nazi-Prospekte drucken wollte.

4. Räume vor Ort stärken: Tipps von Antifaschist*innen

📋 Worum geht es? Bei zwei Landtagswahlen in Ostdeutschland könnte die AfD laut Umfragen im Jahr 2026 stärkste Kraft werden: Sachsen-Anhalt und Mecklenburg-Vorpommern. Vor diesem Hintergrund berichten zwei Aktivist*innen vom Netzwerk Polylux, wie sie antifaschistische Projekte in Ostdeutschland fördern. Titel: „Aber hier Leben? Nein danke! …oder doch? Wie wir der autoritären Zuspitzung begegnen können“.

🗣️ Wer spricht da? Die Vortragenden Jaša Hiergeblieben und Lisa Zugezogen vertreten das seit 2019 aktive Netzwerk Polylux. Über Fördermitgliedschaften und Spenden verteilt der Verein Geld an Projekte im ländlichen ostdeutschen Raum.

💡 Was kann man lernen? Gerade im Gespräch mit Menschen aus dem Publikum gibt es motivierende Impulse. So kritisiert Jaša, dass die Brandmauer-Proteste (2024-2025) zwar für begrenzte Zeit Massen auf die Straße gebracht hatten, aber danach wieder verhallt sind. Polylux dagegen interessiert sich für nachhaltige Strukturen: zum Beispiel Gemeinschaften und Treffpunkte, die Menschen zusammenbringen, vor allem in rechtsextrem geprägten Regionen. Selbst wenn man sich am eigenen Wohnort nur mit wenigen coolen Menschen zusammenschließt, ist es „super wichtig zu wissen: Ich bin nicht alleine“, so Jaša. Und falls jemand für Westdeutschland ein ähnliches Netzwerk wie Polylux gründen möchte, „dann macht das, macht damit einfach los!“

🥽 Für wen lohnt sich der ganze Vortrag? Wer die strukturellen Probleme hinter rechtsextremer Radikalisierung besser verstehen will, findet in den Schilderungen der Aktivist*innen Erklärungen. Um die vorwiegend düsteren Aussichten aufzuhellen, berichten die beiden aber auch von erfolgreichen Projekten im Osten – wie dem ersten CSD in Grevesmühlen, Mecklenburg-Vorpommern.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit Beginn des Jahres 2026 gehen viele Kunstwerke, Schriften und Musikstücke in die Public Domain über. In Europa sind das die Werke von Urheber*innen, die im Jahr 1955 gestorben sind. Mit dabei sind Thomas Mann, Fernand Léger und Clemence Housman.

Am 1. Januar gibt es etwas zu feiern, und zwar den „Public Domain Day“. Tausende und Abertausende Kunstwerke von Autor*innen, Künstler*innen und Musiker*innen werden gemeinfrei. Sie sind damit nicht mehr urheberrechtlich geschützt, sondern gehen in die Public Domain über, also gewissermaßen in den Besitz der Allgemeinheit. Ab sofort dürfen sie ohne Einschränkungen kopiert, wiederverwendet, angepasst und weiterverbreitet werden.

Im europäischen Urheberverwertungsrecht gilt größtenteils das Prinzip „Leben + 70 Jahre“. Die sogenannte Regelschutzfrist schützt Werke für die Dauer von 70 Jahren nach dem Tod der Urheber*innen. Erst danach dürfen sie ohne Genehmigung veröffentlicht werden. Mit dem heutigen Jahresanfang werden somit Werke von Urheber*innen gemeinfrei, die im Jahr 1955 verstorben sind.

Lesenswertes

Darunter sind in diesem Jahr die Werke des bedeutenden deutschen Schriftstellers Thomas Mann. Für seinen ersten Roman „Buddenbrooks“ erhielt er den Nobelpreis für Literatur, sein umfassendes Werk besteht aber auch aus Kurzgeschichten, Essays und Gedichten.

Weniger bekannt, politisch aber mindestens spannend ist der französische Schriftsteller Léon Werth. Mit seiner kriegskritischen Erzählung „Clavel Soldat“ sorgte er kurz nach dem Ersten Weltkrieg für Aufsehen, seine Flucht vor den Nazis hielt er in „33 Tage“ und sein Zeugnis der Besatzungsjahre aus seinem Versteck im fast tausendseitigen Buch „Als die Zeit stillstand. Tagebuch 1940 – 1944“ fest. In „Cochinchine“ übte er außerdem Kritik am französischen Kolonialismus. Es ist eben jener Léon Werth, dem Antoine de Saint-Exupéry den „Kleinen Prinzen“ gewidmet hat.

In den Romanen der britischen Autorin und Holzschnitzerin Clemence Housman können Lesende Werwölfinnen und meerjungfrauenähnlichen Gestalten begegnen. Ihre Werke tragen Titel wie „The Were-Wolf“, „Unknown Sea“ und „The Life of Sir Aglovale De Galis“. Housman war in der Suffragettenbewegung aktiv und beschäftigte sich mit den sich wandelnden Geschlechterrollen am Ende des 19. und zu Beginn des 20. Jahrhunderts.

Sehens- und Hörenswertes

Neben den Werken des Franzosen Fernand Léger werden auch die Arbeiten des deutschen Malers Karl Hofer gemeinfrei. Er zählt zu den bedeutendsten Maler*innen der Moderne in Deutschland.

Aus dem musikalischen Bereich sind der Schweizer Komponist Arthur Honegger und der italienische Musiker Francesco Balilla Pratella zu nennen.

Urheberrecht: Alles andere als einfach

Die Schutzfristen unterscheiden sich von Land zu Land. So werden die Werke des spanischen Philosophen José Ortega y Gasset in verschiedenen europäischen Ländern bereits gemeinfrei, nicht aber in seinem eigenen Herkunftsland Spanien. Dort sind seine Schriften erst in zehn Jahren frei nutzbar.

In den USA werden zum Jahreswechsel Werke für alle zugänglich, die im Jahr 1930 veröffentlicht wurden – unabhängig vom Todeszeitpunkt der Autor*innen. Darunter der Krimi „Mord im Pfarrhaus“ von Agatha Christie, in dem Miss Marple zum ersten Mal vorkommt.

Außerdem gehen dort gleich zwei Filme des Regisseurs Josef von Sternberg in die Public Domain über, in denen Marlene Dietrich mitgespielt hat: „Der blaue Engel“ und „Marokko“, in dem Dietrich in einer berühmten Szene, elegant gekleidet mit Zylinder und Frack, eine Frau küsst.

Albert Einstein und noch viele mehr

Neben der hier vorgestellten kleinen Auswahl gibt es viel mehr in die Gemeinfreiheit entlassene Werke zu entdecken. Listen mit Urheber*innen, die im Jahr 1955 verstorben sind, stellt die deutschsprachige und die englischsprachige Wikipedia zusammen.

Der bekannteste auf der Liste dürfte der Physiker Albert Einstein sein. Aber auch Veröffentlichungen des Mediziners und Mitentdeckers des Antibiotikums Penicillin, Alexander Fleming, sowie des Mathematikers Hermann Weyl sind nun zur freien Nutzung freigegeben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundestagspräsidentin Julia Klöckner pocht darauf, doch wer kann heutzutage noch neutral sein? Um die Demokratie zu verteidigen, sei Rückgrat sogar Pflicht, ordnen Hannah Vos und Vivian Kube auf dem 39. Chaos Communication Congress die Debatte rund ums Neutralitätsgebot ein.

Zum Christopher-Street-Day wehte in den vergangenen Jahren die Pride-Flagge auf dem Dach des Reichstagsgebäude – außer in diesem Jahr. Im Juni machte Bundestagspräsidentin Julia Klöckner (CDU) Schlagzeilen, weil sie entschied, dass die Flagge nicht gehisst werden darf. „Wir müssen neutral sein, auch wenn das manchmal weh tut“, begründete Klöckner ihren Bruch mit der Tradition, Solidarität mit queeren Minderheiten zu demonstrieren.

Beifall für ihren Entschluss bekam Klöckner von der rechtsextremistischen Partei Alternative für Deutschland (AfD). Die wiederum nutzt die Rhetorik der Neutralität inzwischen als Waffe. Regelmäßig bringt sie Klagen vor Gericht, mit denen sie versucht, eine autoritäre Definition von Neutralität durchzusetzen.

Doch wieviel Neutralität gebietet das Grundgesetz (GG) eigentlich wirklich? Und wann ist laut GG statt Neutralität vielmehr Widerstand gegen rechte Angriffe auf demokratische Werte Pflicht?

Mit diesen Fragen beschäftigten sich Hannah Vos und Vivian Kube in ihrem Talk „Wer hat Angst vor dem Neutralitätsgebot?“ auf dem 39. Chaos Communication Congress in Hamburg. Die Juristinnen Vos und Kube kommen von der Initiative Gegenrechtsschutz, die zu FragDenStaat gehört. Sie berät und unterstützt Menschen und Organisationen aus Kultur, Journalismus oder Wissenschaft, die von rechts außen in Gerichtsverfahren verwickelt werden.

Neutralität hat Grenzen

Vos und Kube fragen: „Müssen wir neutral sein, auch wenn es weh tut, während sich andere Teile der Gesellschaft immer weiter nach rechts außen bewegen?“ Laut GG gebe es klare Vorgaben, wo Neutralität geboten ist und wo nicht. Dazu stellen Vos und Kube zunächst klar: Das eine Neutralitätsgebot gibt es im GG nicht. Stattdessen macht das GG für verschiedene Bereiche wie öffentliche Verwaltung, Schule oder Zivilgesellschaft konkrete Vorgaben zur Neutralität, setzt aber auch klare Grenzen.

Unterm Strich: Wenn es darum geht, demokratische Werte zu verteidigen und Angriffe auf diese abzuwehren, geht es nicht mehr um Neutralität, sondern um gebotenen Widerstand. Das mache unsere wehrhafte Demokratie aus.

In der öffentlichen Verwaltung haben Beamt:innen die Pflicht zur Verfassungstreue. Wenn Dienstanweisungen oder Vorgaben etwa gegen die Menschenwürde verstoßen, müssten Beamt:innen dagegen halten. Dabei sind sie nicht allein auf sich gestellt, im Rücken haben sie das NPD-Urteil des Bundesverfassungsgerichts von 2017. Demnach seien neben der Garantie auf Menschenwürde die Kernelemente der freiheitlich-demokratischen Grundordnung das Demokratieprinzip sowie das Rechtsstaatsprinzip.

Ganz konkret listen Vos und Kube auf, was als Verstoß gegen die Menschenwürde gilt. Dazu zählen Aussagen wie: „Zugezogene können nie Teil der Gemeinschaft werden, denn ihnen fehlt die gemeinsame Geschichte, Kultur etc.“ Sie unterstellen etwa einen „gemeinsamen Volkswillen“ und negieren Interessenvielfalt.

Außerdem verstoßen alle rassistischen, frauenfeindlichen, antimuslimischen, antisemitischen, antiziganistischen, ableistischen und transfeindlichen Forderungen gegen die Menschenwürde. Als Malu Dreyer (SPD) nach den Veröffentlichungen des Recherche-Kollektivs Correctiv Anfang 2024 zu Demonstrationen gegen Rechts aufrief, habe sie mit Rückendeckung des GG gehandelt.

Freiheitlich-demokratische Grundordnung ist der Maßstab

Damals war Dreyer Ministerpräsidentin von Rheinland-Pfalz und bezog über ihren Instagram-Account Stellung: „Der Begriff ‚Remigration‘ verschleiert, was die AfD und andere rechtsextreme Verfassungsfeinde vorhaben: Sie planen die Vertreibung und Deportation von Millionen Menschen aus rassistischen Motiven. So verschieben sie die Grenze weiter nach rechts und radikalisieren den gesellschaftlichen Diskurs.“

Den folgenden Rechtsstreit entschied das Bundesverfassungsgericht eindeutig zugunsten Dreyers, als die rheinland-pfälzische AfD eine Verfassungsbeschwerde gegen das Urteil des rheinland-pfälzischen Verfassungsgerichtshofs einreichen wollte.

Es gibt für Beamt:innen sogar eine Pflicht zur sogenannten Remonstration: Wenn eine Weisung von oben gegen die freiheitlich-demokratische Grundordnung und das GG verstößt, müssen sich Beamt:innen verweigern. Wenn sie das nicht tun, tragen sie die volle Verantwortung.

Wie das aussehen kann, zeigen mehrere Mitarbeiter:innen des Bundesamts für Migration und Flüchtlinge nach Informationen der Süddeutschen Zeitung (€). Diese sollen der Behörde Paroli geboten haben. Dabei geht es um afghanische Ortskräfte, die unter der alten Bundesregierung eine Aufnahmezusage bekommen hatten. Obwohl Verwaltungsgerichte bereits entschieden haben, dass diese Menschen nach Deutschland kommen müssen, um in Afghanistan nicht Folter und Tod ausgesetzt zu sein, lehnt die schwarz-rote Bundesregierung eine Aufnahme ab. Alexander Dobrindt (CDU) veranlasste entsprechende Widerruf-Schreiben. Doch mehrere BAMF-Mitarbeiter:innen verweigerten ihre Unterschrift.

Neutralität in der Schule

Auch in der Schule will die AfD ihr Neutralitätsregime durchsetzen. Dabei legt das GG auch hier klar fest: Lehrkräfte in der Schule dürfen etwa keine Parteiwerbung machen oder Schüler:innen gar dazu auffordern, eine bestimmte Partei zu wählen. Diese Neutralität hat aber Grenzen. Laut GG kann und soll es keine neutrale Schulbildung geben. Lehrkräfte sind demnach dazu verpflichtet, Schüler:innen im Sinne demokratischer Werte über faschistische und rassistische Inhalte aufzuklären. Sie müssen ihnen dabei helfen, kontroverse Inhalte einzuordnen.

Umso widersprüchlicher die Einschüchterungskampagne „Neutrale Schule“ von der AfD. Sie wollte ein sogenanntes Meldeportal einführen, auf dem Schüler:innen Lehrkräfte melden sollten, wenn die ihrer Meinung nach keinen neutralen Unterricht machen. Die Gewerkschaft für Erziehung und Wissenschaft sprach von einer „Denunziationsplattform“.

Was Klöckner betrifft, habe sie suggeriert, es gebe für die Bundestagsordnung eine rechtliche Pflicht zur Neutralität. Nur das habe sie dazu veranlasst, die Pride-Fahne auf dem Reichtagsgebäude zu verbieten. Doch diese Pflicht gebe es nicht, so Vos und Kube.

Zwar sei die Bundestagspräsidentin nicht verpflichtet, die Fahne hissen zu lassen. Aber sie ist auch nicht dazu verpflichtet, das Hissen der Fahne zu verbieten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Finanzierung von netzpolitik.org für 2026 ist gesichert. Wir sind überglücklich und erleichtert. Vielen Dank euch allen! Ihr seid die beste Community der Welt.

Wir haben es geschafft! Wir haben unser Spendenziel erreicht. Dank Euch!

Es war eine lange Wegstrecke. Mitte November klaffte eine Lücke von sage und schreibe 443.000 Euro. Diese Summe fehlte uns, um im kommenden Jahr unsere Arbeit fortsetzen zu können.

Einen Monat später – wenige Tage vor den Feiertagen – fehlten immer noch 179.000 Euro. Ein wenig Sorge bereitete uns, dass wir die Banktage bis zum Jahresende an zwei Händen abzählen konnten. Nur an Banktagen erreichen uns eure Spenden via Lastschrift.

Während der Feiertage und dem folgenden Wochenende linsten wir immer wieder auf den Spendenbalken, der nur zäh anwuchs. Die Anspannung stieg.

Dann am Montag, den 29. Dezember, eine gute Nachricht: Es fehlten „nur“ noch 63.000 Euro. Allerdings bei gerade einmal zwei verbleibenden Banktagen. Die Nervosität blieb.

Doch dann schmolz die Summe Stunde für Stunde stetig herunter. Wir schöpften Hoffnung. Und seit heute um 11.59 Uhr haben wir endlich Gewissheit: Wir sind über der Ziellinie!

Wir sind erleichtert. Sehr erleichtert. Und überglücklich. Das ist das schönste Geschenk zum Jahresende.

Vielen vielen Dank an euch alle. Vielen Dank für eure Unterstützung, eure Anteilnahme, eure Kritik. All diese Unterstützung ist so viel mehr als eine Zeile in einem Kontoauszug.

Ihr seid die beste Community der Welt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.

Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.

Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.

Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.

Koloniales Echo

Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.

Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.

Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.

In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.

Radikale Verweigerung

Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.

Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.

Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.

2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.

Der Kampf geht weiter

Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.

Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mastodon galt vielen als Alternative zu Twitter, nachdem Elon Musk die kommerzielle Plattform übernommen hatte. Marco Wähner sprach auf dem 39. Chaos Communication Congress darüber, warum das dezentrale Netzwerk mehr als nur eine Alternative ist und was wir als Zivilgesellschaft tun müssen, um dessen Idee zu stärken.

Gut drei Jahre ist es her, dass Elon Musk Twitter gekauft hat. Viele Nutzer:innen verloren daraufhin ihr digitales Wohnzimmer. Und schnell wurde klar, dass die Plattform fortan der Willkür eines einzelnen Tech-Unternehmers unterliegt. Als Musk Mitarbeiter:innen aus dem Kern-Team entließ und die Bezahlversion für das umgetaufte Twitter einführte, verließen viele die Plattform und wandten sich Mastodon zu.

Das Versprechen hinter Mastodon: Das dezentrale Netzwerk entzieht sich der Kontrolle einer einzelnen Person. Denn hier geht es nicht um Profit, sondern vielmehr um eine digitale Gemeinschaft von Menschen, die die Kontrolle über ihre Kommunikationskanäle selbst in die Hand nehmen. Aber können dezentrale Netzwerke dieses Versprechen einlösen? Und wie dezentral sind sie tatsächlich?

Mit diesen Fragen beschäftigte sich Marco Wähner auf dem Chaos Communication Congress in Hamburg. Im Interview spricht der Soziologe über seine Forschung. Wähner arbeitet am Center for Advanced Internet Studies (CAIS) als wissenschaftlicher Mitarbeiter in der Abteilung Research Data and Methods.

„Wir haben eine Zentralität innerhalb der Dezentralität“

netzpolitik.org: Du forschst zu dezentralen Netzwerken. Was ist deine Motivation?

Marco Wähner: Ich wollte wissen: Sind dezentrale Netzwerke der Goldstandard, der selbst nicht hinterfragt werden muss? Dafür habe ich mir unter anderem das Fediverse angeschaut.

netzpolitik.org: Was ist die wesentliche Erkenntnis deiner Untersuchung?

Wähner: Es gibt auf der einen Seite die Idee der Dezentralität. Auf der anderen Seite kann man allerdings auch in dezentralen Netzwerken einen Trend zur Zentralität beobachten. Im deutschsprachigen Ökosystem von Mastodon kann man etwa beobachten, dass sich 80 Prozent der Nutzer:innen mit ihren Accounts auf nur 14 Instanzen verteilen. Wenn man bedenkt, dass das gesamte Ökosystem aus etwa 240 Instanzen besteht, veranschaulicht das eine starke Konzentration. Da haben wir eine Zentralität innerhalb der Dezentralität.

netzpolitik.org: Woran liegt das?

Wähner: Wir haben uns daran gewöhnt, dass soziale Medien uns eine Atmosphäre bieten, in der alles für uns vorkonfiguriert ist. Auf Mastodon hat man viele Mitgestaltungsmöglichkeiten, aber es ist auch Aktivität erforderlich. Nutzer:innen müssen sich aktiv darin einbringen, die digitale Infrastruktur zu pflegen. Wir kriegen hier die Chance, uns technologisch von großen Plattformen unabhängiger zu machen, aber dafür müssen wir auch etwas tun.

Außerdem lässt sich eine Parallele zu den Anfängen des Internets ziehen. Das hat als dezentrales Konstrukt angefangen, inzwischen kam es hier aber zur Zentralisierung. Das liegt daran, dass Menschen nur einen Bruchteil des Internets für Informationen, Wissen und Austausch nutzen. Regelmäßig besuchen sie nur wenige Websites.

Ein wesentlicher Faktor ist aber auch die Monopolbildung technologischer Konzerne. Es gibt starke Machtkonzentrationen auf wenige Plattformen und wenige Unternehmen, die hinter diesen Plattformen stecken. Ich finde das Bild einer vor Banalitäten blinkenden Einkaufs-Mall passend, wo immer unterschiedliche Verkaufsangebote dargestellt werden, die so mehr oder weniger über die ursprüngliche Idee des Internets drübergebaut worden ist. Und ich denke, dass wir das Potenzial des Internets nicht ausnutzen. Vielmehr ist es geprägt durch Konsum, durch Warenangebote.

Das Prinzip des Gemeinguts

netzpolitik.org: Warum kam es zu dieser Entwicklung hin zu Zentralisierung und Monopolen?

Wähner: Das ist eine komplexe, aber nicht überraschende Entwicklung. Und sie hängt vor allem damit zusammen, dass Angebote, Zugänge und Inhalte monetarisiert wurden. Hierdurch wurde die Monopolstellung einzelner Unternehmen stark begünstigt.

netzpolitik.org: Was unterscheidet dezentrale Netzwerke davon?

Wähner: Das zentralisierte Internet folgt dem Prinzip des Privateigentums. Dort entscheidet eine zentrale Autorität, was mit einer Infrastruktur passiert, wer Zugang hat und Ähnliches. Diese Autorität ist allein durch Eigentum legitimiert. Ein gutes Symbolbild dafür ist Elon Musk, der ein Waschbecken in die Büros von Twitter hineinträgt. Als neuer Eigentümer konnte er das machen.

Das löste bei vielen ein Störgefühl aus, denn Twitter wurde als öffentlich-digitaler Raum verstanden und genutzt. Wie instabil so ein öffentlicher Raum ist, zeigte sich, als sich jemand als Privateigentümer durchgesetzt hat.

Dezentrale Netzwerke folgen dem Prinzip des Gemeinguts. Dementsprechend gibt es keine zentrale Autorität, die darüber entscheidet, wie Ressourcen verteilt werden, wer Zugang zum Netzwerk hat, wie das Netzwerk wächst. Hier geht es um Selbstverwaltung.

Es braucht die zivilgesellschaftliche Basis

netzpolitik.org: Könnte da die öffentliche Hand unterstützen?

Wähner: Wichtig ist die Frage, wer hat die zentrale Autorität. Die sollte nicht bei der öffentlichen Hand liegen, sondern bei der Zivilgesellschaft.

Gleichwohl könnte man hier aber gesetzgeberisch aktiv werden. Ein Weg könnte darin bestehen, dass die Arbeit einzelner Akteure aus der Zivilgesellschaft, die digitale Infrastruktur für die Gemeinschaft zur Verfügung stellen, als gemeinnützig anerkannt wir. Zudem ist das digitale Ehrenamt sicher ein guter Weg, wenn sich Menschen im digitalen Raum ehrenamtlich engagieren.

Behörden und andere öffentliche Einrichtungen sollten Mastodon nutzen und ihre Inhalte dort zur Verfügung stellen. Damit können sie dem Netzwerk auch Schub verleihen. Doch es braucht die zivilgesellschaftliche Basis, um sich von einzelnen Personen und Akteuren unabhängig zu machen.

Eine echte Option zur bestehenden Zentralität

netzpolitik.org: Was ist deine Forderung?

Wähner: Angesichts des Trends zu Zentralisierung bei dezentralen Netzwerken wie Mastodon müssen wir uns als Zivilgesellschaft eines bewusst machen: Wir brauchen dauerhaft Power, damit wir mittel- und langfristig dezentrale Alternativen haben.

Es ist einfach, monetäre Interessen zu mobilisieren. Gemeinschaftliche Interessen bringen immer Zielkonflikte mit. Wenn wir wollen, dass dezentrale Netzwerke frei von Profitdenken bleiben, müssen wir in Zukunft Organisationen, Vereine und Nichtregierungsorganisationen stärken. Die können schon jetzt ihre Mitglieder mobilisieren. Sie sind in der Lage, digitale Infrastrukturen zur Verfügung zu stellen und auch Anknüpfungspunkte für Menschen zu schaffen, um dezentrale Netzwerke zu nutzen.

netzpolitik.org: Also seid aufmerksam und sorgt dafür, dass dezentrale Netzwerke dezentral bleiben?

Wähner: Vor allem sollten sie Menschen über die Bubble hinaus mitnehmen, also auch aus der breiten Zivilgesellschaft. Überwindet den Zielkonflikt der digitalen Ungleichheit. Wir sollten uns immer fragen, wie wir Menschen befähigen, Teil dieser Netzwerke zu werden und sich damit auseinanderzusetzen. Und wie wir das als echte Option zur bestehenden Zentralität in die öffentliche Debatte tragen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Manche Nutzer:innen lassen sich Wikipedia-Artikel von Sprachmodellen generieren, inklusive erfundener Referenzen. Ein Wikipedia-Urgestein stolperte zufällig über die halluzinierten Artikel – ausgerechnet mit der Hilfe von einem Sprachmodell.

Eigentlich wollte Mathias Schindler nur eine kleine Sache in der Wikipedia korrigieren. Doch dann baute der Wikipedianer versehentlich einen Detektor für bestimmte KI-generierte Inhalte in der Enzyklopädie. Auf dem 39C3 berichtet er, warum die halluzinierten Texte auch ein Problem für die Anbieter großer Sprachmodelle werden könnte und warum er den Autor:innen keine guten Absichten unterstellt.

Die kleine Sache, die Schindler korrigieren wollte, waren fehlerhafte ISBNs. Mit diesen 10 oder 13-stelligen Nummern werden Bücher identifiziert und finden sich oft in Quellenangaben von Wikipedia-Einträgen. Dabei sind die Zahlenkombinationen nicht vollkommen zufällig, erklärt Schindler im Talk. Die letzte Ziffer ist eine Prüfziffer, sie lässt sich aus den neun beziehungsweise zwölf vorherigen Ziffern berechnen. Ursprünglich wollte Schindler falsche ISBNs in der Wikipedia aufspüren und ausbessern, auch damit Nutzer:innen die richtigen Bücher finden, die als Referenzen in den Artikeln angegeben wurden.

Zufallsfund dank falscher ISBNs

„Referenzen auf Wikipedia sind nicht nur wichtig, sondern ein integraler Teil der Wikipedia“, sagt Schindler und verweist in seinem Vortrag auf den alten Spruch: „Wikimedia mag ein guter Ort sein, um eine Recherche zu starten, aber es ist ein schlechter Ort, um dort die Recherche zu beenden.“ (Alle Zitate aus dem Talk haben wir ins Deutsche übersetzt.) Schindler muss es wissen. Er ist Mitbegründer von Wikimedia Deutschland und Wikipedia-Autor seit 2003.

Um die inkorrekten ISBNs zu finden, schrieb Schindler ein Skript, lud die gesamte deutschsprachige Wikipedia herunter und durchsuchte sie nach ISBNs mit einer faulen Prüfziffer, erzählt er in seinem Vortrag. Doch er stieß nicht nur auf falsch eingegebene ISBNs oder von den Verlagen falsch ausgegebene ISBNs, sondern fand auch Artikel, bei denen zwei oder mehr Bücher fehlerhafte ISBNs hatten. Diese Bücher schienen zwar plausible Titel und Autor:innen zu haben, aber Schindler konnte sie nirgendwo sonst finden. Sie waren halluziniert.

Offenbar hatten sich Menschen ganze Artikel von einem Large Language Model (LLM) wie ChatGPT schreiben lassen, welches sich dann auch einen Abschnitt mit Einzelnachweisen ausdachte.

Noch ist es ein Nischenphänomen

Im Gespräch mit netzpolitik.org erzählt Schindler, dass er mit seiner Methode etwa 150 Artikel gefunden habe, bei denen man Sorge haben müsse, dass sie zumindest teilweise KI-generiert und frei erfunden seien. Allerdings seien die fehlerhaften Einträge nicht ausschließlich auf KI-Chatbots zurückzuführen, manchmal gebe es andere Gründe für mehrfach falsche ISBNs, sagt Schindler. Außerdem gibt es über drei Millionen deutschsprachige Wikipedia-Artikel, die 150 Auffälligen machen also nur ein äußerst geringen Anteil von 0,005 Prozent aus.

Andererseits erfasst Schindlers Methode auch nicht alle Halluzinationen, dafür war es schließlich nicht gedacht. „Dieses Werkzeug ist nicht das Universaltool zum Erkennen von ChatGPT-generierten Artikeln.“ Andere Möglichkeiten, solche Inhalte zu enttarnen, seien etwa systematische Abweichungen von der Syntax von „Media Wiki“ (der Software hinter Wikipedia). Oder wenn Autor:innen viele Adjektive verwenden: „Kein Wikipedianer, der was auf sich hält, wird den Fernsehturm als ‚großartig‘ oder ‚herausragend‘ bezeichnen.“

LLM generierter Text „Anti-These zu Wikipedia“

Doch auch wenn das Erstellen von Wikipedia-Artikeln mit LLMs noch nicht so verbreitet sein sollte, geht es für Wikipedia um Grundsätzliches: Die Kontamination mit Inhalten, die auf den ersten Blick wahr erscheinen könnten und sich als Fakten tarnen. Schindler sagt: „Man könnte es auch als Anti-These zu einem Enzyklopädie-Projekt wie Wikipedia beschreiben.“

Die Gefahren? Zum einen können sich falsche Infos verselbstständigen, wenn eine andere Veröffentlichung den vermeintlichen Fakt von Wikipedia abschreibt und die Wikipedia diese Veröffentlichungen hinterher als Beleg für genau diesen Fakt aufführen. Schindler weist in seinem Vortrag auf diesen Teufelskreis hin, der bereits vor LLMs ein Problem darstellte.

Glaubwürdigkeit in Gefahr – und die Qualität von LLMs

Zum anderen verschlingen LLM-generierte Quellen zunehmend die Ressourcen unterschiedlichster Einrichtungen. Nicht nur die der Online-Enzyklopädie: Irregeleitete Nutzer:innen fragen etwa Bibliothekar:innen nach ausgedachten Büchern, berichtete 404 Media im Herbst. Beim Internationalen Komitee des Roten Kreuzes (ICRC) wurde die Situation offenbar so schlimm, dass es sich mit einer „wichtigen Mitteilung“ an die Öffentlichkeit wandte.

„Wenn eine Referenz nicht gefunden werden kann, heißt das nicht, dass das ICRC Informationen zurückhält. Verschiedene Situationen können das erklären, wie etwa unvollständige Zitationen, Dokumente, die in andere Institutionen lagern, oder – zunehmend – KI-generierte Halluzinationen“, warnte das ICRC Anfang Dezember.

Auch für die Entwickler von Large Language Models hätten halluzinierte Wikipedia-Artikel Nachteile, argumentiert Schindler. Denn ihre Modelle werden oft mit Wikipedia-Artikeln trainiert. „Die KI-Firmen profitieren von hochwertigen Daten und leiden unter dem Verlust von Quellen, die frei von synthetischen Texten sind“, sagt im Schindler im Gespräch mit netzpolitik.org. Oder wie er es im Vortrag formuliert: „LLM-Provider vergiften damit auf eine Art den Fluss, aus dem sie selber trinken“, sagt Schindler.

Wer macht sowas?

Doch wer stellt eigentlich LLM-generierte Inhalte in die Wikipedia? „Bunt gemischt“, erzählt Mathias Schindler im Gespräch mit netzpolitik.org. Von Wikipedia-Neulingen über langjährige Autor:innen bis zu einer Werbeagentur sei alles dabei gewesen. Er habe versucht, möglichst viele Autor:innen von verdächtigen Artikeln zu kontaktieren. Manche hätten ihn ignoriert, andere alles geleugnet oder den Einsatz einer LLM heruntergespielt.

„Eine Erklärung ist, dass Menschen LLMs tatsächlich als Recherchewerkzeug ansehen, das magischen Zugang zu wissenschaftlichen Datenbanken und Literatur hat und belastbare Belege liefert“, sagt Schindler zu netzpolitik.org. Bisher habe er aber noch keine solche Person unter den verdächtigen Autor:innen getroffen. Stattdessen vermutet Schindler eher persönlichen Geltungsdrang oder dass Personen eine Agenda verfolgen, die Enzyklopädie in ihrem Sinne umzuschreiben.

In seinem Vortrag erzählt Schindler, er habe alle verdächtigen Autor:innen, um den Prompt gebeten, mit dem diese den Artikel generiert hätten. „Das ist mein persönlicher ‚Litmus‘-Test, ob die Menschen ehrliche Absichten haben“, sagt Schindler. Nur eine einzige Person habe den Prompt nach vielen Nachfragen privat geteilt.

Die Herausforderung bleibt

Laut Schindler wurden alle gemeldeten Artikel gelöscht, bei denen die Autor:innen die Zweifel nicht ausräumen konnten, dass sie KI-generiert waren. In vielen Fällen wurden auch die Autor:innen gesperrt. In einem Richtlinien-Artikel der deutschsprachigen Wikipedia heißt es dazu: „Sprach-KI sind derzeit nicht in der Lage, korrekt belegte Beiträge zu erstellen. Beiträge, die damit erstellt werden, verstoßen daher unter anderem gegen WP:Keine Theoriefindung, WP:Belege, WP:Urheberrechtsverletzung, WP:Neutraler Standpunkt; ihre Verwendung ist daher derzeit generell unerwünscht.“

Für Schindler bleibt es eine Herausforderung für die Wikipedia-Community, halluzinierte Texte aufzudecken, zumal Chatbots künftig ISBNs mit einer korrekt berechneten letzten Stelle erfinden könnten. Er hofft auf einen konstruktiven Dialog mit den KI-Firmen. „Mein persönlicher Wunsch wäre, dass man durch Austausch und vielleicht Kompetenztransfer mit den KI-Firmen erreicht, dass man KI-generierte Texte leichter erkennt, wenn jemand versucht, sie in die Wikipedia zu stellen.“

Am Ende ist die Geschichte der KI-generierten ISBNs auch eine über falschen und vielleicht besseren KI-Einsatz. Denn den Code für seinen ISBN-Checker hat Schindler auch mithilfe von Large Language Models geschrieben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Beim Umgang mit Domains kann einiges schiefgehen. Einige Probleme ließen sich leicht verhindern, das würde die IT-Sicherheit verbessern und es Betrüger:innen schwerer machen. Doch bei Bundesbehörden deckt ein Sicherheitsforscher immer wieder Probleme auf.

Mehrmals hat Tim Philipp Schäfers in den vergangenen Monaten gezeigt, welche Folgen ein leichtfertiger Umgang mit Domains haben kann: Anfang des Jahres entdeckte der Sicherheitsforscher von Mint Secure, dass sich das Bundesamt für Migration und Flüchtlinge (BAMF) ein Sicherheitsproblem schuf, weil es Test-Accounts für seine Systeme mit fiktiven E-Mail-Adressen auf einer Domain anlegte, die das Bundesamt nicht kontrollierte: testtraeger.de. Schäfers holte sich die bis dahin unregistrierte Domain und erhielt so Zugriff auf einen Administrator-Account eines Test-Systems.

Im Dezember folgte eine weitere Recherche: Frühere Behörden-Domains wurden leichtfertig abgestoßen, auch hier im Fall des BAMF. Das hieß früher BAFl und ließ die Domain bafl.de offenbar einfach auslaufen. Als Schäfers die Domain einige Jahre später für sich registrierte, stellte er fest, dass weiterhin regelmäßig automatisierte sowie manuelle Anfragen aus dem IP-Adress-Bereich von Bundesbehörden bei der Domain ankamen. Mittlerweile hat Schäfers die Domain zum BAMF zurückübertragen, berichtete er in einem Vortrag zum Thema auf dem 39. Chaos Communication Congress.

Eine Kleine Anfrage zeigte außerdem, dass Dritte abgelegte Behörden-Domains für sich registrieren und offenbar deren vormalige Vertrauenswürdigkeit ausnutzen, um dort Werbung für illegales Glücksspiel zu platzieren oder gar Schadsoftware zu verteilen. Eine Liste aller Bundesdomains zu veröffentlichen, verweigerte die Bundesregierung jedoch.

All das zeigt: Ein achtloser Umgang mit Domains ist sowohl ein Risiko für IT-Sicherheit als auch ein Einfallstor für Manipulation und Desinformation.

Deutschland und Estland sind Nachbarn auf der Tastatur

Auf dem 39. Chaos Communication Congress fasst Schäfers seine Erkenntnisse zusammen und präsentiert ein neues Problem: die Gefahr durch sogenannte Typosquatting- und Bitsquatting-Domains. Also Domains, die echten Web-Adressen ähnlich sind und die schnell durch Tippfehler und Fehler in der Datenverarbeitung entstehen.

Schäfers registrierte eine solche Domain. Sie heißt: bund.ee. Nur ein Buchstabe unterscheidet sie von bund.de, einer wichtigen Domain, die die deutsche Bundesregierung verwaltet und mindestens seit 1998 nutzt. Statt der Länder-Domain von Deutschland steht also dort diejenige von Estlands.

Bei einem Besuch von bund.de leitet die Seite auf das Bundesportal weiter. Darüber sollen Bürger:innen auf Verwaltungsleistungen von Bund, Ländern und Kommunen zugreifen können. Auf den zahlreichen Subdomains von bund.de finden sich beispielsweise Websites von Ministerien wie die des Innenministeriums unter bmi.bund.de. Auf anderen Unterseiten wie id.bund.de können sich Bürger:innen mit der BundID anmelden. Das ist ein zentrales Konto, über das sie etwa Bescheide von Behörden empfangen oder sich online ausweisen können. Unter gesund.bund.de befindet sich eine Service-Seite des Gesundheitsministeriums mit Informationen zur Arztsuche oder zu Diagnosen.

Schäfers war also gespannt, welche Anfragen bei bund.ee ankommen würden.

Menschen und Maschinen „vertippen“ sich

Dass Menschen aus Versehen versuchen würden, eine bund.ee-Adresse aufzurufen, war absehbar: Die Buchstaben D und E liegen auf den meisten Tastaturen direkt nebeneinander, schnell hat man sich vertippt und eine Mail nicht an beispielsweise „bewerbung@bmg.bund.de“, sondern „bewerbung@bmg.bund.ee“ verschickt. Das sind menschliche Fehler. Treten die nicht nur bei einmaligen Vertippern auf, sondern haben sie sich in eine Konfigurationsdatei geschlichen, besteht der Fehler permanent, solange er nicht entdeckt wird.

Aber auch Maschinen versuchen teils, die falsche Domain bund.ee zu erreichen, etwa wenn es durch eine Fehlfunktion in der Übertragung zu einem falschen Bit kommt. In ASCII-Kodierung entspricht die „00110100“ einem „d“, die „00110101“ einem „e“. Also nur das letzte Bit ist anders, ein „Bitflip“. Damit liegen „d“ und „e“ auf Bitebene ähnlich nah aneinander wie auf vielen Tastaturen.

Dass es zu einem Datenverarbeitungsfehler kommt, ein Bit „umkippt“ und dann ein Gerät die falsche Adresse ansteuert, kann unterschiedliche Ursachen haben. Große Hitze beeinträchtigt mitunter die Funktion von Computern und Bauteilen, sodass es zu Fehlern kommt. Intensive kosmische Strahlung, etwa nach Sonnenstürmen, ebenfalls. IT-Sicherheitsforscher von Cisco zeigten auf einer Konferenz im Jahr 2021, dass Bitsquatting-Domains ein Problem werden können.

Welche genauen Ursachen die Anfragen hatten, die Schäfers an bund.ee erfasste, lässt sich nicht feststellen. Sie zeigen aber: Würde ein böswilliger Angreifer Tipp- und Verarbeitungsfehler ausnutzen, sich eine entsprechende Domain registrieren und eine Weile mitlauschen, was auf der Adresse passiert, könnte er eine Menge Informationen erfahren, die nicht für ihn bestimmt sind.

So zeigte Schäfers in seinem Vortrag, dass er Anfragen von einem Webmail-System des Bundesamtes für Risikoermittlung erhielt und Hostnamen interner Systeme mitgeteilt bekam. Außer wurden offenbar Mails versucht zuzustellen – unter anderem zu bnd.bund.ee.

Probleme lassen sich vermeiden

Schäfers Sicherheitsforschung zeigt: Behörden – und andere – sollten sorgfältig mit Domains umgehen. Aus den Problemen, die er in diesem Jahr fand, lassen sich einige hilfreiche Lehren ziehen.

• Man sollte niemals Domains für Test-Accounts nutzen, die man nicht selbst kontrolliert. Die Ausnahme: explizit dafür vorgesehene Domain-Endungen oder Adressen. Dazu gehören etwa die Top-Level-Domains „.test“ oder „.example“. Auch „example.com“ kann sicher genutzt werden, da sie dauerhaft reserviert ist und nicht frei registriert werden darf. Test-Domains sollten auch sorgfältig dokumentiert, Test-Accounts regelmäßig auf notwendige Berechtigungen geprüft werden.
• Domains, die nicht mehr benötigt werden, sollten nicht einfach achtlos wieder freigegeben werden. Schon bei der Registrierung einer neuen Domain sollten öffentliche Stellen überlegen, wie sie im späteren Verlauf damit umgehen. Verweise auf die Domain müssen aus anderen Systemen entfernt werden. Ist das Risiko zu hoch, dass Dritte die Domain missbräuchlich nutzen, sollte sie dauerhaft unter Kontrolle der Behörde bleiben. Um den Umgang mit Domains zu regeln, sollte es mindestens einheitliche Handlungsempfehlungen geben. Diese fehlen Bundesbehörden-übergreifend bislang.
• Um zu vermeiden, zahllose extra registrierte Domains zu verwalten, sollten öffentliche Stellen auf Subdomains vertrauenswürdiger Adressen zurückgreifen, die eindeutig als Web-Auftritt staatlicher Institutionen zu erkennen sind. Für Bundesbelange steht dafür bund.de zur Verfügung. Die Domain gov.de ist Bestandteil einer „digitalen Dachmarke“, die auch Institutionen auf Länder- und kommunaler Ebene nutzen können. Sie ist aber noch sehr wenig verbreitet.
• Behörden sollten klassische Vertipper- oder Bitsquatting-Domains im Blick haben, Methoden zur Vermeidung entsprechender Fehler implementieren und sie gegebenenfalls auch registrieren.
• Geheimhaltung, welche Domains öffentliche Stellen nutzen, hilft nicht weiter. Sie verhindert Sicherheitsforschung und erschwert es Nutzenden zu prüfen, welche Domains zu staatlichen Stellen gehören.

Geheimhaltung löst keine Probleme

Um etwas Licht ins Dunkle zu bringen, veröffentlicht Tim Philipp Schäfers gemeinsam mit FragDenStaat nun eine Liste mit 2.000 derzeit bekannten Behörden-Domains und Subdomains: von 60-jahre-sozialstaat.de über brexit-training.it.bund.de bis punktereform.de.

Die Liste ergänzt bereits bestehende Domain-Listen, die Menschen teils mit Informationsfreiheitsanfragen erhalten hatten. Strukturiert Domains mithilfe des Informationsfreiheitsgesetzes herauszufinden, ist jedoch nicht erfolgversprechend. Das Verwaltungsgericht Köln urteilte in einem Verfahren gegen das Bundesgesundheitsministerium, dass Behörden ihre Domain-Listen nicht offenbaren müssen.

Doch auch alternative Methoden geben Informationen über die Web-Adressen des Staates: „Suchmaschinen, automatisierte DNS-Scans, Zertifikatstransparenz-Logs, Fehlkonfigurationen oder einfache Leaks führen häufig dazu, dass solche Domains früher oder später entdeckt werden“, schreibt Schäfers auf FragDenStaat. „Die Annahme, eine unbekannte Domain bleibe dauerhaft unsichtbar, ist daher realitätsfern.“

Generell lehnt er den Ansatz der Geheimhaltung ab. Die bringe keine Sicherheit vor gezielten Angriffen. „Moderne IT-Sicherheit folgt deshalb dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und ihre Adressen bekannt sind“, so Schäfers. Denn: „Sicherheit entsteht nicht durch Verbergen – sondern durch Transparenz.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Netzpolitik wird allzu oft als technische Detailfrage für Nerds verkannt. Doch dort verhandeln wir längst individuelle wie kollektive Freiheit, Hoheit und Macht. Zwischen staatlichen Kontrollansprüchen und der Dominanz globaler Techkonzerne geraten die Interessen der Nutzer:innen ins Hintertreffen.

Netzpolitik ist längst keine Nischendisziplin mehr. Sie ist zu einem Feld geworden, in dem Macht ausgeübt, verschoben und abgesichert wird. Wer reguliert, überwacht oder moderiert, entscheidet nicht nur über technische Abläufe, sondern über die Bedingungen öffentlicher Kommunikation und die Hoheit über Technologien. Netzpolitik ist Machtpolitik: Das wurde im vergangenen Jahr besonders deutlich.

Ein Blick auf die großen netzpolitischen Debatten des Jahres zeigt, wie wenig es dabei um technische Fragen im engeren Sinne geht. Abgesehen von Spartenmedien, spezialisierten Interessenvertretungen und Thinktanks spricht öffentlich kaum jemand darüber, mit welchem Werkzeug was wie umgesetzt werden kann. Stattdessen wird darüber diskutiert, wer wessen Verhalten beeinflussen, Daten nutzen und Aktivitäten beobachten darf.

Bipolare digitale Welt

2025 haben Tech-Konzerne ihre faktische Rolle als Regulierungsakteure weiter ausgebaut. Plattformen wie Meta, Google oder ByteDance entscheiden täglich über Sichtbarkeit, Reichweite und Sanktionen. Und sie haben gezeigt, wie opportunistisch die Plattformbetreiber sind, wenn es darum geht, diese Gatekeeper-Stellung und die mit ihr verbundene Macht zu erhalten. Quasi im Gleichschritt gehen sie den von Trumps neofaschistischer Administration eingeschlagenen Weg mit. Stiefel schmecken im Silicon Valley anscheinend besonders gut.

Änderungen an Empfehlungsalgorithmen, der gezielte Einsatz politischer Werbung oder die Verwendung sowie der Umgang mit generativer KI können Auswirkungen auf Wahlkämpfe und mediale Öffentlichkeit haben. Diese höchst relevanten Eingriffe in die politische Öffentlichkeit erfolgen ohne demokratische Legitimation, geleitet von den Interessen der Tech-Giganten. Staatliche Regulierung könnte dieses Problem mildern, birgt damit aber auch die Gefahr, selbst Einfluss zu nehmen, der sich von den Interessen der Bevölkerung unterscheidet oder gar zulasten der Grundrechte der Nutzer:innen geht.

Der Konflikt verläuft dabei regelmäßig nicht zwischen Freiheit und Regulierung, sondern zwischen unterschiedlichen Machtzentren. Der Kampf um die Hoheit über das Netz ist überwiegend bipolar. Staatliche Stellen versuchen, Kontrolle zurückzugewinnen, die sie im digitalen Raum verloren haben, und damit staatliche Interessen zu sichern. Das können Schutz der Nutzer:innen vor der Willkür der Plattformbetreiber auf der einen Seite, aber auch etwa die angebliche Sicherstellung der öffentlichen Ordnung durch die massenhafte Überwachung der Nutzerverhalten sein. Tech-Konzerne verteidigen ihre Deutungshoheit über Plattformregeln, Datenflüsse und Aufmerksamkeit. Primär motiviert durch ihre eigenen wirtschaftlichen Interessen und die Maximierung ihrer Profitaussichten. Dazwischen stehen die Nutzenden, deren Rechte zwar nahezu gebetsmühlenartig beschworen, aber strukturell selten abgesichert werden.

Kein Raum für Freiheitsrechte?

Wer digitale Freiheitsrechte verteidigt, gerät damit in eine doppelte Abwehrhaltung. Auf der einen Seite steht der Staat, der im Namen von Sicherheit, Ordnung, Jugendschutz oder der Bekämpfung von politischer Einflussnahme immer weitergehende Eingriffsbefugnisse fordert. In diesem Jahr wurde erneut über EU-weite Chatkontrolle, biometrische Überwachung im öffentlichen Raum und den Zugriff auf Kommunikationsmetadaten diskutiert.

Auf der anderen Seite stehen Konzerne, die sich als neutrale Infrastrukturbetreiber inszenieren, tatsächlich aber eigene Interessen verfolgen. Ihre Moderationsentscheidungen sind allzu oft intransparent, ihre Beschwerdewege ineffektiv und ihre Prioritäten wirtschaftlich motiviert. Wenn Plattformbetreiber Konten sperren, Inhalte herauf- oder herabstufen oder Nutzerdaten automatisiert entwerten, fehlt es in der Praxis an rechtsstaatlichen Garantien. Nutzer:innen sind Adressaten von Regeln, an deren Entstehung sie nicht beteiligt waren.

Wer bestimmt die Regeln?

2025 hat auch gezeigt, wie eng diese Machtfragen mit geopolitischen und wirtschaftlichen Interessen verknüpft sind. Debatten über chinesische Plattformen, europäische Souveränität oder US-amerikanische KI-Modelle sind Fragen der nationalen und globalen Sicherheit. Es geht um Kontrolle über Infrastrukturen und Technologien. Wer die Plattform betreibt, bestimmt die Regeln. Wer die Daten besitzt, kontrolliert die Auswertung. Und derjenige, in dessen Land sich die Infrastrukturen befinden, hat die Souveränität, sie zu regulieren – oder nicht.

Eine um den Erhalt von Freiheitsrechten bemühte Netzpolitik kann sich deshalb nicht mit abstrakten Bekenntnissen begnügen. Sie muss konkrete Anforderungen stellen: rechtsstaatliche Verfahren auch auf Plattformen, effektive Transparenz über algorithmische Entscheidungen, einklagbare Nutzerrechte und klare Grenzen für staatliche Überwachung. Regulierung ist notwendig, aber sie muss sich stets im rechtsstaatlichen Rahmen bewegen. Das heißt, sie muss in ständiger Abwägung der verschiedenen betroffenen Grundrechte geschehen und immer wieder neu vor den Nutzenden erklärt und gerechtfertigt werden. Und sie darf nicht an private Akteure delegiert werden, ohne demokratische Kontrolle sicherzustellen.

Das Netz ist politisch und bleibt es auch

Der Rückblick auf das Jahr 2025 zeigt vor allem eines: Die Illusion eines unpolitischen Netzes ist endgültig vorbei. Wer TikTok, Instagram, WhatsApp und Co. heute immer noch primär als Unterhaltungsprogramme für Teenager sieht, hat in den letzten zwölf Monaten nicht aufgepasst. Entscheidungen über Moderation, Sichtbarkeit und Zugriff sind politische Entscheidungen. Sie verteilen Macht zwischen Staat, Konzernen und Nutzer:innen. Wer Netzpolitik weiterhin als technische Detailfrage behandelt, überlässt diese Macht anderen.

Eine wesentliche Aufgabe besteht darin, digitale Räume so zu gestalten, dass sie demokratischer Kontrolle unterliegen, ohne staatlicher Totalaufsicht zu verfallen. Das ist kein einfacher Ausgleich, aber ein notwendiger. Denn wenn Netzpolitik Machtpolitik ist, dann ist die Frage nicht, ob Plattformen reguliert werden, sondern in wessen Interesse – und auf wessen Kosten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Uns bleiben nur noch wenige Tage, um unser Spendenziel zu erreichen. Nur dann können wir unsere Arbeit wie gewohnt auch im kommenden Jahr fortsetzen. Spende jetzt!

Zunächst einen ganz großen Dank an alle, die uns unterstützen! In den vergangenen Tagen haben wir sehr viel Zuspruch und finanzielle Unterstützung erhalten. Das ist großartig! Ihr seid die beste Community der Welt.

Bis zum Jahresende fehlen uns aber noch knapp 63.000 Euro. Nur wenn wir unser Spendenziel erreichen, können wir unsere Arbeit wie gewohnt auch im nächsten Jahr fortsetzen.

Deine Spende erreicht uns wegen der wenigen verbleibenden Bankarbeitstage vor Jahresende nur noch per:

• Echtzeit-Überweisung (IBAN: DE62 4306 0967 1149 2784 00)
• oder Paypal

Eine Spendenquittung kannst du hier anfordern.

Der Kampf für Grund- und Freiheitsrechte muss weitergehen!

Die vergangene Woche hat einmal mehr deutlich gezeigt, warum es deine Spende für netzpolitik.org dringend braucht.

• Die Trump-Regierung hat Visa-Sanktionen gegen Mitglieder eines angeblichen „globalen Zensur-industriellen Komplexes“ verhängt. Betroffen sind Menschen, die demokratisch legitimierte Gesetze gegen Tech-Konzerne verteidigen.
• Das Bundesjustizministerium hat einen Gesetzentwurf zur Vorratsdatenspeicherung veröffentlicht. Die anlasslose Massenüberwachung soll auch Internet-Dienste wie E-Mails und Messenger betreffen.
• Die CDU in Sachsen will das Polizeigesetz derart verschärfen, dass selbst der Koalitionspartner auf Distanz geht. Und das Bundesland ist bei Weitem nicht das einzige, dass die Überwachung massiv ausbauen will.

Gemeinsam mit der Zivilgesellschaft verteidigen wir die Grund- und Freiheitsrechte aller. Für ein offenes Internet und eine solidarische Gesellschaft.

Spende jetzt!

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Katsching und Klimper-klimper: Mit raffinierten Mechanismen fesseln Anbieter von Glücksspielen Menschen an die Geräte und verdienen Milliarden. In ihrem Vortrag auf dem 39C3 nimmt Forscherin Elke Smith die Tricks auseinander – und zeigt, wo Regulierung ansetzen könnte.

Die Slotmaschine rattert, blinkt und klingelt, während ihre Walzen rotieren. Die Lootbox schüttelt sich und pulsiert, als würde sie gleich explodieren, begleitet von anschwellenden Glockenklängen. Für viele Gamer*innen bedeutet das Spaß und Nervenkitzel, ob beim klassischen (Online-)Glücksspiel für Erwachsene oder in Glücksspiel-ähnlichen Games, die teils sogar für Kinder freigegeben sind.

Für die Psychologin und Neurowissenschaftlerin Elke Smith bedeutet Glücksspiel dagegen Arbeit. Denn sie erforscht an der Universität zu Köln menschliche Entscheidungs- und Lernprozesse – darunter jene Mechanismen, die beim Zocken im Hintergrund ablaufen. In ihrem Vortrag auf dem 39. Chaos Communication Congress erklärt Smith die zentralen Tricks von Glücksspiel, die sich inzwischen auch in klassischen Online-Games ausbreiten.

Geschätzt 2,4 Prozent der deutschen Bevölkerung zwischen 18 und 70 Jahren sind laut Gesundheitsministerium süchtig nach Glücksspielen, haben also eine als Krankheit anerkannte Verhaltensstörung. Derweil liegen die Umsätze für legales Glücksspiel in Deutschland bei knapp 63,5 Milliarden Euro. Dennoch kommt der Vortrag der Glücksspiel-Forscherin Smith ohne Verteufelung aus. Vielmehr umreißt sie den Graubereich zwischen Spaß und Suchtgefahr.

Deshalb macht Glücksspiel so viel Spaß

Ein besonders auffälliger Glücksspiel-Mechanismus, den Smith hervorhebt, sind audiovisuelle Effekte, die bei hohen Gewinnen noch stärker werden. Darunter fallen zum Beispiel die zu Beginn erwähnten klingelnden und glitzernden Slotmaschinen und Lootboxen. Gerade bei einem Gewinn können virtuelle Funken sprühen, Goldmünzen hageln und Fanfaren blasen. Solche Elemente sind kein bloßes Beiwerk, sondern tragen dazu bei, Menschen durch Reize zu belohnen und damit zum Weiterspielen zu motivieren.

Sogenannte Near Misses sind Fälle, in denen Spieler*innen den Eindruck bekommen, nur ganz knapp verloren zu haben, etwa wenn bei der Slotmaschine das Gewinnsymbol fast getroffen wurde. Zwar macht es finanziell keinen Unterschied, ob man knapp oder deutlich verliert – es fühlt sich aber anders an.

Ein weiterer Mechanismus, den Smith hervorhebt, sind als Verluste getarnte Gewinne, auf Englisch: losses disguised as wins. In diesem Fall bekommen Spielende einen Bruchteil ihres Einsatzes als scheinbaren Gewinn zurück, begleitet mit audiovisuellen Belohnungsreizen.

Bei der Jagd nach Verlusten („chasing losses“) versuchen Spieler*innen wiederum, das verlorene Geld aus vorigen Runden durch immer weitere Einsätze wieder zurückzuholen.

Nicht zuletzt kann sich Glücksspiel auch der sogenannten Kontroll-Illusion („illusion of control“) bedienen. Das ist eine kognitive Verzerrung: Üblicherweise können Menschen durch ihre Entscheidungen tatsächlich ihre Umwelt beeinflussen, dazu lernen und ihre Fähigkeiten verbessern. Beim Glücksspiel dagegen haben Entscheidungen oftmals keinen Einfluss auf das Ergebnis – es fühlt sich nur so an. Als Beispiel nennt Smith die Entscheidung, wann genau man bei einer Slotmaschine den Knopf drückt, um die rollenden Walzen zu stoppen.

Mechanismen breiten sich in Spiele-Apps aus

Diese und weitere Mechanismen sind nicht auf (Online-)Casinos begrenzt, sondern verbreiten sich auch in klassischen Spiele-Apps, wie Smith ausführt. Die Integration von Glücksspiel-Elementen wie Zufall, Risiko und Belohnung nennt sie „Gamblification“ – und deren Effekte hat sie selbst untersucht.

Gemeinsam mit Forschungskolleg*innen hat Smith gemessen, wie Zuschauer*innen auf YouTube-Videos reagieren, in denen Gamer*innen sich beim Öffnen von Lootboxen filmen. Solche Videos erreichen auf YouTube ein Millionenpublikum und zeigen: Glücksspiel-Mechanismen wirken möglicherweise sogar dann, wenn man anderen nur beim Spielen zuschaut.

Konkret haben die Forschenden Views, Likes und Kommentare von 22.000 Gaming-Videos mit und ohne Lootboxen miteinander verglichen. Das Ergebnis: Der Lootbox-Content hat das Publikum messbar stärker eingenommen als anderer Gaming-Content: mehr Views, mehr Likes, mehr Kommentare. „Dieses erhöhte Engagement könnte mit den Glücksspiel-ähnlichen Eigenschaften der durch Lootboxen vermittelten Belohnungsstruktur zusammenhängen“, heißt es auf Englisch in dem Paper, das im Mai 2025 beim Journal Scientific Reports erschienen ist.

Um ihre Online-Spiele zu optimieren, können Anbieter auf A/B-Testing mit großen empirischen Datenmengen zurückgreifen, erklärt Smith in ihrem Vortrag. Das heißt: Sie können Features einfach ausprobieren und messen, was am besten funktioniert. Schließlich bekommen sie täglich kostenlos neue Daten von Millionen Gamer*innen. Auf diese Weise entstehen Produkte, die von Anfang an so gestaltet sind, dass sie die Belohnungsmechanismen der Spieler*innen am besten ausnutzen. Smith nennt das „Neuroexploitation by design“.

Das sind die Ansätze für Regulierung

Gegen Ende ihres Vortags geht Smith auf Ansätze ein, um die Gefahren von Glücksspiel-Mechanismen einzudämmen. In Deutschland gibt es etwa den Glücksspielstaatsvertrag. Manche Normen zielen direkt auf Glücksspiel-Mechanismen ab: So muss bei einem virtuellen Automatenspiel etwa ein einzelnes Spiel mindestens fünf Sekunden dauern, der Einsatz darf einen Euro pro Spiel nicht übersteigen. Das soll das Feuerwerk aus Risiko und Belohnung eindämmen.

Ob Lootboxen in die Kategorie Glücksspiel fallen, beschäftigt internationale Gerichte und Gesetzgeber bereits seit Jahren. In Deutschland hatte jüngst der Bundesrat strengere Regeln gefordert. Am 21. November hielten die Länder fest, dass Lootboxen und andere Glücksspiel-ähnliche Mechanismen in Videospielen besser reguliert werden sollen, um Suchtgefahr zu reduzieren. In Belgien und den Niederlanden gibt es bereits strengere Regeln.

Auf EU-Ebene gibt es derzeit kein spezifisches Recht zur Regulierung von Lootboxen, wie die Wissenschaftlichen Dienste des Bundestags den Sachstand im Herbst 2024 zusammenfassen. Allerdings kommen je nach Kontext verschiedene EU-Gesetze in Frage, etwa das Gesetz über digitale Dienste (DSA), das manche Anbieter dazu verpflichtet, Risiken für ihre Nutzer*innen zu erkennen und zu minimieren. Derzeit plant die EU-Kommission zudem den Digital Fairness Act, der Lücken im Verbraucherschutz schließen soll.

„Ich denke, es wäre wichtig, vor allem junge Menschen vor diesen Mechanismen zu schützen“, warnt Smith mit Blick auf Glücksspiel-Mechaniken in Spielen. Damit verweist die Forscherin auf eine Leerstelle in den aktuellen Debatten um Jugendschutz im Netz, die vor allem um Alterskontrollen für soziale Medien kreisen.

Ein fertiges Regulierungs-Konzept für Glücksspiel-Mechanismen hat die Forscherin zwar nicht. In welchem Spannungsfeld man sich bei dem Thema bewegt, bringt sie jedoch in Reaktion auf eine Frage aus dem Publikum auf den Punkt: „Gibt es einen Bereich vom Spieldesign, der Spaß macht, Nervenkitzel birgt, profitabel ist für die Anbieter und im Bereich des sicheren Spielens liegt?“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das KIM-System soll garantieren, dass Ärzt:innen und Krankenhäuser geschützt sensible Gesundheitsdaten austauschen können. Auf dem Chaos Communication Congress weist der IT-Forscher Christoph Saatjohann nach, dass das System gravierende Sicherheitslücken aufweist. Verantwortlich dafür sei vor allem die Gematik.

Um Diagnosen, Laborberichte oder Therapiepläne untereinander auszutauschen, nutzen Arztpraxen und Krankenhäuser standardmäßig ein spezielles Mail-System namens „Kommunikation im Medizinwesen“, kurz: KIM.

KIM verspricht, sensible Daten verschlüsselt zu übermitteln, damit Unbefugte sie nicht abfangen und einsehen können. Doch bei der Sicherheit hapert es gewaltig, wie der IT-Sicherheitsforscher Christoph Saatjohann heute auf dem 39. Chaos Communication Congress in Hamburg zeigte. Der NDR und die Süddeutsche Zeitung hatten zuvor über die Recherchen zum Thema berichtet.

Demnach weist das KIM-System seit Jahren gravierende Sicherheitslücken auf. Mit geringem Aufwand können Angreifer unter anderem gefälschte Mail-Adressen anlegen und damit vermeintlich seriös wirkende Nachrichten versenden. Auf diese Weise lassen sich Praxissysteme infiltrieren, um beispielsweise Patient:innendaten zu stehlen.

Unsichere Kommunikation mit beliebiger Adresse

KIM wurde 2021 bundesweit eingeführt, etwa 100 Millionen Nachrichten werden jedes Jahr über das System verschickt. Neben der elektronischen Patientenakte (ePA) und dem E-Rezept gilt der Dienst als weitere wichtige Säule des digitalen Gesundheitswesens.

Um einen sicheren Nachrichtenversand zu gewährleisten, versieht KIM Nachrichten mit einer digitalen Signatur. Diese bestätigt dem Empfänger, dass die Nachricht tatsächlich über das System verschickt wurde. Allerdings besteht laut Saatjohann keine Sicherheit darüber, ob der Absender der ist, der er vorgibt zu sein.

Um eine KIM-Mail-Adresse bei einem KIM-Fachdienst wie T-Systems registrieren zu lassen, braucht es aktuell nur einen Ausweis für eine medizinische Einrichtung, eine sogenannte SMB-C-Karte. Auf eine solche Karte haben mehrere hunderttausend Menschen im Gesundheitswesen Zugriff. Und auch auf eBay würden diese Ausweise hin und wieder verkauft, sagt Saatjohann.

Liegt eine solche Karte vor, können Angreifer eine beliebige Mail-Adresse nach einem bestimmten Muster erstellen: namederpraxis.ort@anbieter.kim.telematik. Die gewünschten Adressen werden nicht auf Plausibilität geprüft. Das Ergebnis ist Saatjohann zufolge vergleichbar mit einem versiegelten Brief, bei dem der Absendername aber falsch sein kann. Angreifer könnten die gefälschte Absender-Adresse dazu nutzen, echt erscheinende Mails zu versenden, die Schadsoftware oder Phishing-Links enthalten.

Gematik hat nachlässig geprüft

Saatjohann sieht die Verantwortung für die Lücken vorrangig bei der Gematik. Die staatseigene GmbH ist für die Spezifikation und Prüfung des KIM-Systems verantwortlich. Und die hier vorgegebenen Sicherheitsstandards habe die Agentur offenkundig nicht ausreichend überprüft, so Saatjohann.

Am 15. September übermittelte der IT-Forscher der Agentur seine Funde. Knapp zwei Monate später veröffentlichte die Gematik einen sogenannten Hotfix, der viele der aufgezeigten Sicherheitslücken schließt. Nach eigenen Angaben arbeitet die Gematik daran, die weiteren Lücken ebenfalls zu schließen. Auch T-Systems habe Saatjohann über die Lücken informiert, das Unternehmen habe bis zum heutigen Tag aber nicht reagiert.

Es werde noch dauern, bis alle Praxen die Sicherheitsupdates eingespielt haben. Vor allem aber sei es weiterhin mit geringem Aufwand möglich, eine eigene Mail-Adresse für das KIM-System zu erhalten, ohne dass diese auf Plausibilität geprüft wird. Ein Angreifer kann sich also auch weiterhin als eine behandelnde Person seiner Wahl ausgeben. „Ich sehe keine Möglichkeit, das schnell zu verbessern“, sagt Saatjohann. „In der aktuellen Architektur ist das kaum lösbar und deshalb bleibt eine Restunsicherheit.“ Um diese zu beseitigen, müsse wohl das gesamte KIM-System überholt werden.

Erneut Versäumnisse bei der Gematik

Auf dem diesjährigen 39C3 stellt sich damit einmal mehr die Frage, wie sicher unsere Patient:innendaten sind.

Schon im vergangenen Jahr stand die Gematik massiv in der Kritik. Im Dezember 2024 hatten die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich Schwachstellen bei der elektronischen Patientenakte (ePA) vorgestellt.

Die Agentur versprach daraufhin, die Lücken zu schließen. Doch im Mai dieses Jahres konnten die beiden Fachleute in Zusammenarbeit mit Saatjohann erneut Zugriff auf die digitalen Patientenakten erlangen. Und bis heute sind nicht alle der damals aufgezeigten Sicherheitslücken bei der ePA geschlossen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 52. Kalenderwoche geht zu Ende. Wir haben 11 neue Texte mit insgesamt 96.189 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

ich hoffe, ihr hattet schöne und erholsame Weihnachtsfeiertage – ganz egal, ob ihr sie im großen Zu- und Angehörigenkreis verbracht habt, oder ungestört mit Fuchs und Hase in einer einsamen Hütte.

Der verlangtermaßen besinnlichen Weihnachtszeit folgen regelmäßig die Vorbereitungen auf einen lauteren Jahreswechsel mit Knallen und Tösen. Und im Fall vieler Team-Mitglieder auch ein Besuch auf dem Chaos Communication Congress in Hamburg, der heute beginnt.

Die Vorträge könnt ihr auch vom heimischen Sofa aus verfolgen, aber ich freue mich jedes Jahr darauf, auch physisch vor Ort zu sein. Ich bin schon gespannt, wie die vielen Helfenden auch dieses Jahr wieder ein gradliniges Kongresszentrum in einen bunten, magischen Nerdtraum verwandelt haben.

Aber es sind vor allem die Begegnungen mit alten und neuen Bekannten, wegen derer ich mich aus der Jahresend-Plätzchen-Lethargie zu lösen gewillt bin und lieber in neuen Eindrücken bade als dem bewährten Fichtennadel-Badeöl. Es kommen dort Menschen aus ganz unterschiedlichen Ecken der digitalen und analogen Welt zusammen und sie alle haben spannende Gedanken und Geschichten zu teilen. Oft gehe ich dann mit dutzenden Ideen für neue Recherchen nach Hause, die den Beginn einer langen To-do-Liste fürs nächste Jahr darstellen.

Ich bin sicher, auch dieses Mal werden am Ende mehr Ideen als Tage im neuen Jahr auf der Liste landen. Was muss sich eurer Meinung nach im nächsten Jahr unbedingt jemand anschauen? Welche Themen gehen bei uns und anderswo viel zu sehr unter? Was habt ihr euch schon immer gefragt?

Wenn ihr eure Fragen und Ideen teilen wollt, freue ich mich auf eure Rückmeldung. In den Kommentaren, per Mail oder in den nächsten Tagen bei einer Mate auf dem 39C3.

Kommt gut durch die letzten Tage des Jahres!

anna

PS: Um unsere Arbeit zu finanzieren, fehlen uns dieses Jahr noch knapp 99.000 Euro. Falls ihr uns unterstützen wollt, könnt ihr das hier tun.

Geschichten aus dem DSC-Beirat : Zwischen Vergeltungsdrohungen und Australiens Jugendschutz-Experiment

Auch wenn es zwischenzeitlich keine Sitzung des DSC-Beirats gab, hat sich beim Thema Plattform-Regulierung einiges getan. Zeit für ein Update und einen Appell fürs nächste Jahr. Von Svea Windwehr –
Artikel lesen

2025: Das Jahr in Zahlen

Fast Tausend Texte, 47 Mal Donald Trump und 18 Grünpflanzen: In unserem traditionellen Jahresrückblick in Zahlen geht es um die ganz harten Fakten, die nicht immer so ganz ernst genommen werden sollten. Von Anna Biselli –
Artikel lesen

Anlasslose Speicherung: Justizministerium veröffentlicht Gesetzentwurf zur Vorratsdatenspeicherung

Die Bundesregierung will Internet-Zugangs-Anbieter verpflichten, IP-Adressen aller Nutzer für drei Monate zu speichern. Das geht aus dem Gesetzentwurf zur Vorratsdatenspeicherung hervor, den das Justizministerium veröffentlicht hat. Das Gesetz betrifft auch Internet-Dienste wie E-Mails und Messenger. Von Andre Meister –
Artikel lesen

Ein-/Ausreisesystem: Neue EU-Superdatenbank startet mit Ausfällen und neuen Problemen

Systemausfälle, eine unvollständige Umsetzung in Italien und den Niederlanden sowie ungeklärte Sonderregeln für Militärs und Milliardäre überschatten den Start des neuen Ein-/Ausreisesystems der EU. Nun beginnt die zweite Einführungsphase. Von Matthias Monroy –
Artikel lesen

Ausländerzentralregister: Ein Datentrog wächst weiter

Fast jedes Jahr erweitert die Regierung das Ausländerzentralregister, eine der größten Datensammlungen des Bundes. Nun sollen Volltext-Dokumente in der Sammlung landen, die zur Identitätsklärung beitragen könnten – egal ob Heiratsurkunde oder Arbeitsvertrag. Außerdem will die schwarz-rote Regierung Fingerabdrücke länger speichern. Von Anna Biselli –
Artikel lesen

Netzpolitischer Jahresrückblick: Was uns im Jahr 2025 umgetrieben hat – und weiter begleiten wird

Ein aufreibendes Jahr geht zu Ende. Was hat einzelne Redakteur*innen in den vergangenen Monaten umgetrieben? Was hat sie 2025 begeistert, bewegt und frustriert? Und was steht im kommenden Jahr für sie an? Einige Resümees aus der Redaktion. Von netzpolitik.org –
Artikel lesen

Sanktionen gegen HateAid-Führung: Die Bundesregierung muss jetzt scharf protestieren

Die USA belegen Menschen mit Sanktionen, weil sie demokratisch legitimierte Gesetze gegen Tech-Konzerne verteidigen. Das erfordert eine klare Antwort aus Europa. Es geht um die Souveränität der EU, Gesetze selbst zu gestalten, und um die Freiheit der europäischen Zivilgesellschaft. Ein Kommentar. Von Markus Reuter –
Artikel lesen

Chaos Communication Congress: netzpolitik.org auf dem 39C3

Beim 39. Chaos Communication Congress sind auch Redakteur*innen und Autor*innen von netzpolitik.org auf der Bühne. Lest hier, wie ihr die Vorträge vor Ort oder per Stream verfolgt – und wann ihr die Redaktion persönlich vor Ort treffen könnt. Von Sebastian Meineck –
Artikel lesen

Chaos Communication Congress: Talk-Tipps für die Zeit zwischen den Jahren

Auch wer kein Ticket für den 39C3 bekommen hat, kann zuschauen. Das Programm auf den großen Bühnen beschäftigt sich mit allerlei Themen, von der elektronischen Patientenakte bis zu Bikesharing und dem Darknet. Unsere Streaming-Highlights des Jahresendes. Von Chris Köver –
Artikel lesen

Komoot: Wie Kapital die Community in die Irre führt

Der enttäuschende Verkauf der beliebten Outdoor-App Komoot Anfang 2025 verdeutlicht die Unvereinbarkeit von Tech-Kapital und echter Community. Eine Analyse der ausbeuterischen Beziehung zwischen Plattform und Nutzerschaft liefert Impulse, wie eine nachhaltige, gemeinschaftliche Routen-Plattform aussehen müsste. Von Gastbeitrag, Joshua Meissner –
Artikel lesen

Deutschland-Stack: Open Source vor verschlossenen Türen

Das Digitalministerium will beim Deutschland-Stack möglichst zügig vorankommen und ist dafür offenbar zu weitgehenden Zugeständnissen bereit. Fachleute kritisieren den intransparenten Konsultationsprozess und warnen davor, dass Tech-Konzerne bei der Verwaltungsdigitalisierung noch mehr an Einfluss gewinnen. Von Esther Menhard –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Digitalministerium will beim Deutschland-Stack möglichst zügig vorankommen und ist dafür offenbar zu weitgehenden Zugeständnissen bereit. Fachleute kritisieren den intransparenten Konsultationsprozess und warnen davor, dass Tech-Konzerne bei der Verwaltungsdigitalisierung noch mehr an Einfluss gewinnen.

Der Deutschland-Stack ist eines der größten Digitalisierungsvorhaben im schwarz-roten Koalitionsvertrag. Auch in ihrer Modernisierungsagenda beschreibt die Bundesregierung den D-Stack als entscheidende Technologie-Plattform, um die öffentliche Verwaltung zu digitalisieren.

Ein Technologie-Stack enthält in der Regel mehrere Komponenten, um Software zu entwickeln, zu betreiben und zu warten. Dazu gehören unter anderem Werkzeuge für die Entwicklung: Programmiersprachen, Datenbanken und Schnittstellen. Laut Agenda soll der Deutschland-Stack eine einheitliche IT-Infrastruktur bereitstellen, auf der die Verwaltung zum Beispiel Basisdienste betreibt, etwa Systeme, über die Wohngeld verrechnet wird oder das Begleichen von anfallenden Gebühren.

Allerdings ist weiterhin unklar, was den Stack im Detail ausmachen soll. Fest steht bislang nur: Die Zivilgesellschaft soll bei dem Thema offenbar nicht groß mitreden. Und auch das Thema Open Source kommt allenfalls am Rande vor. Profitieren könnten davon ausgerechnet die Tech-Konzerne, auch wenn deren Angebote die Anforderungen an die digitale Souveränität kaum erfüllen können.

Intransparenz und geringes Interesse an der Zivilgesellschaft

Dass viele Fragen noch offen sind, zeigt auch der Konsultationsprozess zum Stack, den das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) organisierte. Bei dem Beteiligungsverfahren konnten Verbände, Organisationen, Unternehmen und Privatpersonen ihre Vorschläge und Anforderungen zu bestimmten Vorhaben einreichen. Die einzelnen Stellungnahmen und Rückmeldungen sind über die Plattform openCode öffentlich einsehbar – als ganze Konsultationsbeiträge von öffentlichen IT-Dienstleistern, Nicht-Regierungs-Organisationen und privaten Herstellern oder als Anregungen zu einzelnen Fragen. So wies der Verband Green Software auf die Umweltbelastung durch Software hin und Dirk Gernhardt vom IT-Referat München fragt: Sollten konkrete Produkte und Technologien in Vergabeverfahren verbindlich gefordert werden können, „liefert der Deutschland-Stack dafür den rechtlichen Rahmen“?

Parallel zu dem Verfahren fanden geschlossene Workshops mit ausgewählten Beteiligten statt. Thilak Mahendran von der Agora Digitale Transformation kritisiert (PDF), dass das BMDS weder die Teilnehmenden noch die Ergebnisse dieser Workshops bislang transparent gemacht hat. „Dies widerspricht dem Anspruch eines offenen Verfahrens.“ Auch habe das Ministerium die Zivilgesellschaft nicht aktiv in den Beteiligungsprozess einbezogen, so Mahendran gegenüber netzpolitik.org. Über Wochen habe das Stichwort „Zivilgesellschaft“ auf der Website zum D-Stack gefehlt.

Neben Mahendran war auch die ehemalige Bundestagsabgeordnete und Digitalaktivistin Anke Domscheit-Berg zu einem Workshop zum Thema Open Source eingeladen, den die Open Source Business Alliance (OSBA) auf eigene Initiative am 5. Dezember in den Räumlichkeiten des BMDS veranstaltete. Unter den Teilnehmenden waren Open-Source-Unternehmer*innen sowie Vertreter*innen aus Zivilgesellschaft, von Open-Source-Stiftungen, aus der Politik und von Behörden sowie zwei Vertreter*innen aus dem Digitalministerium.

Allerdings scheint das Ministerium diesem Workshop nicht allzu große Bedeutung beizumessen. Auf einer Konferenz des Hasso-Plattner-Instituts Anfang Dezember habe Staatssekretär Markus Richter davon gesprochen, dass der Beteiligungsprozess zum Deutschland-Stack abgeschlossen sei, erinnert sich Anke Domscheit-Berg gegenüber netzpolitik.org. „Da hatte der Workshop der OSBA noch gar nicht stattgefunden.“

Schwammige und unverbindliche Kriterien

Außerdem ist weiterhin offen, welche Dienste und Cloud-Angebote in den Stack aufgenommen werden und welche nicht. Dafür brauche es klare Vorgaben, einschließlich roter Linien, de Mindeststandards definieren müssen, so Domscheit-Berg. Bislang seien die vorgegebenen Kriterien aber nicht nur schwammig, unambitioniert und teils sogar kontraproduktiv für das Ziel digitaler Unabhängigkeit, sondern außerdem auch noch unverbindlich formuliert: „Durch das Fehlen einer Bewertung entlang der Kriterien ist kein Ausschluss vom Tech-Stack gegeben“, heißt es im entsprechenden Dokument.

Der überschaubare Kriterien-Katalog soll demnach nur einen Eindruck darüber vermitteln, ob und inwiefern die fragliche Technologie für den Stack etwa digital souverän, interoperabel und vertrauenswürdig ist.

Ob eine Software oder Cloud-Lösung digital souverän ist, lässt sich laut Katalog entlang von sechs Stufen kategorisieren. Die Mindestestufe 0 erfüllt ein Angebot nur dann, wenn es Nutzenden ermöglicht, „mit überschaubarem Aufwand“ zu einer „vergleichbaren Alternative“ zu wechseln. Können die Nutzenden Einfluss darauf nehmen, wo Daten gespeichert werden, sei die Lösung zu 20 Prozent digital souverän (Stufe 1). Erlaubt das Angebot es darüber hinaus, Einfluss „auf den Anbieter oder zur aktiven Teilnahme an der Community“ zu nehmen, sei sie zu 40 Prozent digital souverän. Die höchste Stufe 5 erreicht eine Lösung, wenn sie „die Möglichkeiten zum vollumfänglichen Einfluss“ beinhaltet. Der Kriterien-Katalog schweigt sich darüber aus, worin diese Möglichkeiten bestehen.

Ohne eine klare Zielvorstellung davon, was digitale Souveränität „im Kontext des Deutschland-Stacks konkret bedeutet“, könne das Kriterium jedoch nicht „zweckdienlich“ umgesetzt werden, hält eco, der Verband für Internetwirtschaft, in seiner Stellungnahme zum Deutschland-Stack (PDF) fest. Dabei sei grundsätzlich fraglich, ob digitale Souveränität den anderen Kriterien gleichgestellt sein sollte.

Vorrang von Open Source ist gesetzlich vorgeschrieben

Die öffentliche Vergabe an sogenannte Hyperscaler, die große Rechenzentren und eine flexible Skalierung etwa von Cloud-Diensten anbieten. reguliert der Katalog nicht. Dabei wird digitale Souveränität in der Regel auch als technologische Unabhängigkeit von Big Tech verstanden. Ebensowenig räumt Stack offener Software verbindlich Vorrang ein, wie es etwa das E-Government-Gesetz des Bundes (EGovG) tut.

Das EGovG regelt die rechtlichen Rahmenbedingungen für die Digitalisierung der Bundesverwaltung. Dort heißt es konkret: „Die Behörden des Bundes sollen offene Standards nutzen und bei neu anzuschaffender Software Open-Source-Software vorrangig vor solcher Software beschaffen, deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt.“

Dennoch gebe es immer wieder Ausschreibungen explizit für Hyperscaler, so Domscheit-Berg. Ein Beispiel dafür sei die aktuelle Ausschreibung des Bundesministeriums für Wirtschaft und Energie für Clouddienste von Amazon, die beim Betrieb der deutschen Forschungszentrale zum Einsatz kommen sollen. Der Deutschland-Stack müsse so etwas künftig verhindern. Andernfalls riskiere man, dass sich Konzerne wie Microsoft, Amazon und Google im Stack fest einrichten und sich so die technologische Abhängigkeit von ihnen verfestigt. „Wenn man den Deutschland-Stack abschalten kann, zwingt man die öffentliche Verwaltung in die Knie“, warnt Domscheit-Berg.

Marktrelevanz ist dem Digitalministerium wichtig

Das Digitalministerium will die Angebote der Tech-Konzerne für den Deutschland-Stack aber offenbar nutzen. Heiko Hartenstein, Referent und Leiter Architekturmanagement Dienstekonsolidierung im Digitalministerium, räumt dem Kriterium der Marktrelevanz klar Vorrang ein. Das Ministerium verfolge das Ziel, „möglichst schnell und einfach digitale Angebote zu schaffen“. Dabei gehe es darum, „das abzuholen, was schnell verfügbar ist“, so Hartenstein beim Workshop der OSBA. Gerade Hyperscaler könnten hier punkten.

Das Digitalministerium will nun bis Mitte Februar die Ergebnisse der Konsultation und der Workshops auswerten und das Konzept des Deutschland-Stacks überarbeiten. Spätestens dann wird sich wohl zeigen, ob sich das Ministerium die Kritikpunkte aus dem Workshop zu Open Source zu Herzen nimmt oder nicht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der enttäuschende Verkauf der beliebten Outdoor-App Komoot Anfang 2025 verdeutlicht die Unvereinbarkeit von Tech-Kapital und echter Community. Eine Analyse der ausbeuterischen Beziehung zwischen Plattform und Nutzerschaft liefert Impulse, wie eine nachhaltige, gemeinschaftliche Routen-Plattform aussehen müsste.

Dieser Artikel erschien zuerst in längerer Form und auf Englisch bei BIKEPACKING.com

Der Verkauf der beliebten Outdoor-App Komoot im März diesen Jahres traf die europäische Outdoor-Community aus heiterem Himmel. Entgegen aller Beteuerungen der Komoot-Chefs wurde die Plattform, mit der sich Wanderungen oder Radausflüge planen lassen, ohne Vorwarnung an das Tech-Konglomerat Bending Spoons aus Italien übertragen. Die sechs Gründer zogen sich mit dem Löwenanteil des 300-Millionen-Euro-Deals zurück, während die etwa 150 Angestellten und 45 Millionen Nutzer:innen um ihren bisherigen Traumjob und ihre Plattform bangten.

Über 80 Prozent der Angestellten wurden umgehend entlassen, was langjährige Mitarbeitenden mir gegenüber als „grausamen Verrat“ bezeichneten. Viele hatten Abstriche beim Gehalt hingenommen und waren aufs Land oder in die Berge gezogen, um sich der Arbeit in der „Komoot-Familie“ voll hinzugeben. Geschockt, wütend und traurig mussten sie sich nun im schlechten Arbeitsmarkt nach neuer Lohnarbeit umschauen – teils auch um ihre Aufenthaltstitel zu behalten.

Die Nutzer:innen meldeten ihre Empörung in Kommentarspalten und den sozialen Medien. Denn für viele war Komoot kein austauschbares Tool, sondern ein liebgewonnenes Erinnerungsbuch für ihre besonderen Naturerlebnisse und Urlaube. Und auch sie waren maßgeblich am Erfolg von Komoot beteiligt, denn es waren ihre Planungen, GPS-Aufzeichnungen und Reisedokumentation, die die Plattform mit Leben füllten.

Komoots Erfolg basiert auf diesem Nutzerdatenschatz: aufgezeichnete Routen, Punkte, Fotos und Notizen, sogenannter User-Generated Content, werden verarbeitet und anderen Menschen auf der globalen Karte, in Collections und in persönlichen Feeds dargestellt. So werden kurze oder auch längere Abenteuer ins Grüne vereinfacht, was wieder zu mehr Nutzer:innenaktivität führt und die Plattform somit attraktiver macht.

Kaltes Business hinter freundlichem Grün

Spätestens mit dem Verkauf offenbarte sich jedoch hinter Komoots freundlichem Grün kaltes Business As Usual. In der offiziellen Pressemeldung zu dem Verkauf beschreibt Ex-CEO Markus Hallermann Bending Spoons als „perfekten Partner, um Komoot in die Zukunft zu führen“ – eine Zukunft, die ohne die Angestellten und der Community entschieden wurde, die die Plattform groß gemacht haben und an ihrem Fortbestand interessiert waren. Die neuen Eigner in Mailand äußerten sich „enthusiastisch über das zukünftige Wachstumspotenzial“, sprich den Ausblick auf noch größere Profite. Die Angestellten wurden in der Pressemitteilung nicht erwähnt. Der Ausverkauf offenbart die Prekarität von Angestellten und Community, wenn diese nicht die Kontrolle über ihr Unternehmen und ihre Plattform haben.

Der Fall Komoot ist jedoch weder einzigartig, noch ist er als moralisches Versagen gieriger Gesellschafter zu verstehen. Vielmehr ist er Ausdruck eines kapitalistischen Systems, das solche Verrate an der Community laufend und unweigerlich wiederholt. Die Nutzer:innen von Couchsurfing, Reddit und Twitter können ein Lied davon singen. Und ob nun Komoot, Strava, AllTrails, RideWithGPS: Alle kommerziellen Anbieter im umkämpften Markt sind gezwungen, mittels ihrer Nutzer:innen und deren Inhalten maximalen Profit zu machen.

Wie genau beuten kommerzielle Plattformen wie Komoot ihre Nutzer:innen aus? Und was können wir aus dem Fall Komoot lernen für den Aufbau nachhaltiger digitaler Plattformen, die tatsächlich langfristig für die Community funktionieren?

Die unnachhaltige Datenmühle

Komoot ist ein Paradebeispiel des perfiden Wirkprinzips geschlossener, kommerzieller Plattformen. Komoot zieht Wanderer, Radsportler:innen, und Radreisende an, indem es vorgefertigte „Inspiration“, praktische Routenempfehlungen, und Turn-by-Turn-Anweisungen in einem Google-Maps-ähnlichen Dienst vereint.

Viele mächtige Funktionen der App ließen sich kostenfrei nutzen, die Weltkarte ließ sich mit einer Einmal-Zahlungen von 30 Euro dauerhaft freischalten. Ein Abo gab es auch, es schaltete lediglich Zusatz-Features wie Wetter-Infos und 3D-Karten frei.

In einem Interview offenbarte Hallerman 2023, dass Komoots Umsatz sich zu etwa gleichen Anteilen aus Abos und Einmalzahlungen von neuen Nutzer:innen zusammensetzte, während Einnahmen durch Fremdwerbung nur einen geringen Anteil ausmachten. Somit musste Komoot ständig neue Nutzer:innen anziehen und neue Märkte erschließen, um im Geschäft zu bleiben. Wachstum ist also nicht bloß kapitalistische Ideologie, sondern finanzieller Zwang.

Entsprechend setzten die Komoot-Chefs, wie so oft bei Tech-Plattformen, den Fokus der Entwicklung darauf, die Nutzer:innenzahl und das Engagement auf der Plattform zu steigern. Das hat jedoch Grenzen, irgendwann sind alle möglichen Nutzer:innen einer Zielgruppe erreicht. 2024 hatte Komoot bereits 40 Millionen registrierte Nutzer:innen, das Wachstum des Unternehmens verlangsamte sich bedrohlich. Ein weiterer Grund für die Gründer, die unnachhaltige Firma abzustoßen?

Community oder „Community“?

Um Engagement zu fördern und ganze Nutzer:innengruppen einzufangen, manipulieren Tech-Firmen besonders gern das menschliche Bedürfnis, Teil einer Gemeinschaft zu sein und ihr beizutragen. So auch bei Komoot. Aber wenn wir etwas zu einer „Community“ oder besser gesagt einem Kundenstamm wie auf Komoot beisteuern, leisten wir vor allem auch unbezahlte Arbeit für das Wachstum der Plattform. Ein Mitbestimmungsrecht darüber, wie die Plattform funktioniert, haben wir nicht. Nutzer:innen zahlen sogar für das Vergnügen. Daran verdienen, das tun andere.

Das und der Ausverkauf von Komoot verdeutlichen unmissverständlich, dass eine solche „Community“ mehr Schein als Sein ist. Diese ausbeuterische Beziehung zwischen Nutzer:innen und Plattform ähnelt der Beziehung zwischen Arbeitskräften und Kapital, in der Bosse private Profite erwirtschaften, indem sie enormen Mehrwert von Arbeiter:innen abschöpfen.

Eine echte Community kann als Gruppe verstanden werden, die durch ein Commons verbunden ist, ein gemeinsames materielles oder immaterielles Gut. Bei Wanderern, Radsportlern, und Radreisenden stellen geteilte Strecken, bemerkenswerte Landmarken, Fotos und Ortswissen ein wichtiges Commons dar. Sie sind Grundlage für neue Unternehmungen und Veranstaltungen, die Menschen zusammenbringen, menschliche Beziehungen gedeihen lassen und zum Beitragen motivieren.

Plattformen wie Komoot stellen aber kein Commons dar, da keine gemeinschaftliche Kontrolle über die Plattform besteht. Kein Commons, keine echte Community. Kapital eignet sich das produktive Commons an und macht das gemeinschaftliche Gut zu privatem Profit. Dieser Vorgang bei Komoot und anderen digitalen Plattformen kann als digitale Einhegung betrachtet werden.

Ob digital oder physisch, die Einhegung ist oft fatal für die Vielfalt des Commons und schwächt das gesamte Ökosystem. Geschlossene Plattformen wie Komoot verhindern, dass der kommunale Datenschatz kreativ umgenutzt wird, beispielsweise für spezialisierte Tools und Datensätze für bestimmte Sportarten und Regionen. Er kann nicht in große digitale Commons wie Wikipedia oder OpenStreetMap einfließen, wovon noch viel mehr Menschen profitieren würden.

Zwischen der erklärten Mission, leichten Zugang zur freien Natur zu ermöglichen, und der exklusiven Nutzung entstandener Daten liegt ein eklatanter Widerspruch.

Ähnlich sieht es bei Komoots Kerntechnologie aus, die hauptsächlich auf Open-Source-Projekten beruht. Ohne die Leaflet-Karte, die Graphhopper-Routing-Engine und OpenStreetMap-Daten würde Komoot nicht existieren, jedoch werden die internen Weiterentwicklungen nicht grundsätzlich veröffentlicht. So bedient sich der Tech-Sektor immer gerne am Open-Source-Commons, ohne nennenswert zurückzugeben. Projekte, deren Bestand kritisch für allerlei Infrastruktur ist, bleiben oft chronisch unterfinanziert.

Operation Enshittification

Dem Ausverkauf der Komoot-Nutzerschaft wurden eigentlich schon mit der Aufnahme von Wagnis- und Bankkapital bei der Firmengründung die Weichen gestellt. Damit sind maximale Rendite und lukrativer Exit für die Investoren als oberste Ziele festgelegt. Der Zwang zur kurzfristigen Steigerung des Unternehmenswert seitens des Managements stellt einen fundamentalen Widerspruch mit langfristiger Stabilität und Nutzwert für Angestellte und Nutzer:innen dar.

Der Verlauf dieses Konflikts wird gut durch die Enshittification-Theorie nach Cory Doctorow erklärt. Sie beschreibt den Verlauf kommerzieller Plattformen von nutzerfreundlichen Anfängen bis hin zum Raubbau der Plattform zur Maximierung von Profit und Unternehmenswert.

In der Anfangsphase hatten es Komoot-Nutzer:innen verhältnismäßig gut. Eine erschwingliche Einmalzahlung für ein Kartenpaket, subventioniert durch ihre Daten, schaltete nützliche Funktionen dauerhaft frei. Die Leidenschaft der Angestellten für die Mission hinderte die Bosse daran, Features durchzusetzen, die die Nutzererfahrung sehr beeinträchtigen würden. Es gab zwar Ausnahmen wie die Flutung von Suchergebnissen mit zehntausenden KI-generierten Routen fragwürdiger Qualität. Es wurden jedoch keine Nutzerdaten verkauft und die Werbung im Feed war moderat.

Mit der Entlassung der meisten Angestellten fällt diese Gegenmacht weg. Die neuen Eigner können die Plattform auf pures Rent-Seeking ausrichten – die direkte Ausbeutung der gefangenen Nutzer:innen. Eine implizite Übereinkunft zwischen Plattform und Nutzer:innen wird zunehmend zugunsten der Eigner verändert, während sich die Nutzererfahrung auf der Plattform immer weiter verschlechtert.

Auch wenn es sich noch nicht unmittelbar in der Nutzererfahrung niederschlägt, Komoot ist im Zuge der Enshittification wie schon die Bending-Spoons-Zukäufe WeTransfer und Evernote. Überall in der App und auf der Webseite wird die kostenfreie Nutzung mit „kreativer“ Reibung verschlechtert, wie es schon bei WeTransfer geübt wurde. Komoot-Nutzer:innen werden zu teureren wöchentlichen Abos getrieben. Die Produktverbesserungen und das überfällige UI-Facelift, die in den letzten Monaten ausgerollt wurden, ändern nichts am Zwang zur maximalen Rendite.

Die Endphase, in der die Plattform bis auf den letzten Cent ausgequetscht wird, steht wohl noch bevor. Der monatliche Abopreis wurde bereits von 4,99 Euro auf 6,99 Euro erhöht – bei Evernote stieg der Preis nach der Übernahme schrittweise fast auf das Doppelte. Mehr gesponsorte Inhalte und Werbung im Produkt sind bewährte Mittel, um mehr Gewinn zulasten der Nutzererfahrung zu erwirtschaften. KI-generierte Inhalte – die weitere Entfremdung von anderen Menschen und der Natur liegen auf der Hand.

Im Endstadium der Enshittfication versuchen das Unternehmen, die Nutzer:innen so lange wie möglich am Abwandern zu hindern, um ihren Profit zu maximieren. Soziale Medien nutzen dafür Netzwerkeffekte, die bei Komoot aber weniger stark ausgeprägt sind. Stattdessen hält Komoot die persönlichen, teils umfangreichen Planungen und Dokumentationen von Reisen effektiv zurück. Ein nativer Batch-Datenexport wurde nach der Übernahme entfernt. Der Datenexport nach DSGVO ist praktisch unbrauchbar, da nicht im menschenlesbaren Format. Nutzer:innen müssen sich mit Export-Tools aus der Community behelfen, um ihre Daten aus den Klauen der Plattform zu retten.

Der Weg nach vorne

Komoot ist kein Einzelfall, sondern eine erneute Mahnung, dass geschlossene Plattformen unter der Kontrolle weniger Bosse langfristig nicht für echte Gemeinschaften funktionieren. Denn Unternehmen hegen ein, beuten aus und verkaufen die Community, trotz bester Absichten von Angestellten und möglicherweise manchen Eignern. Von der nächsten kommerziellen Routen-Plattform, die Komoot den Rang ablaufen will, ist nichts anderes zu erwarten. Tech-Kapital hat in unseren Gemeinschaften nichts zu suchen.

Stattdessen benötigen wir quelloffene, unkommerzielle Routen-Plattformen. Echte Community-Plattformen müssen sich der Profitlogik entziehen und vollständig unter der Kontrolle der Betreiber:innen, Entwickler:innen und Nutzer:innen stehen, damit ein Ausverkauf niemals möglich ist und die Plattform langfristig und nachhaltig gedeihen kann. Das Fediverse mit Mastodon, Matrix, Pixelfed und Co. macht es vor: ein wachsendes Ökosystem offener Protokolle und verteilter Diensten, das sich der Einhegung durch das Tech-Kapital widersetzt. Die dezentralisierte Routen-Plattform Wanderer.to ist ein Vorreiter in diesem Sinne, zwar noch unausgereift, aber Komoot wurde auch nicht an einem Tag gebaut. Wir brauchen diverse offene Werkzeuge und Plattformen für viele Nischen, die zusammen durch Föderation und Interoperabilität aufblühen.

Der Kampf um die Datenhoheit und unsere Plattformen ist freilich nicht wichtiger als andere Kämpfe wie gegen die Klimakatastrophe und weitere Krisen. Aber wie Cory Doctorow auch schreibt: „Freie, faire, offene Technologie ist notwendig, um diese anderen Kämpfe zu gewinnen. Den Kampf für bessere Technologie zu gewinnen wird nicht diese anderen Probleme lösen, aber den Kampf für bessere Technologie zu verlieren löscht jede Hoffnung aus, diese wichtigeren Kämpfe zu gewinnen.“

Als erfahrener Radreisender schreibt Joshua Meissner unter anderem für BIKEPACKING.com. Seine Recherchen, Profile und Essays begleitet er mit seiner Fotografie. Er studiert Mensch-Technik-Interaktion im Master Human Factors an der TU Berlin. Erreichbar ist Josh unter hello@joshuameissner.de.

Korrekturhinweis: Wir haben die Passage zur Nutzererfahrung und Bezahlschranken zu Navigationsgeräten richtiggestellt und aktualisiert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Auch wer kein Ticket für den 39C3 bekommen hat, kann zuschauen. Das Programm auf den großen Bühnen beschäftigt sich mit allerlei Themen, von der elektronischen Patientenakte bis zu Bikesharing und dem Darknet. Unsere Streaming-Highlights des Jahresendes.

Die Tickets für den Chaos Communication Congress sind auch dieses Jahr wieder ausverkauft. Das Programm auf den drei Hauptbühnen könnt ihr aber auch von zu Hause verfolgen. Unsere Favoriten für ein ausgewogenes Unterhaltungsprogramm zwischen den Jahren haben wir hier für euch zusammengestellt.

Wie immer gilt: Diese Sammlung ist garantiert unvollständig, denn selbst auf den Hauptbühnen findet schon mehr statt, als wir in diesem Überblick unterbringen konnten. Wir empfehlen daher, diese Auswahl mit einem Blick ins Gesamtprogramm zu ergänzen.

Auch Menschen aus unserer Redaktion werden wieder auf der Bühne stehen, podcasten und über ihre Recherchen aus dem vergangenen Jahr sprechen. Eine Übersicht über die netzpolitik.org-Talks haben wir an anderer Stelle für euch zusammengestellt.

• Tag 1: Samstag, der 27. Dezember
• Tag 2: Sonntag, der 28. Dezember
• Tag 3: Montag, der 29. Dezember
• Tag 4: Dienstag, der 30. Dezember

Tag 1: Samstag, der 27. Dezember

Los geht es mit einem Aufreger-Thema: Den derzeitigen Versuchen, im Namen des Jugendschutzes das Netz zu regulieren – von der Chatkontrolle bis zu verpflichtenden Altersüberprüfungen. Kate Sim arbeitet seit Jahren zum Thema, zuletzt etwa im Safety-Team von Google, und verspricht in ihrem Vortrag „Not an Impasse: Child Safety, Privacy, and Healing Together“ Lösungen vorzustellen, die nicht das Wohl von Kindern gegen die Rechte von Erwachsenen ausspielen.

Die Omnibus-Gesetze der EU laden nicht nur zur vielen, wirklich vielen lustigen Wortspielen ein. Sie bergen auch große Gefahren für digitale Grundrechte. Der Vortrag „Throwing your rights under the Omnibus“ von Thomas Lohninger und Ralf Bendrath erklärt, welche Auswirkungen das Gesetzespaket mit dem euphemistischen Namen „Digital Simplification Package“ haben würde – und verspricht doch einen hoffnungsvollen Ausblick.

Neurowissenschaftlerin Elke Smith erforscht an der Universität Köln, was sich bei Glücksspiel im Gehirn abspielt und wie sich die Branche das zunutze macht. Im Talk „Neuroexploitation by Design“ spricht sie über die offenen und verdeckten Mechanismen, die Glücksspielprodukte einsetzen, um das Belohnungssystem zu aktivieren und welche Folgen das haben kann.

Es gibt bekanntlich fast nichts, was sich mit „KI“ nicht vermeintlich lösen ließe, etwa die Krise des deutschen Gesundheitssystems. Manuel Hofmann von der Deutschen Aidshilfe knöpft sich in seinem Talk die techgläubigen Heilserzählungen vor und fragt, was es statt Selbstoptimierung und „KI-Assistent*innen“ tatsächlich bräuchte.

Eine „wilde, unterhaltsame Fahrt“ verspricht Katika Kühnreich zu einem erstmal eher bedrückenden Thema: die Zusammenhänge zwischen der Macht von Tech-Bros und Faschismus. Auch eine Betrachtung von Widerstandsmöglichkeiten soll in ihrem Talk „All Sorted by Machines of Loving Grace?“ nicht fehlen.

Christoph Saatjohann ist Professor für eingebettete und medizinische IT-Sicherheit und hat vor zwei Jahren mehrere Schwachstellen im Kommunikationsdienst im Medizinwesen KIM aufgedeckt. Nun schaut er wieder auf die Telematikinfrastruktur und offenbar ist er fündig geworden. Die Fundstücke zeigt er in „KIM 1.5: Noch mehr Kaos In der Medizinischen Telematikinfrastruktur (TI)“.

Tag 2: Sonntag, der 28. Dezember

Christiane Mudra inszeniert ihre Arbeiten sonst in Form von „investigativem Theater“. Ihr Vortrag „freiheit.exe – Utopien als Malware“ basiert auf den Recherchen für ihr gleichnamiges Stück und dreht sich um die ideologischen Wurzeln der Tech-Oligarchen – von Transhumanismus und Neo-Eugenik bis zur „Akzeleration als politische Strategie“.

Ministerien und Behörden lassen ihre offiziellen Domains manchmal einfach auslaufen, so dass sich andere diese sichern können. Was soll da schon schief gehen? Was schief gegangen ist, darüber spricht der Sicherheitsforscher Tim Philipp Schäfers von Mint Secure im Talk „Was alte Behördendomains verraten“.

Juchu, Abgeordnete packen aus. Anna Kassautzki saß für die SPD von 2021 bis 2025 im Bundestag – auch im Digitalausschuss. Ihre Mitarbeiterin Rahel Becker ebenso. Jetzt erklären sie im Talk „Power Cycles statt Burnout“, wie politische Einflussnahme auf Entscheidungen wirklich funktioniert und was zivilgesellschaftliche Organisationen daraus ableiten sollten, wenn sie ihre Energie effizient einsetzen wollen.

Hoffnung auf die Kraft sozialer Bewegungen verspricht auch der Beitrag von Mustafa Mahmoud Yousif. Im Vortrag „Hatupangwingwi: The story how Kenyans fought back against intrusive digital identity systems“ geht es um die kolonialen Wurzeln von Identifikationssystemen und den Widerstand der kenianischen Zivilgesellschaft gegen die Datenbank Huduma Namba.

In „Current Drone Wars“ beleuchtet Leonard Veränderungen in der Kriegsführung mit Drohnen: von den großen und schwerfälligen Apparaten des US-amerikanischen „War on Terror“ zu den billig produzierten Massendrohnen des Ukraine-Krieges. Mittlerweile mischen auch deutsche Rüstungskonzerne und -Start-ups im Geschäft mit dem Kriegsgerät der Zukunft mit.

Tag 3: Montag, der 29. Dezember

Jürgen Bering und Simone Ruf von der Gesellschaft für Freiheitsrechte berichten davon, wie die NGO für strategische Klagen seit ihrer Gründung vors Bundesverfassungsgericht und andere Rechtsprechungsorgane zieht. In „Hacking Karlsruhe – 10 years later“ geht es um Erfolge, Fehlentscheidungen und was sich daraus lernen lässt.

Künstlerin Esther Mwema spricht über Unterseekabel und andere Internetinfrastrukturen in Afrika als Schauplätze des digitalen Kolonialismus: „Undersea Cables in Africa: New Frontiers of Digital Colonialism“.

Forschende haben sich Bikesharing-Daten vorgenommen und zwar jede Menge davon. Im Talk „What Makes Bike-Sharing Work?“ fragen sie: Was können wir aus 43 Millionen Kilometern an Bikesharing-Fahrten aus 268 europäischen Städten für eine zeitgemäße Mobilitätsplanung lernen?

Hannah Vos und Vivian Kube arbeiten als Anwältinnen für die Transparenzplattform FragDenStaat. In ihrem Beitrag sezieren sie, wie „Neutralität“ zu einem neuen Kampfbegriff wurde. „Zivilcourage kann nicht neutral sein – und soll es auch nicht“, sagen die beiden und erklären, warum das so ist.

Im letzten Jahr sorgten die von Bianca Kastl und Martin Tschirsich vorgestellten Sicherheitsprobleme bei der elektronischen Patientenakte für Aufregung. Ein Jahr später blickt Bianca zurück, was seit dem Talk und der tatsächlichen Einführung der ePA für alle passiert ist – in „Schlechte Karten – IT-Sicherheit im Jahr null der ePA für alle“.

Informatiker Rainer Rehak spricht über die automatisierten Zielsysteme des israelischen Militärs und warum IT-Fachleute dazu nicht schweigen sollten. Es geht unter anderem um das Völkerrecht, sogenannte Künstliche Intelligenz und die Verantwortung großer Tech-Konzerne: „Programmierte Kriegsverbrechen? Über KI-Systeme im Kriegseinsatz in Gaza und warum IT-Fachleute sich dazu äußern müssen“.

Laufen auf .onion-Seiten im Darknet vor allem kriminelle Aktivitäten oder findet sich da die letzte Bastion der Freiheit? Selbst in wissenschaftlichen Papern widersprechen sich die Zahlen extrem. Tobias Höller leuchtet aus, wie das zu interpretieren ist.

„Ein analoger Überwachungskrimi mit sauberen Städten, lichtscheuen Elementen, queerem Aktivismus, und kollektiver Selbstorganisation“ verspricht Simon Schultz in seinem Vortrag zu einem Überwachungssystem in Hamburger Toiletten aus den 1980ern, das vor allem auf queere Menschen abzielte.

Tag 4: Dienstag, der 30. Dezember

Wir haben immer wieder über Linas Recherchen zur CUII, der Clearingstelle Urheberrecht im Internet, berichtet. Auf dem Congress stellt sie gemeinsam mit Elias Zeidler alias Northernside im Talk „Wie Konzerne heimlich Webseiten in Deutschland sperren“ die neuesten Entwicklungen in der Causa CUII vor.

Was hat KI mit Gaskraftwerken zu tun? Das erklären Friederike Karla Hildebrandt von Bits und Bäume und Moritz von urgewald in ihrem Vortrag „Fossile Industrie liebt KI“.

Mit Hilfe der YouTube-Datenspende von 1.064 Dänen haben Forschende untersucht, wie die Plattform ihre Besuche beeinflusst. Es geht aber auch um europäische Regeln, die Wissenschaftler:innen mehr Zugang zu Daten geben sollten, aber in der Praxis noch nicht ausreichend funktionieren: „We, the EU, and 1064 Danes decided to look into YouTube“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Beim 39. Chaos Communication Congress sind auch Redakteur*innen und Autor*innen von netzpolitik.org auf der Bühne. Lest hier, wie ihr die Vorträge vor Ort oder per Stream verfolgt – und wann ihr die Redaktion persönlich vor Ort treffen könnt.

Unter dem Motto „Power Cycles“ startet am Samstag, 27. Dezember, der aktuelle Chaos Communications Congress. Mit dabei im vielfältigen Programm sind auch Menschen von netzpolitik.org. Lasst euch auf den aktuellen Stand unserer Recherchen bringen, blickt mit uns hinter Kulissen unserer Arbeit und trefft uns, wenn ihr mögt, persönlich!

Und selbst wenn ihr nicht in Hamburg dabei sein könnt: Die meisten Vorträge gibt es auch als Livestream und wenig später als Aufzeichnung unter media.ccc.de.

Tag 1: Handy weg bis zur Ausreise

📌 Samstag, 27.12., 17:15 Uhr, Ground
🔗 Handy weg bis zur Ausreise – Wie Cellebrite ins Ausländeramt kam

Seit Jahren schreibt netzpolitik.org-Redakteurin Chris Köver über Migrationskontrolle und deren Auswüchse. Im Jahr 2024 fingen deutsche Ausländerbehörden damit an, Smartphones von ausreisepflichtigen Menschen nicht nur zu durchsuchen, sondern gleich ganz zu behalten. In ihrem Vortrag schildert Chris die Konsequenzen für Betroffene und zeigt Beispiele für Widerstand.

Tag 1: Chatkontrolle – Ctrl+Alt+Delete

📌 Samstag, 27.12., 20:30 Uhr, One
🔗 Chatkontrolle – Ctrl + Alt + Delete

Wohl kaum jemand in Deutschland hat so viele Artikel über die Chatkontrolle geschrieben wie netzpolitik.org-Redakteur Markus Reuter. Gemeinsam mit CCC-Sprecherin Khaleesi berichtet er von den überraschenden Wendungen im langen Kampf gegen die Chatkontrolle. Wieso sind jetzt sogar Unions-Fraktionsvorsitzender Jens Spahn (CDU) und der Chef der deutschen Polizeigewerkschaft, Rainer Wendt, gegen diese Form der Überwachung? Und was passiert als nächstes in der EU?

Tag 2: Off/On – der netzpolitik.org-Podcast live

📌 Sonntag, 28.12., 12:30 Uhr, Sendezentrum Bühne (Saal X 07)
🔗 netzpolitik.org Off/On: Off The Record live

Seid live dabei, wenn die neueste Folge unseres Podcasts Off/On entsteht, und zwar mit einer Ausgabe „Off The Record“, in der wir euch hinter die Kulissen von netzpolitik.org mitnehmen, um unsere Arbeit transparent zu machen. Als Host wird euch netzpolitik.org-Redakteur Ingo Dachwitz begrüßen. Eingeladen sind Chris Köver, Esther Menhard und Markus Reuter. Sie sprechen über ihre Recherchen des Jahres: Wie sind sie vorgegangen, welche Hindernisse mussten sie überwinden? Und: Was haben die Recherchen ausgelöst?

Tag 2: Triff die netzpolitik.org-Redaktion vor Ort

📌 Sonntag, 28.12., 13:30 Uhr, vor dem Sendezentrum (Saal X 07)

Gut möglich, dass ihr während eurer Touren auf dem Congress ohnehin Mitgliedern der Redaktion begegnet. An diesem festen Termin habt ihr aber auf jeden Fall Gelegenheit, einige Redakteur*innen persönlich kennenzulernen oder wiederzusehen. Direkt im Anschluss zur Podcast-Aufzeichnung. Kommt gerne auf ein Getränk vorbei und schnappt euch ein paar Sticker!

Tag 3: Blackbox Palantir

📌 Montag, 29.12., 20:30 Uhr, One
🔗 Blackbox Palantir

Auch für deutsche Polizeibehörden analysiert Software des US-Unternehmens Palantir Daten. Dabei sind deren genaue Funktionsweisen unklar, die Nähe zur inzwischen rechtsradikalen US-Regierung verschärft die Bedenken. Mit Verfassungsbeschwerden engagieren sich Gesellschaft für Freiheitsrechte (GFF) und Chaos Computer Club (CCC) gegen den Einsatz von Palantir, unter anderem in Hessen, Hamburg und Bayern. Den Stand der Dinge schildern netzpolitik.org-Redakteurin und CCC-Sprecherin Constanze Kurz sowie GFF-Juristin Franziska Görlitz.

Tag 4: Security Nightmares

📌 Dienstag, 30.12., 14:45 Uhr, One
🔗 Security Nightmares

Gegen Ende des Congress ist es wieder Zeit für Facepalm-Momente: Es geht um Albträume der IT-Sicherheit, um „fieseste Angriffe“ und „teuerste Fehler“. Auch ein Ausblick auf das Jahr 2026 wird gewagt, präsentiert von Constanze Kurz und Ron.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die USA belegen Menschen mit Sanktionen, weil sie demokratisch legitimierte Gesetze gegen Tech-Konzerne verteidigen. Das erfordert eine klare Antwort aus Europa. Es geht um die Souveränität der EU, Gesetze selbst zu gestalten, und um die Freiheit der europäischen Zivilgesellschaft. Ein Kommentar.

Am Dienstagabend hat das US-Außenministerium Visa-Sanktionen gegen Mitglieder eines angeblichen „globalen Zensur-industriellen Komplexes“ verhängt. Der bekannteste Sanktionierte ist der frühere EU-Kommissar Thierry Breton, der eine tragende Rolle für den europäischen Digital Services Act (DSA) spielte.

Daneben gehören die Gründerin des britischen Global Disinformation Index (GDI), Clare Melford, und der Gründer des in Großbritannien und USA tätigen Center for Countering Digital Hate (CCDH), Imran Ahmed, zu denjenigen, die künftig Einreisebeschränkungen für die USA unterliegen. In Deutschland haben die USA mit Anna-Lena von Hodenberg und Josephine Ballon die Geschäftsführerinnen von HateAid sanktioniert.

Feindlicher Akt gegen europäische Souveränität

Die Sanktionen erfüllen zwei Funktionen: Sind sind einerseits ein feindlicher Akt gegen die europäische Gesetzgebung des Digital Services Acts, dem auch die US-amerikanischen Tech-Konzerne unterworfen sind. Die EU-Verordnung enthält vor allem für sehr große Tech-Konzerne zahlreiche Pflichten: etwa zu Moderation und Transparenz, zur Löschung illegaler Inhalte oder dem Schutz von Nutzer:innen vor manipulativem Design.

Diese Gesetzgebung versuchen die mittlerweile sehr nahe an den autoritären Trump gerückten Tech-Milliardäre von Musk bis Zuckerberg schon seit Langem und nun mit verstärkter Hilfe der Trump-Regierung zu attackieren. Früher mit massiver Lobbyarbeit in Brüssel, jüngst auch mit Zoll-Drohungen und jetzt mit Sanktionen gegen zivilgesellschaftliche Organisationen, die die Umsetzung des DSA mitgestalten.

Es handelt sich bei den jetzigen Sanktionen um einen direkten Angriff auf die Souveränität Europas, selbst digitale Märkte zu regulieren und die eigenen Gesetze gegen Konzerne auch durchzusetzen. Die Sanktionen sind Angriff auf die Rechtsstaatlichkeit, denn nichts anderes ist die Durchsetzung von Recht und Gesetz.

Bestrafung und Einschüchterung

Die zweite Ebene ist die Bestrafung, Markierung und Einschüchterung politischer Gegner:innen. Die jetzt durch ihre Mitglieder sanktionierten Nichtregierungsorganisationen sind alle gegen Hassrede, illegale Inhalte und Desinformation tätig. Natürlich sind solche Organisationen denjenigen ein Dorn im Auge, deren Aufstiegs- und Machterhaltungsstrategie auf Hass, Lügen und Desinformation aufbaut. HateAid ist nicht umsonst hierzulande ein Lieblingsgegner der rechtsradikalen AfD und ihrer rechtskonservativen Steigbügelhalter.

Während US-Präsident Trump in den USA mit der New York Times die renommierteste Zeitung des Landes zum „Gegner des Volkes“ deklariert und die „Einschläferung“ des Satirikers Stephen Colbert fordert, malen er und seine Anhänger:innen das Schreckgespenst eines allmächtigen europäischen Zensurapparates an die Wand. Gleichzeitig übernehmen Trump-Getreue die US-Medienlandschaft und ein regierungsnahes global agierendes autoritäres Netzwerk von Tech-Konzernen hat sich gebildet. Die Realität ist also: Die Meinungsfreiheit ist in den USA in Gefahr – und weniger in Europa.

Bei den jetzt verhängten Einreiseverboten für die Betroffenen dürfte es nicht bleiben. Die Mitarbeitenden von HateAid wurden als „radikale Aktivisten“ klassifiziert, die ihre Organisationen als Waffe einsetzen würden. Es kann gut sein, dass die Organisationen ihre Social-Media- und sonstigen Accounts bei US-Konzernen verlieren könnten. Die Sanktionen gegen HateAid sind als Drohung gegen alle zu verstehen, die sich kritisch mit US-amerikanischen Tech-Konzernen auseinandersetzen.

Jetzt scharf und entschieden protestieren

Gegen das Vorgehen der US-Regierung müssen die Bundesregierung und die EU-Kommission scharf und entschieden protestieren. Es geht dabei um nicht weniger als die europäische Unabhängigkeit, selbst über die hier geltenden Gesetze zu entscheiden. Es geht darum, dass wir in der EU mit unseren 450 Millionen Einwohner:innen selbst aushandeln, welche Regeln bei uns gelten. Und dass wir uns nicht alles von den Konzernen der Oligarchen gefallen lassen, auch wenn diese bei Donald Trump auf dem Schoß sitzen.

Neben der europäischen Souveränität geht es auch darum, hier tätige zivilgesellschaftliche Organisationen in ihrer Handlungsfreiheit zu schützen. Sonst müssen in Zukunft alle möglichen Akteure damit rechnen, von den USA bestraft zu werden, wenn dies der autoritären Führung der USA und ihren Oligarchen nicht in den Kram passt. Es geht also um nicht weniger als um die politische und wissenschaftliche Freiheit unserer Zivilgesellschaft.

Jetzt sind also Bundeskanzler Merz und Kommissionspräsidentin von der Leyen gefragt, deutliche Worte und eine politische Antwort zu finden, damit dieser Präzedenzfall der Einschüchterung nicht unerwidert bleibt. Auch wenn heute Heiligabend ist.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ein aufreibendes Jahr geht zu Ende. Was hat einzelne Redakteur*innen in den vergangenen Monaten umgetrieben? Was hat sie 2025 begeistert, bewegt und frustriert? Und was steht im kommenden Jahr für sie an? Einige Resümees aus der Redaktion.

Es wäre allzu leicht, auf das zurückliegende Jahr zu blicken und ein negatives Fazit zu ziehen. In den USA regiert ein rechtsradikaler Präsident – im engen Schulterschluss mit Tech-Milliardären. Die EU-Kommission will Verbraucher*innenrechte aussetzen, um den KI-Hype zu nähren. Und in Deutschland schleift die schwarz-rote Regierung die Grund- und Freiheitsrechte – und die Brandmauer gleich mit.

Gleichzeitig aber ist die (digitale) Zivilgesellschaft laut und deutlich vernehmbar – obwohl es zahlreiche Versuche gibt, sie einzuschüchtern und ihr den Geldhahn abzudrehen. Und sie führt dabei nicht nur Abwehrkämpfe, in denen sie Errungenschaften erfolgreich verteidigt. Sondern sie schafft weiterhin Räume, in denen viele Menschen zusammen für eine bessere und solidarische Zukunft kämpfen.

Auch wir haben uns am Anfang des Jahres gefragt, wie sich das verschärfte politische Klima auf unsere Arbeit auswirken wird. Einige Mitglieder unserer Redaktion ziehen im Folgenden ihr ganz persönliches Fazit. Welche Themen haben sie 2025 begeistert, bewegt und umgetrieben? Und worauf richten sie im kommenden Jahr den Blick?

Anna Biselli: „Seit sich eine schwarz-rote Koalition gefunden hat, ist die Schlagzahl von Gesetzesverschärfungen hoch“

Das Jahr 2025 begann mit einer vorgezogenen Bundestagswahl. Das hat nicht nur uns ganz schön auf Trab gehalten. Wir haben Wahlprogramme seziert, geschaut, wie die großen Plattformen mit politischer Werbung umgehen, und die Zivilgesellschaft gefragt, was sie sich eigentlich für die nächste Legislatur wünscht.

Gerade diese Zivilgesellschaft geriet aber schon vor dem Wahlsieg der Union in den Fokus. Denn gleichzeitig zum Wahlkampf entstand eine unsägliche Neutralitätsdebatte. Als eine ihrer letzten Amtshandlungen in der Noch-Opposition griff die Unionsfraktion mit 551 Fragen eine ganze Latte von Organisationen an, die ihr offenbar nicht neutral genug waren. Ein Vorbote auf das, was uns erwartet hat: Kritische Stimmen sind offenbar unerwünscht. Der Kurs stand klar auf Law-and-Order-Politik.

Seit sich eine schwarz-rote Koalition gefunden hat, ist die Schlagzahl von Gesetzesverschärfungen hoch. Nicht nur in der Bundespolitik, wo viele Vorschläge zu einem neuen Sicherheitspaket oder zur Vorratsdatenspeicherung in den Startlöchern stehen. Auch die Länder ebnen den Weg für Software von Palantir und mehr biometrische Überwachung.

Mich persönlich beschäftigen neben den „großen“ Ausweitungen von Polizeibefugnissen die Bereiche, wo Gesetze ohne öffentlichen Aufschrei verschärft und entmenschlicht werden: etwa beim Umgang mit psychisch erkrankten Personen oder Asylsuchenden.

Das werde ich auch im kommenden Jahr eng begleiten. Denn immer noch wird über mehr Datenaustausch von Menschen geredet, die wegen einer Erkrankung als vermeintliches Risiko markiert werden. Und 2026 steht auch die deutsche Umsetzung des Gemeinsamen Europäischen Asylsystems bevor, mit dem das Asylrecht in der EU wie nie verschärft wird. Einen Entwurf zum erneuten Ausbau des Ausländerzentralregisters hat die Bundesregierung kurz vor Jahres Ende auch noch auf den Tisch gelegt. Doch das ist sicher noch nicht das Ende.

Bevor es allzu düster wird, ein letzter Blick auf etwas, das mich begeistert hat: das zivilgesellschaftliche Engagement gegen eine verpflichtende Chatkontrolle, das am Ende zu einem Teilerfolg geführt hat. Es war beeindruckend zu sehen, was passieren kann, wenn so viele mit ganz unterschiedlichen Hintergründen gemeinsam für etwas kämpfen. Das sollte man sich als Beispiel merken, wenn mal wieder alles aussichtslos erscheint.

Sebastian Meineck: „Was wir als Redaktion entgegenhalten, ist Aufklärung“

Das netzpolitische Jahr habe ich als verstörend finster erlebt. Während in anderen Jahren noch die Freiheit von Memes das große Ding war, steht 2025 für mich im Zeichen von grassierendem Faschismus, sowohl in den USA als auch in Deutschland. Oft unter Einsatz von Überwachungstechnologie entsteht eine zunehmend menschenfeindliche Umwelt, in der sich Hass und Ausgrenzung ausbreiten. Das ist nicht die von Fortschritt und Verständigung geprägte Zukunft, die ich vor Augen hatte, während ich als kleiner Junge Star Trek geschaut habe.

Exemplarisch für das finstere Jahr finde ich die Nachricht von Schergen der rechtsradikalen US-Abschiebebehörde ICE, die zur Umsetzung der von Donald Trump ausgerufenen Massendeportationen Menschen auf offener Straße zu biometrischer Gesichtserkennung nötigen. Das und mehr landet täglich in unseren Newsticker.

Was wir als Redaktion entgegenhalten, ist Aufklärung, die bestenfalls Leser*innen aktiviert und Änderungen anstößt. Keine Recherche hat mich 2025 so lange beschäftigt wie die Databroker Files. Zum zweiten Jahr in Folge haben unter anderem mein Kollege Ingo und ich immer tiefer gegraben. Wir haben herausgearbeitet, wie tiefgehend die Massenüberwachung durch die Werbeindustrie die Privatsphäre von uns allen bedroht – und obendrein die nationale Sicherheit. Eines kann ich versprechen: 2026 kommt noch mehr.

Im nächsten Jahr werde ich außerdem weiter mit meiner Kollegin Chris verfolgen, wie Alterskontrollen im Namen des Jugendschutzes die Grundrechte von Jugendlichen und Erwachsenen einschränken. Während Regierungen in Großbritannien, Australien und den USA zunehmend strengere Altersschranken hochziehen, will sich zumindest die Bundesregierung ein Jahr Zeit nehmen, um eine Expert*innen-Kommission auf Antwortsuche zu schicken. Ich bin überzeugt: Statt massenhafter Kontrollen sollte Jugendschutz sichere digitale Räume schaffen. Hoffentlich wird 2026 das Jahr, in dem das bei allen ankommt.

Ingo Dachwitz: „2025 war ein absolutes Databroker-Jahr“

2025 war ein absolutes Databroker-Jahr. Wir haben unsere Recherchen zusammen mit Partnern wie WIRED aus den USA, LeMonde aus Frankreich und natürlich dem BR aus Bayern vorangetrieben. Das ging im Januar gleich mit einem Highlight los: Wir haben über mehr als 40.000 Apps geschrieben, die in den Handel mit unseren Werbedaten verwickelt sind. Im Februar konnten wir eine Firma aus Litauen ans Licht zerren, die im System des Datenhandels mutmaßlich eine wichtige Rolle spielt. Unsere Berichterstattung über eine von Deutschlands beliebtesten Apps, WetterOnline, führte direkt zu Konsequenzen der Aufsichtsbehörde. Im November haben wir dann die EU-Kommission in Aufregung versetzt, indem wir demonstrierten, wie sich mit Werbedaten Spitzenpersonal der EU ausspionieren lässt.

Persönlich habe ich mich sehr gefreut, dass ich an die Arbeit zu meinem Buch über digitalen Kolonialismus auch auf netzpolitik.org anknüpfen konnte, vor allem in Form von Interviews mit Aktivist*innen aus dem globalen Süden. So zum Beispiel mit der Anwältin Mercy Mutemi zur Ausbeutung von Datenarbeiter*innen, mit der Künstlerin Esther Mwema über Unterseekabel, mit der Aktivistin Nighat Dad über den Brüssel-Effekt und mit dem Menschenrechtler Christian Rumu über globale Lieferketten.

Richtig schön ist es, wenn unsere Arbeit ausgezeichnet wird. Das war dieses Jahr für die „Databroker Files“ beim European Press Prize und beim Datenschutzmedienpreis der Fall. Unser Podcast „Systemeinstellungen“ erhielt zudem eine späte Ehrung mit dem Rainer-Reichert-Preis zum Tag der Pressefreiheit. Noch viel schöner als jeder Preis: Das Verfassungsgericht hat entschieden, dass die Hausdurchsuchung bei Journalist Fabian Kienert aus unserem Podcast verfassungswidrig war!

Apropos Podcast: Eine Überraschung in 2025 war für mich unser Hintergrund-Podcast Off the Record. Wir haben nur ein paar kleine Änderungen an der Struktur vorgenommen und ein bisschen an unseren Rollen geschraubt, und schon macht der Podcast gleich noch viel mehr Spaß.

Eine Überraschung der anderen Art bescherte uns die EU-Kommission zum Jahresende: Die Datenschutzgrundverordnung soll geschliffen werden. Ansätze zur Verbesserung des Datenschutzes sucht man vergebens, stattdessen gehts nur um Deregulierung und Wirtschaftsförderung. Dass die Kommission im Bereich KI ausgerechnet Konzernen wie Meta Geschenke macht, die in diesem Jahr viele Leute mit der ungefragten Verwendung ihrer Daten für KI-Training gegen sich aufbrachten, setzt dem Ganzen die Krone auf. Die Debatte wird in 2026 weiter an Fahrt aufnehmen – wir bleiben dran.

Constanze Kurz: „Die öffentliche Debatte um Palantir ist erfreulicherweise überaus kritisch geworden“

Der seit Jahren gärende Streit um die Zusammenarbeit der Polizeien mit Palantir hat 2025 eine Wendung genommen, die mich überrascht und auch gefreut hat: Seit die Folgen von Donald Trumps zweiter Amtszeit deutlicher erkennbar sind, ist die öffentliche Debatte um den US-Tech-Konzern überaus kritisch geworden und geht nun weit über ein paar Interessierte hinaus. Mit Sicherheit werden mich Palantir und auch die automatisierte Datenanalyse weiter beschäftigen.

Vielleicht war ich übermäßig naiv, aber ich setzte Anfang des Jahres einige Hoffnungen auf den neuen Digitalminister Karsten Wildberger. Durch den hohen Digitalisierungsleidensdruck, den die Deutschen mittlerweile fast so pflegen wie ihren Unmut über die Verspätungen der Deutschen Bahn, hatte ich den Eindruck, dass die Zeit reif sein könnte für ein wirkliches Umdenken. Aber jeglicher Hoffnungsschimmer war schon nach den ersten Reden des Ministers dahin. Er singt nur das uralte Lied von der Innovationsbremse Datenschutz und hat zugleich bei Fragen der IT-Sicherheit eine auffällige Leerstelle. Zuletzt jubilierte er über die angeblichen Segnungen der „Künstlichen Intelligenz“ ohne einen Anflug von Skepsis.

Offenbar geht das anhaltende Tamtam um „Künstliche Intelligenz“ vielen technisch interessierten Menschen gehörig auf den Zeiger, mir auch. Trotzdem erscheint es mir unerhört wichtig, an der öffentlichen Diskussion um KI mitzuwirken und sich verfestigenden Bullshit nicht unwidersprochen zu lassen. Dass der riesige Ressourcenverbrauch generativer KI keine bloße Fußnote ist, sondern ein noch anschwellendes Problem, dessen Größe richtig eingeordnet werden muss, motiviert mich dazu, mich dem Thema weiter zu widmen. Mein Eindruck ist zudem, dass wir im neuen Jahr auch die informationelle Selbstbestimmung auf dem KI-Schlachtfeld werden verteidigen müssen. Denn mit der Wucht, mit der die US-Konzerne gerade allen Leuten überall KI-Anwendungen reindrücken, dürften sich auch die neuen KI-Geschäftsmodellideen zeigen.

Martin Schwarzbeck: „Im kommenden Jahr werde ich mir wohl wieder einen Haufen Polizeigesetze anschauen“

Dieses Jahr war ich an zwei Recherchen beteiligt, die mich extrem gefesselt haben: Einmal ging es um mSpy. Eine Spionage-App, die Menschen einsetzen, um ihre Partner*innen zu überwachen – und die gerne möchte, dass netzpolitik.org für sie wirbt. Das andere Thema war die Überwachung von Bargeldströmen anhand von Geldschein-Seriennummern. Etwas, von dem ich zuvor nicht gedacht hätte, dass es das gibt.

Begeistert haben mich 2025 die Abiturientin Lina, die die Unterhaltungsindustrie vor sich hertreibt, indem sie sich gegen Netzsperren engagiert, und Thorsten Müller, der der Welt seine Stimme geschenkt hat. So wie auch die vielen Freiwilligen, die in Repair-Cafes Dinge vor dem Müll retten, oder die Digital-Lots*innen, die in Berlin dafür sorgen, dass technisch unbedarfte Menschen nicht den Anschluss an die Gesellschaft verlieren.

Schön fand ich auch, wie die Diskussion um technologische Unabhängigkeit der Debatte über freie und offene Software neuen Schwung gab. Und dass Meta erstinstanzlich dazu verurteilt wurde, mir wegen Verletzung meiner Privatsphäre 250 Euro zu zahlen. Außerdem habe ich gerne gesehen, wie der Streik der TikTok-Moderator*innen den Konzern letztlich zu weitreichenden Zugeständnissen zwang.

Extrem unangenehm fand ich, dass Hamburg KI-gestützte Verhaltenserkennung in seine Videoüberwachung aufgenommen hat, obwohl die Technologie noch lange nicht marktreif ist – und dafür auch noch Technologie von einem Konzern verwendet, der für Menschenrechtsverletzungen bekannt ist und sich außerdem erlaubt hat, KI-Systeme mit personenbezogenen, nichtanonymisierten Daten zu trainieren. Und dass zahlreiche Bundesländer diesem Vorbild gefolgt sind oder dies planen.

Hessen hat zudem dieses Jahr als erstes Bundesland (nach dem Test am Berliner Südkreuz) eine Live-Gesichtserkennung installiert. Auf der Innenministerkonferenz wurde Anfang Dezember deutlich, dass sich auch dafür eine Menge Länder interessieren, Sachsen zum Beispiel, wo außerdem Drohnen künftig Jagd auf Menschen machen sollen, die am Steuer telefonieren.

Am drastischsten anschaulich wurde der Trend zum extrem invasiven Polizeigesetz in Berlin, dem ehemals legendär freiheitlichen Bundesland, wo die Polizei künftig Videodrohnen und Verhaltensscanner einsetzen soll und in Wohnungen einbrechen darf, um Staatstrojaner zu installieren.

Im kommenden Jahr werde ich mir wohl wieder einen Haufen Polizeigesetze anschauen. Baden-Württemberg will den Einsatz von Verhaltensscannern entgrenzen, zahlreiche Bundesländer werden Live-Gesichtserkennung weiter verfolgen. Ich will das kritisch begleiten.

Chris Köver: „Ich werde weiter auf die Menschengruppen schauen, die von Rechtsextremen zum Feindbild gemacht werden“

Wenn ich auf dieses Jahr zurückschaue, kommt es mir vor, als wären es eher zwei gewesen. Es ist einfach sehr viel passiert. Anfang des Jahres steckten mein Kollege Martin und ich mitten in den Recherchen zur Spionage-App mSpy, mit der Menschen ihre Partner*innen überwachen. Diese Recherche barg viele böse Überraschungen und wir konnten stellenweise kaum fassen, wie die Mitarbeitenden im Kundendienst die Menschen bei ihren Taten auch noch unterstützten.

Begeistert hat mich in diesem Jahr vor allem, dass ich bei der historischen Pride-Demonstration in Budapest dabei sein konnte. Eine Demo, die die ungarische Regierung mit aller Kraft verhindern wollte. Ich hatte im Vorfeld darüber geschrieben, wie die Regierung mit dem Einsatz von Gesichtserkennung Teilnehmende einschüchtern wollte. Erreicht hat sie das Gegenteil. Es wurde zur größten Pride in der ungarischen Geschichte und zur Demonstration gegen Orbáns Politik der Ausgrenzung. Mit Hunderttausenden durch die Stadt und über die Donaubrücke zu ziehen – das hat mir sehr viel Energie gegeben für alles, was danach noch kam.

Denn die Rechte von queeren und trans* Menschen werden ja nicht nur in Ungarn angegriffen. Mein Dämpfer des Jahres: dass Deutschland zwar das Selbstbestimmungsgesetz verabschiedet, in dieses Gesetz aber zugleich so viel Misstrauen und Ignoranz eingearbeitet hat. Aufgefallen ist das volle Ausmaß des Desasters erst dieses Jahr, als das Bundesinnenministerium eine Verordnung für die Weitergabe früherer Vornamen vorlegte, die faktisch ein Zwangsouting für trans* Personen vor Behörden bedeutet. Die Angriffe hören nicht auf.

Ähnlich ernüchternd finde ich meine Langzeitrecherchen zu Ausländerbehörden und der Identitätsfeststellung von ausreisepflichtigen Menschen. Ausländerbehörden durchsuchen seit Jahren deren Smartphones, in der Hoffnung, Geflüchtete dadurch eher abschieben zu können. Statt diese sinnlose Schikane zu beenden, verschärfte eine Bundesregierung nach der anderen das Aufenthaltsrecht weiter. Ich habe mich sehr gefreut, dass ich darüber mit einer betroffenen Person sprechen konnte – eine Seltenheit.

Mein Programm fürs kommende Jahr wird entsprechend sein: weiter auf die Menschengruppen zu schauen, die die Rechtsextremen zu ihren Feindbildern machen. Asylsuchende, LGBTQI-Communities. Der Druck auf sie wird nicht abnehmen. Außerdem wird es mit Sicherheit sehr viel um Kinder und ihren Schutz gehen. Politiker*innen lieben es, über Kinderschutz zu sprechen, vor allem dann, wenn sie schlechte Regulierung für das Internet fordern. Mit meinem Kollegen Seb bleiben wir dran an Themen wie Alterskontrollen und Social-Media-Verboten.

Daniel Leisegang: „Als Frühwarnsystem müssen wir hier auch im kommenden Jahr auf der Hut sein.“

Zu Beginn des Jahres war ich nicht sicher, ob ich am Ende ein positives Fazit ziehen kann. Zu düster waren die Aussichten angesichts einer zweiten Amtszeit von Donald Trump und einer schwarz-roten Bundesregierung, die mit markigen Ankündigungen ihre Arbeit aufnahm. Doch auch wenn sich die politische Lage und Stimmung insgesamt deutlich verschärft haben, bin ich alles andere als entmutigt. Denn die vergangenen Monate haben gezeigt, dass es sich lohnt, sich der Law-and-Order-Politik und den Anfeindungen entgegenzustellen.

Was mir allerdings zunehmend Sorge bereitet, ist die Taktung, mit der die Verschärfungen durch die Tür kommen. Gefühlt vergeht kaum ein Tag, an dem nicht in irgendeinem Gesetz ein Passus steckt, der Grund- und Freiheitsrechte einschränkt, den Tech-Konzernen mehr Beinfreiheit schenkt oder die Befugnisse von Geheimdiensten erweitert. Als Frühwarnsystem müssen wir hier auch im kommenden Jahr auf der Hut sein.

Mich persönlich hat 2025 vor allem die Gesundheitsdigitalisierung beschäftigt, insbesondere die elektronische Patientenakte. Sie ist nun überall im Einsatz, trotz weiterhin bestehender Sicherheitslücken, einer unzureichenden Informationspolitik und unnötiger Diskriminierungsrisiken. Für die Bundesregierung ist sie das „größte Digitalisierungsprojekt“ der deutschen Geschichte, für mich ist sie ein Paradebeispiel politischer Verantwortungslosigkeit. Niemand will für die zahlreichen Pannen geradestehen, jeder zeigt mit dem Finger auf den anderen. Ein Armutszeugnis.

Das Thema Gesundheitsdigitalisierung wird mich sicher auch im kommenden Jahr beschäftigen. Denn nach der elektronischen Patientenakte kommt der Europäische Gesundheitsdatenraum. Außerdem sollen die sensiblen Gesundheitsdaten möglichst ungehindert in die (kommerzielle) Forschung fließen. Was kann da schon schiefgehen. Außerdem wird 2026 die ID-Wallet fertig – die digitale Brieftasche für ganz Europa. Digitalminister Karsten Wildberger hat deren Deutschland-Start soeben für den 2. Januar 2027 angekündigt. Auch dieses Vorhaben birgt noch etliche offene Fragen – und Risiken.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Fast jedes Jahr erweitert die Regierung das Ausländerzentralregister, eine der größten Datensammlungen des Bundes. Nun sollen Volltext-Dokumente in der Sammlung landen, die zur Identitätsklärung beitragen könnten – egal ob Heiratsurkunde oder Arbeitsvertrag. Außerdem will die schwarz-rote Regierung Fingerabdrücke länger speichern.

Fehlzeiten beim Integrationskurs, Tuberkulose-Untersuchungen, Asylentscheidungen – all das sind Informationen, die im Ausländerzentralregister (AZR) gespeichert werden können. 26 Millionen personenbezogene Datensätze enthalte das AZR derzeit, zu allen Menschen ohne deutsche Staatsangehörigkeit, die mindestens drei Monate in Deutschland leben oder gelebt haben.

Wie viele Daten dort abgelegt werden, hängt davon ab, welchen Status eine Person hat: Geht es um eine Person aus der EU? Dann sind es weniger Informationen. Geht es um Asylantragstellende, sind es besonders viele.

Nach dem Willen der schwarz-roten Bundesregierung sollen es künftig noch wesentlich mehr werden, so steht es in einem Gesetzentwurf zur „Weiterentwicklung der Digitalisierung in der Migrationsverwaltung“ oder auch: Migrationsverwaltungsdigitalisierungsweiterentwicklungsgesetz, MDWG. Auf diesen Entwurf hatte sich das Bundeskabinett am 17. Dezember geeinigt. Damit reiht sich eine weitere Ausdehnung des Riesendatenspeichers in eine Liste fast jährlicher gesetzlicher Aufwüchse ein.

Heiratsurkunde und Arbeitsvertrag ins AZR?

Das AZR soll dem aktuellen Entwurf zufolge unter anderem bald amtliche und nichtamtliche Dokumente zur Identitätsklärung im Volltext enthalten können, wenn eine Person keine amtlichen Ausweisdokumente vorlegen konnte. Damit soll laut Gesetzesbegründung vermieden werden, dass Unterlagen etwa bei einem Zuständigkeitswechsel mehrfach vorgelegt werden müssen. Derartige Dokumente – seien es Heiratsurkunden oder alte Arbeitsverträge – können eine Menge zusätzlicher Informationen enthalten. „Vor einer Speicherung ist sicherzustellen, dass nur diejenigen Angaben enthalten sind, die für die Identitätsklärung erforderlich sind“, heißt es daher in der Gesetzesbegründung.

Der Bundeszuwanderungs- und Integrationsrat (BZI) mahnt in seiner Stellungnahme an, dass unter anderem diese Speicherung „das Risiko einer Übererfassung sensibler Informationen“ berge und fordert eine „klare Zweckbindung, die Begrenzung der Speicherung auf das Notwendige sowie transparente Auskunfts- und Korrekturmöglichkeiten für Betroffene“.

Die Bundesvereinigung der kommunalen Spitzenverbände begrüßt die Regelung zwar, aber bemängelt, dass ungeklärt sei, „welche nichtamtlichen Dokumente als ein Nachweis für die Identität einer Person dienen können sollten“. Es bedürfe hier einer Klarstellung durch das Innenministerium, schreibt die Bundesvereinigung, die die Interessen von Landkreisen, Städten und Kommunen vertritt.

Passfotos, Fingerabdrücke und Unterschriften

Deutlich ausgeweitet werden soll die Speicherung und Nutzung biometrischer Daten im AZR. Schon heute enthält das AZR Lichtbilder und zu bestimmten Personengruppen auch Fingerabdrücke. Letztere sollen nun standardmäßig gemeinsam mit der Unterschrift einer Person gespeichert werden, wenn damit ein Aufenthaltstitel beantragt wurde.

Damit sollen Behörden diese biometrischen Merkmale wiederholt nutzen dürfen, wenn eine Person einen erneuten elektronischen Aufenthaltstitel beantragt. Das soll verhindern, dass Antragsstellende erneut persönlich vorsprechen müssen. Bei Minderjährigen sollen die Daten bis zu fünf, bei Erwachsenen bis zu sieben Jahre gespeichert werden.

Der BZI äußert Bedenken, „dass mit der geplanten Langzeitspeicherung tiefe Eingriffe in die Persönlichkeitsrechte von Erwachsenen und Minderjährigen einhergehen“. Databund, eine Interessensvertretung mittelständischer IT-Dienstleister für die öffentliche Verwaltung, argumentiert noch deutlicher. Die Speicherung werde „zu einer Ungleichbehandlung von Deutschen und ausländischen Staatsbürgern führen“. Databund schreibt: „Generell sehen wir die Speicherung von hochsensiblen Daten in großen zentralen Registern sehr kritisch.“

Die vorgeworfene Ungleichbehandlung versucht die Bundesregierung in der Gesetzesbegründung zu rechtfertigen. Bei Menschen mit deutscher Staatsangehörigkeit regele das Passgesetz die Ausstellung eines Ausweisdokuments, „dessen Zweck mit der einmaligen Identitätsprüfung und Aushändigung erfüllt ist“. Bei Angehörigen von Drittstaaten müssten hingegen „Identität und Aufenthaltsstatus fortlaufend geprüft“ werden. „Der Vollzug des Aufenthaltsrechts ist strukturell von wiederkehrenden Verwaltungsverfahren geprägt“, so die Bundesregierung weiter.

Millionen Nutzer:innen, kaum Kontrollen

Zur Identitäts- und Aufenthaltsstatusprüfung sollen die Daten jedoch nicht explizit genutzt werden. Die Speicherung erfolge „ausschließlich zur erneuten Ausstellung eines befristeten elektronischen Aufenthaltstitels“, eine weitere Nutzung sei „ausgeschlossen“.

Diesen Ausschluss hält Databund offenbar für nicht überzeugend. Zum einen führten die wertvollen Daten in einem zentralen Register „zu einem großen Interesse ganz neuer (staatlicher) Angreifer, die aufgrund ihres professionellen Vorgehens auf Dauer kaum fernzuhalten sind“. Zum anderen sei „der Zugriff auf die AZR-Daten für Millionen Nutzer geplant, bei denen kaum zu kontrollieren sein wird, ob diese Personen missbräuchlich Daten abrufen“.

Laut einer Evaluation aus dem Jahr 2024 zu einer früheren AZR-Erweiterung waren damals bereits „16.000 öffentliche Stellen und Organisationen mit mehr als 150.000 Einzelnutzern“ zugriffsberechtigt. 3.056 Stellen waren Mitte 2023 zu einem automatisierten Abruf berechtigt. Das bedeutet: Wer automatisiert Daten aus dem AZR abrufen darf, muss nicht für jede Auskunft einen gesonderten Antrag stellen. Es reicht dann, über eine Schnittstelle die Daten abzurufen. Bei Daten, die über Grunddaten wie Name oder aktuelle Anschrift hinausgehen, muss der Grund der Abfrage vermerkt werden. Missbrauch soll durch eine Protokollierung der Zugriffe in Verbindung mit Stichprobenkontrollen verhindert werden.

Die Zahl der Behörden mit automatisiertem Zugriff dürfte sich gegenüber 2024 mittlerweile weiter erhöht haben und wird sich weiter erhöhen, denn die Voraussetzungen für eine Zulassung zum automatisierten Abruf wurden im vergangenen Jahr weiter gesenkt. Die Teilnahme am automatisierten Verfahren ist für alle dazu berechtigten Behörden wie beispielsweise Polizeien, Arbeits- oder Jugendämter ab dem 1. August 2026 verpflichtend.

Das vorgelegte Gesetz ist nicht das einzige, das Änderungen am AZR-Gesetz vornehmen soll. Bereits im Herbst legte die Bundesregierung einen Entwurf für das GEAS-Anpassungsfolgegesetz vor. Dabei soll das AZR so geändert werden, dass es den Vorgaben aus dem sogenannten Gemeinsamen Europäischen Asylsystem entspricht. Dazu soll ein Personendatensatz künftig auch Informationen zum Status des GEAS-Screenings enthalten. Bei diesem Screening sollen bereits an den EU-Außengrenzen Personen registriert und überprüft werden, damit sie entweder direkt abgewiesen, in ein Asylgrenzverfahren oder ein reguläres Asylverfahren überführt werden können. Gab es kein Screening an einer Außengrenze, muss es im Inland nachgeholt werden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Systemausfälle, eine unvollständige Umsetzung in Italien und den Niederlanden sowie ungeklärte Sonderregeln für Militärs und Milliardäre überschatten den Start des neuen Ein-/Ausreisesystems der EU. Nun beginnt die zweite Einführungsphase.

Seit 12. Oktober führen die EU-Mitgliedstaaten das neue Ein- und Ausreisesystem (EES) an ihren Außengrenzen ein. Es dient dazu, die Aufenthaltsdauer von Personen aus Drittstaaten elektronisch zu erfassen und zu überprüfen, wenn diese für einen Kurzaufenthalt von bis zu 90 Tagen (innerhalb von 180 Tagen) in den Schengen-Raum reisen. Die visafrei ankommenden Drittstaatsangehörigen werden seitdem elektronisch erfasst, inklusive vier Fingerabdrücken und Gesichtsbild. Zusammen mit den Pass- und Reisedaten werden diese Informationen drei Jahre lang gespeichert.

Das EES gilt in den 29 Schengen-Staaten, darunter 25 EU-Länder sowie Island, Liechtenstein, Norwegen und die Schweiz. Seit November sei es zu mindestens drei größeren Ausfällen des Systems gekommen, heißt es aus EU-Kreisen. In einem Fall sei das EES sogar zwei Tage nicht verfügbar gewesen. Schwierigkeiten treten vor allem bei nationalen Anbindungen und lokalen Systemkomponenten auf. Angriffe auf das Zentralsystem oder andere sicherheitsrelevante Vorfälle gibt es aber, soweit bekannt, nicht.

Phase 2: Vorgaben werden nicht überall erfüllt

Das EES ist Teil des sogenannten Smart-Borders-Pakets der EU. Ziel ist es, die bislang analogen Passstempel zu ersetzen und Aufenthaltsüberschreitungen automatisiert zu erkennen. Die technische Verantwortung liegt bei der EU-Agentur eu-LISA. Wegen jahrelanger Verzögerungen erfolgt die Einführung stufenweise. Ab dem 10. April 2026 soll das System schengenweit vollständig laufen.

Am 10. Dezember begann die zweite Einführungsphase. Seitdem gilt die Vorgabe, dass mindestens zehn Prozent aller Grenzübergänge in jedem EU-Mitgliedstaat mit dem EES ausgestattet sein müssen. Dazu müssen alle biometrischen Funktionen verfügbar sein und alle neu angelegten Personenakten im System Fingerabdrücke und Gesichtsbild enthalten.

Soweit bekannt erfüllen aber mindestens Italien und die Niederlande diese Zehn-Prozent-Anforderung derzeit nicht. Dort fehlen entweder die notwendige Infrastruktur, geschultes Personal oder die Technik zur biometrischen Erfassung.

„Travel-to-Europe-App“ nur in Schweden nutzbar

Grundsätzlich ist das EES derzeit nur dort einsetzbar, wo Selbstbedienungs-Terminals und nachgelagerte E-Gates installiert wurden. Das betrifft fast ausschließlich große internationale Flughäfen, einzelne Seehäfen sowie wenige internationale Bahnhöfe. Selbst dort ist der Betrieb aber nicht flächendeckend gewährleistet. An kleineren Grenzübergängen, insbesondere im Straßenverkehr, wird weiterhin überwiegend mit Passstempeln gearbeitet.

Eine von Frontex für alle EES-Staaten entwickelte „Travel-to-Europe-App“ ist bislang ebenfalls kaum verbreitet – derzeit ist sie nur in Schweden nutzbar. Dort können Reisende vorab Passdaten, ein Gesichtsbild sowie einen Einreisefragebogen („Answer a few questions about your travel plans“) übermitteln. Die App ist in Apples App-Store und bei Google Play erhältlich. Andere EU-Staaten können sie später einführen, sind dazu aber nicht verpflichtet.

Ausnahmen und Sonderfälle

Neben technischen Problemen beschäftigt die EU-Kommission die Frage nach Ausnahmen von der Registrierungspflicht im EES. Als befreundet geltende Drittstaaten wie die USA drängen darauf, bestimmten Personengruppen Sonderregelungen zu ermöglichen. Dazu zählen unter anderem hoch­rangige Militärangehörige, etwa aus dem NATO-Umfeld, Diplomat*innen oder Angehörige von Königshäusern – also besonders prominente Personen oder sehr vermögende Reisende.

Ähnliche Probleme bestehen bei verdeckten Ermittler*innen, die mit echten biometrischen Merkmalen, aber falschen Identitäten reisen. In solchen Fällen wird das nationale Grenzpersonal bislang oft vorab durch vorausreisende Polizeiführer*innen informiert – ein Vorgehen, das mit dem automatisierten EES nur schwer vereinbar ist.

Die EU-Kommission prüft derzeit, welche Personenkreise künftig Ausnahmen geltend machen können und wie diese technisch umgesetzt werden könnten. Bereits bekannt sind zudem Registrierungsprobleme im Bereich der Privatfliegerei – denn an kleinen Flughäfen müssen nach derzeitigem Stand keine Fingerabdrücke oder Gesichtsbilder abgegeben werden. Auch hierzu hat die Kommission nun einen Fragebogen an die Mitgliedstaaten versendet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.