netzwelt.org

netzpolitik.org

Biometrie: Passbilder in der Amazon Cloud

08.05.2025 16:05

Wer seine biometrischen Passbilder bei einem externen Dienstleister macht, muss damit rechnen, dass sie in der Amazon Cloud landen – und damit vor dem Zugriff von US-Behörden nicht sicher sind. Das haben IT-Sicherheitsforscher herausgefunden.

Muster-Personalausweis mit etwa 55 jährigem Mann — Auch das Foto von Max Mustermann würde durch die Amazon Cloud gesendet, wenn er bei einem Dienstleister sein Foto machen würde. – Alle Rechte vorbehalten Imago / Imagebroker

Seit Mai gelten neue Regeln für Passbilder. Früher konnten die Menschen einfach ein ausgedrucktes, biometrisches Foto mit zum Amt bringen und abgeben. Das ist seit Mai nicht mehr möglich, denn das „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ sieht vor, dass die Bilder direkt bei der Behörde gemacht werden oder von Foto-Dienstleistern, die das Bild über eine zugelassene Software für die Behörde ablegen. So sollen einerseits eine bessere Qualität gewährleistet und andererseits Manipulationen an den Bildern verhindert werden.

Wie die Bilder von den Foto-Dienstleistern zum Amt gelangen, hat sich nun die IT-Sicherheitsfirma Mint Secure angeschaut. Dazu haben die Sicherheitsforscher im Selbstversuch biometrische Fotos bei den Dienstleistern Ringfoto/alfo-Passbild und beim dm-Drogeriemarkt machen lassen. Dabei kam heraus, dass die beiden Dienstleister die biometrischen Fotos verschlüsselt in der Amazon-Cloud AWS zwischenspeichern, bevor diese von der jeweiligen Behörde abgerufen werden können. Bei den Dienstleistern wird AWS jedoch nicht genannt, laut Mint Secure ist dort von „sicherer dm-Cloud“ oder „C5-Hochsicherheits-Cloud“ die Rede. Die Pressestellen von dm und Ringfoto haben auf eine Anfrage von netzpolitik.org bislang keine inhaltliche Antwort geschickt. Sollte diese noch folgen, reichen wir sie als Update nach.

Cloud-Act könnte Zugriff ermöglichen

Laut Gesetz muss die Verarbeitung von personenbezogenen Daten durch einen in der EU ansässigen Anbieter auf dem Gebiet der EU stattfinden. Das ist bei der europäischen AWS-Tochter zwar der Fall, aber möglich ist, dass das Unternehmen unter den US Cloud Act fällt. Dieses Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Mint Secure befürchtet, dass es „in einer nachrichtendienstlichen Logik sinnvoll und möglich“ sei, dass Geheimdienste ein Interesse daran haben könnten, die verschlüsselten biometrischen Passbilder zu speichern, um sie in einigen Jahrzehnten zu entschlüsseln, sobald dies technisch möglich wäre. „Letztlich hätte man so biometrische Informationen von nahezu jeder Person in Deutschland“, heißt es weiter im Bericht.

Souverän geht anders

Aus dem Blickwinkel digitaler Souveränität sollte dieses Vorgehen „nachdenklich stimmen“, so die Sicherheitsforscher. Und in der Tat ist natürlich fraglich, warum für einen Prozess, der mit hoheitliche Aufgaben zusammenhängt und für die Übermittlung biometrischer Merkmale auf ein Unternehmen zurückgegriffen wird, bei dem US-Behörden Zugriff bekommen könnten.

Eine weitere Anforderung für die Erstellung und Übermittlung durch externe Dienstleister ist, dass die Fotografierenden das Foto ihrer Kund:innen mit ihrem Personalausweis signieren. Das soll garantieren, dass die Bilder nicht manipuliert werden, weil man weiß, wer die Bilder gemacht hat. Bei der Drogeriekette dm gab es deshalb schon Zoff, weil das Unternehmen laut Medienberichten Druck auf die Mitarbeiter ausgeübt hat, damit diese ihren ePerso dafür nutzen. Laut den Sicherheitsforschern ist es wahrscheinlich, dass auch die Daten der signierenden Person in der AWS-Cloud gespeichert werden. Zudem verweisen sie auf gleich eine Reihe unterschiedlicher Systeme, auf denen die Fotos bearbeitet und gespeichert werden (siehe Schaubild).

Schaubild zeigt, dass Fotos auf einem Smartphone, auf der lokalen Fotostation und dann in der Cloud des Dienstleisters und dann in der Cloud der Behörde verarbeitet werden. — Bearbeitung der Passfotos bei einem Foto-Dienstleister wie dm - Alle Rechte vorbehalten Mint Secure

Wer eine Verarbeitung seines biometrischen Fotos in der AWS-Cloud vermeiden will, kann bei der Passbeantragung ein Foto in der jeweiligen Behörde anfertigen. Doch noch sind nicht alle Kommunen mit eigenen funktionsfähigen Geräten ausgestattet, um die Lichtbilder aufzunehmen. In manchen Ämtern wird es auch in Zukunft keine geben.

Wie wir im April berichteten, haben die fast 6.000 betroffenen Ämter in Deutschland mehrere Möglichkeiten, wenn sie selbst eine Foto-Option anbieten wollen. Die allermeisten von ihnen werden aber wohl ein System der Bundesdruckerei nutzen. Die Geräte mit dem Namen „PointID“ gibt es als Tisch- oder Standgerät, wahlweise mit integriertem Fingerabdruckleser und einem Feld zur Unterschrifterfassung.

„Jede Kommune hat vor etwa einem Jahr ein entsprechendes Angebot erhalten“, schrieb uns damals das Bundesinnenministerium. Zahlen müssen die Kommunen dafür nichts. Die Kosten würden über „Nutzungsentgelte und Gebühren“ refinanziert. Das heißt: Die Antragsteller:innen zahlen für die Bilder auf dem Amt, und das Geld fließt an die Bundesdruckerei zurück. Die zusätzlichen Kosten für ein Lichtbild bei der Ausweisbeantragung betragen dann sechs Euro.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kritische Rohstoffe und Menschenrechte: „Ursula von der Leyen muss Wort halten“

08.05.2025 09:18

Europas Lieferkettengesetze galten als Meilenstein beim Schutz von Menschenrechten, jetzt werden sie dem „Bürokratieabbau“ geopfert. Darüber haben wir mit Kristina Hatas und Christian Rumu von Amnesty International gesprochen. Ein Interview über Kobalt aus dem Kongo, koloniale Kontinuitäten und die Verantwortung Europas.

Eine Collage: Im Hintergrund ein großer Radlader in einer Kupfer-Kobalt-Mine im Kongo, im Vordergrund eine EU-Flagge und ein Videokonferenz-Screen mit Fotos von Christian Rumu und Kristina Hatas — Christian Rumu und Kristina Hatas fordern mehr Verantwortung für Menschenrechte. – Alle Rechte vorbehalten Fotos: Copyright Christian Rumu & Sarah Eick, Hintergrund: Public Domain Wikipedia, Flagge: Unsplash Olga Nayda, Montage: netzpolitik.org

Von Berlin und Nairobi aus engagieren sich Kristina Hatas und Christian Rumu für Menschenrechte. Die eine ist Expertin für Klimagerechtigkeit, Wirtschaft und Menschenrechte bei Amnesty International Deutschland, der andere leitet Amnesty Internationals regionales Programm gegen Geschlechterungleichheit in der Demokratischen Republik Kongo, Ruanda und Burundi. Beide sind überzeugt: Gerade ist ein entscheidender Moment, um für mehr Gerechtigkeit in globalen Lieferketten zu sorgen.

Unverzichtbar für die digitale und grüne Transformation

netzpolitik.org: Die weltweite Nachfrage nach Kobalt ist in den vergangenen Jahren rasant gestiegen. 2023 lag die Fördermenge mehr als zwanzig Prozent über dem Vorjahr. Warum ist das Erz so begeht?

Kristina Hatas: Kobalt ist sowohl für die digitale als auch für die grüne Transformation unverzichtbar. Es wird unter anderem für Lithium-Ionen-Batterien benötigt, die in Smartphones, Laptops und E-Autos verbaut sind. Gerade Elektromobilität ist ein großer Treiber. Zwar werden heute Batterien entwickelt, die kein Kobalt benötigen, aber für die meisten Modelle ist dies der Standard. Deshalb sind die Zahlen in den vergangenen Jahren geradezu explodiert, die Vorhersagen gehen von massiv steigendem Bedarf aus.

netzpolitik.org: Drei Viertel der weltweiten Kobaltförderung finden in der Demokratischen Republik Kongo statt. Welche Folgen hat das?

Kristina Hatas: In der Demokratischen Republik Kongo gibt es die mit Abstand größten Vorkommen. Das führt zu einem riesigen globalen Ungleichgewicht – beim Export und Import von Kobalt, aber vor allem dabei, wer von der Förderung profitiert und wer die Nachteile des Bergbaus trägt. Hier kommt es zu massiven Verletzungen von Arbeitsrechten, Menschenrechten und Umweltschutz.

Menschen müssen Minen weichen

netzpolitik.org: Bei den Recherchen für mein Buch über digitalen Kolonialismus habe ich gelernt, dass man zwei Arten des Kobalt-Bergbaus unterscheiden muss, die je ganz eigene Probleme mit sich bringen. Welche sind das?

Christian Rumu: Da ist zum einen der industrielle Bergbau mit großen Minen, die von internationalen Rohstoffkonzernen betrieben werden und riesige Krater hinterlassen. Zum anderen der Kleinbergbau, bei dem die Menschen mit einfachen Werkzeugen Tunnel graben, um an das Kobalt zu gelangen. Das alles findet im Südosten des Kongos statt, im sogenannten Kupfer-Kobalt-Gürtel.

netzpolitik.org: Fangen wir mit den großen Minen an. Welche Probleme gibt es bei der industriellen Kobaltförderung?

Christian Rumu: Das beginnt schon mit der Korruption bei der Vergabe der Abbaulizenzen. Das größte Problem sind aber wohl die Menschenrechtsverletzungen beim Erschließen neuer Minen. Seit mehr als zehn Jahren dokumentieren wir Landraub und Zwangsumsiedlungen. Denn die Konzerne erhalten immer wieder Lizenzen für Gebiete, in denen Menschen leben oder Landwirtschaft betreiben. Oft wenden die Konzerne Gewalt an, um die Anwohner:innen zu vertreiben, auch mit Unterstützung der kongolesischen Armee und Polizei.

Diesen Menschen wird damit ihre gesamte ökonomische Grundlage entzogen. Es gibt zwar vermeintliche Kompensationen, aber die sind nicht ausreichend. Ich habe einen der Umsiedlungsstandorte besucht, dort gab es weder Wasser noch Elektrizität. Die Menschen werden teilweise aus Orten mit Kirchen, Schulen, Ärzt:innen und anderer grundlegender Infrastruktur an andere Orte versetzt, an denen es nichts gibt. Oft bekommen die Bewohner:innen auch nicht genug Zeit für die Umsiedlung, es sind dabei sogar Menschen gestorben.

netzpolitik.org: Auch beim Umwelt- und Gesundheitsschutz soll es Probleme geben.

Christian Rumu: Man kann das gut am Beispiel von Kolwezi erklären [eine Provinzhauptstadt mit mehr als einer halben Million Einwohner:innen im Kupfer-Kobalt-Gürtel]. Die Minen befinden sich hier mitten in der Stadt, es sind riesige Krater. Man kann sich vorstellen, was die Anwohner:innen dort täglich einatmen müssen, auch das Wasser ist verschmutzt. Wenn wir diese Probleme ansprechen, sagen uns die Behörden dort: „Wir müssen die Rohstoffe abbauen, aber dort leben Menschen. Was sollen wir machen?“ Wir können sie nur daran erinnern, dass sie es in der Hand haben, ob Kolwezi eine nachhaltige Stadt ist, ja, eine Stadt in der man überhaupt leben kann. Aber die Behörden denken nur an das, was sich in der Erde befindet.

Luftaufnahme einer Siedlung am Rande eines riesigen Kraters — Drohnenaufnahme einer Kupfer- und Kobaltmine mitten in Kolwezi (September 2022) - Alle Rechte vorbehalten Amnesty International (videographers: Reportage Sans Frontières)

netzpolitik.org: Wie steht es um die Arbeitsbedingungen der Bergleute?

Christian Rumu: Wenn man etwas Positives nennen will, dann den Arbeitsschutz. Die Bergbaukonzerne halten sich hier überwiegend an die Vorgaben, stellen ihren Arbeiter:innen zum Beispiel Schutzausrüstung. Aber auch hier gibt es problematische Entwicklungen, weil immer mehr Firmen ihre Bergleute nicht mehr direkt anstellen, sondern als Subunternehmer über Drittfirmen. Das sorgt für zunehmende Spannungen zwischen den Minenarbeiter:innen und den Konzernen.

„Extraktivismus seit dem Kolonialismus“

netzpolitik.org: Womit wir direkt beim Kleinbergbau sind. Mir hat es mal jemand so erklärt, dass das Kobalt in dieser Region so nah unter Erdoberfläche liegt, dass Menschen einfach hinter ihrer Hütte anfangen können zu graben. Dort ist es mit Arbeitsschutz nicht weit her, oder?

Christian Rumu: Nein, dort haben die Menschen oft gar keine Schutzausrüstung. Es gibt immer wieder tödliche Unfälle. Männer und Frauen arbeiten dort unter großem gesundheitlichem Risiko. Das gilt insbesondere für schwangere Frauen, weil sie bei der Reinigung der Mineralien chemischen Substanzen ausgesetzt sind. Trotzdem gibt es große Einkommensunterschiede zwischen Männern und Frauen.

Auch Kinderarbeit ist im Kleinbergbau ein großes Problem. Es hat sich zwar viel getan, seit wir 2016 einen Bericht dazu veröffentlicht haben. Es gab sehr überzeugende Initiativen sowohl von der Regierung der Demokratischen Republik Kongo als auch von privaten Unternehmen, die die Zivilgesellschaft dabei unterstützen, Kindern den Weg aus der Bergbauarbeit zu ermöglichen. Aber das reicht nicht, die Analyse muss größer ausfallen.

netzpolitik.org: Inwiefern?

Christian Rumu: Wenn wir das Gesamtbild betrachten, sehen wir ein extraktivistisches Modell, das seit dem Kolonialismus vorherrscht. Die Frage sollte nicht sein: Wie kriegen wir die Kinder aus den Minen? Sondern: Was für Verhältnisse sind es, die Kinder in die Minen treiben? Da sind wir schnell bei den ökonomischen Bedingungen. Denn die Arbeiter:innen im Kleinbergbau haben wenig Verhandlungsmacht gegenüber den Konzernen und Zwischenhändler:innen. Es gibt ein großes Problem mit der Lohnungerechtigkeit. Denn es ist ja so, wie Kristina gesagt hat: Es geht um einen kritischen Rohstoff, den Treibstoff für die vierte industrielle Revolution. Und die Menschen an vorderster Front bekommen nichts dafür. Das ist Ausbeutung, man kann es nicht anders ausdrücken.

Hier fährt niemand Tesla

Ein weißes Luxusauto von Tesla unter einer weißen Plane. Davor stehen ein Geschäftsmann und ein Soldat, der das Auto bewacht — Streng bewacht: Für eine Bergbaukonferenz in Kolwezi wurde 2018 ein Tesla eingeflogen. - Alle Rechte vorbehalten IMAGO / ZUMA Press Wire

netzpolitik.org: Ich war erstaunt zu lernen, dass es eine belgische Rohstofffirma gibt, die schon zu Zeiten der blutigen Kolonialherrschaft Belgiens im Auftrag des Staates Rohstoffe im Kongo abgebaut hat. Heute spielen sie im Handel mit Kobalt eine wichtige Rolle. Wer profitiert von dem rücksichtslosen Extraktivismus, also dem Entnehmen von Rohstoffen?

Kristina Hatas: Es sind vor allem Firmen aus dem Ausland. Allen voran aus China, aber auch aus Nordamerika und Europa. Es mag da zwar durchaus Abstufungen bei der Einhaltung der Menschenrechtsstandards geben, aber keines von ihnen erfüllt die Anforderungen. Als wir im vergangenen Jahr Emmanuel Umpula Nkumba von der kongolesischen NGO Afrewatch zu Besuch in Berlin hatten, habe ich ihn gefragt, wie viele Menschen in Kolwezi ein E-Auto haben. Seine Antwort: niemand.

Christian Rumu: Es sind definitiv nicht die Menschen in der Demokratischen Republik Kongo, die profitieren. Es gibt zwar eine Provinzregierung, die auf einen schönen und modernen Flughafen-Neubau verweisen kann. Verbessert das die Mobilität der Menschen im Kongo? Oder dient das nicht eher dem Export der Rohstoffe? Das schürt natürlich die Ablehnung der Menschen. Wer sich fragt, warum die Menschen im Kongo so sauer auf die Europäer:innen sind, der findet hier eine der Antworten: Sie haben nichts von dem natürlichen Reichtum ihres Landes. Allerdings muss man sagen, dass es auch hausgemachte, nationale Probleme gibt.

netzpolitik.org: Worauf spielst du an?

Christian Rumu: Nehmen wir zum Beispiel die Kooperativen. Sie sollen eigentlich die Verhandlungsmacht der Kleinbergleute gegenüber den Konzernen stärken, die das Kobalt von ihnen kaufen. Doch einige Kooperativen gehören führenden Politiker:innen, sodass es dort mehr um deren Interessen geht als um die der Arbeiter:innen. Die Zusammenschlüsse erhalten oft auch keine offiziellen Lizenzen der Regierung, sondern werden lediglich geduldet. Nach dem Motto: „Wir tun euch einen Gefallen, dass wir euch das Kobalt abbauen lassen, also seid ihr uns etwas schuldig.“

netzpolitik.org: Dabei sind die Arbeiter:innen im Kleinbergbau doch sogar verpflichtet, sich in Kooperativen zu organisieren, oder?

Christian Rumu: Genau, das ist gesetzlich vorgeschrieben. Man muss sagen, dass der rechtliche Rahmen echt in Ordnung ist, jedenfalls auf dem Papier. Es gibt ein starkes Bergbaugesetz. Natürlich gibt es auch da Raum für Verbesserung, aber die großen Probleme sind die Implementierung und die Durchsetzung der Vorgaben. Und zwar wegen eines sehr schwachen Staates, in dem die Korruption von der Hauptstadt Kinshasa bis zum Chief in einem kleinen Dorf reicht.

Ein „kritischer Rohstoff“ für die EU

netzpolitik.org: Das alles hat die Europäische Union nicht daran gehindert, Kobalt kürzlich als kritischen Rohstoff nach dem Critical Raw Materials Act zu definieren und eine strategische Partnerschaft mit der Demokratischen Republik Kongo abzuschließen. Wie kann das sein?

Kristina Hatas: Es gibt in Europa keine Vorkommen an Kobalt und anderen kritischen Rohstoffen wie Lithium oder Nickel, die in relevanten Größenordnungen abgebaut werden können. Es liegt deshalb im strategischen Interesse der Europäischen Union, Zugang dazu zu erhalten. Das ist verständlich. Was nicht nachvollziehbar ist: Dass das nicht Hand in Hand mit einem Bemühen um eine Verbesserung der Situation vor Ort geht. Es ist sehr beunruhigend, dass Erfolge wie die Lieferkettengesetze jetzt schon ausgehöhlt werden, bevor sie überhaupt Wirkung entfallen.

netzpolitik.org: Bevor wir über die Lieferkettengesetze sprechen: EU-Vertreter:innen würden jetzt wahrscheinlich darauf hinweisen, dass der Critical Raw Materials Act ein Zertifizierungssystem vorsieht, um Menschenrechts- und Umweltstandards sicherzustellen. Funktioniert das?

Kristina Hatas: Zertifikate, Audits, Multi-Stakeholder-Prozesse und andere Instrumente können ergänzende Maßnahmen sein, um Firmen bei der Einhaltung ihrer Sorgfaltspflichten zu unterstützen. Sie sind aber kein Ersatz für solche Pflichten. Wir sehen immer wieder, dass solche Initiativen zu reinen Stempel-Verfahren werden und für Greenwashing genutzt werden. Firmen beteiligen sich für das gute Image, halten sich aber trotzdem nicht an Sorgfaltspflichten.

Freiwillige Maßnahmen reichen nicht aus

netzpolitik.org: Lieferkettengesetze sollen das verhindern. Wie?

Kristina Hatas: Grundsätzlich sind im internationalen Recht Staaten für die Einhaltung von Menschenrechten verantwortlich. Die UN-Leitprinzipien für Wirtschaft und Menschenrechte [PDF] stellen jedoch fest, dass auch Unternehmen Pflichten haben. Sie sollen Menschenrechte achten, Verstöße untersuchen und Betroffene entschädigen. Untersuchungen von Amnesty International und anderen Organisationen zeigen jedoch immer wieder, dass freiwillige Maßnahmen nicht ausreichen. Es braucht verbindliche Regeln, gerade vor dem Hintergrund kolonialer Kontinuitäten, wie wir sie hier besprechen: An einem Ende die Länder, in denen Unternehmen ansässig sind, die große Profite machen, und am anderen Ende die Länder, wo Menschenrechtsverletzungen begangen werden. Lieferkettengesetze nehmen Produzent:innen und Verkäufer:innen eines Produktes in dem Land in die Pflicht, in dem sie ihren Sitz haben.

netzpolitik.org: Wie sieht das praktisch aus?

Kristina Hatas: Deutschland und Frankreich haben in den vergangenen Jahren mit nationalen Gesetzen angefangen. Das deutsche Lieferkettengesetz wurde 2021 beschlossen und erlegt seit 2023 deutschen Firmen mit mehr als 1.000 Mitarbeitenden bestimmte Regeln auf. Allerdings droht ein Wettbewerb nach unten, wenn man so ein Problem nicht global regelt. Die EU hat deshalb 2024 sehr vielversprechende Haftungsregeln für den gesamten europäischen Binnenmarkt erlassen. Das ist das sogenannte EU-Lieferkettengesetz, die Corporate Sustainability and Due Diligence Directive.

netzpolitik.org: Welche Regeln enthält diese europäische Lieferkettenrichtlinie?

Kristina Hatas: Firmen müssen Menschenrechte entlang der gesamten Wertschöpfungskette sicherstellen. Betroffenen von Verstößen können Schadenersatzansprüche geltend machen und ihre Fälle vor Gerichte in der Europäischen Union bringen. NGOs, Gewerkschaften und andere Vertreter:innen können zudem Verfahren im Namen der Betroffenen führen. Außerdem sieht die Richtlinie verpflichtende Klimapläne für Firmen vor.

„Das ist ein Hauptargument des Raubtierkapitalismus“

netzpolitik.org: Moderne Lieferketten haben oft so viele Beteiligte, dass am Ende niemand die Verantwortung übernimmt. Damit wäre dann also Schluss?

Kristina Hatas: Ja, allerdings fordert die Industrie bereits, dass Sorgfaltspflichten nur für die direkten Geschäftspartner gelten sollen. Das wäre in den Fällen, über die wir gerade sprechen, vollkommen wirkungslos. E-Autos sind für dieses Problem ein sehr anschauliches Beispiel: Es beginnt mit industriellen Minen oder Kleinbergbau in der Demokratischen Republik Kongo. Über Händler gelangt das Erz in Raffinerien im Ausland, wird dort weiterverarbeitet, landet in Batteriefabriken und irgendwann bei einem deutschen Autobauer. Selbst für NGOs ist es derzeit kaum möglich, das alles im Blick zu behalten. Verbraucher:innen haben fast keine Chance zu erfahren, ob bei der Produktion ihres Laptops oder E-Autos Umwelt- und Menschenrechtsstandards eingehalten wurden. Deshalb sind auch die Berichtspflichten in den Lieferkettengesetzen so wichtig.

netzpolitik.org: Die Industrie klagt über zu viel Bürokratie.

Kristina Hatas: Ich halte das für ein Strohmann-Argument. Niemand kann mir erzählen, dass die Rechtsabteilungen großer Konzerne von sowas überfordert sind. In anderen Bereichen haben wir deutlich komplexere Berichtspflichten, etwa bei Finanzen und Steuern. Klar kann man hier nach Überschneidungen und nach Vereinfachungspotenzial suchen, aber die Industrie will unter diesem Vorwand gleich alle Sorgfaltspflichten loswerden.

Christian Rumu: Menschenrechte bedeuten zu viel Bürokratie – das ist ein Hauptargument des Raubtierkapitalismus. Wir hören das leider immer wieder, wenn Druck auf Unternehmen aufgebaut wird. Ich begreife das nicht: Wie kann jemand bei BMW oder einem anderen Unternehmen nicht die Menschlichkeit haben, sich für das Schicksal eines Zwölfjährigen zu interessieren, dessen Haus mit einem Bulldozer abgerissen wurde, um Platz für eine Mine zu schaffen? Das Leben bestimmter Menschen ist für diese Unternehmen einfach nichts wert, gerade in dieser Region.

Kristina Hatas: Im Übrigen will niemand Firmen nutzlosen Papierkram aufbürden. Was wir brauchen, sind nicht Unternehmen, die Formulare ausfüllen, sondern die tatsächlich Sorgfaltspflichten einhalten. Genau das hätten die Gesetze auch vorschreiben können, aber es waren Unternehmen und ihre Lobby-Gruppen, die gesagt haben: Wir wollen auf keinen Fall direkt für Schäden haftbar sein, wir wollen lieber nur Prüf- und Berichtspflichten. Wenn die Industrie jetzt über zu viel Bürokratie klagt, hat sie sich das selbst zuzuschreiben.

Schwarz-Rot auf Linie mit der Industrie

Ein großes Wahlplakat der CDU mit Friedrich Merz und Ursula von der Leyen und dem Slogan "Gemeinsam für Deutschland und Europa" — Wollen Lieferkettengesetze aushöhlen: Bundeskanzler Merz und EU-Kommissionspräsidentin von der Leyen - Alle Rechte vorbehalten IMAGO / Udo Gottschalk

netzpolitik.org: Bei der Politik scheint das Argument zu verfangen. EU-Kommissionspräsidentin Ursula von der Leyen hat versprochen, die Lieferkettenrichtlinie auszudünnen. In Deutschland hatte selbst der grüne Wirtschaftsminister Robert Habeck signalisiert, die Unternehmen bei Berichtspflichten zu entlasten. Wo stehen wir gerade?

Kristina Hatas: Wir erleben heftige Angriffe sowohl auf das europäische als auch das deutsche Lieferkettengesetz. In Deutschland hat schon die Ampel-Regierung den Beginn der Berichtspflichten immer weiter nach hinten geschoben, sodass wir noch nicht mal sagen können, ob das Gesetz überhaupt funktioniert. Die Union hatte aus der Opposition heraus Anträge gestellt, das Lieferkettengesetz komplett abzuräumen. Im Koalitionsvertrag [PDF] wurde man sich nun einig: Das deutsche Lieferkettengesetz wird vom – dann wahrscheinlich verwässerten – EU-Lieferkettengesetz abgelöst, Berichtspflichten werden ganz ausgesetzt und Verstöße nur in Ausnahmefällen sanktioniert.

netzpolitik.org: Unglaublich. Also ist das deutsche Lieferkettengesetz am Ende, bevor es überhaupt wirken kann?

Kristina Hatas: Die Ankündigung ist ein gravierender Rückschlag für die Betroffenen von Menschenrechtsverletzungen durch Unternehmen. Der Verweis auf die EU hilft dabei überhaupt nicht – weil das Ganze auf 2028 verschoben wurde und deutlich verschlechtert wird. Die unmittelbare Abschaffung der Berichtspflichten ist frustrierend. Die Wirtschaft darf damit weiter nach Belieben und ohne Rechenschaft gegen menschenrechtliche sowie umwelt- und klimabezogene Sorgfaltspflichten verstoßen. Wir fallen damit weit hinter die Errungenschaften der vergangenen fünf Jahre zurück.

Auch bei der EU droht ein Kahlschlag

netzpolitik.org: Wie ist die Lage bei der EU?

Kristina Hatas: Ursula von der Leyen hat im November ein Gesetz angekündigt, das eigentlich nur drei EU-Gesetze effizienter machen und Überschneidungen abbauen soll: die Taxonomie-Verordnung zu nachhaltigen Investitionen, die Regeln zur Nachhaltigkeitsberichterstattung von Unternehmen und die Lieferkettenrichtlinie. Inzwischen liegt der Vorschlag vor und er geht weit darüber hinaus. Tatsächlich würden die Vorschläge der Kommission die Lieferkettenrichtlinie komplett entkernen.

netzpolitik.org: Was hat sie vor?

Kristina Hatas: Wie auch bei der deutschen Variante sollten Sorgfaltspflichten in der Regel nur noch für direkte Geschäftspartner und nicht mehr für die gesamte Lieferkette gelten. Die zivilrechtlichen Haftungsklauseln sollen nicht mehr EU-weit gelten, was sie praktisch wirkungslos machen würde. Auch Vorgaben zur Einbindung von Stakeholdern sollen entfallen. Das alles sind Dinge, die die Richtlinie zu dem gemacht haben, was sie ist.

Außerdem war das EU-Lieferkettengesetz immer als Fundament gedacht und nicht als Decke, also als Minimalstandard, den die Mitgliedstaaten mit eigenen Gesetzen weiterentwickeln können. Jetzt sollen Teile der Richtlinie explizit als Maximalstandard festgelegt werden, einzelne Staaten dürften dann nicht darüber hinausgehen, selbst wenn sie wollen. Das ist ein Schlag ins Gesicht von Betroffenen durch Menschenrechtsverletzungen und es stiftet totales Chaos und Rechtsunsicherheit. Im Nachteil sind Unternehmen, die schon Schritte unternommen haben, um die Anforderungen zu erfüllen.

netzpolitik.org: Das ist alles extrem beunruhigend. Was sollte die EU stattdessen machen?

Kristina Hatas: Ursula von der Leyen muss Wort halten. Das Gesetz darf auf keinen Fall den Kern der Lieferkettenrichtlinie aushöhlen, sondern sollte nur Berichtspflichten vereinfachen. Statt die Regeln schon vor dem Start rückabzuwickeln, sollten EU und Mitgliedstaaten Unternehmen besser bei der Umsetzung unterstützen. Das kann zum Beispiel mit Richtlinien und Auslegungshilfen geschehen, die zeigen, wie die Sorgfaltspflichten praktisch umzusetzen sind.

„Das ist gerade ein absolut entscheidender Moment“

netzpolitik.org: Nach Zahlen der UN hat sich die Zahl der elektronischen Geräte in Westeuropa zwischen 2018 und 2023 fast verdoppelt, auf 9,4 Geräte pro Kopf. Wenn ich aktuell bei Lesungen über die kolonialen Kontinuitäten im Rohstoff-Bereich spreche, sind die Menschen sehr schockiert. Viele wissen nicht, wie viel Ausbeutung in ihren Telefonen und Elektroautos steckt. Was können sie tun?

Kristina Hatas: Verbraucher:innen können auf zwei Ebenen aktiv werden. Die eine ist bewusster Konsum. Wir müssen einfach runter mit unserem Verbrauch. Wer das Rad oder den ÖPNV nehmen kann, sollte das tun. Das beste E-Auto ist das, das nicht produziert wird. Was es heute an Transparenz gibt, sollten wir nutzen, um die Firmen zu unterstützen, die die Standards einhalten. Der andere Ansatz ist Druck auf den Staat. Wir können natürlich nur auf öffentlichen Verkehr umsteigen, wenn es entsprechende Infrastruktur gibt. Staaten müssen die Möglichkeiten für bewussten Konsum schaffen und sie müssen Unternehmen dazu zwingen, ihre Lieferketten in Ordnung zu bringen. Da müssen wir Druck machen.

netzpolitik.org: Also Briefe an Abgeordnete schreiben?

Kristina Hatas: Unbedingt. In Deutschland nimmt die neue Koalition die Arbeit auf, Parlamentarier:innen müssen jetzt hören, dass Deutschland seine Verantwortung ernst nehmen muss. Und auch wenn Brüssel sich für viele weit weg anfühlt, sind auch Europaabgeordnete nicht unerreichbar. Das ist gerade ein absolut entscheidender Moment.

Christian Rumu: Vielleicht gibt es unter euren Leser:innen auch Menschen, die in die Firmen investieren, über die wir heute gesprochen haben. Die können auch etwas bewirken. Sie haben als Investor:innen zum Beispiel das Recht, Fragen an die Firmen zu stellen. Sie sollten sie dazu bringen, die Menschenrechtslage beim Abbau der Rohstoffe zu verbessern. Diese Botschaft versuchen wir gerade sehr stark zu machen: Auch Investor:innen tragen eine Verantwortung.

Neues Digitalministerium: So will Schwarz-Rot das Land digitalisieren

07.05.2025 18:55

Nun soll es endlich kommen: ein eigenständiges Digitalministerium. Das neue Ressort soll verschiedene Kompetenzen zusammenführen, die bislang verstreut waren. Was ändert sich damit, was bleibt gleich? Und was kommt zu kurz? Eine Analyse.

Deutschlands Digitalisierungs-Trio (von links nach rechts) – Thomas Jarzombek (CDU), Karsten Wildberger (parteilos) und Philipp Amthor (CDU). – Alle Rechte vorbehalten Jens Oellermann

Deutschland bekommt erstmals ein eigenes Ministerium für Digitalpolitik. In einem Organisationserlass [PDF] legte der frisch gewählte Bundeskanzler Friedrich Merz (CDU) gestern die Aufgabenverteilung innerhalb der neuen Bundesregierung fest und schuf das Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Dessen genauer Zuschnitt war bisher unklar.

Der Erlass zeigt, dass das BMDS weit mehr Kompetenzen erhält als erwartet. In den vergangenen Jahren kümmerte sich etwa das Bundeskanzleramt um die „strategische Vorausschau“ und Grundsatzfragen der Digitalpolitik. Dafür ist nun das neue Ministerium zuständig, das zunächst in ein Gebäude des Innenministeriums am Berliner Tiergarten zieht. Außerdem bekommt das Haus des Ex-Managers Karsten Wildberger Abteilungen und Zuständigkeiten aus sechs anderen Ministerien.

Wildberger war zuvor unter anderem Geschäftsführer der Media-Saturn-Holding GmbH. Als Parlamentarische Staatssekretäre stehen ihm Thomas Jarzombek (CDU) für den Bereich Digitalisierung und Philipp Amthor (CDU) für den Bereich Staatsmodernisierung und Bürokratieabbau zur Seite. Auch für den ehemaligen Bundes-CIO Markus Richter beginnt ein neues Kapitel: Sein bisheriges Amt geht im BMDS auf, wo Richter fortan als Staatssekretär wirkt.

Der Zuschnitt des Hauses zeigt: Das Ministerium und damit Digitalisierung spielt in der neuen Regierung eine wichtige Rolle. Ebenfalls deutlich wird, dass das BMDS seinen Fokus dabei stärker auf Wirtschaft und Innovationen legen wird und weniger auf Gemeinwohl und Zivilgesellschaft.

Fußen soll die künftige Digitalpolitik auf drei Säulen. Erstens die Staats- und Verwaltungsdigitalisierung, für die das Digitalministerium sogar weitgehende Autonomie bei der Finanzierung erhält. Zweitens die Daten- und Digitalisierungspolitik und drittens die digitale Infrastruktur.

Wir haben uns das „Ministerium für Umsetzung“ genauer angeschaut. Was ändert sich mit dem neuen Ressort? Was bleibt im Vergleich zur Vorgängerregierung? Und vor welchen Herausforderungen steht der frisch berufene Minister als „Mann aus der Wirtschaft“?

Erste Säule: Moderner Staat mit digitaler Verwaltung

Um die Staatsmodernisierung voranzutreiben, wandern einige Abteilungen und Zuständigkeiten aus dem Bundesinnenministerium (BMI) ins neue Digitalministerium – allen voran die digitale Verwaltung und das Onlinezugangsgesetz (OZG). Bei allen Bemühungen war die Vorgängerregierung hier nur schleppend vorangekommen, was allerdings weniger an einer fehlenden Bündelung der Zuständigkeiten als vielmehr an den Bundesländern gelegen hat. Daher wird das BMDS sich vor allem darum bemühen müssen, einheitliche Standards sowie eine konsequente Ende-zu-Ende-Digitalisierung in Absprache mit den Ländern und Kommunen auf möglichst allen Verwaltungsebenen zu erreichen.

Dieser Prozess soll offenbar Hand in Hand mit der IT-Beschaffung gehen. Sie war bislang ebenfalls beim BMI angesiedelt. Der Bereich betrifft die Informationstechnik der Bundesverwaltung, die wiederum eine wichtige Grundlage für den sogenannten digitalen Staat ist. Der öffentliche IT-Dienstleister des Bundes, das Informationstechnikzentrum Bund (ITZBund) ist fortan ebenfalls unter dem Dach des Digitalministeriums angesiedelt – und damit auch die Zuständigkeit für die „souveräne Cloud“.

Ringen um ITZBund

In den vergangenen Jahren war das ITZBund beim Finanzministerium angedockt, das sich dagegen gewehrt hatte, die Zuständigkeit dafür abzugeben. Das Zentrum betreibt etwa die Bundescloud, die Rechenzentren des Bundes und weitere Software und Infrastruktur, die die Bundesverwaltung nutzt. Das Budget dafür ist gewaltig: 1,59 Milliarden Euro laut Website und es könnten zukünftig noch mehr werden.

Auch die Zuständigkeit für die Netzinfrastrukturen des Bundes wandert vom BMI ins Digitalministerium. Sie galten dort als „zentrales Nervensystem“ der modernen Behördenarbeit, die besonders geschützt werden müssen. Das Digitalministerium soll zudem fortan auch für die Cybersicherheit zuständig sein – wobei laut Erlass „die spezifischen Anforderungen der Sicherheitsbehörden an die Netze“ unter der Obhut des BMI verbleiben sollen.

Weitgehende Hoheit über IT-Ausgaben

Die bedeutende Rolle des BMDS unterstreicht auch die Tatsache, dass das Haus nicht nur über ein eigenes Budget, sondern auch über „einen Zustimmungsvorbehalt für alle wesentlichen IT-Ausgaben der unmittelbaren Bundesverwaltung“ verfügt. Das bedeutet, dass nur dann Gelder fließen können, wenn das Digitalministerium dem zuvor zustimmt – mit einzelnen Ausnahmen für Sicherheitsaufgaben und den Steuerbereich.

Damit könnte ein großes Manko der Vorgängerregierung behoben werden. Die Ampel hatte in ihrem Koalitionsvertrag noch ein Digitalbudget versprochen. Statt eines speziell auf Digitalisierungsprojekte zugeschnittenen Budgets gab es jedoch Haushaltskürzungen. Die neue Bundesregierung hat immerhin schon mal erkannt, dass Digitalisierungsprojekte ein festes Budget benötigen.

Offene Fragen und Widersprüchliches

Offen ist derzeit noch, wie sehr die Staats- und Verwaltungsdigitalisierung unter dem Vorzeichnen des „Bürokratieabbaus“ stehen wird, den qua Amtsbezeichnung Philipp Amthor vorantreiben soll. Hier musste das Justizministerium Zuständigkeiten ans BMDS abgeben, etwa die „Geschäftsstelle für Bürokratieabbau“ und die Zuständigkeit für bessere Rechtssetzung. Auch die zehn ehrenamtlichen Mitglieder des nationalen Normenkontrollrats arbeiten ab jetzt für das Digitalministerium. Der Rat berät etwa beim Bürokratieabbau und bei der Planung neuer Gesetze.

Ebenso unklar ist, wie sich diese Verschiebungen auf das Bundesamt für Informationstechnik (BSI) auswirken, das hierzulande für die Cybersicherheit zuständig ist, oder auf das ressortübergreifende Großprojekt „IT-Konsolidierung Bund“, das bisher die IT-Beschaffung gebündelt organisierte. Gleichsam unklar ist, ob die Föderale IT-Kooperation (FITKO), die dem IT-Planungsrat zuarbeitet, weiterhin beim BMI angesiedelt sein wird oder ebenfalls zum Digitalministerium wechselt. Naheliegend erscheint letzteres, da nicht nur beim Onlinezugangsgesetz eine Menge an Koordinierung notwendig sein wird – und dieser Brocken landet beim BMDS. Ähnlich in der Schwebe zwischen BMI und BMDS hängt das Zentrum Digitale Souveränität (ZenDiS), das im Erlass keine Erwähnung findet.

Absprachebedarf scheint es nicht zuletzt auch bei der Frage zu geben, welches Ministerium die Verantwortung für den Bereich digitale Identitäten übernimmt. Laut Organisationserlass behält das Innenministerium die Zuständigkeit für „das Pass- und Ausweiswesen sowie das Identitätsmanagement“. Gleichzeitig aber schreibt das Digitalministerium in seiner ersten Pressemitteilung, dass es künftig auch für die „Einführung einer digitalen Identitäts-Wallet und von Bürgerkonten“ verantwortlich sei.

Zweite Säule: Daten- und Internationale Digitalpolitik

Das neue Ministerium übernimmt gleich zwei große Brocken aus dem bisherigen BMDV von Volker Wissing: Digital- und Datenpolitik sowie digitale Infrastrukturen, also Glasfaser- und Mobilfunkausbau.

Die Abteilung „Digital- und Datenpolitik“ war in der Ampel die zentrale Einheit für die Gestaltung der Digitalisierung – oder hätte es zumindest werden können, wenn SPD, Grüne und FDP sich nicht doch für eine totale Zersplitterung der Kompetenzen entschieden hätten. Trotzdem war die Abteilung eine Impulsgeberin für die Digitalpolitik der Ampel, verantwortete etwa die Datenstrategie, brachte ein Mobilitätsdatengesetz auf den Weg und war für die Umsetzung von EU-Datengesetzen wie dem Data Act verantwortlich. Auch der Beirat zur Digitalstrategie der Ampel war hier angesiedelt.

Selbst wenn Abteilungsleiter Benjamin Brake sich schon mal für Deutschlands „Nein“ zur Chatkontrolle starkmachte, war die Abteilung primär auf Wirtschaft und Innovationen ausgerichtet und passt deshalb vermutlich hervorragend in das neue Ministerium. Auch zuvor beim Wirtschaftsministerium und beim Innenministerium angesiedelte Aspekte der Datenpolitik wandern in das BMDS. Unklar ist vorerst, ob das auch für das Thema Open Data gilt oder ob dies als ein Aspekt des Bereichs Open Government, von dem im Organisationserlass nicht explizit die Rede ist, im Innenministerium verbleibt.

Immerhin besteht kein Zweifel, dass mit der Digital- und Datenpolitik auch die Verantwortung für internationale Digitalpolitik in das BMDS zieht. Es wird Deutschland beispielsweise in internationalen Foren wie den G7 oder G20, Internet-Governance-Gremien und bei der UN vertreten. Entsprechend der im alten Ministerium erarbeiteten Strategie für internationale Digitalpolitik soll es sich dabei für ein offenes und sicheres Internet einsetzen und strategische Partnerschaften „besonders mit Ländern des globalen Südens“ ausbauen.

Künftig wird das Haus außerdem für die Umsetzung der KI-Verordnung in Deutschland zuständig sein und betont bereits, dass diese innovations- und wirtschaftsfreundlich ausfallen soll. Hier stehen in den kommenden anderthalb Jahren noch einige Entscheidungen an, bis alle Teile des wegweisenden Gesetzes 2026 in Kraft treten – etwa, welche Behörde offiziell die Aufsicht über die Einhaltung von Regeln führen wird.

Dritte Säule: Digitale Infrastruktur

Dem Koalitionsvertrag zufolge steht beim Infrastrukturausbau kein grundlegender Paradigmenwechsel bevor. Anders als frühere Regierungen gibt die schwarz-rote Koalition zwar keine genauen Jahreszahlen an, bis wann sie ihre Ziele erreichen will. Sie dürfte sich jedoch an den Etappenmarkern der EU orientieren: Bis Ende des Jahrzehnts sollen allen Bürger:innen gigabitfähige Leitungen und 5G-Mobilfunkverbindungen zur Verfügung stehen.

Um das zu erreichen, soll das inzwischen zehn Jahre alte staatliche Förderprogramm – unter großen Geburtsschmerzen vom damaligen Infrastruktur- und nunmehrigen Innenminister Alexander Dobrindt (CSU) auf den Weg gebracht – weitergeführt werden. Hier sind bereits Milliardenprojekte von Ländern und Kommunen geplant und bewilligt, schon deshalb wäre ein völliger Neuanfang kontraproduktiv.

Auf bereits gelegten Schienen dürften generell weite Teile der sonstigen Infrastrukturpolitik weiterfahren. Angekündigt ist etwa ein neuer Anlauf für ein Beschleunigungsgesetz, welches den Ausbau unter „überragendes öffentliches Interesse“ stellen und Bürokratie abbauen dürfte – allesamt Ziele, denen sich auch Schwarz-Rot verschrieben hat.

Wo das Digitalministerium nicht zum Zuge kommt

Zugleich muss das BMDS auch die eine oder andere Feder lassen. An das Forschungsministerium muss es die zuvor beim BMDV angesiedelten Kompetenzen für die Förderung von „U-Spaces und Advanced Air Mobility“ abgeben. Hinter diesen Begriffen verstecken sich die Zuständigkeiten für zivile Drohnen oder die viel beschworenen Flugtaxis. Ins BMWE wandern zudem Erdbeobachtung, Satellitennavigation und -kommunikation sowie die Deutsche Galileo-PRS-Behörde.

Auch aus dem Wirtschaftsministerium landen einige Agenden mit Digitalbezug nicht beim BMDS, sondern beim Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR). Dazu zählen etwa die Zuständigkeiten für Raumfahrt einschließlich des Deutschen Zentrums für Luft- und Raumfahrt.

Das überrascht bereits wegen einer Personalie: So war der frisch berufene BMDS-Staatssekretär Thomas Jarzombek von 2018 bis 2021 Koordinator der Bundesregierung für Luft- und Raumfahrt, später Beauftragter des Wirtschaftsministeriums für digitale Wirtschaft und Start-ups. Nun steigt der langjährige Digitalpolitiker zum parlamentarischen Staatssekretär im Digitalministerium auf, kann aber viele seiner Kompetenzen nicht mitnehmen.

Zudem ziehen weitere Digital-Zuständigkeiten ins Forschungsministerium und damit zur neu bestellten Bundesministerin Dorothee Bär. Die CSU-Politikerin widmet sich künftig unter anderem Grundsatzfragen der nationalen und internationalen Innovations- und Technologiepolitik, der Entwicklung digitaler Technologien, Gigafactorys und Computerspielen.

NSO Group: Pegasus-Hersteller muss über 167 Millionen Dollar an Meta zahlen

07.05.2025 12:05

Mehr als 167 Millionen US-Dollar soll der Staatstrojanerhersteller NSO Group an Meta zahlen. Um Zielpersonen mit Pegasus zu hacken, nutzte das israelische Unternehmen Sicherheitslücken in Whatsapp aus. Der Fall landete 2019 vor Gericht.

Vor rund sechs Jahren entdeckte Meta einen Angriff auf seinen Messenger Whatsapp mit dem Ziel, Nutzer:innen mit dem Staatstrojaner Pegasus zu infiltrieren. Rund 1.400 Accounts und Geräte wurden damals mit der Software des israelischen Herstellers NSO Group angegriffen. Nachdem das aufgeflogen war, klagte Meta im Jahr 2019 in den USA gegen NSO Group und bekam im Dezember 2024 Recht. Offen blieb damals die Frage nach der Strafe.

Nun entschied eine Jury in Kalifornien: NSO Group soll 167 Millionen US-Dollar Strafe an Meta zahlen sowie rund eine halbe Million US-Dollar als Schadensersatz. Das soll den Aufwand ausgleichen, den Meta hatte, um etwa die genutzten Sicherheitslücken zu schließen.

Die Staatstrojaner-Infiltration erfolgte damals unter anderem durch einen Sprachanruf, unabhängig davon, ob die Zielperson diesen entgegennahm oder nicht. Meta argumentierte, NSO Group habe sowohl gegen seine Nutzungsbedingungen als auch gegen den U.S. Computer Fraud and Abuse Act und kalifornische Gesetze verstoßen. Den Quellcode für Pegasus gab NSO Group trotz Aufforderung des Gerichts nicht heraus. Betroffen waren von den damaligen Angriffen unter anderem Menschenrechtsaktivist:innen und Medienschaffende.

Streit noch nicht vorbei

Mit der verkündeten Strafe ist der Streit zwischen Whatsapp und NSO Group noch nicht vorbei. „Als nächstes werden wir eine gerichtliche Verfügung erwirken, um NSO daran zu hindern, WhatsApp jemals wieder ins Visier zu nehmen“, schreibt Meta in einer Pressemitteilung. NSO Group beteuerte nach seiner Niederlage die Relevanz des Staatstrojaners für die staatliche Terrorbekämpfung, wie das Medium Courthouse News Service berichtet.

Neben NSO Group bieten auch andere Schadsoftware-Hersteller ihre Staatstrojaner-Software auf dem Markt an. Zuletzt geriet die Spähsoftware „Graphite“ der israelischen Firma Paragon Solutions in die Schlagzeilen, nachdem bei Journalist:innen und Aktivist:innen eine Infektion bekannt wurde. Auch hier verlief die Infektion über Whatsapp, indem über einen Gruppenchat eine präparierte PDF-Datei versendet wurde. Viele der betroffenen Personen befanden sich in Italien und äußerten sich wiederholt kritisch zur dortigen Regierungspolitik.

Interaktive Karte: Das globale Outsourcing hinter Sozialen Medien und KI

06.05.2025 17:52

Mit einer interaktiven Karte macht die Initiative Data4Mods auf ausbeuterische Bedingungen im Tech-Outsourcing aufmerksam. Sie visualisiert Datenflüsse und Arbeitsbeziehungen zwischen teils milliardenschweren Outsourcing-Firmen und dutzenden Standorten in Afrika.

Sie sorgen für Sicherheit in Sozialen Medien oder bereiten Daten für sogenannte KI-Anwendungen wie ChatGPT auf: Arbeitskräfte auf dem afrikanischen Kontinent spielen für das Funktionieren der digitalen Welt eine entscheidende Rolle. Trotzdem bleiben sie oft ungesehen. Eine neue interaktive Karte visualisiert nun erstmals die Arbeitsbeziehungen zwischen Outsourcing-Firmen aus Nordamerika, Europa und Asien auf der einen sowie Arbeiter:innen in Afrika auf der anderen Seite.

Entstanden ist die Karte auf Basis einer Befragung dutzender afrikanischer Content-Moderator:innen und Datenarbeiter:innen in afrikanischen Ländern. Die Initiative Data4Mods will damit auf die ausbeuterischen Wertschöpfungsketten der Tech-Welt aufmerksam machen und die intransparente Outsourcing-Industrie beleuchten.

Allein eine Firma macht 15 Milliarden Dollar Umsatz

Insgesamt elf sogenannte „BPO-Firmen“ beleuchtet die Untersuchung. Das ist die Kurzform von „Business Process Outsourcing“ und meint Dienstleister, an die andere Unternehmen Arbeit auslagern, um Kosten zu sparen. Die von Data4Mods dokumentierten BPO-Firmen betreiben 78 Outsourcing-Zentren auf dem afrikanischen Kontinent. Da ist zum Beispiel Telus International aus Kanada, zu dessen Kund:innen Firmen wie Google, AirBnB oder Epic Games gehören. Der Branchenriese machte 2023 einen Umsatz von knapp 15 Milliarden US-Dollar und betreibt Büros in Marokko und Südafrika.

Hugo, ein in Michigan ansässiges Outsourcing-Unternehmen, das Verträge mit Meta und Google hat, betreibt Outsourcing-Zentren in Südafrika, Nigeria und Kenia. Der europäische Branchenführer Teleperformance aus Frankreich wiederum lässt Arbeit in Ägypten, Madagaskar, Marokko, Nigeria, Südafrika und Tunesien erledigen. Mindestens 39 der 54 der afrikanischen Staaten beherbergen inzwischen Outsourcing-Zentren für die globale Tech-Industrie.

Vier der hier dokumentierten Outsourcing-Firmen sind in den Vereinigten Staaten, vier in Europa, zwei in Asien und einer in Kanada ansässig. Dabei erhebt die Dokumentation keinen Anspruch auf Vollständigkeit. Einige bekannte Branchengrößen wie das irische Unternehmen Accenture, das Content Moderation für Firmen wie Meta und TikTok an Standorten wie Mauritius, Marokko und Südafrika betreibt, fehlen auf der Karte bislang.

Gegen die Intransparenz der Outsourcing-Branche

Hinter der Karte steht die Initiative Data4Mods, die Tech-Arbeiter:innen mit Hilfe von Daten ermächtigen will. Sie ist eine Kooperation der African Content Moderators’ Union und der Schweizer Nichtregierungsorganisation personaldata.io.

Teil der Untersuchung war auch eine Datenauskunfts-Kampagne. Hier wollten teilnehmende Personen gegenüber ihren Arbeitgebern Datenzugangsrechte wahrnehmen, um auf Basis von Datenanalysen gemeinsam für bessere Arbeitsbedingungen zu streiten. Allerdings erhielten nur wenige Personen aussagekräftige Auskünfte.

„Trotz ihrer gesetzlichen Verpflichtungen ignorierten, verzögerten oder beschränkten die Unternehmen häufig ihre Antworten auf Datenanfragen“, sagt Data4Mods dazu. „Diese dokumentierten Hindernisse offenbaren systematische Verletzungen der Rechte auf Datenzugang, insbesondere in globalisierten Outsourcing-Ketten, die von großen Plattformen dominiert werden.“

Die Outsourcing-Branche ist für ihre notorische Intransparenz bekannt. So ist nicht mal klar, wie viele Menschen weltweit überhaupt bei Drittfirmen für das Funktionieren der digitalen Welt schuften. Die Weltbank schätzt ihre Zahl insgesamt auf 154 bis 435 Millionen. Knebelverträge sind im Outsourcing von Content Moderation und Datenarbeit an der Tagesordnung, Arbeiter:innen sprechen von einer Kultur der Angst.

Moderator:innen kämpfen für Gerechtigkeit

Wie schlecht die Arbeitsbedingungen bei vielen Outsourcing-Dienstleistern im Bereich Moderation und Datenarbeit sind, ist trotzdem bekannt. Die Löhne sind niedrig, Kranken- und Altersvorsorge gibt es nicht. Verträge gibt es in der Branche nur wenige Monate – wer Kritik übt oder zu wenig Leistung bringt, ist schnell wieder draußen. Die Arbeitsbelastung ist hoch, weil die Arbeiter:innen ein hohes Pensum schaffen müssen und ihr Fortschritt permanent digital überwacht wird. Auch bei belastenden Tätigkeiten gibt es kaum psychologische Unterstützung.

2022 machte der Whistleblower Daniel Motaung die Arbeitsbedingungen bei der damals für Meta tätigen Outsourcing-Firma Sama in Kenia gemeinsam mit dem TIME-Magazin öffentlich. Erst im vorigen Jahr wendeten sich mehr als 100 afrikanische Content Moderator:innen an den damaligen US-Präsidenten Joe Biden und bezeichneten ihre Arbeitsbedingungen als „moderne Sklaverei“.

Hoffnung machen unterdessen Gerichtsverfahren in Kenia, die zahlreiche ehemalige Moderator:innen gegen Outsourcing-Firmen und ihre Auftraggeber Meta und TikTok führen. Am Ende könnten wegweisende Urteil stehen, das die Tech-Konzerne dazu zwingen könnte, mehr Verantwortung für ihre Arbeitskräfte zu übernehmen. „Es geht uns um Rechenschaft“, erklärte die kenianische Anwältin Mercy Mutemi erst kürzlich im Interview mit netzpolitik.org.

Die Karte

Elektronische Patientenakte: Keine Verantwortung, nirgends

06.05.2025 17:10

Vor einer Woche fanden IT-Fachleute erneut gravierende Sicherheitslücken in der elektronischen Patientenakte. Bislang wollen aber weder das Gesundheitsministerium noch die Gematik dafür die Verantwortung übernehmen. Unklar ist damit auch, wie sich ähnliche Fehler künftig vermeiden lassen.

Karl Lauterbach von der Seite und vor grauem Hintergrund — Karl Lauterbach will sich nun stärker der Kommunalpolitik zuwenden. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur

Die Bewährungsprobe währte kaum mehr als 24 Stunden. Am vergangenen Mittwoch berichtete der Spiegel, dass die elektronische Patientenakte (ePA) erneut eine gravierende Sicherheitslücke aufweist. Nur einen Tag zuvor, am 29. April, war die ePA bundesweit ausgerollt worden.

Die Entscheidung dafür war quasi die letzte Amtshandlung des scheidenden Bundesgesundheitsministers Karl Lauterbach (SPD). Zwei Wochen zuvor hatte er noch versichert, dass die ePA nun „extrem sicher“ sei – ja, im internationalen Vergleich sei sie „eine der sichersten, vielleicht die sicherste elektronische Patientenakte“.

Tatsächlich aber brauchten die Sicherheitsexpert:innen Bianca Kastl, Martin Tschirsich und Christoph Saatjohann nur wenige Stunden, um die neu hinzugefügten Sicherheitsvorkehrungen auszuhebeln und damit das vollmundige Sicherheitsversprechen Lauterbachs zu widerlegen. Die Hürden waren offenkundig nicht besonders hoch. Man habe zwar ein zusätzliches Vorhängeschloss angebracht, so Martin Tschirsich gegenüber dem Spiegel, den Schlüssel allerdings weiterhin unter die Fußmatte gelegt.

Es ist offensichtlich, dass die eklatanten Sicherheitsmängel technische wie politische Ursachen haben. Um sie zu beseitigen, bräuchte es die Bereitschaft, Verantwortung zu übernehmen. Doch auch eine Woche nach den Enthüllungen ist davon nichts zu erkennen.

Neue alte Unsicherheit

Eigentlich hatte das Bundesgesundheitsministerium den landesweiten ePA-Start bereits für den 15. Februar geplant. Der Rollout hatte sich jedoch verzögert, nachdem die Sicherheitsfachleute des CCC im Dezember vergangenen Jahres zahlreiche Sicherheitslücken im ePA-System offengelegt hatten.

Daraufhin wurden weitere Sicherheitsvorkehrungen implementiert. So müssen Leistungserbringer neben der Kartennummer und der Krankenversicherungsnummer nun auch einen sogenannten hash check value (hcv) eingeben, um auf die in der ePA hinterlegten Daten zugreifen zu können. Dieser Prüfwert errechnet sich aus der Wohnadresse einer versicherten Person und deren Versicherungsbeginn. Offenbar ging man davon aus, dass Dritte insbesondere den Versicherungsbeginn nicht ohne weiteres ermitteln können.

Doch die Sicherheitsfachleute des CCC fanden einen Weg über die sogenannte elektronische Ersatzbescheinigung (eEB). Diesen digitalen Versicherungsnachweis können Praxen etwa dann anfordern, wenn Patient:innen ihre Gesundheitskarte daheim vergessen haben oder diese vor Ort nicht eingelesen werden kann.

Die entsprechende Schnittstelle nutzten die Sicherheitsfachleute, um gezielt Daten einzelner Versicherter abzurufen – weitgehend automatisch und ohne Begrenzung. Das dafür erforderliche Computerprogramm hat Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, nach eigenen Angaben innerhalb von „ein bis zwei Stunden“ erstellt. Auf diese Weise wäre es den Hackern auch möglich gewesen, den in der ePA hinterlegten Daten einer versicherten Person zu verfälschen.

Dass die Sicherheitslage damit wieder ähnlich prekär wie im vergangenen Dezember ist, musste indirekt auch die Gematik einräumen. Die mehrheitlich bundeseigene Digitalagentur ist für die technische Umsetzung der ePA zuständig. Sie sprach zwar erneut verharmlosend von einem „theoretischen“ Risiko, schaltete aber zugleich als „erste Sofortmaßnahme“ das eEB-Modul ab.

Karl Lauterbach taucht ab

Karl Lauterbach widersprach derweil seinem eigenen Sicherheitsversprechen. „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, so der Minister lapidar. Warum aber wurde die ePA dann schon bundesweit ausgerollt? Und wie lässt sich ein weiterer Sicherheits-GAU für die Zukunft vermeiden?

Hinter diesen Fragen steht die eigentliche Frage: Wer übernimmt für die wiederholt auftretenden Sicherheitslücken die Verantwortung? Schließlich handelt es sich bei der ePA um „das größte Digitalisierungsprojekt“ bundesdeutscher Geschichte, wie Lauterbach persönlich betont, das die besonders sensiblen Gesundheitsdaten von rund 70 Millionen Bundesbürger:innen „sicher und geschützt“ verwahren soll.

Lauterbach selbst hatte Mitte April den Startschuss für den bundesweiten ePA-Rollout gegeben. Damals versicherte der Minister, dass alle Sicherheitsprobleme ausgeräumt seien. „In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik konnten Sicherheitsmaßnahmen umgesetzt werden, die Voraussetzung für die bundesweite Nutzung sind“, heißt es in einem Brief an die Gematik.

Obwohl dies offenkundig eine fatale Fehleinschätzung war, hat sich Lauterbach in der vergangenen Woche nicht weiter zu den Sicherheitslücken der ePA geäußert. Stattdessen gab er zu Protokoll, sich nach dem Ausscheiden aus dem Ministeramt nun verstärkt den kommunalen Belangen seiner Heimatstadt Köln zuzuwenden.

Gezielte Entmachtung von BSI und BfDI

Auch die Gematik zeigt sich von den Geschehnissen weitgehend unbeeindruckt. Sie betont, dass die ePA weiterhin jenen „höchsten und modernsten Sicherheitsstandards“ gerecht werde, die die Agentur mit dem BSI und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) abgestimmt habe.

In der Tat hatte das Gesundheitsministerium, nachdem Kastl und Tschirsich im Dezember die ersten ePA-Sicherheitslücken öffentlich gemacht hatten, das BSI zu einer sogenannten Sicherheitsbewertung aufgefordert. Allerdings ist die Gematik nicht verpflichtet, die darin formulierten Maßnahmen auch umzusetzen. Stattdessen muss sich die Digitalagentur laut Sozialgesetzbuch V mit dem BSI und der BfDI nur ins „Benehmen“ setzen. Die beiden Bundesbehörden dürfen also nur mitwirken, aber nicht mitentscheiden.

Für diese arg begrenzte Mitwirkung hat Karl Lauterbach höchstpersönlich gesorgt. Dem Gesundheitsminister waren die „klassischen Vetorechte“ beider Bundesbehörden ein Dorn im Auge. Den Entscheidungsprozess im Gesundheitswesen wollte er daher „breiter“ aufstellen. Gemäß dem Ende 2023 verabschiedeten Digital-Gesetz muss die Gematik seitdem „Festlegungen und Maßnahmen […], die Fragen der Datensicherheit berühren“ nicht länger „im Einvernehmen“, sondern nur noch „im Benehmen“ mit dem BSI und der BfDI treffen.

Die offene Frage nach der Verantwortung

Entsprechend deutlich betont das BSI aktuell, dass aus seiner Sicht „bei vollständiger Implementierung aller Mitigationsmaßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist“. Für die „vollständige Implementierung“ sei aber nicht die Bundesbehörde, sondern der Betreiber der elektronischen Patientenakte zuständig – also die Gematik.

Wir haben die Gematik gefragt, ob sie sämtliche Maßnahmen, die das BSI in seiner Sicherheitsbewertung vorschlug, auch umgesetzt hat. Die Digitalagentur hat uns gegenüber allerdings nur bestätigt, dass sie gemeinsam mit dem Bundesgesundheitsministerium und dem BSI „ein Maßnahmenpaket“ entwickelt habe, „das auch die Punkte des CCC adressiert“. Außerdem erarbeite sie „fortlaufend weitere Maßnahmen, um missbräuchliche Zugriffe künftig noch besser zu erkennen, zu verhindern und zu sanktionieren.“ Der von uns gestellten Frage wich die Gematik aus – und damit auch jener nach ihrer Verantwortung für die Sicherheitslücken.

Eine gute Nachricht hielt die vergangene Woche immerhin bereit. Dem BSI zufolge gibt es bereits „eine endgültige technische Lösung für die bislang skizzierten Angriffsszenarien“. Das Konzept „Proof of Patient Presence“ (PoPP) sieht demnach vor, dass sich Versicherte in der Arztpraxis persönlich identifizieren müssen, bevor Daten aus ihrer ePA abgefragt werden können. Allerdings könne die Gematik die Sicherheitsvorkehrung nicht vor dem Jahr 2026 implementieren.

NGOs fordern: Debatte über Hintertüren darf nicht hinter verschlossenen Türen stattfinden

05.05.2025 13:23

Im Laufe des Jahres will die EU-Kommission Vorschläge präsentieren, wie Polizeien Zugang zu verschlüsselten Inhalten erhalten könnten. Nun fordern zivilgesellschaftliche Organisationen eine Beteiligung am Prozess ein. IT-Sicherheit und Menschenrechte müssten ganz oben auf der Agenda stehen.

EU-Kommissarin Henna Virkkunen muss die Zivilgesellschaft stärker einbeziehen, fordern Dutzende Digital-NGOs. – Alle Rechte vorbehalten IMAGO / Le Pictorium

Die Anfang April vorgestellte EU-Strategie zur inneren Sicherheit, ProtectEU, ruft zivilgesellschaftliche Organisationen auf den Plan. In einem offenen Brief an EU-Digitalkommissarin Henna Virkkunen fordern sie, dass künftig auch Wissenschaftler:innen, unabhängige Tech-Fachleute, Menschenrechts-Jurist:innen und generell Menschen aus der Zivilgesellschaft an den weiteren Diskussionen beteiligt werden müssen.

Sorge bereitet vor allem der „Fahrplan zur Entschlüsselung“, an dem die EU-Kommission derzeit arbeitet. Unter anderem gestützt auf Empfehlungen einer EU-Arbeitsgruppe will sie bis Ende des Jahres ausloten, ob und wie Ermittlungsbehörden Zugang zu verschlüsselten Inhalten erhalten können.

Polizeien betonen seit Jahren, dass sie ohne solche Hintertüren blind und taub seien, während Kriminelle sich hinter Technik verstecken würden – das sogenannte „Going Dark“-Phänomen. Allerdings sind sich IT-Expert:innen einig, dass ausgehebelte Verschlüsselung das gesamte IT-Ökosystem bedroht: Entweder oder, denn ein bisschen Sicherheit gebe es nicht, warnten etwa europäische Datenschutzbehörden.

Beteiligung der Zivilgesellschaft ein Muss

„Viele Technologie- und Digitalrechtsexperten befürchten, dass einige dieser ‚Lösungen‘ die Ende-zu-Ende-Verschlüsselung, ein wichtiges Instrument der Menschenrechte, untergraben könnten“, sagt Chloé Berthélémy von der Digital-NGO European Digital Rights (EDRi) zu netzpolitik.org. Neben EDRi haben insgesamt 39 NGOs und 43 IT-Expert:innen aus der Wissenschaft den Brief unterzeichnet, darunter der Chaos Computer Club (CCC), der Deutsche Anwaltverein (DAV) und Privacy International.

Die besagte EU-Arbeitsgruppe (High Level Group, HLG) hatte die längste Zeit hinter verschlossenen Türen und vorrangig mit Vertreter:innen aus dem Sicherheitsapparat getagt. Mutmaßlich sorgten erst Medienberichte dafür, dass die EU-Kommission zivilgesellschaftliche Gruppen überhaupt zu einem Treffen eingeladen hat – doch erst gegen Ende des jahrelangen Prozesses.

Dies dürfe sich nicht wiederholen, fordern die NGOs. Zum einen müsste sich Virkkunen mit den Unterzeichner:innen treffen, um Positionen und mögliche Beteiligungen am Prozess zu klären. Zum anderen müssten an den weiteren Diskussionen zum Fahrplan auch zivilgesellschaftliche Gruppen mit am Tisch sitzen, um sicherzustellen, „dass wir sinnvoll teilnehmen können“, heißt es in dem Schreiben.

Negativ-Beispiel Chatkontrolle

„Angesichts früherer gefährlicher Vorschläge, wie beispielsweise des in der CSA-Verordnung vorgeschlagenen Client-Side-Scannings, haben wir allen Grund zur Sorge“, sagt Berthélémy. Das gemeinhin als „Chatkontrolle“ bekannte Vorhaben, das seit Jahren im EU-Rat feststeckt, soll Inhalte gegebenenfalls vor ihrer Verschlüsselung durchleuchten und an Behörden melden, sollte ein Verdacht auf sexualisierte Gewalt gegen Kinder vorliegen.

Noch bevor die Kommission ihren Entwurf vorstellte, warnten weltweit bekannte IT-Sicherheitsforscher:innen vor „Wanzen in unserer Hosentasche“. Client-Side-Scanning auf den Geräten von Endnutzer:innen sei eine Gefahr für Privatsphäre, IT-Sicherheit, Meinungsfreiheit und die Demokratie als Ganzes. Gefruchtet hatten die Appelle an die Kommission, die zuweilen aus dem eigenen Haus kamen, nur bedingt. Tatsächlich gibt es Hinweise darauf, dass undurchsichtige Lobby-Gruppen womöglich mehr Einfluss auf den weitreichenden Gesetzentwurf hatten als Fachleute aus dem IT- und Menschenrechtsbereich.

Die NGOs bieten nun ihre konstruktive Mitarbeit an. „Anstatt mehr Ressourcen und Zeit in Systeme zu investieren, die nachweislich Schaden verursachen, sind wir der festen Überzeugung, dass alle Beteiligten zusammenarbeiten müssen, um langfristige Lösungen (sowohl technischer als auch nicht-technischer Art) für komplexe gesellschaftliche Probleme zu finden“, schreiben sie an Virkkunen. Diese Lösungen müssten „auf wissenschaftlichen Erkenntnissen beruhen und alle Grundrechte respektieren“.

Trugbild: Liebe suchen, Arbeit finden

04.05.2025 08:00

Für die Suche nach Kontakten machen sich die Nutzer von Dating-Apps den Rücken krumm – doch der Preis der Liebesarbeit ist hoch.

Eine Figur mit gekrümmtem Rücken blickt auf ein Handy. — Für die Liebessuche machen sich Menschen den Rücken krumm. – Public Domain Vincent Först mit Midjourney

„Dating ist wie ChatGPT“, sagt die Kollegin in der Mittagspause. Denn die ersten Gespräche sind so generisch, als würden sich Maschinen miteinander unterhalten. Eine Freundin feiert im Gespräch stolz die erfolgreiche Knüpfung einer neuen App-Verbindung: „Weißt du, wie viel Arbeit das war?“

Das Werk des sogenannten „Aufmerksamkeitskapitalismus“ scheint vollendet zu sein: Die digitale Suche nach Liebe ist zur Arbeit geworden. Dating-Apps gehören zu den besonders raffiniert gestalteten Instrumenten eines Systems, das die Bedürfnisse und Wünsche seiner Subjekte jederzeit zu verwerten weiß.

Eine „Beschäftigung“ im eigentlichen Sinne

Fest steht, dass wir bei beinahe jeglicher Interaktion mit Dating-Apps auf unseren Smartphones im Stillen zusätzliche Arbeit verrichten. Beweise für die erfolgreiche Kommodifizierung, also des „Zur-Ware-Machens“ der Liebessuche, liefert die Etablierung von „Dating“ als eigenem Begriff und Beschäftigung – im Sinne eines kommerzialisierten Suchprozesses.

Wenn der US-amerikanische Journalist Chris Hayes in seinem neuen Buch „The Siren’s Call“ schreibt, dass der Aufmerksamkeitskapitalismus die Psyche der Konsumenten genauso zerrüttet wie der industrielle Kapitalismus den Körper der Arbeiter, gebe ich ihm dennoch nur teilweise Recht.

Hayes beschreibt darin das Geschäftsmodell von Plattformen, die Zeit und Aufmerksamkeit ihrer Nutzer selbst zu Währung und Ware machen. Auch Dating-Apps profitieren von den Interaktionen und der Verweildauer ihrer Nutzer. Mit jeder Aktion erhöhen die Nutzer auch den kommerziellen Wert der Plattform, die Liebe vermitteln soll. Sie arbeiten also doppelt: Emotional für sich, ökonomisch für andere.

Die Folgen der Plackerei gehen jedoch über die Psyche hinaus: Denn gerade bei der Nutzung vermeintlich kostenloser Online-Dienste wie Dating-Apps werden Geist und Körper gleichermaßen verschlissen. Der hohe Preis für die Anwendung ist für die Liebessuchenden nicht sofort zu spüren, sein Gewicht zeigt sich eher als diffuses Gefühl des Unwohlseins und der Degradierung.

Aufrecht nur im Abbild

Für den ersehnten Erfolg muss ich mich als Nutzer in der Regel erst kleinmachen, um meine Persönlichkeit in den auf wenige Angaben beschränkten Schaukasten des Liebesmarktes zu reduzieren. Dem gekrümmten Finger folgt ein gebeugtes Gewissen, um etwa die zahlreichen Suchparameter zu justieren, beispielsweise den Schieberegler für die gewünschte Altersspanne, oder die Frage, welche Folgen die Angabe meiner Körpergröße nach sich ziehen.

Hinter vielen der aufrechten und polierten Abbilder im Netz steht also ein Mensch, der sich zuvor der Architektur der Plattform beugen musste. Und vor der sehnlichst erwarteten Liebes-Erfahrung stehen viele kleine und wenig nachhaltige Dopamin-Kicks in Form von Matches, oft abgeschlossen bei einer stillen Sitzung auf der Toilette oder während einer ruhelosen Pause von der eigentlichen Arbeit.

Fehlende Widmung und Geduld

Die Architektur der Plattformen begünstigt die ortsungebundene Nutzung ohne Widmung oder Geduld. Sie machen die Liebessuche flüchtig, sodass sie heute gleichzeitig überall und doch nirgendwo stattfindet. Auf dem Bildschirm streichen die inszenierten Bilder vorbei, wir sehen dort mehr und weniger grandioses Schauspiel. Der liebessuchende oder auch sich selbst liebende Mensch sitzt gekrümmt auf seinem Stuhl, im dunklen Zimmer, das regungslose Gesicht vom Displayschein beleuchtet.

So reicht es oft, sich des eigenen Bildes bewusst zu werden, ohne dass man die Kassenschlager der Kulturkritiker Eva Illouz („Der Konsum der Romantik“) oder Byung-Chul Han („Die Agonie des Eros“) noch lesen muss, um zu verstehen, dass man eigentlich hart arbeitet – und zwar nicht für sich und das eigene Wohlbefinden.

In diesem Bilderstrudel der großen und vielleicht nie einzulösenden Versprechen die Haltung zu bewahren und sich dem Arbeitscharakter des mechanisierten Online-Datings entgegenzustellen, erfordert Kraft, für die viele die Ressourcen gar nicht mehr aufbringen können.

Wo einer arbeitet, verdient der andere

Immer wieder finden auch die optimistischen Stimmen Gehör: „Also ich habe Spaß bei der Nutzung“, oder „Nimm es doch einfach locker“. Für die Einsamen unter uns stellt sich die Frage: „Soll ich es vielleicht doch mal wieder probieren?“

Denn bei der überwältigenden Verschiebung der Liebessuche ins Digitale schwinden analoge Kontaktmöglichkeiten. Die Nutzung der Plattformen entspringt einem zutiefst menschlichen Impuls. Dabei bleibt die digitale Liebessuche ein Geschäftsmodell. Nur gilt auch hier das unerbittliche Gesetz des Marktes: Wo die Plattform gut verdient, muss der Nutzer draufzahlen.

Alleine Tinder wurde weltweit über 100 Millionen Mal im Google Play Store heruntergeladen. Selbstverständlich finden auch viele Menschen ihr Glück online und verlassen die Dating-Apps wieder. Der Anbieter Hinge wirbt sogar mit dem Spruch „entwickelt, um gelöscht zu werden“. Das mag für einige Nutzer zutreffen, nicht jedoch für diejenigen, die sich in dem von der App geschaffenen Anreizsystem verlieren. Es gaukelt ihnen einen unendlichen Pool neuer Verbindungen vor, für die man vermeintlich nur mehr swipen oder gar Premiumfeatures kaufen müsse.

Übrigens wollen auch Tabakhersteller nicht, dass ihnen die Raucher zu früh wegsterben – ein schädliches und hochgradig süchtig-machendes Produkt bieten sie ihnen trotzdem an. Wobei meine Zigarette den großen Vorteil hat, mich nicht beim Rauchen zu analysieren.

Der Wolf im Schafspelz

Als Teil einer Verwertungsmaschine sitzen Nutzer also vor Handy-Bildschirmen und schuften, angelockt von einer eigentlich schönen Hoffnung auf Nähe – dass es nur bei einer Hoffnung bleibt, liegt im Interesse der Liebesvermittler, milliardenschweren Unternehmen wie der Match Group, die hinter Tinder, Hinge, OkCupid und Co stehen und einen beträchtlichem Teil des Onlinedating-Markts beherrschen. Sie profitieren massiv am traurigen Kreislauf von Einsamkeit, Frust und uferloser App-Nutzung.

Dass Logan Ury, „Direktorin der Beziehungsforschung“ von Hinge, noch zusätzlich Bestseller-Bücher mit Titeln wie „How to Not Die Alone“ („Wie man nicht alleine stirbt“) schreibt, könnte man fast für eine gut getarnte Marketingmaßnahme halten – wenn sie nicht so zynisch wäre.

„Sei ruhig Fließbandbaby, arbeiten!“, sang die Krautrock-Band Floh de Cologne in den 70ern. Heute ist die digitale Suche nach der Liebe selbst zur Fließbandarbeit geworden. Die Fesseln der Fabrik sowie der genormten Liebesrituale haben nur ihr Erscheinungsbild gewechselt.

Falls der Autor dieses Artikels auf einer der geläufigen Plattformen gesehen wird,
a) handelt es sich um eine Verwechslung,
b) oder wünscht er ausdrücklich, nicht auf diesen Text angesprochen zu werden.

KW 18: Die Woche, in der die AfD das passende Prüfsiegel bekommen hat

03.05.2025 09:18

Die 18. Kalenderwoche geht zu Ende. Wir haben 18 neue Texte mit insgesamt 156.800 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

in dieser Woche hat sich die neue Koalition weiter formiert. Die Parteien haben nun alle dem Bündnis zugestimmt und die Union hat schon die Minister:innen ernannt. Neu ist das Digitalministerium, welches die CDU mit dem Elektromarkt-Manager Karsten Wildberger besetzt. Den Politik-Neuling erwarten komplexe Aufgaben und große Herausforderungen der bislang schwerfälligen Digitalisierung. Anna Biselli hat sich den designierten Minister näher angeschaut und hofft, dass er bei den neuen Aufgaben nicht nur die Wirtschaft, sondern auch die Zivilgesellschaft im Blick behält.

Neu besetzt wird auch das Innenministerium. Das Amt geht an den CSU-Mann Alexander Dobrindt. Der Bayer hat sich bislang nicht wirklich als Innenpolitiker hervorgetan, wie wir in unserem Porträt feststellen. Als früherer Verkehrs- und Digitalminister war seine Bilanz durchwachsen bis desaströs. In der Innenpolitik hat sich Dobrindt bislang eher als Scharfmacher gegen Klimaaktivismus und in Migrationsfragen zu Wort gemeldet.

Im Kampf gegen Rechtsextremismus zeigte sich Dobrindt bislang eher zahnlos: Ein Verbot der rechtsradikalen AfD lehnte er zuletzt ab, beim Einreißen der Brandmauer durch Friedrich Merz im Januar sah er das Problem bei der fehlenden Zustimmung von Grünen und SPD zum Gesetz der Union. Die Grünen bezeichnete er gar als „Brandbeschleuniger für die AfD“ anstatt die rechtsradikale Partei selbst in den Fokus zu nehmen.

Das Thema dürfte nun durch die Einstufung der gesamten AfD als „gesichert rechtsextremistisch“ neuen Zündstoff erhalten. Einerseits werden sich die AfD-Normalisierer in der Union wie Jens Spahn und diejenigen, die mit der Partei zusammenarbeiten wollen, jetzt noch deutlichere Fragen anhören müssen, wieso sie die Feinde der Demokratie nicht entschlossen bekämpfen. Auf der anderen Seite wird nun die Forderung nach einem AfD-Verbot zu Recht lauter werden. Zwar ist für viele Demokrat:innen schon seit Jahren klar, dass die AfD ein antidemokratisches und rechtsextremes Projekt ist. Doch nun gibt es diese Beurteilung schwarz auf weiß von der zuständigen Behörde.

Der Umgang mit den Demokratiefeinden der AfD ist die große politische Herausforderung des Landes. Gelingt es, diese Gefahr zurückzudrängen und ein weiteres autoritäres Abrutschen zu verhindern? Oder gibt es doch nur ein Weiter-So, bei dem die Faschisten die demokratischen Parteien vor sich hertreiben? In dieser Frage wird gerade der Innenminister Farbe bekennen müssen. Gerade auch, wenn ein Verbotsverfahren kommt, dürften politisch turbulente Zeiten bevorstehen.

Einen schönen Start in den Mai wünscht

Markus

Breakpoint: Der heilige Stuhl ist leer

Mit dem Tod von Papst Franziskus verliert die katholische Kirche eine Stimme, die sich nicht scheute, politisch zu sein. Bundestagspräsidentin Julia Klöckner sieht so etwas offenbar kritisch. Doch solange es Kirchen gibt, dürfen sie nicht neutral sein. Von Carla Siepmann –
Artikel lesen

Netzneutralität: Beschwerde gegen Telekom wegen absichtlicher Netzbremse

Laut mehreren zivilgesellschaftlichen Organisationen verlangsamt die Deutsche Telekom das Internet künstlich und verlangt für die volle Geschwindigkeit Geld von Unternehmen. Sie haben deswegen eine Beschwerde bei der Bundesnetzagentur eingereicht. Die Telekom wehrt sich. Von Markus Reuter –
Artikel lesen

Designiertes Bundeskabinett: Vom Lobbyisten zum Digitalminister

Friedrich Merz setzt beim neuen Digitalministerium mit Karsten Wildberger auf einen Mann aus der Wirtschaft. Ihn erwarten große Widerstände und komplexe Aufgaben bei der Digitalisierung. Es wird sich zeigen, ob der politische Neuling nicht nur die Wirtschaft, sondern auch die Zivilgesellschaft im Blick hat. Von Anna Biselli –
Artikel lesen

OnlyFans: Schweden will Bezahlung von Camshows kriminalisieren

Ein neuer Gesetzentwurf aus Schweden sorgt für Aufregung: Wer im Netz anderen beim Masturbieren zuschaut, könnte bald strafrechtlich belangt werden. Anbieter:innen auf Plattformen wie OnlyFans bangen nun um ihre Existenz. Von Chris Köver –
Artikel lesen

Zerschlagung von Big Tech: Warum es für Alphabet, Meta & Co. eng werden könnte

Lange Zeit konnten Tech-Unternehmen wie Google oder Facebook schalten und walten, wie sie wollten. Doch ihre Monopole kommen zunehmend in Bedrängnis – selbst in den USA, wo derzeit die traditionell wirtschaftsfreundlichen Republikaner an der Macht sind. Was steckt dahinter? Von Tomas Rudl –
Artikel lesen

IP-Catching: Die Überwachungs-Maßnahme, die geheim bleiben soll

Internet-Zugangs-Anbieter überwachen, welche Kunden sich mit bestimmten IP-Adressen verbinden. Wir veröffentlichen Ermittlungs-Dokumente, die dieses „IP-Catching“ belegen. Juristen kritisieren, dass es keine Rechtsgrundlage dafür gibt. Das Bundeskriminalamt will die Maßnahme verschweigen. Von Andre Meister –
Artikel lesen

Neuer Innenminister: Dobrindts zweiter Versuch

Er war schon mal Minister – mit desaströser Bilanz. Jetzt soll er sich um die deutsche Innenpolitik kümmern. Was ist von Alexander Dobrindt zu erwarten? Von Anna Biselli, Markus Reuter –
Artikel lesen

EU-Regeln für KI-Modelle: Wenn meine KI keinen Atomkrieg startet, darf sie dann rassistisch sein?

Europa hat schon ein KI-Gesetz. Manche Teile davon sind aber vage, ein „Praxisleitfaden“ soll deshalb Details nachliefern. Dabei haben Unternehmen viel zu sagen – und statt vor echten Problemen könnte die Handreichung eher vor hypothetischen Schreckensszenarien schützen. Zivilgesellschaft und Abgeordnete im Parlament sind besorgt. Von Maximilian Henning –
Artikel lesen

Ungarns Pride-Verbot: Abgeordnete machen Druck auf EU-Kommission

Ungarn hat den Weg freigemacht für biometrische Gesichtserkennung gegen Teilnehmer:innen von Pride-Demos. Die EU-Kommission prüft derzeit, ob der Mitgliedstaat damit Gesetze verletzt. Parlamentarier:innen pochen auf Antworten.
Von Chris Köver –
Artikel lesen

Gegen Deepfakes: US-Kongress verabschiedet Take It Down Act

Ein US-Gesetz gegen sexualisierte Deepfakes ist beinahe endgültig unter Dach und Fach. Kritiker:innen fürchten um die Meinungsfreiheit im Internet. Von Tomas Rudl –
Artikel lesen

Studie: Druck und Überwachung per Arbeits-App

Im Außendienst organisieren Firmen ihre Beschäftigten mit Apps. Die Software soll Abläufe optimieren, Touren verkürzen und die Produktivität steigern – auf Kosten von Privatsphäre und Betriebsklima. Eine Studie hat die Apps nun untersucht. Von Christoph Bock –
Artikel lesen

Gerichtshof für Menschenrechte: Serbien soll Schallwaffe stecken lassen

Die serbische Zivilgesellschaft hat vor dem Europäischen Gerichtshof für Menschenrechte einen Erfolg errungen. Dem Gericht zufolge soll Serbien in Zukunft den Einsatz von Schallwaffen auf Demonstrationen verhindern. Eine solche Waffe wurde mutmaßlich im März eingesetzt. Von Markus Reuter –
Artikel lesen

mSpy: netzpolitik.org soll für eine Spionage-App werben

Eine Marketing-Agentur versucht beharrlich, netzpolitik.org zum Werbepartner für die Spionage-App mSpy zu machen. Dabei berichten wir immer wieder kritisch über das Tool. Von Martin Schwarzbeck –
Artikel lesen

Account gesperrt: Sie haben Pornos rezensiert, dann warf Instagram sie raus

Selbst die penible deutsche Medienaufsicht hatte nichts zu beanstanden bei Porn Better, einer Website für feministische Porno-Rezensionen. Doch auf Instagram ist Porn Better gesperrt. Fachleute sehen die Pressefreiheit in Gefahr. Von Sebastian Meineck –
Artikel lesen

Transparenzbericht 1. Quartal 2025: Unsere Einnahmen und Ausgaben und die Suche nach Substanz

Das erste Viertel dieses Jahres haben der Wahlkampf und die anschließenden Koalitionsverhandlungen geprägt. Wir suchten nach Belastbarem in dichtbedruckten Papieren und konnten gemeinsam mit anderen auch mal Schlimmeres verhindern. Klar ist: Grund- und Freiheitsrechten steht nun eine harte Zeit bevor. Dank euch sind wir aber gut gewappnet. Von netzpolitik.org –
Artikel lesen

Pressefreiheit: Journalist*innen weltweit in Gefahr

Die Arbeitsbedingungen von Journalist*innen verschlechtern sich weltweit. Reporter ohne Grenzen zeigt mit der Rangliste der Pressefreiheit einen „historischen Tiefstand“. Allein in Gaza wurden etwa 200 Medienschaffende getötet. Von Christoph Bock –
Artikel lesen

In eigener Sache: Podcast von netzpolitik.org erhält Auszeichnung zum Tag der Pressefreiheit

Wir freuen uns über den Rainer-Reichert-Preis für unseren Podcast „Systemeinstellungen“. Der Bayerische Journalistenverband zeichnet die Folge über das staatliche Vorgehen gegen Fabian Kienert und Andreas Reimann von Radio Dreyeckland aus. Der Preis erinnert daran, wie sehr die Pressefreiheit weltweit unter Druck ist. Von Redaktion –
Artikel lesen

#295 Off The Record: Eure Fragen an uns – und was Trumps Zölle netzpolitisch macht

Regeln für Tech-Konzerne werden umso mehr zum Politikum, wenn Donald Trump einen Handelskrieg mit der EU vom Zaun brechen will. Wie berichten wir darüber? Das und mehr besprechen wir in unserem Hintergrund-Podcast – übrigens erstmals mit neuen Rubriken. Von Sebastian Meineck –
Artikel lesen

#295 Off The Record: Eure Fragen an uns – und was Trumps Zölle netzpolitisch macht

03.05.2025 06:29

Die Montage zeigt Sebastian, Chris und Tomas, eine Audio-Spur, einen blauen Schiffscontainer und ein Zollschild. — In dieser Folge: Sebastian (links oben), Chris (rechts oben) und Tomas (unten). – Vereinfachte Pixabay Lizenz Container: Vecteezy; Montage: netzpolitik.org

Wenn wir in der Redaktion über US-amerikanische Zollpolitik oder Marktregulierung sprechen, dann wandern die Augen erstaunlich oft zu netzpolitik.org-Redakteur Tomas. Allein das ist ein Grund, um ihn für die neuste Folge „Off The Record“ ans Mikrofon zu bitten. Ist das etwa schon Handelskrieg, wenn die EU dreistellige Millionenstrafen gegen Apple und Meta verhängt? Das und mehr ordnet er im Podcast mit Chris und Sebastian ein.

Außerdem probieren wir in dieser Folge etwas Neues aus. In unseren neuen Rubriken halten wir Euch auf dem Laufenden, was bei netzpolitik.org intern passiert, wir kritisieren uns selbst – und wir beantworten Eure Fragen.

Gibt es etwas, das Ihr schon immer von netzpolitik.org wissen wolltet? Werdet selbst Teil des Podcasts und reicht für eine der nächsten Folgen Eure Fragen ein. Ob ernst oder lustig, beides ist sehr willkommen. Es genügt eine E-Mail an podcast@netzpolitik.org oder ein Kommentar direkt unter diesem Beitrag.

Viel Spaß beim Hören!

In dieser Folge: Chris Köver, Tomas Rudl und Sebastian Meineck.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

Wie immer freuen wir uns auch über Kritik, Lob und Ideen, entweder hier in den Kommentaren oder per Mail an podcast@netzpolitik.org.

In eigener Sache: Podcast von netzpolitik.org erhält Auszeichnung zum Tag der Pressefreiheit

02.05.2025 18:30

Drei gläserne Trophäen auf schwarzen Podesten — Der Rainer-Reichert-Preis zum Tag der Pressefreiheit – Alle Rechte vorbehalten BJV / Thomas Geiger

Der Bayerische Journalistenverband (BJV) hat uns heute bei seinem bundesweiten Wettbewerb zum Tag der Pressefreiheit ausgezeichnet. Die erste Folge unseres Doku-Podcasts „Systemeinstellungen“ erhielt den ersten Platz in der Kategorie Audio.

Wir freuen uns riesig und sagen Danke. Danke an den BJV für die Ehrung. Danke an das Team, das diesen Podcast möglich gemacht hat. Danke an alle Spender:innen, die unseren kritischen und unabhängigen Journalismus finanzieren!

Bei aller Freude ist die Preisverleihung auch eine notwendige Erinnerung daran, wie stark die Pressefreiheit global unter Druck ist. Wir widmen diesen Preis unseren Protagonisten, Fabian Kienert und Andreas Reimann von Radio Dreyeckland, sowie allen Journalist:innen auf aller Welt, die für ihre Arbeit angegriffen werden.

Ehrung als politisches Signal

Nach einem Grimme Online Award 2024 ist es bereits die zweite Auszeichnung für „Systemeinstellungen“. In dem Podcast erzählen wir die Geschichten von Menschen, die unerwartet ins Visier des Staates geraten und sich durch Repressionsmaßnahmen in ihrem Engagement eingeschränkt sehen, von Klima-Aktivist:innen in Augsburg bis zur evangelischen Pfarrerin, die Menschen in Not Kirchenasyl gewährte.

In der heute ausgezeichneten Folge „Link-Extremismus“ geht es um Journalisten des nicht-kommerziellen Radiosenders Radio Dreyeckland aus Freiburg, deren Wohnungen von der Polizei durchsucht wurden, weil sie in einem Artikel auf das Archiv des Portals linksunten.indymedia.org verlinkt hatten. Wegen eines Links wurden Fabian Kienert und Andreas Reimann in den frühen Morgenstunden von der Polizei aus dem Schlaf gerissen und ihre Wohnungen auf den Kopf gestellt. Erst im Juni 2024 wurde Fabian Kienert vom Vorwurf der Unterstützung einer verbotenen Vereinigung freigesprochen.

„Eine spannende und gelungene Story, inhaltlich stark und auch erzählerisch und technisch auf hohem Niveau“, begründet die Jury ihre Entscheidung. „Der Hörer ist ganz nah dran am szenischen Geschehen, wenn der Protagonist Fabian berichtet, wie die Hausdurchsuchung abgelaufen ist“. Der BJV versteht die Auszeichnung auch als politisches Zeichen und „als eine Art Stoppschild, das dem Staat und den Behörden einmal mehr bewusst machen soll, dass die Pressefreiheit im Grundgesetz steht und von ihnen mit sehr viel Fingerspitzengefühl behandelt werden muss.“

Journalist Fabian Kienert von Radio Dreyeckland zieht aus Anlass der Preisverleihung gegenüber netzpolitik.org Bilanz:

Die Hausdurchsuchung bei Radio Dreyeckland, dem Geschäftsführer von RDL und bei mir, hat der Pressefreiheit großen Schaden zugefügt, der auch nach dem Freispruch bestehen bleibt. Journalist:innen wurden verunsichert, in meine Privatsphäre eingedrungen, persönliche Konsequenzen für Staatsanwaltschaft und Polizei, wie auch eine adäquate Entschädigung bleiben aus. Und leider bleibt auch das ungute Gefühl, dass sich ein solcher Fall in etwas anderer Konstellation durchaus wiederholen könnte. Gerade im Hinblick auf die stetige gesellschaftliche Rechtsentwicklung bleibt die Pressefreiheit ein sehr fragiles Gut, das es zu verteidigen gilt.

Für Host und Produktion von „Systemeinstellungen“ war Serafin Dinges verantwortlich, zur Redaktion gehörten Anna Biselli, Ingo Dachwitz, Chris Köver und Sebastian Meineck. Die Titel-Musik steuerte Daniel Laufer bei, das Cover-Design Lea Binsfeld.

AfD, Nahost und True Crime

Der Bayerische Journalisten-Verband hat den bundesweiten Preis zum Internationalen Tag der Pressefreiheit in diesem Jahr zum zehnten Mal ausgeschrieben. Seit 2024 trägt der Preis in Erinnerung an den 2019 verstorbenen Journalisten Rainer Reichert aus Würzburg den Titel „Rainer-Reichert-Preis zum Tag der Pressefreiheit“.

Erstmalig hat der BJV einen Journalisten des Jahres gekürt: Den Reporter Johannes Reichart vom Bayerischen Rundfunk aus München. Reichart recherchiert seit Jahren AfD, deckte Umsturz- und Bürgerkriegsfantasien in der rechtsextremen Partei auf und wird für seine Arbeit angefeindet. 2024 wollte die AfD den Journalisten von ihrem Parteitag ausschließen und behinderte so seine Arbeit. Der Bayerische Rundfunk musste vor Gericht ziehen, damit Reichart von der Veranstaltung berichten durfte.

Ausgezeichnet in der Kategorie Print wurde die Journalistin Dunja Ramadan für ihre SPIEGEL-Reportage über den palästinensischen Journalisten Wael al-Dahdouh, der seine Arbeit auch dann nicht ruhen lässt, als seine Familie durch einen israelischen Luftangriff getötet wird. In der Kategorie TV/Video erhielt ZAPP-Autorin Konstanze Nastarowitz den Preis für ihre kritische Reportage über die mediale Macht des Anwalts und True-Crime-Podcasters Alexander Stevens. Der Sonderpreis „Junger Journalismus“ ging an Hanna Resch für ihren Artikel „Die Gefahr der Selbstzensur“ im medium magazin, in dem sie über die Sorge vor den Konsequenzen Israel-kritischer Berichterstattung im Nahostkonflikt reflektiert.

Für netzpolitik.org ist es bereits die dritte Ehrung beim Wettbewerb des BJV zum Tag der Pressefreiheit. Im Jahr 2018 erhielten Marie Bröckling, Alexander Fanta und Markus Reuter mit einer Datenrecherche zum Kommunikationsverhalten der Polizei auf Twitter den zweiten Platz. Für seine essayistische Annäherung an die Dominanz der großen Technologiekonzerne über den Journalismus erhielt Alexander Fanta 2023 ebenfalls den zweiten Preis.

Pressefreiheit: Journalist*innen weltweit in Gefahr

02.05.2025 12:37

Viele Menschen stehen auf einer Treppe und tragen Warnwesten mit dem Aufdruck "Press". Einige Warnwesten haben rote Flecken. Die Menschen halten Plakate mit Bildern von verschiedenen Journalisten hoch. — Etwa 200 Journalist*innen bezahlten für ihre Arbeit im Krieg in Gaza mit dem Leben. Auf dem Bild gedenken französische Kolleg*innen den Getöteten. – Alle Rechte vorbehalten IMAGO / Le Pictorium

Mehr als die Hälfte der Weltbevölkerung lebt in Staaten, in denen Reporter ohne Grenzen (RSF) die Lage der Pressefreiheit als „sehr ernst“ einstuft. Seit 2002, als Reporter ohne Grenzen 2002 begann, jährlich eine Rangliste der Pressefreiheit herauszugeben, war die Unabhängigkeit der Medien noch nie so bedroht. In Deutschland bleibt die Bewertung von RSF etwa gleich, dennoch wird die Nation vom 10. auf den 11. Platz verdrängt.

Für die Analyse stellt Reporter ohne Grenzen jedes Jahr Fragen an Wissenschaftler*innen, Journalist*innen und Menschenrechtsaktivist*innen aus 180 Ländern. Zusammen mit weiteren quantitativen Daten ergibt sich ein Indikator der Pressefreiheit.

200 tote Journalist*innen

Erwartet schlecht ist die Lage in Autokratien wie Russland (Platz 171), wo Medien fest in der Hand von Putin-nahen Oligarch*innen sind. Auch im Iran (Platz 176) bleibt die Lage laut RSF miserabel, so sitzen 23 Medienschaffende im Gefängnis. Schlusslichter der Rangliste bilden Nordkorea (179) und Eritrea (180). In beiden Ländern ist laut Analyse keine unabhängige Berichterstattung möglich.

Am gefährlichsten sei es für Medienschaffende in Israel (Platz 112) und den Palästinensischen Gebieten (Platz 163). In Gaza wurden etwa 200 Medienschaffende getötet. Von den Ländern, in denen kein Krieg stattfindet, ist laut RSF Mexiko (Platz 124) das gefährlichste, wo viele Journalist*innen ermordet werden.

Wirtschaftliche Abhängigkeit

In den meisten Ländern machen wirtschaftliche Herausforderungen den Redaktionen zu schaffen. Laut RSF können sich immer weniger Medien unabhängig finanzieren. So mussten in etwa jedem dritten Land Redaktionen schließen, weil sie ihre Rechnungen nicht mehr bezahlen konnten. Als Grund nennt RSF unter anderem die Monopolisierung des Werbemarkts. Die großen Tech-Unternehmen übernähmen die Gewinne aus Werbeeinnahmen, die historisch die Medien stützten.

Zudem hänge die Medienfinanzierung teils von internationaler Unterstützung ab: In der Ukraine (Platz 62) sind beispielsweise 90 Prozent der Medienhäuser auf Hilfe aus dem Ausland angewiesen. Bisher kam diese vor allem aus den USA (Platz 57). Sie steht aktuell zur Disposition. Zudem greife die US-Regierung die Presse direkt an, beispielsweise als sie der Associated Press den Zugang zum US-Präsidenten entzog.

Erfreuliche Nachrichten kommen aus Estland, das sich auf den Platz 2 hinter Spitzenreiter Norwegen vorarbeitete. In beiden Ländern sieht RSF „stabile Strukturen, eine hohe gesellschaftliche Wertschätzung unabhängiger Medien und einen starken rechtlichen Schutz der Pressefreiheit“. Auch in Polen (Platz 31) habe sich dank des Regierungswechsels weg von der PiS-Partei die Lage des Journalismus gebessert.

Transparenzbericht 1. Quartal 2025: Unsere Einnahmen und Ausgaben und die Suche nach Substanz

02.05.2025 11:19

Das Bild von Georges Seurat mit dem Titel "Badestelle in Asnières" (1884) — Der Übergang zwischen Phase zwei und drei ist mitunter etwas zäh. – Public Domain Badeplatz Asnières von Georges Seurat (1884)

Der politische Betrieb durchläuft verschiedene Phasen. Besonders schön lässt sich das bei Wahlen beobachten. In dieser Zeit verändert sich auch unsere Arbeit und Perspektive auf das politische Treiben. Eines aber bleibt dabei gleich: die Suche nach Substanz.

Phase eins ist der Wahlkampf. In dieser Phase suchen wir in textwüstigen Wahlprogrammen nach netzpolitischen Inhalten. Wir wägen ab, welche der zahlreichen Punkte-Papiere interessant sind. Und welche der vielen „Forderungen“ wir aufgreifen müssen, die zur besten Sendezeit oft nur deshalb wiedergekäut werden, um diese zu füllen. Denn das meiste davon ist keinen Pfifferling mehr wert, wenn die Wahl gelaufen ist.

Und damit zur Phase zwei: die Koalitionsverhandlungen. In dieser Phase erhoffen wir uns schon mehr Substanz. Schließlich legt die künftige Regierung hier ihre Leitlinien und Ziele der kommenden Legislaturperiode fest. Im Turbo-Modus ackern wir uns dann durch geleakte Papiere von Arbeitsgruppen. Zwischen Buzzwords, Worthülsen und Allgemeinplätzen suchen wir nach Belastbarem. Mitunter gelingt das. Und im besten Fall kann die digitale Zivilgesellschaft auf den letzten Metern noch Sätze mit politischer Sprengkraft entschärfen.

Der Übergang zu Phase drei ist etwas zäh. Spätestens aber wenn die neue Regierung im Amt ist, gewinnt auch die Arbeit des Bundestages wieder schnell an Fahrt. Gesetzesentwürfe ploppen dann auf, die das zuvor Vereinbarte manifestieren sollen. Im Fall der Merz-Regierung werden das wohl die Vorratsdatenspeicherung, jede Menge Biometrie und weitere Befugnisse für Geheimdienste sein. Oder aber die Gesetzesvorhaben widersprechen den vollmundigen Versprechungen im Koalitionsvertrag – etwa beim Daten- und Verbraucherschutz, der digitalen Teilhabe oder bei der strengeren Regulierung der Tech-Konzerne.

Dann endlich geht es um Substanz – aber auch an die Substanz. Im anstehenden Kampf für unser aller Grund- und Freiheitsrechte sind wir aber, dank eurer Unterstützung, gut gewappnet.

Die harten Zahlen: 1. Quartal 2025

Und damit zu den harten Zahlen des ersten Quartals dieses Jahres, die wir in einer neuen Grafik präsentieren. Damit veranschaulichen wir die Größenverhältnisse zwischen unseren Einnahmearten und die hauptsächliche Ausgabe eurer Spenden für die Redaktionsarbeit. Im ersten Quartal beträgt der Anteil der Einnahmen aus Spenden 95 Prozent unserer Gesamteinnahmen. Im Verhältnis zu unseren gesamten Ausgaben wenden wir für die Redaktion einen Anteil von 63 Prozent auf. Würden wir Fixkosten, wie z.B. die Büromiete, auch auf die Redaktion umlegen, wäre der prozentuale Anteil der Redaktion an den Gesamtkosten deutlich höher.

Um jeden Jahreswechsel schauen wir gebannt auf die Entwicklung der Spendeneinnahmen. Aus den Zahlen des zweitstärksten Spendenmonats, wenn auch mit deutlichen Abstand zum spendenstärksten Dezember, lesen wir zweierlei. Zum Einen wie gut es uns gelungen ist, euch am Jahresende zum Spenden zu motivieren. Vor allem weil der 31. Dezember kein Banktag ist, erreichen uns einige dieser Spenden noch in den ersten Tagen des neuen Jahres. Zum Anderen deuten wir mit aller Vorsicht einen Ausschlag der Spendeneinnahmen nach oben als eine Tendenz für neue Spender:innen und höhere Durchschnittsbeträge.

Die gute Nachricht: Die Spendeneinnahmen dieses Januars waren außerordentlich gut. Die noch bessere Nachricht: Dieser Spendenzuwachs relativierte sich nicht in den Folgemonaten. Die Spendeneinnahmen im 1. Quartal in Höhe von insgesamt 255.770 Euro liegen fast 20 Prozent über den Werten des 1. Quartals des Vorjahres. Das ist fantastisch. Herzlichen Dank dafür!

Unsere Spendeneinnahmen

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

Insgesamt belaufen sich unsere Einnahmen im ersten Quartal auf 270.285 Euro. Aus dem Verkauf im Webshop erhielten wir fast 1.200 Euro und aus der Verwertung im digitalen Pressespiegel etwas über 1.140 Euro. Wir hatten eine Erstattung aus einem Versicherungsschaden. Deshalb sind die sonstigen Erlöse mit fast 11.300 Euro deutlich über den im Budget kalkulierten 1.500 Euro. Der Zuschuss des Bundes für den Platz im Rahmen des Freiwilligendienstes liegt unverändert bei 300 Euro monatlich und somit bei 900 Euro im Quartal.

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

Bei den Ausgaben liegen die Personalkosten bei 217.331 Euro und damit rund 12.000 Euro unter den Kosten laut unserem Stellenplan. Das liegt am Tarifabschluss im öffentlichen Dienst, der in der ersten Phase ab April 2025 mit einer Gehaltserhöhung von drei Prozent greift. In der Berechnung der Personalkosten im Budget haben wir mit mit einem zweijährigen Abschluss rückwirkend zum 1. Januar 2025 und einer Tariferhöhung von fünf Prozent gerechnet. netzpolitik.org zahlt Einheitslohn und fühlt sich bei der Gehaltshöhe dem TVöD Bund (EG 13, Stufe 1) verpflichtet.

In den Sachkosten haben wir für das erste Quartal 68.110 Euro ausgegeben. Mit den Personalkosten zusammen sind das 285.440 Euro. Damit liegen die Sachkosten rund 3.800 Euro und die Gesamtausgaben rund 15.800 Euro unter unserer Kalkulation für das 1. Quartal. In den einzelnen Haushaltsposten, wie ihr sie in der Grafik dargestellt seht, ist die Verteilung der Abweichungen vom Plan nach oben und unten sehr unterschiedlich.

So hat die Redaktion für Recherche und Anschaffungen 8.150 Euro über Plan ausgegeben. Dabei handelt es sich um Kosten, die sich üblicherweise über das Jahr verteilen. Das macht jedoch nur 1,2 Prozent Mehrausgaben im Redaktionsbudget aus. Dagegen verausgabten wir im Bereich „Unvorhergesehenes“ (kalkulatorische fünf Prozent der Sachkosten) rund 142 Prozent mehr als im Budget kalkuliert. Entstanden sind diese Mehrausgaben in Höhe von 8.300 Euro vor allem aufgrund von Umbaumaßnahmen im Büro, die der Arbeitsschutz verlangte.

Alle anderen Haushaltsbereiche liegen bei den Sachkosten zum Teil deutlich unter den geplanten Ausgaben. Das ist vor allem der monatlichen Kalkulation von Ausgaben geschuldet, die jedoch nicht monatlich, sondern punktuell im Jahr auftreten. In den Bereichen Verwaltung und fixe Bürokosten gibt es erwartungsgemäß kaum Abweichungen. Diese Kosten sind gut planbar.

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

Das vorläufige Ergebnis

Wir schließen das 1. Quartal mit einem Ergebnis in Höhe von -15.160 Euro ab. Das beunruhigt uns nicht, da wir aufgrund der unterjährigen Verteilung der Spendeneinnahmen die ersten drei Quartale erwartungsgemäß mit einem Minus abschneiden. Jedoch hatten wir -82.600 Euro erwartet. Somit haben wir dank eures hohen Spendenengagements und den zuvor beschriebenen Minderausgaben derzeit 67.400 Euro weniger zu finanzieren.

Wir hoffen, dass sich diese Tendenz im Jahresverlauf bestätigt. Wie im Dankesbrief als Beilage der Spendenquittungen 2024 angekündigt, planen wir im Herbst einen Relaunch von netzpolitik.org. Für die Umsetzung brauchen wir eure Unterstützung. Nach derzeitigem Stand der Zahlen habt ihr damit bereits begonnen.

Danke für eure substanzielle Unterstützung!

Wenn ihr uns unterstützen wollt, findet ihr hier alle Möglichkeiten. Am besten ist ein Dauerauftrag. Er ermöglicht uns, langfristig zu planen:

Inhaber: netzpolitik.org e.V.
IBAN: DE62430609671149278400
BIC: GENODEM1GLS
Zweck: Spende netzpolitik.org

Wir freuen uns auch über Spenden via Paypal.

Wir sind glücklich, die besten Unterstützerinnen und Unterstützer zu haben.

Unseren Transparenzbericht mit den Zahlen für das 4. Quartal und das Gesamtjahr 2024 findet ihr hier.

Vielen Dank an euch alle!

Account gesperrt: Sie haben Pornos rezensiert, dann warf Instagram sie raus

01.05.2025 10:12

Das Team hinter „Porn Better“: Evi (links), Esti (mitte), Luna (rechts). – Foto: Daniel Moull; Logo: Instagram: Kirsche: Vecteezy; Montage: netzpolitik.org

Porn Better, ein deutsches Portal für Porno-Rezensionen, ist auf Instagram gesperrt. Eine genaue Begründung dafür will die Meta-Tochter nicht vorlegen. Nicht nur die Betreiberinnen von Porn Better sehen in der intransparenten Sperre eine Gefahr für die Pressefreiheit. Alarmiert äußern sich auch Reporter ohne Grenzen und die Gesellschaft für Freiheitsrechte.

Auf Porn Better rezensieren Freundinnen aus Leipzig besondere und feministische Pornoseiten. Die Rezensionen handeln etwa von Produktionsbedingungen, Diversität und Transparenz. Vom Land Sachsen gab es dafür im Jahr 2023 eine Förderung. Sogar die in Sachen Pornos eher penible Medienaufsicht hatte beim Jugendmedienschutz von Porn Better nichts zu beanstanden. Mehr dazu haben wir Anfang April berichtet.

Bei Instagram allerdings hat Porn Better offenbar einen Alarm ausgelöst. Der US-Konzern ließ den Account bereits vergangenen Sommer sperren. In der breiteren Öffentlichkeit wurde das bislang jedoch nicht diskutiert.

Instagram hat den Betreiberinnen zufolge keine genaue Begründung vorgelegt, welcher Post gegen welche Regel verstoßen haben soll. Die Rede ist allgemein von einem „Verstoß gegen Gemeinschaftsrichtlinien zu sexuell motivierter Kontaktaufnahme durch Erwachsene“, wie aus dem Nachrichtenwechsel mit der Plattform hervorgeht. Die erwähnten Richtlinien umfassen eine Vielzahl möglicher Verstöße und lassen sich hier nachlesen.

Bitte um Erklärung perlt einfach ab

Bereits 2023 war der Instagram-Account von Porn Better aus diesem Grund gesperrt worden, jedoch nur für kurze Zeit. Instagram schaltete den Account wieder frei, nachdem die Betreiber*innen erklärt hatten, dass sie sexuelle Bildungsarbeit leisten würden. „Wir möchten uns für dieses Missverständnis entschuldigen“, hieß es damals von Instagram in einer generischen Nachricht.

Hilfesuchend wandten sich die Betreiber*innen also auch bei der erneuten Sperre an Instagram. Sie schilderten, dass sie die Sperrung nicht verstehen. Erneut erklärten sie, dass sie sexuelle Bildungsarbeit leisten würden. Sie seien dafür sogar staatlich gefördert worden. Im Fall eines konkreten, regelwidrigen Posts würden sie gerne verstehen, inwiefern sie gegen Richtlinien verstoßen hätten.

Geholfen hatte die Anfrage dieses Mal allerdings nicht. Der Account blieb offline. In einer generischen Antwort der Plattform gab es keine Erklärung über den genauen Grund.

„Haben uns schon freiwillig selbst zensiert“

Esti ist eine der Gründerinnen von Porn Better. Im Gespräch mit netzpolitik.org erinnert sich die studierte Kulturwissenschaftlerin an den Sommer 2024, als der Instagram-Account verloren ging. Die Sperre habe bei ihr Hilfslosigkeit ausgelöst und ein Gefühl der Willkür. „Wir haben Zeit und Arbeit reingesteckt“, sagt sie. Der Account habe mehrere Tausend Follower*innen gehabt. Einen Ausweich-Account hatten die Betreiberinnen zwar zunächst angelegt, aber nicht weitergeführt.

Gegenwind waren Esti und ihre Mitstreiterinnen bereits gewohnt. Im Jahr 2023 hatte die AfD-Fraktion im sächsischen Landtag gegen die staatliche Förderung des Projekts gewettert. Die Instagram-Sperren hätten sich in diese Anfeindungen eingereiht, berichtet Esti.

Immer wieder gibt es Fälle von Overblocking sexueller Inhalte auf Instagram. Darauf hatten sich Esti und ihre Mitstreiterinnen vorbereitet. „Wir haben primär informative Posts erstellt, unter anderem auch, weil wir eine Sperrung des Accounts oder das Flaggen einzelner Beiträge umgehen wollten“, sagt sie. „Wie andere Akteur*innen aus der Szene haben wir uns schon freiwillig selbst zensiert und mehrfach gegengecheckt, ob wir den Post so machen können.“

netzpolitik.org hat sich per Presseanfrage an Meta gewandt und wollte unter anderem wissen: Wie genau hat der Account von Porn Better gegen Plattform-Richtlinien verstoßen, sodass eine dauerhafte Deaktivierung gerechtfertigt ist? Inwiefern ist die Deaktivierung des Accounts nach Auffassung von Meta mit Presse- und Informationsfreiheit vereinbar?

Eine inhaltliche Antwort gab es nicht. Zunächst reagierte eine Pressesprecherin ausweichend. Erst nach einem längeren Telefonat lieferte sie eine Reihe von schriftlichen Reaktionen. Daraus geht etwa hervor, dass Meta den Fall sorgfältig untersucht habe und die Pressefreiheit respektiere. Zitiert werden wollte die Pressestelle mit diesen Aussagen allerdings nicht. Auf nochmalige Rückfrage, was denn dagegen spreche, hieß es: Es handele sich nicht um offizielle Stellungnahmen von Meta.

Offiziell will sich Meta in diesem Fall also nicht einmal zur Frage äußern, ob der Konzern die Pressefreiheit respektiere.

Reporter ohne Grenzen: „betrifft Freiheit der Berichterstattung“

Auf Anfrage von netzpolitik.org kritisiert die internationale Organisation für Pressefreiheit, Reporter ohne Grenzen, die Intransparenz der Plattform. Eine Sprecherin schreibt:

Wenn ein feuilletonistisches Angebot wie ‚Porn Better‘, das sich an geltende Jugendschutzstandards hält, von einer Plattform wie Instagram ohne nachvollziehbare Begründung dauerhaft gesperrt wird, betrifft das auch die Freiheit der Berichterstattung. Digitale Plattformen haben enorme Macht über Sichtbarkeit und Reichweite medialer Inhalte – umso wichtiger ist es, dass Sperrentscheidungen transparent, überprüfbar und verhältnismäßig erfolgen.

Die Sprecherin verweist auf das Gesetz über digitale Dienste (DSA), wonach Plattformen begründen müssen, warum sie Inhalte entfernt haben. „Der Fall zeigt, wie intransparent Plattformen nach wie vor entscheiden“, bemängelt die NGO.

GFF: Nutzer*innen über Gründe informieren

Auch von der Gesellschaft für Freiheitsrechte gibt es Kritik. Der gemeinnützige Verein schützt Grundrechte durch strategische Gerichtsverfahren. Relevante Grundrechte im Fall von Porn Better seien sexuelle Selbstbestimmung sowie Meinungs- und Pressefreiheit, wie GFF-Rechtsanwalt Jürgen Bering erklärt. Weiter schreibt er:

Der Fall zeigt mal wieder auf, wie wichtig es ist, dass Nutzer*innen über die genauen Gründe einer Sperrung informiert werden. Nur so können sie sich dagegen zur Wehr setzen. Für Meta hingegen ist es natürlich wesentlich einfacher, keine Erklärungen zu liefern. Sonst hätte sich das Unternehmen bei der Sperre nämlich mit den Fragen nach sexueller Selbstbestimmung und wie es mit feministischen Inhalten umgeht, auseinandersetzen müssen.

Porno-Rezensentin Esti zieht für sich ein düsteres Fazit. „Im Grunde ist sexuelle Bildung auf Instagram nicht möglich und anscheinend auch nicht erwünscht“, sagt sie. „Viele Menschen, die sexuelle Bildung betreiben, geben sich Mühe, sich an die Regeln zu halten, checken doppelt und dreifach, bevor sie etwas posten, und werden dann trotzdem aus nicht nachvollziehbaren Gründen gesperrt.“ Ansprechpartner*innen im Konzern gebe es dafür nicht. „Wir hätten uns gewünscht, dass ein Mensch uns Rede und Antwort steht, was genau nun eigentlich das Problem war.“

mSpy: netzpolitik.org soll für eine Spionage-App werben

01.05.2025 09:45

Eine Marketing-Agentur versucht beharrlich, netzpolitik.org zum Werbepartner für die Spionage-App mSpy zu machen. Dabei berichten wir immer wieder kritisch über das Tool.

Eine Person, um die herum lauter Geldscheine flattern. — 50 Dollar bekäme netzpolitik.org pro verkauftem Spionage-App-Abo. – Public Domain Midjourney

Mit der Spionage-App mSpy können Privatpersonen fremde Telefone heimlich überwachen. Das gehört verboten, befanden einige Politiker*innen. Ihre Zitate dazu finden sich in einem Text auf netzpolitik.org. Diesen Text hat wohl auch die Marketing-Agentur von mSpy wahrgenommen. Denn knapp einen Monat nach der Veröffentlichung bekommen wir Post von einer Instanz, die mit „Andy“ unterschreibt und angeblich für BizzOffers arbeitet, eine Agentur, die mSpy-Werbung vermittelt.

In der ersten Mail schreibt „Andy“: „Ihr Artikel hat mich wirklich beeindruckt. Beeindruckende Qualität“. In der zweiten Mail heißt es: „Ihr Artikel ist wirklich beeindruckend – ein wertvoller Einblick!“ Und in der dritten: „Ihr Artikel ist mir aufgefallen – durchdacht und gut strukturiert!“ Mit der vierten Mail gibt „Andy“ scheinbar auf: „Ich wollte mich nur ein letztes Mal melden – es scheint, dass dies nicht der richtige Zeitpunkt ist.“

„Andy“ möchte eine Partnerschaft aufbauen, „von der wir beide profitieren.“ Dafür stelle BizzOffers auch „gerne Promo-Codes oder speziellen Support zur Verfügung“. „Wenn es nicht ganz passt, würde ich mich freuen, wenn Sie sich Gedanken darüber machen, wie man es relevanter machen könnte“, schreibt „Andy“.

Automatisiertes E-Mail-Bombardement

Das E-Mail-Bombardement gibt einen interessanten Einblick in die Marketingpraxis von mSpy. Denn offensichtlich haben wir es mit einem automatisierten Mailing zu tun. Hätte ein Mensch gelesen, was wir über mSpy schreiben, wäre klar geworden: Wir werden sicher nicht zu Werbepartnern einer App, die wir in mittlerweile sechs Texten hart kritisieren. Die App wird beispielsweise häufig zur illegalen Überwachung von Partner*innen eingesetzt – und der Kundendienst hilft dabei.

Es ist anzunehmen, dass BizzOffers automatisiert Beiträge sucht, in denen mSpy erwähnt wird und dann ebenso automatisiert eine Serie von E-Mails an die angegebene Kontaktadresse abfeuert. Das legen auch die Zeitpunkte nahe, zu denen wir die Nachrichten erhalten haben. Die zweite folgte auf die Minute genau zwei Tage nach der ersten, die dritte vier Tage darauf, die vierte wieder zwei Tage später.

Auch wenn wir sicher nicht für mSpy werben werden, für die Marketingpraktiken zu der App interessieren wir uns sehr wohl. Deshalb haben wir „Andy“ auf die letzte Mail geantwortet. „Vielen Dank für das Angebot. Wie könnte denn eine Partnerschaft konkret aussehen?“ Drei Tage später die Antwort: „Die Zusammenarbeit erfolgt grundsätzlich auf Affiliate-Basis. Sie können beispielsweise einen Artikel mit einem Link veröffentlichen und für jeden Verkauf unseres Produkts über diesen Link zahlen wir Ihnen eine Provision. Die Provision kann entweder ein Prozentsatz des Verkaufs oder ein festerer Betrag sein.“

Das Geschäft mit Affiliate-Links

Wie das aussehen kann, was „Andy“ von uns will, haben wir am Beispiel der Leipziger Zeitung untersucht. Auf deren Website findet sich ein angeblich objektiver Produkttest, der mSpy in allen Kategorien mit fünf von fünf Sternen bewertet. Oben drüber steht Anzeige. Auf mSpy wird mit sogenannten Affiliate-Links verwiesen. Klickt jemand darauf und bestellt ein mSpy-Abo, erhält die Leipziger Zeitung eine Provision. Wie viel üblicherweise beim Affiliate-Geschäft abfällt, schreibt BizzOffers: Demnach bekommen die „Partner*innen“ in diesem Werbeprogramm eine Umsatzbeteiligung von 40 Prozent oder 20 Dollar pro Verkauf.

Wir reagieren auf „Andys“ Mail mit einem Fragenkatalog. Die Antwort kommt noch am gleichen Tag. „Andy“ bietet uns sogar 50 Dollar Provision pro Verkauf, wenn wir mSpy bewerben. Außerdem sei es auch möglich, Partnerschaften mit Eyezy, Parentaler, Scannero, Detectico, Spynger, Phonsee und Moniterro einzugehen – alles Produkte, die sich fürs heimliche Überwachen eignen. Eyezy, Scannero, Detectico und Spynger werden anscheinend auch vom gleichen Kundendienst wie mSpy betreut, das zeigen geleakte Kommunikationsvorgänge.

Auszahlen würde uns „Andy“ angeblich via PayPal, Payoneer oder Überweisung, dafür müssten wir aber mindestens 100 Euro pro Woche oder 500 Euro pro Monat mit den Affiliate-Links verdienen. Mit Rabattcoupons könnten wir unseren Lesern mSpy auch billiger anbieten und so unseren Umsatz erhöhen. BizzOffers sei auch bereit, Banner vorzubereiten oder sogar Texte zu erstellen, in denen wir die Werbelinks veröffentlichen können. „Nur in diesem Fall kann es einige Zeit dauern, da unsere Content-Abteilung sehr beschäftigt ist“, schreibt „Andy“.

„Die Verantwortung liegt ausschließlich bei den Benutzern“

Auf die Frage, ob wir Ärger riskieren würden, weil mSpy ja schließlich nicht selten zur heimlichen Überwachung von Partner*innen, also illegal, genutzt wird, werden wir beruhigt: „Nein, eine gesetzliche Haftung kann nicht bestehen, da unsere Produkte absolut legal sind. Wenn Benutzer sie für illegale oder unethische Zwecke verwenden, liegt die Verantwortung hierfür ausschließlich bei den Benutzern.“

Die E-Mail-Adresse, von der „Andy“ uns schreibt, verweist nicht auf die offizielle BizzOffers-Website, sondern auf partner-bizz.com. Es ist somit theoretisch möglich, dass „Andy“ überhaupt nicht für BizzOffers arbeitet. Allerdings wird in den Schreiben ja genau das Anliegen von BizzOffers vertreten – Werbepartner für mSpy zu gewinnen.

Auf eine Nachfrage über den Telegram-Kanal von BizzOffers, @bizzaff, bestätigt das Unternehmen, Nachrichten über @partner-bizz.com-Adressen zu versenden. „Andy“ schreibt dazu: „BizzPartners ist unsere E-Mail-Domäne. Wir mussten es verwenden, weil Google das Wort ‚Angebote‘ in BizzOffers möglicherweise als Spam oder etwas Ähnliches wahrnimmt.“

BizzOffers blockt, aber „Andy“ antwortet

Dazu passt, dass die E-Mails von partner-bizz.com laut E-Mail-Header von Google gehostet werden, anders als die von BizzOffers, die auf das deutsche Unternehmen Contabo GmbH deuten. So werden die partner-bizz.com-Mails vermutlich seltener Opfer des Google-Spamfilters.

Eine offizielle Presseanfrage an BizzOffers blieb unbeantwortet. Auch Google und Contabo haben nicht auf Fragen von netzpolitik.org reagiert.

Laut „Andy“ vertreibt BizzOffers die Werbelinks für die Spionage-Apps exklusiv. Bei der Recherche ist jedoch eine Reihe weiterer Seiten aufgetaucht. Sie alle sehen der BizzOffers-Seite sehr ähnlich und vermarkten augenscheinlich ebenfalls Spyware-Links. „Andy“ schreibt dazu: „Ehrlich gesagt sehe ich diese Sites, die Sie gesendet haben, zum ersten Mal. Ich habe meine Kollegen gefragt, aber sie hatten sie auch noch nicht gesehen. Ich rate Ihnen davon ab, sich bei ihnen anzumelden.“

Unternehmen nicht auffindbar

Die Website von BizzOffers wird betrieben von einer Firma namens IPL GROUP PTY LTD. Angeblicher Firmensitz: Ein Haus am Rand einer Stadt nördlich von Sydney. „Andy“ behauptet aber, in Kyjiw in der Ukraine zu arbeiten. Die IPL GROUP PTY LTD. wird in Apples App-Store als Anbieter der App „mSpy: Find my Friends Phone“ genannt.

Nach unseren Recherchen ist es äußerst undurchsichtig, welches Unternehmen wirklich hinter mSpy steht. Womöglich wird auch mit der IPL GROUP PTY nur eine falsche Fährte gelegt, denn geleakte Daten aus dem mSpy-Kundendienst legen nahe, dass mSpy zu Brainstack gehören könnte, einem ukrainischen Unternehmen.

Gerichtshof für Menschenrechte: Serbien soll Schallwaffe stecken lassen

30.04.2025 18:40

Menschenmenge geteilt — Gegen 19:11 Uhr teilte sich die Menschenmenge der Demonstrierenden auf einer Länge von mehreren Hundert Metern. – Screenshot / Überwachungskamera

Der Europäische Gerichtshof für Menschenrechte (EGMR) hat am 29. April 2025 dem Antrag auf eine einsteilige Anordnung gegen den mutmaßlichen Einsatz von Schallwaffen stattgegeben. Fast 50 vom Einsatz betroffene Bürger:innen aus Serbien hatten sich an das Gericht gewandt, nachdem bei der Großdemonstration am 15. März eine unbekannte Waffe gegen die Protestierenden eingesetzt wurde.

Die Beschwerdeführenden hatten laut der Pressemitteilung des Gerichts beantragt, dass der Gerichtshof eine vorläufige Maßnahme erlässt. Demnach sollen die serbischen Behörden erstens den Einsatz von Schallwaffen unter solchen Umständen verhindern. Zweitens verlangten die Beschwerdeführenden, dass niemand strafrechtlich verfolgt werden soll, der sich an der öffentlichen Debatte über den Einsatz einer Schallwaffe am 15. März 2025 beteiligt hat. Und drittens soll der serbische Staat eine wirksame Untersuchung der Vorwürfe durchführen, so die Beschwerde.

3.032 Zeugenaussagen zur Schallwaffe von Belgrad ausgewertet

Zumindest in ersterem Punkt konnten sich die Beschwerdeführenden vollumfänglich durchsetzen: Der Gerichtshof weist mit seiner Entscheidung die serbische Regierung darauf hin, dass sie jeglichen Einsatz von Schallgeräten zur Kontrolle von Menschenmengen sowohl von staatlichen wie nicht-staatlichen Akteuren in Zukunft verhindern solle. Das Gericht stellte zudem fest, dass der Einsatz von solchen Waffen zur Kontrolle von Menschenmengen nach serbischem Recht illegal ist.

Die beiden anderen Anträge der Beschwerde lehnte das Gericht ab. Es macht in der Entscheidung zudem klar, dass es sich um keine Stellungnahme handle, ob solche Waffen am 15. März 2025 eingesetzt worden seien. Die Beschwerdeführenden haben nun einen Monat Zeit, um eine Klage gemäß Artikel 34 (Recht auf Individualbeschwerde) der Konvention einzureichen.

Die serbische Zivilgesellschaft hatte Anfang April eine Auswertung von mehr als 3.000 Aussagen von Zeug:innen des Schallwaffen-Vorfalls in Belgrad vorgelegt. Der genaue Hergang des Vorfalls bei einer friedlichen Großdemonstration der Demokratiebewegung am 15. März ist weiterhin unklar. Die serbische Regierung bestreitet den Einsatz von Schallwaffen oder einer Vortex-Kanone vehement. Präsident Aleksandar Vučić hat gar sein politisches Schicksal mit der Frage verbunden.

Ein von außen kommender Reiz

Klar ist bislang nur: Gegen 19:11 Uhr liefen am 15. März Menschen auf ungewöhnliche Art und Weise auf einer Länge mehrerer Hundert Meter und entlang einer geraden Linie panisch auseinander. Zahlreiche Hinweise von unterschiedlichen Recherchen deuten inzwischen auf eine Koordination verschiedener Störaktionen und Provokationen zu diesem Zeitpunkt hin, bei denen beispielsweise auch Feuerwerkskörper und andere Gegenstände in die Demonstration geworfen wurden.

Teil dieser koordinierten Aktion dürfte aber auch der Einsatz einer Schallwaffe oder einer Vortex-Kanone gewesen sein, denn die Reaktion der Menschenmenge ist nach allen bisherigen Recherchen mit den anderen Störaktionen alleine nicht zu erklären. Der britische Sozialpsychologie-Professor Clifford Stott ist Experte für Massenpsychologie und Polizeieinsätze. Er geht gegenüber dem serbischen Factchecking-Medium „Istinomer“ davon aus, dass die Bewegung der Menschen „stark auf einen von außen kommenden Reiz und nicht auf interne psychologische Prozesse“ hindeute.

Neben zivilgesellschaftlichen Gruppen und Initiativen aus Serbien sowie einer internationalen Recherchegruppe arbeiten auch serbische Medien wie das Nachrichtenmagazin „Vreme“ an einer Rekonstruktion der Ereignisse (€). Die internationale Recherchegruppe, zu der auch netzpolitik.org gehört, hat einen vorläufigen Zwischenbericht (PDF) mit möglichen Erklärungen veröffentlicht.

Banner mit Text: Koalitionsvertrag so: Überwachung und Rückschritt Ich so: Spende an netzpolitik.org

Interaktive Karte

Wir haben im Nachgang der Ereignisse zusammen mit Hackern, Aktivisten, Soundtechnikern und Journalisten aus Deutschland und Serbien eine Recherchegruppe gebildet, die sich International Research Group nennt und sich an der Aufklärung des Vorfalls beteiligt.

Diese Gruppe hat eine interaktive Karte der Ereignisse erstellt, die fortlaufend erweitert wird. Die Karte trägt verfügbares Material zusammen und soll helfen, die Vorgänge am 15. März in Belgrad zu rekonstruieren. Die Karte ist Work-in-Progress, sie enthält auch nicht-verifiziertes Material. Sie ist deswegen mit Vorsicht zu genießen und wird nicht alleine von netzpolitik.org befüllt.

Rot = Ereignisse. Blau = Kameraaufnahmen des Vorfalls. Gelb = Verdächtiges / Auffälliges / Hinweise. Grün = Zusätzliches Material

Studie: Druck und Überwachung per Arbeits-App

30.04.2025 17:15

Ein Handwerker steht neben einem Transport-Fahrzeug. Er schaut auf sein Smartphone und lacht. — So glücklich wie der Mann auf diesem Symbolbild sind nicht alle Außendienstler*innen mit dem „algorithmischen Management“ ihres Betriebs. – Alle Rechte vorbehalten IMAGO / ingimage

Bei Mitarbeiter*innen im Außendienst wird heute oftmals Software eingesetzt, um deren Arbeit zu steuern. Durch das sogenannte „algorithmische Management“ werden diese Beschäftigten gläsern, stellt eine neue Studie fest. Die eingesetzten Smartphone-Apps „optimieren“ Tagespläne, lassen kleinteilige Bewertungen der Arbeitsleistung zu oder überwachen den Standort der Beschäftigten mit durchgängiger GPS-Ortung. Die eingesetzten Programme versprechen erhöhte Produktivität, ermöglichen gleichzeitig Micromanaging – und erhöhen den Druck auf Beschäftigte.

Mit solcher Software beschäftigt sich Überwachungsforscher Wolfie Christl in der kürzlich erschienenen Studie „Algorithmisches Management via Smartphone“ (PDF), die Cracked Labs im Auftrag der Arbeiterkammer Wien durchführte. Dafür hat Christl unter anderem Betriebsrät*innen von Firmen befragt und eingesetzte Programme wie „Dynamics 365 Field Service“ von Microsoft und vergleichbare Produkte von SAP, Salesforce und Oracle analysiert.

Micromanaging und Überwachung

Angeschaut hat sich Christl unter anderem zwei österreichische Firmen, die in der mobilen Anlagenwartung tätig sind. Deren Beschäftigte bekommen laut Studie kleinteilige Arbeitsschritte in einer App zugewiesen, die den Arbeitstag bis auf die Sekunde protokolliert. Die Betriebsrät*innen der Firmen berichten Christl von regelmäßigen Gesprächen zwischen Führungskräften und Monteur*innen über die Dauer einzelner Arbeitsschritte. Damit wälzten Führungskräfte den Druck auf ihre Mitarbeiter*innen ab, den durch die Software automatisiert berechnete Kennzahlen ausüben.

Im Gegensatz dazu stehen die Aussagen eines Betriebsrats eines anderen Unternehmens, das in der Gebäudetechnik aktiv ist. Dort nehmen die Angestellten die eingesetzte App „weitgehend positiv“ wahr. Die Monteur*innen erhalten nur grobe zeitliche Vorgaben für Aufträge, die nicht digital dokumentiert werden. Durch die Optimierung der Arbeitszeiten komme es jedoch zu weniger gemeinsamen Tagen im Büro, wodurch das Zusammengehörigkeitsgefühl und die Arbeit des Betriebsrats leide. Gegenüber Christl wünscht sich der Betriebsrat deshalb wieder regelmäßige Termine, „zu denen die Beschäftigten im Außendienst im Rahmen ihrer bezahlten Arbeitszeit im Büro zusammentreffen“.

Auch in der mobilen Pflege kommt laut der Studie „algorithmisches Management“ zum Einsatz. Die Pfleger*innen unterliegen strengen Zeitvorgaben, woran die eingesetzte Software zum Teil sogar mit einem Warnton erinnert. Sie berichten von einen Rechtfertigungsdruck, sollten sie vorgegebene Zeiten überschreiten. Die Software plane zudem unrealistische Touren, sei unflexibel, erhöhe das Überwachungsgefühl, heißt es weiter. Christl mahnt in der Studie, dass „ausgerechnet im öffentlichen Einflussbereich eine rigidere Form der digitalen Kontrolle mit engen Zeitvorgaben praktiziert wird als anderswo“.

Digitale Starrheit

Die Befragten nehmen die Apps laut der Studie oft als starr und unflexibel wahr. Christl kritisiert hier die technische Umsetzung: „Eine kleinteilige digitale Strukturierung, Taktung, Steuerung und Kontrolle von Arbeitstätigkeiten schränkt Handlungs- und Ermessensspielräume ein.“ Dies führe „im schlimmsten Fall zu einer algorithmischen Willkürherrschaft, in der Beschäftigte bei zu engen Zeitvorgaben die starren Anforderungen eines wirklichkeitsfremden und dysfunktionalen Systems erfüllen müssen.“

Die Betriebe erinnert Christl in der Studie daran, dass Kennzahlen nie neutral oder objektiv seien. Wenn sich Führungskräfte zu sehr an den Zahlen orientieren, könne dies schlechte Auswirkungen auf zum Beispiel die Qualität der Arbeit haben. Auch auf permanente Neuoptimierung soll man verzichten, damit sich der Arbeitstag für Beschäftigte nicht willkürlich verändert. Eine Überwachung führe zudem zu Misstrauen und Generalverdacht im Betrieb.

Gegen Deepfakes: US-Kongress verabschiedet Take It Down Act

30.04.2025 17:01

Ein US-Gesetz gegen sexualisierte Deepfakes ist beinahe endgültig unter Dach und Fach. Kritiker:innen fürchten um die Meinungsfreiheit im Internet.

Haben sich üblicherweise nicht viel zu sagen – außer, es geht um bildbasierte Gewalt im Netz: Die Senator:innen Ted Cruz (links im Bild) und Amy Klobuchar (rechts). – Alle Rechte vorbehalten IMAGO / Newscom World

Mit dem Take It Down Act erhalten die USA ein Gesetz, das sich gegen die nicht-einvernehmliche Verbreitung sexualisierter Bilder im Netz richtet. Am Montag hat das Repräsentantenhaus den Entwurf mit nur zwei Gegenstimmen angenommen, der Senat hat ihn bereits im Februar einstimmig beschlossen. Die noch fehlende Unterschrift des Präsidenten Donald Trump gilt als sicher, seine Zustimmung hatte er mehrfach signalisiert.

Neben „authentischen“ Aufnahmen erfasst das Gesetz auch Computer-generierte Bilder, die etwa mit Hilfe sogenannter Künstlicher Intelligenz erstellt wurden. Auch die Drohung, solche Deepfakes ins Netz zu stellen, steht künftig unter Strafe. Online-Dienste müssen die Bilder binnen zwei Tagen entfernen, wenn sie davon Kenntnis erlangen. Sonst können sie von der Handelsbehörde Federal Trade Commission (FTC) wegen unfairer Geschäftspraktiken zur Verantwortung gezogen werden.

Bildbasierte Gewalt nimmt zu

In den vergangenen Jahren wurde bildbasierte, sexualisierte Gewalt zunehmend zum Problem, betroffen sind vor allem Frauen. Mit weithin verfügbaren Tools lassen sich mit wenigen Klicks beliebige Gesichter auf beliebige Körper in beliebigen Videoclips einfügen.

Indes muss es sich gar nicht um manipulierte Videos oder Bilder handeln, um den Betroffenen das Leben zur Hölle zu machen: Ohne Einverständnis veröffentlichte Sexvideos aus Beziehungen sind schon lange keine Einzelfälle mehr, manchen Studien zufolge soll inzwischen jede fünfte Frau im Alter zwischen 18 und 45 Jahren einschlägige Erfahrungen gemacht haben.

Entsprechend genießt der Take It Down Act für US-Verhältnisse bemerkenswert breite Unterstützung. Eingebracht hatten ihn im Vorjahr der ultrakonservative Senator Ted Cruz aus Texas gemeinsam mit seiner liberalen Kollegin Amy Klobuchar aus Minnesota. Abseits des Kongresses hatte unter anderem die Präsidentengattin Melania Trump dafür geworben und nicht zuletzt ihr Ehemann: Der hatte im März bei einer Rede vor Abgeordneten in Aussicht gestellt, von dem Gesetz profitieren zu wollen: „Niemand wird online schlechter behandelt als ich. Niemand“, sagte Trump.

Schwammige Formulierungen

Genau das bereitet Kritiker:innen Sorgen: Zum einen sei im Gesetz nicht ausreichend definiert, was unter „intimen oder sexualisierten Inhalten“ zu verstehen sei, kritisiert die Digital-NGO Electronic Frontier Foundation (EFF). Dies sei geradezu eine Einladung zum Missbrauch. Zudem entstehe für die Online-Anbieter der Anreiz, im Zweifel lieber zu viel als zu wenig zu löschen – sogenanntes Overblocking, potenziell verschärft durch automatisierte Uploadfilter, so die Grundrechteorganisation.

Ähnlich argumentiert auch das Center for Democracy & Technology (CDT) und fürchtet zudem um Ende-zu-Ende-Verschlüsselung. Zwar sei etwa E-Mail von dem Gesetz nicht erfasst, dafür aber Messenger oder Cloud-Dienste. Das könnte die Anbieter auf Kollisionskurs mit den gesetzlichen Vorgaben bringen: Auf der einen Seite müssten sie dafür sorgen, dass einschlägige Inhalte von ihren Diensten verschwinden, auf der anderen Seite könnten sie in die Inhalte technisch bedingt gar nicht hineinschauen. Auch könnte die politische Einflussnahme auf die FTC-Aufsicht zum Problem werden, warnt die NGO Public Knowledge.

Zugleich hat das Gesetz, neben fast allen Abgeordneten, auch einige prominente Fürsprecher:innen aus der Zivilgesellschaft: „Ich bin froh, dass wir endlich etwas erreichen konnten und hoffe, dass dies erst der Anfang ist“, sagte etwa der Jurist Tim Wu, der unter anderem das Konzept der Netzneutralität prägte. Auch die linke Kartellrechtsexpertin Zephyr Teachout begrüßte das Gesetz und zeigte sich zuversichtlich, dass es rechtlichen Auseinandersetzungen standhalten werde. Mit an Bord sind zudem praktisch alle betroffenen Anbieter, darunter Meta, Google und X, sowie zahlreiche Opferorganisationen oder das Electronic Privacy Information Center (EPIC).

Ungarns Pride-Verbot: Abgeordnete machen Druck auf EU-Kommission

30.04.2025 14:18

Eine Menschenmenge mit Regenbogenfahnen auf der Straße — Budapest-Pride im Jahr 2023: Damals noch nicht verboten. – Alle Rechte vorbehalten IMAGO/ Balint Szentgallay

Seit Ungarn Mitte März Pride-Demonstrationen verboten und den Einsatz von Gesichtserkennung gegen Demonstrierende erlaubt hat, wächst der Druck auf die EU-Kommission. Denn Ministerpräsident Viktor Orbán stellt damit auch die wegweisenden neuen Regeln der KI-Verordnung (AI Act) auf die Probe. Beobachter:innen hatten schon während der Verhandlungen über die Verordnung vor gefährlichen Schlupflöchern beim Einsatz von Gesichtserkennung gewarnt.

Nun erhöhen EU-Abgeordnete weiter den Druck. Mehr als 60 Parlamentarier:innen fordern die Kommission auf, zu erklären, wie sie mit den möglichen Verstößen des zunehmend autoritären EU-Mitglieds Ungarn umgehen will, darunter etwa die deutsche Svenja Hahn (FDP/Renew) und Brando Benifei (S&D). Der italienische Sozialdemokrat war einer der Chefverhandler des EU-Parlaments für die KI-Verordnung.

Pride als Zielscheibe

Ungarn hatte Mitte März Versammlungen verboten, auf denen geschlechtliche Vielfalt und Queerness gezeigt werden. Wer sie organisiert oder auch nur daran teilnimmt, begeht seitdem eine Ordnungswidrigkeit. Um Demonstrant:innen zu identifizieren, soll die Polizei sogar Gesichtserkennung einsetzen.

Orbáns Regierung rechtfertigt das Gesetz mit dem Schutz von Kindern vor angeblicher Beeinflussung. Es erweitert das umstrittene „Kinderschutzgesetz“, das bereits Bücher und Infomaterial aus Schulen und Buchhandlungen verbannen soll. Menschenrechtsorganisationen benennen das als Angriff auf die Rechte von queeren und trans* Menschen – ein Vorgehen, das in der EU unzulässig ist.

Die Abgeordneten wollen nun wissen, ob Ungarn mit dem Pride-Gesetz gegen das neue Verbot von Echtzeit-Gesichtserkennung verstößt, wie es die KI-Verordnung beschreibt. Die Regelung greift seit Februar diesen Jahres. Geschieht die Gesichtserkennung nachträglich, kann das laut KI-Verordnung erlaubt sein, allerdings nur bei potentiellen Straftaten. Der Einsatz wäre dann als „hoch-riskant“ eingestuft. In diesem Fall müsste Ungarn jedoch vorab prüfen, wie sich die Gesichtserkennung auf Grundrechte auswirkt.

Bei Ordnungswidrigkeiten könnte die KI-Verordnung wiederum keine Rechtsgrundlage für Gesichtserkennung liefern, wie jüngst auch Ella Jakubowska von EDRi gegenüber netzpolitik.org betonte. EDRi ist der Dachverband von Organisationen für digitale Freiheitsrechte

Greift die Kommission ein?

Die Abgeordneten wollen in ihrem Brief wissen, was passieren würde, „wenn die für die Aufsicht zuständigen nationalen Behörden nicht in der Lage oder nicht willens sind“, unabhängig zu handeln. Würde die Kommission in so einem Fall Maßnahmen ergreifen, um die Rechte ungarischer Bürger:innen zu schützen?

Laut KI-Verordnung sind nationale Behörden dafür zuständig, zu überprüfen, ob die Regeln eingehalten werden. Sie können bei Verstößen Strafen in Millionenhöhe verhängen. Doch in vielen Ländern sind die Strukturen noch im Aufbau. Orbáns Regierung hat im Februar zwar einen KI-Beauftragten ernannt; er wird für den Aufbau der Aufsichtsbehörde in Ungarn zuständig sein. Kritiker:innen bezweifeln jedoch, dass eine von Orbán kontrollierte Behörde dessen Macht eingrenzen wird.

Gesichtserkennung in Ungarn verstößt gegen EU-Gesetze

Menschenrechte und Datenschutz in Gefahr

Die Abgeordnete Svenja Hahn hatte die Ausnahmen für nachträgliche biometrische Identifizierung bereits bei der Verabschiedung des KI-Regelwerks als „Bedrohung für Bürgerrechte“ bezeichnet. Die Hürden seien niedrig. Eine erste Identifizierung müsse nicht autorisiert werden, und es gebe keine Beschränkungen bei der Schwere der Straftaten. Trotz dieser großen Schlupflöcher zeichnet sich ab, dass Ungarn die Spielräume der KI-Verordnung überschritten hat.

Ein weiteres Problem: Die Verbote aus der KI-Verordnung greifen zwar bereits. Andere Teile treten aber erst 2026 in Kraft, so auch die Auflagen für als hoch-riskant eingestufte Systeme. Bis dahin gilt eine andere EU-Richtlinie, die den Einsatz sensibler biometrischer Daten auf zwingend notwendige Fälle beschränkt. Auch in diesem Fall sind Ordnungswidrigkeiten nicht abgedeckt.

Ella Jakubowska von EDRi weist außerdem darauf hin, dass Ungarn auch die EU-Menschenrechts- und Datenschutzgesetze beachten müsse. Auch unabhängig von der KI-Verordnung greift Gesichtserkennung zur Identifizierung von Pride-Teilnehmer:innen beispielsweise tief in das das Recht auf Datenschutz oder Nichtdiskriminerung ein.

Die EU-Kommission hat nun sechs Wochen Zeit, die Fragen der Abgeordneten zu beantworten.

Addressee: the European Commission

Subject: Protection of Hungarian citizens‘ fundamental rights in the context of biometric identification and surveillance at public gatherings

Recent reports suggest that a new Hungarian law may allow the use of facial recognition technology to identify individuals participating in public demonstrations banned by the government [1].

Can the Commission assess whether such use complies with the AI Act’s prohibition on real-time biometric identification [2], applying all legal safeguards and criteria —and confirm that post-remote identification cannot be used to bypass Article 5 hat has already entered into force? [3]

Does the use of remote biometric identification in this situation bring additional risks to the fundamental rights and freedoms in the Charter, such as freedom of assembly and association, as enshrined in Article 12 of the Charter?

If the national authorities responsible for oversight are unable or unwilling to act “independently, impartially and without bias”, as required by the AI Act, will the Commission commit to taking action—including infringement proceedings if needed—to ensure that Hungarian citizens are effectively protected under the AI Act and the Charter of Fundamental Rights?[4]

[1] https://apnews.com/article/hungary-pride-ban-orban-lgbtq-rights-e7a0318b09b902abfc306e3e975b52df

[2] Article 5(1)(c) and 5(2) AI Act

[3] Article 26(10) AI Act

[4] As required by Article 70 AI Act

Signatories:

Kim van Sparrentak (Greens/EFA)
Brando Benefei (S&D)
Svenja Hahn (Renew)
Birgit Sippel (S&D)
Leila Chaibi (The Left)
Maria Walsh (EPP)
Marketa Gregorova (Greens/EFA)
Pernando Barrena Arza (the Left)
Tineke Strik (Greens/EFA)
Sophie Wilmes (Renew)
Sebastian Everding (the Left)
Jan-Christoph Oetjen (Renew)
Klara Dobrev (S&D)
Kai Tegethoff (Greens/EFA)
Fabienne Keller (Renew)
Alessandro Zan (S&D)
Nela Riehl (Greens/EFA)
Saskia Bricmont (Greens/EFA)
Raquel Garcia (Renew)
Damian Boeselager (Greens/EFA)
Evin Incir (S&D)
Anna Strolenberg (Greens/EFA)
Olivier Chastel (Renew)
Reinier van Lanschot (Greens/EFA)
Dainius Zalimas (Renew)
Thomas Waitz (Greens/EFA)
Daniel Freund (Greens/EFA)
Kira Peter-Hansen (Greens/EFA)
Marc Angel (S&D)
Rasmus Nordqvist (Greens/EFA)
Villy Søvndal (Greens/EFA)
Hanna Gedin (The Left)
Rasmus Andresen (Greens/EFA_
Özlem Demirel (The Left)
Jaume Asens Llodra (Greens/EFA)
Catarina Vieira (Greens/EFA)
Alexandra Geese (Greens/EFA)
Maria Ohisalo (Greens/EFA)
Rudi Kennes (The Left)
Lena Schilling (Greens/EFA)
Mounir Satouri (Greens/EFA)
Benoit Cassart (Renew)
Melissa Camara (Greens/EFA)
Alice Kuhnke (Greens/EFA)
Christina Guarda (geen slots) (Greens/EFA)
Elio Di Rupo (S&D)
Sara Matthieu (Greens/EFA)
Joanna Scheuring-Wielgus (S&D)
Gordan Bosanac (Greens/EFA)
Petras Auštrevičius (Renew)
Katrin Langensiepen (Greens/EFA)
Anja Hazekamp (The Left)
David Cormand (Greens/EFA)
Irena Joveva (Renew)
Per Clausen (The Left)
Murielle Laurent (S&D)
Benedetta Scuderi (Greens/EFA)
Lucia Yar (Renew)
Marco Tarquinio (S&D)
Majdouline Sbaï (Greens/EFA)
Diana Riba I giner (Greens/EFA)
Elisabeth Grossmann (S&D)

EU-Regeln für KI-Modelle: Wenn meine KI keinen Atomkrieg startet, darf sie dann rassistisch sein?

30.04.2025 11:32

Eine Atombombenexplosion im Ozean — Träumen Sprachmodelle von Atombomben? – Public Domain Wikimedia Commons

In Brüssel entsteht gerade ein Text, der genaue Regeln für große KI-Modelle wie GPT-4 festlegen soll. Da wundert man sich ein wenig: Moment, hat die EU nicht schon ein KI-Gesetz? Und ja, richtig, das ist die KI-Verordnung, die nach langem Hin und Her seit vergangenem Sommer gilt.

Zu KI-Modellen wie GPT-4 enthält dieses Gesetz jedoch nur vage Regeln. Unternehmen müssen etwa angeben, mit welchen Daten sie ihre Modelle trainiert haben oder „bewerten“, welche systemischen Risiken ihre Modelle hervorrufen könnten. Wie genau das aussehen soll?

Eine gute Frage, auf die momentan zwei verschiedene Antworten entstehen. Einerseits arbeiten gerade die europäischen Standardisierungsorganisationen CEN und CENELEC an einer technischen Norm. Das ist allerdings ein sehr aufwendiger Prozess, der sich wahrscheinlich noch eine ganze Weile hinziehen wird.

Andererseits soll deshalb in einigen Bereichen ein Praxisleitfaden als Übergangslösung herhalten. Den wiederum erarbeiten derzeit hunderte Fachleute unter der Schirmherrschaft des Europäischen Amtes für künstliche Intelligenz, einem neu eingerichteten EU-Kompetenzzentrum für KI.

Sonderstellung für große Unternehmen

Eine Sache ist aber klar: An beiden Verhandlungstischen sitzen eine Menge Vertreter:innen der großen Tech-Konzerne. Das beobachtet das Corporate Europe Observatory seit einiger Zeit kritisch. Die Lobbyist:innen hätten bei den Normen etwa ein Interesse daran, dass die EU eher schwache internationale Normen übernimmt, statt sich selbst neue auszudenken, so die Befürchtung.

Auch beim Praxisleitfaden gibt es für die Industrie einiges zu gewinnen. Die Regeln des Leitfadens sind zwar nur freiwillig. Wenn sich ein Unternehmen nicht an sie hält, muss die EU-Kommission jedoch bewerten, ob es die Regeln der KI-Verordnung angemessen durchsetzt – und wird sich dabei wahrscheinlich am Praxisleitfaden orientieren.

Die Arbeit am Leitfaden läuft seit Ende September. Die Kritik setzte schon davor ein: Vertreter:innen der Zivilgesellschaft fürchteten zunächst, dass die Kommission die KI-Unternehmen ihre Regeln einfach selbst schreiben lassen würde. Die überarbeitete daraufhin den Prozess. Der ist sehr komplex geraten, mit Plenarsitzungen, Arbeitsgruppen und kurzen Antwortfristen.

Am Anfang wollten sich mehr als 1.000 Personen beteiligen. Das führte in der Praxis dazu, dass Redezeiten oft sehr kurz waren oder man einfach nur per Emoji im Chat mitdiskutieren konnte, wie das Corporate Europe Observatory und LobbyControl in einem heute erschienen Bericht schildern. Der beschreibt, wie die Vertreter:innen von Big Tech-Unternehmen bevorzugten Zugang zum Prozess bekommen haben.

Unternehmen müssen Risiken mindern

Das bisherige Ergebnis dieses Prozesses ist ein inzwischen dritter Entwurf für den Leitfaden. Und an diesem gibt es, trotz der monatelangen Diskussionen, von vielen Seiten eine Menge Kritik.

Zentral ist dabei die Frage, auf welche Risiken die Anbieter von großen KI-Modellen achten sollen. Laut der KI-Verordnung müssen die Unternehmen die Risiken erfassen, die ihre Modelle verursachen könnten und diese ans KI-Amt der EU-Kommission melden. Außerdem sollen sie diese Risiken mit Maßnahmen mindern, die „in einem angemessenen Verhältnis“ zu den Risiken stehen.

Der Entwurf für den Leitfaden führt nun zwei Listen von möglichen Risiken ein. In der ersten Liste stehen Cyberangriffe, die Gefahr von Chemie- oder Atomangriffen, Manipulation durch ein KI-Modell oder gleich ein ganzer Kontrollverlust.

Zur Erinnerung: Es geht hier um KI-Modelle wie GPT-4 oder Deepseeks R1. Der Weg vom Chatbot zur Atomwaffe ist momentan noch etwas unklar. Trotzdem warnen einige prominente KI-Expert:innen seit Jahren vor solchen Gefahren.

Aber welche Risiken?

Das Problem ist aber auch eher die zweite Liste. In der stehen Risiken für die öffentliche Gesundheit, die Gesellschaft an sich oder für Grundrechte, etwa Diskriminierung, Meinungsfreiheit oder Datenschutz. Laut dem Entwurf sollen Unternehmen ihre Modelle immer auf die erste Liste prüfen müssen, aber auf die zweite nur, „wenn angemessen.“

Damit wäre es Unternehmen überlassen, ob sie diese Risiken prüfen und ihre Modelle dagegen schützen. Diskriminiert meine KI? Bedroht sie die Meinungsfreiheit oder verletzt sie den Datenschutz? Das zu überprüfen, wäre optional.

„Das beinhaltet auch die Präsenz von systematischer Diskriminierung oder Fake News, für die Systeme wie ChatGPT weit bekannt sind“, betont Blue Tiyavorabun. Tiyavorabun hat die Verhandlungen für EDRi, den EU-Dachverband der digitalen Zivilgesellschaft, mitverfolgt und wurde dabei immer mehr enttäuscht: „Aus einer Menschenrechtsperspektive wurde der Praxisleitfaden in der Entstehung immer weiter abgeschwächt“.

Weicht ab von der KI-Verordnung

Das hat bei einigen Europaabgeordneten, die die KI-Verordnung mit verhandelt haben, für Entgeisterung gesorgt. Sie haben deshalb der EU-Digitalkommissarin Henna Virkkunen im März einen Brief geschrieben, in dem sie ihre Bedenken schildern. „Es ist gefährlich, undemokratisch und schafft juristische Unsicherheit, einen Gesetzestext, auf den die Mitgesetzgeber sich geeinigt haben, jetzt durch einen Praxisleitfaden komplett neu zu interpretieren und einzuschränken“, warnen sie dort.

Dem hat sich auch eine Reihe an Organisationen aus der Zivilgesellschaft angeschlossen. Auch sie hätten die „schwersten Bedenken“ gegen jede Version des Leitfadens, für den Menschenrechte optional wären. Die Kommission soll deshalb im endgültigen Text die neue Unterscheidung zurücknehmen. Ansonsten könne der Leitfaden den Schutz von Menschenrechten zu einer reinen Geschäftsentscheidung werden lassen.

Am Montag redete Brando Benifei sich noch einmal den Ärger von der Seele. Der italienische Sozialdemokrat war einer der Chefverhandler des EU-Parlaments für die KI-Verordnung – hat also genau die Regeln mitgeschrieben, die er jetzt durch den Praxisleitfaden in Gefahr sieht. In einer Sitzung des Binnenmarktausschusses sagte er, große Bedenken gegenüber dem Schwenk zu weniger Verpflichtungen zu haben. Was als ausgewogener Prozess angefangen habe, drohe nun, in Richtung Industrie abzudriften.

Benifei hatte auch schon den Brief der Abgeordneten mitunterzeichnet. Am Montag kritisierte er neben den Regeln zu Grundrechten auch noch die Teile des Leitfadens, die sich mit Transparenz und mit dem Urheberrecht beschäftigen sollen. „Transparenz sollte nicht als Bürde gesehen werden“, mahnte er. Außerdem forderte er, dass Europas Kreativschaffende stärker vor möglichen Urheberrechtsverletzungen geschützt werden sollten.

Bald, aber wie bald?

Laut der KI-Verordnung sollte der fertige Text für den Leitfaden eigentlich bis Freitag vorgelegt werden. Das scheint inzwischen eher unwahrscheinlich. Der Text könnte sich um einige Wochen verschieben, vielleicht aber auch noch weiter.

EU-Kommission und die EU-Mitgliedstaaten wollen diesen Entwurf dann noch bewerten – wobei die Kommission wohl kaum einen Entwurf als misslungen einstufen wird, dessen Entstehung sie monatelang eng begleitet hat. Anschließend kann die Kommission den Leitfaden annehmen. Ob der Schutz von Grundrechten darin optional oder verpflichtend sind, wird sich noch zeigen.

Eine weitere offene Frage ist, welche der KI-Unternehmen das freiwillige Regelwerk dann auch tatsächlich unterzeichnen. Google und Meta haben den Leitfaden schon öffentlich kritisiert – weil er zu viele neue Regeln einführen würde.

Neuer Innenminister: Dobrindts zweiter Versuch

29.04.2025 13:38

Er war schon mal Minister – mit desaströser Bilanz. Jetzt soll er sich um die deutsche Innenpolitik kümmern. Was ist von Alexander Dobrindt zu erwarten?

Alexander Dobrindt telefoniert im Bundestag. — Dobrindt während der Koalitionsverhandlungen. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur

Der CSU-Politiker Alexander Dobrindt soll neuer Bundesinnenminister werden. Ein neues Feld für den Vorsitzenden der CSU-Landesgruppe im Bundestag. Das Ministeramt hingegen kennt er bereits: Von 2013 bis 2017 war er Verkehrs- und damit auch der erste deutsche Digitale-Infrastruktur-Minister.

Die Rückblicke auf seine ministerielle Leistung waren seinerzeit jedoch eher wenig lobpreisend: Mit „Dobrindts größte Desaster“ überschrieb das Manager-Magazin eine Fotostrecke, „Vier Jahre Geisterfahrt“ lautete das Resümee des Tagesspiegels. Gemeinsam mit seinem Nachfolger Andreas Scheuer hinterließ er ein Pkw-Maut-Desaster, das letztlich in einem Untersuchungsausschuss mündete.

Der Bundesrechnungshof attestierte, dass Dobrindts damaliges Ministerium beim Aufbau der Abteilung „Digitale Gesellschaft“ schwere Fehler begangen habe. Es seien „wesentliche Grundsätze eines geordneten Verwaltungshandelns nicht beachtet“ worden und es habe an einer „strukturierten Vorgehensweise“ gemangelt.

„Konservative Revolution“ und „Migrationswende“

Ob Dobrindt sich in den acht Jahren seit seinem letzten Ministeramt notwendige Kompetenzen angeeignet hat, lässt sich derzeit nicht beurteilen. Inhaltlich liegt er jedoch ganz auf dem Law-and-Order-Kurs der Koalitionäre, der im Koalitionsvertrag deutlich geworden ist. Beim Thema Asyl etwa kündigte Dobrindt an, er wolle die „Migration vom Kopf auf die Füße stellen“. Ganz passend zu seinen Äußerungen von 2018, als er eine „konservative Revolution“ ausrief und von „linken Mainstreameliten“ und „Volkserziehern“ fabulierte.

Wenn es um Überwachungsbefugnisse geht, änderte sich Dobrindts Haltung in der Vergangenheit schon mal. 2012 forderte er die FDP auf, der Vorratsdatenspeicherung zuzustimmen. Wenig später wollte er sie unter dem Eindruck des von Edward Snowden ausgelösten NSA-Skandals nochmal neu bewerten. Dieser kurze Anflug des Zweifelns dürfte sich mittlerweile aber längst wieder verabschiedet haben.

Dobrindt soll Hauptautor eines CSU-Papiers aus dem Jahr 2020 sein, das einen „Sieben-Punkte-Plan gegen islamistischen Terror“ formuliert. Darunter: verschärfte Grenzkontrollen, eine europäische Anti-Terror-Datei, ein europaweites Überwachungssystem für Gefährder und mehr Staatstrojaner-Befugnisse.

Verbal brachial

In Sachen Kampf gegen den Rechtsextremismus zeigte sich Dobrindt bislang eher zahnlos: Ein Verbot der rechtsradikalen Partei AfD lehnte er zuletzt ab, beim Einreißen der Brandmauer durch Friedrich Merz im Januar sagte er: „Das Problem ist nicht die Zustimmung der AfD. Das Problem ist Ihre Verweigerung, die von SPD und Grünen, zu unseren Anträgen.“ Er teilte gegen die Grünen aus, die er als „Brandbeschleuniger für die AfD“ bezeichnete und ihnen so die Schuld für den Aufstieg und Erfolg der Partei gab.

Verbal brachial geht er auch gegen ihm links erscheinende Gruppen vor. Im Bezug auf die Klimaaktivist:innen von der Letzten Generation warnte er gar vor der „Entstehung einer Klima-RAF“, die verhindert werden müsse und forderte härtere Strafen etwa für Straßenblockaden.

Zeit Online schrieb jüngst über Dobrindt, er habe eine Wandlung durchgemacht – vorher der „alte, populistisch grantelnde Dobrindt“, nun ein „Grünen-Flüsterer“ und „Kanzlermacher“. Wieviel Wandlung da ist und ob er das Innenministerium mit weniger Schäden führt als zuvor das Verkehrsressort? Wir werden es sehen.

IP-Catching: Die Überwachungs-Maßnahme, die geheim bleiben soll

29.04.2025 08:29

Polizisten mit toten Fischen. — Polizei fängt Fische. (Symbolbild) – Public Domain Umweltschutzministerium New York

Mal angenommen: Die Post überwacht alle Sendungen und sucht alle Briefe an netzpolitik.org. Sie guckt ohnehin sämtliche Umschläge ihrer Kunden an. Aber wenn ein Brief an uns geht, öffnet sie ihn und kopiert den Inhalt. Die Metadaten gibt sie der Polizei: Absender und Anschrift, Briefkasten oder Filiale, Datum und Uhrzeit.

Dieser Vergleich hinkt natürlich. Aber er beschreibt in etwa, was Internet-Zugangs-Anbieter für Ermittler tun. Die Methode nennt sich „IP-Catching“ und ist weitgehend unbekannt. Im September berichtete der Norddeutsche Rundfunk zuerst darüber. Wir haben interne Ermittlungsakten erhalten, die das IP-Catching ausführlich belegen. Wir veröffentlichen die Dokumente.

Bandenmäßige Kinderpornografie

Vor vier Jahren haben Ermittler die kinderpornografische Plattform „Boystown“ abgeschaltet. Die Zeit berichtete über Hintergründe. Das Landgericht Frankfurt am Main hat vier Hintermänner zu mehrjährigen Haftstrafen verurteilt, darunter einen Administrator mit dem Benutzernamen „Phantom“. Wir veröffentlichen das anonymisierte Urteil. Seit Januar ist es rechtskräftig.

Boystown wurde über Tor als Onion-Dienst betrieben. Tor ist ein Netzwerk aus Computern von Freiwilligen, das es ermöglicht, Überwachung und Zensur zu umgehen. Auch Facebook und die Deutsche Welle nutzen Tor und bieten ihre Webseiten als Onion-Dienst an. Die Betreiber von Boystown versuchten, mit der Nutzung von Tor eine Strafverfolgung zu erschweren.

Boystown ging im Juni 2019 online. Da ermitteln bereits Behörden in mehreren Ländern gegen den Administrator mit dem Benutzernamen „Phantom“. Wenige Monate später beginnt auch die Staatsanwaltschaft in Frankfurt zu ermitteln. Das Bundeskriminalamt schleust einen verdeckten Ermittler ein. So erfahren die Strafverfolger, dass „Phantom“ den Messenger Ricochet nutzt. Ricochet läuft über Tor und Onion-Dienste.

Verdeckte Ermittlungen

Am 14. Dezember 2020 erfährt das BKA durch verdeckte Ermittlungen, „dass der Nutzer ‚Phantom‘ aktuell einen deutschen Server der Firma Hetzner als Eintrittsknoten in das Tor-Netzwerk nutzt“. Der Eintritts-Knoten ist der erste Server einer Tor-Verbindung.

Noch am selben Tag beginnen die Ermittler, den Server zu überwachen. Das Amtsgericht Frankfurt verpflichtet den Hosting-Anbieter Hetzner, die Verkehrsdaten des Servers aufzuzeichnen. Die Polizei will erfahren, „mit welchen anderen IP-Adressen eine Kommunikation stattfindet“, also: wer sich noch mit diesem Tor-Server verbindet.

Nur drei Tage vorher übermittelt die niederländische Polizei drei IP-Adressen, die „Phantom“ „zugeordnet werden konnten“. Die Adressen gehören Telefónica Deutschland und sind nur drei Tage alt. Telefónica speichert für sieben Tage, wer welche IP-Adresse nutzt. Doch Telefónica kann die Adressen keinem Kunden zuordnen. Im Mobilfunk geben viele Anbieter mehreren Kunden die selbe IPv4-Adresse.

Verbindungen zu Zielsystem

Das BKA wendet sich erneut an Telefónica und telefoniert mit dem Konzern-Beauftragten für staatliche Überwachungsmaßnahmen. Sie diskutieren die Möglichkeit, „Verbindungen in Echtzeit zu einem bestimmten Zielsystem zu protokollieren“. Telefónica soll die Internet-Verbindungen aller Kunden überwachen und aufzeichnen, wer sich mit dem Tor-Server bei Hetzner verbindet.

Dazu muss Telefónica „systembedingt Inhaltsdaten der einzelnen Verbindungen [aufzeichnen]“, so das BKA. Laut Gesetz dürfen Inhaltsdaten aber in diesem Fall nicht erhoben werden. Sie sollen „nur kurzzeitig gespeichert und unmittelbar wieder gelöscht“ werden. Am Ende übermittelt Telefónica dem BKA „lediglich die Bestandsdaten des ermittelten Endkunden“. So soll „Phantom“ enttarnt werden.

Um diese Maßnahme einzurichten, will Telefónica einen „richterlichen Beschluss zur zukünftigen Aufzeichnung von Verkehrsdaten“. Am 16. Dezember schreibt das BKA einen Vermerk an die Staatsanwaltschaft. Die Polizei regt an, Telefónica „zur Erhebung sämtlicher Verkehrsdaten betreffend Verbindungen zu der IP-Adresse“ bei Hetzner zu verpflichten.

IP-Catching in Echtzeit

Die Staatsanwaltschaft schickt noch am selben Tag einen Antrag an das Amtsgericht. Telefónica soll drei Monate lang „die Daten der Kunden, die auf den benannten Server zugreifen, in Echtzeit [erheben]“.

Dazu muss Telefónica zwar „kurzfristig alle Daten (Verkehrs- und Inhaltsdaten)“ speichern, so die Staatsanwaltschaft. Aber die Inhaltsdaten werden „sofort wieder ungeprüft gelöscht“. Übrig bleiben „ausschließlich die Verkehrsdaten der relevanten Verbindungen“. Telefónica soll die Verkehrsdaten „intern abgleichen“ und dem BKA „lediglich die Bestandsdaten des Kunden“ mitteilen, den sie sucht.

Die Staatsanwaltschaft bezeichnet diese Maßnahme als „IP-Catching“. Sie verweist auf einen Gesetzeskommentar, der IP-Catching 2016 erstmals erwähnte. Die Staatsanwaltschaft zitiert den entsprechenden Abschnitt fast vollständig. Wir veröffentlichen den Original-Kommentar.

Verkehrsdaten-Erhebung

Demnach ist IP-Catching eine Form der Erhebung von Verkehrsdaten. IP-Catching erlaubt „eine Echtzeiterhebung künftig anfallender Verkehrsdaten in Form von IP-Adressen“. Das Ziel ist, „eine bisher nicht näher bestimmte Person aus dem Kreis der Nutzer eines bestimmten Dienstes […] erst zu selektieren“.

Als Beispiel-Dienste nennt der Kommentar „Zugriff auf bestimmte Webseiten, Nutzung eines Anonymisierungsdienstes, Teilnahme an Foren, Zugriff auf Kontaktformulare“. Die Anbieter solcher Dienste sollen „beim Aufruf dieses von der gesuchten Person jeweils genutzten Dienstes die verwendeten IP-Adressen der Nutzer [erheben]“.

Der Kommentar vergleicht IP-Catching mit „dem Einsatz eines IMSI-Catchers oder einer Funkzellenabfrage“. Bei all diesen Maßnahmen kann „eine Vielzahl von auch unbeteiligten Personen betroffen sein“. Diese „unvermeidbare Drittbetroffenheit“ macht die Maßnahme aber nicht unzulässig. Sie muss nur verhältnismäßig bleiben.

Daten aller Telefónica-Kunden

Das Amtsgericht Frankfurt gibt dem Antrag der Staatsanwaltschaft statt. Am 17. Dezember erlässt das Gericht einen Beschluss. Es verpflichtet Telefónica zur „Erhebung sämtlicher Verkehrsdaten (in Echtzeit) betreffend Verbindungen zu der IP-Adresse“ beim Hetzner-Server und zur „Zuordnung der erhobenen Verkehrsdaten zum Endkunden“.

Die Überwachungs-Maßnahme wird auf drei Monate befristet. Das Gericht erkennt an, „dass die Maßnahme die Erhebung von Daten aller Telefónica-Kunden mit Zugriff auf den Server erforderlich macht“. Zu diesem Zeitpunkt hat Telefónica Deutschland 44 Millionen Mobilfunkanschlüsse. Jeder, der sich mit dem Tor-Server bei Hetzner verbindet, wird aufgezeichnet.

Das Gericht erwähnt, dass „dabei auch Datensätze (Verkehrs- und Inhaltsdaten) erhoben werden“. Die werden aber „nach der Erhebung oder dem Abgleich unmittelbar wieder ausgeschieden“. Laut Gericht ist die Maßnahme damit nur eine Verkehrsdaten-Erhebung. Das Gericht erwähnt den Begriff „IP-Catching“ nicht. Aber es verweist auf den entsprechenden Gesetzeskommentar.

Das „Phantom“ enttarnt

Die Maßnahme hat Erfolg. Vier Tage später schreibt das BKA einen weiteren Vermerk mit den Ergebnissen. Durch die Überwachung des Tor-Servers bei Hetzner erfährt das BKA drei IP-Adressen und Port-Nummern von „Phantom“.

Telefónica gleicht diese Daten mit den selbst erhobenen Verkehrsdaten ab. Nur ein Anschluss hat die IP-Adressen und Port-Nummern verwendet und sich mit dem Hetzner-Server verbunden. Telefónica nennt dem BKA die entsprechende Rufnummer. „Folglich wird die Ricochet-Kennung von Phantom aktuell über den hier festgestellten Mobilfunkanschluss genutzt.“

Von da an folgt klassische Ermittlungsarbeit. Das BKA erfährt die Bestandsdaten der Anschluss-Inhaberin. Die Ermittler überwachen die Telekommunikation. Das BKA identifiziert Andreas G. als „Phantom“. Er nutzte den Internet-Anschluss seiner Mutter. Im April nehmen Polizisten ihn fest. Das Gericht verurteilt ihn zu zehneinhalb Jahren Haft mit anschließender Sicherungsverwahrung.

In diesem Fall hat das IP-Catching zum Erfolg beigetragen. Ob die Ermittlungen auch ohne diese Maßnahme erfolgreich gewesen wären, wissen wir nicht.

Gesetzlich nicht definiert

Trotzdem gibt es Kritik am IP-Catching. Es ist grundrechtlich sensibel und rechtlich problematisch sowie öffentlich unbekannt und wurde bisher geheimgehalten.

In einem Rechtsstaat gilt Gewaltenteilung. Gesetze werden von Parlamenten beschlossen – der Legislative. Weder Bundestag noch Bundesrat kennen das IP-Catching. Die Generalstaatsanwaltschaft Frankfurt am Main, die die Maßnahme im Phantom-Fall beantragt hat, sagt: „Die Ermittlungsmaßnahme ‚IP-Catching‘ ist gesetzlich nicht definiert“.

Die erste Erwähnung von IP-Catching, die wir finden konnten, ist der Beck’sche Gesetzes-Kommentar von 2016. Bis heute wird dieser Kommentar als juristische Grundlage genutzt. Der Jura-Professor Wolfgang Bär hat ihn verfasst. Bis 2015 war er Referatsleiter zur Bekämpfung von Internetkriminalität im Bayerischen Justizministerium – der Exekutive. Seit Juli 2015 ist er Richter am Bundesgerichtshof – der Judikative.

Wir haben Wolfgang Bär gefragt, wie das IP-Catching entstanden ist. Hat er die Maßnahme im Justizministerium entworfen? Oder haben Ermittler das IP-Catching damals bereits verwendet und er hat beispielsweise als Richter davon erfahren? Bär beantwortet diese Fragen nicht. Er teilt uns mit: „Zu den von Ihnen aufgeworfenen Fragen kann ich leider keine Angaben machen.“

Viele unverdächtige Personen

Andere Juristen widersprechen der Rechtsauffassung von Bär. Der Jura-Professor Christian Rückert hat einen Abschnitt zum IP-Catching im Münchener Gesetzes-Kommentar veröffentlicht. Rückert äußert „ernstliche Zweifel“, ob das IP-Catching „auf die bestehenden Rechtsgrundlagen […] gestützt werden kann“.

Die „große Streubreite der Maßnahme“ ist „materiell-rechtlich problematisch“. Beim IP-Catching werden „alle IP-Adressen der Nutzer/innen erhoben, die mit einem bestimmten Server kommunizieren bzw. eine bestimmte Internetdienstleistung in Anspruch nehmen“. Damit werden auch „Verkehrs- oder Nutzungsdaten einer Vielzahl von nichtverdächtigen Personen miterhoben“.

Eine Verkehrsdaten-Erhebung darf sich jedoch „nur gegen den Beschuldigten, Nachrichtenmittler und solche Personen richten, von denen anzunehmen ist, dass der Beschuldigte ihr IT-System benutzt“. Rückert kritisiert: „Keinesfalls darf das IP-Catching als ‚IP-Rasterfahndung‘ eingesetzt werden, um erst einen Kreis von Verdächtigen zu gewinnen.“

Gesetzgeber muss entscheiden

Rückert verweist im Münchener Kommentar auch auf das juristische Prinzip der Wesentlichkeitslehre. Laut Bundesverfassungsgericht hat der Bundestag die Pflicht „in grundlegenden Bereichen, insbesondere im Bereich der Grundrechtsausübung, alle wesentlichen Entscheidungen selbst zu treffen, also diese nicht den anderen Staatsgewalten zu überlassen“.

Das IP-Catching hat eine „sehr große Streubreite“ und damit eine „große Eingriffsintensität“. Deshalb braucht es „hinreichende Eingriffsschwellen und Schutzmechanismen“. Juristen vergleichen IP-Catching unter anderem mit der Funkzellenabfrage. Doch die ist im Gesetz geregelt. Der Gesetzgeber muss daher auch „über die Zulässigkeit des IP-Catchings gesondert entscheiden“.

Rückert hat „ernstliche Zweifel“, ob das IP-Catching „überhaupt auf die bestehenden Rechtsgrundlagen […] gestützt werden kann“. Für Jura-Professoren in Gesetzes-Kommentaren sind solche Worte äußerst kritisch.

Rechtsgrundlage reicht nicht

Die Neue Richter*innenvereinigung wird auf Anfrage noch deutlicher. Sven Kersten ist Sprecher des Bundesvorstandes dieser Berufsvereinigung von Richter:innen und Staatsanwält:innen und selbst Richter am Landgericht Berlin.

Kersten sagt: „Die aktuelle Gesetzeslage genügt für den Einsatz der Maßnahme nicht. Es existieren lediglich Regelungen, die vergleichbare Maßnahmen, aber nicht das IP-Catching erfassen.“ Ohne ein spezifisches Gesetz darf das IP-Catching nicht eingesetzt werden. „Aufgrund des erheblichen Eingriffs in Grundrechte bedarf es für den Einsatz des IP-Catchings zwingend einer gesetzlichen Grundlage.“

Kersten kritisiert auch die Geheimhaltung und Intransparenz. „Die Öffentlichkeit sollte davon wissen und darüber diskutieren, um ein Bewusstsein für die Problematik des Einsatzes zu entwickeln und um eine Lösung einfordern zu können.“

Bestehendes Recht überdehnt

Die Gesellschaft für Freiheitsrechte sieht das auch so. Laut Rechtsanwalt Benjamin Lück reicht der aktuelle Paragraf zur Erhebung von Verkehrsdaten „nicht als Rechtsgrundlage“ für das IP-Catching.

Im Phantom-Fall hat Telefónica nicht nur Verkehrsdaten erhoben, sondern auch Kommunikations-Inhalte. Wenn Ermittler eine „Zieladresse in Echtzeit überwachen lassen“, fallen nicht nur reine Verkehrsdaten an. Das ist vielmehr „eine Überwachung der grundrechtlich besonders geschützten Inhalte der Kommunikation“. Das unterscheidet das IP-Catching auch von einer Funkzellenabfrage.

Lück fordert den Gesetzgeber auf, „weit reichende Grundrechtseingriffe selbst zu regeln“. Die Ermittler sollten selbst auf eine gesetzliche Regelung hinwirken, „statt durch kreative Auslegung das bestehende Recht zu überdehnen“. Lück sieht ein Gesetzgebungsverfahren auch als Chance, „diese Ermittlungsmaßnahme in der Öffentlichkeit kritisch zu diskutieren“.

Öffentlich weitgehend unbekannt

Eine öffentliche Debatte scheint dringend notwendig. Im Rahmen dieser Recherche haben wir mit einer ganzen Reihe an Experten gesprochen: Anwälte und Richter, Abgeordnete und Lobbyisten, Kommunikationsanbieter und Techniker. Die allermeisten hatten noch nie von „IP-Catching“ gehört. Die Überwachungs-Maßnahme ist weitgehend unbekannt.

Die Bundesnetzagentur ist dafür verantwortlich, dass Kommunikations-Anbieter normale Überwachungsmaßnahmen durchführen können. Als Beispiele für „Regelfälle“ nennt sie uns „eine Überwachung oder eine Beauskunftung von Verkehrsdaten bestimmter Anschlüsse“. Von „konkreten Maßnahmen“ zum IP-Catching hat die Bundesnetzagentur „keine Kenntnis“.

Das Unternehmen DIaLOGIKa entwickelt Software für Überwachungsmaßnahmen, sowohl für Kommunikations-Anbieter als auch für Sicherheitsbehörden. Diese Produkte unterstützen IP-Catching nicht. Vor unserer Anfrage kannte DIaLOGIKa die Maßnahme nicht. Geschäftsführer Julian Backes bezweifelt, ob IP-Catching eine reine Verkehrsdaten-Maßnahme ist. Möglicherweise ist es vielmehr „eine Form der Telekommunikationsüberwachung“.

Keine Antwort, kein Kommentar

Transparenz fehlt auch in einem weiteren Bereich: Wie oft das IP-Catching eingesetzt wird. Wir haben die drei großen deutschen Mobilfunknetz-Betreiber gefragt, wie oft sie die Maßnahme in den letzten fünf Jahren durchgeführt haben. Die Deutsche Telekom hat seitdem „keine IP-Catching Maßnahmen durchgeführt“. Dem ehemaligen Staatskonzern sind auch „keine gerichtlichen Anordnungen zum IP-Catching bekannt“. Vodafone sagt nur: „Kein Kommentar.“

Telefónica Deutschland will unsere konkrete Frage nicht beantworten. Der Konzern mit der Kernmarke O2 bestätigt nur allgemein, dass er mit Strafverfolgungsbehörden kooperiert. „Für den geschilderten Vorgang des so genannten IP-Catchings (Verkehrsdatenbeauskunftung) ist ein richterlicher Beschluss notwendig, um die für die Ermittlungsbehörden relevanten Verkehrsdaten weiter geben zu können. Zur Umsetzung dieses richterlichen Beschlusses sind wir verpflichtet.“ Telefónica will sich „darüber hinaus nicht weiter zu diesem Thema äußern“.

Die Generalstaatsanwaltschaft Frankfurt hat IP-Catching im Phantom-Fall beantragt. Wie oft sie das noch getan hat, kann sie nicht sagen. Es gibt „keine gesetzliche Vorgabe“ zur statistischen Erfassung. Oberstaatsanwalt Benjamin Krause hat „die derzeit im Dienst befindlichen Staatsanwält:innen“ gefragt, ob sie sich an einen solchen Fall erinnern können. „Dies war nicht der Fall.“

Sicherheit Deutschlands gefährdet

Von einer Presseanfrage an Polizei und Geheimdienste haben wir keine sinnvollen Antworten erwartet. Also haben wir die Bundestagsabgeordnete Clara Bünger gebeten, eine parlamentarische Frage an die Bundesregierung zu stellen. Die Antwort ist jedoch wenig informativ.

Der Generalbundesanwalt erfasst diese Informationen nicht statistisch. Zwar könnte man alle Ermittlungsverfahren händisch auswerten. Das würde aber die „Ermittlungsarbeit zum Erliegen bringen“. Deshalb ist „eine Beantwortung mit zumutbarem Aufwand nicht möglich“.

Die Bundespolizei „hat in den letzten fünf Jahren keine IP-Catching-Maßnahme durchgeführt“. Nach Informationen von netzpolitik.org gilt das auch für den Zoll. Offiziell ist die Antwort aber als Verschlusssache „nur für den Dienstgebrauch“ eingestuft. Ein Bekanntwerden könnte „die Funktionsfähigkeit der Zollverwaltung beeinträchtigen“ und „mithin die Sicherheit der Bundesrepublik Deutschland gefährden“.

Regierung verweigert Auskunft

Bundesnachrichtendienst, Verfassungsschutz und Militärischer Abschirmdienst haben ihre Antwort ebenfalls eingestuft. Wenn bekannt wird, wie oft die Geheimdienste IP-Catching nutzen, hätte das „erhebliche Nachteile“ für ihre „Auftragserfüllung“. Deshalb sind die Antworten Verschlusssache „Geheim“.

Das Bundeskriminalamt hat das IP-Catching im Phantom-Fall eingesetzt. „Weitergehende Auskünfte“ verweigert das BKA dem Bundestag vollständig. Im Gegensatz zum Zoll und den Geheimdiensten verweigert die Polizeibehörde sogar eine eingestufte Antwort. Demnach kann „auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden“.

Clara Bünger, Innenexpertin der Linksfraktion im Bundestag, kritisiert diese Geheimhaltung. „Es ist bedenklich, dass die Bundesregierung Auskunft über ein Vorgehen verweigert, dessen rechtliche Grundlage fraglich ist und dessen potenzieller Eingriff in Grundrechte noch nicht einmal abschätzbar erscheint.“

Update (11:35): Die Deutsche Telekom hat uns eine Antwort nachgereicht. Wir haben den entsprechenden Satz angepasst.

Update (30.04.): Das BKA hat uns gebeten, die BKA-Mitarbeitenden nicht namentlich zu nennen. Wir haben die Namen der beiden Kriminalhauptkommissare entfernt bzw. geschwärzt.

Update (06.05.): Der Beck-Verlag hat uns das Erscheinungs-Datum des Münchener Kommentars mitgeteilt. Wir haben das Datum ergänzt.

Hier die Dokumente in Volltext (sensible personenbezogene Daten haben wir geschwärzt):

Datum: 1. Februar 2016
Kommentar: Beck’scher Online-Kommentar
Edition: 24
Gesetz: Strafprozeßordnung
Buch: Allgemeine Vorschriften
Abschnitt: Ermittlungsmaßnahmen
Paragraf: § 100g Erhebung von Verkehrsdaten
Randnummer: 23
Von: Prof. Dr. Wolfgang Bär

IP-Catching

Während es beim IP-Tracking nur darum geht, eine bekannte Person an Hand der von ihr verwendeten IP-Adresse zu identifizieren, ist es beim sog. IP-Catching Ziel des Eingriffs, eine bisher nicht näher bestimmte Person aus dem Kreis der Nutzer eines bestimmten Dienstes (z.B. Zugriff auf bestimmte Webseite, Nutzung eines Anonymisierungsdienstes, Teilnahme an Foren, Zugriff auf Kontaktformulare) erst zu selektieren. Dies kann dadurch erfolgen, dass i.R.d. Maßnahme über den betreffenden Diensteanbieter alle beim Aufruf dieses jeweiligen, von der gesuchten Person genutzten Dienstes die verwendeten IP-Adressen erhoben werden. Der Eingriff entspricht damit quasi einer Funkzellenabfrage, die sich aber statt auf Mobilfunkdaten hier auf die verwendeten IP-Adressen bezieht. Es erfolgt damit eine Echtzeiterhebung künftig anfallender Verkehrsdaten in Form von IP-Adressen. Dies kann auf der Grundlage des § 100g Abs. 1 S. 1 und S. 3 vorgenommen werden. Der Eingriff führt dabei – ebenso wie bei einer Funkzellenabfrage – aber dazu, dass eine Vielzahl von auch unbeteiligten Personen betroffen sein kann. Dadurch ergibt sich ein wesentlicher Unterschied zum IP-Tracking mit einer konkreten Zielperson. Die Erhebung der IP-Adressen erfolgt auch hier mit dem Ziel, über diese gewonnenen Informationen später i.R.d. sog. Personenauskunft eine Zuordnung zu einer Person auf der Grundlage des § 100j Abs. 2 i.V.m. Abs. 1 S. 1 vornehmen zu können.

Datum: 16.12.2020
Ort: Wiesbaden
Von: Bundeskriminalamt, SO44
An: Generalstaatsanwaltschaft Frankfurt am Main, ZIT
Aktenzeichen: 60 UJs 50480/19 ZIT
Betreff: Ermittlungsverfahren […] gegen den Nutzer des Nicknamen „Phantom“ wegen Verdachts der bandenmäßigen Verbreitung kinderpornografischer Schriften sowie des schweren sexuellen Missbrauchs von Kindern, gem. §§176a, 184b StGB
Hier: Anregung zur Erhebung von Verkehrsdaten gem. § 100g StPO

Vermerk

1. Im Rahmen des internationalen polizeilichen Dienstverkehrs wurden am 11.12.2020 seitens der niederländischen Behörden die folgenden IP-Adressen mitgeteilt, die dem hier verfahrensgegenständlichen Nutzer des Nicknamen „Phantom“ zugeordnet werden konnten:

89.204.153.2██ port 519██; 8 Dezember 2020; 18:52 bis 20:24 UTC+1
89.204.154.██ port 339██; 8 Dezember 2020; 21:05 bis 22:00 UTC+1
89.204.153.██ port 330██; 9 Dezember 2020; 09:58 bis 10:54 UTC+1

Die IP-Adressen können dem Provider Telefónica Germany GmbH & Co. OHG zugeordnet werden. Mit Schreiben vom 11.12.2020 wurde seitens der Telefónica mitgeteilt, dass zu den genannten IP-Adressen keine Bestandsdaten beauskunftet werden können.

Grundsätzlich sind diese IP-Adressen dem Mobilfunknetz der Telefónica zuzuordnen. Es besteht somit die Annahme, dass „Phantom“ aktuell eine mobile Datenverbindung nutzt um Aktivitäten im Tor-Netzwerk zu entfalten.

2. Mit Beschluss des AG Frankfurt vom 14.12.2020 wurde die Erhebung und Herausgabe von zukünftig anfallenden Verkehrsdaten bzgl. der IP-Adresse 136.243.39.185 (Verpflichteter: Hetzner Online GmbH) angeordnet. Ziel dieser Maßnahme ist festzustellen, mit welchen anderen IP-Adressen eine Kommunikation stattfindet, die auf das Betreiben der von dem Nutzer des Nicknamen „Phantom“ genutzten Ricochet-Kennung „zk7egmb6dlqqmd██“ hinweisen.

Entsprechend der Ausführungen unter Nr. 1 ist zu erwarten, dass im Ergebnis weitere IP-Adressen des Providers Telefónica Germany GmbH & Co. OHG festgestellt werden.

3. Nach Rücksprache mit der Telefónica, Herrn M█████ K█████ (Coordinator Lawful Interception), würde dort die Möglichkeit bestehen Verbindungen in Echtzeit zu einem bestimmten Zielsystem zu protokollieren und ggf. einem konkreten Endkunden zuordnen zu können. Dies bedürfe eines entsprechenden richterlichen Beschlusses zur zukünftigen Aufzeichnung von Verkehrsdaten.

Durch Herrn K█████ wurde weiter mitgeteilt, dass zur Aufzeichnung der Verkehrsdaten bei der Telefónica systembedingt Inhaltsdaten der einzelnen Verbindungen aufgezeichnet würden. Diese würden an sich für den Analyseprozess der Verkehrsdaten nicht benötigt und entsprechend im Rahmen des technischen Verfahrens nur kurzzeitig gespeichert und unmittelbar wieder gelöscht.

Im Ergebnis der Auswertung würden dem Bundeskriminalamt lediglich die Bestandsdaten des ermittelten Endkunden übermittelt. Die bei der Telefónica im Rahmen des Prozesses aufgezeichneten Daten werden nicht übermittelt und lediglich im Rahmen der technischen Analyse verarbeitet.

Anregung

Aus den vorgenannten Gründen wird angeregt, beim zuständigen Amtsgericht einen Beschluss gemäß § 100g Abs. 1 StPO zur Verpflichtung des Unternehmens

Telefónica Germany GmbH & Co. OHG, Georg-Bräuchle-Ring 50, 80992 München

zur Erhebung sämtlicher Verkehrsdaten betreffend Verbindungen zu der

IP-Adresse 136.243.39.185

zu beantragen.

Dabei sollen die Verkehrsdaten in Echtzeit aufgezeichnet und eine Zuordnung der erhobenen Verkehrsdaten zum Endkunden hergestellt werden, wobei die kurzzeitige Speicherung von Inhaltsdaten für diesen Zweck notwendig wäre. Im Ergebnis sollen dem Bundeskriminalamt entsprechende Bestandsdaten des Kunden, der zu definierten Zeitpunkten Verbindungen zu der genannten IP-Adresse herstellte, übermittelt werden.

Die Tat wiegt auch im vorliegenden Fall schwer, weil auf der o. g. Plattform, auch durch „Phantom“ selbst, fortgesetzt kinderpornografische Schriften hochgeladen bzw. durch Verlinkung verbreitet werden.

Die Maßnahme ist unentbehrlich, weil die Erforschung des Sachverhaltes und die Ermittlung des Aufenthaltsortes des „Phantom“ auf andere Weise wesentlich erschwert oder aussichtslos wäre.

Datum: 16.12.2020
Ort: Frankfurt am Main
Von: Generalstaatsanwaltschaft Frankfurt am Main
Staatsanwältin: Dr. Julia Bussweiler
Aktenzeichen: 60 UJs 50480/19 ZIT

Verfügung

1. Nach Aktenrückkehr:

Beschluss (1 x mit Gründe, 1 x abgek. Gründe) an so44@bka.bund.de mailen.
eDuplo ergänzen
Original-Beschluss (abgekürzte Gründe) an Telefónica per Post senden
Wv sodann (Statistik)

2. Vermerk:

Durch Mitteilung der niederländischen Behörden wurde bekannt, dass „Phantom“ eine Telefónica-Mobilfunkverbindung zum Zugriff auf den relevanten Server nutzt. Dabei konnten reale IP-Adresse erhoben werden, die – mangels Echtzeiterhebung beim Provider Telefónica – derzeit aber keinem Endkunden zugeordnet werden konnten.

Um bei zukünftigen Zugriffen von „Phantom“ eine solche Zuordnung zu ermöglichen, soll daher nunmehr die Anordnung einer Echtzeiterhebung dieser Verkehrsdaten gegenüber dem Provider Telefónica erwirkt werden, mittels derer dann eine Zuordnung zum Endkunden erfolgen kann.

Bei dieser Maßnahme handelt es sich um ein sog. „IP-Catching“, dessen Durchführung sich nach § 100g StPO richtet:

Bär in Beck-OK, § 100g, Rn. 23 führt dazu aus:

„[…] Beim sog. IP-Catching [ist] Ziel des Eingriffs, eine bisher nicht näher bestimmte Person aus dem Kreis der Nutzer eines bestimmten Dienstes (zB Zugriff auf bestimmte Webseite, Nutzung eines Anonymisierungsdienstes, Teilnahme an Foren, Zugriff auf Kontaktformulare) erst zu selektieren. Dies kann dadurch erfolgen, dass i.R.d. Maßnahme über den betreffenden Diensteanbieter alle beim Aufruf dieses von der gesuchten Person jeweils genutzten Dienstes die verwendeten IP-Adressen der Nutzer erhoben werden. Der Eingriff entspricht damit quasi dem Einsatz eines IMSI-Catchers oder einer Funkzellenabfrage, die sich aber statt auf Mobilfunkdaten hier auf die verwendeten IP-Adressen der Nutzer dieses Dienstes bezieht. Es erfolgt damit eine Echtzeiterhebung künftig anfallender Verkehrsdaten in Form von IP-Adressen. Dies kann auf der Grundlage des § 100g Abs. 1 S. 1 und S. 4 (S. 3 aF) zulässigerweise vorgenommen werden. Der Eingriff führt dabei – ebenso wie bei einer Funkzellenabfrage oder einem IMSI-Catcher-Einsatz – aber dazu, dass eine Vielzahl von auch unbeteiligten Personen betroffen sein kann. Dadurch ergibt sich ein wesentlicher Unterschied zum IP-Tracking mit einer konkreten Zielperson. Ebenso wie nach § 100h Abs. 3 oder § 100i Abs. 2 S. 1 führt die unvermeidbare Drittbetroffenheit aber nicht zur Unzulässigkeit der Maßnahme, sondern erfordert nur eine besondere Berücksichtigung des Grundsatzes der Verhältnismäßigkeit bei der Anordnung. Die Erhebung der IP-Adressen erfolgt auch hier mit dem Ziel, über diese gewonnenen Informationen später i.R.d. sog. Personenauskunft eine Zuordnung zu einer Person auf der Grundlage des § 100j Abs. 2 i.V.m. Abs. 1 S. 1 vornehmen zu können […].“

Konkret wird diese Maßnahme in zwei Schritten umgesetzt:

Schritt 1:

Durch den verpflichteten Provider werden die Daten der Telefónica-Kunden, die auf den benannten Server zugreifen, in Echtzeit erhoben. Aufgrund der zuletzt erfolgten Mitteilung von Telefónica ist diese Maßnahmen der Verkehrsdatenerhebung in Echtzeit aufgrund der dort vorhandenen technischen Gegebenheiten nur in Form einer ganzheitlichen Datenerhebung möglich, d.h. dass zunächst kurzfristig alle Daten (Verkehrs- und Inhaltsdaten) erhoben, die Inhaltsdaten allerdings sofort wieder ungeprüft gelöscht werden. Es verbleiben ausschließlich die Verkehrsdaten der relevanten Verbindungen.

Schritt 2:

Anhand der festgestellten Verkehrsdaten erfolgt nach Benennung der relevanten Zeitpunkte durch das BKA – die anhand der Monitorings des Online-Verhaltens des Beschuldigten bekannt geworden sind – eine Abfrage an Telefónica, welcher Kunde zu diesem Zeitpunkt auf den relevanten Server zugegriffen hat. Nach internem Abgleich der erhobenen Verkehrs- mit den vorhandenen Bestandsdaten werden dem BKA lediglich die Bestandsdaten des Kunden, der zu den benannten Zeitpunkten auf den Server zugegriffen hat, mitgeteilt. Die Auskunft, die letztendlich durch Telefónica erteilt wird, entspricht daher vom Umfang her einer qualifizierten Bestandsdatenauskunft.

Zwar muss zur Umsetzung dieser qualifizierten Bestandsdatenauskunft auf die erhobenen „höherwertigen“ Daten zurückgegriffen werden. Diese Vorgehensweise ist allerdings nicht unüblich und im Rahmen des § 100j Abs. 2 StPO gesetzlich sogar ausdrücklich vorgesehen. Dabei wird nach dem gesetzgeberischen Leitbild zur Erteilung der qualifizierten Bestandsdatenauskunft auf die gespeicherten Verkehrsdaten nach § 113 TKG zurückgegriffen, ohne dass dafür eine Anordnung nach § 100g StPO erforderlich ist.

Im Unterschied dazu, ist vorliegend eine Anordnung nach § 100g StPO deshalb erforderlich, da die zuzuordnenden Daten nicht aufgrund einer gesetzlichen Regelung vorgehalten werden, sondern erst erhoben werden müssen. Parallel zu der obig beschriebenen Situation ist nach h.E. aber keine Anordnung nach § 100a StPO erforderlich. Auch diese Daten verlassen – ebenso wie die Vorratsdaten nach § 113 TKG – die Sphäre des Diensteanbieters nicht. Darüber hinaus werden diese sogar im Anschluss an ihre rein technisch bedingte Erhebung sofort und ungesehen durch den Provider gelöscht.

3. U. m. A. (1 Bd. Hauptakte)

dem Amtsgericht – Ermittlungsrichter – Frankfurt

mit dem Antrag übersandt, einen Beschluss nach § 100g StPO entsprechend des anliegenden Entwurfs für die Dauer von drei Monaten zu erlassen.

Es wird gebeten, eine Beschlussausfertigung für den Provider mit abgekürzten Gründen beizufügen.

Hinsichtlich der hiesigen rechtlichen Bewertung wird auf den Vermerk Ziff. 1 verwiesen. Für eine Rücksprache dazu stehe ich unter der Rufnummer 0611/3265-87██ jederzeit zur Verfügung.

Da der relevante Server als Eintrittsknotenpunkt einem regelmäßigen Wechsel unterliegt, ist eine zügige Umsetzung der Maßnahme geboten.

Es wird zudem höflich um telefonische Benachrichtigung der ZIT unter der folgenden Rufnummer 0611/3265-87██ zwecks Abholung der Akte gebeten.

Datum: 17.12.2020
Ort: Frankfurt am Main
Von: Amtsgericht Frankfurt am Main
Ermittlungsrichterin: Johanna Rustler
Geschäftsnummer: 9500 UJs 416932/19 – 931 Gs
Aktenzeichen: 60 UJs 50480/19 ZIT

Beschluss

In dem Ermittlungsverfahren

gegen: Unbekannt

wegen: Verdachts einer Straftat nach § 184b StGB u. a.

wird auf Antrag der Generalstaatsanwaltschaft Frankfurt am Main

gemäß §§ 100g Abs. 1 S. 1 Nr. 1 und 2, 100e Abs. 1 S. 1, 101a Abs. 1 S. 1 StPO die Erhebung sämtlicher Verkehrsdaten (in Echtzeit) betreffend Verbindungen zu der IP-Adresse

IP-Adresse: 136.243.39.185

Verpflichteter: Telefónica Germany GmbH & Co. OHG, Georg-Brauchle-Ring 50, 80992 München

und die Zuordnung der erhobenen Verkehrsdaten zum Endkunden angeordnet.

Die Anordnung wird bis zum 16.03.2021 befristet.

Gründe (abgekürzt)

Es liegt der Verdacht schwerer Straftaten nach § 100a Abs. 2 Nr. 1 lit. g StPO vor, die aufgrund des Umfangs der Tathandlungen auch im Einzelfall schwer wiegen und die alle ausschließlich unter Verwendung von Telekommunikationsmitteln begangen wurden (§ 100g Abs. 1 S. 1 Nr. 1 und 2 StPO).

Durch die bisherigen Ermittlungserkenntnisse besteht der Verdacht, dass der Nutzer „Phantom“ eine Mobilfunkverbindung des Provider Telefónica nutzt, um auf den benannten Server zuzugreifen und sich darüber mit dem Tor-Netzwerk zu verbinden. Durch die niederländischen Strafverfolgungsbehörden konnten mehrere Zugriffe unter Nutzung von Telefónica-IP-Adressen festgestellt (08.12.2020 und 09.12.2020), die durch den Provider jedoch mangels Erhebung und Zuordnung der Daten in Echtzeit, bislang keinem Endkunden zugeordnet werden konnten.

Im Fall einer solchen Echtzeiterhebung sämtlicher Verbindungen, die auf den Server mit der relevanten IP-Adresse zugreifen und der Zuordnung zu den jeweiligen Endkunden, besteht die Möglichkeit durch einen Abgleich mit den im Rahmen der Ermittlungen bekannt gewordenen Online-Zeiten des Nutzers „Phantom“ die Identität des noch unbekannten Beschuldigten zu ermitteln.

Dass die Maßnahme die Erhebung von Daten aller Telefónica-Kunden mit Zugriff auf den Server erforderlich macht und dabei auch Datensätze (Verkehrs- und Inhaltsdaten) erhoben werden, die nach der Erhebung oder dem Abgleich unmittelbar wieder ausgeschieden werden, macht die Maßnahme dennoch nicht unverhältnismäßig. Auch bei den „normalen“ telefonischen Zielsuchlauf-Maßnahmen, beim Einsatz eines IMSI-Catchers und bei Telekommunikationsüberwachungsmaßnahmen besteht regelmäßig eine unvermeidbare Drittbetroffenheit, die lediglich einer genauen Verhältnismäßigkeitsabwägung bedarf (vgl. Beck-OK-Bär, § 100g, Rn. 23) und die im Einzelfall eine Pflicht zur unverzüglichen Löschung bestimmter, nicht von vornherein ausscheidbarere Daten auslöst. Mit diesen Konstellationen ist der Ausgangspunkt hier vergleichbar. Insofern ist auch die kurzfristige Erhebung dieser Daten zur Ermöglichung der Auskunft über den zuzuordnenden Kundenanschluss zulässig.

Mit Blick auf die Schwere der Tatvorwürfe, den Umfang der durch „Phantom“ ausgeübten kriminellen Aktivitäten und der Tatsache, dass auf die kinderpornographischen Plattformen täglich weltweit eine unbeschränkte Anzahl von Personen Zugriff ausüben kann, ist die angeordnete Überwachungsmaßnahme nicht unverhältnismäßig.

Darüber hinaus stehen andere Maßnahmen zur Aufklärung und Erforschung des Sachverhalts nicht zur Verfügung. Insbesondere ist mangels Datenspeicherung durch den Provider eine „unmittelbare“ Abfrage nicht möglich. Sie ist notwendig für eine weitergehende Identifizierung des Beschuldigten und die Feststellung der verwendeten technischen und logistischen Infrastruktur.

Andere Aufklärungsmöglichkeiten im Hinblick auf die relevanten kinderpornographischen Plattformen stehen zudem aufgrund des ausschließlichen Zugriffs über das Tor-Netzwerk, dem eine systemimmanente Verschlüsselung zugrunde liegt, nicht zur Verfügung, da die Benutzer aufgrund dieser Anonymisierungsmechanismen effektiv vor herkömmlichen Ermittlungsmaßnahmen hinsichtlich der durch sie genutzten Internetverbindung geschützt sind.

Datum: 21.12.2020
Ort: Wiesbaden
Von: Bundeskriminalamt, SO44
An: Generalstaatsanwaltschaft Frankfurt am Main, ZIT
Aktenzeichen: 60 UJs 50480/19 ZIT
Betreff: Ermittlungsverfahren […] gegen den Nutzer des Nicknamen „Phantom“ wegen Verdachts der bandenmäßigen Verbreitung kinderpornografischer Schriften sowie des schweren sexuellen Missbrauchs von Kindern, gem. §§176a, 184b StGB
Hier:
- Identifizierung eines durch „Phantom“ genutzten Mobilfunkanschlusses
- Anregung eines Beschlusses gem. §§ 100a, e, i, StPO

Vermerk

1. Aktueller Sachstand

Mit Beschlüssen des AG Frankfurt a. M. vom 14.12.2020 sowie 17.12.2020 wurden gem. § 100g StPO Verkehrsdaten, auch in Echtzeit, bei den Providern Hetzner GmbH sowie Telefónica Germany GmbH erhoben.

Hintergrund war, dass im Rahmen der Ermittlungen zunächst festgestellt werden konnte, dass die seitens „Phantom“ genutzte Ricochet-Messenger-Kennung „zk7egmb6dlqqmd██“ einen Hetzner-Server (IP-Adresse 136.243.39.185) als Eintrittsknoten in das Tor-Netzwerk nutzt. Ferner wurde festgestellt, dass „Phantom“ aktuell einen Telefónica-Mobilfunkanschluss nutzt, um eine Internetverbindung in das Tor-Netzwerk herzustellen.

Im Zuge der Maßnahmen bezüglich der Verkehrsdatenerhebung beim Provider Hetzner wurde durch die Fachdienststelle im BKA, OE24, festgestellt, dass die seitens „Phantom“ genutzte Ricochet-Kennung in den nachfolgenden Zeiträumen

17.12.2020 zwischen 19:10 und 19:30 Uhr (jeweils MEZ)
17.12.2020 zwischen 21:52 und 22:09 Uhr
18.12.2020 zwischen 9:26 und 9:46 Uhr

jeweils die (Klar-)IP-Adressen

89.204.153.██ Port 440██
89.204.153.██ Port 451██
89.204.155.██ Port 443██

verwendete.

Diese konnten dem Kontingent des Providers Telefónica Germany zugeordnet werden. Die genannten IP-Adressen und Zeiträume wurden zum Abgleich mit den bei der Telefónica erhobenen Verkehrsdaten an diese übersandt.

Gemäß Auskunft des Telefónica-Mitarbeiters Herrn M█████ K█████ (Coordinator Lawful Interception), bestand zu o. g. Zeitpunkten unter den festgestellten Telefónica-IP-Adressen ausschließlich über die Rufnummer

0176209849██

eine mobile Daten-Verbindung zu dem seitens „Phantom“ genutzten Hetzner-Eintrittsknoten mit der IP-Adresse 136.243.39.185.

Folglich wird die Ricochet-Kennung von Phantom aktuell über den hier festgestellten Mobilfunkanschluss genutzt.

2. Ermittlungen zum festgestellten Telefónica-Anschluss

Gemäß § 112 und § 113 TKG wurden die Bestandsdaten zu der seitens „Phantom“ genutzten Mobilfunkrufnummer erhoben.

Der Anschluss 0176-209849██ ist demnach seit dem 31.05.2016 auf eine Frau

T███████ G█████

geb.: ██.██.19██

whft.: ███████████ ██, 33142 Büren

registriert.

Zu dem Anschluss existieren derzeit zwei aktive SIM-Karten.

Gemäß einer Überprüfung der Meldedaten ist o. g. Person tatsächlich existent und an besagter Anschrift aktuell gemeldet.

Im Zuge der Beauskunftung der Telefónica-Rufnummer teilte Herr K█████ am 18.12.2020 KHK K█████, SO44, zudem fernmündlich mit, dass entsprechend der bei der Telefónica aufgezeichneten Verkehrsdaten während der tatrelevanten Zeiträume der Mobilfunk-Anschluss aus einer Funkzelle im Bereich der Stadt Büren genutzt wurde. Aus den von Telefónica mitgeteilten Verkehrsdaten ist auch ersichtlich, dass die gegenständliche Rufnummer aktuell über ein Mobiltelefon Apple iPhone 11 Pro Max genutzt wird. Diesem ist die IMEI-Kennung

35391610830495██

zuzuordnen.

3. Anregungen

3.1.

Aufgrund der vorangestellten Erkenntnisse wird angeregt, seitens der Generalstaatsanwaltschaft Frankfurt a. M. ZIT, beim zuständigen Gericht einen Beschluss gem. §§ 100a, e StPO zu erwirken, um den seitens „Phantom“ genutzten und auf T███████ G█████ eingetragenen Telefonanschluss zu überwachen.

Der Beschluss sollte die Aufzeichnung des Audio- und Datenverkehrs des nachfolgend genannten Anschlusses für die Dauer von drei Monaten umfassen:

Rufnummer: 0176-209849██, 02951-94810██ (Homezone-Rufnummer)

Provider/Verpflichteter: Telefónica Germany GmbH, Telefónica Germany GmbH & Co. OHG Special Services, Georg-Brauchle-Ring 50, 80992 München

Anschlussinhaberin: T███████ G█████, geb.: ██.██.19██, whft.: ███████████ ██, 33142 Büren

Ziel der Maßnahme wäre die Identifizierung des Nutzers des Anschlusses und somit die zweifelsfreie Zuordnung einer Identität zu „Phantom“. Da nicht auszuschließen ist, dass „Phantom“ den o. a. Mobilfunkanschluss kurzfristig nicht mehr verwenden könnte, bedarf es einer zeitnahen Identifizierung des tatsächlichen Nutzers des Anschlusses. Durch die hier angeregte Telekommunikationsüberwachungsmaßnahme kann dies gewährleistet werden.

3.2.

Weiter wird angeregt, seitens der Generalstaatsanwaltschaft Frankfurt a. M. ZIT, beim zuständigen Gericht einen Beschluss gem. §§ 100a, e StPO zu erwirken, um das seitens „Phantom“ genutzte Mobiltelefon Apple iPhone 11 Pro Max dahingehend zu überwachen, ob weitere SIM-Karten/ Anschlüsse für tatrelevante Handlungen über dieses genutzt werden. Der Beschluss sollte die Aufzeichnung des Audio- und Datenverkehrs der nachfolgend genannten IMEI-Nummer für die Dauer von drei Monaten umfassen:

IMEI: 35391610830495██

Nutzer: Unbekannt („Phantom“)

Provider/Verpflichteter:

Telefónica Germany GmbH & Co. OHG Special Services, Georg-Brauchle-Ring 50, 80992 München

Vodafone GmbH, RULO / Unternehmenssicherheit-Behördenauskünfte, Ferdinand-Braun-Platz 1, 40549 Düsseldorf

Deutsche Telekom AG, ReSA Berlin, Holzhauser Str. 4-8, 13509 Berlin

3.3.

Ferner wird angeregt, seitens der Generalstaatsanwaltschaft Frankfurt a. M. ZIT, beim zuständigen Gericht einen Beschluss gem. §100i Abs. 1 Nr. 2 StPO gegen den im Vermerk unter Nr. 3.1. aufgeführten Mobilfunkanschluss der G█████ zu erwirken.

Zweck dieser Maßnahme wäre im Einzelfall die konkrete Lokalisierung des aktuellen Standorts des Nutzers des Mobilfunkanschlusses, um hierdurch ggfs. auch eine zweifelsfreie Zuordnung einer Identität zu „Phantom“ zu ermöglichen.

Dieser sollte auch die beiden dem Anschluss zugeordneten IMSI (SIM-Karten-)-Nr.

2620720108787██, 2620739423986██

enthalten.

Ohne die angedachten Maßnahmen wäre eine weitere Aufklärung des Sachverhalts nicht möglich bzw. wesentlich erschwert.

Es wird gebeten die Beschlüsse vorab per Fax an das

Bundeskriminalamt Wiesbaden, SO44, Z. Hd. KHK M█████ o.V.i.A., Fax: 0611-55 467██

und jeweils eine Ausfertigung im Original an den Verpflichteten zu übersenden.

Datum: 18.12.2023
Kommentar: Münchener Kommentar
Gesetz: Strafprozeßordnung
Auflage: 2
Paragraf: § 100g Erhebung von Verkehrsdaten
Von: Prof. Dr. Christian Rückert
Randnummern: 127-130

IP-Catching

Unter dem Begriff des IP-Catching wird eine Ermittlungsmaßnahme verstanden, bei der die Ermittlungsbehörden die IP-Adressen der Nutzer einer bestimmten Internetdienstleistung erheben bzw. protokollieren. Über eine anschließende Bestandsdatenabfrage können dann die Standorte und ggf. sogar die Identitäten der Nutzer ermittelt werden. Die Ermittlungsbehörden erheben bei dieser Maßnahme sog. Log-Dateien, in denen Informationen über die Zugriffe auf den Internetdienst, u.a. die IP-Adressen, von der Datenverarbeitungsanlage des Dienstes gespeichert werden. Bei dem Internetdienst kann es sich um eine Webseite (sog. Webpage-Überwachung), einen E-Mail-Dienstleister, einen Anonymisierungsdienst (z.B. VPN-Anbieter), Internet-Foren oder jede andere Internetdienstleistung handeln. Da die Maßnahme gleichzeitig die Verkehrsdaten/Nutzungsdaten vieler verschiedener Internetnutzer erhebt, ähnelt sie einer Funkzellenabfrage oder dem Einsatz eines IMSI-Catchers. [Fn. 202: Zum Ganzen Bär in BeckOK StPO § 100g Rn. 26; Bär in KMR-StPO § 100g Rn. 66.] Die Abfrage kann dabei sowohl in Echtzeit für künftig anfallende IP-Adressen („Live-Ausleitung“ durch den Dienstleister) als auch durch Auswertung einer Log-Datei für die Vergangenheit (Übermittlung der Datei durch den Dienstleister) erfolgen. Als in die Zukunft gerichtete Maßnahme gegen einen einzelnen Nutzer ist die Maßnahme auch als sog. Login-Falle verstellbar, bei der nur die IP-Adresse das einzelnen Nutzers erhoben wird. [Fn. 203: Hierzu ausführlich: Brodowski StV 2022, 413.]

Die Rechtsgrundlage für das IP-Catching wird von Bär und Bruns für alle Fälle in § 100g gesehen. [Fn. 204: Bär in BeckOK StPO § 100g Rn. 26; Bär NZWiSt 2017, 81 (84); Bruns in KK-StPO § 100g Rn. 20.] Beim sog. IP-Catching handelt es sich richtigerweise jedoch in vielen Fällen nicht um eine Verkehrsdatenerhebung nach § 100g, sondern (zumindest soweit, wie im Regelfall, die IP-Adressen bei einem Telemediendienstleister erhoben werden) um eine Nutzungsdatenerhebung nach § 100k. [Fn. 205: Ebenso von der Grün Verdeckte Ermittlungen S. 76 f; Brodowski StV 2022, 413 (414 ff.).] § 100g ist vom Gesetzgeber als umfassende Befugnis zur Erhebung von Verkehrsdaten ausgestaltet worden. Lediglich die Erhebung von Verkehrsdaten nach Abschluss des Kommunikationsvorgangs und nicht beim Telekommunikationsdienstleister soll hiervon nicht erfasst sein (§ 100g Abs. 5). Ein solcher Fall liegt hier jedoch nicht immer vor. Bis zur Einführung der Nutzungsdatenerhebung bei Telemediendienstleistern in § 100k (hierzu → § 100k Rn. 2) war problematisch, dass die Erhebung von Verkehrsdaten nach § 100g Abs. 1, Abs. 2 auf solche Verkehrsdaten beschränkt war, die nach §§ 96 Abs. 1, 113b TKG a.F. (ab 1. Dezember 2021: §§ 9, 12 TTDSG, § 176 TKG) oder § 2a BDBOSG erhoben wurden und daher nicht auf die Erhebung von Daten angewendet werden konnte, welche nicht nach diesen Vorschriften erhoben wurden und damit keine Verkehrsdaten i.S.v. § 100g Abs. 1 waren. Die meisten Anbieter von Internetdienstleistungen, bei denen ein IP-Catching in Frage kommt (z.B. Webseiten, Handelsplattformen, Internetforen, Soziale Medien), sind allerdings keine Telekommunikationsanbieter i.S.v. § 3 Nr. 61 TKG (bis 1. Dezember 2021: § 3 Nr. 24 TKG) und speicherten daher die Verkehrsdaten nicht nach §§ 96 Abs. 1, 113b TKG a.F. (seit 1. Dezember 2021: §§ 9, 12 TTDSG, § 176 TKG). Es handelt sich vielmehr um Telemedienanbieter i.S.v. § 1 Abs. 1 TMG iVm § 2 Abs. 2 Nr. 1 TTDSG. Dementsprechend speichern diese Provider die IP-Adressen der Nutzer nach Art. 6 Abs. 1 S. 1 DSGVO (früher § 15 TMG, zur Verdrängung von § 15 TMG in der Fassung bis 1. Dezember 2021 durch Art. 6 DSGVO und Streichung der Vorschrift durch das TTDSG seit 1. Dezember 2021, → § 100k Rn. 19 ff.). Die IP-Adressen sind daher in diesen Fällen sog. Nutzungsdaten, deren Erhebung nunmehr nach § 100k erlaubt ist. Ein Rückgriff auf § 100g Abs. 1 ist nur möglich, wenn das IP-Catching bei einem Telekommunikationsdienst i.S.v. § 3 Nr. 24 TKG (bis 1. Dezember 2021) bzw. § 3 Nr. 61 TKG n.F. (ab 1. Dezember 2021) durchgeführt wird. Daher stellt sich bei sog. OTT-Dienstleistern ein Abgrenzungsproblem hinsichtlich der Wahl der Rechtsgrundlage. Je nachdem, ob diese Telekommunikationsdienst oder Telemediendienst sind, ist § 100g oder § 100k einschlägig. Dementsprechend hat das Inkrafttreten des Telekommunikationsmodernisierungsgesetzes und des TTDSG zum 1. Dezember 2021 hier Auswirkungen auf die Wahl der Rechtsgrundlage.

1. Rechtslage bis zum Inkrafttreten von Telekommunikationsmodernisierungsgesetz und TTDSG (vor 1. Dezember 2021)

Problematisch war – bis zum Inkrafttreten des TTDSG – allerdings, dass die Neuregelung in § 100k Abs. 1 bis zum Inkrafttreten des TTDSG am 1. Dezember 2021 ausdrücklich nur die Erhebung von nach § 15 TMG (in der Fassung bis 1. Dezember 2021) gespeicherten Daten erlaubte. Wie ausgeführt, werden die IP-Adressen durch Telemediendienstanbieter jedoch auf Grundlage von Art. 6 Abs. 1 S. 1 DSGVO gespeichert, soweit es sich nicht ausnahmsweise (bei einigen OTT-Dienstleistern) nach der Rspr. des EuGH um Telekommunikationsanbieter i.S.v. § 3 Nr. 24 TKG a.F. handelt (hierzu → § 100a Rn. 229 und → Rn. 21). Der Verweis in § 100k Abs. 1 führte daher nach hier vertretener Auffassung bis zum Inkrafttreten des TTDSG ins Leere bzw. verstieße eine Lesart, welche den Verweis auf § 15 TMG (in der Fassung bis 1. Dezember 2021) als Verweis auf Art. 6 DSGVO verstehen wollte, gegen den Grundsatz der Normenklarheit und Bestimmtheit und wäre verfassungswidrig (→ § 100k Rn. 24).

2. Rechtslage nach Inkrafttreten von Telekommunikationsmodernisierungsgesetz und TTDSG (ab 1. Dezember 2021)

Durch das Inkrafttreten des TTDSG, die Streichung von § 15 TMG und die neue Definition in § 2 Abs. 2 Nr. 3 TTDSG, auf welche § 100k Abs. 1 nun verweist, wird dieses Problem allerdings durch das TTDSG gelöst. Keine große Auswirkung hat dagegen die Einbeziehung von sog. interpersonellen Telekommunikationsdiensten gem. § 3 Nr. 24 TKG n.F. in den Begriff des Telekommunikationsdienstes nach § 3 Nr. 61 TKG n.F. in der geltenden Fassung nach dem Telekommunikationsmodernisierungsgesetz auf das IP-Catching. Denn die meisten Anbieter, bei denen ein IP-Catching in Betracht kommt (Webseiten, Handelsplattformen, Host-Provider) sind auch nach Inkrafttreten des Telekommunikationsmodernisierungsgesetzes keine Telekommunikationsdienste. Allerdings kommt § 100g Abs. 1 dann als Rechtsgrundlage in Betracht, wenn das IP-Catching bei einem OTT-Dienstleister, der „interpersoneller Telekommunikationsdienst“ i.S.v. § 3 Nr. 61 iVm Nr. 24 TKG n.F. ist, durchgeführt werden soll (z.B. bei einem Webmail-Provider oder den Nutzern eines Voice-over-IP-Dienstes).

3. Gemeinsames Problem: Große Streubreite der Maßnahme

Materiell-rechtlich problematisch erscheint außerdem die große Streubreite der Maßnahme, da – ähnlich wie bei einer Funkzellenabfrage nach § 100g Abs. 3 – Verkehrs- oder Nutzungsdaten einer Vielzahl von nichtverdächtigen Personen miterhoben werden, die lediglich durch ein sachliches Kriterium (hier: Nutzung des jeweiligen Internetdienstes) verbunden sind (soweit es nicht um eine nur gegen einen einzelnen Nutzer gerichtete, sog. Login-Falle geht.). Dennoch ist – wenn überhaupt – nicht § 100g Abs. 3, sondern § 100k bzw. § 100g Abs. 1 einschlägig. [Fn. 206: So auch Bär in BeckOK StPO § 100g Rn. 26.] Abs. 3 ist eine nicht ausdehnbare Spezialvorschrift für die Funkzellenabfrage, die dementsprechend auch nicht analog auf Erhebungen von Verkehrs- oder Nutzungsdaten außerhalb einer Funkzelle angewendet werden kann. Die große Streubreite ist an zwei Stellen zu berücksichtigen: Im Rahmen der Verhältnismäßigkeit („angemessenes Verhältnis zur Bedeutung der Sache“) ist zu überprüfen, ob die Schwere der Straftat und der Grad des Tatverdachts die Erhebung von Verkehrs- oder Nutzungsdaten einer großen Vielzahl von Personen angemessen erscheinen lässt. [Fn. 207: Ebenso Bär in BeckOK StPO § 100g Rn. 26; Bruns in KK-StPO § 100g Rn. 20.] Man wird dies – in Anlehnung an die Regelung in § 100g Abs. 3 – grds. nur bei Straftaten nach § 100g Abs. 1 S. 1 Nr. 1 bzw. § 100k Abs. 1 S. 1 Nr. 1 annehmen dürfen. Keinesfalls möglich ist damit eine Anwendung des (nahezu voraussetzungslosen) § 100k Abs. 3. Weiterhin muss die Streubreite bei der Maßnahmerichtung berücksichtigt werden. Nach § 101a Abs. 1 bzw. Abs. 1a iVm § 100a Abs. 3 darf sich die Maßnahme nur gegen den Beschuldigten, Nachrichtenmittler und solche Personen richten, von denen anzunehmen ist, dass der Beschuldigte ihr IT-System benutzt. Dementsprechend ist vor jeder Durchführung einer solchen Maßnahme streng zu prüfen, ob zu erwarten ist, dass sich unter den erhobenen IP-Adressen auch solche der genannten Personengruppen befinden (dass also eine dieser Personen den Internetdienst nutzt). Keinesfalls darf das IP-Catching als „IP-Rasterfahndung“ eingesetzt werden, um erst einen Kreis von Verdächtigen zu gewinnen.

Die sehr große Streubreite und die damit einhergehende große Eingriffsintensität führen auch zu der Frage, ob nicht nach der Wesentlichkeitslehre des BVerfG [Fn. 208: BVerfG 8.8.1978 – 2 BvL 8/77, BVerfGE 49, 89 (126 f.); BVerfG 16.6.1981 – 1 BvL 89/78, BVerfG 57, 295 (327); BVerfG 27.11.1990 – 1 BvR 402/87, BVerfGE 83, 130 (142); BVerfG 6.7.1999 – 2 BvF 3/90, BVerfGE 101, 1 (34) jeweils mwN aus der vorgehenden verfassungsgerichtlichen Rspr.; Grzesick in Maunz/Dürig GG Art. 20 VI Rn. 105; zur Wesentlichkeitslehre im Strafverfahrensrecht: Hauck, Heimliche Strafverfolgung und Schutz der Privatheit, S. 141.] der Gesetzgeber über die Zulässigkeit des IP-Catchings gesondert entscheiden muss. Hierfür spricht, dass das IP-Catching hinsichtlich seiner Eingriffsintensität und der Besonderheit der großen Streubreite mit der Funkzellenabfrage nach § 100g Abs. 3 vergleichbar ist. Ähnlich wie dort die Verkehrsdaten von allen in einer (oder mehreren) Funkzellen eingeloggten Mobiltelefonen erhoben werden, werden beim IP-Catching alle IP-Adressen der Nutzer/innen erhoben, die mit einem bestimmten Server kommunizieren bzw. eine bestimmte Internetdienstleistung in Anspruch nehmen. Die sich daher stellenden Fragen hinsichtlich des Ausgleichs der großen Eingriffsintensität dieser Maßnahme durch hinreichende Eingriffsschwellen und Schutzmechanismen im Rahmen der Verhältnismäßigkeit muss der Gesetzgeber beantworten – wie er dies auch für die Funkzellenabfrage in § 100g Abs. 3 getan hat. Es bestehen daher ernstliche Zweifel daran, ob das IP-Catching – unabhängig von der Abgrenzung zwischen Verkehrs- und Nutzungsdatenerhebung sowie Fragen der Verhältnismäßigkeit bei der Einzelfallanwendung – überhaupt auf die bestehenden Rechtsgrundlagen der §§ 100g, 100k gestützt werden kann.

4. Zusammenfassung

Zusammengefasst kann die Maßnahme des IP-Catchings also nur bei denjenigen Dienstanbietern, die Telekommunikationsanbieter i.S.v. § 3 Nr. 61, 24 TKG (bis 1. Dezember 2021: § 3 Nr. 24 TKG) sind, auf § 100g Abs. 1 S. 1 gestützt werden. In der Praxis handelt es sich jedoch bei denjenigen Diensten, bei welchen ein IP-Catching gewinnbringend erscheint, in vielen Fällen um Telemediendienste. Bei den Anbietern, die als Telemediendienst i.S.v. § 1 Abs. 1 TMG iVm § 2 Abs. 2 Nr. 1 TTDSG einzuordnen sind, war ein IP-Catching bis zum Inkrafttreten von TTDSG und Telekommunikationsmodernisierungsgesetz nur möglich, wenn man – anders als hier vertreten – § 100k Abs. 1 trotz des ausdrücklichen Verweises auf § 15 TMG (in der Fassung bis 1. Dezember 2021) auch als Rechtsgrundlage für die Erhebung von nach Art. 6 Abs. 1 S. 1 DSGVO gespeicherten Nutzungsdaten versteht. Nach Inkrafttreten des TTDSG und des Telekommunikationsmodernisierungesetzes am 1. Dezember 2021 kann die Erhebung von IP-Adressen bei Telemediendiensten nun auch nach hier vertretener Auffassung auf § 100k Abs. 1 iVm § 2 Abs. 2 Nr. 3 TTDSG und § 24 TTDSG gestützt werden. Nicht möglich ist es, die weniger strenge Eingriffsnorm des § 100k Abs. 3 anzuwenden, da diese ausweislich ihres eindeutigen Wortlauts („des Nutzers“) auf die Abfrage von IP-Adressen von einzelnen Nutzern bei Telemediendiensten beschränkt ist. Nach Inkrafttreten des TTDSG und des Telekommunikationsmodernisierungsgesetzes sind außerdem viele der sog. OTT-Dienstleister als „interpersonelle Telekommunikationsdienste“ (§ 3 Nr. 24 TKG n.F.) Telekommunikationsdienste i.S.v. § 3 Nr. 61 TKG n.F. Für diese Dienstleister kann das IP-Catching jetzt auf § 100g Abs. 1 S. 1 Nr. 1 gestützt werden. Insgesamt erscheint es jedoch zweifelhaft, ob die § 100g, 100h vor dem Hintergrund der Wesentlichkeitslehre überhaupt taugliche Rechtsgrundlagen für das sog. IP-Catching sind.

Datum: 16. April 2025
Von: Johann Saathoff, BMI
An: Clara Bünger, MdB
Betreff: Schriftliche Frage
Arbeits-Nummer: 4/65
Drucksache: 21/42

Schriftliche Frage der Abgeordneten Clara Bünger vom 9. April 2025

Frage:

Wie oft haben Bundesbehörden in den letzten fünf Jahren „IP-Catching“-Maßnahmen beantragt bzw. genehmigt bekommen, und wie viele wurden tatsächlich durchgeführt (vgl. tagesschau.de), bitte nach Status und Jahr auflisten)?

Antwort:

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beantwortung gestellter Fragen in der Öffentlichkeit angelegt. Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann. Die Bundesregierung ist nach sorgfältiger Prüfung zu der Auffassung gelangt, dass aufgrund der Schutzbedürftigkeit der erfragten Informationen eine Beantwortung der Frage in offener Form teilweise nicht erfolgen kann.

Die Schriftliche Frage begehrt hinsichtlich der Zollverwaltung Auskunft zu Sachverhalten, die aufgrund der Folgen, die bei ihrer Veröffentlichung zu erwarten sind, als „geheimhaltungsbedürftige Tatsachen“; im Sinne des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Verschlusssachenanweisung (VSA) als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ (VS-NfD) einzustufen sind. Die Kenntnisnahme von Einzelheiten zu technischen Fähigkeiten der Zollverwaltung könnte sich nach der Veröffentlichung der Antworten der Bundesregierung nachteilig für die Interessen der Bundesrepublik Deutschland auswirken. Aus dem Bekanntwerden könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf „Modi Operandi“ und die Fähigkeiten der Zollverwaltung ziehen. Im Ergebnis würde dadurch die Funktionsfähigkeit der Zollverwaltung beeinträchtigt und ermittlungstaktische Verfahrensweisen und mithin die Sicherheit der Bundesrepublik Deutschland gefährdet.
Daher ist die Antwort insoweit VS-NfD eingestuft und wird als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmten Anlage übermittelt.

Hinsichtlich des Bundesnachrichtendienstes (BND), des Bundesamtes für Verfassungsschutz (BfV) und des Bundesamtes für den Militärischen Abschirmdienst (BAMAD) ist die Bundesregierung nach sorgfältiger Abwägung der widerstreitenden Interessen zu der Auffassung gelangt, dass eine Beantwortung der Frage ebenfalls nicht in offener Form erfolgen kann.
Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der Nachrichtendienste des Bundes und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten der Nachrichtendienste des Bundes sowie der Fernmeldeaufklärung des BND stellt für deren Aufgabenerfüllung einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde in zunehmendem Maße zur Ineffektivität der eingesetzten Mittel führen, da Personen im Zielspektrum der Maßnahmen sich auf die Vorgehensweisen und Fähigkeiten der Sicherheitsbehörden einstellen und entsprechend auf andere Kommunikationswege ausweichen könnten. Dies hätte – mit Blick auf das Kommunikationsverhalten der im Fokus stehenden Akteure – eine wesentliche Schwächung der den Nachrichtendiensten des Bundes zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung zur Folge. Dies würde für die Auftragserfüllung von BND, BfV und BAMAD erhebliche Nachteile zur Folge haben. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen.
Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß § 2 Absatz 2 Nummer 2 der VSA „GEHEIM“ eingestuft und werden zur Einsichtnahme in der Geheimschutzstelle des Deutschen Bundestages hinterlegt.

Die Bundespolizei hat in den letzten fünf Jahren keine „IP-Catching“-Maßnahme durchgeführt.

Zu dem in der zitierten Pressemeldung genannten Sachverhalt wird mitgeteilt, dass das BKA im Rahmen von strafrechtlichen Ermittlungen und auf Basis eines richterlichen Beschlusses tätig gewesen ist.
Weitergehende Auskünfte zum BKA sind geheimhaltungsbedürftig und berühren in besonders hohem Maße das Staatswohl, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik des BKA stehen. Nach sorgfältiger Abwägung ist die Bundesregierung zu dem Schluss gekommen, dass auch das geringfügige Risiko ihrer Offenlegung nicht getragen werden kann.
Eine VS-Einstufung und Hinterlegung der in diesen Fragen angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der genannten Fähigkeiten für die Aufgabenerfüllung des BKA nicht ausreichend Rechnung tragen, weil insoweit auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden kann (vgl. BVerfGE 124, 78 [139]).

Beim Generalbundesanwalt beim Bundesgerichtshof (GBA) werden die fragegegenständlichen Informationen statistisch nicht erfasst, so dass eine Beantwortung mit zumutbarem Aufwand nicht möglich ist. Zur Beantwortung wäre die händische Sichtung und einzelfallbezogene Auswertung aller in den letzten fünf Jahren geführten Ermittlungsverfahren des GBA erforderlich, was die Ressourcen in der betroffenen Abteilung für einen nicht absehbaren Zeitraum vollständig beanspruchen und deren Ermittlungsarbeit zum Erliegen bringen würde.

Zerschlagung von Big Tech: Warum es für Alphabet, Meta & Co. eng werden könnte

28.04.2025 18:33

Schulter an Schulter: Von Mark Zuckerberg (Meta) über Jeff Bezos (Amazon) bis zu Sundar Pichai (Google) war die Tech-Oligarchie fast geschlossen bei der Amtseinführung von Donald Trump versammelt. – Alle Rechte vorbehalten Bild: IMAGO / ABACAPRESS; Bearbeitung: netzpolitik.org

Es sind schwierige Wochen für Alphabet. Erst im Vorjahr hatte ein US-Bundesgericht in Washington, D.C., nach einem langen Verfahren festgestellt, dass der Konzern seine unrechtmäßig erlangte Marktmacht missbraucht. Vor wenigen Tagen folgte der nächste Paukenschlag: Eine Bundesrichterin in Virginia kam zu dem Schluss, dass Google, die bekannteste Tochter des Tech-Konzerns, ein illegales Monopol bei bestimmten Online-Werbetechnologien errichtet hat.

Was vor wenigen Jahren noch kaum denkbar war, scheint in den USA immer näher zu rücken: Als Antwort auf die Dominanz großer Tech-Konzerne steht zunehmend ihre Aufspaltung zur Debatte. Alphabet könnte dabei nur der Anfang sein.

Ob es soweit kommt, dürfte schon bald entschieden sein. Vor allem das Verfahren zum Missbrauch von Marktmacht, das aus dem Jahr 2020 stammt, neigt sich langsam dem Ende zu. Am vergangenen Montag begann eine für drei Wochen angesetzte Verhandlung in der US-Hauptstadt. Sie wird darüber befinden, ob Google beispielsweise seinen Chrome-Browser abspalten und aus dem Unternehmen lösen muss, wie es das US-Justizministerium verlangt.

Entflechtung als Ultima Ratio

Bald 30 Jahre ist es her, seit Google als einst kleines Start-up die Online-Suche revolutioniert hat. Dabei ist es nicht geblieben. Über die Jahre hat sich das Unternehmen in weiten Teilen des Internets breitgemacht und mit Hilfe von Firmenübernahmen das Geschäft mit Online-Werbeanzeigen unter seine Kontrolle gebracht – die mit Abstand wichtigste Cash-Cow des Unternehmens. Allein im letzten Quartal 2024 hat Alphabet insgesamt 96,5 Milliarden US-Dollar umgesetzt, rund 72 Milliarden davon stammten aus dem Werbegeschäft. Insgesamt fuhr der Konzern in dem Jahr einen gigantischen Gewinn von 100 Milliarden US-Dollar ein.

„Google hat eine umfassende, gestaffelte Monopolstellung und eine lange Geschichte des Machtmissbrauchs“, sagt Ulrich Müller von Rebalance Now. Die Nichtregierungsorganisation will die wachsende Monopolisierung der Wirtschaft zurückdrängen. Gerade Google sei ein Kandidat dafür, „entflechtet“ zu werden, wie eine Aufspaltung im Fachjargon heißt. Gepaart mit sogenannten Netzwerkeffekten, die bestehende Abhängigkeiten verstärken, habe die wettbewerbswidrige Unternehmensstrategie des kalifornischen Konzerns seine Monopolstellung gesichert, führte Müller im vergangenen Herbst in einem Gastbeitrag für netzpolitik.org aus.

Vor allem im Werbe-Bereich hielt Google bislang alle Fäden in der Hand, nun könnten sie nach und nach durchtrennt werden. Das Gericht in Washington hatte entschieden, dass Google ein Monopol in den Märkten für allgemeine Online-Suche sowie für allgemeine Text-Werbung neben Suchergebnissen habe. Diese Dominanz habe Google zudem mit unlauteren Mitteln gefestigt, indem es milliardenschwere Verträge mit Browser-Herstellern wie Apple und Mozilla, Smartphone-Herstellern wie Samsung und Motorola und großen US-Netzbetreibern abgeschlossen hat.

Für Google zahlt sich das aus: Einmal als Standard-Suchmaschine in praktisch allen führenden Browsern eingerichtet, rüttelt kaum jemand an der Einstellung und bleibt im Google-Ökosystem. Oder nutzt ohnehin Chrome, den Google-eigenen Browser, der im Laufe des vergangenen Jahrzehnts fast überall auf der Welt seine Konkurrenz hinter sich gelassen hat.

Online-Werbung fest im Griff

Ein anderes Standbein greift nun das jüngste Urteil aus Virginia an. Demnach besitze Google ein Monopol auf den Märkten für die Technologie, mit denen es täglich Abermilliarden an Werbeanzeigen vermittelt und ausliefert. Dahinter steckt eine gut geölte Maschine, die bei fast jedem Aufruf einer Website versucht, in Sekundenschnelle die richtige Werbeanzeige für das jeweilige Profil der Nutzer:in zu finden. Auch hier spiele Google unsauber, so das Gericht: Bei den Tools, mit denen beispielsweise Nachrichtenseiten freie Anzeigeplätze bereitstellen und umgekehrt Inserenten Werbeeinblendungen platzieren, habe Google seine Marktmacht missbraucht.

Verschont geblieben sind in diesem Verfahren lediglich die Übernahmen der AdTech-Unternehmen DoubleClick im Jahr 2007 und von Admeld vier Jahre später. Aus Sicht der Richterin hätten diese Zukäufe Google zwar dabei geholfen, eine Monopolstellung in zwei benachbarten Ad-Tech-Märkten zu erlangen. Isoliert betrachtet ließe sich jedoch nicht nachweisen, „dass Google diese Monopolstellung durch Verdrängungspraktiken erlangt oder aufrechterhalten hat“, heißt es im Urteil.

Ein Produkt des Neoliberalismus

Dass Google diese Übernahmen überhaupt durchführen konnte, ist dem neoliberalen Laissez-faire-Ansatz zu verdanken, der sich seit den 1970er-Jahren zunächst in den USA breitmachen konnte. Demnach sind Zusammenschlüsse selbst überragend großer Unternehmen unproblematisch, solange dies Verbraucher:innen nicht schädigt. Sogar grundsätzlich starke Gesetze und Richtlinien seien ab Mitte der 1980er-Jahre von Aufsichtsbehörden „größtenteils ignoriert“ worden, „weil sie davon ausgingen, dass staatliche Eingriffe die Dinge eher verschlimmern als verbessern würden“, so die ehemalige Chef-Juristin der Handelsbehörde FTC, Debra Valentine.

Entsprechend hat sich seitdem das Internet und seine Ökonomie entwickelt: Es ist von Zentralisierung und Monopolbildung bestimmt, von Kommerzialisierung und privatisierter Rechtsdurchsetzung, von durchleuchteten Verbraucher:innen, die mehr Produkt sind als Nutzer:innen auf Augenhöhe. Nicht von ungefähr lässt sich das derzeit dominierende Geschäftsmodell im Internet, von der Wirtschaftswissenschaftlerin Shoshana Zuboff „Überwachungskapitalismus“ getauft, auch ganz anders deuten: Genau die Werbemärkte, auf denen Google seine Dominanz ausspielt, seien „die Märkte, die ein offenes und freies Internet möglich machen“, argumentiert das US-Justizministerium.

Handlungsspielraum von Big Tech wird kleiner

Alphabet ist beileibe nicht der einzige Tech-Konzern, der zunehmend seine Grenzen aufgezeigt bekommt. US-Kartellverfahren laufen derzeit unter anderem gegen den iPhone-Hersteller Apple oder gegen den Online-Riesen Amazon. Beide sollen mit illegal aufgestellten Hürden den Wettbewerb behindert und somit den Markt geschädigt haben. Die juristischen Angriffe kommen hierbei von mehreren Seiten: Während in ersteren Fällen das Justizministerium Anklage erhoben hat, ist im Verfahren gegen Amazon die FTC federführend.

Angestrengt hatte die Regulierungsbehörde, gemeinsam mit fast allen Bundesstaaten, ein weiteres aufsehenerregendes Verfahren. Seit Mitte April muss sich der Werbekonzern Meta einem Prozess in Washington stellen. Demnach soll das Unternehmen vor rund einem Jahrzehnt die damals aufstrebenden Konkurrenten Instagram und WhatsApp aufgekauft haben – um laut FTC das eigene Platzhirschprodukt Facebook abzuschirmen. Trotz der berappten Milliardensummen habe man sich so vergleichsweise günstig die Vorherrschaft auf Zukunftsmärkten gesichert.

Bis zum letzten Moment war gar nicht klar, ob dieses Verfahren überhaupt durchgefochten wird. Zum einen hatte Meta eine Karte gezogen, die in der Vergangenheit meist funktioniert hat: Gegen Zahlung eines mehr oder weniger hohen Betrags, die Börsenlieblinge wie Meta oder Alphabet aus der Portokasse bezahlen, ließen sich solche Streitigkeiten außergerichtlich und ohne Schuldeingeständnis lösen. Medienberichten zufolge hatte Meta bis zu einer Milliarde US-Dollar angeboten, um einer Verhandlung zu entgehen.

Kniefall vor Trump

Zum anderen hatte wohl nicht nur Meta-Chef Mark Zuckerberg darauf vertraut, sich mit der Regierung von Donald Trump schon irgendwie einigen zu können. Wie viele andere Tech-Bosse, darunter Apple-Chef Tim Cook oder Google-Chef Sundar Pichai, hatte sich Zuckerberg bei den neuen Machthabern angedient: Moderationspraktiken wurden im Sinne der Republikaner umgebaut, mit Joel Kaplan ein in konservativen Kreisen bestens vernetzter Republikaner zum Politik-Chef bestellt und selbst unternehmensinterne Diversitätsinitiativen kurzerhand abgeschafft.

Dass der für Korruption sonst so anfällige Trump, von Zuckerberg wiederholt persönlich umgarnt, bislang nicht darauf eingestiegen ist, dürfte vor allem auf seine bis heute nicht verwundene Wahlniederlage im Jahr 2020 zurückzuführen sein. Ominöse Mächte hätten sich, so die Erzählung unter Trump-Getreuen, hinter den Kulissen zusammengerauft, um konservative Stimmen zum Verstummen zu bringen und den Demokraten zum Wahlsieg zu verhelfen.

Zu diesen Mächten sollen auch Big-Tech-Unternehmen zählen, so die MAGA-Fans. Deshalb werden sie derzeit auch von der neu besetzten FTC unter die Lupe genommen: Gleich nach seinem Amtsantritt hatte Behörden-Chef Andrew Ferguson, Nachfolger der progressiven Lina Khan, eine Untersuchung eingeleitet. Sie soll zutage fördern, „wie diese Firmen möglicherweise gegen das Gesetz verstoßen haben, indem sie Amerikaner zum Schweigen brachten und einschüchterten, weil sie ihre Meinung äußerten“, so Ferguson. Auch die nach dem Sturm des Kapitols zeitweise verhängten Accountsperren gegen Trump könnten auf geheime Absprachen innerhalb der Tech-Branche zurückzuführen sein, so Ferguson.

„Wir leben jetzt in anderen Zeiten“

Üblicherweise liegt der Fokus in Kartellrechtsverfahren auf wirtschaftlichen Aspekten. Offenkundig spielen die bei den aktuellen FTC-Untersuchungen eine nur untergeordnete Rolle. In dem Meta-Verfahren gehe es darum, die „Macht von Meta zu konfrontieren und sicherzustellen, dass die Situation, die wir im Jahr 2020 hatten, nie wieder auftreten kann“, ließ Ferguson unlängst durchblicken.

Ähnlich gelagert sind die Argumente des Vize-Präsidenten JD Vance, der seine politische Karriere nicht zuletzt dem libertären Monopol-Fan Peter Thiel zu verdanken hat. Vance scheint vor allem die vermeintliche Linkslastigkeit der Unternehmen zu stören: „Die monopolistische Kontrolle über Informationen in unserer Gesellschaft liegt bei einem explizit progressiven Tech-Unternehmen“, wetterte der sonst so wirtschaftsfreundliche Vance im Vorjahr gegen Google.

Liegen Monopole und Kontrolle jedoch in der Hand politischer Verbündeter, allen voran in jener des Trump-Vertrauten Elon Musk, scheinen die Bedenken nicht sonderlich stark ausgeprägt zu sein. So kündigte Anfang April die Sozialversicherungsbehörde an, lokale Büros zu schließen. Wie die meisten Bundesbehörden ist sie von einem beispiellosen Kahlschlag betroffen und wird deshalb auch keine Mitteilungen mehr auf ihrer Website veröffentlichen. Künftig soll die Öffentlichkeit stattdessen offenbar exklusiv über das soziale Netzwerk X von Musk informiert werden.

„Ich weiß, das klingt für Sie wahrscheinlich sehr fremd – mir ging es genauso – und nicht nach dem, was wir gewohnt sind, aber wir leben jetzt in anderen Zeiten“, sagte eine Sprecherin der Behörde.

OnlyFans: Schweden will Bezahlung von Camshows kriminalisieren

28.04.2025 17:07

Eine Person räkelt sich auf dem Boden, andere filmen sie. — OnlyFans-Creators bei einer Modeschau in New York: Zählt das in Schweden schon als sexuelle Dienstleistung? – Alle Rechte vorbehalten IMAGO / Copyright: John Marshall Mantel

In Schweden soll es strafbar werden, für sexuelle Dienstleistungen zu zahlen, die „über Distanz, ohne Kontakt ausgeübt werden“. Ein bestehendes Gesetz soll so erweitert werden, dass auch Zahlungen auf Online-Plattformen wie OnlyFans erfasst werden. Die Regierung von Ulf Kristersson hat dazu einen Entwurf ins Parlament eingebracht.

Bereits jetzt ist es in Schweden verboten, für sexuelle Dienstleistungen zu zahlen. Strafbar machen sich die Kund:innen, während Anbieter:innen straffrei bleiben. Dieser Ansatz, bekannt als „Nordisches Modell“, galt bisher allerdings nur für den physischen Kontakt. Das soll sich nun ändern.

Laut Entwurf, der ab Juli in Kraft treten soll, soll künftig bestraft werden, wer eine Person dazu „verleitet, eine sexuelle Handlung gegen Entgelt vorzunehmen oder zu dulden, um daran teilzunehmen oder sie vorgeführt zu bekommen“. Künftig wäre damit auch strafbar, Erotikmodels auf Plattformen wie OnlyFans für sexuelle Handlungen vor der Kamera zu bezahlen.

„Verletzlich wie bei sexuellen Handlungen mit Körperkontakt“

Schwedens Umgang mit Sexarbeit basiert auf der Vorstellung, dass sie eine Form der männlichen Gewalt ist, vor der vor allem Frauen geschützt werden müssten. Dieses Schutzinteresse, so heißt es im Entwurf, beziehe sich auch auf Online-Handlungen: Eine Person, die über eine Webcam interagiert, könne sich „mindestens genauso verletzlich fühlen wie bei sexuellen Handlungen mit Körperkontakt“.

Auch die Polizei sehe Plattformen wie OnlyFans als Orte, von denen Kinder und Jugendliche in die Prostitution gezogen würden, heißt es in der Gesetzesbegründung.

Vorschlag bedroht Sexarbeiter:innen

Diejenigen, die das Gesetz schützen soll, kritisieren den Vorstoß. „Ich kann nicht in Schweden bleiben, wenn das eingeführt wird“, sagt die Porno-Influencerin Cina i Varberg dem Sender SVT. Die OnlyFans-Anbieterin Cara berichtet, sie und andere Creatorinnen fürchteten nun, dass OnlyFans sie rechtlich ausschließen könnte – da Plattformen sich auch strafbar machen, wenn sie die sexuellen Dienstleistungen weiter zulassen.

Auch die European Sex Workers Rights Alliance (ESWA) fordert das Parlament auf, den Entwurf abzulehnen. Der Vorschlag sei rückschrittlich und eine Bedrohung für die Privatsphäre, Sicherheit und Existenzgrundlage von Sexarbeiter:innen, schreibt der Dachverband. Die Kriminalisierung führe zu mehr Überwachung und dränge Betroffene weiter an den Rand.

Menschenrechtsorganisationen wie Amnesty International kritisieren das Nordische Modell. Sie argumentieren, dass die Kriminalisierung der Kund:innen faktisch den Rechten von Sexarbeiter:innen schadet. Sie müssten in der Folge höhere Risiken eingehen, um Kund:innen vor der Polizei zu schützen, etwa zu diesen nach Hause gehen. Eine Ausweitung des Verbots auf Online-Dienstleistungen würde diesen Effekt noch verstärken, fürchtet ESWA.

Pornos kaufen bleibt erlaubt

Der Verband kritisiert zudem die vagen Formulierungen. Wie sollen etwa Begriffe wie „verleiten“ ausgelegt werden. Tatsächlich bemüht sich der Entwurf an mehreren Stellen um Abgrenzung, bleibt dabei aber schwammig. So soll etwa ein einfacher Striptease oder schlichte Nacktheit vor der Kamera noch keine Darstellung eines „sexuellen Akts“ sein. Wenn jemand vor der Kamera masturbiert, macht sich die Person, die dafür bezahlt, hingegen strafbar.

Für die künftige Strafverfolgung heißt das womöglich: Gerichte werden auslegen müssen, ob eine Performerin, die sich gegen Geld auszieht, sich lediglich aufreizend entkleidet oder ob sie dabei schon erogene Körperzonen berührt hat.

Auch den Kauf von Pornografie als Ganzes will die schwedische Regierung nicht unter Strafe stellen. Für eine Strafbarkeit soll demnach entscheidend sein, ob jemand die andere Person dazu veranlasst hat, eine sexuelle Handlung gegen Entgelt vorzunehmen oder ob die das ohnehin getan hätte. „Der Kauf eines zuvor aufgezeichneten Films, die Bezahlung für das Abonnieren eines Kontos, auf dem regelmäßig pornografisches Material gepostet wird, oder der sonstige Zugriff auf Pornografie ohne Einflussnahme auf deren Inhalt würde daher nicht unter die strafrechtliche Verantwortlichkeit fallen“.

OnlyFans will Justizminister treffen

Schweden war 1999 das erste Land weltweit, das ein Verbot für den Kauf von sexuellen Dienstleistungen einführte. Später haben auch Norwegen, Island, Kanada oder Frankreich das Nordische Modell in unterschiedlichen Varianten übernommen.

OnlyFans hat unterdessen um ein Treffen mit Justizminister Gunnar Strömmer gebeten, um Einfluss auf das Gesetz zu nehmen, berichtet die schwedische Zeitung Svenska Dagbladet. „In Schweden zahlt OnlyFans jedes Jahr zwölf Millionen Dollar an Steuern, während die Plattform einzelnen Kreativen – darunter viele Frauen, LGBTQ+-Personen und marginalisierte Unternehmer:innen – die Möglichkeit bietet, sich unabhängig zu finanzieren“, sagt dort eine Sprecherin des Unternehmens.

Korrektur 30.4.: Wir haben die Schreibweise der Zeitung Svenska Dagbladet korrigiert.

Designiertes Bundeskabinett: Vom Lobbyisten zum Digitalminister

28.04.2025 14:03

Karsten Wildberger vor Mediamarkt-Werbung — Kommt mit dem Mediamarkt-Minister der volle Empfang? – Alle Rechte vorbehalten Hintergrund: IMAGO/MIS, Wildberger: IMAGO/Funke Foto Services

CDU und CSU haben am Montag verkündet, wer die Bundesministerien unter der wahrscheinlichen künftigen Kanzlerschaft von Friedrich Merz leiten soll. Viele der Namen waren bereits seit Wochen im Gespräch: So wird Dorothee Bär (CSU) wie erwartet die neue Forschungs- und Raumfahrtministerin, das Innenministerium geht an ihren Parteikollegen Alexander Dobrindt. Der Name des designierten CDU-Digitalministers jedoch stand auf keiner der Listen, die in den letzten Tagen in der Medienlandschaft kursierten: Karsten Wildberger soll den Posten bekommen.

Wildberger ist promovierter Physiker, nach seiner Hochschulzeit arbeitete er bis 2003 zunächst in der Unternehmensberatung bei der Boston Consulting Group und wechselte dann zu T-Mobile, wo er in Großbritannien und Deutschland tätig war. Ab 2006 war er bei Vodafone Rumänien in verschiedenen Vorstandspositionen, kehrte dann für zwei Jahre zur Unternehmensberatung zurück, um ab 2013 in die Geschäftsführung des australischen Telekommunikationsunternehmens Telstra zu wechseln. Ab 2016 war er fünf Jahre lang Vorstandsmitglied beim Energieversorger E.on SE, bis er 2021 seine bisherigen Posten übernahm: Seitdem ist er Vorstandsvorsitzender der Ceconomy AG und Geschäftsführungsvorsitzender der Media-Saturn-Holding GmbH.

Wildberger war in der Vergangenheit kein Politiker, hat sich aber schon seit 2017 im Wirtschaftsrat der CDU engagiert. Der Verein ist kein offizielles Parteigremium, sondern vielmehr ein Lobbyverband von CDU-nahen Unternehmer:innen. Auch Wildberger ist bislang im Lobbyregister des Bundestags als Interessensvertreter eingetragen, 2021 wurde er zum Vizepräsidenten des Vereins. Von dort dürfte er auch Friedrich Merz kennen, den er in dieser Position ablöste.

Sonntagsöffnung und Elektroabwrackprämie

Seine bisher prominentesten politischen Forderungen bezogen sich bisher darauf, etwa die Sonntagsöffnung von Läden zu erlauben oder eine Abwrackprämie für Elektroaltgeräte einzuführen.

Der 56-Jährige wird seine Aufgaben bei der Ceconomy AG zum 5. Mai aufgeben. In einer Pressemitteilung (PDF) teilt er mit : „Digitalisierung und Technologie waren prägende Themen meiner beruflichen Laufbahn, und das neue Ministerium wird eine entscheidende Rolle bei der Modernisierung unseres Landes spielen.“

Im Januar äußerte sich Wildberger auf einer Wirtschaftsrat-Veranstaltung über seine Erwartungen an die kommende Bundesregierung und wünschte sich unter anderen Mut zur Innovation und eine klare Führung, wobei er Meta-Chef Mark Zuckerberg und seine Virtual-Reality-Investitionen als Beispiel nannte. Im Gegensatz zu Zuckerberg, der mit dem VR-Geschäft bisher jährlich Milliardenverluste macht und wohl weiter auf den Durchbruch hofft, soll Wildberger nun die deutsche Verwaltung schnell auf Vordermann bringen.

Doch statt einen Konzern umzubauen, muss er nun ein neues Ministerium aufbauen. Mit Mottos seiner bisherigen Märkte wie „Geiz ist geil“ lassen sich die notwendigen Investitionen in die digitale Infrastruktur ganz sicherlich nicht überschreiben. Auch das Zuständigkeitswirrwarr von Kommune bis Bund mit zahlreichen Räten und Gremien dazwischen dürfte den Unternehmensgewöhnten vor neue Probleme stellen.

Vom Unternehmen zum Politikbetrieb

Ein weiterer Kampf, der sich andeutet, betrifft die Frage: Wofür soll das Digitalministerium überhaupt zuständig sein? In seiner neuen Rolle dürfte Wildberger früh auf Widerstände stoßen, denn im neuen Haus sollen Bereiche gebündelt werden, die bisher in der Hoheit anderer Häuser lagen. Die Verwaltungsdigitalisierung war etwa bisher im Innenministerium angesiedelt, die Startup-Förderung im Wirtschaftsministerium. Ob es dabei zu Konflikten und Verzögerungen kommt und ob sich seine Management-Fähigkeiten aus der Privatwirtschaft ohne weiteres auf einen Staatsapparat übertragen lassen werden, wird sich zeigen müssen.

Kristina Sinemus, die ebenfalls als Quereinsteigerin in die Politik wechselte und in Hessen das Digitalministerium aufbaute, sagte in einem Interview aus dem Jahr 2022 zu den Kulturunterschieden zwischen Politik und Wirtschaft: „Ich habe lernen müssen, dass Verwaltungshandeln umfassend abgesichert sein muss und mit einem Wirtschaftsunternehmen grundsätzlich nicht vergleichbar ist.“ Sinemus war in mehreren Medienberichten als wahrscheinliche Kandidatin für das Bundesministerium genannt worden, gerade aufgrund ihrer Erfahrung im Aufbau eines gänzlich neuen Ressorts. Doch offenbar setzte sich der Wunsch durch, jemanden „von außen“ auf den anspruchsvollen Posten zu rufen.

Zur Seite steht dem designierten Digitalminister dabei einer mit zwar weniger Lebensjahren, aber dennoch mehr realpolitischer Erfahrung: Philipp Amthor. Der CDU-Mann aus Mecklenburg-Vorpommern ist häufiger beim Wirtschaftsrat zu Gast und soll neben Thomas Jarzombek einer der Parlamentarischen Staatssekretäre im neuen Ministerium werden. 2020 geriet er in einen Lobbyskandal, der sich um sein Verhältnis zum Unternehmen Augustus Intelligence drehte, später kamen Betrugsvorwürfe dazu, die der Insolvenzverwalter des inzwischen Pleite gegangenen Startups erhob. Kürzlich bezeichnete Amthor seine Tätigkeit für Augustus Intelligence als seinen „größten politischen Fehler“. In den Koalitionsverhandlungen hatte eine Arbeitsgruppe unter seiner Führung die Abschaffung des Informationsfreiheitsgesetzes in seiner bisherigen Form gefordert.

Ob die Wirtschaftsfreunde, die nun das Staatswesen modernisieren sollen, auch die gesellschaftlichen Fragen der Digitalisierung und nicht nur Effizienzsteigerung und Wirtschaftsförderung im Blick haben? Ihr Profil lässt davon wenig ahnen. Doch gerade Fragen der Teilhabe und sozialer Gerechtigkeit sind bei der Digitalisierung der Verwaltung ebenso unerlässlich wie die Einbindung der Zivilgesellschaft.

Hinweis: Wir haben den Vornamen des designierten Innenministers Dobrindt korrigiert.

netzpolitik.org

Cloud-Act könnte Zugriff ermöglichen

Souverän geht anders

Unverzichtbar für die digitale und grüne Transformation

Menschen müssen Minen weichen

„Extraktivismus seit dem Kolonialismus“

Hier fährt niemand Tesla

Ein „kritischer Rohstoff“ für die EU

Freiwillige Maßnahmen reichen nicht aus

„Das ist ein Hauptargument des Raubtierkapitalismus“

Schwarz-Rot auf Linie mit der Industrie

Auch bei der EU droht ein Kahlschlag

„Das ist gerade ein absolut entscheidender Moment“

Erste Säule: Moderner Staat mit digitaler Verwaltung

Ringen um ITZBund

Weitgehende Hoheit über IT-Ausgaben

Offene Fragen und Widersprüchliches

Zweite Säule: Daten- und Internationale Digitalpolitik

Dritte Säule: Digitale Infrastruktur

Wo das Digitalministerium nicht zum Zuge kommt

Streit noch nicht vorbei

Allein eine Firma macht 15 Milliarden Dollar Umsatz

Gegen die Intransparenz der Outsourcing-Branche

Moderator:innen kämpfen für Gerechtigkeit

Die Karte

Neue alte Unsicherheit

Karl Lauterbach taucht ab

Gezielte Entmachtung von BSI und BfDI

Die offene Frage nach der Verantwortung

Beteiligung der Zivilgesellschaft ein Muss

Negativ-Beispiel Chatkontrolle

Eine „Beschäftigung“ im eigentlichen Sinne

Aufrecht nur im Abbild

Fehlende Widmung und Geduld

Wo einer arbeitet, verdient der andere

Der Wolf im Schafspelz

Breakpoint: Der heilige Stuhl ist leer

Netzneutralität: Beschwerde gegen Telekom wegen absichtlicher Netzbremse

Designiertes Bundeskabinett: Vom Lobbyisten zum Digitalminister

OnlyFans: Schweden will Bezahlung von Camshows kriminalisieren

Zerschlagung von Big Tech: Warum es für Alphabet, Meta & Co. eng werden könnte

IP-Catching: Die Überwachungs-Maßnahme, die geheim bleiben soll

Neuer Innenminister: Dobrindts zweiter Versuch

EU-Regeln für KI-Modelle: Wenn meine KI keinen Atomkrieg startet, darf sie dann rassistisch sein?

Ungarns Pride-Verbot: Abgeordnete machen Druck auf EU-Kommission

Gegen Deepfakes: US-Kongress verabschiedet Take It Down Act

Studie: Druck und Überwachung per Arbeits-App

Gerichtshof für Menschenrechte: Serbien soll Schallwaffe stecken lassen

mSpy: netzpolitik.org soll für eine Spionage-App werben

Account gesperrt: Sie haben Pornos rezensiert, dann warf Instagram sie raus

Transparenzbericht 1. Quartal 2025: Unsere Einnahmen und Ausgaben und die Suche nach Substanz

Pressefreiheit: Journalist*innen weltweit in Gefahr

In eigener Sache: Podcast von netzpolitik.org erhält Auszeichnung zum Tag der Pressefreiheit

#295 Off The Record: Eure Fragen an uns – und was Trumps Zölle netzpolitisch macht

Links und Infos

Ehrung als politisches Signal

AfD, Nahost und True Crime

200 tote Journalist*innen

Wirtschaftliche Abhängigkeit

Die harten Zahlen: 1. Quartal 2025

Unsere Spendeneinnahmen

Das vorläufige Ergebnis

Bitte um Erklärung perlt einfach ab

„Haben uns schon freiwillig selbst zensiert“

Reporter ohne Grenzen: „betrifft Freiheit der Berichterstattung“

GFF: Nutzer*innen über Gründe informieren

Automatisiertes E-Mail-Bombardement

Das Geschäft mit Affiliate-Links

„Die Verantwortung liegt ausschließlich bei den Benutzern“

BizzOffers blockt, aber „Andy“ antwortet

Unternehmen nicht auffindbar

Ein von außen kommender Reiz

Interaktive Karte

Micromanaging und Überwachung

Digitale Starrheit

Bildbasierte Gewalt nimmt zu

Schwammige Formulierungen

Pride als Zielscheibe

Greift die Kommission ein?

Menschenrechte und Datenschutz in Gefahr