Für eine dreistellige Millionensumme sollen SAP und Telekom eine „KI-Cloud“ für die öffentliche Verwaltung bauen. Digitalminister Karsten Wildberger nennt das souverän. Unabhängig wird Deutschlands Verwaltung damit nicht, warnen Opposition und Fachleute.
Karsten Wildberger freut sich auf die KI-Cloud für die Verwaltung. (Symbolbild) – Alle Rechte vorbehalten: IMAGO / dts Nachrichtenagentur
Für 250 Millionen Euro sollen deutsche Konzerne IT-Infrastruktur für die öffentliche Verwaltung aufbauen. Im Mittelpunkt steht eine „KI-Cloud“. Das sind Server, auf denen KI-Software laufen soll.
Damit setzt Digitalminister Karsten Wildberger (CDU) seinen KI-freundlichen Kurs fort. Zuletzt hatte er den Agentic AI Hub gestartet. Sogenannte KI-Agenten sollen Beamt*innen zum Beispiel dabei helfen, Dokumente auf Vollständigkeit zu prüfen. Im Gegensatz zu Sprachmodellen wie ChatGPT geben KI-Agenten nicht nur Antworten, sondern erfüllen Aufgaben mit digitalen Werkzeugen.
Die neue „KI-Cloud“ soll nun „zur zentralen Schaltstelle für die öffentliche Verwaltung werden“, erklärt das Digitalministerium. Zunächst soll die KI-Plattform KIPITZ dorthin umziehen. Die Cloud sei das „Rückgrat einer souveränen, digitalen und KI-fähigen Verwaltung“, sagt der Digitalminister. Die dafür veranschlagten 250 Millionen Euro will sein Ministerium an zwei Konsortien verteilen: 70 Prozent erhalten die Telekom-Tochter T‑Systems und SAP; weitere 30 Prozent ein Konsortium um den Wiesbadener IT-Dienstleister SVA.
Wie die Deutsche Presse-Agentur berichtet, sei der Auftrag „bewusst zweigeteilt“ worden, um die Abhängigkeit von nur einem Anbieter zu umgehen. Wildberger sprach von einer „Infrastruktur, die wir selbst kontrollieren“. Telekom-Chef Tim Höttges sagte: „Zusammen sorgen wir dafür, dass Deutschland und Europa die digitale Zukunft selbst in der Hand haben.“ Das soll unter anderem mit SAPs „Business AI Platform“ geschehen. SAP-Chef Christian Klein zeigte sich zufrieden, dass seine KI-Cloud „Teil des Deutschland-Stacks“ werden soll.
Bund zahlt hunderte Millionen für Lizenzen
SAP profitiert bereits in großem Stil von Steuergeldern: Allein im Haushaltsjahr 2025 überwies der Bund an das deutsche Softwareunternehmen 110 Millionen Euro für Lizenzen und weitere 71 Millionen Euro für Produkte und Dienstleistungen. Das zeigt die Antwort der Bundesregierung auf eine Schriftliche Frage von Sonja Lemke von der Linksfraktion, die netzpolitik.org vorliegt.
Zum Vergleich: Im selben Jahr hat der Bund 481 Millionen Euro für Microsoft-Lizenzen ausgegeben. Die Kosten sind im Vergleich zu den beiden Vorjahren stetig gestiegen: 2023 waren es noch rund 274 Millionen Euro, ein Jahr später bereits rund 348 Millionen.
Nicht nur Lizenzen großer US-Unternehmen sind „ein wahnsinniger Kostenfaktor“, kommentiert die Abgeordnete gegenüber netzpolitik.org.
Warnung vor Lock-in-Effekt
Die Projekte aus dem Digitalministerium zeigen: Künftig könnte vermehrt Geld an deutsche oder europäische Konzerne fließen. Das entspricht dem Tenor aus dem Gipfel zur europäischen digitalen Souveränität im November: „buy european“, kauft in Europa ein. Kritik daran gibt es von der Opposition und von Fachleuten. Sie warnen vor neuen Abhängigkeiten durch andere Konzerne.
So kritisiert Linken-Abgeordnete Lemke: US-Konzerne hätten kein Patent darauf, Kunden von sich abhängig zu machen. Sie warnt vor dem Lock-in-Effekt – also davor, dass die Verwaltung von einem einmal gewählten Anbieter nicht mehr loskommt. Dieser Effekt richtet sich nicht danach, wo ein Unternehmen sitzt, sondern danach, wie das IT-Produkt gestaltet ist. „Wer einmal SAP nutzt, kann die eigenen Daten nicht mehr einfach zu einem anderen Anbieter umziehen“, warnt Lemke.
Deshalb fordert sie ein Umdenken: „Digitalisierung muss endlich heißen, eigene Infrastrukturen aufzubauen.“ Dafür brauche es eigene Rechenzentren sowie eigene Betriebssysteme und Software, über die die öffentliche Hand selbst verfügen kann. Die Verwaltung brauche mehr IT-Kompetenz, um weniger von externen Beraterfirmen abhängig zu sein.
Ähnlich argumentiert die Free Software Foundation Europe. Mit Blick auf die Debatte um digitale Souveränität in Deutschland pocht der gemeinnützige Verein auf das Credo „Public Money, Public Code“.
Dahinter steht der Gedanke: Wenn Bürger*innen mit ihren Steuern eine Software zahlen, dann sollte sie allen gehören und öffentlich einsehbar sein. „Nur so lässt sich die strukturelle Abhängigkeit öffentlicher Verwaltungen von proprietärer Software und ihren Herstellern beenden und technologische Souveränität erreichen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der KI-Boom wird mehr und mehr zum Problem für Umwelt und Klima. Expert:innen haben jetzt für das Umweltministerium skizziert, wie eine nachhaltigere Alternative aussehen könnte. Ihr Gutachten vermeidet Kritik am aktuellen Kurs, die Empfehlungen laufen jedoch auf eine drastische Politikwende hinaus.
Digitalminister Karsten Wildberger (CDU) und NRW-Wirtschaftsministerin Mona Neubauer (Grüne) zusammen mit Lokalpolitiker:innen und Microsoft-Vertreter:innen beim Spatenstich für ein neues Rechenzentrum des Konzerns im Rheinischen Revier. – Alle Rechte vorbehalten IMAGO / Marc John
Wie kann Künstliche Intelligenz ökologisch nachhaltiger und gleichzeitig zum Wettbewerbsvorteil für Deutschland und Europa werden? Das Bundesumweltministerium hat zu dieser Frage in der vergangenen Woche ein Gutachten von fünf Expert:innen veröffentlicht. Ihre klare Botschaft: Beides ist möglich, aber nur mit einem deutlichen Umsteuern in der KI-Politik.
Während die Bundesregierung gerade die Regeln zu Umweltschutz und Energieeffizienz von Rechenzentren lockern will, weil sie sich als Konkurrentin in einem KI-Wettrennen mit den USA und China wähnt, warnt das Gutachten unter anderem: „Regulatorische Änderungen mit eng gefasstem Fokus und kurzfristiger Perspektive können zu langfristigen Problemen führen und dazu, dass die Ziele der Energiewende verfehlt werden.“
Der Energiehunger der Künstlichen Intelligenz
Die Ausgangslage für nachhaltige KI ist aktuell gleich im doppelten Sinne düster: Zum einen ist klar, dass der Energieverbrauch durch Rechenzentren, die für die Entwicklung und den Betrieb sogenannter Künstlicher Intelligenz gebaucht werden, rasant steigt. Nach Schätzungen der Internationalen Energieagentur betrug er in 2024 bereits 415 Terawattstunden, was nur knapp unter dem Stromverbrauch von Frankreich liegt, also der siebtgrößten Volkswirtschaft der Welt (449 Terawattstunden in 2024). Um den Energiehunger der KI zu stillen, setzen die großen KI-Firmen neben erneuerbaren auch massiv auf fossile, umweltschädliche Formen der Energiegewinnung, insbesondere Gas.
Zum anderen ist aufgrund der großen Intransparenz der Branche weitgehend unbekannt, wie viel Strom und Wasser einzelne KI-Modelle oder Rechenzentren genau verbrauchen oder wie viele Treibhausgas-Emissionen sie verursachen. Auch die großen Versprechen, dass KI für nachhaltige Zwecke wie etwa intelligentes Energie-Management genutzt werden könne, warten überwiegend noch auf ihre Einlösung.
Die ausgewiesenen Expert:innen Udit Gupta, Philipp Hacker, Lynn Kaack, Emma Strubell und Aimee van Wynsberghe haben im Auftrag des Umweltministeriums deshalb zahlreiche Vorschläge gemacht, wie die Situation verbessert werden könnte. Sie sagen: KI und Nachhaltigkeit müssten nicht im Widerspruch stehen. Deutschland habe eine gute Ausgangslage, um bei nachhaltiger KI eine globale Führungsrolle einzunehmen.
Spezialisierte KI-Ansätze statt riesiger Modelle
Eine zentrale Empfehlung der interdisziplinären Expert:innen-Gruppe ist ein realistischerer Blick auf die Vor- und Nachteile unterschiedlicher KI-Ansätze.
Derzeit sei die Aufmerksamkeit auf die großen sogenannten General-Purpose-AI-Modelle (GPAI) konzentriert. Der englische Begriff lässt sich am besten als KI-Modelle mit allgemeinem Verwendungszweck übersetzen. Gemeint sind in der Regel generative Modelle wie GPT von OpenAI oder Claude von Anthropic. Diese Modelle sind gerade wegen ihres allgemeinen Problemlösungsanspruchs und der dahinterstehenden Technik des Reasonings, das logisches Schlussfolgern imitiert, besonders energieintensiv.
Daneben gebe es jedoch auch andere vielversprechende Ansätze wie etwa kleinere KI-Modelle, die speziell zur Erfüllung konkreter Aufgaben trainiert werden. Diese seien oft besser zur Erfüllung von Aufgaben in der Industrie geeignet, etwa für Predictive Maintenance oder Bilderkennung für Krebsforschung. Viele Aufgaben erforderten gar nicht die Fähigkeiten von Allzweckmodellen oder profitieren nicht einmal davon.
Je genauer man die Zielaufgabe für ein KI-Modell definieren könne, desto effizienter lasse es sich in der Regel gestalten. Die klare Empfehlung des Gutachtens: „Um den wirtschaftlichen Nutzen von KI zu maximieren und gleichzeitig ihren Ressourcenbedarf zu minimieren, ist es daher von entscheidender Bedeutung, Modelle entsprechend zu spezialisieren oder sie gezielt für bestimmte Aufgaben einzusetzen.“
Der Fokus auf kleinere und spezifische Modelle passe zum deutschen und europäischen KI-Ökosystem, das stärker von kleineren und mittleren Unternehmen als von Tech-Giganten geprägt sei. Solche Modelle müssten durch gezielte Investitionen, Förderungen und Public-Private-Partnerships vorangetrieben werden. Dann könnten sich Nachhaltigkeit und ökonomische Wettbewerbsfähigkeit gegenseitig verstärken.
„Die Zukunft ist offener, als wir denken“, so fasste Jurist Philipp Hacker von der Europa-Universität Viadrina die Hoffnung der Sachverständigen bei einer Vorstellung der Studie in Berlin zusammen. „Es ist nicht alternativlos, dass die GPAI-Modelle gewinnen.“ Die Anbieter der großen Modelle hätten bis heute kein tragfähiges Geschäftsmodell und ihre Modelle würden teilweise immer schlechter, Stichwort „Enshittification“, so Hacker.
Intransparenz als Kernproblem
Ein großes Problem bei einer nachhaltigeren Gestaltung der KI-Ökonomie ist dem Gutachten zufolge die massive Intransparenz der Branche. Weil entsprechende Informationen fehlen, könnten Nutzer:innen heute gar nicht das „am wenigsten problematische Modell“ auswählen, so Computerlinguistin Emma Strubell von der Carnegie Mellon University.
Die Intransparenz sei nicht nur ein Problem für private, sondern auch für betriebliche Anwender:innen, die sich ein Bild von der Effizienz machen müssten. Auflagen für die Umweltberichterstattung müssten deshalb dringend um verpflichtende, standardisierte, unabhängig überprüfte und öffentlich zugängliche Informationen zu den Folgen von KI über den gesamten Lebenszyklus ergänzt werden.
Die KI-Verordnung der EU enthalte hierzu beispielsweise nur rudimentäre Anforderungen, die erweitert werden müssten. Dabei sollten nicht nur Daten zum Energieverbrauch beim Training, sondern auch beim Gebrauch von KI-Modellen einfließen. Ebenso CO₂-Emissionen, die bei der Produktion spezialisierter Hardware wie etwa hochleistungsfähigen Grafikprozessoren entstehen.
Bislang halten KI-Firmen solche Daten unter Verweis auf Geschäftsgeheimnisse unter Verschluss. Das öffentliche Informationsinteresse überwiege hier jedoch, so das Gutachten: „Der dringende Bedarf an Daten für ein wirksames Ressourcenmanagement und den Umweltschutz überwiegt die potenziellen Wettbewerbsnachteile, die mit der Offenlegung von Kennzahlen verbunden sind, die indirekt mit der Modellgröße zusammenhängen.“
Darüber hinaus könnten Anbieter verpflichtet werden, ein „grünes Modell“ ihrer KI-Anwendungen anzubieten, das beispielsweise ohne rechenintensives Reasoning daherkomme, um Energieverschwendung durch unnötige Rechenoperationen zu vermeiden. Auch das staatliche Beschaffungswesen sollte als Hebel genutzt werden, um KI- und Cloud-Anbieter zu fördern, die auf Energieeffizienz, nachhaltige Energiequellen und öffentliche Transparenz setzen.
Regeln für Rechenzentren müssen verschärft werden
Auch Rechenzentren als wichtige KI-Infrastruktur stehen im Fokus des Gutachtens. Bei keiner Industrie steige der Energiebedarf derzeit so rasant an wie bei Rechenzentren, so Udit Gupta von der New Yorker Universität Cornell Tech bei der Vorstellung des Papiers. In bestimmten Regionen führe der Bau-Boom bereits heute zu Problemen mit der Energieversorgung. In Frankfurt am Main etwa gingen bereits 2022 knapp 30 Prozent des Stromverbrauchs auf das Konto von Rechenzentren.
Auch hier gehen dem Gutachten zufolge die aktuellen Berichts- und Transparenzpflichten für Betreiber nicht weit genug. Statt tatsächlicher Verbrauchsmessungen würden sie häufig lediglich Schätzungen basierend auf dem Design ihrer Anlagen übermitteln. Ohne solche Angaben könne der tatsächliche Bedarf an Rechenkapazität nicht realistisch eingeschätzt und der Bau neuer Anlagen volkswirtschaftlich sinnvoll geplant werden. Zahlen aus den Niederlanden hätten erst kürzlich gezeigt, dass Rechenzentren dort vermutlich nur zu einem Drittel ausgelastet seien.
Problematisch seien auch die zentralen Maßeinheiten für die Effizienz von Rechenzentren, der PUE-Wert, kurz für Power Usage Effectiveness, und der WUE-Wert, kurz für Water Usage Effectiveness. Beide Werte, die auch in den Nachhaltigkeitsberichten großer Rechenzentrumsbetreiber wie Amazon, Google oder Microsoft angegeben werden, geben keine Auskunft über den absoluten Verbrauch. Stattdessen sind es relative Effizienzwerte, was dazu führe, dass PUE und WUE sich zwar verbessern würden, der absolute Verbrauch jedoch drastisch steige, weil Einsparungen in immer noch größere Modelle investiert würden. Der PUE-Wert messe zudem nur den Energieverbrauch der Gebäude-Infrastruktur, etwa Kühlsystem und Beleuchtung, nicht den Verbrauch der tatsächlichen Energieinfrastruktur.
Um hier für Verbesserungen zu sorgen, müssten den Expert:innen zufolge die Transparenz- und Berichtspflichten für Rechenzentren deutlich verschärft werden. Hierzu müsste der DIN-Standard für Rechenzentren ebenso angepasst werden wie die Europäische Energieeffizienz-Richtlinie und das deutsche Energieeffizienzgesetz. Wichtig seien unabhängig auditierte Verbrauchsmessungen, die zudem mindestens in aggregierter Form öffentlich zugänglich sein sollten. Auch bei Rechenzentren müsse der ganze Lebenszyklus ins Reporting einbezogen werden: von den Emissionen, die bei der Herstellung von Servern entstehen, bis zum Elektroschrott, nachdem Hardware aussortiert wird.
Darüber hinaus könnten auch beim Design von Rechenzentren und der Energieversorgung große Fortschritte erzielt werden. So sollten etwa KI-Unternehmen verpflichtet werden, selbst für den Ausbau Erneuerbarer Energien in dem Maße zu sorgen, wie sie Strom verbrauchen. Rechenzentren sollten zudem Teil des Systems der CO₂-Bepreisung sein, damit Betreiber Folgekosten für die Umwelt nicht externalisieren können.
Außerdem sollte der Staat die Entwicklung energieeffizienter Rechenzentren fördern, die auf die Bedürfnisse der deutschen Wirtschaft spezialisiert sind. Auch die Abwärme von Rechenzentren sollte weiterhin verpflichtend genutzt werden müssen, Ausnahmen davon reduziert werden.
Auf Kollisionskurs
Die Liste der Vorschläge der Expert:innen ist noch deutlich länger und zeigt, wie groß die Möglichkeiten wären, KI und Rechenzentren nachhaltiger zu gestalten. Zum aktuellen Kurs der Bundesregierung passen sie jedoch gar nicht. Diese sieht Deutschland und Europa in einem KI-Wettrennen mit den USA und China und setzt deshalb auf den Ausbau von KI-Kapazitäten um jeden Preis.
Getrieben von Wirtschaftsverbänden wie BDI, Bitkom oder Eco hat Digitalminister Karsten Wildberger (CDU) eine neue Rechenzentrumsstrategie erarbeiten lassen, die im März vom Bundeskabinett beschlossen wurde. Sie sieht vor, die Rechenzentrumskapazitäten in Deutschland bis 2030 mindestens zu verdoppeln und die KI-Kapazitäten bis dahin sogar zu vervierfachen. Hierfür sollen Umweltstandards gesenkt, Berichtspflichten gelockert und Planungsverfahren beschleunigt werden.
Wirtschaftministerin Katharina Reiche (CDU) will zudem das deutsche Energieeffizienzgesetz so weit zurückfahren, dass es nur noch den Mindeststandards der entsprechenden EU-Richtlinie entspricht. Dabei haben Journalist:innen von Investigate Europe gerade erst aufgedeckt, wie erfolgreich große Tech-Konzerne gegen weitergehende Transparenzvorgaben in dieser Richtlinie lobbyiert hatten: Die EU-Kommission hat demzufolge bestimmte Abschnitte fast wortgleich von Microsoft kopiert, so dass die ohnehin schon schwammigen Kennzahlen zu Rechenzentren, die an Aufsichtsbehörden übermittelt werden müssen, nicht öffentlich gemacht werden dürfen.
Es ist nun also an Umweltminister Carsten Schneider (SPD), die Vorschläge der von ihm beauftragten Expert:innen in die Debatte mit seinen Kolleg:innen zu bringen. Ob er die KI-Politik auf Klima-Kurs bringen kann, wenn er argumentiert, dass Deutschland und Europa von nachhaltiger KI auch wirtschaftlich profitieren könnten?
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Digitalministerium hatte die Zivilgesellschaft aufgerufen, sich beim Deutschland-Stack einzubringen. Doch in beiden Konsultationsphasen wurde deren Expertise nicht gefragt. Dabei bringt die Zivilgesellschaft Fragen ein, die sonst untergehen. Das zeigt der Workshop zu „KI in der Verwaltung“ des Bündnisses F5.
In der Kommunikation mit dem Digitalministerium: Zivilgesellschaft steht vor Rätseln. (Symbolbild) – CC-BY-SA 2.0 Flickr/Captain of the Burning Ship; Bearbeitung: netzpolitik.org
Der Deutschland-Stack ist das Großprojekt des jungen Bundesministeriums für Digitales und Staatsmodernisierung schlechthin. Damit will Karsten Wildberger (CDU) ein „digitales Update“ (€) für Deutschland. Mit der „einheitlichen IT-Infrastruktur mit Basiskomponenten wie Cloud- und IT-Diensten und klar definierten Schnittstellen“ adressiert er die grundlegenden Versäumnisse der seit Jahren schleppenden Digitalisierung der öffentlichen Verwaltung.
Eigentlich könnte das Ministerium hier aus dem Vollen zivilgesellschaftlicher Expertise schöpfen. Viele zivilgesellschaftliche Akteure beobachten die scheiternde Verwaltungsdigitalisierung nicht nur seit Jahrzehnten, sondern bringen ihr Wissen und ihre Erfahrungen häufig ehrenamtlich in Digitalisierungsprojekte und nachhaltige Lösungswege ein.
Zum Start des Konsultationsprozesses im Herbst erhielt das Ministerium zunächst viel Lob. Öffentlich rief es Gruppen, Verbände, aber auch Einzelpersonen dazu auf, über die Plattform openCode ihr Feedback zum Stack einzubringen. Der Zugang dazu ist niedrigschwellig und die einzelnen Beiträge sind öffentlich einsehbar. Die volle Transparenz hebt hier die Konsultation stark von bisherigen Beteiligungsformaten ab.
Workshops ohne die Zivilgesellschaft
Doch um Feedback zu bekommen, fährt das Ministerium von Anfang an zweigleisig. Denn zeitgleich zur offenen Konsultation plante es Workshops mit Verbänden aus den Bereichen Start-ups, Wissenschaft, IT- und Digitalwirtschaft sowie weiteren. Mit von der Partie waren vor allem Wirtschaftsverbände. Dabei erhielt die Zivilgesellschaft bislang keinen Zugang.
Was bei den Workshops herauskam, ist nicht bekannt. Die hätten „generell im Haus intern und auf Arbeitsebene stattgefunden – zu diesen gibt es keine öffentliche Berichterstattung“, erklärt ein Sprecher des BMDS gegenüber netzpolitik.org.
Wie aus der Antwort (PDF) der Bundesregierung auf eine Kleine Anfrage von Sonja Lemke (Die Linke) hervorgeht, gab es im November fünf Workshops – zu den Themen Markt und Integrationsplattform, Startups und Agentic AI. Sie wurden unter anderem ausgerichtet von eco, dem KI-Verband, Bitkom und Databund. Die Bundesregierung betonte, sie habe Expertise zum Thema „technische Standards und Technologien des Deutschland-Stacks“ angefragt, aber an den Workshops lediglich als „Impulsgeber“ teilgenommen.
Digitalministerium lässt sich bitten
Bei der Terminvergabe ging die Zivilgesellschaft leer aus, sowohl in der ersten Konsultationsphase vom 1. Oktober bis zum 30. November als auch in der zweiten vom 16. Januar bis zum 15. Februar. Dabei hatte das Bündnis F5 bereits im Herbst beim Ministerium nach einem Termin gefragt, so Kai Dittmann. Er leitet die Advocacy- und Policyarbeit bei der Gesellschaft für Freiheitsrechte (GFF) und koordiniert das Bündnis.
Zu diesem Bündnis haben sich die Organisationen Reporter ohne Grenzen, AlgorithmWatch, Wikimedia Deutschland, Open Knowledge Foundation Deutschland und GFF zusammengeschlossen, sie setzen sich für eine gemeinwohlorientierte Digitalpolitik ein.
„Wir hatten gehofft, dass das BMDS von sich aus einen Konsultationsworkshop zum Deutschland-Stack anbietet“, sagt Dittmann, „um zunächst ein paar grundlegende Informationen zu vermitteln, etwa was zum Stack gehört und was nicht. Es wäre sinnvoll gewesen, zu Beginn darüber zu diskutieren, bei welchen Fragestellungen die Zivilgesellschaft aktiv eingebunden sein sollte“, etwa bei der Frage nach dem Einsatz digitaler Identitäten und danach, wie der sich auf Grundrechte auswirkt und wie er eingeschränkt werden müsste. Auch zur Frage einer sinnvollen Datenhaltung, um diesen Deutschland-Stack zu befüllen, hätte das BMDS von der Expertise von Wikimedia profitieren können, so Dittmann.
F5-Workshop zu KI in der Verwaltung
Schließlich fand Ende März ein Workshop mit F5 statt. Das Thema: „KI in der Verwaltung“. Doch wie das BMDS auf Anfrage erklärt, habe der Workshop „keinen speziellen Bezug zum Deutschland-Stack“. Das überrascht in doppelter Hinsicht. Denn laut Antwort der Bundesregierung vom Dezember sei ein Workshop mit der Zivilgesellschaft „in Klärung“ und als Organisation benannte sie das Bündnis F5. Das suggeriert, dass der F5-Workshop im Kontext des Deutschland-Stacks geplant war.
Zweitens waren bei diesem Workshop laut BMDS nicht nur Vertreter:innen aus der Zivilgesellschaft eingeladen, sondern auch aus der Wirtschaft. Überraschend ist die „Klarstellung“ des Ministeriums auch, weil KI im überarbeiteten „Gesamtbild“ ausdrücklich Teil des Deutschland-Stacks ist.
Agentische KI soll Verwaltungsaufgaben künftig erleichtern und teilweise übernehmen. Dazu hat das BMDS einen eigenen Hub gegründet und fördert eine Reihe an Pilotprojekten. Eines davon setzt agentische KI beim Antragsverfahren für Wohnberechtigungsscheine ein. Sie betrifft einen sensiblen Bereich, in dem es um die Existenz von Menschen geht. Fehler wären hier verheerend. Das veranschaulicht das Beispiel um die Kindergeldaffäre in den Niederlanden.
„Ins Machen kommen“ braucht klare Grenzen
„Im Workshop haben wir viele Fragen erst angerissen“, so Dittmann. Wie gehen Verwaltungen und Mitarbeiter:innen etwa damit um, wenn was schief geht? Wer trägt die Verantwortung für den Fall, dass Fehler passieren, die unter Umständen gravierende Konsequenzen haben? Der Sachbearbeiter, die Software-Hersteller, der IT-Dienstleister, die Behörde, die das KI-System eingekauft hat, oder der Minister, der das Ganze vorangetrieben hat? Wer ist zuständig, wenn entsprechende KI-Systeme nicht die gewünschten Ergebnisse liefern?
Was passiert, wenn ein einzelner Sachbearbeiter mithilfe von KI-Agenten immer mehr Anträge bearbeitet und etwas übersieht? „Müssen wir mit einer Verantwortungsdiffusion in diesem System rechnen?“, fragt Dittmann. Denn klar sei, die Maschine kann keine Verantwortung tragen.
Das alles seien gesellschaftliche Fragen, über die wir sprechen und die wir klären müssten. Angesichts des Mottos „ins Machen kommen“ seien sie bislang untergegangen. Ins Machen zu kommen, heiße aber auch zu entscheiden, „was wir alles nicht machen“ und Grenzen abzustecken, so Dittmann.
Aufsuchende Beteiligung
Dass das BMDS im Rahmen des D-Stacks die Zivilgesellschaft auf Abstand hält, ist umso unverständlicher, als es laut Sprecher beim KI-Transformationsprozess ausdrücklich darum gehe, deren Perspektiven einzubeziehen.
Auch wenn die Kommunikation des Ministeriums bislang unstet war, den Workshop Ende März sieht Dittmann als Startschuss dafür, zivilgesellschaftliche Expertise nicht nur einzubeziehen, sondern auch als Ressource zu begreifen. Die könne das Ministerium noch mehr nutzen, wenn es sich um eine aufsuchende Beteiligung bemüht.
Das kann bedeuten, die Expertise engagierter Menschen über andere Wege einzuholen. Denn die arbeiten häufig ehrenamtlich und können Workshops nicht wahrnehmen, wenn die an einem Werktag zu normalen Geschäftszeiten stattfinden. Das betrifft zum Beispiel Ehrenamtliche von D64, dem Zentrum für digitalen Fortschritt, vom Chaos Computer Club oder InÖG, dem Innovationsverbund öffentliche Gesundheit.
Das Ministerium könnte Forschungsmittel bereitstellen oder bei Forschenden anfragen, welche Personen oder ehrenamtlichen Organisationen sich bei bestimmten Fragen besonders gut auskennen. Beispielsweise könne das BMDS auch nach Erfahrungen fragen, die ehrenamtliche Digitalisierungsprojekte in Berlin, auf Bundesebene, aber auch in Städten und kleineren Gemeinden eingeholt haben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Anfang 2027 soll in Deutschland eine staatliche EUDI-Wallet bereitstehen. In einer Testumgebung können Behörden und Unternehmen deren Funktionen nun testen. Parallel dazu läuft ein Pilotprojekt in Sachsen.
Im Sandkasten lässt sich auch Software testen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Markus Spiske
Im eigenen Portemonnaie haben die meisten von uns nicht nur Bargeld, sondern auch etliche Plastikkarten von Banken, der Krankenkasse oder der städtischen Bibliothek. Das Bundesdigitalministerium (BMDS) arbeitet daran, diese Karten nach und nach um digitale Nachweise zu ergänzen.
Im Januar 2027 soll bundesweit eine digitale Brieftasche an den Start gehen. Die sogenannte EUDI-Wallet wird dann allen Bürger:innen kostenlos zur Verfügung stehen, ihre Nutzung ist freiwillig.
Zum Start der Wallet braucht es nicht nur eine Smartphone-App, sondern auch eine digitale Infrastruktur. Vor wenigen Tagen hat das BMDS gemeinsam mit der Agentur für Sprunginnovationen (Sprind) eine Testumgebung gestartet. Unternehmen und Behörden können hier Anwendungen der geplanten Wallet testen. Digitalminister Karsten Wildberger (CDU) spricht von einem „Meilenstein“.
Staatliche Wallet zuerst
Zum Start der Wallet im Januar sollen sich Bürger:innen zunächst gegenüber der Verwaltung und Unternehmen digital ausweisen können. Erst später sollen dann weitere Nachweise wie Führerschein und Versicherungskarten hinzukommen.
Damit Unternehmen, Behörden und Organisationen die geplanten Funktionen in der sogenannten Sandbox testen können, müssen sie sich zunächst als Relying Party registrieren. Als solche werden Einrichtungen bezeichnet, die digitale Berechtigungsnachweise prüfen, die Nutzende in ihrer EUDI-Wallet haben.
Die Ergebnisse der Testläufe sollen dann in die weitere Entwicklung der staatlichen Wallet einfließen. Voraussichtlich 12 Monate nach deren Start können auch private Anbieter eigene Wallets anbieten, die sie dann mit eigenen Zusatzdiensten anreichern können.
Pilotprojekt in Sachsen
Bereits im Oktober vergangenen Jahres startete das Bundesdigitalministerium zusammen mit der Sächsischen Staatskanzlei und der Landeshauptstadt Dresden ein größeres Pilotprojekt in Sachsen.
Ab Mitte 2026 sollen Dresdner:innen den Dresden-Pass und die Sächsische Ehrenamtskarte in der Wallet hinterlegen können. Beide Nachweise berechtigen unter anderem zu ermäßigten Preisen für Kultur- und Freizeitangebote. Dresden testet damit als erste Kommune Deutschlands die Wallet.
Außerdem wird das zentrale digitale Bürgerkonto, die Bund-ID, in die Wallet eingebunden. Bürger:innen können die Wallet dann dazu nutzen, um sich gegenüber Behörden auszuweisen, etwa wenn sie online Bescheide abrufen möchten. In Kooperation mit der Hochschule für Technik und Wirtschaft Dresden wird zudem ein konkreter Anwendungsfall entwickelt, bei dem Studierende einen Bafög-Antrag mit der Wallet vollständig digital beantragen und den Bescheid dann in der Wallet hinterlegen können.
Viele EU-Staaten liegen hinter dem Zeitplan
Die EUDI-Wallet basiert auf einem EU-Gesetz, das im Mai 2024 in Kraft trat. Die EU-Mitgliedstaaten müssen die Verordnung in nationale Gesetze gießen. Außerdem müssen sie bis Ende Dezember 2026 eigene Wallets anbieten.
Ob dies EU-weit gelingt, ist allerdings fraglich. Der norwegische Identifizierungsdienstleister Signicat hat im vergangenen Dezember ermittelt, dass die Mehrheit der EU-Staaten hinter dem Zeitplan liegt. Nur zwölf Staaten werden demnach bis Ende 2026 wahrscheinlich eine fertige Wallet anbieten können, darunter Frankreich, Deutschland, Österreich, Griechenland und Italien.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.
Kommt es nach der ePA bald zum nächsten Notfall? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Isravel Raj
Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Eine Kaskade an Problemen
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
EUDI-Wallet: Fehler, die sich wiederholen
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Sichere Kanäle versus signierte Daten
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Für Windows 10 bietet Microsoft seit gut einer Woche keinen Support mehr an. Das bringt Nutzer*innen in Zugzwang, darunter auch die Bundesverwaltung. Das zuständige Digitalministerium weiß indes wenig darüber, welche Behörden und wie viele Rechner betroffen sind.
Das Ministerium unter Karsten Wildberger (CDU) hält keine Informationen zum Stand von Windows 10 vor. – Alle Rechte vorbehalten IMAGO/dts Nachrichtenagentur
Mitte Oktober hat Microsoft den Support für Windows 10 eingestellt. Nutzer*innen müssten also auf die nächste Windows-Version upgraden – oder sich für ein anderes Betriebssystem entscheiden. Und das besser gestern als heute, wenn sie sich keine Malware einfangen wollen. Wer den Umstieg nicht schafft, kann sich zumindest für begrenzte Zeit noch für grundlegende Sicherheitsupdates (ESU) registrieren.
Auch die Bundesverwaltung nutzt Windows 10, scheint sich auf die Umstellung jedoch bislang kaum vorbereitet zu haben. Sascha H. Wagner, Bundestagsabgeordneter der Linkspartei und im Haushaltsausschuss, hat beim Bundesministerium für Finanzen nachgefragt: Wie viele Rechner laufen mit Windows 10? Wie viel wird die Umstellung auf Windows 11 kosten? Bis wann sollen diese Rechner mit Windows 11 ausgestattet sein?
Auf diese Fragen erhielt er jedoch keine Antwort. Denn entsprechende Informationen liegen nicht gesammelt und verfügbar vor. Um sie beantworten zu können, müsste das zuständige Bundesministerium für Digitales und Staatsmodernisierung erst „umfangreiche Erhebungen“ vornehmen, so das BMF in seinem nicht-öffentlichen Antwortschreiben.
Keine Ressourcen, um betroffene Rechner zu zählen
Auch die Fragen, wie viele Rechner der Bundesverwaltung mit dem Support-Ende von Windows 10 unbrauchbar werden und wie teuer es wird, neue Geräte mit Windows 11 anzuschaffen, lässt das BMF offen.
Der Aufwand, hierzu Informationen einzuholen, übersteige den Umfang einer „ansonsten üblichen Einzelberichtsanforderung“, heißt es. Linken-Politiker Wagner sagt: „Dass das Digitalministerium unter Karsten Wildberger nicht weiß, wie der erzwungene Umstieg von Windows 10 auf Windows 11 in der Bundesverwaltung umgesetzt wird, ist erschreckend.“
Dabei wurde ein zentrales Lizenzmanagment für den Bund schon im Jahr 2019 beschlossen. Fortschritte verspricht der Bund seit Jahren. Die Idee hinter dem lange angekündigten Projekt ist, dass Bundesbehörden Informationen zu Lizenzen offen einsehen können.
Nicht zuletzt die Kritik des Bundesrechnungshofs gab hier den Ausschlag: Der bemängelte mehrfach (PDF), dass Transparenz zwischen Bundesbehörden fehle. Das wiederum führe dazu, dass Behörden Software häufig nicht wirtschaftlich einsetzen. Dabei käme es häufiger zu Über- oder Unterlizenzierungen. Wüssten Behörden, was andere einkaufen und zu welchen Konditionen, könnten sie Lizenzen zwischen Behörden tauschen und hätten auch bei Einkaufsgesprächen eine bessere Verhandlungsposition.
Keine Ressourcen, um Lizenzen zentral zu verwalten
Doch der Plan einer Zentralstelle konnte laut BMF „mangels entsprechender Ressourcen“ bislang nicht umgesetzt werden. Es gibt also noch immer keine zentrale Stelle, die Informationen zu Lizenzen bei den Ministerien und anhängigen Behörden einfordert und zentral veröffentlicht. Zwar könnten Behörden inzwischen über ein Lizenzverwaltungstool ein rechtssicheres und wirtschaftliches Lizenzmanagement aufbauen, so das BMF. Doch seien Behörden nicht dazu verpflichtet, eines zu betreiben.
Statt das Projekt des Lizenzmanagements für den Bund weiter voranzubringen, will das BMDS nun einen zentralen Datenpool im Bund aufbauen. Darin sollen laut BMF auch die Lizenzinformationen der einzelnen Häuser zusammenlaufen.
Das Support-Ende von Windows 10 bringt den Bund samt Verwaltung hier anscheinend nicht aus der Ruhe. Das könnte daran liegen, dass Microsoft zumindest Sicherheitsupdates weiter fließen lässt – für Organisationen und Behörden können dabei jedoch pro Gerät Kosten anfallen. Dabei müsste es eigentlich darum gehen, „die Abhängigkeit und die explodierenden Kosten für Microsoft-Produkte zu reduzieren“, so Wagner.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn in Kürze die Entscheidung fällt, ob Europa eine verpflichtende Chatkontrolle bekommt, ist auch die Haltung der Bundesregierung maßgeblich. Doch der Digitalminister mag sich lieber nicht positionieren. Digitale Weichenstellungen und gefährliche Formen technisierter Massenüberwachung sieht er offenbar nicht als sein Metier. Eine Einordnung.
In wenigen Tagen steht die Entscheidung an, ob es in Europa eine verpflichtende Chatkontrolle geben wird oder ob sich erneut keine ausreichende Mehrheit im Rat der EU-Länder dafür findet. Die deutsche Haltung wird maßgeblich dafür sein, ob die Front der ablehnenden EU-Staaten gegen den Vorschlag der EU-Präsidentschaft Dänemarks stehenbleibt.
Hintergrund ist ein jahrelanger Streit über einen Entwurf der EU-Kommission für eine Verordnung zur massenhaften Chat-Überwachung, die dem Kampf gegen digitale Gewaltdarstellungen von Kindern dienen soll. Die geplante Chatkontrolle würde alle Anbieter von Messenger- und weiterer Kommunikationsdienste, auch solche mit Ende-zu-Ende-Verschlüsselung, zum Scannen nach Missbrauchsfotos und -videos verpflichten. Betroffen wären auch Signal, Threema oder WhatsApp, die von vielen Millionen Menschen genutzt werden.
In den vergangenen Jahren hat sich Deutschland ablehnend gezeigt und sich gegen das automatisierte Scannen verschlüsselter Kommunikation, aber auch gegen die Umgehung von Ende-zu-Ende-Verschlüsselung und das Client-Side-Scanning positioniert. Ob die neue Bundesregierung das genauso hält, ist noch offen. Wir haben daher die Bundesregierung zu der Haltung befragt, die sie bei der anstehenden Entscheidung einnehmen wird.
Das Bundesjustizministerium (BMJ) will sich gegenüber netzpolitik.org nicht in die Karten schauen lassen und antwortet auf die Frage nach der Chatkontrolle-Position nur: „Die Federführung“ liege „innerhalb der Bundesregierung beim Bundesministerium des Innern“. Da sollten wir uns doch hinwenden, meint das BMJ.
Das Bundesinnenministerium (BMI) hat jedoch auch nichts zu sagen: „Wir bitten um Verständnis, dass wir uns zu laufenden Abstimmungen innerhalb der Bundesregierung grundsätzlich nicht äußern.“
„Von der Seitenlinie“
Fragen wir doch die Digitalexperten in der Bundesregierung. Die schwarz-schwarz-rote Koalition hatte schließlich ein neues Ministerium aus der Taufe gehoben, das sich hauptsächlich mit Digitalisierung, digitaler Infrastruktur und Staatsmodernisierung befassen soll. Ein Sprecher des Digitalministeriums (BMDS) antwortet auf Fragen von netzpolitik.org nach der Position des Ministers zur geplanten verpflichtenden Chatkontrolle allerdings nur mit nur zwei Sätzen.
„Wir brauchen Maßnahmen, die wirksam und zugleich angemessen sind. Zu den derzeit auf EU-Ebene vorliegenden Vorschlägen erfolgt eine Positionierung der Bundesregierung unter Federführung des Bundesinnenministeriums.“
Auf weitere Fragen, etwa wie Minister Karsten Wildberger (CDU) zum Aufbrechen von Verschlüsselung oder zum Client-Side-Scanning im Rahmen einer Chatkontrolle steht, wird nicht geantwortet. Der seit Mai amtierende Digitalminister hat außerdem auch keine Position zur freiwilligen EU-Chatkontrolle und den damit verbundenen Risiken für die Privatsphäre.
Das Ministerium verweist stattdessen auf ein Gespräch mit Wildberger vom 11. September. Dort auf die Chatkontrolle angesprochen, äußert sich der Bundesminister folgendermaßen: Er wolle sich in diesen „politischen Prozess“ nicht „von der Seitenlinie“ einbringen. Er werde deswegen seine Meinung nicht dazugeben, da das „nicht hilfreich“ sei, denn dafür „gibt es jetzt einen Prozess“.
Das kann man natürlich anders sehen, ob es für die Diskussionen um eine europaweit verpflichtende Chatkontrolle „hilfreich“ wäre, wenn sich der amtierende Digitalminister von Deutschland nicht an die „Seitenlinie“ stellen, sondern dazu positionieren würde. Allerdings machen seine Äußerungen direkt im Anschluss klar, warum er vielleicht ganz richtig liegt.
Ein Offenbarungseid technischer und politischer Inkompetenz
Wildberger fügt hinzu: „Kinderpornographie“ in Chats, „das geht überhaupt nicht“, das seien Straftatbestände. Davon müsse man aber das Thema der Privatsphäre „säuberlich trennen“. Doch ein zentraler Streitpunkt in der langjährigen Debatte ist es gerade, wie weit man in die Privatsphäre und sogar Intimsphäre von Menschen eingreifen darf, um auf solche Inhalte in ihren Chats zu scannen.
Der Minister postuliert dann, dass er „persönlich eine klare Meinung“ dazu hätte. Die sagt er aber nicht sofort, sondern stellt erstmal folgende Frage in den Raum: „Wie stellen wir sicher, dass wir Rechtsordnung auch in diesem Rahmen sicherstellen?“ Den Versuch einer Antwort auf die wirre Frage macht er nicht. Stattdessen sagt Wildberger: „Wo es um Kinderpornographie geht, am Ende des Tages muss man auch über Deep Fakes reden, da hört bei mir der Spaß auf.“
CSAM
Wir berichten seit Jahren unter dem Stichwort CSAM (Child Sexual Abuse Material) über politische Vorhaben im Kampf gegen Missbrauchsdarstellungen von Kindern. Unterstütze unsere Arbeit!
Kein Mensch mit Herz und Hirn würde die digitalen Darstellungen von Gewalt gegen Kinder in die Kategorie Spaß einsortieren. Die Debatte um die Chatkontrolle dreht sich vielmehr um die Frage, zu welchen technischen Maßnahmen die Anbieter von Messenger-Diensten verpflichtet werden sollten, um solche Inhalte massenhaft zu scannen. Dass diese Inhalte verabscheuungswürdig und strafbar sind, stellt niemand in Abrede.
Auf die Nachfrage, ob Anbieter zur Chatkontrolle verpflichtet werden sollen, bemerkt Wildberger, dass seine Antwort darauf eine „nicht politisch gemeinte Formulierung“ sei: „Da muss es eine Lösung für geben.“ Die Luft brennt förmlich vor Spannung, welche technische Idee der Digitalminister nun favorisieren wird. Doch der oberste Digitalisierer murmelt: „Wie die Lösung jetzt hier genau aussieht, das sollen …“ Da endet sein Satz im Ungewissen. Vielleicht sollen es die Experten richten, vielleicht gibt es einen Prozess.
Zuletzt endet die kurze Passage in dem Gespräch mit dem Versprechen, er werde sich „in die Debatte natürlich“ einbringen, wenn es hilfreich und erforderlich wäre. Aber das Thema sei „ein bisschen komplex“, aber „von der Richtung her“ sei er „klar justiert“.
Dass seine Pressestelle auf die Fragen von netzpolitik.org danach, ob angesichts der gesellschaftlichen und auch wirtschaftspolitischen Bedeutung von sicheren Verschlüsselungsmethoden ein Aufbrechen der Verschlüsselung oder ein Client-Side-Scanning im Rahmen einer Chatkontrolle als probate Mittel gelten können, nicht nur keine Antworten gibt, sondern stattdessen einen Hinweis auf diesen Offenbarungseid technischer und politischer Inkompetenz sendet, spricht Bände über den Minister und die Bedeutung seines Hauses innerhalb der Bundesregierung. Das ist nicht mal „Seitenlinie“, das ist eher die Tribüne hinten oben.
Der falsche Weg
Man fragt sich, unter welchem Stein der Bundesdigitalminister in den letzten Jahren gelebt hat und ob es niemanden in seinem Haus gibt, der ihn dazu briefen konnte, worum es im Streit über die Chatkontrolle geht: um das absichtliche Unterminieren von IT-Sicherheitsmaßnahmen für massenhafte Chat-Scans und um fundamentale Grundrechte.
Wenn in Schutzmaßnahmen wie Verschlüsselung verpflichtende Hintertüren eingebaut werden müssen, tangiert das die Privatsphäre und den Kernbereich privater Lebensgestaltung von Millionen Menschen und unterminiert zudem auf gefährliche Weise die IT-Sicherheit. Darauf weisen seit Jahren alle hin, die beruflich und wissenschaftlich mit IT-Sicherheit zu tun haben. Chatkontrolle ist technisch gesehen schlicht der falsche Weg.
Aber juristisch ist er es auch. Denn dass eine massenhafte anlasslose Überwachung von individueller Kommunikation mit den europäischen Grundrechten konform geht, wird mit guten Argumenten bezweifelt: Der Juristische Dienst des EU-Rats schätzt den aktuellen Vorschlag als rechtswidrig ein. Die Rechtsexperten stützen sich auch auf ein Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR) aus dem Jahr 2024. Darin heißt es unzweideutig, dass „eine Schwächung der Ende-zu-Ende-Verschlüsselung, die alle Nutzer beträfe,“ gegen die Europäische Menschenrechtskonvention verstößt.
Dass der Digitalminister innerhalb und außerhalb der Bundesregierung zu so wichtigen Fragen in unser digitalisierten Welt keine Position einnimmt, macht ihn zum Komplizen der Befürworter der Chatkontrolle. Gleiches gilt übrigens für die Justizministerin Stefanie Hubig (SPD), deren Nicht-Positionierung angesichts der zweifellos erheblichen Grundrechtseingriffe ebenso blamabel ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
