Die EU-Institutionen verhandeln zentrale Aspekte der Chatkontrolle. Rat und Parlament streiten, ob Internet-Dienste alle Nutzer freiwillig scannen dürfen oder verdächtige Nutzer verpflichtend scannen müssen. Wir veröffentlichen eingestufte Verhandlungsdokumente.

Seit vier Jahren verhandeln die EU-Institutionen über die Chatkontrolle, seit einem halben Jahr im Trilog. Jetzt verhandeln sie die heikelsten Fragen.

Die Kommission will Hoster und Kommunikations-Dienste verpflichten, die Inhalte aller Nutzer auf Straftaten zu durchsuchen. Das Parlament will Internet-Dienste verpflichten, die Inhalte verdächtiger Nutzer auf Straftaten zu durchsuchen. Die EU-Staaten wollen keine Verpflichtung für Internet-Dienste, sie sollen Inhalte freiwillig scannen dürfen.

Der vierte Trilog fand am 11. Mai statt. Wir veröffentlichen einen Bericht aus Brüssel. Danach hat die Ratspräsidentschaft neue Kompromissvorschläge vorgelegt. Wir veröffentlichen die Entwürfe vom 26. Mai und vom 29. Mai. Im Rat diskutieren die Referent:innen für Justiz und Inneres diese Vorschläge. Wir veröffentlichen eingestufte Protokolle vom 21. Mai und von vorgestern 10. Juni.

Keine verschlüsselten Inhalte

Die EU-Institutionen haben sich „vorläufig darauf geeinigt“, verschlüsselte Inhalte aus dem Anwendungsbereich des Gesetzes auszunehmen. Damit dürfte das umstrittene Client-Side-Scanning raus sein. Wenn das so bleibt, ist das ein großer Erfolg.

Darüber hinaus haben die Gesetzgeber bisher vor allem weniger Kontroverse Punkte verhandelt, darunter Allgemeine Bestimmungen sowie Pflichten zum Entfernen und Sperren bekannter Straftaten.

Seit kurzem bearbeiten sie den größten Brocken: Die „Aufdeckung“ illegaler Inhalte. In dieser Frage liegen die Positionen der EU-Institutionen „besonders weit auseinander“. Eine zentrale Frage ist, ob Anbieter Inhalte ihrer Nutzer scannen dürfen oder müssen. Eine weitere Frage ist, wie viele Nutzer und Inhalte die Anbieter scannen.

Freiwillig oder verpflichtend

Die Ratspräsidentschaft schlägt mehrere Optionen vor: freiwillige Chatkontrolle für nicht-öffentliche Inhalte wie Cloud-Speicher und Kommunikation, verpflichtende Chatkontrolle für öffentliche Inhalte wie Web-Inhalte und verpflichtende Chatkontrolle für nicht-öffentliche Inhalte.

Die EU-Staaten haben sich geeinigt, eine verpflichtende Chatkontrolle abzulehnen. Aber zum Kompromissvorschlag der Ratspräsidentschaft haben sie noch keine einheitliche Meinung.

Seit Jahren scannen einige Big-Tech-Unternehmen die Inhalte ihrer Nutzer anlasslos. Das ist spätestens seit April illegal, sie machen trotzdem weiter.

Freiwillig, aber weitgehend

Einige Staaten wollen, dass solche Unternehmen weiterhin viele Inhalte möglichst vieler Nutzer scannen. Vor allem Frankreich und Ungarn fordern „einen möglichst breiten Anwendungsbereich insbesondere bei freiwilliger Aufdeckung“. Die Franzosen haben „hier keinen Spielraum für Verhandlungen“.

Aber auch Deutschland spricht sich für eine weitgehende Chatkontrolle aus, entgegen anderslautender Äußerungen der Bundesregierung.

Andere Staaten sehen weiterhin jede Chatkontrolle durch Internet-Anbieter kritisch, darunter Italien, Polen und Österreich.

Der juristische Dienst der EU-Staaten bezeichnet eine anlasslose Chatkontrolle von Kommunikation als rechtswidrig. Die Juristen lehnen auch den aktuellen Vorschlag ab, „da man es weiterhin mit genereller Suche in interpersoneller Kommunikation zu tun habe“. Freiwilliges Scannen öffentlicher Inhalte halten sie jedoch für „unproblematisch“.

Deutliche Zweifel an Verpflichtung

Kommission und Parlament wollen Anbieter auch gegen deren Willen verpflichten können, Inhalte ihrer Nutzer zu scannen. Das kann Hoster wie Hetzner oder Mail-Dienste wie Posteo betreffen. Die sollen aber nicht alle Nutzer scannen, sondern nur verdächtige Nutzer-Gruppen.

Die EU-Staaten haben „deutliche Zweifel“ an der „Praxistauglichkeit“ dieses Vorschlags. Gegen Verdächtige stehen Ermittlern schon jetzt „andere Instrumente zur Verfügung“. Die Polizei kann dann Nutzer-Daten von den Anbietern anfordern und selbst auswerten.

Österreich kritisiert die verpflichtende Chatkontrolle und fordert, „das Verhältnis zu strafrechtlichen Ermittlungen“ zu klären. Mehrere Staaten schließen sich an und fragen nach der „Trennlinie zu strafrechtlichen Ermittlungen“. Lettland fragt, „wo der Mehrwert sei“. Die Kommission fragt, wer die verdächtigen „Personen oder Gruppen identifiziere und auf welcher Basis“.

Verhandlungen gehen weiter

Ende Juni geht die Ratspräsidentschaft von Zypern an Irland. Wie jede Ratspräsidentschaft will auch Zypern die Verhandlungen unter seinem Vorsitz abschließen. Das bleibt das offizielle Ziel. Gegenüber netzpolitik.org hat ein Sprecher jedoch bereits eingeschränkt, nur noch „möglichst große Fortschritte erzielen“ zu wollen.

Der nächste Termin für den offiziellen Termin ist am 29. Juni. Bis dahin verhandeln die Fachpolitiker der Institutionen.

Wenn sich Parlament und Rat auf eine gemeinsame Version einigen, müssen beide das Gesetz noch formal annehmen.

---

Hier die Dokumente in Volltext:

---

• Datum: 18. Mai 2026
• Von: Deutscher Bundestag
• Betreff: Bericht aus Brüssel

Keine Einigung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet

Zusammenfassung

• Vier Jahre nach Vorlage des Kommissionsvorschlags für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet fand am 11. Mai 2026 der vierte Trilog statt. Trotz Fortschritten konnte keine finale Einigung gefunden werden.
• Besonders weit liegen die Positionen in der Frage nach Aufdeckung auseinander. Während der Rat rein freiwillige Maßnahmen fordert, befürwortet das Europäische Parlament (EP) als letztes Mittel verpflichtende Aufdeckungsanordnungen für Justizbehörden bei begründetem Verdacht.
• Der politische und zeitliche Druck ist groß, denn momentan besteht eine Regelungslücke: Eine Ausnahmeregelung, die es Dienstanbietern ermöglichte, sexuellen Kindesmissbrauch im Internet freiwillig aufzudecken, lief am 3. April 2026 aus und kann nicht verlängert werden, da in der Abstimmung im Europäischen Parlament (EP) keine gemeinsame Position gefunden werden konnte. Die den Providern inzwischen untersagte freiwillige Meldung online gestellter Bilder und Videos sei dabei häufig die einzige Möglichkeit für die Aufdeckung von Fällen sexuellen Missbrauchs gewesen.
• Das Ziel der Verhandlungspartner ist ein Abschluss des Dossiers vor Sommer 2026, doch noch gibt es keine konkreten Ideen für einen gangbaren Kompromisstext.

Nach nunmehr vier Jahren intensiver Beratung über den Verordnungsvorschlag zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vom 11. Mai 2022 (CSAM-Verordnung) brachte auch der vierte Trilog am 11. Mai 2026 keine endgültige Einigung zutage. Von den Beteiligten wird erneut die konstruktive Arbeitsatmosphäre betont, die in den ersten drei Trilogen zur Klärung von weniger umstrittenen Fragen geführt habe, doch der kontroverseste Aspekt im Dossier, die Aufdeckungsanordnung, war erneut nicht auf der Tagesordnung: Diese führte schon bei Vorlage des Kommissionsvorschlags in einigen Mitgliedstaaten, allen voran Deutschlands, für z.T. heftige Reaktionen und Ablehnung. Stattdessen standen u. a. die Entfernungs- und Sperranordnungen im Fokus, um Darstellungen von sexuellem Kindes-missbrauch in allen Mitgliedstaaten entfernen oder sperren zu lassen.

Auch einigte man sich auf Details zu verlängerten Antwortfristen auf Löschanordnungen für Kleinst‑, kleine und mittlere Unternehmen. Einige der erreichten Kompromisse dienten dabei dem Ziel, den Verordnungstext mit dem Gesetz über digitale Dienste (Digital Services Act, DSA) in Einklang zu bringen.

Der zeitliche und politische Druck für eine finale Einigung ist groß. Eine Übergangsregelung, die es Internetanbietern rechtlich erlaubte, Darstellungen von sexuellem Kindesmissbrauch im Internet freiwillig aufzudecken, zu entfernen und den Strafverfolgungsbehörden zu melden, lief am 3. April 2026 aus und wurde vom EP abgelehnt, da keine gemeinsame Position mit dem Rat gefunden werden konnte. Damit besteht aktuell eine Regelungslücke, da kooperationswilligen Internetprovidern nun nicht mehr erlaubt ist, kinderpornografische Inhalte auf ihren Webseiten zu suchen, zu entfernen und den Strafverfolgungsbehörden zu melden.

Zur Erinnerung: Am 11. Mai 2022 legte die Kommission den Entwurf der CSAM-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vor. Ziel war, Anbieter von Online-Diensten zur Verhinderung, Aufdeckung, Meldung und Entfernung von Missbrauchsdarstellungen sowie zur Unterbindung von Grooming (sexuelle Anbahnung) zu verpflichten. Um Opfern mehr Gehör zu verschaffen, soll zudem ein EU-Zentrum als dezentrale EU-Agentur eingerichtet werden, flankiert durch ein Netzwerk nationaler Koordinierungsstellen. Darüber hinaus sollten Anbieter bestimmter Online-Dienste den freiwilligen Einsatz von Technologien zur Bekämpfung des sexuellen Missbrauchs von Kindern ermöglichen. Die bisherige Verordnung, die dies ermöglichte, lief am 3. August 2024 aus und wurde durch die eingangs erwähnte Interimsverordnung ersetzt. Um eine Regelungslücke zu vermeiden, waren die Ko-Gesetzgeber unter dänischer Ratspräsidentschaft ursprünglich bestrebt, die CSAM-Verordnung bis zum Frühjahr 2026 abzuschließen. Nachdem unter zypriotischer Ratspräsidentschaft der erste Trilog am 26. Februar 2026 stattfand, wurde für den Abschluss der CSAM-Verordnung Juni 2026 avisiert. Damals ging man dem Vernehmen nach noch davon aus, dass die Interimsverordnung verlängert werde, da ein Kompromiss bei der Aufdeckungsanordnung durch weit voneinander divergierende Positionen in weiter Ferne schien.

Aufdeckungsanordnung: Freiwillig oder als letztes Mittel verpflichtend

Die Aufdeckungsanordnung, die im ursprünglichen Kommissionsvorschlag Anbieter von Hostingdiensten oder interpersoneller Kommunikationsdienste verpflichtete, mit verschiedenen Technologien sexuellen Kindesmissbrauch in ihren Diensten aufzudecken, wurde im Rat v.a. von Deutschland, aber auch anderen Mitgliedstaaten abgelehnt, da eine anlasslose Überprüfung als unverhältnismäßiger Eingriff in Grundrechte gewertet wurde. Wegen einer befürchteten „Massenüberwachung“ rückten sowohl Rat als auch EP in ihren Positionen weit vom Kommissionsvorschlag ab: Unter dänischer EU-Ratspräsidentschaft gelang die partielle Allgemeine Ausrichtung, die rein freiwillige Aufdeckungsmaßnahmen vorsieht, wie sie bereits in der o. g. Interimsverordnung galten. Im EP gelang dem Berichterstatter Javier Zarzalejos (EVP/ESP) im federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) bereits am 24. Oktober 2023 eine Einigung, die ebenfalls eine massenhafte Überprüfung ablehnte. Justizbehörden sollte aber als letztes Mittel die Aufdeckungsanordnungen ermöglicht werden, sofern begründete Verdachtsmomente auf eine, auch indirekte, Verbindung zu Missbrauchsmaterial hindeuten. Einigkeit besteht zwischen den Ko-Gesetzgebern, dass Ende-zu-Ende verschlüsselte Kommunikationsinhalte von Aufdeckungstechnologien ausgenommen bleiben sollen.

Obwohl EP und Rat über die Frage nach einer rein freiwilligen oder bei eindeutigem Verdacht verpflichtenden Aufdeckungsmaßnahme uneins waren, setzte man dem Vernehmen nach in allen drei Institutionen darauf, dass die o. g. Interimsverordnung nach Auslaufen am 3. April 2026 verlängert werde. Die Ablehnung im EP habe im Rat und in der Kommission für großen Unmut gesorgt und wird als Rückschlag für die Prävention von Kindesmissbrauch im Internet gewertet. Der Ablehnung im Parlament waren kurzfristige verschiedene Änderungen zur funktionalen Zusammenarbeit zwischen Internetprovidern und Polizei sowie zum Verbot nach bislang unbekannten Missbrauchsdarstellungen vorausgegangen. Für den abgeänderten Vorschlag fand sich im Ausschuss keine Mehrheit, sodass keine Position des EP beschlossen werden konnte.

Ausblick

Zwar betonen alle Seiten weiterhin eine konstruktive Arbeitsatmosphäre, doch die jahrelangen Verhandlungen zeigen, wie weit die Positionen im Spannungsfeld zwischen Daten- und Kinderschutz voneinander entfernt sind. Dass die Interimsverordnung, die den Verhandlungen mehr Zeit erkauft hätte, am 3. April 2026 ausgelaufen ist und nicht verlängert wurde, sollte den Druck auf die Trilogparteien erhöhen. Doch gehen Beteiligte nicht davon aus, dass ein Kompromiss im fünften Trilog am 29. Juni 2026 unter zypriotischer Ratspräsidentschaft noch gefunden werden kann. Vereinzelt wurde die Meinung vertreten, dass sowohl der Rat als auch das EP in ihren Positionen zur Aufdeckungsanordnung deutlich flexibler werden müssten und eine für beide Seiten tragbare Lösung außerhalb der Verhandlungsmandate des EP und des Rates gefunden werden müsste. Das bringe der Arbeitsebene im EP zufolge aber auch die zusätzliche Gefahr mit sich, dass das Parlament dem Ergebnis der Trilogverhandlungen auf Grundlage eines erweiterten Mandats am Ende doch nicht zustimmen könnte. Ebenfalls werde befürchtet, dass das Momentum verloren gehen könne und festgefahrene Positionen sich auf lange Zeit halten könnten. Die den Providern nun nicht mehr erlaubte freiwillige Meldung von online gestellten Bildern und Videos sei häufig die einzige Möglichkeit gewesen, um auf Fälle sexuellen Missbrauchs aufmerksam zu machen. Es werde aber der Arbeitsebene zufolge nun darauf gehofft, dass die aktuell entstandene Regelungslücke zusätzlichen Druck in den Migliedstaaten erzeugt und so Bewegung in die festgefahrenen Verhandlungen bringt. Der fünfte Trilog ist für den 29. Juni 2026 geplant.

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 21. Mai 2026
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMG, BMWE, BMWK
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 21. Mai 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der JI-Referent*innen zur CSA-VO am 21. Mai 2026

Vorsitz verwies eingangs auf die Bezugsdokumente (9139/26, WK 6982/26). Hierzu könnten MS sich bis zum 29. Mai schriftlich äußern.

Anschließend skizzierte Vorsitz kurz die Ergebnisse des letzten Trilogs, wie auch in den Bezugsdokumenten aufgeführt. Es gäbe insbesondere noch Gesprächsbedarf zur Frage, welche Behörde welche Anordnungen erlassen dürfe. Delisting und grenzüberschreitende Anordnungen habe EP nicht in seinem Mandat, zeige hier aber Flexibilität. Bei den blocking orders könne man sich vermutlich nur auf bekanntes Material mit dem EP verständigen. Bei der Frage, ob Audiokommunikation im Anwendungsbereich sein solle, hätte EP jedoch eine rote Linie.

In der anschließenden Aussprache legte AUT Prüfvorbehalt gegen alle die Kompetenzen der jeweiligen Behörden betreffenden Passagen ein und bat um einen eigenen Abschnitt zu Handbüchern. Auch SWE äußerte hier Bedenken und plädierte für eine reinen Verweis auf die CSA-Richtlinie. Wir begrüßten ebenso wie SVN die getroffene Einigung. POL machte darauf aufmerksam, dass die Handbücher nur unter den Anwendungsbereich fallen dürften, wenn sie eindeutig strafbare Inhalte hätten.

FRA bat um Umformulierung von EG 9a), um Vorfestlegungen in der Diskussion zum Zugang zu Daten zu vermeiden. Bei den Anordnungen bitte FRA um Berücksichtigung des bewährten nationalen Systems und entsprechende Textarbeit. Auch LVA bat hierzu um Beibehaltung der Ratsposition bzw. Angleichung an die TCO-VO (ähnlich HUN).

Neben uns begrüßte auch ITA die Begrenzung auf nummernunabhängige Dienste und die vorgesehene review clause, wohingegen sich LVA, HUN und ESP gegen die Begrenzung aussprachen. POL zeigte sich ebenfalls skeptisch und plädierte für eine starke review clause.

ITA sah es als notwendig an, Entfernungsanordnungen nur durch eine justizielle oder unabhängige Behörde zu erstellen oder zumindest unter deren Aufsicht.

HUN, POL, BGR, ESP und SVN plädierten für die Beibehaltung von Audiokommunikation im Anwendungsbereich, da dies für den Aspekt des Grooming wichtig sei.

Im zweiten Teil der Sitzung stellte Vorsitz erste Überlegungen für einen Umgang mit den verschiedenen Positionen des Rates und des EP zur Aufdeckung von CSAM vor. Eine Lösung könne eine Mischung aus freiwilliger Aufdeckung und gezielten Aufdeckungsanordnungen sein. Man wolle in Teilen die bisherige Interims-VO in die CSAM-VO integrieren. Auch sei eine proactive Suche durch das Zentrum in öffentlich zugänglichem Material angedacht. KOM nannte die Ideen vielversprechend. Es sei klar, dass eine mögliche Lösung von beiden Seiten Kompromisse verlange. Eine Einigung würde aber auf jeden Fall die jetzige Situation verbessern.

Auf LUX Nachfrage stellte Vorsitz klar, dass das Ratsmandat sich nicht mit Ende-zu-Ende Verschlüsselung befasse, weil dort keine Aufdeckungsanordnungen enthalten seien. Angesichts der EP Position sei aber davon auszugehen, dass Ende-zu-Ende Verschlüsselung auch bei einer Kompromisslösung nicht unter den Anwendungsbereich fallen werde.

Vorsitz kündigte an, in Kürze einen Textvorschlag zu übermitteln. Es sei wünschenswert, bis zur nächsten Sitzung der JI-Referent*innen am 2. Juni eine erste Einschätzung bzw. Kommentare/Textvorschläge hierzu zu erhalten. Ein weiteres Treffen der JI-Referent*innen sei Mitte Juni geplant. Sollte man einen Kompromiss mit dem EP erzielen, dann werde man am 24. oder 26. Juni den AStV befassen. Am 29. Juni plane man den letzten Trilog unter CYP Vorsitz. Des Weiteren werde Vorsitz ein Dokument mit Kompromisstexten zu den Art. 22, 33–39 sowie allen Artikeln zum Risikomanagement übersenden.

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 11. Juni 2026
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMG, BMWE
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 10. Juni 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der JI-Referent*innen zur CSA-VO am 10. Juni 2026

I. Zusammenfassung und Wertung

Bei der ersten substanziellen Aussprache zum Vorschlag des Vorsitz zu freiwilliger Aufdeckung und Aufdeckungsanordnung zeigte sich ein uneinheitliches Bild.

Während einige MS weiterhin einen möglichst breiten Anwendungsbereich insbesondere bei freiwilliger Aufdeckung bevorzugten (sehr deutlich dazu neben uns auch FRA), zeigten sich POL, AUT, LUX und ITA bekannt kritisch.

An der Praxistauglichkeit der auf einen bestimmten Personenkreis begrenzten Aufdeckungsanordnung gab es deutliche Zweifel und es wurde mehrfach die Frage gestellt, wo man die Trennlinie zu strafrechtlichen Ermittlungen und den entsprechenden Instrumenten ziehe.

KOM begrüßte den vom Vorsitz gewählten Ansatz, welcher zwischen Aufdeckung in öffentlich zugänglichen Inhalten und in nicht-öffentlich zugänglichen Inhalten (u.a. interpersonelle Kommunikation) unterscheide.

JD sah auch bei diesem Vorschlag nicht alle rechtlichen Bedenken ausgeräumt, wobei die freiwillige Aufdeckung in öffentlich zugänglichen Inhalten als unproblematisch erachtet wurde.

II. Im Einzelnen

Auf Bitten des Vorsitz gab es eine volle Tischumfrage zu Dok. 9659/26, wobei Vorsitz vorausschickte, dass man lediglich eine erste Einschätzung erwarte. Schriftliche Kommentare könnten in Vorbereitung der nächsten JI-Referent*innen Sitzung am 17. Juni übermittelt werden.

LTU, GRC, SVK, MLT, BGR, ROU, FIN (mit Hinweis auf kritische Haltung des nationalen Parlaments), SVN, CZE, SWE, DNK und BEL legten Prüfvorbehalt ein, wobei LTU, GRC, MLT, SVN, SWE und BEL diesen als positiv bezeichneten.

ESP macht deutlich, dass man auf Grooming nur verzichten werde, wenn das EP im Gegenzug von einigen seiner Positionen abrücke.

ITA zeigte sich erneut sehr kritisch und stellte folgende Forderungen auf: Definition auch von non-publicly accessible (auch LUX, PRT), own initiative search im öffentlichen und nicht öffentlichen Bereich nur für bekanntes CSAM (auch POL), Ausstellung von Aufdeckungsanordnungen durch Justiz (auch POL), Aufdeckungsanordnungen nur für bekanntes CSAM, ggf. auch neues CSAM, wenn auf Verdächtige begrenzt, keine proaktive Suche durch das Zentrum.

LVA sprach sich für einen weiten Anwendungsbereich (bekanntes Material, neues Material, Grooming) aus (auch HRV, SWE) und unterstützte im Übrigen den Ansatz des Vorsitz bei der freiwilligen Aufdeckung, wobei die Möglichkeit der Untersagung noch geprüft werde. Zu Punkt E stelle sich die Frage, wo der Mehrwert sei, da den Behörden dann andere Instrumente zur Verfügung stünden (auch SWE).

LUX verwies auf die bekannte Position, welche sich nicht geändert habe. Nach wie vor seien die rechtlichen Probleme nicht beseitigt.

NLD stellte die Frage, ob das ganze System funktionieren könne (auch SVN, HUN) und bat um eine systematische Darstellung. Aufdeckung im öffentlichen Bereich werde unterstützt. Es bestehe Klärungsbedarf, wie die Ausführungen zur Verschlüsselung zu verstehen seien. Die gezielte Aufdeckungsanordnung klinge zunächst gut, aber es sei fraglich, ob sie bei diesen engen Voraussetzungen überhaupt jemals zum Einsatz komme (ähnlich SVK).

EST sah es als notwendig an, den Anwendungsbereich anhand der verfügbaren Technologien einzugrenzen. Bekanntes und neues Material wäre weitgehend machbar, aber Technologien zur Detektion von Grooming seien noch zu unsicher. E2EE müsse weiterhin ausgeschlossen werden. Eine Anordnung von Aufdeckungsanordnungen durch die Justiz sei zu aufwändig (auch SWE). Die Rolle des Zentrums müsse noch geklärt werden. Dieses solle die MS unterstützen und nicht mit Bürokratie belasten.

AUT erneuerte die kritische Haltung ggü. Aufdeckungsanordnungen. Es sei auch nicht klar, wer tatsächlich von den nur unter engen Bedingungen auszustellenden Aufdeckungsanordnungen im nicht-öffentlichen Bereich betroffen sein würde. Hier müsse das Verhältnis zu strafrechtlichen Ermittlungen geklärt werden.

HRV stellte die Frage, wer bei der Aufdeckungsanordnung feststelle, ob die Kriterien erfüllt seien, z.B. dass ein Dienst „missbraucht“ werde, und auf welcher Basis dies erfolge. HRV sehe auch die Gefahr, dass Dienstanbieter nicht mehr freiwillig suchen würden, sondern auf Aufdeckungsanordnungen warten würden.

Ich kündigte unsere schriftliche Stellungnahme an und skizzierte die dortigen Kernaussagen.

PRT zeigte sich generell zufrieden mit dem Vorschlag, Grooming könne aber im Anwendungsbereich nicht unterstützt werden.

FRA sah die Notwendigkeit eines breiten Anwendungsbereichs bei der freiwilligen Aufdeckung (auch HUN). Man habe hier keinen Spielraum für Verhandlungen. Es sei ganz klar, dass man nach neuem Material suchen müsse, welche dann ja auch zu bekanntem Material werde. FRA wolle auch die Weiterleitung von Meta- und Verkehrsdaten (auch SWE). Bei Aufdeckungsanordnungen stelle sich die Frage, welche Informationen konkret vom Diensteanbieter verarbeitet würden.

HUN sah die Gefahr, dass man sich möglicherweise bei strafrechtlichen Ermittlungen selbst begrenze, wenn man bestimmte Technologien bei einem „Verdachtsfall“ festschreibe.

Vorsitz erklärte, dass man sich bei den Definitionen an der TCO-VO orientiert habe. Wenn man publicly accessible definiere, sei alles, was nicht darunter falle, non-publicly accessible. Wenn man beides definiere, dann bestehe die Gefahr einer Lücke oder einer Überlappung. Man habe bewusst die Regelungen der vorübergehenden Ausnahme übernommen und mit der Möglichkeit der Untersagung weitere Safeguards hinzugefügt. Zu den Bedingungen für die Aufdeckungsanordnungen sehe man die Anbieter in der Pflicht. Diese müssen die notwendigen Informationen für eine entsprechende Einschätzung haben.

KOM begrüßte den Ansatz des Vorsitz, nach öffentlichem und nicht-öffentlichen Bereichen zu trennen. Auch die Aufdeckungen im öffentlichen Bereich bringe einen Mehrwert. Hier sei es aber dann auch notwendig, dass der Anwendungsbereich breit bleibe. Zum Grooming gäbe es Beispiele, dass eindeutige Schlüsselbegriffe genutzt würden. Auch das Darknet sei als öffentlich zugänglich einzustufen. Die Indikatoren des Zentrums sollten auch für die freiwillige Aufdeckung in öffentlichen Bereich genutzt werden. Dann sei gewährleistet, dass gemeldetes Material auch tatsächlich illegal sei. Bei der auf bestimmte Nutzer oder Gruppen angewandten Aufdeckungsanordnung sei nicht klar, worin der Mehrwert zu strafrechtlichen Ermittlungsinstrumenten bestehe. Es sei auch nicht klar, wer diese Personen oder Gruppen identifiziere und auf welcher Basis.

JD wiederholte die bekannten Positionen. Die Bedenken seien nicht ausgeräumt, da man es weiterhin mit genereller Suche in interpersoneller Kommunikation zu tun habe. Nun wolle man hierfür den Diensteanbietern eine Rechtsgrundlage mit nur geringen Safeguards geben. Die Interims-VO sei immer als Übergangslösung gedacht gewesen und nach gängiger Meinung keine Rechtsgrundlage zum Scannen von interpersoneller Kommunikation. Selbst die Eingrenzung auf Nutzergruppen sei schwierig, weil nicht klar sei, welche Kriterien hier gelten sollten. Nach Sicht des JD brauche ein eine objektive, ausreichende Verbindung zu CSAM. Eine solche Festlegung sei aber eine staatliche Aufgabe und könne nicht den Diensteanbietern überlassen werden. Freiwillige Suche und Aufdeckung im öffentlichen Bereich sei unproblematisch, da es sich nicht um interpersonelle Kommunikation handele, und bedürfe keiner Rechtsgrundlage. Bei einer Aufdeckungsanordnung zum öffentlichen Bereich sei dies jedoch nur bei bekanntem Material rechtlich einwandfrei, da die Treffer keine Überprüfung des Anbieters vor einer Weiterleitung benötigten. Für „Risikoanbieter“ (z.B. Pornoplattformen) sei dies sogar generell möglich. Die Aufdeckung durch das Zentrum sehe JD aufgrund der gewählten Rechtsgrundlage als kritisch an, sofern kein Auftrag durch die MS oder die Anbieter bestehe. Zudem müsse geklärt werden, auf welcher Basis das Zentrum entscheide, welche Diensteanbieter für eine solche Maßnahme ausgewählt würden. Vorsitz ergänzte, dass man aufgrund der Problematik der Rechtsgrundlage das Verfahren der Treffermeldung durch das Zentrum an die Anbieter gewählt habe. Auf DNK Frage, warum man die vorübergehende Ausnahme nicht einfach 1:1 übernehmen könne, antwortete JD, dass es sich hier um eine Rechtsgrundlage und nicht um eine Ausnahme von einem Verbot handele. Die freiwillige Aufdeckung tauche ja z.B. auch bei der Risikominderung auf und der Anwendungsbereich sei breiter, da z.b. auch Hosting-Dienste umfasst seien.

KOM sah einen Ausweg darin, Treffer bei neuem Material und Grooming dahingehend „rechtsicher“ zu machen, dass eine direkte Weiterleitung an das Zentrum erfolge, ohne zusätzliche Verifizierung durch den Diensteanbieter.

Zu Dok. 9835/26 sah HRV eine rote Linie bei der Anzahl der Mitglieder des Technologieausschusses. HRV wolle hier Plätze für alle MS (auch ITA). KOM gab zu bedenken, dass man die Experten nicht auf EU Bürger begrenzen solle. FIN bat darum, ausreichend Zeit für die Umsetzung der VO zu geben und sprach sich gegen eine kurze Umsetzungsfrist aus.

Vorsitz informierte abschließend über die weiteren Schritte:

ITM am 11. Juni zur Fortsetzung vorheriger Diskussionen. Man werde Ende dieser Woche hierzu ein neues Dokument verteilen. Hierzu seien weitere Kommentare willkommen.

Zu den Art. 3 – 5 warte man derzeit auf Kommentare der KOM. Ein neuer Text solle bis Ende nächster Woche vorliegen. Hierzu erbitte Vorsitz dann Stellungnahmen im Hinblick auf die AStV Befassung am 24. Juni und den letzten Trilog unter CYP Vorsitz am 29. Juni.

Das Dokument für den AStV solle spätestens am 19. Juni vorliegen.

Vorsitz werde auch ein neues 4‑Spalten Dokument vorlegen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Staatliche Stellen haben letztes Jahr über 35 Millionen Mal abgefragt, wem eine Telefonnummer gehört. Diese Abfragen haben sich innerhalb von fünf Jahren verdoppelt. Auch Inhaber von IP-Adressen werden abgefragt, laut Telekom vor allem wegen Urheberrechtsverletzungen.

Wem gehört eine Telefonnummer? Das können 135 staatliche Stellen von 142 Telekommunikations-Unternehmen erfahren, ohne dass die betroffenen Firmen oder Kunden davon etwas mitbekommen.

Dieses automatisierte Auskunftsverfahren wird von der Bundesnetzagentur betrieben und ist auch als „Behördentelefonbuch“ oder Bestandsdatenauskunft bekannt.

Die Bundesnetzagentur veröffentlicht darüber jährliche Statistiken, neben einem Absatz im aktuellen Jahresbericht auch auf der Webseite:

Im Jahr 2025 wurden insgesamt ca. 35,11 Mio. Ersuchen über das Automatisierte Auskunftsverfahren bei der Bundesnetzagentur beantwortet.

Wir haben die Zahlen wie jedes Jahr aufbereitet und visualisiert.

Wem gehören 35 Millionen Telefonnummern?

Deutsche Behörden haben im letzten Jahr über 35 Millionen Mal gefragt, wer eine Telefonnummer registriert hat.

Staatliche Stellen wie Polizei, Geheimdienste und Zoll haben also im Schnitt fast jede Sekunde einen Datensatz mit Name, Anschrift und weiteren Bestandsdaten erhalten. Das ist ein neues Allzeithoch.

Diese nummernbasierten Ersuchen haben sich innerhalb von fünf Jahren verdoppelt.

Welche Telefonnummern gehören dieser Person?

Die Auskunft geht auch anders herum: Welche Telefonnummern gehören einer Person?

Diese personenbasierten Ersuchen wurden 340.813 Mal gestellt. Das ist etwa eine Abfrage alle anderthalb Minuten.

Diese Abfragen nahmen wieder zu:

Registrierungspflicht für SIM-Karten

In vielen Staaten der Welt kann man Internet per WLAN und Mobilfunk auch ohne Identifizierung nutzen, darunter USA und Kanada, Großbritannien und Tschechien. Das Bundesamt für Sicherheit in der Informationstechnik hatte jahrelang die „Verwendung von Prepaid-Karten zur Anonymisierung“ empfohlen.

Seit einem Anti-Terror-Gesetz von 2016 müssen Prepaid-SIM-Karten in Deutschland mit einem amtlichen Ausweisdokument registriert werden. Das sind genau die Daten, die jede Sekunde abgefragt werden.

Damals sagte uns das CDU-geführte Innenministerium, dass es „keine allgemeine Pflicht zur nachträglichen Überprüfung bereits erhobener Bestandsdaten“ gibt.

Bundesnetzagentur kontrolliert Daten

Diese Zusage gilt jetzt nicht mehr. Sicherheitsbehörden beklagen, dass manche Daten eine „mangelhafte Datenqualität“ hätten, also Anschlüsse auf ein Pseudonym registriert sind. Deshalb hat die Bundesnetzagentur Auslegungshinweise zum Gesetz „erweitert und fortentwickelt“. Auf einem „Compliance Gipfel“ diskutieren Branchenvertreter und berechtigte Stellen „Lösungsansätze zur Verbesserung der Datenqualität“.

Dieses Jahr will die Bundesnetzagentur die „Vorgaben für Identifizierungsverfahren im Prepaid-Mobilfunksektor“ überarbeiten. Nach der Novellierung des Telekommunikationsgesetzes will die Bundesnetzagentur die Kundendatenauskunftsverordnung und die Technische Richtlinie für das Auskunftsverfahren überarbeiten.

Wer keinen Personalausweis vorlegt, verliert den Mobilfunk-Anschluss.

Keine Transparenz zu IP-Adressen

Seit 2013 können Behörden neben Telefonnummern auch Internetdaten wie IP-Adressen und E‑Mail-Postfächer als Bestandsdaten abfragen. Damit erfahren sie, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt – ebenfalls ohne Richterbeschluss.

Zu diesen Abfragen gibt es leider keine Statistiken, weil die Behörden direkt bei den Internet-Zugangs-Anbietern anfragen. Die Bundesnetzagentur könnte diese Statistiken erheben und veröffentlichen. Doch dazu fehlt der politische Wille – aller Bundesregierungen.

Die Deutsche Telekom veröffentlicht freiwillig einige Zahlen in ihrem Transparenzbericht. Demnach haben Behörden in über 53.000 Fällen Bestandsdaten durch manuelle Abfragen erhalten. Dazu kommen mehr als 217.000 Abfragen zu Inhabern von IP-Adressen bei mutmaßlichen Urheberrechtsverletzungen im Internet.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Weltweit drängen Regierungen auf Alterskontrollen im Netz. Robust, anonym und zugänglich sollen sie sein. Während die Debatte um das Für und Wider kreist, geht das Wichtigste vergessen: Keine Technologie kann diese Ansprüche erfüllen. Eine Intervention.

Unmögliche Dinge haben eine magische Anziehungskraft. Kein Tier der Welt kann gleichermaßen Eier, Wolle, Milch und Fleisch liefern, trotzdem lebt die eierlegende Wollmilchsau zumindest in unserer Fantasie. Einen festen Platz im kulturellen Gedächtnis hat auch die Katze aus der Vorstellung des Physikers Erwin Schrödinger, die sowohl tot als auch lebendig ist. Und dann gibt es noch den Kreis, den man gerne quadrieren; den Pudding, den man an die Wand nageln will.

Ein Konzept kann noch so widersprüchlich sein, in unserer Vorstellung kann es schlüssig und sinnvoll erscheinen. Genau so verhält es sich mit jenen Alterskontrollen im Netz, die Politiker*innen auf höchster Ebene fordern, seit Australien ein Social-Media-Verbot für unter 16-Jährige eingeführt hat. Diese Alterskontrollen sollen nämlich mehrere Eigenschaften zugleich erfüllen, die sich nicht miteinander kombinieren lassen.

• Einerseits sollen Alterskontrollen im Netz sehr streng sein. Kinder und Jugendliche sollen sie möglichst nicht umgehen können. Eine derzeit weit verbreitete Abfrage wie „Bist du erwachsen?“ genügt demnach nicht. Die Kontrollen sollen deshalb genau, wirksam, zuverlässig und robust sein.
• Andererseits sollen Alterskontrollen im Netz sehr mild sein. Menschen sollen von den Kontrollen nicht benachteiligt werden; ihre Grundrechte auf Datenschutz und Privatsphäre sollen nicht leiden. Die Kontrollen sollen deshalb zugänglich, anonym und datensparsam sein. Sie sollen außerdem nicht diskriminieren und Teilhabe ermöglichen, zwei weitere Grundrechte.

Diese und weitere Ansprüche an Alterskontrollen fallen immer wieder in der Debatte. Sie tauchen etwa in den Leitlinien zur Umsetzung des Gesetzes über Digitale Dienste (DSA) für Minderjährige auf, im Forderungspapier wichtiger Politiker*innen der SPD, in einem Gesetzentwurf der Grünen im Bundestag, im Parteitagsbeschluss der CDU in einem Papier vom Europäischen Datenschutzausschuss oder in einer Einigung der G7-Staaten. Die Ansprüche klingen vielversprechend und glaubhaft, gerade wenn Politiker*innen auf höchster Ebene sie beharrlich wiederholen.

Das Problem: Alles auf einmal geht nicht. Alterskontrollen sind entweder zu mild oder zu streng. Es gibt keine Lösung, die Vorteile beider Ansätze in sich vereint. Warum das so ist, machen drei Beispiele anschaulich.

Erstens: Bist du denn schon alt genug?

☝️ Anspruch: Zuverlässige Alterskontrollen brauchen Belege, dass ein Mensch tatsächlich erwachsen ist.

🔍 Realitäts-Check: Die aktuell in der EU geplante Lösung, um das Alter von Menschen im Netz zu prüfen, ist die Alterskontroll-App. Sie soll einer Website verraten, ob ein Mensch eine Altersschwelle überschreitet oder nicht. Die App basiert auf Ausweispapieren oder anderen Dokumenten. Menschen brauchen für die App außerdem ein Smartphone, Stand aktuell mit iOS oder Google-basiertem Android. Das bedeutet Handyzwang und den Zwang, die Betriebssysteme von US-Konzernen zu nutzen. All das sind Hürden.

Es gibt allein in Deutschland nach Schätzungen Hunderttausende Menschen ohne Aufenthaltstitel. Es ist unklar, ob sie Papiere haben, die mit einer EU-Ausweis-App kompatibel wären; oft misstrauen sie Behörden. Hinzu kommen Menschen, die ihre Ausweispapiere schlicht nicht digital scannen wollen oder kein (geeignetes) Handy haben.

Eine weitere Option der Altersüberprüfung sind KI-basierte Gesichtsscans. Dann würde eine Software das Alter einer Person schätzen. Diese Technologie ist nicht nur ein tiefer Eingriff in die Privatsphäre, sie macht auch Fehler. Sie kann etwa Menschen benachteiligen, die jünger aussehen, als sie sind. Oder deren Gesicht nicht so aussieht wie die Gesichter, für die die Software optimiert wurde, beispielsweise wegen einer Verletzung oder Behinderung. Und auch hier gibt es technische Hürden: Menschen brauchen eine Handykamera, die funktioniert.

Solche Hürden sind niedrig für Menschen mit bestimmen Privilegien, aber sie sind hoch für Menschen, denen solche Privilegien fehlen. Das kann marginalisierte Gruppen weiter benachteiligen. Wer die Hürden nicht überwinden kann oder will, muss auf digitale Teilhabe verzichten.

📌 Zwischenfazit: Sollen Alterskontrollen ernsthaft zuverlässig sein, könnten sie nicht für alle zugänglich sein. Sie müssten Teilhabe einschränken und diskriminieren – was Befürworter*innen ausdrücklich nicht wollen.

Zweitens: Bist du’s wirklich?

☝️ Anspruch: Robuste Alterskontrollen verlangen, dass Menschen den Altersnachweis nicht von jemandem klauen.

🔍 Realitäts-Check: Diesen Anspruch können datensparsame Lösungen wie die Alterskontroll-App der EU nicht überzeugend erfüllen. Gegenüber einer altersbeschränkten Website soll die App nur weitergeben, ob jemand eine Altersschwelle überschritten hat, mehr nicht. Das ist wichtig zum Schutz der Privatsphäre, im besten Fall läuft das sogar anonym.

Eine Website kann dann allerdings nicht prüfen, ob eine Person ihren Nachweis geklaut hat – etwa, weil sie das Handy von jemand anderem benutzt.

Eindämmen ließe sich der Nachweis-Klau nur mit weniger Privatsphäre. Man müsste Nachweis und Nutzer*in enger verknüpfen. Eine Option: Wer eine beschränkte Website öffnen will, müsste dafür in Echtzeit das eigene Gesicht scannen lassen. Eine Software könnte das Alter abschätzen, oder das Gesicht mit einem Ausweisdokument abgleichen, aus dem das Alter hervorgeht. Eine andere Option wäre ein passwortgeschützter Account, wo der geprüfte Altersnachweis hinterlegt ist. Dann könnten Website-Betreiber allerdings aus den Aktivitäten einer Person Profile bilden.

📌 Zwischenfazit: Sollen Altersschranken ernsthaft robust sein, ginge das nur mit Einbußen bei der Privatsphäre – was Befürworter*innen ausdrücklich nicht wollen.

Drittens: Bleib da, wo ich dich sehen kann!

☝️ Anspruch: Wirksame Alterskontrollen verlangen, dass Menschen die beschränkten Inhalte nicht einfach über einen Umweg abrufen.

🔍 Realitäts-Check: Hier kippt das Vorhaben ins Absurde. Junge Menschen müssen Alterskontrollen gar nicht erst austricksen, sie können sie einfach vermeiden. Das hat mit der Architektur des Internets zu tun. Alterskontrollen sind wie ein eisernes Tor auf einem Pfad, der in einen Wald führt. Man muss dieses Tor nicht aufkriegen – man kann einfach den ausgetretenen Pfad verlassen und irgendwo zwischen den Bäumen in den Wald spazieren.

Mit VPN-Diensten oder dem Tor-Browser lassen sich altersbeschränkte Websites ohne Schranken besuchen. Der Internetverkehr fließt dann über Server an einen anderen Ort, etwa ein anderes Land ohne Alterskontrollen. Im Mai hat eine Analyse vom Wissenschaftlichen Dienst des Europäischen Parlaments Aufsehen erregt. Im Rahmen einer Abwägung bezeichneten die Autor*innen VPN-Dienste auch als Lücke im Jugendschutz, die geschlossen werden müsse („A loophole that needs closing“).

VPN-Dienste verbieten? Für Grundrechte wie Datenschutz und Privatsphäre wäre das katastrophal. Es würde die Demokratie untergraben. Denn VPN-Dienste oder auch das Tor-Netzwerk sind wichtige Werkzeuge digitaler Selbstverteidigung. Sie schützen unter anderem Journalist*innen, Whistleblower*innen, Oppositionelle, Dissident*innen. Autoritäre Regierungen wie Russland, Iran oder Nordkorea gehen dagegen vor – also Regime, die es als Bedrohung ansehen, wenn sich Menschen frei und anonym Informationen beschaffen und kommunizieren können.

📌 Zwischenfazit: Sollen Alterskontrollen ernsthaft wirksam sein, müsste man auch Werkzeuge wie VPN-Dienste einschränken, die für Grundrechte im Netz essentiell sind – was in einer Demokratie nicht wünschenswert sein kann.

Fazit: Die Rechnung geht nicht auf

Alterskontrollen, die alle Ansprüche erfüllen: Das erscheint nur schlüssig, wenn man nicht genau hinschaut. Wer ohne Abstriche strenge und zugleich milde Alterskontrollen verspricht, kennt sich nicht aus oder ist nicht aufrichtig.

• Die CDU verlangt in ihrem Parteitagsbeschluss: „ein effektives und technisch belastbares Altersverifikationssystem“. Die Verifikation habe „datensparsam, sicher und unter Wahrung europäischer Datenschutzstandards zu erfolgen.“ Das klappt nicht.
• Wichtige SPD-Politiker*innen rund um Justizministerin Stefanie Hubig fordern: „eine verpflichtende, wirksame und datensparsame Altersverifizierung“. Das klappt nicht.
• Die Grünen wollen „eine rechtssichere, verlässliche, diskriminierungsfreie, datensparsame und grundrechtsschonende Lösung.“ Das klappt nicht.
• Der Europäische Datenschutzausschuss verlangt von Alterskontrollen: Zugänglichkeit, Zuverlässigkeit, Robustheit und „datenschutzfreundlichste verfügbare Methoden“. Das klappt nicht.
• Die DSA-Leitlinien der EU-Kommission zum Schutz von Minderjährigen wollen Alterskontrollen bewerten nach: Genauigkeit, Zuverlässigkeit, Robustheit, Nicht-Intrusivität und Nichtdiskriminierung. Das klappt nicht.
• Die G7-Staaten wollen „robuste, zuverlässige und Privatsphäre wahrende Lösungen zur Altersüberprüfung“. Das klappt nicht.

Eine realistische Debatte ist nur möglich, wenn sich die Beteiligten ehrlich machen und klar benennen, was klappt und was nicht. Nur so können sich Abgeordnete, Diplomat*innen, Forschende, Wähler*innen und alle anderen Interessierten eine Meinung bilden und informierte Entscheidungen treffen.

Welche Nachteile wollen wir als Gesellschaft in Kauf nehmen, wenn wir Alterskontrollen mild oder streng gestalten? Befürworter*innen von Alterskontrollen sind darauf eine Antwort schuldig. Denn es gibt keine Option ohne Nachteile:

• Entweder die Alterskontrollen – oder besser: Altersschranken sind mild, dann brauchen junge Menschen viele andere Schutzmaßnahmen. Dafür bietet das Gesetz über digitale Dienste eine Menge Werkzeuge, etwa Vorschriften gegen manipulative Designs und suchtfördernde Mechanismen. Kombinieren ließe sich das mit klugen und offenen Jugendschutz-Werkzeugen.
• Oder aber die Alterskontrollen sind streng, dann gefährden sie die Grundrechte aller. Schlimmstenfalls droht ein Netz nach Vorbild autoritärer Regime.

Warnung von Forscher*innen verhallt

Strenge Alterskontrollen für alle – umgesetzt mit einer staatlich verordneten Ausweis-App – legen den Grundstein für ein umfassenden Kontroll-Apparat. Selbst wenn das System mit hohen Datenschutz-Standards startet, gibt es keine Garantie, dass das so bleibt. Es bräuchte nur ein technisches und ein juristisches Update, um einen datensparsamen Kontroll-Apparat in einen gefährlichen Überwachungsapparat zu verwandeln.

In einem solchen Fall könnte die einmal ausgerollte App plötzlich doch Klarnamen oder feste Kennungen übertragen und damit die Anonymität im Netz untergraben. Eine menschenfeindliche Regierung könnte mithilfe der App neben Minderjährigen weitere gesellschaftliche Gruppen aus digitalen Räumen drängen – etwa sortiert nach Geburtsort im In- oder Ausland. Technologisch wäre so etwas kein Problem.

Eine dringende Warnung gab es im März von mehr als 400 internationalen Forscher*innen aus IT-Sicherheit und Datenschutz in einem offenen Brief. Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“, schrieben die Expert*innen aus 29 Ländern. Es fehle ein klares Verständnis dafür, was diese Kontrollen anrichten können, für „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen.

Die Warnung ist offenbar verhallt. Selbst das vom Familienministerium einberufene Expert*innen-Gremium hat die Gefahren von Alterskontrollen in einem 128-seitigen Zwischenbericht zum Forschungsstand nicht beachtet.

Am 24. Juni soll das deutsche Expert*innen-Gremium Empfehlungen vorlegen, wenig später ein Gremium auf EU-Ebene. Bis September könnte die EU-Kommission einen Gesetzentwurf vorlegen. Längst hat Ursula von der Leyen klargemacht, dass sie ein Social-Media-Verbot für Minderjährige befürwortet – was unweigerlich mit Alterskontrollen einhergehen würde. Die Kommissionspräsidentin greift förmlich nach dem Hammer, um den Pudding an die Wand zu nageln. Auf die Füße fallen würde er uns allen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Gerade werden deutschlandweit Polizeigesetze hart verschärft. Kollege KI zieht ein, die Überwachung ist künftig automatisiert. Dagegen stellt sich eine Demo am Samstag in Berlin. Im Interview erzählen zwei Mitorganisatoren, warum sich die Teilnahme lohnt.

Im Bund und in den Ländern wird gerade massiv KI-gestützte Überwachungsinfrastruktur aufgebaut. Doch es formiert sich zivilgesellschaftlicher Widerstand. Tom Jennissen und Sebastian Marg arbeiten für die Digitale Gesellschaft, einen der Bündnispartner der Initiative „Sicherheit ohne Überwachung“. Gemeinsam mit beispielsweise der Roten Hilfe und dem Komitee für Grundrechte und Demokratie veranstalten sie am Samstag in Berlin (ab 14 Uhr Warschauer Straße/Marchlewskistraße) eine Demonstration gegen den Ausbau der Polizei-Befugnisse. Im Interview erzählen Jennissen und Marg, wogegen sich die Demonstration konkret wendet, warum uns das alle angeht und ob sich Widerstand überhaupt noch lohnt.

netzpolitik.org: Laut Initiativen-Website wehrt ihr euch gegen die „ausufernden Überwachungsbefugnisse“. Was ist damit gemeint?

Jennissen: Der konkrete Anlass ist das Sicherheitspaket 2.0. Das soll dem BKA, der Bundespolizei, der Staatsanwaltschaft, dem Zoll, sowie dem BAMF umfangreiche neue digitale Befugnisse zuweisen. Dazu gehören der biometrische Abgleich mit Daten aus dem Internet und die umfassende Datenanalyse, also der Einsatz einer Software, wie sie Palantir anbietet. Dazu müssten gigantische Referenzdatenbanken erstellt werden. Außerdem sollen personenbezogene Daten auch zum Training von KIs verwendet werden.

Es ist ein frontaler Angriff auf die Grundrechte, zusammen gedacht so etwas wie die Atombombe unter den Ermittlungsmaßnahmen. Der Bundesrat will dennoch noch weiter gehen und dazu auch noch Echtzeit-Fernidentifizierung mit reinnehmen. Und parallel durchläuft ja gerade das Gesetz zur IP-Vorratsdatenspeicherung das Parlament.

„Das Aus für die Anonymität“

Marg: Dazu kommen die Polizeigesetznovellen in den Ländern, mit denen gerade ebenfalls massiv digitale Überwachungsbefugnisse ausgebaut werden. Einige sind schon durch, andere noch in Arbeit.

netzpolitik.org: Und warum ist das ein Problem?

Jennissen: Weil das extrem invasive Maßnahmen sind. Sollte denen tatsächlich erlaubt werden, das gesamte Internet als Fahndungsdatenbank zu verwenden, dann wäre das das Aus für die Anonymität. Dann kann man sich nicht mehr im öffentlichen Raum bewegen, ohne Gefahr zu laufen, auf einem Foto zu landen, das von der Polizei als Fahndungsmittel genutzt wird. Das ist krass dystopisch.

Und bei der automatisierten Datenanalyse sollen sämtliche Daten zusammengeführt werden. Darunter Daten aus Asservaten beispielsweise, den rund 500.000 Mobiltelefonen, die die Polizei aus irgendwelchen Gründen mal einkassiert hat.

„Eine Chance, das zu verhindern“

netzpolitik.org: Und warum begehrt ihr jetzt dagegen auf – bringt das was?

Jennissen: Es ist nicht so, dass zivilgesellschaftlicher Widerstand nichts bringen würde. Wir haben zum Beispiel im Jahr 2020 die Vorratsdatenspeicherung weitgehend verhindern können. Der neue Anlauf jetzt ist schon deutlich abgespeckt im Vergleich zu dem, der vor 20 Jahren auf dem Tisch lag. Zum Teil werden die Überwachungsmaßnahmen auch von Gerichten kassiert, und die hätten vielleicht anders geurteilt, wenn es den Widerstand, die Aufmerksamkeit nicht gegeben hätte.

Wir wollen eine Diskussion zum Thema in Gang bringen. Bislang werden vor allem die Pressemitteilungen der Bundesregierung abgeschrieben. Welchen Sinn die Maßnahmen haben und welche Ausmaße, darüber gibt es noch keine gesellschaftliche Diskussion. Wenn es mal ein Bewusstsein dafür gibt, was da auf uns zukommt, dann gibt es auch eine Chance, das zu verhindern. Und wenn wir es nicht verhindern können, müssen die Gerichte später zumindest nicht im luftleeren Raum darüber entscheiden.

netzpolitik.org: Ist die Demo in Berlin, weil hier die Bundesregierung sitzt, oder spielt es auch eine Rolle, was in Berlin als Bundesland gerade passiert?

„Die Kämpfe aus verschiedenen Bundesländern zusammenführen“

Jennissen: In Berlin gab es im vergangenen Jahr ein in ziemlich großer Eile durchgepeitschtes neues Sicherheitsgesetz. Da stehen viele neue Befugnisse drin. KI-gestützte Videoüberwachung zum Beispiel. Das wird auf jeden Fall thematisiert. Unsere Vernetzung soll die Kämpfe aus verschiedenen Bundesländern zusammenführen.

netzpolitik.org: Habt ihr Hoffnung, die Welle aufzuhalten?

Jennissen: Ob diese Bundesregierung noch umzustimmen ist, das wird sich zeigen. Realistisch ist, dass wir einige Spitzen rausnehmen. Aber mittelfristig glaube ich schon, dass wir die Welle brechen können.

netzpolitik.org: Die Vernetzung läuft unter dem Slogan „Sicherheit ohne Überwachung“. Wie wollt ihr denn dann Sicherheit herstellen?

Marg: Wir verwenden einen Sicherheitsbegriff, der Sicherheit von der sozialen Perspektive aus denkt. Es geht um die Sicherheit von Wohnraum oder gesellschaftlicher Teilhabe beispielsweise.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In Mecklenburg-Vorpommern hat sich das LKA kommerzielle Handy-Standortdaten beschafft. In mehreren Bundesländern will sich die Polizei nicht zu Databroker-Deals äußern. Nach Recherchen von netzpolitik.org und Bayerischem Rundfunk verlangen Abgeordnete jetzt Transparenz.

In mindestens acht Bundesländern macht die Opposition Druck auf die Landesregierung und fordert Aufklärung über mögliche Databroker-Deals mit der Polizei. Der Anlass sind Recherchen von netzpolitik.org und Bayerischem Rundfunk.

Zunächst hatte das Landeskriminalamt Meckenburg-Vorpommern eingeräumt, sich Handy-Standortdaten der Werbe-Industrie beschafft zu haben. Mithilfe solcher Daten lassen sich detaillierte Bewegungsprofile von Nutzer*innen erstellen. Fachleute sehen dafür keine konkrete Rechtsgrundlage. Die Datenschutzbehörde von Mecklenburg-Vorpommern hat sich eingeschaltet.

In Brandenburg hat sich die Polizei Daten von beispielsweise Wirtschaftsauskunfteien besorgt. In neun weiteren Bundesländern wollte sich die Polizei nicht über mögliche Databroker-Deals äußern. Vielerorts hat sich deshalb die Opposition eingeschaltet.

Wenn Überwachungskapitalismus und Überwachungsstaat zusammenwachsen

So fordert die innenpolitische Sprecherin der SPD in Nordrhein-Westfalen, Christina Kampmann, die Regierung müsse „umgehend gegenüber dem Landtag offenlegen, ob die NRW-Sicherheitsbehörden solche Datensätze nutzen — und auf welcher rechtlichen Grundlage“. Der innenpolitische Sprecher der Grünen in Bayern, Florian Siekmann, sagt: „Ein Einkauf solcher in der Regel rechtswidrig verkaufter Daten auf dem Graumarkt wäre ein Skandal“.

Der innenpolitische Sprecher der Linksfraktion im Berliner Abgeordnetenhaus, Niklas Schrader, sagt: „Dass Berlin und andere Bundesländer keine Auskunft über den Einsatz solcher Daten geben, ist inakzeptabel und weckt Misstrauen.“

Auch in den Medien zieht die Recherche Kreise. Zahlreiche Zeitungen haben eine Meldung der Deutschen Presse-Agentur übernommen. Der Deutsche Journalistenverband (DJV) sieht Journalist*innen durch mögliches Standort-Tracking der Polizei in Gefahr. „Wo sich ein Reporter aufhält und welche Stationen er in den letzten Stunden angesteuert hat, geht die Polizei nichts an“, sagt Bundesvorsitzender Mika Beuster. Der DJV fordert, deutsche Polizeibehörden sollten „keine Standortdaten kommerzieller Databroker“ verwenden.

In welchen Bundesländern sind Databroker-Deals jetzt Thema? Wir haben uns bei demokratischen Oppositionsparteien erkundigt. Die Übersicht.

• Berlin: „Rechtsstaat darf sich keine Abkürzungen kaufen“
• NRW: Regulierung „bislang völlig unzureichend“
• Bayern: „Mauern lässt nichts Gutes ahnen“
• M‑V: „Erwarten vom Innenminister Aufklärung“
• Brandenburg: „Egal in welchen Fällen rechtswidrig“
• Hamburg: „Inakzeptabel“, dass LKA keine Auskunft gibt
• Baden-Württemberg: Parlamentarische Anfrage geplant
• Sachsen: „Keine Hintertüren, um Grundrechte zu umgehen“
• Niedersachsen, Thüringen, Saarland: Funkstille

Berlin: „Rechtsstaat darf sich keine Abkürzungen kaufen“

⚫️🔴 Das sagt die schwarz-rote Regierung: Nichts. Die Senatsverwaltung für Inneres und Sport verweist auf das LKA, das sich „aus Geheimschutzgründen“ nicht äußern will. Wir wissen nicht, ob die Berliner Polizei Datenhändler nutzt.

🟢 Das sagen die Grünen: „Die Vorwürfe sind zu gravierend, um sie unbeantwortet im Raum stehen zu lassen“, sagt Gollaleh Ahmadi, Sprecherin für Sicherheitspolitik und Datenschutz der Grünen im Berliner Abgeordnetenhaus und stellvertretende Vorsitzende des Innenausschusses. Vertrauen in Sicherheitsbehörden entstehe „durch Rechtsstaatlichkeit und Transparenz nicht durch Schweigen und Schwärzungen.“ Ahmadi fordert „vollständige Aufklärung“.

Sollten Behörden über kommerzielle Daten „Informationen erhalten, die sie auf regulärem Weg nicht erheben dürften“, sei das „nicht akzeptabel“, sagt die Abgeordnete. „Der Rechtsstaat darf sich keine Abkürzungen kaufen.“ Aus „gutem Grunde“ unterliege die Abfrage von Standortdaten strengen Voraussetzungen und einem Richtervorbehalt. „Wenn staatliche Behörden versuchen würden, diese Hürden durch den Kauf kommerziell gehandelter Daten zu umgehen, wäre das ein erheblicher Schlag für unseren Rechtsstaat.“

🟣 Das sagt die Linke: Es sei „inakzeptabel“ und wecke „Misstrauen“, dass Berlin und andere Bundesländer keine Auskunft über den Einsatz solcher Daten geben, sagt der Sprecher der Linken für für Innenpolitik, Niklas Schrader. Es sei „in höchstem Maße besorgniserregend“, dass sich Polizeibehörden offenbar ohne Rechtsgrundlage Daten von Databrokern beschaffen.

„Absolut widersinnig ist es, dass mit dieser Praxis durch den Staat ein Geschäft gefördert wird, welches die innere Sicherheit gefährdet“, sagt Schrader weiter. Die Fraktion wolle über eine parlamentarische Anfrage nachhaken. Zur Gefahr des Datenhandels für die nationale Sicherheit hatten netzpolitik.org und BR mehrere Recherchen veröffentlicht.

---

NRW: Regulierung „bislang völlig unzureichend“

⚫️🟢 Das sagt die schwarz-grüne Regierung: Nichts. Eine Presseanfrage an das Innenministerium blieb bis zur Frist unbeantwortet. Wir wissen nicht, ob die Polizei in Nordrhein-Westfalen Datenhändler nutzt.

🔴 Das sagt die SPD: „Der Handel mit Standortdaten, Bewegungsprofilen und anderen sensiblen Informationen birgt erhebliche Risiken für Grundrechte und Privatsphäre“, warnt Christina Kampmann, innenpolitische Sprecherin der SPD-Fraktion im Landtag von Nordrhein-Westfalen.

„Wenn staatliche Stellen solche Daten ankaufen, stärken sie einen Schattenmarkt, dessen Regulierung aus unserer Sicht bislang völlig unzureichend ist.“ Die Landesregierung müsse „offenlegen, ob die NRW-Sicherheitsbehörden solche Datensätze nutzen — und auf welcher rechtlichen Grundlage.“

🟡 Das sagt die FDP: „Sollten kommerziell gehandelte Daten ohne gesetzliche Grundlage rechtswidrig genutzt worden sein, wäre das ein erheblicher rechtsstaatlicher Vorgang, der von der Landesregierung nunmehr unverzüglich aufgeklärt werden muss“, sagt Marcel Hafke, Sprecher für Inneres der FPD-Fraktion in Nordrhein-Westfalen. Die FDP werde das Thema im Parlament aufgreifen.

Zwar würden Sicherheitsbehörden moderne Instrumente für Ermittlungen brauchen, so Hafke. „Aber sie dürfen sich keine Daten über den Umweg kommerzieller Datenhändler beschaffen, wenn ihnen der direkte Zugriff aus guten verfassungsrechtlichen Gründen gesetzlich verwehrt wäre.“

---

Bayern: „Mauern lässt nichts Gutes ahnen“

⚫️🟠 Das sagt die schwarz-orange Regierung: Nichts. Das Innenministerium verweist auf das LKA Bayern, das keine Auskunft erteilen will, um die „Arbeitsfähigkeit“ der Polizei nicht zu gefährden. Wir wissen nicht, ob die Polizei in Bayern Datenhändler nutzt.

🟢 Das sagen die Grünen: „CSU-Innenminister Hermann muss umgehend erklären, ob die Bayerische Polizei Standortdaten von Bürgerinnen eingekauft hat und zu welchem Zweck genau“, fordert Florian Siekmann, innenpolitischer Sprecher der Grünen im bayerischen Landtag. Aufklärung und Transparenz seien das Gebot der Stunde. „Das Mauern gegenüber der Presse und uns allen lässt nichts Gutes ahnen.“

Ein Einkauf sensibler Standortdaten auf dem „Graumarkt“ wäre ein „Skandal“, so Siekmann weiter. „Ich werde zur nächsten Plenarsitzung eine parlamentarische Anfrage an den Minister richten und erwarte eine eindeutige Antwort.“

🔴 Das sagt die SPD: „Wir sprechen mehr und mehr von Datensouveränität“, sagt Horst Arnold aus dem Rechtsausschuss des bayerischen Landtags, „und jetzt soll durch einen Kauf von Bewegungsprofilen offenbar egal von wem und zu welchem Preis die ganze Rechtsordnung ohne Kontrollmöglichkeit auf den Kopf gestellt werden. Das geht nicht.“

Auch Arnold wolle eine parlamentarische Anfrage stellen. Würde sie unbeantwortet bleiben, wäre das „nicht nur intransparent, sondern tatsächlich eine konkrete Kontrollverweigerung der Polizei gegenüber dem Gesetzgeber und damit auch demokratiewidrig.“

---

M‑V: „Erwarten vom Innenminister Aufklärung“

🔴🟣 Das sagt die rot-rote Regierung: Nachdem die Polizei in Mecklenburg-Vorpommern mitgeteilt hatte, sich Handy-Standortdaten beschafft zu haben, erklärt das Innenministerium: „Das LKA geht von einem rechtlich getragenen Vorgehen aus.“ Mehr will das Ministerium nicht sagen, solange die Datenschutzbehörde den Fall prüft.

🟢 Das sagen die Grünen: „Wir halten die Nutzung kommerzieller Standortdaten durch die Polizei für rechtswidrig“, sagt Constanze Oehlrich, Vorsitzende und innenpolitische Sprecherin der grünen Fraktion im Landtag. Es gebe hohe rechtliche Hürden für den Zugriff auf Standortdaten; sie dürften nicht durch Einkauf kommerzieller Daten umgangen werden. „Wir erwarten vom Innenminister Aufklärung über das Ausmaß dieser Praxis. Deshalb haben wir für die kommende Sitzung des Innenausschusses einen Bericht beantragt.“

Weiter schreibt Oehlrich: „Der Handel mit Standortdaten gefährdet die Privatsphäre und Sicherheit aller“. Der Rechtsstaat dürfe kein Kunde von Datenhändlern werden, die sich um Datenschutz nicht scheren. „Wenn der Staat Daten kauft, die ohne Wissen der Betroffenen gesammelt wurden, wird er selbst zum Komplizen fragwürdiger Datenhändler.“

⚫️ Das sagt die CDU: Nichts. Eine Presseanfrage blieb bis zur Frist unbeantwortet.

---

Brandenburg: „Egal in welchen Fällen rechtswidrig“

⚫️🔴 Das sagt die schwarz-rote Regierung: Das Innenministerium verweist auf die Polizei. Das LKA Brandenburg hatte zunächst vage eingeräumt, Databroker zu nutzen. Später stellte die Behörde klar, „bisher“ keine kommerziellen Standortdaten beschafft zu haben, sondern Daten von „kommerziellen Plattformen wie beispielsweise von Wirtschaftsauskunfteien“.

🟪 Das sagt das BSW: „Wir gehen davon aus, dass der Rückgriff auf Databroker durch die Polizei egal in welchen Fällen rechtswidrig ist“, sagt Niels-Olaf Lüders, Vorsitzender der BSW-Fraktion im Brandenburger Landtag. Es gebe dafür keine Ermächtigung im Polizeigesetz. „Innenminister Redmann ist hier aufgefordert, für Aufklärung und eine sofortige Beendigung dieser Praxis zu sorgen.“

Das BSW habe das Thema bei einer Sitzung im Ausschuss für Inneres und Kommunales ansprechen wollen; die Koalition habe das abgelehnt. „Wir werden dazu weiter nachfragen.“

---

Hamburg: „Inakzeptabel“, dass LKA keine Auskunft gibt

🔴🟢 Das sagt die rot-grüne Regierung: Nichts –„um den Erfolg der polizeilichen Arbeit nicht zu gefährden“. Wir wissen nicht, ob die Polizei in Hamburg Datenhändler nutzt.

🟣 Das sagt die Linke: „Die Nutzung von kommerziell gehandelten Handy-Standortdaten durch die Polizei ist ein massiver Angriff auf die Grundrechte“, sagt Deniz Celik, Vizepräsident der Hamburgischen Bürgerschaft und Sprecher für Innenpolitik. „Bewegungsprofile aus der Werbeindustrie dürfen nicht zur Hintertür staatlicher Überwachung werden.“

Es sei „inakzeptabel“, dass das LKA Hamburg keine Auskunft geben will. „Wir werden mit einer schriftlichen kleinen Anfrage den Senat dazu befragen, ob und in welchem Umfang solche Daten in Hamburg benutzt werden und erwarten eine vollständige Transparenz gegenüber der Öffentlichkeit“.

⚫️ Das sagt die CDU: Nichts. Eine Presseanfrage blieb bis zur Frist unbeantwortet.

---

Baden-Württemberg: Anfrage im Parlament geplant

⚫️🟢 Das sagt die schwarz-grüne Regierung: Nichts. Eine Presseanfrage an das Innenministerium blieb bis zur Frist unbeantwortet. Wir wissen nicht, ob die Polizei in Baden-Württemberg Datenhändler nutzt.

🔴 Das sagt die SPD: Wenig. Die SPD-Fraktion im Landtag werde der Sache zunächst in Form einer Anfrage nachgehen, schreibt deren Pressesprecher.

---

Sachsen: „Keine Hintertüren, um Grundrechte zu umgehen“

⚫️🔴 Das sagt die schwarz-rote Regierung: Nichts Brauchbares. Die Polizei nutze „verfügbare Daten, die rechtmäßig erhoben werden“. Wir wissen nicht, ob die sächsische Polizei Datenhändler nutzt.

🟪 Das sagt das BSW: Für den Rückgriff auf Datenhändler brauche die Polizei „eine eindeutige und verfassungsfeste Rechtsgrundlage“, schreibt Bernd Rudolph, Sprecher für Inneres und Digitalisierung der BSW-Fraktion im sächsischen Landtag. Zwar dürfe moderne Technik die Arbeit der Polizei unterstützen. „Aber es darf keine Hintertüren geben, um Grundrechte, Richtervorbehalte oder gesetzliche Schutzvorschriften zu umgehen.“

Weiter sagt Rudolph: „Dass das LKA Sachsen hierzu keine Auskunft geben möchte, trägt nicht zur Vertrauensbildung bei.“ Gerade bei sensiblen Fragen des Datenschutzes und der digitalen Überwachung sei Transparenz wichtig. Seine Fraktion hat hierzu bereits eine kleine Anfrage gestellt (Drs 8/7222). Korrektur, 9. Juni, 15:10 Uhr: Das BSW hat nur eine kleine Anfrage gestellt, nicht zwei, wie zunächst berichtet.

🟢 Das sagen die Grünen: „Ein solches Vorgehen wäre rechtswidrig“, schreibt Valentin Lippmann, innenpolitischer Sprecher, mit Blick auf mögliche Databroker-Deals der Polizei. Da sich die Behörden auf Presseanfragen nicht äußern, „wird sich der Innenminister unseren Fragen zu diesem Vorfall in der nächsten Innenausschusssitzung stellen müssen.“

🟣 Das sagt die Linke: Eine Presseanfrage blieb zunächst unbeantwortet. Update, 11. Juni: Nach Veröffentlichung des Artikels sagt Rico Gebhardt, innenpolitischer Sprecher der Linksfraktion: „Mir erschließt sich im Moment nicht, warum das Innenministerium nicht einfach klarstellt, ob Grenzen überschritten wurden oder nicht.“

Die sächsische Polizei habe keine gesetzliche Befugnis, Daten zu beschaffen, die nicht rechtmäßig erhoben wurden. „Sollte so etwas trotzdem geschehen sein, läge höchstwahrscheinlich ein besonders gravierender Rechtsbruch vor – und noch eine weitere Missachtung des Parlaments, denn für derartige ‚Einkäufe’ wurden im Landeshaushalt keine Mittel bereitgestellt.“

---

Niedersachsen, Thüringen, Saarland: Funkstille

In fünf Bundesländern hatte die Polizei Databroker-Deals auf Anfrage verneint: Schleswig-Holstein, Bremen, Sachsen-Anhalt, Hessen und Rheinland-Pfalz. Deshalb haben wir dort nicht weiter gegraben.



Bisher nicht erwähnt wurden Niedersachsen, Thüringen und das Saarland. Auch dort hatte die Polizei Transparenz zu möglichen Databroker-Deals verweigert. Aber die Fraktionen der angefragten Oppositionsparteien haben uns nicht geantwortet.

In Niedersachsen und dem Saarland ist unter anderem die CDU in der Opposition; in Thüringen die Linke. Interessierte können sich beispielsweise per E‑Mail an ihre Abgeordneten wenden.

---

netzpolitik.org und Bayerischer Rundfunk recherchieren weiter zur Nutzung von Werbedaten durch Polizeibehörden. Für Hinweise sind die Redakteure Ingo Dachwitz und Sebastian Meineck dankbar. Hier ist eine Übersicht der bisherigen Recherchen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Menschen wehren sich nicht nur mit Petitionen und Demos gegen den Ausbau des Überwachungsapparats, sondern auch ganz handfest. Wir zeigen die Geschichte des Widerstands gegen Videoüberwachung sowie die Rechtslage, wenn Kameras das Licht ausgeht. Und wir haben mit einem Menschen gesprochen, der für seine Attacken vor Gericht stand.

Baumbart hat fünf Mal zugeschlagen. Die Waffen, die er nutzte, waren Kaugummis. Fünf Stück. Airwaves Menthol und Eukalyptus, gut durchgekaut. Den ersten platzierte er am 16. April 2024 gegen 23 Uhr 34 auf der Kuppel einer Domkamera im Erfurter Hauptbahnhof. „Es war einfach eine kindische Idee. Ich war am Kaugummikauen und da mein Arm sehr lang ist … dann hab ich einfach Zack das abgeklebt. Ich wollte wissen, was dann passiert“, sagt Baumbart, der eigentlich anders heißt, aber hier so genannt werden möchte, um seine Identität zu schützen.

Als nichts passiert, klebt er acht Monate später den nächsten Kaugummi auf eine andere Kamera. Und zwei Wochen darauf den nächsten, zehn Tage darauf den nächsten, am Tag darauf den nächsten. Insgesamt fünf Mal wurde eine Kamera von ihm mit Kaugummi beklebt. „Die hingen da oft tagelang“, erinnert er sich.

Etwa ein Jahr ist das her, es hatte Baumbart einfach gereicht. Er fährt viel Bahn und ist deshalb immer wieder im Bahnhof unterwegs. Die Kameras dort sind ihm schon oft negativ aufgefallen. „Das ist nicht gut, dass immer mehr davon installiert werden“, sagt er, und dass er sich dabei auch um die freiheitliche Gesellschaft und um die Demokratie sorge.

Die Zahl der Kameras wächst, die KI-Analyse der Aufnahmen – mittels Verhaltensscanner oder Echtzeit-Gesichtserkennung – steht vor der Einführung als Standard-Feature. Viele sorgen sich, was solche Tools in den Händen autoritärer Kräfte anrichten können. Einige Initiativen stellen sich politisch gegen Videoüberwachung und die KI-Analyse der Aufnahmen, beispielsweise in Köln, Thüringen, Schleswig-Holstein, Berlin, zudem gibt es eine bundesweite Vernetzung.

Und auch mit der direkten Aktion befindet sich Baumbart in vielfacher Gesellschaft. Der physische Widerstand gegen Videoüberwachung ist ein internationales Phänomen. Dieser Artikel zeigt, zu welchen Mitteln soziale Bewegungen in der Vergangenheit gegriffen haben und und wo hierzulande der juristische Unterschied zwischen Sprengen und Verhüllen liegt.

Lasso, Stange, Feuerlöscher

Die ältesten uns vorliegenden Zeugnisse handfester Attacken auf Überwachungs-Kameras stammen aus Griechenland. Dort wurde, oft im Rahmen von Demonstrationen, eine Kombination aus einem sehr langen Stab und einer Seilschlinge benutzt, um Kameras mit menschlicher Zugkraft von ihrem Mast zu holen. Videos davon stammen von 2004, 2005, 2007 und 2008. Von 2013 ist ein Video, das zeigt, wie Menschen in Berlin Kameras zerstören. Ihre Werkzeuge: eine Art Lasso, eine lange Stange, ein farbgefüllter Feuerlöscher und ein Nothammer.

Protestierende in Hongkong haben 2019 mehrere Kameramasten gefällt, Regenschirme direkt vor Kameras gehängt und Laserpointer gegen Kameras eingesetzt, um automatisierte Gesichtserkennung zu erschweren. Die Lichtstrahlen können Kameras sogar zerstören, indem sie den Sensorchip überfordern, je nachdem aus welchem Abstand und Winkel sowie mit welcher Leistung und Dauer der Strahl einwirkt.

In Folge der Proteste wurden zahlreiche Menschen wegen des Besitzes von Laserpointern festgenommen. Es hieß, die seien als Waffe einsetzbar.

Trennschleifer, Brecheisen, Fiat Punto

Von April 2020 bis Mai 2021 zählt eine Publikation aus dem anarchistischen Spektrum 62 Angriffe auf Überwachungskameras, in deren Rahmen zahlreiche Kameras zerstört wurden. Die meisten der Attacken wurden in Frankreich registriert. Der Publikation nach wurden zu dieser Zeit Kameras mit Feuerwerk attackiert, mit Seilen, Steinen, Trennschleifern, Brecheisen und Hämmern, einem Schleifgerät, einer Bügelsäge, einer Kreissäge, einer Kettensäge, einer Luftdruckwaffe, einem Gewehr, einem Fiat Punto, einem Vorderkipper, einem Einkaufswagen voll brennender Textilien und mehrfach mit brennenden Kraftfahrzeugen.

Die Kameras seien angezündet, mit Farbe bedeckt, zerschlagen, abgesägt und mit Verkehrshütchen verdeckt worden. Angriffe hätten sich auch gegen Masten, Verkabelung und Hersteller der Kameras gerichtet. Aktivist*innen aus Toulouse haben sich beispielsweise auf Verkabelung spezialisiert.

Aktuell gibt es in den USA viele Menschen die Kameras von Flock zerstören, mit zum Beispiel Vorschlaghammer oder Feststellzange. Die Flock-Kameras können Nummernschilder auslesen und werden zum Aufbau eines Überwachungsnetzwerks genutzt.

Videos von gekauten Kaugummis

Nicht lange, nachdem er den letzten der fünf Kaugummis auf eine Kamera im Erfurter Hauptbahnhof geklebt hat, fährt Baumbart mit der Bahn dorthin. Er sagt, ein Polizist habe sein Abteil betreten, ihn mit Namen angesprochen und aufgefordert, sich auszuweisen. Inzwischen hat er Post bekommen. Einen Strafbefehl über eine Geldstrafe in Höhe von 50 Tagessätzen wegen Störung einer der öffentlichen Ordnung oder Sicherheit dienenden Einrichtung oder Anlage. 2.000 Euro soll er zahlen.

Die Staatsanwaltschaft schreibt, sie habe Aufnahmen von ihm während der Tat.

Die Kameras, die Baumbart attackierte, waren Domkameras, umhüllt mit Kuppeln aus Kunststoff. Die Kameras darunter sind frei beweglich. Baumbart hat mit den Kaugummis nicht die Linsen der Geräte beklebt, sondern nur einen kleinen Bereich ihrer Schutzhüllen. „Hierdurch war die Funktionsfähigkeit der jeweiligen Kamera zumindest gemindert, eine vollständige Videoüberwachung nicht mehr möglich“, schreibt die Staatsanwaltschaft.

Baumbart wehrt sich

Baumbart sieht seine Verantwortung. Er sagt, er wolle nie wieder eine Kamera mit Kaugummi bekleben und für das, was er getan hat, geradestehen. Gerne würde er zum Beispiel Sozialstunden ableisten. Aber nicht: 2.000 Euro an den Staat zahlen. Ihm fehlt der Sinn darin, der pädagogische Moment. Er beschließt, sich gegen die Forderung zu wehren, nimmt sich eine Anwältin und zieht vor Gericht. Wie sein Kampf ausgeht, steht ganz am Schluss dieses Textes. Die Bandbreite der potenziellen Strafmaße ist jedenfalls enorm, das zeigt eine Strafgesetzbuch- und Urteils-Lesung mit David Werdermann, Jurist bei der Gesellschaft für Freiheitsrechte.

Störung öffentlicher Anlagen ist strafbewehrt mit bis zu fünf Jahren Haft. Alternativ hätte die Staatsanwaltschaft Baumbart auch wegen Sachbeschädigung anklagen können. Dafür drohen maximal zwei Jahre Haft. Deutsche Richter*innen urteilen auch bei temporären Einschränkungen von Kameras nach dem Sachbeschädigungs-Paragrafen. Eine Geschwindigkeitsüberwachungs-Anlage mit Reflektoren blenden: Sachbeschädigung, so das OLG München. Beschmieren eines Blitzers mit Senf: Sachbeschädigung, so das OLG Stuttgart.

„Zerstörung wichtiger Arbeitsmittel“

Eine gemeinschädliche Sachbeschädigung, die vom Strafmaß mit drei Jahren zwischen der einfachen Sachbeschädigung und der Störung öffentlicher Anlagen liegt, ist hier nicht anwendbar. Dafür müsste jedermensch einen unmittelbaren Nutzen aus dem beschädigten Gegenstand ziehen können – wie bei einer Parkbank etwa. Eine Strafe wegen Zerstörung von Bauwerken mit bis zu fünf Jahren Haft ist denkbar, so Werdermann, wenn mensch einen ganzen Kameramast umlegt.

Die gleiche Höchststrafe gibt es auch für „Zerstörung wichtiger Arbeitsmittel“. Die Kamera könne dabei als Arbeitsmittel der Polizei gelten. Der Paragraf zieht allerdings nur, wenn der Wert des zerstörten Gegenstandes mindestens 1.500 Euro beträgt. Wenn Feuer im Spiel ist, steht der Vorwurf der Brandstiftung im Raum. Nicht unter ein Jahr Haft, bis zu 10 Jahre. In minderschweren Fällen drohen ein halbes Jahr bis fünf Jahre Gefängnis. Für die Verurteilung nach dem Brandstiftungsparagrafen muss das Feuer allerdings „gemeingefährlich“ sein. Das gälte bei Kameras an einem Wohnhaus, an einem freistehenden Mast eher nicht.

Freiheitsstrafen von ebenfalls nicht unter einem Jahr drohen bei dem Herbeiführen einer Sprengstoffexplosion. Auch die ist allerdings nur dann justiziabel, wenn dabei Personen oder Gegenstände im Wert von über 1.500 Euro gefährdet werden. Parallel sind auch immer noch zivilrechtliche Ansprüche denkbar, wenn ein Mensch fremdes Eigentum beschädigt.

Tuch, Plakat, Luftballons

Auf der anderen Seite könnten Personen straffrei davonkommen, wenn sie die temporäre Funktionseinschränkung noch sanfter angingen als Baumbart mit seinen Kaugummis. Ein Tuch über die Kamera werfen, sich mit einem großen Plakat oder einem Strauß Luftballons direkt davorstellen, „da fehlt vermutlich die zur Verurteilung nötige Einwirkung auf die Sachsubstanz“, sagt Werdermann.

Auch in Baumbarts Fall steht die Anklage auf wackeligen Füßen. Laut Werdermann kann eine Störung von Anlagen, die der öffentlichen Sicherheit dienen, gar nicht vorliegen, weil die Deutsche Bahn ein privatwirtschaftliches Unternehmen ist. Das betreibe seine Kameras im Rahmen des Hausrechts, nicht auf Basis der Gesetzgebung zur öffentlichen Sicherheit.

Der zuständige Richter hat Baumbarts Verfahren nach der mündlichen Verhandlung eingestellt. Bedingung: Baumbart muss 900 Euro zahlen statt 2.000. Und nicht an den Staat, sondern an einen Verein, der benachteiligte Kinder und Jugendliche unterstützt, mit Gratis-Urlauben beispielsweise. Diese Strafe nimmt Baumbart gerne an.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Polizei in Sachsen soll Menschen umfangreicher überwachen dürfen als je zuvor. BSW, CDU und SPD einigen sich auf die vielfach kritisierte Novelle des Polizeirechts. Entschärft wurde wenig, Opposition und Zivilgesellschaft haben kaum noch Zeit. Wir veröffentlichen den gemeinsamen Ände­rungsantrag der drei Fraktionen. 

In Sachsen haben sich die Fraktionen von CDU und SPD mit dem BSW auf eine Verschärfung des dortigen Polizeige­setzes geeinigt. Damit hätte die Novelle bei der bevorstehenden Abstimmung eine Mehrheit im Landtag – wenn auch eine äußerst knappe.

Der gemeinsame Ände­rungsantrag, den wir hier veröffentlichen, zeigt, an welchen Stellen die Fraktionen den Entwurf der Staatsregierung entschärft ha­ben und welche neuen Befugnisse zur Überwachung dennoch kommen sollen.

In Sachsen koalieren CDU und SPD in einer Minderheitsregierung. Gesetzesvorhaben wie die Novelle des Polizeirechts brauchen daher zusätzliche Stimmen von AfD, BSW, Grünen oder Linken. Dass das BSW in diesem Fall die Mehrheit für Innenminister Armin Schuster (CDU) beschaffen würde, hatte sich bereits früh angedeutet.

Hacken, filmen, scannen

Mit ihrer Einigung wollen die drei Fraktionen weitreichende neue Befugnisse zur Überwachung schaffen. So soll die Polizei in Sachsen künftig mehr Computer und Smartphones hacken dürfen, denn die sogenannte Quellen-TKÜ wird auch für die Gefahrenabwehr eingeführt.

Teil des Gesetzentwurfs ist weiterhin die Einführung von Gesichter- und Stimmensuche im Internet. Ein Sachverständiger hatte im Innenausschuss gewarnt, dass der von Innenminister Schuster getaufte „Klette-Paragraf“ gegen die KI-Verordnung der EU verstößt. Allerdings sehen manche darin Schlupflöcher.

Auch die Befugnisse zur KI-Video-Überwachung haben die Verhandler:innen im Vergleich zum Regierungsentwurf kaum verändert. Es bleibt also dabei, dass die Polizei künftig an Kriminalitätsschwerpunkten Soft­ware einsetzen darf, die gefährliche Objekte oder Verhalten erkennen soll.

Ebenso ist eine Live-Gesichtserkennung geplant. Sie soll Personen identifizieren und über mehrere Kameras hinweg verfolgen können. Treffen soll es Menschen, die zuvor durch Verhaltensscanner und Beamt:innen ins Visier geraten sind. Außerdem soll die Polizei damit nach Menschen suchen können, bei denen sie Terrorgefahr ver­mutet. Eine solche Identifizierung unterliegt einem Richtervorbehalt; bei Gefahr in Verzug dürfen sie aber auch bestimmte Polizist:innen anordnen.

Datenanalyse, aber ohne Palantir

Auf Abschwächungen gegenüber dem Kabinettsentwurf einigten sich BSW, CDU und SPD vor al­lem bei der automatisierten Datenanalyse und dem Training und Test von KI-Systemen.

Eine Analyseplattform soll Daten der Polizei verknüpfen und automatisiert auswerten. Unter be­stimmten Voraussetzungen sollen auch selbstlernende Systeme zum Einsatz kommen und Verhal­tensprofile entstehen. Im Unterschied zu Bayern, Hessen und NRW soll in Sachsen dafür al­lerdings keine Software der Firma Palantir zum Einsatz kommen. Darauf hatten sich CDU und SPD bereits im Kabinett geeinigt.

Zudem soll das neue Sächsische Polizeivollzugsdienstgesetzes (kurz: SächsPVDG) folgende Vorschrift enthalten:

Der Ein­satz von Systemen, deren Entscheidungslogik nicht nachvollziehbar und überprüfbar offengelegt werden kann, ist unzulässig.

Nach Ansicht von Bernd Rudolph, innenpolitischem Sprecher der BSW-Fraktion, lasse sich damit der Einsatz proprietärer Systeme quasi ausschließen.

Stephanie Henkel, die sich etwa beim Dresdner Chaos Computer Club (C3D2) gegen Überwachung engagiert, hält das für unrealistisch: „Für die hochkomplexen Programme, die zur Datenanalyse eingesetzt werden sollen, kann gar keine solche Nachvollziehbarkeit hergestellt werden.“ Der Wunsch nach Transparenz würde eine zwingende Streichung großer Datenbank-Analysen bedeuten. „Doch davon sind CDU, SPD und BSW weit entfernt“, so Henkel, die im Netz auch als Ückück auftritt.

Die Einigung von BSW, CDU und SPD schließt zudem eine direkte Anbindung der Analyseplatt­form an das Internet aus. Auch die zunächst vorgesehene Erlaubnis, „einzelne gesondert gespeicher­te Datensätze aus Internetquellen“ einzubeziehen, wurde gestrichen. Zudem greift der Richtervorbe­halt nun schon bei der automatisierten Datenanalyse, nicht erst beim Einsatz selbstlernender Syste­me oder dem Erstellen von Verhaltensprofilen.

Kennzeichen erfassen, mit Bodycams filmen

Die geplanten Vorschriften für das KI-Training sind nach wie vor umfassend, wurden jedoch im Vergleich zum Kabinettsentwurf leicht abgemildert. Die Daten sollen demnach mindestens pseudonymisiert sein. „Um die Ausbildung diskriminierender Algorithmen zu vermeiden, sollen zusätzlich Echtdaten aus zerti­fizierten Datenbanken genutzt werden“, erklärt Albrecht Pallas, innenpolitischer Sprecher der SPD-Fraktion in einer Mitteilung.

Zwar soll die Polizei für Training und Test von KI-Systemen künftig mit externen Dienstleistern zusammenarbeiten, allerdings nur mit solchen, „deren Firmensitz und Serverstrukturen innerhalb der Europäischen Union liegen“, wie es im gemeinsamen Änderungsantrag heißt.

Weitere Entschärfungen beschränken sich auf Details. So wurde bei der neuen Befugnis zum verdeckten Scan von Autokennzeichen festgehalten, dass es vorher Ansatzpunkte für Straftaten von „grenzüberschreiten­der Relevanz“ geben muss. Das potenzielle Grenzgebiet – bis zu 30 Kilometer Entfernung von Polen und Tschechien – umfasst allerdings die Hälfte Sachsens.

Mit Bodycams soll die Polizei künftig auch in Wohnungen filmen dürfen. Allerdings hat das BSW hier die Bedingung durchgesetzt, dass der Einsatz nur zulässig sei, „sofern damit nicht die Überwachung der Wohnung verbunden ist“.

Doch keine Taser für alle

Das BSW brüstet sich zudem damit, die Einführung von Tasern – also Elektroschockern – für alle Polizist:innen verhindert zu haben. „Damit tragen wir auch den Bedenken vieler Polizeibeschäftigter Rechnung, die den zusätz­lichen Nutzen im Alltag kritisch bewerten“, lässt sich Jens Hentschel-Thöricht zitieren, Parlamenta­rischer Geschäftsführer des BSW. Es bleibt in Sachsen also dabei, dass nur Spezialkräfte der Polizei Taser tragen dürfen.

Die Abkehr von Tasern fällt aus der Reihe: Sie ist nicht Teil des gemeinsamen Ände­rungsantrags mit CDU und SPD, sondern kommt als eigener Änderungsantrag zur finalen Abstim­mung des Gesetzes im Landtagsplenum. Dennoch ist auch hier die Zustimmung von CDU und SPD vereinbart, heißt es vonseiten der Fraktionen. Das BSW beruft sich darauf, dass der Antrag „derzeit noch rechtssicher erarbeitet“ wer­de.

Möglicherweise will das BSW die Einigung durch dieses Manöver als besonderen Erfolg hervorheben. Das könnte auch ein Signal an die eigenen Reihen sein, denn die Polizeirechtsno­velle ist auch innerhalb des BSW umstritten. Erst kürzlich hatte das BSW sogar ein länder­übergreifendes Positionspapier zu den Polizeirechtsnovellen in Brandenburg, Thüringen und Sach­sen veröffentlicht. Darin schreibt Parteivorsitzende Amira Mohammed Ali: „Wir treten entschieden dem Im­puls der Innenminister entgegen, Bürger grenzenlos zu durchleuchten und zunehmend unter Gene­ralverdacht zu stellen.“

Konkret warnt das Papier vor algorithmischer Bewertung statt polizeili­cher Expertise. Zur Wirkung von KI-Videoüberwachung fehle wissenschaftliche Evidenz.

Unmut in der BSW-Fraktion

Dass mit den Stimmen des BSW nun trotzdem Quellen-TKÜ und Verhaltensscanner nach Sachsen kommen, schmeckt nicht allen BSW-Ab­geordneten. So hat die 15 Sitze starke BSW-Fraktion nach einem Bericht der Freien Presse (€), der sich mit netzpolitik.org-Informationen deckt, lediglich elf Stimmen für die SächsPVDG-Novelle zugesichert. Damit hätte die Polizeirechtsnovelle eine sehr knappe Mehrheit – mit nur einer Stimme mehr als nötig.

Die drei Fraktionen feiern sich dennoch für den Kompromiss: „Mit dem neuen Gesetz erhält Sach­sens Polizei wichtige und zeitgemäße Möglichkeiten zur Verbrechensbekämpfung“, sagt Ronny Wäh­ner, innenpolitischer Sprecher der CDU. „Wir halten damit Schritt mit der Entwicklung moderner Polizeigesetze in anderen Bundesländern.“

Der SPD-Abgeordnete Pallas teilt mit, mit den nun verein­barten Änderungen „schaffen wir ein zeitgemäßes Polizeigesetz, das Sicherheit und Freiheit glei­chermaßen Rechnung trägt“. Bernd Rudolph vom BSW betont: „Mit diesem Kompromiss stellen wir sicher, dass die sächsische Polizei moderne Technik nutzen kann, ohne dass die Privatsphäre der Bürgerinnen und Bürger unverhältnismäßig eingeschränkt wird.“

„Unterm Strich ein Desaster“

Vehementer Widerspruch kommt aus der Zivilgesellschaft. Stephanie Henkel, die sich neben dem C3D2 auch bei der Piratenpartei und den Datenpunks engagiert, bereitet die Ankündigung nach eigenen Worten große Sorgen. „Unterm Strich ist das, worauf sich die drei Parteien geeinigt haben, ein Desaster“, bilanziert sie.

Im Vergleich zum Kabinettsentwurf sieht sie nur einzelne Verbesserungen: etwa dass die Polizei keine Klardaten für KI-Trainings nutzen soll, oder dass nur EU-Dienstleister die für dieses Training notwendigen Daten bearbeiten sollen. Aber „die wirklich demo­kratiegefährdenden Änderungen“, wie die Quellen-TKÜ, Mustererkennung und Gesichtsscans stünden nach wie vor im Gesetz.

Stephanie Henkel ruft deshalb dazu auf, die Abgeordneten von BSW, CDU und SPD zu kontaktie­ren. „Die vermeintlich gefühlte Sicherheit, die die neuen Technologien bringen soll, ist keine Si­cherheit, sondern ein gefährliches Werkzeug, was nicht nur gegen uns als Bevölkerung, sondern auch gegen die Politiker:innen, die jetzt den Gesetzesentwurf vorantreiben, eingesetzt werden kann.“ Man könne nicht vorhersagen, was eine andere sächsische Regierung mit den neuen Befug­nissen und den damit gewonnen Informationen anstelle.

Wenig Zeit für Widerstand

Auch wenn die Mehrheit für den Gesetzentwurf sehr knapp ist – es bleibt wenig Zeit für öffentlichen Druck. Am 11. Juni werden die Abgeordneten im Innen­ausschuss über den gemeinsamen Änderungsantrag von BSW, CDU und SPD abstimmen. Wie die meisten Ausschusssitzungen im Landtag ist auch dieser Termin nicht öffentlich. Eine echte Debatte gibt es dann voraussichtlich erst am 24. Juni. Dann soll im Plenum des Sächsischen Landtags die Polizeirechtsnovelle final abgestimmt werden.

Die Abstimmung zu verschieben dürfte für die Abgeordneten keine Option sein. Wegen eines Urteils gegen das ak­tuelle SächsPVDG gelten einige aktuelle Befugnisse der Polizei nur bis Ende Juni 2026 – außer es kommt ein neues Gesetz. Selbst Grüne und Linke, die die vorgelegte Novelle ablehnen, wollen dieses Szenario verhindern. Die Grünen haben deshalb einen eigenen Entwurf für ein Polizeigesetz ohne weitreichende Befugnisse zur Überwachung vorgelegt.

Update, 8. Juni, 14.30 Uhr: Wir haben den gemeinsamen Ände­rungsantrag der drei Fraktionen veröffentlicht und verlinkt.  

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Europaparlament und Regierungen verschärfen die Abschieberegeln. Auch Abschiebezentren in Drittstaaten und Razzien nach dem Vorbild der US-Abschiebe-Miliz ICE werden möglich. Ob die neuen Regelungen tatsächlich mehr und schnellere Abschiebungen erreichen werden, bleibt indes fraglich.

Vertreter*innen des Europaparlaments und der EU-Länder haben sich am Montagabend auf eine neue Rückführungsverordnung geeinigt. Das Ziel: mehr und effizientere Abschiebungen von Drittstaatsangehörigen ohne regulären Aufenthalt.

Einen ersten Entwurf für das Gesetz, das auch als „Abschiebeverordnung“ bekannt ist, hat die EU-Kommission bereits im vergangenen Jahr vorgestellt. Sie soll die Reform des Gemeinsamen Europäischen Asylsystems (GEAS) ergänzen, die in der gesamten EU am 12. Juni wirksam wird.

Trotz massiver Kritik von Jurist*innen und Menschenrechtsorganisationen halten die EU-Institutionen dabei an ihrem harten Kurs fest. So sollen Menschen künftig in Abschiebezentren außerhalb des EU-Territoriums gebracht werden können, auch ohne eine vorherige Verbindung zu dem Land. Menschen ohne Papiere sollen außerdem länger inhaftiert, mit langen Einreiseverboten belegt und für fehlende Kooperation bestraft werden können. Auch sollen ihre Wohnungen leichter durchsucht werden können, sie sollen verstärkt digital überwacht und ihre Datenträger durchleuchtet und beschlagnahmt werden.

EU-Innen- und Migrationskommissar Magnus Brunner bezeichnete die Einigung als „einen wichtigen Schritt in der europäischen Migrationswende“. Sarah Chander von der Initiative „We Keep Us Safe“ sprach gegenüber netzpolitik.org hingegen von einem Gesetzestext, der es „rechtsextremistischen Fraktionen ermöglicht, ein von Überwachung geprägtes Abschieberegime ihrer Träume zu errichten“.

Abschiebezentren und verlängerte Abschiebehaft

Mit der Verordnung hat die EU den Weg für sogenannte „return hubs“ geebnet, in die Menschen abgeschoben werden sollen, deren Abschiebung bisher scheitert. Das kann an einer Vielzahl von Gründen liegen, beispielsweise wenn Menschen keinen Pass haben, das Herkunftsland die Wiedereinreise verweigert oder keine diplomatischen Beziehungen bestehen.

Solche Abschiebezentren sollen zum einen als Transitzentren dienen, um die „Weiterreise in das Herkunftsland oder ein anderes Drittland zu erleichtern“. Gleichzeitig schließt der Rat nicht aus, dass Abschiebezentren das endgültige Ziel darstellen könnten – also auf unbestimmte Zeit. Während unbegleitete Minderjährige von der Abschiebung in solche Zentren verschont bleiben, können Familien mit Kindern dort festgehalten werden. Das gilt als menschenrechtlich sehr umstritten.

Bundesinnenminister Alexander Dobrindt (CSU) hat angekündigt, gemeinsam mit anderen EU-Staaten – darunter Österreich, Dänemark und Griechenland – bis Ende des Jahres Deals zur Errichtung solcher Zentren mit Drittstaaten aushandeln zu wollen. Bis auf Uganda, das eine solche Vereinbarung mit den Niederlanden getroffen hat, gibt es bisher keine konkreten Beschlüsse. Im Gespräch sind Länder wie Ruanda, Libyen, Mauretanien, Usbekistan und Äthiopien.

Zusätzlich gibt die Verordnung grünes Licht, unbegleitete Kinder sowie Familien mit Kindern innerhalb der EU in Abschiebehaft zu nehmen. So hat Polen beispielsweise die Inhaftierung von unbegleiteten Kindern ab 15 Jahren bereits seit Anfang des Jahres durch nationales Recht erlaubt. Mit der Verordnung wird zudem die Dauer der Abschiebehaft auf 24 Monate ausgeweitet und kann um weitere sechs Monate verlängert werden, wenn sich die Zusammenarbeit mit dem betreffenden Drittland verbessert oder die Behörden der Ansicht sind, dass Fluchtgefahr besteht.

ICE-ähnliche Hausdurchsuchungen und elektronische Überwachung

Andere geplante Maßnahmen sind unter zivilgesellschaftlichen Organisationen nicht weniger umstritten. So übte Sarah Chander von der Initiative „We Keep Us Safe“ harte Kritik an den Plänen. Asyl und Legalisierung würden damit zu Tabus, Hausdurchsuchungen, invasive Datenerhebung und ‑weitergabe würden zur Norm. „Anstatt in Fürsorge und Schutz zu investieren, werden öffentliche Mittel dazu verwendet, internationale und EU-Rechtsstandards vollständig auszuhöhlen.“

Dazu gehört beispielsweise das Grundrecht auf die Unverletzlichkeit der Wohnung. So stattet die Verordnung die Mitgliedstaaten mit weitreichenden Befugnissen aus, private Wohnungen von Drittstaatsangehörigen ohne gültigen Aufenthalt und andere „relevanten Räumlichkeiten“ zu durchsuchen. Diese Regelung könne Menschenjagden auf Migrant*innen nach Vorbild der USA nach sich ziehen sowie ganze Communitys rassistischer Diskriminierung aussetzen, warnten zuletzt UN-Menschenrechtsexpert*innen sowie mehr als 100 zivilgesellschaftliche Organisationen.

„Auf der anderen Seite des Atlantiks sehen wir die Gewalt und Angst, die durch die brutale Einwanderungskontrolle der ICE verursacht wird“, sagte Silvia Carta von der Platform for International Cooperation on Undocumented Migrants (PICUM), eine der rund 100 kritischen Organisationen. „Europa sollte aus den Schäden dieses Modells lernen, anstatt eine eigene Version aufzubauen“, so Carta weiter.

Behörden dürfen laut den Plänen außerdem Handys, Computer sowie andere elektronische Geräte von Menschen ohne Papiere durchsuchen und beschlagnahmen – eine Praxis, die in einzelnen deutschen Bundesländern bereits verbreitet ist, wie Recherchen von netzpolitik.org gezeigt haben.

Weitere Zwangsmaßnahmen sehen vor, dass Menschen in Abschiebeverfahren sich nur an einem bestimmten Ort aufhalten, Ausgangssperren unterziehen oder regelmäßigen Meldepflichten nachkommen müssen. Als sogenannte Alternativen zur Inhaftierung können außerdem das Hinterlegen einer Geldsumme oder elektronische Überwachung auferlegt werden. Bei der letzteren handelt es sich laut Fachleuten nur vermeintlich um eine Alternative. Denn diese kommt aufgrund ihrer tief in die Privatsphäre eingreifenden Wirkung de facto einer Haft gleich und kann außerdem zusätzlich zur ausgedehnten Abschiebehaft verhängt werden. Denkbar sind dafür etwa eine elektronische Fußfessel oder GPS-Ortung.

Neue Europäische Rückkehrentscheidung vorerst ohne Wirkung

Das Kernstück der Verordnung ist die „Europäischen Rückkehrentscheidung“ (ERO). Diese enthält ein standardisiertes digitales Datenblatt mit Informationen zur Abschiebeentscheidung. Alle Mitgliedstaaten sollen dieses Datenblatt über das Schengener Informationssystem abrufen können.

Die gegenseitige Anerkennung von Abschiebeentscheidungen bleibt aber vorerst freiwillig: Ein EU-Land kann die erlassene Entscheidung eines anderen EU-Landes anerkennen und vollstrecken, muss es aber nicht. In diesem Aspekt waren sich das Parlament und die Mitgliedstaaten im Vorfeld uneinig. Während das Parlament auf eine verpflichtende Anerkennung ab 2027 pochte, war dieser Punkt unter den Mitgliedstaaten umstritten.

Laut der Pressemitteilung des Parlaments wird die EU-Kommission die gegenseitige Anerkennung innerhalb von zwei Jahren prüfen und dann gegebenenfalls die verpflichtende Anerkennung vorschlagen, laut den Mitgliedstaaten soll dies nach drei Jahren passieren. Der finale geeinigte Gesetzestext liegt noch nicht vor.

Mit ERO werden personenbezogene Daten von Menschen in Abschiebeverfahren für Tausende Polizeibeamt*innen in der gesamten EU zugänglich, warnen Menschenrechtsorganisationen. Das Schengener Informationssystem II, das größte Migration- und Polizeidaten-Austauschsystem der EU, sei für wiederholten Datenmissbrauch und die systematische Verweigerung der Datenschutzrechte bekannt. Es gibt dokumentierte Fälle, in denen Polizei- und Einwanderungsbehörden sich nicht an Vorschriften gehalten haben. Die Verordnung baut direkt auf dieser Architektur auf und verstärkt ihre Eingriffsintensität.

Menschen ohne Papiere „wie Straftäter behandelt“

Scharfe Kritik gab es auch von Abgeordneten im EU-Parlament. Mélissa Camara, Schattenberichterstatterin der Grünen für die Rückführungsverordnung, bezeichnete die erzielte Einigung als „beschämend“. Den Standpunkt des Parlaments hatte die konservative EVP-Fraktion unter der Führung des deutschen CSU-Politikers Manfred Weber mit rechtsaußen Parteien wie der AfD im März verhandelt und verabschiedet. „Dieser Text verankert fremdenfeindliche Ideen und Rhetorik auf Kosten der Grundrechte von Migranten, deren einziger Fehler darin bestand, mit dem falschen Pass geboren zu sein“, so Camara. „Grundrechte stehen an der Spitze der Normenhierarchie und dürfen nicht einfach mit Füßen getreten werden.“

Auch die innenpolitische Sprecherin der europäischen Sozialdemokrat*innen Birgit Sippel äußerte sich kritisch zur Verordnung. „Parlament und Mitgliedstaaten haben im Hau-Ruck-Verfahren eine Einigung gefunden und damit trotz sinkender Ankunftszahlen der Panikmache der Rechten in Europa nachgegeben“, sagte sie. „Alle Betroffenen werden de facto wie Straftäterinnen und Straftäter behandelt.“

Die neuen Abschieberegeln müssen vom EU-Parlament und den EU-Staaten noch formal abgesegnet werden. Die Verordnung tritt in Kraft, sobald sie im Amtsblatt der EU veröffentlicht wurde. Einige Bestimmungen, darunter solche zu den Abschiebezentren, gelten dann sofort. Andere Regelungen werden nach einer Übergangszeit von zwölf Monaten angewandt.

Ob die Verordnung tatsächlich zu höheren Abschiebezahlen führen wird, bleibt indes fraglich. Mehr als 250 Organisationen gehen davon aus, dass sie den gegenteiligen Effekt haben wird: Da Abschiebung zur Standardoption für Menschen ohne legalen Aufenthalt wird, werde die Verordnung die Zahl der ausreisepflichtigen Menschen eher künstlich in die Höhe treiben. Auch die von der Politik häufig bemühte Erzählung einer Vollzugslücke – etwa dass es einen massiven Rückstand an Abschiebungen gebe und nur jede fünfte Person, gegen die eine Ausreiseanordnung ergangen ist, tatsächlich abgeschoben werde – basiert auf falschen Zahlenspielen und statistischen Verzerrungen, kritisieren Wissenschaftler*innen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Bundesrat will bei der geplanten Vorratsdatenspeicherung weiter gehen als die Bundesregierung: Die Speicherfrist soll auf ein halbes Jahr ausgedehnt werden. Auf die Daten der Sicherungsanordnungen bei Internet-Zugangs- und E‑Mail-Anbietern sollen auch alle Länderpolizeien und alle Geheimdienste der Länder zugreifen dürfen.

In dieser Legislaturperiode soll nach den Wünschen der schwarz-schwarz-roten Bundesregierung eine Neuauflage der anlasslosen Massenspeicherung von Kommunikationsdaten kommen: Ende April hat sie den Gesetzentwurf zur Vorratsdatenspeicherung beschlossen. Der Rechtsausschuss des Bundesrates hat gestern Empfehlungen vorgelegt, wie aus seiner Sicht die geplante Vorratsdatenspeicherung und weitere neue Datenspeicherungsvorschriften ganz erheblich ausgeweitet werden sollen.

Es geht um die generelle anlassunabhängige Speicherung von IP-Adressen von sämtlichen Kunden, die allen Internetdiensteanbietern durch das geplante Gesetz vorgeschrieben werden soll. Neben der IP-Adresse sieht der Gesetzentwurf vor, auch Zusatzinformationen bei den Providern festzuhalten: jeweils die Anschlusskennung, die zugehörige Nutzerkennung, das Datum mit einer sekundengenauen Start- und Ende-Uhrzeit der IP-Zuweisung zum Anschlussinhaber sowie die zugehörige Portnummer.

Die zu speichernde Datenmenge wird damit gegenüber den bloßen IP-Adressen erheblich vergrößert. All diese Informationen sollen von den Internetdiensteanbietern für ein vorgegebenes standardisiertes Abrufverfahren bereitgehalten werden.

Zwist um Speicherlänge

Bisher ist eine Speicherlänge von drei Monaten vorgesehen, die dem Rechtsausschuss des Bundesrats jedoch nicht weit genug geht. Er fordert eine Verdopplung auf sechs Monate. Schon ob die bisher geplanten drei Monate Speicherpflicht für IP-Adressen und Portnummern „das absolut Notwendige“ sind, auf die eine anlasslose Massenspeicherung nach dem jüngsten EuGH-Urteil zu begrenzen ist, wird stark in Zweifel gezogen. Nun soll nach Ansicht des Rechtsausschusses sogar ein halbes Jahr „absolut notwendig“ sein.

Eine solche Speicherpflicht ermöglicht es, Bewegungs- und Persönlichkeitsprofile aus den Daten zu gewinnen. Deswegen und vor allem wegen der unterschiedslosen Massensammlung der Daten aller Menschen wird seit Jahrzehnten heftig über die Vorratsdatenspeicherung gestritten.

Neues Rechtsinstrument Sicherungsanordnung

Strafverfolgungs- und Polizeibehörden sollen die Vorratsdaten künftig nutzen dürfen. Dazu kommen noch weitere „berechtigte Stellen“ wie Geheimdienste, aber auch Finanzbehörden und der Zoll. Eine strenge Begrenzung der Verwendungszwecke ist dabei nicht vorgesehen, was etwa der Deutsche Anwaltverein als europarechtswidrig einstuft.

Der Gesetzentwurf geht aber noch weiter: Er sieht neue sogenannte Sicherungsanordnungen für Internet-Zugangs-Anbieter und auch E‑Mail-Anbieter vor, die neben den Metadaten nun auch Standort- und Inhaltsdaten betreffen sollen. Dieses Verfahren ähnelt der Idee des Quick Freeze, ist aber weniger Grundrechte-freundlich. Der Rechtsausschuss fordert nun, dass auch sämtliche Länderpolizeien und alle Geheimdienste der Länder diese Daten abrufen dürfen.

Keine verpflichtenden Richtervorbehalte

Für die strafprozessualen Sicherungsanordnungen sind keine verpflichtenden Richtervorbehalte vorgesehen. Stattdessen soll die Staatsanwaltschaft sie bei einem Anfangsverdacht für maximal drei Monate anordnen und weitere drei Monate noch verlängern können. Bei Gefahr im Verzug soll sie sogar die Ermittlungsperson anordnen dürfen. Das hat dem Gesetzentwurf Kritik wegen des Prinzips der Gewaltenteilung eingebracht, weil eben kein Richter einen prüfenden Blick auf die Anordnung und auch nicht auf deren Verlängerung wirft. Für das Abrufen der Daten gilt hingegen der Richtervorbehalt.

Diese Sicherungsanordnungen für Verkehrs‑, Nutzungs- und Bestandsdaten sind ganz neue Rechtsinstrumente und umfassen deutlich mehr Daten als die anlasslose IP-Adressen-Speicherung. Sie schaffen die Möglichkeit der sofortigen Zuordnung der IP-Adressen zum Anschluss mitsamt des Kommunikationsprofils (Zeit, Ort, Dauer der Nutzung).

Die per Anordnung gesicherten Daten sollen anlassbezogen zur Strafverfolgung, aber auch zur Gefahrenabwehr genutzt werden dürfen. Die Gefahrenabwehr ist auch die Begründung des Rechtsausschusses, warum Länderpolizeien und die Geheimdienste der Länder eine Abruferlaubnis bekommen sollen: Sie seien „in erster Linie“ die zuständigen Gefahrenabwehrbehörden. Bisher sind das Bundeskriminalamt und die Bundespolizei als abrufende Behörden vorgesehen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Jetzt zeigt unsere neue Recherche: Auch die deutsche Polizei bedient sich daran und unterläuft dabei den Rechtsstaat. So schafft man Unsicherheit im Namen der Sicherheit. Ein Kommentar.

Donald Trumps Abschiebemiliz ICE tut es, ungarische Behörden unter Viktor Orbán taten es und jetzt steht fest: Auch die deutsche Polizei hat Daten aus dem Ökosystem der Online-Werbung für heimliche Überwachung genutzt. Vermutet worden war das schon länger, dank unserer neuen IFG-Recherche mit dem Bayerischen Rundfunk haben wir es erstmals Schwarz auf Weiß: Mindestens in Mecklenburg-Vorpommern ist es passiert. Vielleicht auch in Brandenburg, das dortige Landeskriminalamt will auch auf Nachfrage nicht sagen, auf welche Art kommerzieller Daten von Databrokern es zurückgreift.

Zu den polizeilich genutzten Datensätzen aus der digitalen Werbeindustrie können unter anderem metergenaue Standortdaten von Handys gehören. Sie werden von Tracking-Firmen aus beliebten Apps ohne Wissen der Nutzer:innen abgesaugt und von windigen Databrokern an potenziell alle verkauft, die danach fragen.

Zahlreiche Recherchen zeigen: Dass solche Daten frei verfügbar sind, ist eine Gefahr, etwa für bedrohte Journalist:innen oder queere Menschen, für die nationale Sicherheit oder die der EU. In den USA gibt es Hinweise, dass Standortdaten der Werbeindustrie US-Soldat:innen zur Zielscheibe gemacht haben.

Hinzu kommt, dass die Daten, nach allem, was wir wissen, überwiegend illegal fließen. Von der Erhebung über den Handel bis zur Verwendung dürfte jedes Glied dieser Datenlieferkette gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Mindestens das Landeskriminalamt von Mecklenburg-Vorpommern muss sich den Vorwurf gefallen lassen, dass es auf einem Daten-Schwarzmarkt mitgemischt hat. Ob und wie viel Geld geflossen ist, verrät es nicht.

Wo ein Trog ist, da sammeln sich Schweine

Überhaupt mauern deutsche Behörden bei diesem Thema, wo es nur geht. Nutzt die Polizei wirklich nur in zwei Bundesländern Daten von Databrokern? Neun LKAs verweigerten die Auskunft gleich ganz – unter Verweis auf den Schutz der Polizeiarbeit. Der Verdacht liegt nahe, dass sie etwas zu verbergen haben.

Während US-Behörden ihre Geschäftsbeziehungen zu kommerziellen Datenfirmen wie selbstverständlich offenlegen, können wir hierzulande nicht mal eine Debatte darüber führen, ob und unter welchen Umständen werbebasierte Überwachung zu unserem Verständnis vom Rechtsstaat passt. Auch die Bundesregierung verweigerte dem Parlament im Dezember Informationen zu dem Thema, selbst in eingestufter Form.

Dabei ist der Missbrauch von angeblich nur für Werbezwecke erhobenen Daten durch Polizeibehörden und Geheimdienste nur die neuste Stufe einer längeren Entwicklung: Die vermeintlich harmlose Welt der kommerziellen Datensammlung verschmilzt mit staatlicher Überwachung.

Bereits die Snowden-Leaks hatten gezeigt, dass US-Geheimdienste in großem Stil auf Daten zugreifen, die etwa bei kommerziellen E‑Mail-Anbietern wie Google oder Yahoo anfallen. Heute können staatliche Stellen auf ein wachsendes Netz privater Überwachungskameras zugreifen, mit KI-Gesichtserkennung Menschen auf Fotos in Sozialen Netzwerken aufspüren und mit Hilfe privater Anbieter wie Palantir Verdächtige aus riesigen Datenmengen generieren.

Und jetzt also ADINT, kurz für Advertising-based Intelligence, werbebasierte Aufklärung. Eigentlich keine Überraschung: Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Es war nur eine Frage der Zeit, bis sich daran auch andere gütlich tun. Wer sich schon länger mit den Begehrlichkeiten von einmal erhobenen Daten beschäftigt, kennt den Spruch: Wo ein Trog ist, sammeln sich Schweine.

Datensparsamkeit nur bei Medienanfragen

Dass deutsche Polizeibehörden darüber lieber nicht sprechen, hat wohl einen Grund: Nach Einschätzung von Jurist:innen fehlt ihnen eine rechtliche Grundlage, um kommerziell erhobene Daten aus der Werbeindustrie zu nutzen. Auf Generalklauseln können sie sich jedenfalls nicht stützen, sagen Datenschutzbehörden.

Das Zusammenwachsen von Überwachungskapitalismus und Überwachungsstaat stellt die Wirksamkeit unseres Rechtsstaats auf die Probe. Wenn sie beispielsweise Menschen mit Funkzellenabfragen orten wollen, brauchen Polizeibehörden dafür eine richterliche Genehmigung. Diesen Umweg, der den Schutz von Grundrechten sicherstellen und Überwachungsexzesse verhindern soll, will sich die Polizei offenbar gerne sparen.

Deshalb müssen wir jetzt nicht nur auf Transparenz und eine politische Debatte drängen, sondern auch auf strenge Regeln. Im besten Fall verbieten wir Behörden die Nutzung von illegal erhobenen Werbedaten.

Man muss sich das vor Augen halten: In den USA jagt ICE Menschen, vermutlich auch mit Hilfe von Werbedaten. Die Regierung von Viktor Orbán könnte sie gegen Oppositionelle genutzt haben. Expert:innen warnen davor, dass feindliche Geheimdienste und Militärs sie gegen die EU einsetzen könnten. Und deutsche Polizist:innen – machen einfach auch mit. Hallo, geht’s noch?

Wir brauchen keine Polizeibehörden, die nur bei ihren Antworten auf Presseanfragen Datensparsamkeit praktizieren, aber bei neuartigen Überwachungsmethoden aus dem Vollen schöpfen wollen. Der Staat sollte uns vor Tracking-Firmen und Datenhändlern schützen, nicht mit ihnen Geschäfte machen.

---

Korrektur, 2. Juni, 12:00 Uhr: Aus den Antworten des LKA Brandenburg geht nicht klar hervor, ob die von Datenhändlern beschafften kommerziellen Daten aus der Werbe-Industrie stammen oder möglicherweise aus Quellen außerhalb der Werbe-Industrie. Auch auf direkte Nachfrage hat die Behörde das nicht offengelegt. Das war nicht sauber formuliert. Wir haben das korrigiert.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In mindestens zwei Bundesländern hat sich die Polizei Daten von Databrokern beschafft, wie Recherchen von netzpolitik.org und BR erstmals zeigen. Mit solchen Daten könnten sich Handys metergenau orten lassen. Fachleute halten das für illegal, eine Datenschutzbehörde hat sich bereits eingeschaltet.

Fachleute haben es schon vermutet, jetzt belegen Recherchen von netzpolitik.org und Bayerischem Rundfunk exklusiv: Auch in Deutschland nutzt die Polizei Daten der Werbe-Industrie. Mindestens zwei Landeskriminalämter haben sich von kommerziellen Anbietern Daten beschafft.

Dahinter steckt das oftmals illegale Geschäft der Databroker. Erhoben werden solche Daten etwa angeblich zu Werbezwecken, doch über Databroker werden sie zur Handelsware. In die Hände der Datenhändler gelangen sie über Tracking-Firmen, abgesaugt von populären Apps – und in der Regel ohne Wissen der Betroffenen.

Zum Angebot der Databroker gehören auch metergenaue Ortungen, aus denen sich Bewegungsprofile von Handys und ihren Besitzer*innen ablesen lassen: Wohnort, Arbeitsplatz und mehr. Das gefährdet nicht nur die Privatsphäre aller, sondern lässt sich auch für Spionage und Sabotage nutzen. Expert*innen aus Politik und Wissenschaft sehen im Handel mit Standortdaten deshalb eine Gefahr für die nationale Sicherheit.

Dass Polizeibehörden selbst Daten von Databrokern nutzen, war bislang nur von wenigen Staaten bekannt, etwa den USA und seit Kurzem Ungarn. Jetzt haben das auch zwei deutsche Landeskriminalämter bestätigt: Brandenburg und Mecklenburg-Vorpommern. Anlass waren Anfragen nach dem Informationsfreiheitsgesetz (IFG) und Presseanfragen von netzpolitik.org und dem BR.

Ein Geschäft, das Europas Sicherheit bedroht

Möglicherweise nutzen noch mehr deutsche Landespolizeien solche Daten. In neun Bundesländern haben die Behörden eine Auskunft verweigert. Nur in fünf Bundesländern hat die Polizei den Einsatz klar verneint.

In Reaktion auf die Recherche hat der Landesdatenschutzbeauftragte Mecklenburg-Vorpommern eine Prüfung eingeleitet. Weder seine Behörde noch die sonstigen 15 Landesdatenschutzbehörden, die wir angefragt haben, sehen eine konkrete rechtliche Grundlage für die Nutzung von Werbedaten durch die Polizei.

Auch der Polizeirechtler Mark Zöller von der Ludwig-Maximilians-Universität München hält die Praxis für rechtswidrig. Er spricht von einem „wirklich massiven“ Risiko, dass Behörden Daten erhalten, die sie nicht zu sehen bekommen sollten.

Unsere Recherche zeigt: Auf wahrscheinlich illegale Weise unterstützt die Polizei den Schwarzmarkt der Databroker. Damit beteiligen sich deutsche Behörden im Namen der Sicherheit an einem Geschäft, das selbst Europas Sicherheit bedroht. Ob und wie viel Steuergeld dabei geflossen ist, wissen wir jedoch nicht.

Brandenburg „greift auf Datenhändler zurück“

Ein wichtiger Baustein unserer Recherche war eine Liste von sogenannten ADINT-Firmen. ADINT steht für Advertising-based Intelligence, also werbebasierte Aufklärung. Die Liste haben der Tracking-Forscher Wolfie Christl und das Citizen Lab der Universität Toronto bereitgestellt. Sie arbeiten an einer globalen Bestandsaufnahme zum Missbrauch von Werbedaten für Überwachungszwecke. Ihre bislang unveröffentlichten Zwischenergebnisse sind in unsere IFG- und Presseanfragen an deutsche Behörden geflossen.

Die Polizei in Brandenburg antwortete:

Das Landeskriminalamt Brandenburg greift zur Bekämpfung unterschiedlicher Kriminalitätsphänomene bei der Informationsbeschaffung anlassbezogen auch auf Datenhändler oder andere Anbieter kommerziell erwerblicher Daten zurück.

Unter anderem würden „in den Phänomenbereichen Cybercrime und Wirtschaftskriminalität Daten weniger kommerzieller Anbieter erhoben“. Dies diene „in der Regel zur Analyse von Täter- und Tatzusammenhängen“.

Mehr zu den Daten und ihren Quellen, den beteiligten Firmen oder entsprechenden Verträgen wollte die Behörde nicht offenlegen. Das könne „Belange der Strafverfolgung und ‑vollstreckung, der Gefahrenabwehr sowie die Tätigkeit der Polizei beeinträchtigen“. Wir wissen deshalb nicht genau, welche kommerziellen Daten die Polizei in Brandenburg nutzt und ob dazu auch Handy-Standortdaten gehören.

Die Polizei in Mecklenburg-Vorpommern hat unsere IFG-Anfrage so beantwortet:

Im Zusammenhang mit der Bekämpfung von Kriminalität, die im Zuständigkeitsbereich des LKA MV liegt, wie zum Beispiel im Bereich der Bekämpfung von Cybercrime oder auch Wirtschaftskriminalität, erfolgt mitunter die Nutzung von Daten weniger und etablierter kommerzieller Anbieter, insbesondere für eine erste Analyse von Beteiligungen und Verflechtungen.

Erst nach einer weiteren Presseanfrage wurde die Behörde genauer: Zu den Daten gehörten demnach auch Standortdaten der Werbe-Industrie. Das LKA legt aber nicht offen, ob es die Daten selbst erworben oder einen ADINT-Dienstleister genutzt hat. Künftig will die Behörde allerdings keine kommerziellen Daten mehr nutzen: Es sei “gegenwärtig und auch zukünftig” nicht vorgesehen.

Mecklenburg-Vorpommern: Datenschutzbehörde prüft

Was sagt die zuständige Datenschutzbehörde zu den Databroker-Deals der Polizei in Mecklenburg-Vorpommern? Das LKA hatte die Behörde „über ein entsprechendes Produkt informiert“, erklärt eine Sprecherin auf Anfrage. Anlass sei ein „regelmäßiger, informeller Austausch“ gewesen. „Bereits in diesem Termin haben wir uns kritisch zum Einsatz und insbesondere Zweifel an einer tragfähigen Rechtsgrundlage geäußert.“

Dass die Polizei das Produkt tatsächlich eingesetzt hat, erfuhr die Behörde jedoch erst auf Anfrage von netzpolitik.org und BR, wie der Landesdatenschutzbeauftragte Sebastian Schmidt auf Anfrage erklärt. Daraufhin habe die Behörde eine Prüfung eingeleitet. Zunächst müsse man herausfinden, welche Daten die Polizei tatsächlich genutzt habe und wofür – mehr Details zum konkreten Fall könne er deshalb nicht nennen. Grundsätzlich weist der Datenschützer jedoch auf drei mögliche Probleme bei kommerziellen Werbedaten hin:

Erstens könne die Polizei mit Standortdaten aus der Werbe-Industrie „ähnliche Erkenntnisse“ gewinnen wie mit einer Funkzellenabfrage – so nennt man es, wenn die Polizei Handys über Daten von Mobilfunkanbietern ortet. Diese Überwachungsmaßnahme muss aber ein*e Richter*in genehmigen. „Einen solchen Richtervorbehalt würde man zum Beispiel umgehen, wenn man kommerzielle Standortdaten nutzt, ohne dass man eine entsprechende Rechtsgrundlage dafür hat“, erklärt Schmidt.

Zweitens stecken in den Angeboten von Databrokern oftmals Daten von Millionen Geräten, also von sehr vielen Unbeteiligten. Daran seien noch mal andere Anforderungen geknüpft, als wenn es nur um Verdächtige gehe, erklärt der Datenschützer. „Wir prüfen selbstverständlich auch, ob Daten von unbeteiligten Dritten angekauft worden sind.“

Drittens ist bei kommerziell erworbenen Standortdaten nicht klar, ob sie rechtmäßig erhoben wurden. Die bisherigen Recherchen von BR und netzpolitik.org zeigen: Von der informierten Einwilligung, auf die sich viele App-Betreiber und Databroker mit Blick auf die europäische Datenschutzgrundverordnung (DSGVO) berufen, kann in der Regel keine Rede sein. Schmidt sagt: „Diese Daten dann für polizeiliche Ermittlungen zu verwenden, ist aus datenschutzrechtlicher Sicht nicht ganz unproblematisch.“

Die Prüfung könnte Schmidt zufolge etwa ein halbes Jahr lang dauern. Das heißt, Ergebnisse kommen nicht vor der Landtagswahl am 20. September, in der die in Teilen rechtsextreme AfD Umfragen zufolge stärkste Kraft werden könnte. Was würde eine potenzielle AfD-Regierung mit einem solchen Überwachungs-Instrument tun?

Polizei-Behörden sehen sich im Recht

Der Fall Mecklenburg-Vorpommern könnte für ganz Deutschland wichtig sein. Denn unsere Recherchen zeigen: Bundesweit gehen die Einschätzungen von Polizei- und Datenschutzbehörden zur Rechtmäßigkeit der Nutzung von Werbedaten auseinander.

Wir haben alle 16 Landesdatenschutzbehörden angefragt – keine nannte eine konkrete Rechtsgrundlage für den Einsatz kommerzieller Standortdaten durch die Polizei.

Offenbar bräuchte es jedoch eine solche Grundlage. Allgemeine Ermittlungsbefugnisse, sogenannte Generalklauseln, dürften nicht ausreichen. Das sagt etwa die Landesdatenschutzbeauftragte von Brandenburg auf Nachfrage von BR und netzpolitik.org. Generalklauseln “können unseres Erachtens nicht für die Erhebung und Verwendung kommerzieller Standortdaten herangezogen werden”.

Das LKA Brandenburg, das nach eigener Aussage auf Datenhändler zurückgreift, hat unsere Frage zur Rechtsgrundlage nicht beantwortet. Andere Polizeibehörden argumentieren jedoch mit Generalklauseln. Das LKA Mecklenburg-Vorpommern beruft sich etwa auf allgemeine Befugnisse in der Strafprozessordnung und dem Landespolizeigesetz. Auch die Landeskriminalämter von Hamburg, Nordrhein-Westfalen, Thüringen und Saarland halten den Einsatz kommerzieller Standortdaten für rechtlich möglich.

Diese neun LKAs schweigen

Während die Polizeibehörden in Brandenburg und Mecklenburg-Vorpommern einige Fragen offenlassen, sind die Behörden der meisten anderen Bundesländer noch weniger transparent.



Lediglich die Polizei in Bremen, Hessen, Rheinland-Pfalz, Sachsen-Anhalt und Schleswig-Holstein hat den Einsatz kommerzieller Werbedaten bei unseren jüngsten Presseanfragen klar verneint.

Neun weitere LKAs verwiesen auf Geheimschutzgründe und äußern sich nicht. „Um die Wirksamkeit der Strafverfolgung und der Gefahrenabwehr effektiv zu schützen und laufende Verfahren nicht zu gefährden, müssen diese Angaben vertraulich behandelt werden“, heißt es etwa aus Sachsen. Thüringen und Baden-Württemberg verweisen auf „polizeitaktische Gründe“.

Von „sensiblen Bereichen der Polizeiarbeit“, schreiben die Behörden in Niedersachsen und Hamburg. Auch Bayern, Berlin, Nordrhein-Westfalen und das Saarland verweigerten eine Auskunft.

Jurist: Praxis ist „rechtswidrig“

Darf die Polizei nun Werbedaten nutzen oder nicht? Der Jurist Mark Zöller ist Professor an der Ludwig-Maximilians-Universität München und forscht dort zu Innerer Sicherheit und Digitalisierung. Im Gespräch mit netzpolitik.org und BR sagt er zur Nutzung von Werbedaten durch die Polizei: „Nach dem jetzigen Stand der Dinge wäre das rechtswidrig.“

Eine Ermächtigungsgrundlage gebe es in keinem Polizeigesetz, Behörden könnten sich nicht auf bestehende Generalklauseln berufen. „Wer das im Moment macht, handelt ohne gesetzliche Grundlage.“

Zwar könne die Polizei im Einzelfall auch illegal erhobene Daten verwenden, wie der Jurist erklärt. Die Rechtsprechung folge dem Muster: Je schlimmer die Straftat, desto eher könne auch ein rechtswidrig erhobenes Beweismittel benutzt werden. Im Fall von Standortdaten und anderen Informationen aus der Werbe-Industrie brauche es jedoch ausdrückliche gesetzliche Regelungen.

„Das Risiko halte ich für wirklich massiv, dass man da über die Hintertür Daten erhält, die man auf verfassungskonformen Weg als Staat eigentlich gar nicht zu sehen bekommen sollte“, sagt Zöller. Nach der Rechtsprechung des Bundesverfassungsgerichts müssten sich Menschen darauf verlassen können, dass ihre Daten nur für den Zweck verwendet werden, für den sie erhoben werden.

„Wir sehen das sehr häufig, dass Polizeibehörden neue technische Möglichkeiten erkennen und dann schon mal voranpreschen, weil die Verlockung groß ist, so etwas zu nutzen“, sagt Zöller mit Blick auf den Datenhandel. Auch ermittlungstaktisch könne man das nachvollziehen. Im Rechtsstaat funktioniere die Logik jedoch anders herum: „Erst regeln, dann loslegen.“

Zöller sieht es kritisch, dass mehrere Polizeibehörden den Einsatz von Werbedaten weder bestätigen noch verneinen: „Das spricht dafür, dass das auch dort zumindest in Erwägung gezogen wird.“

Der Wiener Tracking-Forscher Wolfie Christl warnt vor den Folgen staatlicher Überwachung mit Werbedaten: „Sollten deutsche Polizeibehörden ADINT-Systeme einsetzen, wäre damit eine Art unkontrollierte Massenüberwachung möglich – auf Grundlage großer Mengen zugekaufter personenbezogener Verhaltensdaten über Millionen von Menschen in Deutschland.“

Er spricht vom „Missbrauch“ der Daten für Überwachung. „Es gibt über die gesamte Datenlieferkette hinweg keine Rechtsgrundlage für eine Weitergabe dieser Daten für Überwachungszwecke.“

Bundesbehörden mauern ebenfalls

Nicht nur in den Bundesländern verweigern Sicherheitsbehörden Transparenz, sondern auch auf Bundesebene. Nutzen etwa die Bundespolizei und Bundeskriminalamt Daten der Werbe-Industrie? Das wollte Ende 2025 die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) in einer Kleinen Anfrage wissen. Die Bundesregierung gab keine Auskunft.

Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden.

Nicht einmal in eingestufter Form, also unter Auflagen zur Geheimhaltung, wollte die Regierung das Parlament über eine mögliche Nutzung von Werbedaten durch Polizeibehörden informieren. Auch Auskünfte zur Nutzung durch Geheimdienste verweigerte sie auf vorherige Anfragen von netzpolitik.org und BR.

Fachleute halten es jedoch für wahrscheinlich, dass auch Bundesbehörden bei Databrokern einkaufen oder Dienste von ADINT-Anbietern nutzen. „Es gibt gute Gründe, davon auszugehen, dass dies längst geschieht“, schlussfolgern die Autoren einer Studie des Thinktanks Interface im Jahr 2024. Hinweise darauf gibt es unter anderem in der Begründung für die 2023 beschlossene Novelle des BND-Gesetzes.

Auch die Wissenschaftlichen Dienste des Deutschen Bundestages sehen Hinweise, „dass die Praxis kein Ausnahmephänomen darstellt, sondern zunehmend Teil des behördlichen Informationsmanagements wird“. Das dazu gehörige Gutachten entstand auf Anfrage von Linken-Politikerin Vogtschmidt.

Sollten Bundesbehörden tatsächlich Werbedaten kaufen, würde das laut Gutachten rechtlich auf tönernen Füßen stehen: Bundespolizei und Bundeskriminalamt hätten dafür keine Rechtsgrundlage, heißt es. Eine klare Rechtsgrundlage fehlt demnach sogar für Geheimdienste, die deutlich mehr Befugnisse zur Überwachung haben.

Politiker*innen warnen über Parteigrenzen hinweg

Hinter dem Geschäft mit Handy-Standortdaten steckt globale kommerzielle Massenüberwachung. Hierzu recherchieren netzpolitik.org, Bayerischer Rundfunk und internationale Recherche-Partner seit Februar 2024. Databroker bündeln Daten aus der Werbe-Industrie und verkaufen sie in riesigen Paketen, in der Regel rechtswidrig. Dabei geht es längst nicht mehr um personalisierte Werbung. Die Daten werden zur Handelsware – ein klarer Bruch mit der Zweckbindung, wie sie die DSGVO verlangt.

Allein anhand von Gratis-Kostproben verschiedener Anbieter konnte das Recherche-Team inzwischen mehr als 13 Milliarden Handy-Standorte von Millionen Betroffenen weltweit sammeln und auswerten.

In zahlreichen Veröffentlichungen haben die Databroker Files gezeigt: In den Daten stecken teils genaueste Bewegungsprofile. Sie verraten Wohnadressen und Urlaubsziele, aber auch Privates wie Besuche in Kliniken, Bordellen oder religiösen Einrichtungen. Ausspionieren lassen sich selbst hochrangige Beamt*innen der Bundesregierung und der EU-Kommission oder Menschen mit Zugang zu Militärstützpunkten und Geheimdiensten.

Sicherheitsbehörden müssen die milliardenfachen Standortdaten nicht selbst auswerten. Dafür bieten spezialisierte Firmen Software an. Zum Angebot gehört eine interaktive, grafische Nutzungsoberfläche, ähnlich wie ein Online-Kartendienst. Statt nach Restaurants können Beamt*innen damit etwa nach Handy-Ortungen in bestimmten Gebieten suchen sowie nach den Bewegungsprofilen bestimmter Geräte.

Für den Zugriff auf solche Software verlangen ADINT-Firmen eine Gebühr. Zur Branche gehören etwa die US-amerikanische Firma Penlink, das israelische Unternehmen Rayzone oder das italienische RCS Labs. Zu den öffentlich bekannten Kunden zählen die US-amerikanische Abschiebe-Miliz ICE und die ungarische Regierung, wie kürzlich das Citizen Lab der Universität Torotono mit dem Medium VSquare aufgedeckt hat.

Parteiübergreifend haben Politiker*innen in Deutschland und in der EU den unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie als Gefahr für die innere und äußere Sicherheit bezeichnet. Mit Blick auf erhöhte Gefahr von Spionage ist die Sorge groß, dass ausländische Geheimdienste solche Daten nutzen.

---

Korrektur, 2. Juni, 12:00 Uhr: Aus den Antworten des LKA Brandenburg geht nicht klar hervor, ob die von Datenhändlern beschafften kommerziellen Daten aus der Werbe-Industrie stammen oder möglicherweise aus Quellen außerhalb der Werbe-Industrie. Auch auf direkte Nachfrage hat die Behörde das nicht offengelegt. Das war etwa im Teaser und in der Info-Grafik nicht sauber formuliert. Wir haben das korrigiert.

---

Update, 4. Juni, 11:00 Uhr: Erst nach der Veröffentlichung hat das LKA Brandenburg weitere Details genannt. Die Behörde habe „bisher keine personenbezogenen Standortdaten von Datenhändlern oder anderen kommerziellen Anbietern bezogen“. Auch seien „bisher keine Dienstleister in Anspruch genommen worden, die solche Daten aus dem Ökosystem der Online-Werbung, aus anderen kommerziell erwerblichen oder unbekannten Quellen zur Verfügung stellen“. Stattdessen habe die Polizei auf Daten von kommerziellen Plattformen „wie beispielsweise von Wirtschaftsauskunfteien“ zurückgegriffen.

---

netzpolitik.org und Bayerischer Rundfunk recherchieren weiter zur Nutzung von Werbedaten durch Polizeibehörden. Für Hinweise sind die Autoren Ingo Dachwitz und Sebastian Meineck dankbar.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ein deutsch-vietnamesischer Journalist wurde mit dem Staatstrojaner Predator angegriffen. Jetzt stellt er Strafanzeige, gemeinsam mit der GFF. Die Staatsanwaltschaft soll die Täter ermitteln und die Grundrechte schützen. Besonders pikant: Nicht nur das Opfer kommt aus Deutschland, sondern auch Anbieter und Kunden.

Wenn ein deutscher Staatsbürger in Deutschland mit einem Staatstrojaner gehackt werden soll, ist das ein Fall für die Staatsanwaltschaft. Davon geht jedenfalls die Gesellschaft für Freiheitsrechte aus. Die GFF hat heute gemeinsam mit dem deutsch-vietnamesischen Journalisten Trung Khoa Lê Strafanzeige gestellt.

Der Journalist recherchiert und publiziert auf seiner Plattform Thời Báo („Die Zeit“) seit Jahren über die Politik, Wirtschaft und Gesellschaft Vietnams. Seine Artikel und Videos finden bei der vietnamesischen Regierung keinen Gefallen.

Vietnam ist beinahe Schlusslicht der Rangliste der Pressefreiheit. Das Land zensiert und überwacht Medien großflächig. Doch Trung Khoa Lê veröffentlicht von Deutschland aus investigative Recherchen und Regierungspapiere.

Polizeischutz und Staatstrojaner

Wegen seiner Arbeit bekommt er Morddrohungen und Polizeischutz. Und er wird angegriffen. Bisher unbekannte Täter haben versucht, ihm einen Staatstrojaner aufzuspielen.

Vor zwei Jahren berichtete Trung Khoa Lê über korrupte Generäle im vietnamesischen Verteidigungsministerium. Den Artikel postete Thoibao auch auf seinem Twitter-Account.

Auf diesen Tweet antwortete ein Account namens @Joseph_Gordon16 und postete einen Link, offenbar in der Hoffnung, dass Trung Khoa Lê draufklicken würde. Hätte er geklickt, hätte ein Exploit sein Gerät heimlich kompromittiert und die Schadsoftware Predator installiert.

Gegen diesen Hacking-Versuch wehrt sich der Journalist jetzt. Die 34-seitige Strafanzeige liegt uns vor. Die Anzeige-Erstatter haben entschieden, das Dokument nicht zu veröffentlichen.

Lê Trung Khoa sagt: „Seit zweieinhalb Jahren ist bekannt, dass ich mit Spyware attackiert wurde. Bisher hat niemand auch nur ermittelt – oder gar die Täter*innen zur Rechenschaft gezogen. Deswegen habe ich nun Strafanzeige erstattet.“

Auch Deutsche beteiligt

Neben dem Berliner Trung Khoa Lê wurden auch andere Journalisten, aber auch Menschen aus Wissenschaft und Forschung, US-Senatoren, Diplomaten, EU-Beamte oder UN-Mitarbeiter mit Predator angegriffen.

Der Staatstrojaner Predator wird vom undurchsichtigen Firmenverbund Intellexa angeboten und vertrieben. Laut Spiegel verdienen auch Deutsche an dieser Überwachung. Laut portugiesischen Medien ist auch ein ehemaliger FinFisher-Manager involviert.

Deswegen ist der Fall von Trung Khoa Lê ein hausgemachtes Problem Europas: Die Schadsoftware eines europäischen Anbieters sollte einen Deutschen gezielt ausspionieren, wohl über den Umweg Vietnam.

Staat soll Täter finden

Der Journalist und die GFF möchten nun mit der Strafanzeige erreichen, „dass die Staatsanwaltschaft und Polizei in Berlin den Angriff aufklären und die Täter*innen ermitteln“. Die GFF schreibt:

Wäre der Angriff gelungen, hätten die Täter*innen auf die gesamte Kommunikation sowie alle dort gespeicherten Daten zugreifen können. Ein solcher Angriff stellt einen massiven Eingriff in die Privatsphäre der Betroffenen dar.

Außerdem sei das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Geräte (das sogenannte IT-Grundrecht) und auch das Fernmeldegeheimnis sowie im konkreten Fall zudem der Quellenschutz verletzt. Die GFF mahnt:

Der Staat ist verpflichtet, seine Bürger*innen vor solchen Angriffen zu schützen.

Die Staatsanwälte können bei der Zentralen Stelle für Informationstechnik im Sicherheitsbereich nachfragen. Die Hacker-Behörde ZITiS ist laut Spiegel „bereits seit 2019 Intellexa-Kunde“. Die GFF empfiehlt daher ein Amtshilfeersuchen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Verhaltensscanner, Gesichtserkennung, Datenanalyse: Immer mehr Bundesländer rüsten mit KI-Überwachung auf. Bislang lief das weitgehend geräuschlos. Jetzt regt sich Widerstand.

Ende April, ein Platz im Görlitzer Park in Berlin: Etwa 100 Menschen stehen vor einer Bühne, am Rand eine Reihe Polizeifahrzeuge und Gruppen von Polizist*innen. Es gibt kostenloses Essen und Rap. Die Bühne haben Aktivist*innen mit Überwachungskameras dekoriert. Davor ist ein Banner gespannt, Aufschrift: „Gegen Überwachung und Ausgrenzung“. In kleinerer Schrift darunter: „Keine KI-Videoüberwachung unserer Parks, Plätze und Straßen!“

Diesen Park will die Polizei künftig mit Videokameras und Verhaltensscanner-Software kontrollieren, so wie weitere Orte in Berlin. Die Software, eine sogenannte Künstliche Intelligenz, soll analysieren, was die abgebildeten Menschen gerade tun und gutes von schlechtem Verhalten unterscheiden. Deshalb sind die Demonstrierenden hier. Sie lehnen die KI-Kontrolle ab. Die Person am Mikrofon ruft: „Man kann Kameras auch kaputt machen!“

Neun Bundesländer haben ihrer Polizei den Einsatz von Verhaltensscannern entweder bereits erlaubt – oder planen, dies zu tun. Bislang setzen Polizeien die Technologie nur in Mannheim und Hamburg ein. Doch die Zahl der Orte, die damit überwacht werden, wird sich wohl bald deutlich erhöhen.

Größere Polizeigesetz-Änderungen

Mehrere Bundesländer legalisieren derzeit Verhaltensscanner im Rahmen größerer Polizeigesetz-Reformen. Sie genehmigen den Beamt*innen unter anderem den Einsatz von Datenanalyse à la Palantir, Live-Gesichtserkennung oder Videodrohnen. In einigen Ländern, die gerade ihr Polizeigesetz verschärfen oder verschärft haben, formt sich auch außerparlamentarischer Widerstand.

Magdalena Finke, CDU-Innenministerin von Schleswig-Holstein hat mit ihrem Polizeigesetz-Entwurf Fans des Fußballvereins in Kiel gegen sich aufgebracht. Die mobilisieren in der Fanszene und vernetzen sich darüber hinaus mit zivilgesellschaftlichen Initiativen. „Das wurde komplett im Hinterzimmer ausgehandelt“, sagt Fußballfan Jan auf Anfrage von netzpolitik.org über das Polizeigesetz.

Jan und seine Mitstreiter*innen wollen eine große Demo durch die Landeshauptstadt Kiel organisieren. Kein bloßer Fanmarsch, sondern ein breites Bündnis. „Wir wollen Menschen aus dem ganzen Landesgebiet mobilisieren“, sagt Jan. Geplant sind außerdem Infoveranstaltungen für Fußballfans, Flyer und Aktionen mit Spruchbändern im Stadion. „Wir sehen das als unsere Aufgabe, das Polizeigesetz in unserer Kurve zum großen Thema zu machen.“

Das volle Programm High-Tech-Überwachung

Die schwarz-grüne Landesregierung von Schleswig-Holstein steht kurz davor, das volle Programm High-Tech-Überwachung genehmigt zu bekommen: Datenanalyse nach Palantir-Art, Verhaltensscanner, Live-Gesichtserkennung, Gesichtersuchmaschine. Am 6. Mai haben die Abgeordneten den Gesetzentwurf erstmals im Parlament besprochen.

Jan sagt: „Durch Überwachung und erst recht durch KI-Überwachung werden die Freiräume immer begrenzter. Freiräume sind aber ein wichtiger Teil der partizipativen Demokratie.“

Begründet werde die Ausweitung der Überwachung mit Messerangriffen. „Aber in Kiel gibt es kaum bis keine Messerangriffe. Dann kann man doch nicht deshalb der Polizei solche Befugnisse geben. Die lassen sich nicht wieder zurückdrehen“, sagt Jan. Er befürchtet, dass bald alle öffentlichen Plätze im Land KI-überwacht werden.

Wie wir bereits berichtet haben, gibt es auch in Thüringen Widerstand gegen das dortige Polizeigesetz. Der bekommt zunehmend Schwung, wie die Initiator*innen der Anti-Polizeigesetz-Kampagne ThürPAG stoppen berichten. Zu den Kritiker*innen gehören inzwischen die antifaschistischen Bündnisse Auf die Plätze Erfurt und Rechtsruck Stoppen, der Verein Vielfalt Leben – QueerWeg und der Hacker*innentreff Krautspace Jena.

Kunstaktionen gegen Überwachung

In Sachsen wehrt sich das antifaschistische Aktionsbündnis Leipzig nimmt Platz gegen die Polizeigesetz-Novelle. Die Dresdner Datenpunks planen Kunstaktionen zu Überwachung, um darüber mit Menschen ins Gespräch zu kommen.

Aufklärung zur niedersächsischen Polizeigesetznovelle leisten der Kleindatenverein und Freiheitsfoo.

Derweil agieren Initiativen wie Kameras stoppen aus Köln, Bündnis Hansaplatz aus Hamburg oder dieDatenschützer Rhein-Main seit Jahren nicht ohne Erfolg gegen Video- und KI-Überwachungs-Projekte – auch vor Gericht.

Ausdrücklich gegen die Massen-Datenanalyse positioniert sich das Bündnis Kein Palantir in Baden-Württemberg. Das Netzwerk Sicherheit ohne Überwachung macht derweil auf Bundesebene gegen verschärfte Gesetze mobil. Es geht einmal mehr um biometrische Gesichtersuche, um Datenanalyse nach Palantir-Art – und Vorratsdatenspeicherung. Unter anderem geplant ist eine Demonstration am 13. Juni 2026 ab 14 Uhr in Berlin.

Die Gewerkschaft der Osterhasen

Zurück zur Kundgebung im Görlitzer Park. Dahinter stehen drei Initiativen: Cables of Resistance, die in Berlin kürzlich einen Kongress zum Kampf gegen die Big-Tech-Übermacht veranstaltet hat; Wrangelkiez United, eine polizeikritische Anwohner*innengruppe – und Görli 24/7, die dagegen kämpft, dass die Stadt den Görlitzer Park inzwischen nachts verriegelt.

Für einen offen zugänglichen Görlitzer Park sind auch zwei Redner*innen, die als nächstes die Bühne betreten, maskiert mit rosa Hasenköpfen. Sie stellen sich als Vertreter*innen der „Osterhasen-Gewerkschaft“ vor und erzählen, dass Menschen bereits Nachschlüssel zu den Parktoren an Interessierte verteilt hätten. Einige Eingänge könne man auch selbst öffnen, wenn man eine Türklinke in die dafür vorgesehene Öffnung schiebt. „Klinken bekommt ihr am Info-Stand“, ruft einer der Hasen.

Bevor die Osterhasen die Bühne betreten, gibt es eine unfreiwillige Programm-Pause. Beamt*innen treten an die Bühne heran und wollen Personalien sehen – von der Person, die über kaputte Kameras gesprochen hatte. Gibt es jetzt Ärger?

Per Mikrofon hält eine andere Person aus dem Kreis der Veranstalter das Publikum auf dem Laufenden. Sie gibt weiter, dass die Polizei die Aussage über die Zerstörbarkeit von Kameras für eine Straftat hält. „Also sagt das nicht“, ruft sie durch die Lautsprecher. „Sagt nicht, dass man Kameras auch kaputtmachen kann.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Auf der Suche nach Minderjährigen will Meta Nutzer*innen auf Facebook und Instagram umfassend durchleuchten. Der Konzern will sogar die Knochenstruktur von Menschen auf Fotos auswerten. Wie gefährlich ist das? Die Analyse.

Instagram und Facebook wollen ihre Nutzer*innen künftig noch genauer unter die Lupe nehmen. Eine als KI bezeichnete Software soll unter anderem Texte in Posts und Kurzbios kontrollieren und Objekte in Fotos und Videos scannen. Die Software soll sogar die Körpergröße und Knochenstruktur abgebildeter Personen auswerten. Das Ziel dieser Art von Rasterfahndung sind Minderjährige.

Schätzt die Software eine Person für verdächtig jung ein, soll sie ihr Alter nachweisen. Junge Menschen unter 18 Jahre sollen die Plattformen nur im Jugendschutz-Modus nutzen; Kinder unter 13 Jahre dürfen keinen Account haben.

Wer also künftig auf Instagram Fotos vom Kindergeburtstag postet oder über Schulnoten spricht, könnte Probleme bekommen. Die Software könnte das als Hinweis werten, dass man noch nicht erwachsen ist. Diese beiden Beispiele kommen aus der Pressemitteilung von Meta.

Die neue KI-Überwachung startet Instagram demnach jetzt in der EU und in Brasilien. Zuvor lief sie bereits in den USA, Australien, Kanada und dem Vereinigten Königreich. Auf Facebook rollt Meta die Überwachung zunächst in den USA aus; im Juni soll sie für EU und Vereinigtes Königreich folgen.

Hier kommen die fünf wichtigsten Fragen und Antworten zu Metas neuen Alterskontrollen.

• 1. Bergen Metas Alterskontrollen Gefahren?
• 2. Warum macht Meta das?
• 3. Ist das neu?
• 4. Darf Meta das?
• 5. Was passiert als nächstes?

1. Bergen Metas Alterskontrollen Gefahren?

Ein Fachbegriff für die von Meta geplanten Alterskontrollen ist Inferenz, einfacher ausgedrückt: schlussfolgern. Inferenz-Methoden kombinieren mehrere Anhaltspunkte, um das Alter einer Person zu schätzen. Dabei können Dinge schiefgehen – besonders wenn ein Tech-Konzern sogar Fotos und Videos mit sogenannter KI durchsuchen will.

• Datenmaximierung: In der EU verankert die Datenschutz-Grundverordnung (DSGVO) den Grundsatz der Datenminimierung. Das heißt im Fall von Meta: Der Konzern soll nicht mehr Daten sammeln und verarbeiten als nötig. Auf Datenminimierung pocht auch die EU-Kommission in ihren Leitlinien, die beschreiben, wie Online-Dienste Minderjährige schützen sollen; Grundlage is das Gesetzes über digitale Dienste (DSA). Passend dazu fordern in der aktuellen Debatte um Altersgrenzen und Social-Media-Verbote Politiker*innen durch die Bank weg, Alterskontrollen sollen datensparsam ein. Was Meta plant, ist jedoch das Gegenteil: Der Konzern will Daten nicht minimieren, sondern maximieren. Er will „mit KI-Technologie komplette Profile analysieren“.
• Kontrollverlust: Meta listet nicht vollständig auf, was die Software auf der Suche nach Minderjährigen alles einbezieht. Hinweise auf Geburtstage oder Schulnoten sind nur Beispiele; ebenso die Knochenstruktur von Menschen in Fotos und Videos. Nutzer*innen können deshalb nicht wissen, welche der Dinge, die sie posten, möglicherweise problematisch sein könnten. Sie wissen auch nicht, was genau mit den aus der Analyse gewonnenen Erkenntnissen passiert. Meta ist ein Datenschlucker; in der Vergangenheit hatte der Konzern mehrfach Datenschutz-Skandale. Die autoritäre US-Regierung hat potenziell Zugriff auf Daten von Meta-Nutzer*innen in der EU. Daraus folgt: Menschen auf Instagram und Facebook können kaum kontrollieren, was mit ihren Daten geschieht.
• Fehleinschätzungen: Inferenz-Methoden setzen auf Hinweise, aber Hinweise sind keine Fakten. Die Software könnte Menschen zu Unrecht als minderjährig einstufen. In der Folge müssten sie potenziell invasive Alterskontrollen überwinden; etwa auf Basis von Ausweisen oder biometrischen Gesichtsscans. Eventuell geraten manche Gruppen besonders oft in Verdacht, noch nicht erwachsen zu sein. Etwa Menschen, die sich aufgrund von Sprachschwierigkeiten nur sehr einfach ausdrücken. Oder eher kleine, schmale Menschen, deren Körper eine Software als jugendlich einstufen würde.
• Gesellschaftsbild: Die Maßnahme steht für einen radikalen gesellschaftlichen Wandel im Umgang mit Risiken. Auf der Suche nach Minderjährigen werden praktisch alle Nutzer*innen zu Verdächtigen – und all ihre Uploads zu potenziellem Beweismaterial. Die Überwachung wichtiger Schauplätze der digitalen Öffentlichkeit wird zunehmend lückenlos. Lange Zeit wurden KI-gestützte Überwachungsmethoden vor allem diskutiert, um schwere Verbrechen aufzuklären. Jetzt sollen sie sogar Kinder aufspüren. Es geht um junge Menschen, die neugierig sind und Regeln brechen, nicht um Schwerverbrecher*innen. Das normalisiert permanente Überwachung, selbst im Alltag.
• Function Creep ist die schrittweise Ausweitung einer Technologie über die ursprünglich beschriebenen Zwecke hinaus. Konkretes Beispiel: Schon jetzt nutzt die rassistische Trump-Regierung ein Arsenal an Überwachungstechnologie auf der Jagd nach Migrant*innen, um sie zu deportieren. Theoretisch könnte Meta die Systeme zur Suche nach Minderjährigen auch zur Suche nach Migrant*innen oder anderen vulnerablen Gruppen einsetzen. Entsprechende Gesetze könnten Konzerne dazu verpflichten, wenn die Infrastruktur erst einmal da ist.

2. Warum macht Meta das?

Meta reagiert mit den neuen Alterskontrollen wahrscheinlich auf die weltweite Debatte um Jugendschutz im Netz und Social-Media-Verbote. Jüngst hat etwa die EU-Kommission festgestellt, dass Meta nicht genug tut, um unter 13-Jährige von Facebook und Instagram fernzuhalten. Das ist ein möglicher Verstoß gegen den DSA; am Ende können Geldbußen drohen.

Die neuen Alterskontrollen könnte der Meta-Konzern als Argument dafür nutzen, dass er sich nun an die Regeln hält. Generell bieten Inferenz-Methoden mehrere Anreize für kommerzielle Online-Plattformen.

• Plattformen wollen ihre Nutzer*innen nicht abschrecken; immerhin ist deren Aufmerksamkeit die wichtigste Geldquelle. Während etwa Ausweiskontrollen für alle eine sichtbare Hürden sind, laufen Inferenz-Methoden zunächst unscheinbar im Hintergrund.
• Inferenz-Methoden basieren auf Wahrscheinlichkeiten. Plattformen können genau steuern, ab welcher Schwelle eines Verdachts die Software Alarm schlägt und von Nutzer*innen eine Altersverifikation verlangt. Auf diese Weise könnte ein Konzern stets optimieren, wie streng die Kontrollen ausfallen – auch mit Blick auf möglichst geringe finanzielle Einbußen.
• Die Systeme hinter Inferenz-Methoden können für Außenstehende komplex und intransparent sein. Kommerzielle Online-Plattformen sprechen gerne davon, dass sie ihre Systeme kontinuierlich verbessern. Das gibt ihnen viel Spielraum, etwaige Fehler zu relativieren mit Verweis auf eine überholte Version der Systeme, etwa gegenüber Aufsichtsbehörden.

3. Ist das neu?

Inferenz-Methoden zur Alterskontrolle auf Online-Plattformen gibt es schon länger. Selbst Meta schreibt, dass sie ihre Systeme lediglich weiter „stärken“. Auch beispielsweise TikTok, ChatGPT, die Google-Suche oder YouTube suchen im Hintergrund nach Hinweisen darauf, ob Nutzer*innen zu jung sein könnten.

Neu ist allerdings die beschriebene Tiefe der Eingriffe – bis hin zur Analyse von Objekten und Knochenstruktur in Bildern und Videos. Wie zur Beschwichtigung betont Meta in der Pressemitteilung: „Das ist keine Gesichtserkennung.“ Die Software identifiziere keine Personen. Das kann technisch korrekt sein, macht die Eingriffe aber nicht unbedenklich.

4. Darf Meta das?

Vielleicht nicht. Die Datenschutzjuristin Kleanthi Sardeli verfolgt die Neuerungen bei Meta jedenfalls mit Skepsis. Sie arbeitet für die spendenfinanzierte NGO noyb („none of your business“) mit Sitz in Wien. Auf Anfrage von netzpolitik.org geht sie darauf ein, dass biometrische Daten wie Knochenstruktur und Körpergröße in der DSGVO einem strengeren Schutz unterliegen.

Knochenstruktur und Körpergröße können als Gesundheitsdaten angesehen werden, die denselben Schutz wie biometrische Daten genießen. Diese dürfen nur in Ausnahmefällen und auf Grundlage spezifischer Rechtsgrundlagen verarbeitet werden. Dazu gehört unter anderem die Einwilligung. In Metas Datenschutzerklärung wird dieser spezifische Einsatzbereich bisher nicht erwähnt, und als Rechtsgrundlage wird lediglich das berechtigte Interesse genannt – was für den Einsatz dieser neuen KI-Technologie eindeutig nicht ausreichend wäre.

Nähere Einschätzungen seien schwierig, schreibt Sardeli. Dafür seien Metas Informationen zu zurückhaltend. „Es wird auch nicht näher erläutert, wie Metas KI-Modelle auf die Alterserkennung trainiert werden – und ob Inhalte auf Meta-Plattformen verwendet werden, um diese KI-Funktionen weiter zu trainieren.“

Scharfe Kritik an Meta kommt von der deutschen Europa-Abgeordneten Alexandra Geese (Grüne), Stellvertretende Vorsitzende im Ausschuss für Binnenmarkt und Verbraucherschutz. Auf Anfrage von netzpolitik.org schreibt sie:

Was Meta hier plant, ist nichts weniger als der nächste Tabubruch: Die systematische Auswertung von Körpermerkmalen wie Knochenstruktur zur Altersbestimmung ist ein massiver Eingriff in hochsensible personenbezogene Daten.

Geese verweist auf eine Regel im DSA, die besagt: Online-Plattformen sind „nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, um festzustellen, ob der Nutzer minderjährig ist“. Meta tut es dennoch. Statt mehr Schutz reagiere Meta mit mehr Überwachung. „Wer glaubt, man könne Kinderschutz mit biometrischer Massenanalyse erreichen, opfert Grundrechte auf dem Altar eines kaputten Geschäftsmodells.“

5. Was passiert als nächstes?

Die EU-Kommission dürfte sich für das laufende DSA-Verfahren genau anschauen, ob Meta mit den neuen Alterskontrollen die gesetzlichen Vorgaben erfüllt. Einerseits könnte Meta auf diese Weise tatsächlich mehr Minderjährige finden – andererseits könnte die Kommission die datenhungrigen Maßnahmen als unverhältnismäßig einstufen.

Parallel diskutieren Expert*innen gerade auf Deutschland- und EU-Ebene über Maßnahmen für Kinder- und Jugendschutz im Netz. Spitzenpolitiker*innen fordern vehement Social-Media-Verbote und (datensparsame) Alterskontrollen, während Fachleute aus unter anderem Medienpädagogik, Kinderschutz oder IT-Sicherheit vor beidem warnen. Im Sommer sollen die von EU-Kommission und Bundesregierung einberufenen Expert*innen ihre Empfehlungen vorlegen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Grün-Schwarz will in Baden-Württemberg als erstem Bundesland doppelte KI-Videoüberwachung ausrollen: Kameras, die Menschen auf verdächtiges Verhalten überprüfen und sie gleichzeitig mit Gesichtserkennung analysieren. In Mannheim und zwei weiteren Städten soll das Pilotprojekt starten.

Gestern haben Cem Özdemir und Manuel Hagel den grün-schwarzen Koalitionsvertrag für Baden-Württemberg vorgestellt. Hier sollen demnach erstmals in Deutschland Kameras eingesetzt werden, die sowohl das Verhalten der Abgebildeten analysieren und bewerten, als auch deren Gesichter vermessen, um per Gesichtserkennung herauszufinden, ob sie von polizeilichem Interesse sind.

Die Verhaltenskontrolle wird bereits seit acht Jahren in Mannheim trainiert. Das Modellprojekt soll nun räumlich ausgeweitet werden, auf zwei weitere, bislang ungenannte Städte. Auch der Umfang wird erweitert, denn zusätzlich zur Verhaltenserkennungs-Technologie sollen künftig auch Objekte und Gesichter von den Kameras erkannt werden.

Live-Gesichtserkennung läuft in Deutschland bislang nur in Frankfurt am Main hinter öffentlichen Überwachungskameras. Die Software vermisst jedes Gesicht im Erfassungsbereich und schlägt Alarm, sobald es einem gesuchten Gesicht sehr ähnlich ist. Gesucht wird damit nach Terrorist*innen, nach vermissten Menschen, nach Opfern von Entführung, Menschenhandel oder sexueller Ausbeutung. Analysiert und mit den Polizeidatenbanken abgeglichen wird aber jedes Gesicht, das die Kameras aufnehmen.

Zusätzlich zur Echtzeit-Fernidentifizierung wollen Grüne und CDU der Polizei in Baden-Württemberg auch die Suche nach bestimmten Gesichtern im Internet erlauben. Auf Bundesebene gibt es aktuell ebenfalls Bestrebungen, das Tool einzuführen. Damit können Beamt*innen beispielsweise Menschen auf Social Media finden, etwa auf Bildern, die Vereine oder Arbeitgeber ins Netz stellen. Selbst auf Totalaufnahmen von Großveranstaltungen könnten Personen gefunden werden. Wenn die Verhaltensanalyse in einer der Pilotstädte eine Straftat detektiert, kann damit theoretisch auch die tatverdächtige Person retrograd identifiziert werden.

„Schonung der Grundrechte“

Für die Echtzeit-Fernidentifizierung und die Gesichtersuchmaschine muss die Koalition das Polizeigesetz von Baden-Württemberg ändern. Dabei hatte Grün-Schwarz das erst Ende vergangenen Jahres getan. Damals hatte die Landesregierung der Polizei Datenanalyse nach Palantir-Art erlaubt, die diese ohnehin schon lange betrieb. Außerdem genehmigten die alten und neuen Koalitionspartner der Polizei auch das KI-Training mit den persönlichen Daten von Bürger*innen sowie die Weitergabe dieser an externe Stellen.

Nun soll also eine neue Polizeigesetznovelle kommen, die auch Echtzeit-Fernidentifizierung ermöglicht. Niedersachsen, Sachsen und Schleswig-Holstein sind ebenfalls daran, Gesetzesgrundlagen dafür einzuführen. Die Technologie ist in Sicherheitsbehörden ziemlich beliebt, genauso wie der Verhaltensscanner, der in Mannheim trainiert wird. Vergangenes Jahr hat ihn Hamburg übernommen, Berlin folgt wohl als nächstes, Hessen, Niedersachsen, Sachsen, Schleswig-Holstein und Thüringen haben bereits Rechtsgrundlagen dafür oder arbeiten daran.

Bislang hat sich noch niemand getraut, beide Technologien auf einmal einzusetzen. Die Datenschutzbedenken sind bei beiden allein schon sehr hoch. In Baden-Württemberg gibt es nun aber scheinbar keine Scheu mehr. „KI-Videoschutz kann für mehr Sicherheit bei gleichzeitiger Schonung der Grundrechte sorgen“, schreiben Grüne und CDU in ihrem Koalitionsvertrag.

Dass es bei den drei Standorten bleibt, an denen die Koalition die multiple KI-Überwachung pilotieren will, ist vermutlich eher unrealistisch. Bereits vor der Wahl hatten sich Özdemir und Hagel dazu bekannt, den Einsatz von Videoüberwachungskameras entgrenzen zu wollen. Für den Einsatz soll keine erhöhte Kriminalitätsbelastung mehr nötig sein, die Kommunen sollen freihändig darüber entscheiden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die europäische Polizeibehörde Europol hat offenbar jahrelang eine Schatten-IT betrieben. Mitarbeitende sollen damit widerrechtlich große Mengen an personenbezogenen Daten durchsucht und ausgewertet haben. Dennoch will die EU-Kommission Europol nun mit deutlich mehr Budget und Personal ausstatten.

Die europäische Polizeibehörde Europol hat offenbar umfangreiche Mengen sensibler Daten auf einer Schatten-IT gesammelt und ausgewertet. Darunter Ausweisdokumente, Telefonverbindungen, Finanz- und Standortdaten – auch von Personen, die keiner Straftat verdächtigt wurden. Das zeigt eine gemeinsame Recherche von Correctiv, Computer Weekly und Solomon.

„Sie schützen das Gesetz – und brechen es“, zitiert Correctiv einen der anonym bleibenden Europol-Insider, die im Text vorkommen. Internen Dokumenten, geleakten E‑Mails sowie Insiderinformationen von Whistleblower:innen zufolge haben Europol-Mitarbeitende diese Daten entgegen bestehender Sicherheitsvorkehrungen und Datenschutzbeschränkungen abrufen können. Es sei nicht nachvollziehbar, wer zu welchem Zeitpunkt auf die Daten zugegriffen, sie geändert oder gelöscht habe.

Die Veröffentlichung der Recherche fällt für Europol in eine politisch sensible Phase. Noch in diesem Jahr will die EU-Kommission voraussichtlich ein Gesetz einbringen, das Europol in eine „wirklich operative Polizeibehörde“ umwandeln soll. Dafür will die Kommission das Personal und das Budget der Behörde verdoppeln.

Europol habe laut der Recherche zwar einige Datenschutzprobleme öffentlich gemacht. Doch weite Teile ihrer Schatten-IT hat die Behörde mutmaßlich vor dem Europäischen Datenschutzbeauftragten geheimgehalten – darunter ein irreguläres System namens „Pressure Cooker“, mit der Europol offenbar geltende EU-Gesetze umging. Das System ist möglicherweise noch heute im Einsatz.

Das „Schwarze Loch“ für die unregulierte Datenanalyse

Auslöser dafür, die Schatten-IT zu entwickeln, waren die Terroranschläge unter anderem auf das Bataclan-Theater in Paris im November 2015. Damals gründete Europol die Task Force „Fraternité“, der EU-Mitgliedstaaten große Datenmengen zuspielte. Europols Cybercrime-Einheit übernahm daraufhin das sogenannte Computerforensik-Netzwerk (CFN), das im Jahr 2012 mit der Absicht eingerichtet worden war, digitales Beweismaterial zu sammeln.

Obwohl Europol das CFN gemeinsam mit der eigenen IT-Abteilung verwalten sollte, entzog sich das Netzwerk bald jener Aufsicht. Innerhalb weniger Jahre habe sich das CFN weit über seinen ursprünglichen Zweck hinaus entwickelt. Ein ehemaliger hochrangiger Europol-Mitarbeiter bezeichnet es laut der Correctiv-Recherche als „Schwarzes Loch“ für die unregulierte Datenanalyse.

Bis 2019 hätten sich im CFN rund 2.000 Terabyte an Daten angesammelt – fast 420-mal so viele Daten wie die reguläre Kriminaldatenbank von Europol enthielt. In mindestens einem Fall – dem Projekt „Focal Point Travellers“ – sollen sie auch vom US-amerikanischen Inlandsgeheimdienst FBI stammen.

„Europol-Analysten konnten so riesige Mengen an personenbezogenen Daten durchforsten, darunter auch Informationen, die sie nicht hätten speichern dürfen, und diese für kriminalistische Analysen zweckentfremden“, heißt es bei Correctiv.

Datenschutzbeauftragter schlug Alarm

Im Jahr 2019, ein Jahr nachdem die EU-Datenschutzgesetze in Kraft getreten waren, schlug der hauseigene Datenschutzbeauftragte von Europol, Daniel Drewer, intern Alarm. Er warnte die drei stellvertretenden Europol-Direktoren, dass im CFN rund 99 Prozent aller Europol-Daten verarbeitet würden. Laut der Recherche reichen die Sicherheitslücken und Versäumnisse von der „ineffektiven Zuweisung von Sicherheitsrollen und ‑verantwortlichkeiten“ über eine „unzureichende Verwaltung privilegierter Zugriffsrechte“ bis hin zur „Nichteinhaltung der Europol-Sicherheitsvorschriften“. Sollte Europol nicht reagieren, warnte Drewer, könnte ein Verbot des CFN das gesamte operative Geschäft von Europol lahmlegen.

Die Direktorin Catherine De Bolle informierte daraufhin im April 2019 den Europäischen Datenschutzbeauftragten. Nach einer jahrelangen Auseinandersetzung ordnete die Datenschutzbehörde schließlich an, die rechtswidrig gespeicherten Daten zu löschen. Erst im Februar 2026 teilte die Aufsichtsbehörde der Gemeinsamen Parlamentarischen Kontrollgruppe, ein Aufsichtsausschuss für Europol aus europäischen und nationalen Abgeordneten, mit, die fast zehnjährige Prüfung des CFN einzustellen – obwohl Europol zentrale Sicherheitsvorkehrungen noch immer nicht umgesetzt hatte.

„Europol hat über Jahre ein paralleles Datensystem betrieben, das jenseits rechtsstaatlicher Kontrolle arbeitet“, sagt Birgit Sippel (SPD) auf Anfrage von netzpolitik.org. Sie ist Europaabgeordnete und Mitglied des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. „Die Daten unschuldiger Menschen wurden gespeichert und analysiert, ohne dass nachvollziehbar war, wer darauf zugegriffen oder Einträge verändert hat. Das untergräbt das Vertrauen in die Beweissicherheit und die Rechtsstaatlichkeit europäischer Strafverfolgung.“

Obwohl Europol sich jahrelang der Kontrolle entziehen konnte, will die Kommission der Behörde nun mehr operative Befugnisse übertragen, sagt die Bürgerrechtsorganisation European Digital Rights gegenüber netzpolitik.org. „Es ist dringend erforderlich, dass die EU ihre Pläne überdenkt und Europol tatsächlich für seine rechtswidrigen Praktiken zur Rechenschaft zieht.“

Kocht der „Pressure Cooker“ noch?

Es ist derzeit unklar, ob etwa der „Pressure Cooker“ (zu Deutsch: Schnellkochtopf) weiterhin in Betrieb ist. Damit wird offenbar ein System bezeichnet, in dem operative Daten schnell und ohne Beschränkungen durch EU-Recht gespeichert und analysiert werden können.

Laut Europol sei der „Pressure Cooker“ lediglich eine interne Bezeichnung für das „Internet Facing Operational Environment“ (IFOE), das rechtskonform betrieben werde. Als Europol im Jahr 2025 die „IFOE-Quick Response Area“ dem Europäischen Datenschutzbeauftragten zur Konsultation vorlegte, warnte die Aufsichtsbehörde vor „einer vollwertigen Parallelumgebung zur regulären Betriebsumgebung von Europol“.

Der Europäische Datenschutzbeauftragte erklärte gegenüber Correctiv, er sehe „die Gefahr, dass Europol-Mitarbeiter ‚Angeltouren’ unternehmen könnten, also personenbezogene Daten sammeln, die für laufende strafrechtliche Ermittlungen irrelevant sind – und so Grundrechte verletzen“.

Wie solche Systeme trotz Inspektionen durch den Datenschutzbeauftragten lange Zeit verborgen blieben, beschreibt ein Europol-Insider. Demnach seien die Inspektionen „keine Razzia, bei der IT-Experten Systeme überwachen und Server beschlagnahmen“, sondern vielmehr ein „höfliches Gespräch“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Bundesdatenschutzbeauftragte warnt weiterhin vor der Chatkontrolle. Eine „anlasslose Massenüberwachung“ aller Bürger:innen „wäre in einem Rechtstaat beispiellos“. Auch die Datenschutzkonferenz fordert die EU-Gesetzgeber auf, die Chatkontrolle „endgültig abzusagen“.

Die Bundesdatenschutzbeauftragte hofft, dass „die anlasslose und massenhafte Chatkontrolle hoffentlich endgültig vom Tisch“ ist. Das schreibt Louisa Specht-Riemenschneider in ihrem heute veröffentlichten Jahresbericht. Sie und andere Datenschutzaufsichtsbehörden kritisieren das Brechen von Ende-zu-Ende-Verschlüsselung und das verpflichtende Scannen von Nachrichten, das sogenannte Client-Side-Scanning.

Specht-Riemenschneider weiter: „Eine Chatkontrolle – also anlasslose Massenüberwachung gleichsam aller Bürgerinnen und Bürger – wäre in einem Rechtstaat beispiellos und schießt deutlich über das legitime Ziel (Bekämpfung sexualisierter Gewalt gegen Kinder und Jugendliche) hinaus.“

Trotz leichter Verbesserungen in der Rats-Position gäbe es weitere kritische Punkte bei dem EU-Gesetzesvorhaben. Neben der eigentlichen Chatkontrolle hat die Bundesdatenschutzbeauftragte hier unter anderem „pauschal verpflichtende Altersprüfungen in App-Stores“ im Auge, diese seien auszuschließen. „Solche Methoden können nur konkret risikoangemessen und datenminimiert eingesetzt werden, was einer pauschalen Vorschaltung entgegensteht“, heißt es weiter.

Datenschutzrechtliche Rechtsgrundlage fehlt

Auch eine freiwillige Chatkontrolle sieht Specht-Riemenschneider kritisch: „Für das von der CSA-Verordnung vorgesehene freiwillige CSAM-Scannen als Ausnahme vom Grundsatz der Vertraulichkeit der Kommunikation fehlt es an einer datenschutzrechtlichen Rechtsgrundlage. Eine solche ist bisher nicht in den Vorschlägen enthalten, aber aus meiner Sicht zwingend erforderlich.“ CSAM ist ein Sammelbegriff für Darstellungen und Inhalte sexualisierter Gewalt gegen Kinder.

Zudem würden durch die Einrichtung eines EU-Zentrums und Berichtspflichten an dieses Anreize für Diensteanbieter geschaffen, Chatkontrollen als faktisch verpflichtend anzusehen und durchzuführen. Dies könnte laut Specht-Riemenschneider dazu beitragen, dass Diensteanbieter ohne Rechtspflicht eingriffsintensivere Technologien entwickeln und verwenden. Ihre bisherige Kritik an diesen Technologien, wie zum Beispiel Client-Side-Scanning und Brechen der Ende-zu-Ende-Verschlüsselung, bleibe bestehen.

Specht-Riemenschneider warnt davor, dass derart intensive Eingriffe auf freiwilliger Basis „besonders kritisch“ seien. Nicht zuletzt bestünde das Risiko von doppelten Meldestrukturen, die eine effektive Strafverfolgung behindern könnten.

Anlasslose Chatkontrolle endgültig aufgeben

Bereits gestern hatte sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Thema zu Wort gemeldet. Die Datenschützer appellierten in einer Entschließung an die Gesetzgebungsorgane der Europäischen Union sowie an die Bundesregierung, Pläne für eine anlasslose Chatkontrolle endgültig aufzugeben. Anlass dafür sei die voraussichtlich am 11. Mai beginnende vierten Verhandlungsrunde (Trilog) über die geplante EU-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern.

In ihrer jüngsten Entschließung wiesen die Datenschützer:innen zum wiederholten Male darauf hin, dass die anlasslose Chatkontrolle, also die flächendeckende Überwachung der privaten Kommunikation auf Messenger-Diensten, das Brechen der Ende-zu-Ende Verschlüsselung und auch die Umgehungen einer solchen durch Client-Side Scanning unverhältnismäßige Grundrechtseingriffe seien und Millionen Europäerinnen und Europäer unter Generalverdacht stellen würden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Heute haben die Abgeordneten im Landtag von Schleswig-Holstein erstmals eine Novelle des Polizeigesetzes diskutiert. Es geht um Verhaltensscanner und Gesichtserkennung. Expert*innen zweifeln, ob das Gesetz verfassungsgemäß ist; die Opposition warnt vor einer Dystopie.

Die Regierung in Schleswig-Holstein will die Polizei umfassend aufrüsten. Der aktuelle Entwurf soll den Beamt*innen nahezu alle Grundrechtseingriffe erlauben, die derzeit technisch möglich und en vogue sind: Verhaltensscanner, Echtzeit-Gesichtserkennung, Internet-Gesichtersuchmaschine, Datenanalyse à la Palantir, Tracking einzelner Menschen über mehrere Kameras hinweg.

Erstmals haben die Abgeordneten den Gesetzentwurf heute erstmals im Landtag diskutiert, danach wurde an den Innenausschuss überwiesen. Während Kritiker*innen schwere verfassungsrechtliche Bedenken haben, bleibt die Landesregierung bei ihrem Hardlinerkurs.

CDU-Innenministerin Magdalena Finke sagte: „Jede einzelne Maßnahme wurde mit größter Sorgfalt abgewogen.“ Für die Datenanalyse wolle man keine Palantir-Produkte verwenden, sondern gemeinsam mit NRW im Juni eine Ausschreibung veröffentlichen. Am liebsten wäre ihr ein europäisches Produkt.

Koalitionspartner Jan Kürschner, Grüne, unterstützt die Hightech-Überwachungspläne der Konservativen. Für die Datenanalyse bringt er einen Anbieter aus Schleswig-Holstein ins Spiel und empfiehlt, das entsprechende Rundum-Überwachungs-Tool unter einer Open-Source-Lizenz zu entwickeln.

Schleswig-Holstein werde immer sicherer, konstatiert Birte Glißmann von der CDU. Weil aber das subjektive Sicherheitsgefühl einiger Menschen unzureichend sei, sei auch sie pro Überwachungsausbau. Sie lobt unter anderem die „intelligente“ Videoüberwachung: Damit ließen sich „Auffällige Verhaltensmuster erkennen, um gleich eine Gegenmaßnahme in Gang setzen zu können.“

Der Abgeordnete Niclas Dürbrook von der SPD ist der erste Kritiker, der das Wort erteilt bekommt. Er nennt das Gesetz „ein Paket, von dem wesentliche Teile vor nicht allzu vielen Jahren wie aus einem dystopischen Science-Fiction-Film gewirkt hätten.“

Bernd Buchholz von der FDP sagt „Ich habe ein beklemmendes Gefühl wenn eine biometrische Fernidentifizierung in diesem Land möglich wird. Ich möchte mich nicht in einem Land bewegen, in dem ich mich nicht unkontrolliert bewegen kann.“ Sybilla Witsch vom SSW sieht einen tiefen Eingriff in das Recht auf informationelle Selbstbestimmung und kritisiert, dass in Schleswig-Holstein Menschen künftig bis zu acht Wochen in Haft genommen werden sollen, um Ordnungswidrigkeiten zu verhindern.

Eingriffe mit „großer Streubreite“

Ernste Kritik kam auch von Expert*innen im Vorfeld der Debatte im Parlament. Viele sehen im Entwurf verfassungsrechtliche Probleme, auch wenn die Regierung kleinere Aspekte angepasst hat. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unter der Datenschutzbeauftragten Marit Hansen warnt etwa in einer Stellungnahme vor „weitreichenden Grundrechtseingriffen mit großer Streubreite“.

Zur Begründung der Novelle des Polizeigesetzes schreibt die Regierung im Gesetzentwurf: Es gebe mehr Angriffe mit Messern. Allerdings werde laut ULD nicht deutlich, „wie die geplanten Maßnahmen zur Eindämmung von Messerangriffen oder anderen ähnlich schwerwiegender Kriminalitätsphänomenen beitragen können“.

Zudem bleibe „die Darlegung der fachlichen Eignung und Erforderlichkeit der geplanten Maßnahmen abstrakt.“ Insbesondere gelte das für zwei besonders schwerwiegende Eingriffsbefugnisse: Fernidentifizierung von Menschen in Echtzeit und automatisierte Datenanalyse. Die verfassungsrechtliche Verhältnismäßigkeit sei schwer nachvollziehbar. Einfach ausgedrückt: Möglicherweise darf der Staat diese Dinge nicht tun.

Videoüberwachung sei mit dem neuen Gesetz an mehr Orten möglich als zuvor; zugleich wiege der Eingriff durch automatisierte Gesichts- und Verhaltenserkennung schwerer. Das führe „zu einer deutlichen Ausweitung und Vertiefung von Grundrechtseingriffen.“

Kameras schon bei „erwarteten“ Ordnungswidrigkeiten

Schon heute darf öffentlicher Raum in Schleswig-Holstein gefilmt werden, und zwar dann, wenn an einem Kriminalitätsschwerpunkt zum Beispiel Gefahr für Leib, Leben oder Freiheit droht. Künftig soll Videoüberwachung jedoch schon erlaubt sein, wenn eine wie auch immer geartete Gefahr für die öffentliche Sicherheit existiert. Das ULD kritisiert:

Angesichts der großen Anzahl betroffener Personen bei der Videoüberwachung im öffentlichen Raum ist es fraglich, ob die Eingriffsvoraussetzungen verhältnismäßig sind. Zur Wahrung der Verhältnismäßigkeit sollte die Befugnis auf Gefahren für besonders gewichtige Rechtsgüter beschränkt werden.

Das Gesetz soll Videoüberwachung sogar an Orten erlauben, an denen die Polizei lediglich  Ordnungswidrigkeiten von „erheblicher Bedeutung“ erwartet. Der ULD fördert höhere Schwellen „im Hinblick auf die Schwere und auf die Häufigkeit von Straftaten oder Ordnungswidrigkeiten“.

Ähnliche Kritik an der Novelle kommt von Florian Becker, Direktor des Instituts für Öffentliches Wirtschaftsrecht an der Christian-Albrechts-Universität zu Kiel. In seiner Stellungnahme warnt er vor einer „deutlichen Absenkung der Eingriffsvoraussetzungen“ und breiter Anwendung offener Videoüberwachung. Die juristische Vereinfachung von Videoaufzeichnungen führe auf „datenschutzrechtlich sensibles Territorium“. Die automatisierte Verhaltensanalyse würde zudem die Eingriffswirkung der Videoüberwachung erheblich verstärken, „weil sie die Beobachtungskapazität der Polizei technisch vervielfacht und verdächtige Situationen automatisiert markiert.“

Externe Angestellte könnten Aufnahmen sichten

Laut Gesetz müssten nicht einmal Beamt*innen die von der Software ausgelösten Alarme prüfen – das könnten auch private Dienstleister tun, also Angestellte eines Unternehmens. Becker fordert deshalb eine Beschränkung des Zugriffs auf qualifizierte Beamte oder polizeilich ausgebildetes Personal. Und bevor die Polizei einen Ort überwacht, sollte sie förmlich feststellen, dass er gefährlich ist.

Bei der Massen-Datenanalyse nach Palantir-Art unterscheidet das schleswig-holsteinische Gesetz zwei Varianten – eine mit hohem und eine mit reduziertem Eingriffsgewicht. Bei der als harmloser beschriebenen Datenanalyse gibt es etwas weniger Datenquellen. Einfließen dürfen zum Beispiel personenbezogene Daten aus verschiedenen Polizeisystemen, etwa zur Bearbeitung von Fällen. Hinzu kommen Datensätze aus gezielten Abfragen staatlicher Register sowie einzelne gesondert gespeicherte Datensätze aus dem Internet.

Das ULD sieht das mit Sorge: „Es ist zweifelhaft, ob damit eine nennenswerte Reduzierung der Datenmenge und des Eingriffsgewichts erreicht wird. Denn die genannten Datenquellen dürften bereits nahezu die gesamten tatsächlich vorhandenen Daten umfassen.“

Selbst Daten von Zeug*innen sollen einfließen

In die Datenanalyse mit hohem Eingriffsgewicht können zusätzlich Daten aus Wohnraumüberwachungen und Online-Durchsuchungen fließen, außerdem unbeschränkt Verkehrsdaten aus Funkzellenabfragen. Da Maßnahmen der Wohnraumüberwachung und Online-Durchsuchung äußerst selten angewandt werden, unterscheiden sich die Befugnisse somit kaum, erklärt das ULD.

Besonders kritisiert das ULD, dass die Polizei auch Daten von Anzeigenden, Geschädigten, Zeug*innen oder Hinweisgebenden einbeziehen will. Die Datenschützer*innen warnen: „Nach der Rechtsprechung des Bundesverfassungsgerichts liegt ein schwerer Eingriff in das Recht auf informationelle Selbstbestimmung vor, wenn unter anderem Personen vermehrt dem Risiko gegen sie gerichteter polizeilicher Ermittlungsmaßnahmen ausgesetzt werden, die objektiv nicht zurechenbar in das relevante Geschehen verfangen sind.“

Selbst Daten zu Bagatelldelikten und Ordnungswidrigkeiten sollen einfließen, zudem alle Einsatzberichte der Polizei, auch wenn es in dem Einsatz beispielsweise nur um Ruhestörung ging oder eine vermisste Person. „Dies dürfte eine große Anzahl von Personen betreffen“, schreibt das ULD. „Es ist daher zweifelhaft, ob die vorgesehenen Schwellen für die Analyse dieser Daten verhältnismäßig sind.“ Das ULD fordert deshalb: Die Maßnahmen sollten eine Frist bekommen, und die Regierung solle sie vor einer Verlängerung prüfen.

Was hat das mit Messern zu tun?

Auch der Landesverband Frauenberatung Schleswig-Holstein (LFSH) erinnert in seiner Stellungnahme daran, dass das Gesetz  Messerkriminalität bekämpfen solle. In diesem Kontext sei es auffällig, dass die automatisierte Datenanalyse auch für Schutz von Eigentum oder Vermögenswerten angewendet werden kann, wenn „gewerbsmäßig oder bandenmäßig begangene Schädigung“ droht.

„Der Zusammenhang zwischen Schutz von Eigentum und Vermögenswerten und der eingangs benannten Messerkriminalität oder Straftaten gegen Leben, Leib, Freiheit oder die sexuelle Selbstbestimmung erschließt sich uns nicht. Hier sehen wir die Verhältnismäßigkeit der Maßnahmen als nicht gegeben an“, schreibt der LFSH.

Wie in Frankfurt am Main soll die Polizei in Schleswig-Holstein künftig per Live-Gesichtserkennung nicht nur nach Gefährdern suchen dürfen, sondern auch nach gefährdeten Personen – etwa Menschen, deren sexuelle Selbstbestimmung bedroht ist. „Aus unserer Sicht ergibt sich hieraus kein Nutzen für unsere Klient*innen“, schreibt der LFSH, der von Gewalt betroffene Frauen berät. Ein Nutzen zur Verhinderung von Messerkriminalität sei ebenfalls nicht ersichtlich.

Der LFSH wehrt sich auch gegen eine geplante Regel zu elektronischen Fußfesseln. Die mit diesen Geräten erlangten Daten dürfen nämlich demnach „zur Vorbereitung und Durchführung einer Abschiebung der überwachten Person“ genutzt werden – wenn diese bestimmter Straftaten verdächtigt wird. „Unseres Wissens nach gilt die Unschuldsvermutung unabhängig vom Aufenthaltsstatus“, schreibt der LFSH.

Anonymität kann verschwinden

Dirk Heckmann forscht an der Technischen Universität München zu Datenschutzrecht und verweist auf eine Einschätzung des Europäischen Datenschutzausschusses (EDSA). Demnach sei biometrische Fernidentifizierung in öffentlichen Räumen eine Form der Massenüberwachung und damit Demokratien grundsätzlich fremd. „Andere in der wissenschaftlichen Literatur charakterisieren biometrische Fernidentifizierung aufgrund der lebenslangen Beständigkeit der Merkmale als eine der eingriffsintensivsten Maßnahmen“, schreibt er weiter – die „Anonymität des Alltäglichen“ könne verschwinden. Besonders sensible biometrische Daten ließen sich leicht missbrauchen, gerade wenn private Unternehmen eine Software betreiben.

Zur Verhaltensanalyse schreibt er: „Während der Entwurf die Technik für geeignet hält, um Diskriminierungen entgegenzuwirken, lässt er außer Acht, dass zum einen die Technik selbst, zum anderen die Interaktion der Menschen mit der Technik diskriminierend sein können.“ Dazu kämen mögliche Einschüchterungseffekte und mögliche nachteilige Auswirkungen auf das freiheitlich demokratische Gemeinwesen insgesamt.

Der Abgleich von Fotos mit Bildern aus dem Internet, den Schleswig-Holstein erlauben möchte, sei, so Heckmann, „aller Wahrscheinlichkeit nach“ von der KI-Verordnung der EU verboten. Demnach dürfen nämlich keine Datenbanken aufgebaut werden, für die das Netz ungezielt ausgelesen wird. Außerdem grenze so eine Datenbank an Vorratsdatenspeicherung sehr sensibler Informationen. Er sieht ein hohes Missbrauchsrisiko.

Inzwischen gibt es auch zivilgesellschaftlichen Widerstand gegen das geplante Polizeigesetz. Eine Gruppe von Fußballfans will hierfür ein größeres Bündnis zu schmieden und bald zu einer ersten Demo aufrufen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Gerade gibt es bundesweit Bestrebungen, Überwachungskameras mit Systemen zu koppeln, die vollautomatisiert erkennen, was die abgebildeten Menschen gerade tun. Davy Wang von der Gesellschaft für Freiheitsrechte erklärt, warum das eine schlechte Idee ist.

Verhaltensanalyse-Software legt eine Art Strichmännchen über die Gliedmaßen abgebildeter Menschen. Anhand der Bewegungen dieses Vektorenbündels schätzt sie, welches Verhalten zu sehen ist. Bei vorab festgelegten Kategorien schlägt sie Alarm. In Mannheim sind das aktuell Schläge, Tritte, Schubser und abwehrende Körperhaltungen. In Hamburg wird auch detektiert, wenn jemand liegt.

Berlin will bald ebenfalls eine derartige Software einsetzen, Baden-Württemberg will sie auf Heidelberg ausweiten, in Bremer Tram-Bahnen läuft sie bereits. In Niedersachsen, Sachsen, Schleswig-Holstein und Thüringen sind Gesetzesentwürfe dazu in der Abstimmung. Es wird künftig wohl immer mehr Areale geben, in denen KI prüft, ob sich die Anwesenden artig benehmen.

Zeit also, sich die Technologie mal genauer anzuschauen: Welche Auswirkungen hat sie auf die Grundrechte der Betroffenen, wo liegen die größten Risiken bei der Implementierung und welche Rolle kann sie bei der drohenden autoritären Wende spielen? Das haben wir Davy Wang gefragt, Jurist bei der Gesellschaft für Freiheitsrechte.

„Ein subtiles Gefühl des Überwacht-Seins“

netzpolitik.org: Herr Wang, Berlin will bald Verhaltenserkennungs-Kameras an vermeintlich besonders kriminalitätsbelasteten Orten installieren. Liegen diese Orte in Ihrem Lebensradius?

Davy Wang: Im Görlitzer Park bin ich in meiner Freizeit gelegentlich, am Kottbusser Tor oder an der Warschauer Straße steige ich manchmal in Bahnen.

netzpolitik.org: Werden Sie sich dort sicherer fühlen, wenn die Verhaltenserkennung läuft?

Davy Wang: Ich fühle mich da aktuell nicht unsicher. Aber wenn die Verhaltenserkennung kommt, wird das sicher ein subtiles Gefühl des Überwacht-Seins auslösen.

netzpolitik.org: Welche Auswirkungen hat die Technologie auf die Grundrechte der Menschen, die da langlaufen?

Davy Wang: Da ist meine Privatsphäre betroffen und die aller anderen Menschen, die sich da bewegen. Konkret bedeutet dies eine Einschränkung des Grundrechts auf informationelle Selbstbestimmung. Nach dem darf eigentlich ich darüber bestimmen, wer meine Daten erfasst und nutzt. Darüber hinaus kann so eine Überwachung Menschen davon abhalten, den Ort zu besuchen, und sich darauf auswirken, wie sich Menschen dort verhalten. Das hat dann beispielsweise auch Auswirkungen auf die Versammlungsfreiheit.

„Keine Zahlen, die die Wirksamkeit belegen“

netzpolitik.org: Werden da alle Passant*innen unter Generalverdacht gestellt?

Davy Wang: Von beiden Systemen werden erst einmal alle Menschen erfasst.

netzpolitik.org: Und ist das Problem, das mit der Überwachung gelöst wird, diesen massiven Grundrechtseingriff wert?

Davy Wang: Aus den Pilotprojekten gibt es keine Zahlen, die die Wirksamkeit belegen. Dabei gibt es sehr hohe Anforderungen. Denn die Anlagen erfassen viele tausend Menschen täglich, die Betroffenen wissen nie genau, ob ihre Daten gerade verarbeitet werden, und dann wird noch ein sehr intransparentes KI-System benutzt, dessen Schlussfolgerungen nicht nachvollziehbar sind. Bei einem derart strengen Eingriff in die Grundrechte bräuchte es strenge Anforderungen und Belege, dass die Technologie wirksam ist.

netzpolitik.org: Solche Systeme haben immer eine gewisse Rate von False Positives. Das sind Alarme, die auf einem Fehler, einem falschen Verdacht beruhen. Ist da die Verfolgung Unschuldiger schon eingepreist?

Davy Wang: Es ist ein Problem, wenn ein Maximum für diese Rate nicht fest vorgegeben ist. Dann kann die Polizei frei einschätzen, wie viele Fehl-Verdächtigungen sie noch akzeptabel findet. In Berlin wurde die maximale Fehlerrate jetzt in einer Ausschreibung benannt: bis zu 25 Prozent. Jeder vierte Alarm würde dann versehentlich ausgelöst. Das ist ziemlich viel. Da werden viele Verhaltensweisen erfasst, die völlig unproblematisch sind. Und dann kann es auch sein, dass Menschen zum Opfer von Anschlussmaßnahmen werden, die gar nichts getan haben. In den Landespolizeigesetzen steht ja auch gar nicht, welche Verhaltensweisen mit dem Scanner gesucht werden können. Da steht einfach nur: Verhaltensweisen, die auf Straftaten hindeuten. Welche gesucht werden, liegt dann im Ermessen der Exekutive.

„Es gibt einen politischen Druck“

netzpolitik.org: Wie kommt das eigentlich, dass diese Technologie gerade so unglaublich beliebt ist?

Davy Wang: Die Polizeien in den Bundesländern und auf Bundesebene wollen ihre Digitalisierung vorantreiben. Die wollen jetzt auch KI-Systeme nutzen, um vermeintlich effektiver Straftaten verhüten zu können. Da sehe ich die Gefahr, dass man sich öffentlich der Rhetorik bemüht, dass die Anlage verhältnismäßig sei, weil sie beispielsweise keine Gesichter analysiert. Es gibt auch einen politischen Druck, nach öffentlichkeitswirksamen Gewaltvorfällen zu handeln und beispielsweise die Videoüberwachung weiter auszubauen.

netzpolitik.org: In der Logik der Verfechter ist die Technik Privatsphäre-freundlicher als konventionelle Videoüberwachung, weil ja nicht mehr unbedingt immer ein Mensch zuschaut. Als wäre es keine Überwachung, wenn uns ein Computer analysiert. Was sagen Sie dazu?

Davy Wang: Das ist trotzdem auch eine Überwachung und auch ein Grundrechtseingriff. Wenn die Polizei durch ein KI-System personenbezogene Daten erfasst, ist es ein Eingriff in die Privatsphäre. Und diese Überwachung kann zu Ingewahrsamnahme und anderen Anschlussmaßnahmen führen.

netzpolitik.org: Müsste die Eingriffsschwelle für die Verhaltenserkennung nicht noch höher sein als die für Videoüberwachung? Immerhin ist es ja eine Art Videoüberwachung plus.

Davy Wang: Da würde ich definitiv zustimmen. Auch aus unserer Sicht ist die Eingriffsschwelle viel zu niedrig. Durch die Nutzung des KI-Systems und die automatisierte Auswertung enthält der Eingriff eine neue Qualität. Dabei hat das Bundesverfassungsgericht betont, dass automatisierte Auswertungen durch selbstlernende Systeme ein spezielles Eingriffsgewicht haben können, wenn die Entscheidungsfindung und Funktionsweise weder für die Betroffenen noch für die handelnde Behörde nachvollziehbar sind.

„Das kann diskriminierend wirken“

netzpolitik.org: Weil die Systeme menschliche Körper vor der Analyse in Vektoren umrechnen, also Hinweise auf Hautfarbe, Alter, Geschlecht entfernen, gelten sie nicht als diskriminierend. Was sagen Sie dazu?

Davy Wang: Das kann man nicht pauschal so sehen. Es gibt Berichte, dass unproblematisches Verhalten wie Liegen oder Taumeln erfasst wird. Das kann diskriminierend gegenüber bestimmten Personengruppen wirken. Und durch die Trainingsdaten kann ja auch ein Bias entstehen, dass dann Bewegungen bei bestimmten Gruppen eher falsch erkannt werden.

netzpolitik.org: Ein weiteres Argument für den Einsatz der Verhaltensanalyse ist die Effizienz. Führt die dann nicht automatisch zur Ausweitung – weil man mit den gleichen Kräften mehr Stadtgeschehen im Blick behalten kann?

Davy Wang: Das sehe ich als eine reale Gefahr. Die vermeintliche Effektivität kann dazu führen, dass immer mehr Orte die Technik einführen.

netzpolitik.org: Es heißt, letztlich entscheidet ein Mensch darüber, ob Einsatzkräfte zu einer Situation entsandt werden. Wie weit wird da die menschliche Verantwortung aufgelöst?

Davy Wang: Wenn der Mensch sich auf die Technik verlässt, neigt er dazu, ihren Empfehlungen zu folgen. Und die Entscheidungsfindung des KI-Systems ist für die Beamt*innen nicht nachvollziehbar, was ein Grundvertrauen in die Richtigkeit der Entscheidung begünstigt.

„Wir glauben, dass die Rechtsgrundlagen angreifbar sind“

netzpolitik.org: Welche Hebel hat die Zivilgesellschaft, um zu verhindern, dass die Technologie breit ausgerollt wird?

Davy Wang: Wir als GFF betreiben strategische Prozessführung. Eine Möglichkeit ist, wenn diese Systeme im Einsatz sind, dagegen zu klagen und zu versuchen, das zum Bundesverfassungsgericht zu bringen. Wir glauben, dass die Rechtsgrundlagen in mehreren Bundesländern angreifbar sind. Ansonsten kann man sich auch politisch engagieren. Durch Petitionen, durch Demonstrationen oder als Sachverständige im Gesetzgebungsverfahren. Was auch hilft, ist parlamentarische Kontrolle, beispielsweise mit Kleinen Anfragen.

netzpolitik.org: Was sagt die EU-KI-Verordnung zur Verhaltensanalyse?

Davy Wang: Die stuft sie als Hochrisiko-KI ein. Das bedeutet, es braucht eine Risikobewertung und Risikominderungsmaßnahmen, es gibt Sorgfalts‑, Berichts- und Aufsichtspflichten.

netzpolitik.org: Welche Rolle kann die Verhaltenserkennung bei der autoritären Wende spielen?

Davy Wang: Der Dual Use für Sicherheit und Kontrolle ist bei dieser Technologie systeminhärent. Die kann in demokratischen Staaten in engen Grenzen grundrechtsschonend eingesetzt werden, aber in autoritären Staaten auch dazu genutzt werden, marginalisierte Gruppen bei Protesten zu überwachen. Das richtet sich je nach Einsatzform aus.

netzpolitik.org: Zahlen zum Erfolg der Technologie werden nicht veröffentlicht. Kann es sein, dass hier vor allem getestet wird, ob sich so eine Überwachungsmaßnahme ohne größere Widerstände durchsetzen lässt?

Davy Wang: Das ist ein berechtigter Verdacht. Dazu passt auch, dass in keinem der Polizei-Gesetze eine unabhängige Evaluation der Verhaltenserkennung festgeschrieben ist.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.