Die Schufa möchte transparenter werden. Nach jahrelanger Kritik wie dem Vorwurf von manipulativen Geschäftspraktiken soll ein neuer, nachvollziehbarer Score die gewünschte Durchsicht für Nutzer*innen bringen.
Ist bald ein gelüftetes Geheimnis. – Alle Rechte vorbehalten IMAGO / imagebroker
Die Schutzgemeinschaft für allgemeine Kreditsicherung, besser bekannt unter seiner Abkürzung Schufa, führt ab März 2026 einen neuen Score ein. Dieser soll für mehr Transparenz sorgen. Seit dem 3. Dezember gibt es außerdem in einer Beta-Phase die Möglichkeit eines „Dateneinblicks“ in die bonitätsrelevanten Daten, die der Schufa vorliegen. Die Auskunftei stand bislang in der Kritik, Verbraucherschützer bezeichneten sie als „Blackbox“.
Die SCHUFA Holding AG ist ein privates Unternehmen mit Sitz in Wiesbaden, das Auskünfte über die Kreditwürdigkeit von über 65 Millionen Deutschen anbietet. Dritte wie Banken und Online-Händler können sich so über die prognostizierte Zahlungsmoral von möglichen Kund*innen informieren. Die Daten dafür erhält die Schufa ebenfalls von Banken, Kreditkartenunternehmen und Co., ihren rund 10.000 Vertragspartnern.
Eine entscheidende Rolle für diese Bonitätsabfrage spielt der Schufa-Score, der die Kreditwürdigkeit von Verbraucher*innen in einer Zahl zusammenfasst. Ursprünglich setzte sich die Punktzahl aus 250 Kriterien zusammen und ihre Berechnung blieb als Geschäftsgeheimnis unter Verschluss. Der neue Score soll nun auf nur noch zwölf Kriterien beruhen und für alle Verbraucher*innen nachvollziehbar sein. Zu den Kriterien gehören etwa das Alter der ältesten Kreditkarte oder Zahlungsstörungen. Zwischen 100 und 999 Punkte kann man dann bekommen.
„Automatisierte Entscheidung im Einzelfall“ ist grundsätzlich verboten
Im Dezember 2023 stufte der Europäische Gerichtshof das vorherige Scoring der Schufa als „eine von der DSGVO grundsätzlich verbotene ‚automatisierte Entscheidung im Einzelfall’“ ein, „sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen“. Außerdem entschied der Gerichtshof, dass private Auskunfteien wie die Schufa Daten aus öffentlichen Insolvenzregistern nicht länger als die Insolvenzregister selbst speichern dürfen, wie es vorher die Praxis war.
Die frühere Ampel-Regierung nahm Anfang 2024 neue Regeln zum Scoring durch Auskunfteien in ihre geplante Reform des Bundesdatenschutzgesetzes auf. Der Paragraph 37a sollte die Nutzung von Namen, Anschriften, personenbezogenen Daten aus Sozialen Netzwerken und die Aktivitäten von Bankkonten durch Scoringunternehmen unterbinden. Die Datenschutz-Novelle schaffte es vor dem Ende der Ampel-Koalition allerdings nicht durch den Bundestag. Eine Neuauflage der Reform durch die aktuelle Regierung steht noch aus.
Jahrelange Kritik
Neben Bedenken an der Schufa aus der Politik sind auch Datenschützer unzufrieden mit den Geschäftspraktiken der Schufa. Im Februar 2024 reichte die österreichische Nichtregierungsorganisation noyb eine Beschwerde und Anzeige gegen die Schufa bei der hessischen Datenschutzbehörde ein. Das Unternehmen manipuliere Kunden, die eine Datenauskunft wollen, zu einer kostenpflichtigen Variante, so der Vorwurf der Datenschützer damals. Martin Baumann, Datenschutzjurist bei noyb, fand dazu klare Worte:
Die DSGVO verlangt, dass Unternehmen alle Daten sofort, kostenlos, leicht zugänglich und transparent zur Verfügung stellen. Diese Anforderungen stehen im deutlichen Widerspruch zur aktuellen Geschäftspraxis, betroffenen Personen Ihre eigenen Daten zu verkaufen.
Die Schufa indes wies diese Vorwürfe immer zurück und betonte, die Vorgaben für die Erstellung von Datenkopien sogar überzuerfüllen.
Ab Ende März 2026 sollen alle Interessierten über einen Account ihren vereinfachten Score kostenlos abrufen und nachvollziehen können. Eine Sprecherin der Schufa bestätigte gegenüber der Süddeutschen Zeitung jedoch auch Pläne des Scoring-Dienstleisters, „meineSchufa-Abonnements“ und andere monetarisierbare Angebote in den neuen Schufa-Account einzubinden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Manipulatives Design im Netz ist seit langer Zeit ein Problem. Mit dem geplanten Digital Fairness Act will die EU-Kommission gegen solche Tricks vorgehen. Verbraucherschützer:innen, Forscher:innen und Regulierungsbehörden fordern einen grundlegenden Ansatz.
Manipulation im Internet ist weit verbreitet – und ein einträgliches Geschäft. – Alle Rechte vorbehalten IMAGO / Zoonar
Weite Teile des Internets, insbesondere wenn es um Geld geht, sind fein säuberlich gestaltet. Nicht nur von Techniker:innen oder Grafiker:innen, sondern vor allem von Psycholog:innen. Die Tech-Branche beschäftigt Heerschaaren speziell ausgebildeter Leute, die genau wissen, wie das menschliche Unterbewusstsein tickt – und wie es sich in Geld verwandeln lässt.
Oft setzen sie dabei auf manipulatives Design, auch bekannt als Dark Patterns. Sie sind seit langem Methode, durchziehen viele Online-Dienste und sollen Nutzer:innen beeinflussen: Der Zähler, der zum schnellen Kauf eines angeblich billigeren Flugtickets animieren soll; die verwirrend gestaltete Cookie-Abfrage, die im frustrierten Akzeptieren aller Partnerangebote endet; endloses Scrollen und automatisch abspielende Videos, um Nutzer:innen möglichst lange auf der Plattform zu halten.
Verantwortung nicht auf Nutzer:innen abwälzen
Solchen systemischen Problem will die EU im kommenden Jahr mit einem eigenen Gesetz begegnen, dem Digital Fairness Act. Es soll die Lücken schließen, die andere Gesetze offenlassen, etwa das Gesetz über digitale Dienste (DSA) oder sonstige Regeln zum Verbraucherschutz.
Über 4.000 Stellungnahmen sind dabei bei der EU-Kommission eingegangen. Einer der Ausgangspunkte war ein „Fitness Check“ der Kommission aus dem Vorjahr. In dem Bericht hat sie potenzielle Lücken bestehender Gesetze im Digitalbereich untersucht und dabei Nachholbedarf festgestellt. Sonst drohe, dass die digitale Wirtschaft das EU-Verbraucherschutzrecht aushöhlt. Bereits jetzt soll sich der Schaden auf mindestens acht Milliarden Euro pro Jahr belaufen, schätzt die Kommission.
„Grundlegende Neujustierung“ gefordert
Mit der Materie vertraute Organisationen teilen diese Sicht. So stelle die zunehmende Digitalisierung sowohl die Wirksamkeit des europäischen Verbraucherrechts als auch das Vertrauen, das für ein faires Miteinander auf Märkten notwendig sei, auf eine „harte Probe“. Das schreibt der Verbraucherzentrale Bundesverband (vzbv) in einem ausführlichen Positionspapier zum geplanten Digitalgesetz. Entsprechend sei es mit kleinen Anpassungen nicht getan. Nötig sei eine „grundlegende Neujustierung des europäischen Verbraucherrechts“, mahnt der vzbv.
Zum einen soll das mit dem Verbot oder der Einschränkung einzelner manipulativer Praktiken gelingen, etwa mit einem Verbot von „domain- und geräteübergreifendem Tracking“. Auch das „Zusammenführen gesammelter Daten in Profilen zu Werbezwecken“ solle verboten werden. Bei personalisierten Angeboten oder Preisen sei mindestens mehr Transparenz notwendig, so die Verbraucherschützer:innen.
Darüber hinaus brauche es aber eine „Generalklausel für digitale Fairness by Design und by Default auf allen verbraucherrelevanten Online-Schnittstellen wie Webseiten oder Apps“, argumentiert der Verband. Vor allem im digitalen Bereich seien Unternehmen gegenüber Nutzer:innen „ganz überwiegend im Vorteil“. Mit Hilfe von Tracking und Big Data könnten Algorithmen unser Verhalten analysieren, unsere Vorlieben berechnen und Kaufimpulse anreizen, die gegen die eigenen Interessen gehen können, heißt es im Positionspapier.
Betrugsversuche im Netz steigen an
Für einen „holistischen Ansatz“ wirbt auch BEREC, der Dachverband europäischer Regulierungsstellen für Telekommunikation. Die Behörde hat in den vergangenen Jahren diverse Aspekte der digitalen Ökonomie untersucht. Neben der zunehmenden Nachfrage nach breitbandigen und vor allem mobilen Internetverbindungen sei demnach ein „signifikanter Anstieg betrügerischen Datenverkehrs und Betrugsversuche“ zu beobachten, schreibt BEREC über die aus seiner Sicht wichtigsten Entwicklungen der jüngeren Vergangenheit.
Dieser Trend dürfte sich fortsetzen. Bei der Behebung von Schutzlücken müsse die EU jedoch sorgsam vorgehen, fordert der Dachverband. Neben horizontalen, für alle Anbieter geltenden Regeln zum Verbraucherschutz stünden sektorspezifische Vorschriften, die weiter ihre Berechtigung hätten. Neue Regeln müssten deshalb „komplementär“ ausgestaltet sein und eine Doppelung oder gar Konflikte mit bestehenden Gesetzen vermeiden.
Dies dürfte im Interesse der EU-Kommission sein. Die hat sich für die laufende Regierungsperiode einen drastischen Abbau von Bürokratie und generell Deregulierung vorgenommen, um die europäische Wirtschaft anzukurbeln. Eine florierende Ökonomie und Verbraucherschutz gehen aus Sicht von BEREC allerdings Hand in Hand. Demnach könnten auf Online-Dienste ausgerichtete, „klare, vorhersehbare und durchsetzbare Rechte“ Vertrauen fördern, und damit auch „Wettbewerb und Innovation“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
TikTok, Instagram und Facebook lassen Forschende nicht ausreichend an ihre Daten heran. Und bei Instagram und Facebook ist das Melden von Inhalten zu schwer. Das hat die EU-Kommission festgestellt und fordert Nachbesserungen – sonst drohen Geldstrafen.
Schnell und einfach sollen Instagram-Nutzende in der EU Inhalte melden können. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Claudio Schwarz
Im Frühjahr 2024 hat die EU-Kommission die jeweils ersten Verfahren nach dem Gesetz über digitale Dienste (DSA) für Meta (Instagram, Facebook) und für TikTok eröffnet. Seitdem hat die Behörde vorläufig mehrere Verstöße festgestellt, etwa im Bereich des Jugendschutzes und der Desinformation vor Wahlen. Heute hat sie weitere Untersuchungsergebnisse geteilt.
Alle drei Plattformen – also TikTok, Instagram und Facebook – setzen demnach den Zugang zu Daten für Forschende nicht ausreichend um. Es sei sehr umständlich, die Daten zu beantragen und es gebe Probleme im Überprüfungsprozess der Forschenden. Und auch wenn die Daten bereitgestellt würden, seien diese oft unvollständig und nicht zuverlässig. Ähnliche Punkte hatte die Kommission bereits vor einem Jahr bei X bemängelt. Laut DSA ist die Kommission die zuständige Aufsichtsbehörde für „sehr große Plattformen“ (VLOPs).
Die weiteren der heute vorgestellten Ergebnisse betreffen nur Instagram und Facebook. Die Meldewege seien zu kompliziert, sagte eine Kommissionsbeamtin heute in einem Pressebriefing. Wenn Nutzende auf den Plattformen auf illegale Inhalte stoßen, etwa die Darstellung von Missbrauch oder Betrugsmaschen, sollen sie diese selbst möglichst einfach bei den Plattformen melden können. Der DSA will so die Nutzendenrechte stärken und ein System schaffen, das sich quasi “selbst reinigt”.
Manipulative Designs beim Meldeweg
Doch in der Realität sei der Weg so anspruchsvoll und lang, dass viele Nutzende die Meldungen abbrechen würden, heißt es aus der Kommission. Außerdem kämen hier manipulative Designs zum Einsatz. Das bedeutet, dass Meldewege etwa irreführend oder kompliziert gestaltet sind, zum Beispiel über schwer auffindbare Buttons oder unnötig viele Klicks.
In der Folge würden Inhalte nicht gemeldet, Plattformen also nicht darauf aufmerksam gemacht, und es könnten entsprechend auch keine Maßnahmen ergriffen werden, um die Inhalte zu entfernen. Hierzu hätten die Kommission viele Beschwerden erreicht. Es sei klar, dass Meta hier nachbessern müsse.
Darüber hinaus kritisiert die Kommission den Mechanismus zum Umgang mit Beschwerden zur Inhaltsmoderation. Wenn Plattformen Inhalte oder Accounts sperren, können sich betroffene Nutzende an die Plattformen wenden und Beschwerde einreichen. Allerdings laufe auch das bei Meta nicht zufriedenstellend ab, so die Kommission. Zum Beispiel sei es nicht möglich, in der Kommunikation mit den Plattformen Dokumente anzuhängen, um etwa zu beweisen, dass eine Facebook-Seite einem selbst gehöre. In der Konsequenz würden Beschwerden nicht beantwortet.
So geht es jetzt weiter
Meta und TikTok können nun die Dokumente der Kommission einsehen und schriftlich auf die Kritikpunkte antworten – etwas, das nach Einschätzung der Kommissionsbeamtin zwei bis drei Monate in Anspruch nehmen könne. Im nächsten Schritt soll es weitere Gespräche zwischen Kommission und betroffenen Unternehmen geben. Die Hoffnung der Kommission dabei ist, dass die Plattformen ihre Mechanismen anpassen und damit die Vorgaben des DSA erfüllen.
Sollte dies nicht passieren, könnte die Kommission abschließend feststellen, dass sich die Plattformen nicht an den DSA halten und eine Geldstrafe verhängen – in Höhe von bis zu sechs Prozent des jährlichen weltweiten Umsatzes. Auch dann hätten die Plattformen noch die Möglichkeit, diese Entscheidung vor Gericht anzufechten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Tech-Gigant Meta will Daten, die Nutzer*innen in seinen Chatbot eingeben, künftig auslesen und speichern. Damit sollen Anzeigen treffsicherer personalisiert werden. Es gibt nur einen Weg, sich der Datensammlung zu entziehen.
Unterhaltungen mit dem Meta-Chatbot sind nicht privat – Alle Rechte vorbehalten IMAGO / NurPhoto
Den Meta-Chatbot können Menschen über Instagram, Whatsapp und Facebook ansprechen. Laut Meta nutzen ihn monatlich mehr als eine Milliarde Menschen. Viele davon teilen intime Informationen mit der Software.
Die Gespräche, die Menschen mit der sogenannten Künstlichen Intelligenz führen, will Meta künftig auslesen und speichern. Damit sollen Anzeigen treffsicherer personalisiert werden und die Daten sollen auch beeinflussen, welche Posts Nutzer*innen in den Sozialen Netzwerken angezeigt bekommen. Das erklärte Meta gestern in einem Blogpost. Der Konzern behält sich dabei vor, die Informationen aus den Gesprächen in allen seinen Produkten zu nutzen.
Ein Beispiel nannte der Konzern direkt: Wer sich mit der KI etwa übers Wandern unterhalte, bekomme danach womöglich Empfehlungen für Wandergruppen, Wanderstrecken von Bekannten und Werbung für Wanderschuhe angezeigt.
Auch sensible Konversationen werden ausgelesen
Meta gibt zwar an, sensible Konversationen über religiöse Ansichten, die sexuelle Orientierung, politische Meinungen, Gesundheit und ethnische Herkunft nicht für personalisierte Werbung nutzen zu wollen, die Daten werden aber dennoch mit ausgelesen.
Die neue Regelung will Meta ab dem 16. Dezember umsetzen, allerdings zunächst nicht in der EU und Großbritannien. Dort solle das Feature später ausgerollt werden, weil die hiesigen Datenschutzbestimmungen strenger seien. Für das KI-Training werden die Chatprotokolle in Europa wohl schon genutzt.
Seit Juni ist bereits bekannt, dass Meta mit Hilfe von KI Anzeigen erstellen will. Werbetreibende müssen dann nur ein Produktbild und ein Budget vorgeben. Meta möchte durch diese Investitionen die größte Einnahmequelle Werbung noch rentabler machen. Hier bieten sich auch Spielräume für individuelle Personalisierung von Anzeigen – anhand der mit dem Chatbot erhobenen Daten.
Die Nutzer*innen können einstellen, in welchem Ausmaß die ihnen ausgespielte Werbung personalisiert werden soll, aber es gibt keine Möglichkeit, sich gegen die Datenerfassung zur Personalisierung zu wehren – außer, den Chatbot nicht zu nutzen. In Whatsapp kann es allerdings sein, dass andere Nutzer*innen ihn zu einer Konversation hinzuziehen. Das lässt sich mit der Funktion „erweiterter Chat-Datenschutz“ verhindern. Oder mit dem Verzicht auf die datensammelwütige App zugunsten von datensparsamen Alternativen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Sie versprechen ihren Opfern das große Geld, doch dann ist alles weg: Vermeintliche Online-Investmentplattformen betrügen Menschen um Millionen. Den Drahtziehern auf die Schliche zu kommen, ist schwierig. Eine Recherche hat neue Informationen zu einem Betrugsnetzwerk aufgedeckt.
Schnell reich mit Online-Investmentplattformen? – Alle Rechte vorbehalten Spoovio für Investigate Europe
Im Sommer 2020 klickte Anna Leitner auf eine Online-Anzeige. Die erweckte den Anschein, als würde Red-Bull-Gründer Dietrich Mateschitz ein bislang kaum bekanntes, aber garantiert sicheres Investment-Geheimnis verraten. Die Sekretärin einer Grazer Hochschule folgte dem Link, registrierte sich auf einer Plattform namens PrimeOT und bekam wenige Tage später eine Mail von ihrem vermeintlichen persönlichen Finanzberater.
Schnell wurde der Kontakt vertraulich. Der Mann habe von seinen Wochenenden mit Frau und Kindern erzählt, erinnert sich Leitner heute. Bereits Anfang September 2020, kurz nach dem ersten Telefonat, forderte er sie zur ersten Überweisung auf: 10.000 Euro.
In den Monaten darauf gab der Berater vor, für Leitner das Geld in Kryptowährungen zu investieren. Zunächst wuchsen die Gewinne und mit ihnen die Einsätze. „Es ging schnell darum, ob ich nicht noch mehr Geld auftreiben könnte“, sagt Leitner. In den wenigen Monaten bis zum Jahreswechsel 2021 hatte sie fast 30.000 Euro überwiesen.
Was Leitner damals nicht wusste: Dietrich Mateschitz warb nicht wirklich für das Investment, und ihr angeblicher Finanzberater war keiner. Er arbeitete nicht für eine seriöse Plattform, sondern mutmaßlich für ein Callcenter auf dem Balkan und war so Teil einer millionenschweren Betrugsmasche. Und sie war längst nicht das einzige Opfer.
„Ich besorge dir drei Häuser in Spanien“
Ob PrimeOT oder anders, die Namen der einzelnen Portale wechseln, auch wenn einige von ihnen aus dem gleichen Netzwerk stammen. Gemeinsam ist ihnen die Masche, mit der sie Menschen hereinlegen: Zunächst ködern die Betrüger neue Opfer mit Google- oder Meta-Anzeigen. Nach der Registrierung beginnt sofort der Druck.
Ende 2017 klickte Malcolm, ein teilpensionierter Manager aus der Ölindustrie im Nordosten Englands, auf eine Google-Anzeige von Greenfields Capital. Nach einer ersten Investition von 500 Pfund rief ihn am nächsten Tag ein Broker an, und drängte ihn, 34.000 Pfund einzuzahlen.
„Er versprach mir, das Geld innerhalb einer Woche zu verdoppeln und die Gewinne direkt in mein Bankkonto zu zahlen“, erinnert sich Malcolm. „Natürlich kam nichts zurück.“ Alarmiert durch seinen plötzlichen Verlust, schaute sich Malcolm die Firma genauer an. Bald erkannte er, dass die Londoner Adresse auf der Website gefälscht war.
John, ein 64-jähriger Bauunternehmer aus Schottland, stieß 2018 auf eine Anzeige für FX Trade Market. Die Website prahlte mit angeblicher Unterstützung der britischen Version der Fernsehshow Höhle der Löwen, Dragon’s Den.
Der Broker, der ihn anrief, war charmant und glaubwürdig, erinnert sich John. Von dem Geld wollte er eigentlich ein Haus in Spanien kaufen. Heute erzählt John: „Er sagte mir: Ich besorge dir drei Häuser in Spanien.“ Zwischen 2018 und 2019 überwies er 25.000 Pfund und überzeugte sogar seine Tochter zu investieren. Online wuchs sein Portfolio scheinbar auf 130.000 Pfund. Doch eines Tages war alles verschwunden. „Als ich niemanden mehr erreichen konnte, hat mich das Jahre meines Lebens gekostet.“
Razzia im Callcenter
In Belgrad, keine 500 Kilometer von Graz entfernt, wirkte das Callcenter Olympus Prime eher wie ein florierendes Tech-Start-up. Untergebracht in einem modernen Gebäude in einem aufstrebenden Geschäftsviertel von Belgrad, teilte sich die Firma die Adresse mit einem chinesischen Kulturzentrum und einem gehobenen Hotel. Doch als die serbische Polizei an einem regnerischen Morgen im Januar 2023 die Räume des Callcenters betrat, stieß sie auf die Schaltzentrale eines internationalen Betrugsnetzwerks.
„Die Büros sahen vollkommen normal aus, wie in jedem gewöhnlichen Unternehmen, viele Schreibtische, Stühle und Computer“, sagt der Leiter der Abteilung High-Tech-Kriminalität der serbischen Staatsanwaltschaft, Boris Majlat. Ihn überraschte auch, dass sich die rund 50 Mitarbeiter nicht rührten, obwohl bewaffnete Beamten die Räume durchsuchten. Tatsächlich waren sie auf solche Situationen vorbereitet worden: In einem bei der Razzia beschlagnahmten Trainingsvideo erklärten Manager ihren Angestellten, wie sie sich bei einer Polizeikontrolle verhalten sollten. „Sagen Sie, sie bieten nur Schulungsmaterial an“, hieß es, „nicht mehr.“
Die Razzia war Teil eines sogenannten Aktionstages von Europol. Unter Leitung der Staatsanwaltschaft Stuttgart und des Landeskriminalamts Baden-Württemberg durchsuchten Beamte mehr als 20 Standorte in Serbien, Bulgarien und Zypern. Neben Olympus Prime stürmten Ermittler allein in Belgrad drei weitere Callcenter. Von dort aus kontaktierten Callcenter-Agenten ihre Opfer mutmaßlich überall in Europa. Mit falschen Namen, Identitäten und einstudierten Verkaufsargumenten soll sich die Mitarbeiter als Broker ausgegeben haben, um Vertrauen aufzubauen und den Opfern ihr Geld abzunehmen. Fast 300 Personen wurden festgenommen.
Investment-Betrüger bringen Jahr für Jahr alleine in Deutschland Opfer um mehr als eine Milliarde Euro, schätzt ein führender Ermittler im Gespräch mit Investigate Europe. In Österreich ist die Masche mit den vermeintlichen Online-Investmentplattformen inzwischen das größte Betrugsphänomen. Jedes Jahr verlieren Österreicherinnen und Österreicher wie Anna Leitner so einen hohen Millionenbetrag.
Alleine das Netzwerk, in deren Callcenter die Beamten Anfang 2023 stürmten, soll laut dem LKA Baden-Württemberg weltweit über 70.000 Menschen getäuscht haben, darunter 2.000 Menschen in Deutschland. Die Täter sollen dabei schätzungsweise 250 Millionen Euro mit Anlagebetrug wie dem vermeintlichen Krypto-Handel eingestrichen haben, fast 50 Millionen davon in Europa.
In Belgrad hat die Staatsanwaltschaft nun 21 Personen angeklagt für ihre Beteiligung an dem Betrugsnetzwerk. Das Gericht muss die Anklage noch annehmen. Die mutmaßlichen Drahtzieher blieben für die Behörden bislang im Dunkeln.
Diese Recherche von Investigate Europe und des Balkan Investigative Reporting Network (BIRN), die auch bei netzpolitik.org erscheint, zeigt, wie der Geschäftsmann Eliran Oved und seine Frau Liat Kourtz Oved aus Tel Aviv über ein Geflecht von Briefkastenfirmen und Strohmännern mutmaßlich im Zentrum des Netzwerks stehen.
Die Spur der Oveds
Auf Social Media wirken die Oveds wie eine erfolgreiche Familie: Sie posten Fotos von exotischen Urlauben und Kostümpartys. Eliran Oved besitzt zugleich den israelischen Fußballverein Bnei Yehuda. Kürzlich zeichnete der israelische Präsident Oved sogar aus für das soziale Engagement seines Klubs.
Doch hinter dieser Fassade läuft offenbar ein lukratives Geschäft jenseits der Stadien und Preisverleihungen. Oved ist wegen Geldwäsche vorbestraft und betrieb eine illegale Glücksspiel-Website. Dafür saß er ein Jahr im Gefängnis. Diese Recherche zeigt, wie er und seine Frau mit den mutmaßlichen Scam-Callcentern verbunden sind. Über sechs Monate wertete das Recherche-Team Dutzende Handelsregister-Dokumente aus und legte die geschäftlichen Verbindungen der Oveds zum mutmaßlichen Millionenbetrug offen. Eliran Oved und Liat Kourtz Oved selbst ließen eine umfangreiche Anfrage zu den Vorwürfen unbeantwortet.
Das im Januar 2023 gestürmte Callcenter, Olympus Prime, gehört einem engen Vertrauten der Oveds. Auch die drei weiteren durchsuchten Callcenter lassen sich mit dem Paar in Verbindung bringen. Von den Büros aus sollen die Callcenter-Agenten Produkte von Marken angeboten haben, deren Spur zu den Oveds und ihren Geschäftspartnern führt.
Zu diesen Trading-Plattform-Marken gehören FXVC, Greenfields Capital und PrimeOT, jene Plattform, auf der die Grazer Sekretärin Anna Leitner knapp 30.000 Euro investierte. Inzwischen sind alle Webseiten offline.
Aus den Callcentern, die in Verbindung zum Oved-Netzwerk stehen, sollen Mitarbeiter Menschen in Deutschland, der Schweiz, Großbritannien und Irland betreut haben, aber auch Menschen in Kanada und Australien. Investigate Europe und BIRN liegt eine Opferliste vor, die bei der Durchsuchung bei Olympus Prime sichergestellt worden ist. Darauf sind Verluste einzelner mutmaßlicher Opfer vermerkt, von wenigen hundert bis hin zu mehr als einer Million Euro.
Leeds United, Strohmänner und Sponsorenverträge
Einer der bekanntesten Betrugsmarken, FXVC, wurde 2020 sogar offizieller Partner des britischen Fußballklubs Leeds United. Dokumente, die Investigate Europe und BIRN vorliegen, legen nahe, dass FXVC aus den Räumen von Olympus Prime betrieben wurde. Der Premier-League-Deal verschaffte riesige Sichtbarkeit im britischen Markt: Das Logo prangte im Stadion, Millionen Zuschauer sahen es wöchentlich. Im April 2021 entzog die britische Finanzaufsicht FCA FXVC schließlich die Lizenz wegen „irreführender Finanzwerbung“.
Auf dem Papier gehörte FXVC einer zypriotischen Holding, die vorgeblich von Strohmännern geleitet wurde. Tatsächlich findet sich in den Bilanzen ein anderer Name als ultimativ wirtschaftlich Berechtigte: Kourtz Oved. Dieses Muster zeigte sich immer wieder. Offiziell gehören diverse Unternehmen Geschäftspartnern der Oveds. Doch gesteuert wurden diese offenbar von dem Paar.
Zu den wichtigsten Strohmännern gehörten der zypriotische Ex-Fußballer Nikos A., die bulgarische Anwältin Vera A. und Miloš R., ein Serbe mit bulgarischem Pass. Keine dieser Personen antwortete auf Anfragen zu den Vorwürfen. R. ist derzeit in Serbien wegen des Verdachts auf Geldwäsche angeklagt. Zusammen führten die drei als Direktoren fünf Oved-Firmen und hielten Anteile an 14 weiteren Unternehmen des Netzwerks.
Belgrader Vertriebsbüros
Im Gegensatz zu ihren Opfern sollen die Callcenter-Broker in Belgrad satt verdient haben. Verglichen mit dem serbischen Durchschnittsgehalt von rund 900 Euro im Monat gehörten die Mitarbeiter mit ihren Grundgehältern und Boni zu den Topverdienern des Landes. Manche kassierten monatliche Provisionen von 60.000 bis 80.000 Euro.
Im Olympus-Prime-Callcenter sollen fünf Teams rund um die Uhr gearbeitet haben, aufgeteilt nach Sprache und Region. Das deutschsprachige Team „Panzer“ soll sich um Opfer in Deutschland, Österreich und der Schweiz gekümmert haben, andere Teams kümmerten sich um Skandinavien und den englischsprachigen Raum. Interne Chats, die die Polizei sicherstellte, zeigen die Verachtung gegenüber den Kunden: „Idioten“, hieß es in einem Chat. Als ein Opfer 40.000 Euro investieren wollte, schrieb ein Kollege: „Super, schnapp’s dir!“
Die Mitarbeiter sollen länderspezifische Decknamen wie „Jack Weiss“ oder „James Eastwood“ genutzt haben. Ihre Kunden lockten sie offenbar zunächst mit kleinen, scheinbar realen Gewinnen, dann drängte sie diese zu immer höheren Einzahlungen.
Die serbische Staatsanwaltschaft beschreibt Olympus Prime als ein hierarchisches Unternehmen. An der Spitze sollen israelische Manager gestanden haben, das Tagesgeschäft leiteten serbische Führungskräfte, am Telefon arbeiteten lokale Agenten. Offizieller Eigentümer: Nikos A., der Ex-Fußballer und Strohmann der Oveds.
„Wir haben es nicht mit Amateuren zu tun. Das ist organisierte Kriminalität. Wenn wir nicht reagieren, verlagern sie den Standort einfach und machen weiter“, warnt der serbische Staatsanwalt Boris Majlat, der in dem Fall ermittelt.
„Wenn wir nichts tun, ziehen sie einfach weiter“
Trotz der Festnahmen Anfang 2023 sind viele Schlüsselfiguren noch immer auf freiem Fuß. Majlat sagt: „Wir haben es mit transnationalem, krypto-basiertem Betrug zu tun, aber die Gerichte behandeln es wie einen normalen Fall.“ Er fordert spezialisierte Einheiten. „Ohne diese können wir nicht gewinnen.“
Seit 2019 leitet der Bamberger Staatsanwalt Nino Goldbeck eine Ermittlungsstelle für den Investment-Betrug. Über die Arbeit sagt er, „Wenn wir ein Callcenter mit 200 Beschäftigten durchsuchen, landet davon nur ein Bruchteil in Haft“. Gründe dafür seien Ressourcenknappheit, Priorisierungsfragen sowie unterschiedliche Rechtsrahmen. Die Bamberger Ermittler ließen seit 2019 europaweit 15 Durchsuchungen durchführen. Bisher wurden ungefähr 80 Personen abschließend rechtskräftig verurteilt.
In Serbien laufen die Ermittlungen weiter. Mit führenden Verdächtigen im Ausland und vielen Jurisdiktionen sei es aber extrem schwer, Recht durchzusetzen. Zu den Oveds selbst wollte die Staatsanwaltschaft „keinen Kommentar“ abgeben.
In Deutschland hat inzwischen die Generalstaatsanwaltschaft in Karlsruhe das Verfahren an sich gezogen. Fünf Jahre nach den mutmaßlichen Taten und mehr als zwei Jahre nach den Durchsuchungen in Serbien, Bulgarien und Zypern hat diese noch immer keine Anklage erhoben. Die zuständigen Staatsanwälte äußern sich zu dem laufenden Verfahren nicht.
Gegen die Oveds und deren mutmaßliche Strohmänner wurde bisher keine Anklage erhoben wegen Straftaten im Zusammenhang mit dem serbischen Callcenter-Betrug, der in diesem Artikel geschildert wird.
Viele Opfer kämpfen noch immer mit den Folgen. Manche wollten gar nicht reden, aus Angst, erneut ins Visier zu geraten. Andere sagten, die Erinnerungen seien zu schmerzhaft. Auch Anna Leitner fällt es nicht leicht, darüber zu sprechen, wie sie ihr Erspartes über die vermeintliche Investment-Plattform PrimeOT verlor.
„Die haben mich rausgeschmissen“
Binnen vier Monaten hatte Leitner fast 30.000 Euro investiert. Im Januar 2021 erkannte sie, dass sie in eine Betrugsmasche geraten war. Da war es zu spät. „Ich wollte mein Geld ausgezahlt bekommen“, erinnert sich Leitner heute. Doch ihr vermeintlicher Finanzberater habe nur Ausreden präsentiert. In einer E-Mail bat sie ihn um ein Gespräch. Doch der Mann, der bis dahin auch mal von seiner Familie geplaudert hatte, meldete sich nicht mehr. Kurz darauf konnte Leitner sich nicht mehr auf der Investment-Webseite einloggen. Heute sagt sie: „Die haben mich rausgeschmissen.“
„Dann wurde mir klar, dass ich Scheiße gebaut habe“, sagt Leitner. Mit einer Berliner Anwaltskanzlei versuchte sie im März 2021, ihr Geld zurückzuholen. Doch alle Bemühungen liefen ins Leere. Im Herbst 2023 schrieb ihr Anwalt, dass „trotz unserer Bemühungen, Beschwerde und Übersendung weiterer Ermittlungsansätze“ die Staatsanwaltschaft Graz „die Ermittlungen gegen die PrimeOT eingestellt hat“. Auf Nachfrage bestätigt die Staatsanwaltschaft Graz die Einstellung des Verfahrens.
Trotz allem expandieren die Oveds unterdessen weiter. Unlängst brachten sie über eine Offshore-Gesellschaft neue Marken auf den Markt: Klips.com und 50K.trade.
Dieser Artikel ist der erste Teil der Recherche „Scam Europe“, die vom Balkan Investigative Network (BIRN) geleitet wurde sowie von Investigate Europe, einem Journalistenteam, das länderübergreifend arbeitet. Die Recherche wird gemeinsam mit Medienpartnern in acht Ländern veröffentlicht, darunter auch Altreconomia, Balkan Insight, EU Observer, The Irish Times, La Libre, Público sowie Der Standard. Dieses Projekt wurde unterstützt von IJ4EU (Investigative Journalism for Europe).
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte soll das Herzstück der Gesundheitsdigitalisierung sein – ein zentraler Speicher für Diagnosen, Rezepte und Befunde, leicht zugänglich für Versicherte. Ab dem 1. Oktober müssen alle Praxen, Apotheken und Krankenhäuser die digitale Akte nutzen. Doch der ePA-Start stockt gewaltig.
Die elektronische Patientenakte gilt als Herzstück der digitalen Gesundheitsversorgung. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Olivier Collet
Die elektronische Patientenakte (ePA) erreicht einen neuen Meilenstein: Ab dem 1. Oktober sind alle Praxen, Krankenhäuser und Apotheken gesetzlich dazu verpflichtet, die ePA zu nutzen und dort Diagnosen, Behandlungen und Medikationen zu hinterlegen. Wer das nicht tut, muss schon bald mit Sanktionen wie Honorarkürzungen rechnen.
Während der Einführungsphase seit Jahresbeginn war die Nutzung der ePA für alle Leistungserbringer noch freiwillig. Seit Januar haben die Krankenkassen für alle gesetzlich Versicherten, die nicht widersprachen, eine digitale Akte angelegt. Zeitgleich startete in Hamburg, Franken und Teilen Nordrhein-Westfalens die Pilotphase, um die Anwendung zu testen. Ab Ende April wurde die ePA dann schrittweise bundesweit ausgerollt.
Trotz des mehrmonatigen Vorlaufs ist die digitale Patientenakte noch längst nicht im Alltag der medizinischen Versorgung angekommen. Unklar ist nicht nur, wie gut die ePA gegen Cyberangriffe geschützt ist, sondern auch die technische Umsetzung in vielen Praxen und Kliniken stockt. Zudem nutzt bislang nur ein Bruchteil der Versicherten die ePA aktiv, obwohl sie als patientenzentrierte Akte konzipiert ist.
Alles sicher?
Das Bundesgesundheitsministerium (BMG) hält dennoch am Fahrplan fest. Mit Blick auf die Sicherheit verweist das Ministerium auf Anfrage von netzpolitik.org auf das Maßnahmenpaket, das bereits zum Rollout im Mai umgesetzt worden sei. So seien unter anderem Sicherheitslücken geschlossen sowie „Monitoring und Anomalie-Erkennung“ ausgeweitet worden. Gezielte Angriffe auf einzelne Akten seien zwar nie ausgeschlossen, so das Ministerium weiter. „Ein solcher Angriff ist jedoch mehrschichtig und hat eine Vielzahl an Hürden.“ Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt das „verbleibende Restrisiko“ auf Nachfrage „nach wie vor als technisch beherrschbar ein“.
Die Sicherheitsforscherin Bianca Kastl zeigt sich hier allerdings deutlich skeptischer. Ihr reichen die bisherigen Maßnahmen nicht aus, um Vertrauen in die Sicherheit der ePA zu haben. Gegenüber netzpolitik.org kritisiert Kastl „intransparente Anpassungen im Hintergrund, keine Aufklärung über Restrisiken, nicht einmal ausreichende Kommunikation innerhalb der Gematik, speziell im Kontext der elektronischen Ersatzbescheinigung“. Diese Ersatzbescheinigung ist dann relevant, wenn Patient:innen ihre elektronische Gesundheitskarte nicht dabei haben oder diese nicht eingelesen werden kann.
Kastl, die bei netzpolitik.org regelmäßig eine Kolumne schreibt, verweist bei den Anpassungen auf ein Angriffsszenario, das sie gemeinsam mit Martin Tschirsich im Dezember vergangenen Jahres demonstriert hatte – nur zwei Wochen vor der Pilotphase. Zum bundesweiten Rollout der ePA wenige Monate darauf hatte der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) zwar versichert, dass die Patientenakte sicher sei. Doch prompt gelang es Kastl und Tschirsich erneut, den erweiterten Schutz der ePA auszuhebeln.
Kastl fordert, dass es „eine unabhängige und belastbare Bewertung der demonstrierten Sicherheitsrisiken, eine transparente Kommunikation von Risiken gegenüber Betroffenen sowie einen offenen Entwicklungsprozess über gesamten Lebenszyklus der ePA“ geben müsse.
Stockender Start in den Praxen
Darüber hinaus kämpfen viele Arztpraxen mit erheblichen technischen Problemen bei der ePA-Implementierung. Die Bundesvorsitzende des Hausärztinnen- und Hausärzteverbandes, Nicola Buhlinger-Göpfarth, sieht hier vor allem die Anbieter der Praxisverwaltungssysteme (PVS) in der Verantwortung. „Während manche von ihnen ihre Hausaufgaben gemacht haben, funktioniert bei anderen wenig bis nichts“, sagt Buhlinger-Göpfarth gegenüber netzpolitik.org. Ihr Verband vertritt die Interessen von bundesweit mehr als 32.000 Mitgliedern, die in der hausärztlichen Versorgung tätig sind.
Derzeit fehlen in einem Fünftel der Praxen bundesweit die erforderlichen Softwaremodule, sagt auch Sibylle Steiner. Sie gehört dem Vorstand der Kassenärztlichen Bundesvereinigung (KBV) an. Von einigen Anbietern für Praxisverwaltungssysteme wisse man, dass das ePA-Modul im vierten Quartal nachgeliefert werden solle, so Steiner, „von anderen Herstellern haben wir gar keine Rückmeldung“.
In einer Online-Umfrage der KBV gaben drei Viertel der Praxen, welche die digitale Patientenakte bereits nutzen, an, im August technische Probleme gehabt zu haben. Oft sei der Zugriff auf die ePA nicht möglich gewesen oder es konnten keine Dokumente hochgeladen werden. Auf der Vertreterversammlung der KBV Mitte September kritisierte Sibylle Steiner die „vollkommen inakzeptable Performance“ der TI-Betriebsstabilität.
Das BSI widerspricht dieser Darstellung und verweist auf die Zahlen der Gematik. Demnach habe die ePA im August einen Verfügbarkeitswert von 99,95 Prozent erreicht und damit eine Rate „im angestrebten Bereich“ erzielt. Das BSI verlangt für kritische Infrastrukturen Werte zwischen 99 bis 99,9 Prozent. Und auf Anfrage von netzpolitik.org schreibt die Gematik, dass eine ePA-Störung in der Regel nicht alle Versicherten und Einrichtungen gleichermaßen treffe. Vielmehr seien meist einzelne Komponenten gestört, die im Zusammenspiel mit der ePA wirken.
Krankenhäuser noch weiter abgeschlagen
Noch verfahrener ist die Lage offenbar in den Krankenhäusern. Die Deutsche Krankenhausgesellschaft (DKG) geht auf Anfrage von netzpolitik.org davon aus, dass „ein Großteil der Krankenhäuser zum 1. Oktober technisch noch nicht in der Lage sein wird, die ePA vollumfänglich zu nutzen“.
Nur gut ein Fünftel aller Kliniken hat laut einer Umfrage von Mitte August die ePA-Inbetriebnahme abgeschlossen oder plant dies bis zum Jahresende zu tun. Die Mehrheit von ihnen erwartet frühestens im ersten Quartal 2026 einen flächendeckenden Einsatz.
Als Gründe nennt die DKG die „hohe Komplexität der Inbetriebnahme“ sowie unausgereifte ePA-Module der IT-Hersteller. Krankenhausinformationssysteme (KIS) seien komplexer als etwa Systeme, die in kleineren Praxen eingesetzt werden, die Bereitstellung der Dokumente sei arbeitsaufwändig.
KIS führen unterschiedliche Funktionalitäten zusammen. Mit ihnen lassen sich Patient:innendaten verwalten, medizinische und pflegerische Prozesse dokumentieren und steuern sowie die Zusammenarbeit zwischen verschiedenen Fachabteilungen koordinieren.
Welche Sanktionen drohen?
Es ist unklar, wann Praxen und Krankenhäuser genau mit Sanktionen rechnen müssen, wenn sie nicht rechtzeitig über das ePA-Modul verfügen.
Grundsätzlich müssen Praxen ab dem vierten Quartal schrittweise Sanktionen befürchten, Krankenhäuser ab dem 1. März 2026. Dazu zählen Kürzungen beim gesetzlichen Krankenkassen-Honorar von einem Prozent und Einschnitte bei der TI-Pauschale. Allerdings können die zuständigen Kassenärztlichen Vereinigungen (KV) bei der Reduzierung der TI-Pauschale eine dreimonatige Übergangsphase gewähren.
Die TI-Pauschale ist ein monatlicher Zuschuss, mit dem die Kosten für Anschluss, Ausstattung und Betrieb der Telematikinfrastruktur (TI) gedeckt werden sollen. Die Höhe der Pauschale richtet sich nach der Praxisgröße.
Ab kommendem Jahr droht dann sogar ein kompletter Abrechnungsausschluss, wenn Arztpraxen und andere Leistungserbringer eine Praxissoftware ohne zertifiziertes ePA-Modul nutzen. Sie könnten dann keine Abrechnungen mit den gesetzlichen Krankenkassen mehr einreichen oder bewilligt bekommen.
Sibylle Steiner vom KBV findet es „vollkommen inakzeptabel“, wenn die Praxen etwa für die Versäumnisse der Hersteller büßen. Die Kassenärztliche Vereinigung Nordrhein teilte uns auf Anfrage mit sie prüfe, Kürzungen auszusetzen, wenn „technische Probleme der Praxisverwaltungssysteme einen Einsatz des ePa-Moduls verhindern“. Die Details dazu würden derzeit noch erarbeitet. Die KV Nordrhein vertritt die Interessen von rund 24.000 niedergelassenen Vertragsärzten und -psychotherapeuten im Landesteil Nordrhein von Nordrhein-Westfalen.
Verwaiste Akten
Während viele Praxen noch darauf warten, die ePA einsetzen zu können, nutzt die überwiegende Mehrheit der Versicherten ihre Akte nicht aktiv.
Rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten haben inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch um auf die Patientenakte und die darin enthaltenen Dokumente zugreifen zu können, benötigen sie eine App, die in der Regel von den Krankenkassen bereitgestellt wird. Eine solche Applikation verwenden aktiv derzeit aber gerade einmal drei Prozent der Versicherten.
Dabei soll die ePA laut Sozialgesetzbuch „eine versichertengeführte elektronische Akte“ sein. Sie ist also so konzipiert, dass die Versicherten sie aktiv verwalten. Dass man derzeit meilenweit von diesem Ziel entfernt ist, weiß auch das Bundesgesundheitsministerium.
Ein Ministeriumssprecher äußert auf Anfrage von netzpolitik.org die Hoffnung, dass mit der Nutzungspflicht und Weiterentwicklung der ePA auch die Zahl aktiver Nutzer:innen zunehme. So soll etwa im Jahr 2027 die Funktion „Push-Benachrichtigung für Versicherte“ umgesetzt werden. „Aber auch ohne eine aktive Nutzung der App wird die ePA zu einer verbesserten Gesundheitsversorgung beitragen“, so der Sprecher.
ePA ohne Patient:innenkontrolle
Lucas Auer, Referent für Digitalisierung im Gesundheitswesen beim Verbraucherzentrale Bundesverband, kritisiert, dass die ePA den Versicherten bislang nur wenig Mehrwert biete und auch deshalb das Interesse an ihr gering sei.
„Dafür braucht es jenseits der reinen Befüllung mit Daten seitens der Leistungserbringer Funktionen wie einen digitalen Impfpass, Zahnbonusheft oder Mutterpass“, sagt Auer. „Solche verbraucherorientierten Funktionen sollten im Zentrum des Weiterentwicklungsprozesses stehen, doch derzeit gibt es noch nicht mal einen verbindlichen Zeitplan dafür.“
Nicola Buhlinger-Göpfarth vom Hausärztinnen- und Hausärzteverband macht auch die Krankenkassen für das Desinteresse der Versicherten verantwortlich. „Die allermeisten Patientinnen und Patienten sind bis heute überhaupt nicht über die ePA informiert worden“, so Buhlinger-Göpfarth. Das sei eigentlich Aufgabe der Kassen, die hätten „aber weitestgehend die Hände in den Schoß gelegt“.
Auf die Folgen dieser Versäumnisse weist Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, hin. „Viele Menschen wissen überhaupt noch nicht, dass es da jetzt eine ePA im Hintergrund gibt, aus der sich viele sensible Informationen lesen lassen.“ Standardmäßig sind in der Patientenakte alle medizinischen Informationen für behandelnde Einrichtungen sichtbar.
Wer den Zugriff auf die eigenen Gesundheitsdaten einschränken möchte, hat es schwer: „Sensible Diagnosen gehen nicht nur aus eingestellten Dokumenten hervor, sondern auch aus der Medikationsliste und den Abrechnungsdaten, die beide automatisiert in die ePA fließen“, sagt Hofmann. Versicherte müssten daher immer auf mehrere Teilbereiche achten, wenn sie einzelne Diagnosen verbergen möchten.
Zurück auf Los?
Eine feingranulare Zugriffssteuerung sah die frühere ePA-Version 2.0 noch vor. Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, schränkte die Optionen beim Berechtigungsmanagement jedoch deutlich ein.
Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen ausgesetzt sind. Sie sollten ins Zentrum der Weiterentwicklung der ePA gestellt werden, fordert Manuel Hofmann. „Diskriminierung darf nicht weiterhin als verschmerzbare Nebenwirkung für eine vermeintlich ‚kleine Gruppe‘ in Kauf genommen werden.“
Bianca Kastl, die auch Vorsitzende vom Innovationsverbund Öffentliche Gesundheit e. V. ist, geht noch einen Schritt weiter. „Die Digitalisierung des Gesundheitswesens ist sehr stark getrieben von der Selbstverwaltung und Interessen von Krankenkassen und Industrie, weniger von den Interessen der Patient:innen“, sagt Kastl. Eine ePA, die die Souveränität der Versicherten stärkt, „müsste in einem Rahmen entstehen, der nicht von diesen Stakeholdern geprägt wird“.
Das klingt so, als müsste man zurück auf Los und ganz von vorne beginnen, um den selbst gesetzten Anspruch einer „versichertengeführten elektronischen Akte“ gerecht zu werden. Andernfalls bliebe die ePA vor allem eines: ein nicht eingelöstes Versprechen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die „ePA für alle“ wird nun für Praxen und Co. verpflichtend, trotz fortbestehender Sicherheitsbedenken und anhaltender technischer Probleme. Die Misere ist hausgemacht und geht zulasten der Versicherten. Ein Kommentar.
Einst galt das Versprechen, die ePA werde eine patientengeführte Akte sein. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Maran Bashir
Als „größtes Digitalisierungsprojekt“ der bundesdeutschen Geschichte hatte Karl Lauterbach (SPD) sein Herzensprojekt beworben. Die elektronische Patientenakte (ePA) werde den Versicherten viele Vorteile bringen, versprach der ehemalige Bundesgesundheitsminister.
Inzwischen ist klar: Die ePA ist ein weiterer großer Fehlstart in der deutschen Digitalisierungsgeschichte. Es krankt bei der Sicherheit, die technische Implementierung in den Praxen und Krankenhäusern verläuft schleppend und nur ein Bruchteil der Versicherten nutzt die Patientenakte aktiv.
Die Misere kommt wenig überraschend – und sie ist hausgemacht. Von Anfang an stand bei der ePA Schnelligkeit statt Gründlichkeit im Mittelpunkt. Die Sicherheit geriet zur Nebensache, Datenschutz und Datensicherheit sollten beim Heben des „Datenschatzes“ nicht im Wege stehen. Das Nachsehen haben die Versicherten: Sie verlieren zunehmend die Kontrolle über ihre eigenen Gesundheitsdaten.
Politische Verantwortung? Fehlanzeige.
Das überstürzte Tempo gab der ehemalige Bundesgesundheitsminister Lauterbach vor. Offenkundig wollte er die ePA um jeden Preis in seiner Amtszeit einführen.
Obwohl Gesundheitsdaten zu den besonders sensiblen Daten zählen, wurden begründete Sicherheitsbedenken offenbar mehrfach nicht ernst genug genommen. Bereits vor der Pilotphase zeigten Sicherheitsforschende des Chaos Computer Clubs, dass die ePA löchrig war wie ein Schweizer Käse. Lauterbach versprach daraufhin einen bundesweiten Start „ohne Restrisiko“. Doch pünktlich zum Rollout im Mai wiederholte sich das Spiel.
Statt Verantwortung für dieses Desaster zu übernehmen, tauchte der Minister ab. Und die Gematik, die für die technische Umsetzung der ePA zuständig ist, verharmlost die Risiken bis heute: Die Angriffsszenarien seien theoretischer Natur und hundertprozentige Sicherheit gebe es ohnehin nicht. Mit dieser Strategie kann es kein Vertrauen geben.
Vielerorts herrscht Chaos
Der immense Zeitdruck stellt auch die Praxen vor hohe Hürden. Wie schon bei der Einführung des E-Rezepts häuften sich in den vergangenen Monaten die Stör- und Ausfälle. Selbst die amtierende Bundesgesundheitsministerin Nina Warken (CDU) räumt ein, dass es mehr Stabilität brauche, „keine Frage“.
Weil unter anderem Software-Updates fehlen, kann ein Fünftel der Arztpraxen noch nicht mit der ePA arbeiten. Bei den Krankenhäusern ist es noch dramatischer: Nur ein Fünftel von ihnen wird die ePA wohl bis zum Jahresende einsetzen können. Sie fordern mehr Zeit für die anstehende „Herkulesaufgabe“.
Ein längerer Vorlauf und eine bessere Kommunikation der Verantwortlichen untereinander hätten dieses Chaos verhindern können. Nina Warken lässt sich indes nicht beirren, sie setzt den Kurs ihres Amtsvorgängers fort.
Widerspruchsmöglichkeiten wurden ausgehebelt
Und die Versicherten? 70 Millionen Menschen haben nun eine ePA. Doch gerade einmal drei Prozent von ihnen nutzen sie aktiv. Für die übergroße Mehrheit ist sie kein Thema. Damit ist die ePA meilenweit davon entfernt, eine versichertengeführte Akte zu sein.
Zumal die Kontrollmöglichkeiten der Versicherten zunehmend eingeschränkt wurden – ungeachtet der massiven Kritik von Patient:innenverbänden, Verbraucher- und Datenschützer:innen. Sämtliche Informationen, die in der ePA hinterlegt sind, können alle Behandelnden nun standardmäßig einsehen: von der Psychotherapeutin und dem Physiotherapeuten, vom Hausarzt über die Zahnärztin bis zum Kleinstadtapotheker.
Wer den Zugriff für bestimmte Behandelnde einschränken möchte, braucht sehr viel Geduld und darf keine Einstellung übersehen. Denn auch die Medikationsliste und die Abrechnungsdaten fließen automatisiert in die ePA und geben Sensibles preis.
Für die Wirtschaft, nicht für die Patient:innen
Damit zeigt sich immer deutlicher, wozu die ePA künftig vor allem dienen soll: als Datensilo für die Pharma-Forschung und -Industrie.
In der EU laufen derweil die Vorbereitungen für den Europäischen Gesundheitsdatenraum (EHDS). Hier sollen in den kommenden Jahren die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen gesammelt und grenzüberschreitend ausgetauscht werden. Auch die Daten aus der ePA sollen dort hinein fließen.
Den Bürger:innen verspricht die EU-Kommission strengen Datenschutz, Datensicherheit und Kontrolle über die eigenen Gesundheitsdaten. Die zugrundeliegende Verordnung sieht jedoch etliche Ausnahmen bei deren Widerspruchsmöglichkeiten vor. Kritiker:innen warnen schon jetzt, dass der EHDS vor allem ein Datenraum für die Wirtschaft sein werde, nicht aber für die Patient:innen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wer Informationen zu guten Kliniken sucht, kann dafür auf den Bundes-Klinik-Atlas zugreifen. Aber der hat Schwächen – genau wie all die anderen Online-Verzeichnisse zur Krankenhaus-Qualität. Das ist ein Problem für Patient:innen. Ein Interview dazu, welche Übersicht es für eine bessere Gesundheitsversorgung bräuchte.
Die Qualität eines Krankenhauses lässt sich von außen nicht erkennen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Arseny Togulev
Wer Kniebeschwerden hat und operiert werden muss, steht vor vielen Fragen: In welches Krankenhaus kann ich gehen? Wie viel Routine haben die Ärzt:innen dort? Wo bekomme ich eine gute Versorgung? Neben Online-Bewertungen gibt es eine ganze Reihe Portale, die Informationen zur Klinikqualität aufbereiten. Sie werden von Krankenhausträgern oder den gesetzlichen Krankenkassen bereitgestellt. Seit vergangenem Jahr gibt es auch den Bundes-Klinik-Atlas, der in Verantwortung des Bundesgesundheitsministeriums entstanden ist.
Als Anfang September Gerüchte aufkamen, das viel kritisierte Portal soll eingestellt werden, meldeten sich Patient:innen-Verbände und andere Interessensgruppen zu Wort. Manche waren empört, andere forderten, das Angebot so schnell wie möglich einzustampfen. Doch was braucht es aus Sicht derjenigen, die sich über notwendige Behandlungen informieren wollen? Und wie können sie diese Informationen finden? Darüber haben wir mit Thomas Moormann gesprochen, der beim Verbraucherzentrale Bundesverband das Team zu den Themen Gesundheit und Pflege leitet.
Die Chance auf Orientierung
netzpolitik.org: Was ist eigentlich der Bundes-Klinik-Atlas und welches Problem sollte er lösen?
Moormann: Der Bundes-Klinik-Atlas soll die Frage beantworten, in welchem Krankenhaus Patientinnen und Patienten welche Versorgung in welcher Qualität erwarten können.
Im besten Fall funktioniert der Bundes-Klinik-Atlas wie eine bewertende Internet-Suchmaschine: Sie geben den geplanten Behandlungsanlass ein und erhalten dann das Ergebnis angezeigt. Das soll Ihnen eine verlässliche Grundlage geben zu entscheiden, wo sie sich behandeln lassen. Und das nicht alleine aufgrund von Hörensagen und einzelnen subjektiven Erfahrungen, die womöglich nicht zum eigenen Behandlungsbedarf passen.
Der Wunsch der Verbraucherinnen und Verbraucher zu erfahren, wo sie welche Versorgung in welcher Qualität erwarten können, ist hoch legitim. Der Bundes-Klinik-Atlas sollte dies auf umfassender Datengrundlage ermöglichen. Das war und muss unverändert das Ziel sein.
netzpolitik.org: Hat der Bundes-Klinik-Atlas dieses Ziel erreicht?
Moormann: Der Bundes-Klinik-Atlas ist im Mai letzten Jahres gestartet und das war offensichtlich verfrüht, weil noch nicht alle Daten aktuell waren. Das spielte den Gegnern des Bundes-Klinik-Atlas in die Hände und löste eine heftige Kritik aus.
In der Folge wurde der Atlas sehr stark angepasst und dabei leider deutlich verschlechtert. Unter anderem wurde die zentrale Suchfunktion herausgenommen und die Versorgungsanlässe wurden in Gruppen zusammengefasst auf nur noch eine Auswahl beschränkt. Zu vielen Eingriffen zeigt der Bundes-Klinik-Atlas seitdem gar nichts mehr an. Das Ziel wurde also leider noch nicht erreicht.
„Es braucht ein Verzeichnis, das gut und unabhängig ist“
netzpolitik.org: Neben dem Bundes-Klinik-Atlas gab und gibt es ja noch andere Portale, um sich über Krankenhäuser zu informieren. Können Patient:innen nicht einfach eine Alternative nutzen?
Moormann: Sehr gut gelungen, weil sehr nutzerorientiert, war die Weisse Liste, die jedoch nicht mehr existiert.
Egal, ob man das Verzeichnis der Krankenhäuser oder die Angebote der Krankenkassenverbände betrachtet, unter dem Strich kommen sie alle nicht an die Qualität der Weissen Liste und des Bundes-Klinik-Atlas in seiner ursprünglichen Form heran. Das war ja auch der Grund für dessen Entwicklung, in die übrigens viel Know-how der Weissen Liste eingeflossen ist.
Für die Patientinnen und Patienten ist das nun eine äußerst missliche Lage. Aktuell wird es ihnen sehr schwer gemacht, sich zu orientieren. Wer hat schon die Zeit und mag sich stundenlang durch mehrere Verzeichnisse klicken, um am Ende doch nicht das zu finden, was man sucht?
Wichtig wäre, dass die Patientinnen und Patienten schnell finden und erkennen können, welches Krankenhaus im Vergleich die besten Behandlungsergebnisse erzielt, zum Beispiel die geringste Komplikationsrate aufweist. Finde ich das aber nicht, weil die Angaben zu verschachtelt sind, weil irrelevante Informationen ausgegeben werden wie die Bettenzahl des gesamten Krankenhauses oder die Gesamtfallzahl über alle Eingriffe hinweg oder kann ich die Versorgungsqualität verschiedener Häuser gar nicht miteinander vergleichen, dann hilft das natürlich nicht. Das ist auch das Problem des Verzeichnisses der Deutschen Krankenhausgesellschaft. Es ist wenig nutzerfreundlich und es ist vor allem nicht unabhängig.
In Deutschland wird viel über unzureichende Gesundheitskompetenz gesprochen. Die können die Menschen jedoch nicht erlangen, wenn ihnen das so verdammt schwer gemacht wird.
Wir brauchen auch nicht viele verschiedene Verzeichnisse, sondern nur eines, das gut und unabhängig ist und einzig die entscheidungsrelevanten Informationen anzeigt. Und diesen Atlas muss man dann bewerben und seine Informationen dort verfügbar machen, wo das Krankenhaus ausgewählt wird. Also in der Arztpraxis und direkt in der elektronischen Patientenakte.
netzpolitik.org: Woher kommen denn die Daten in all den unterschiedlichen Verzeichnissen?
Moormann: Die Daten stammen aus mehreren Quellen, insbesondere aus den strukturierten Qualitätsberichten der Krankenhäuser, aus Qualitätssicherungsverfahren und aus Strukturdaten der Krankenhäuser. Das sind zum Beispiel die Fallzahlen und die Zahl der Pflegekräfte.
Dazu kommen Angaben zu Zertifikaten und idealerweise werden auch die Ergebnisse von Patientenbefragungen eingespeist. Denn die Menschen sollten nicht nur erfahren, wie viele Eingriffe eine Klinik macht, sondern auch, wie es anderen Patienten dort ergangen ist, während des Aufenthaltes und in der Zeit danach.
„Transparenz belohnt Krankenhäuser mit guter Qualität“
netzpolitik.org: Als die Meldung aufkam, der Bundes-Klinik-Atlas könnte eingestellt werden, haben sich viele Akteure zustimmend geäußert. Warum wollen sie das Verzeichnis abschaffen?
Moormann: So viele Akteure waren das gar nicht, aber ihr Einfluss ist groß. Krankenhäuser, Bundesländer und auch Politiker. Darunter sind Akteure, die ein Interesse daran haben, mittelmäßige oder schlechte Versorgungsqualität zu verbergen, besonders die im eigenen Wahlkreis oder Bundesland.
So wie Transparenz Krankenhäuser mit guter Qualität belohnt, kann sie sich nachteilig für andere Krankenhäuser auswirken. Gleichzeitig ist das aber der Ansporn, sich zu verbessern und weiterzuentwickeln. Es muss immer um die bestmögliche Versorgung der Patientinnen und Patienten gehen. Und deshalb braucht es eine unabhängige Stelle, die den Atlas betreibt.
netzpolitik.org: Aber ist das Gesundheitsministerium mit dem Bundes-Klinik-Atlas die richtige Adresse? Immerhin gibt es dort, gerade im Kontext der anstehenden Krankenhausreform, ebenfalls politische Interessen.
Moormann: Nein, das Bundesgesundheitsministerium zum Träger des Bundes-Klinik-Atlas zu machen, war keine gute Entscheidung. Es besteht dann immer die Gefahr, dass sachfremde politische Interessen verfolgt werden. Und genau das sehen wir derzeit. Statt den Bundes-Klinik-Atlas zügig weiterzuentwickeln und zu einem noch nützlicheren Instrument zu machen, wird über dessen Abwicklung nachgedacht. Das wäre folgenschwer und fatal.
Die Patientinnen und Patienten benötigen eine klare Orientierung und das klare Bekenntnis der Bundesregierung und des Gesetzgebers zu einem Bundes-Klinik-Atlas, der von Expertenwissen, Nutzerorientierung, Verständlichkeit und Unabhängigkeit geprägt ist. Er darf weder von politischen Interessen noch von denen der Krankenhausträger geleitet sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Keine Webseite der deutschen öffentlichen Stellen ist barrierefrei – dabei ist das in Deutschland per Gesetz vorgeschrieben. Die Beraterin für Barrierefreiheit Casey Kreer veröffentlicht die Prüfberichte und kritisiert, der Staat werde seiner Verantwortung nicht gerecht.
Barrierefreiheit mit einem Klick: gibt es bei öffentlichen Stellen nicht. – Alle Rechte vorbehalten IMAGO / Christian Ohde
Die Beraterin für Barrierefreiheit Casy Kreer hat die Barrierefreiheit der Apps und Webseiten von deutschen öffentlichen Stellen ausgewertet. Darunter sind die Angebote von Ministerien und Behörden wie der Arbeitsagentur oder die staatliche Warn-App Nina, aber auch von Bund oder Ländern finanzierte Stiftungen oder Medien. Die Ergebnisse sind ernüchternd: Von 188 geprüften Webseiten haben 187 die Prüfung nicht bestanden – sie erfüllen also nicht die gesetzlichen Auflagen.
Barrierefreiheit sieht vor, dass Orte oder Medien für alle Menschen ohne fremde Hilfe zugänglich sind. Seit spätestens 2021 müssen die digitalen Angebote von öffentlichen Stellen barrierefrei sein. Das steht in der Barrierefreie-Informationstechnik-Verordnung (BITV 2.0) und dem Behindertengleichstellungsgesetz (BGG), die eine EU-Richtlinie aus dem Jahr 2016 umsetzen sollen.
Die Richtlinie der EU bezieht sich auf die Web Content Accessibility Guidelines (WCAG) des World Wide Web Consortium, eine Organisationen, die technische Standards für das Web festlegt. Die Anforderungen für eine barrierefreie Webseite sind darin in drei Kategorien aufgeteilt: A (niedrig), AA (mittel) und AAA (hoch). Für jedes A müssen mehr Kriterien erfüllt werden. Für A muss es unter Anderem eine Tastaturbedienbarkeit geben, das heißt die Inhalte müssen ohne Maus navigierbar sein, was für Menschen mit einer Sehbehinderung relevant ist. Für AA müssen aufgezeichnete Video-Inhalte auch eine Audiobeschreibung besitzen. Die höchste Stufe AAA muss von den öffentlichen Stellen auf ihren Webseiten und mobilen Anwendungen nicht umgesetzt werden.
187 Seiten fallen durch
Von 188 geprüften Webseiten haben 187 nicht bestanden. Das bedeutet keine dieser Seiten erfüllt die gesetzlich geforderten Kriterien. Einzige Ausnahme: die Webseite des Bundespräsidenten Frank-Walter Steinmeier. Sie hat immerhin „im Wesentlichen bestanden“, das heißt 90 Prozent der Kriterien sind erfüllt. Die restlichen 187 Seiten erreichen nicht mal diesen Wert. Insgesamt hält sich laut Casy Kreers Auswertung keine der geprüften Seiten an die Anforderungen der Gesetze.
Als Gründe dafür nennt Kreer fehlende Ressourcen und Kompetenz. Die Umsetzung der Seiten und Apps sei nicht gut genug. Das liegt laut Kreer zum einen daran, dass die öffentlichen Stellen ihre Verantwortung an externe Dienstleister abgeben. Oder aber, sie nutzen sogenannte „Accessibility Overlays“, also Systeme, die Seiten barrierefrei machen sollen, die aber schon länger kritisiert werden, weil sie nicht auf die individuellen Seiten angepasst sind. Zudem sollen die entsprechenden Beschwerdestellen nicht effektiv arbeiten und vorhandene Probleme kaum lösen.
Dass die öffentlichen Stellen ihre Webseiten nicht barrierefrei gestalten, ist ein Problem für die digitale Teilhabe – insbesondere bei wichtigen Seiten wie der des deutschen Wetterdienstes, die Warnungen vor Naturkatastrophen bereitstellt. Auch wenn nur die Kriterien A und AA realisiert werden müssen, mangelt die Umsetzung und die öffentlichen Stellen scheinen auch nicht ambitioniert das zu ändern, sagt Kreer. Sie würden etwa Prüfberichte ignorieren.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zuletzt haben die EU und die deutsche Politik wiederholt eine Vorratsdatenspeicherung diskutiert. Dabei hat Deutschland bis heute nicht das E-Evidence-Paket umgesetzt. Mit seinen Instrumenten sollen sich digitale Beweise schnell sichern lassen, bevor sie gelöscht werden.
Bundesjustizministerin Stefanie Hubig (SPD) will das E-Evidence-Paket der EU umsetzen. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Im Kern geht es um zwei neue Instrumente für europäische Polizeien: Mit der Europäischen Sicherungsanordnung lassen sich Daten bei einem EU-Online-Dienst einfrieren und später wieder auftauen, wenn sie für Ermittlungen gebraucht werden. Das heißt: Der Diensteanbieter darf sie erst einmal nicht löschen. Alternativ können Ermittlungsbehörden mit der Europäischen Herausgabeanordnung digitale Beweismittel direkt bei Anbietern in anderen EU-Ländern anfordern. Dabei kann es um Informationen gehen, welchem Kunden etwa eine bestimmte IP-Adresse zugeordnet war, angefragt werden können aber auch Inhaltsdaten wie E-Mails.
Beschlossen hatte die EU das Paket – eine unmittelbar geltende Verordnung sowie eine ergänzende Richtlinie – im Jahr 2023. EU-Ländern bleibt bis zum Sommer 2026, es vollständig umzusetzen. Über einen Referentenentwurf war Ex-Justizminister Marco Buschmann nicht hinausgekommen. Auf dessen Entwurf von Oktober setzt nun der Vorschlag auf, den seine Amtsnachfolgerin, die SPD-Politikerin Stefanie Hubig, Mitte Juni vorgestellt hat.
Schnelle Sicherung digitaler Beweise
Insgesamt soll es EU-Polizeien deutlich schneller gelingen, an digitale Beweismittel zu kommen. Dazu lösen die neuen Instrumente den bislang üblichen Prozess über Rechtshilfeabkommen in der EU ab: In der Vergangenheit mussten Ermittlungsbehörden zunächst bei den Justizbehörden des Landes vorstellig werden, wo der betreffende Online-Dienst sitzt. Dies soll nun weitgehend entfallen: Herausgabeanordnungen sollen in der Regel innerhalb von zehn Tagen befolgt werden, in Notfällen gilt eine Frist von nur acht Stunden.
Dabei unterscheidet das Gesetz zwischen Teilnehmer-, Verkehrs- und Inhaltsdaten. Für die erste der Datenkategorien, die etwa Namen und Anschrift von Verdächtigen umfassen kann, gelten die niedrigsten Hürden. Der aktuelle Entwurf des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) stellt nun klarer, wer Herausgabeanordnungen auf dieser Basis erlassen kann: Neben dem Bundeskriminalamt zählt etwa auch das Zollkriminalamt dazu. Solche Anordnungen muss zudem die Staatsanwaltschaft validieren.
Höhere Anforderungen gelten bei sensiblen Verkehrs- und Inhaltsdaten, deren Sicherung ein Gericht bewilligen muss. Es muss sich hierbei um Taten handeln, die mit einer Mindesthöchststrafe von drei Jahren belegt sind, oder die in bestimmte Kategorien von Straftaten wie sexueller Missbrauch von Kindern oder Terrorismus fallen. Neben dem Diensteanbieter muss zudem die zuständige Behörde im Vollstreckungsstaat benachrichtigt werden. Diese hat zehn Tage Zeit, um die Anordnung zu prüfen und kann sie gegebenenfalls ablehnen. Weitere Sicherungen sollen für Berufsgeheimnisträger:innen wie Rechtsanwält:innen oder Journalist:innen gelten.
Ein Puzzlestück unter vielen
Die neuen Regeln fallen in eine Zeit, in der die EU die Zügel im digitalen Raum merklich strafft. Das E-Evidence-Paket macht dabei nur den Auftakt und ist ein Puzzlestück unter vielen: Seit Jahren arbeitet sich die EU an diversen Baustellen ab, die aus ihrer Sicht digitale Ermittlungen erschwerten. Ihre Überlegungen hat die seit vergangenem Winter amtierende EU-Kommission unter Ursula von der Leyen in einer „ProtectEU“ genannten Strategie zur inneren Sicherheit zusammengefasst.
Eine Zahl betont die EU-Kommission dabei immer wieder. So würden rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhen. Zu oft seien diese Daten jedoch nicht mehr verfügbar, wenn sie gesichert werden sollen. Ohne eine EU-weite Umsetzung des E-Evidence-Pakets abzuwarten, hatte die Kommission erst jüngst eine Konsultation über einen gemeinsamen EU-Rechtsrahmen für eine Vorratsdatenspeicherung durchgeführt. Noch in diesem Jahr will sie eine Folgenabschätzung dieser anlasslosen Massenüberwachung präsentieren, ein konkretes Gesetz womöglich im kommenden Jahr. Parallel dazu hat Bundesinnenminister Alexander Dobrindt (CSU) einen nationalen Alleingang bei der Vorratsdatenspeicherung angekündigt.
In einem letzte Woche veröffentlichten Fahrplan macht die Kommission zudem verschlüsselte Daten als Problemfeld aus. Sie stützt sich dabei auf die Empfehlungen einer Arbeitsgruppe, die zuletzt das sogenannte „Going Dark“-Phänomen untersucht und vage Vorschläge zum Zugang zu verschlüsselten Inhalten in den Raum gestellt hatte. Wie und ob sich ein Ansatz findet lassen kann, der nicht die gesamte IT-Sicherheit untergräbt, soll im Jahr 2026 feststehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
In Brüssel wird derzeit ausgehandelt, wie die europäische digitale Brieftasche künftig funktioniert. Entsprechende Vorlagen der EU-Kommission hat die Zivilgesellschaft wiederholt scharf kritisiert. 15 Organisationen fordern die Kommission nun dazu auf, die rechtlichen Vorgaben einzuhalten und den Verbraucher:innenschutz zu stärken.
Ein Schlupfloch unterhöhlt das Vertrauen in die Gesamtstatik. – Gemeinfrei-ähnlich freigegeben durch unsplash.com James Fitzgerald
Bei der Umsetzung von Projekten steckt der Teufel meist im Detail. Diese Erfahrung muss derzeit auch die europäische digitale Brieftasche machen.
Aktuell werden in Brüssel die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet) verhandelt. Mit solchen EUDI-Wallets sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können, zudem lassen sich darin Identitätsdaten und amtliche Dokumente speichern und verwalten. Sensibler geht es also kaum.
Ein Bündnis aus 15 zivilgesellschaftlichen Organisationen warnt nun in einem offenen Brief vor den jüngsten Plänen der EU-Kommission. Diese würden es Unternehmen ermöglichen, mehr Daten aus den Wallets der Bürger:innen abzufragen, als es laut Gesetz erlaubt ist. Das Bündnis fordert die Kommission dazu auf, diese „Schlupflöcher“ zu schließen.
Zu den Organisationen, die den offenen Brief unterzeichnet haben, gehören unter anderem European Digital Rights (EDRi), die Electronic Frontier Foundation, Homo Digitalis, Digitalcourage und die Österreichische Bundesarbeitskammer.
Bevor die Wallet wie geplant im Herbst 2026 starten kann, muss die EU-Kommission noch eine Reihe sogenannter Durchführungsrechtsakte erlassen. Insgesamt 40 dieser detaillierten Vorschriften für eine einheitliche Durchführung der eIDAS-Reform sind vorgesehen.
Eine ähnliche Kritik entzündet sich auch an der zweiten Charge der Rechtsakte. Anfang Dezember vergangenen Jahres bemängelte epicenter.works unter anderem den Vorschlag der Kommission, die Ausgabe sogenannter Registrierungszertifikate für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional zu machen. Aus Sicht der Bürgerrechtsorganisation droht die Kommission damit „einen zentralen Pfeiler der Schutzmaßnahmen des eIDAS-Ökosystems“ einzureißen.
Die „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Gemäß eIDAS-Verordnung müssen sie sich vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Das soll gewährleisten, dass sie auch grenzüberschreitend nur jene Informationen aus den Wallets abfragen, die sie laut Gesetz erhalten dürfen.
Die Zertifikate sollen dies technisch sicherstellen: Vereinfacht formuliert dienen sie als eine Art Datenausweis, mit dem sich die relying parties gegenüber den Wallets der Nutzer:innen legitimieren und zudem die Abfragekategorien beschränken. Eine Anmeldung über die EUDI-Wallet bei einem sozialen Netzwerk soll dann beispielsweise ausschließen, dass dabei Gesundheitsdaten abgefragt werden.
Nutzende sollten die alleinige Kontrolle haben
An die Kritik aus dem vergangenen Dezember knüpfen die 15 Organisationen an, die den offenen Brief unterzeichnet haben.
Sie kritisieren, dass der von der Kommission vorgelegte Entwurf eine verbindliche Regelung verhindere, weil er es den EU-Ländern überlässt, Registrierungszertifikate zur Pflicht zu machen. Das gehe zulasten der Verbraucher:innen. Denn die Nutzenden müssten dann im Einzelfall entscheiden, ob sie mit einer bestimmten vertrauenswürdigen Partei interagieren oder nicht. Damit würden sie jedoch „anfällig für illegale und möglicherweise betrügerische Anfragen nach ihren Daten“, so der offene Brief.
Darüber hinaus untergrabe die Kommission mit ihrem Entwurf den Europäischen Binnenmarkt sowie das mit der eIDAS-Verordnung angestrebte Vertrauensniveau, das in allen EU-Staaten gleich sein soll.
Die Organisationen fordern die Kommission dazu auf, einen neuen Entwurf für den Durchführungsrechtsakt vorzulegen, der alle vertrauenswürdigen Parteien ausnahmslos dazu verpflichtet, Registrierungszertifikate auszustellen. „Wir sind überzeugt, dass die Aufrechterhaltung des Vertrauens in das eIDAS-Ökosystem enorm wichtig ist“, so die Organisationen.“Nur die Nutzenden sollten die alleinige Kontrolle über ihre Daten haben sowie über die Art und Weise, wie sie die EUDI-Wallet verwenden.“
Der offene Brief im Wortlaut
Dear Executive Vice-President Henna Virkkunen, Director-General Roberto Viola, Acting Director Christiane Kirketerp de Viron,
The undersigned consumer protection and human rights organizations want to thank the Commission for the important work on the eIDAS implementing acts. We welcome the recent adoption for the first batch of implementing acts regarding the provisions in Article 5a of the eIDAS regulation and acknowledge the positive changes to the text which significantly improved the privacy and human rights safeguards of the European Digital Identity Wallet.
The aim of the present letter, however, is to draw your attention to risks we identified in the recently proposed second batch of implementing acts. These concern in particular Article 5b of eIDAS. We are of the opinion that upholding trust in the eIDAS ecosystem is of utmost importance and that only the users are in sole control over their data and the way they use the European Digital Identity Wallet. The eIDAS regulation obliges relying parties to register their intended use of the Wallet and prohibits them from asking information going beyond that registration. (See Article 5b paragraph 1 and 3 of Regulation (EU) 2024/1183.) Protecting users from such illegal requests for information (‘over-asking’) requires providing them with the information if a particular request adheres to the registration of that relying party. This is done via relying party registration certificates.
While these certificates are an essential precondition for the enforcement of the eIDAS regulation, the informed user’s choice and trust into the system, the draft implementing act proposes that Member States can choose not to issue such certificates at all. All European Digital Identity Wallets would be unable to protect their users from over-asking, if the Member State where the relying party is registered has not issued these certificates.
This leaves users vulnerable to illegal and potentially fraudulent requests for their information and puts undue burden on them. In the absence of such certificates a cautions user would have to choose not to interact with relying parties from such EU countries. Thereby, the Commission’s draft would undermine the single market and prevent the harmonized trust level eIDAS aims to achieve.
Furthermore, eIDAS requires Member States to issue a public machine-readable interface to obtain all registered relying parties with the complete information they have provided. The draft implementing acts lack a harmonized specification to access such interfaces, rendering them meaningless for any public watchdog wishing to gain transparency about the eIDAS ecosystem.
To conclude, for the upcoming comitology meeting,3 the undersigned organizations ask you to propose a text that mandates the issuance of relying party registration certificates for all relying parties and to issue a harmonized specification to access the relying party registry of each Member State.
Sincerely,
epicenter.works – for digital rights (Austria)
European Digital Rights (Europe)
Chamber for Workers and Employees (Austria)
D3 – Defesa dos Direitos Digitais (Portugal)
Homo Digitalis (Greece)
IT-Political Association of Denmark (Denmark)
Digital Courage (Germany)
Stichting Vrijschrift (the Netherlands)
Digitale Gesellschaft Switzerland (Switzerland)
Citizen D (Slovenia)
SHARE Foundation (Serbia)
EFN – Electronic Frontier Norway (Norway)
EFF – Electronic Frontier Foundation (International)
ApTI – Asociația pentru Tehnologie și Internet (Romania)
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte kommt – und die Verunsicherung ist groß. Wie kann ich der Einrichtung einer ePA widersprechen? Und erfahre ich dadurch Nachteile? Wir beantworten die wichtigsten Fragen zum Widerspruch.
Widersprechen geht leichter als man denkt. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mathew Schwartz
Am 15. Januar 2025 legen die gesetzlichen Krankenversicherungen für all ihre Versicherten automatisch eine elektronische Patientenakte (ePA) an. Wer das nicht möchte, muss aktiv widersprechen. In der digitalen Akte sollen langfristig die Gesundheitsinformationen aller rund 74 Millionen gesetzlich Versicherten jeweils zusammenfließen.
Aus Sicht vieler Datenschützer:innen und Bürgerrechtler:innen orientiert sich die ePA weder am Gemeinwohl noch an den Interessen der Patient:innen. Und auf dem 38. Chaos Communication Congress haben Sicherheitsforschende kürzlich aufgezeigt, dass die ePA noch eklatante Sicherheitsmängel aufweist.
Die Verunsicherung ist groß: Wie sicher ist die ePA? Was passiert, wenn ich ihr widerspreche? Erfahre ich dann Nachteile bei der medizinischen Behandlung? Und kann ich mich später noch umentscheiden?
Ob eine Person eine ePA haben möchte oder nicht, ist eine Entscheidung, die viele Faktoren beinhalten kann. Für alle, die sich für eine Ablehnung entschieden haben, beantworten wir im Folgenden die wichtigsten Fragen zum Widerspruch.
Wie kann ich widersprechen?
Wer sich für einen Widerspruch entscheidet, legt diesen am besten vor dem Start der Pilotphase am 15. Januar 2025 ein. So können Versicherte ausschließen, dass es bereits während der Testphase zu einem Sicherheitsvorfall mit den eigenen Daten kommt. Ihren Widerspruch müssen Versicherte nicht begründen.
Der Widerspruch muss gegenüber der eigenen Krankenkasse erfolgen:
vor Ort in der Filiale der Versicherung,
über die Ombudsstelle oder -personen der Krankenkasse,
per Post oder
auf digitalem Wege, etwa über die Krankenkassen-Apps oder mittels eines Widerspruchsformulars auf der Webseite der Krankenkasse.
Die Krankenkassen sind dazu verpflichtet, den Widerspruch auf einfachem Weg zu ermöglichen. Grundsätzlich sollte der Widerspruch auch telefonisch möglich sein. Tatsächlich unterscheiden sich die konkreten Formalien abhängig von der jeweiligen Versicherung.
Wie muss der Widerspruch aussehen?
In der Regel sollte es ausreichen, wenn Versicherte ihren vollständigen Namen, ihre Versichertennummer und eine klare Formulierung des Widerspruchs angeben.
Für einen schriftlichen Widerspruch genügt ein formloser Text. Der Patientenrechte und Datenschutz e.V. hat im Auftrag des „Opt-Out Bündnisses“ einen Widerspruchsgenerator erstellt. Damit können Versicherte einen personalisierten Widerspruch erstellen. Wer den Widerspruch per Briefpost oder gar Fax einlegen möchte, findet auf der gleichen Website auch entsprechende Textvorlagen.
Wer das 15. Lebensjahr noch nicht vollendet hat, benötigt für den Widerspruch die Unterschrift einer erziehungsberechtigten Person.
Bis wann kann ich der ePA widersprechen?
Es gibt keine Frist, bis wann Versicherte der ePA widersprechen müssen. Ein Widerspruch ist jederzeit möglich – sowohl vor als auch nach dem bundesweiten Start der ePA für alle.
Ein Widerspruch ist auch dann noch möglich, wenn die ePA bereits angelegt ist. Zudem können Versicherte jederzeit einen Widerspruch wieder aufheben.
Welche Folgen hat ein Widerspruch, wenn ich schon eine ePA für alle habe?
Eine bereits angelegte Akte wird nach Eingang des Widerspruchs gelöscht. Allerdings können Versicherte jederzeit eine neue ePA anlegen, die dann wieder befüllt wird.
Habe ich durch den Widerspruch einen Nachteil?
Wer sich gegen die ePA für alle entscheidet, darf laut Gesetz dadurch grundsätzlich keine Nachteile in der Qualität der medizinischen Versorgung erfahren.
Die Krankenversicherungen weisen zwar darauf hin, dass Informationen über frühere Behandlungen, Diagnosen oder mögliche Allergien ohne eine persönliche ePA nicht so schnell verfügbar sein könnten. Gerade zu Anfang ist die ePA aber nur begrenzt einsatzfähig, daher sind dies nicht die gravierenden Nachteile der ePA für alle.
Kann ich mich später umentscheiden?
Wer sich jetzt gegen die ePA für alle entscheidet, kann sie auch später noch jederzeit beantragen.
Bei der Anlage ist eine elektronische Patientenakte zunächst immer leer. Eine neue ePA müssen Versicherte, Ärzt:innen und Krankenversicherungen nach und nach befüllen.
Wird eine ePA später erneut eingerichtet, werden medizinische Dokumente aus der Vergangenheit nicht automatisch übertragen.
Können Kinder und Jugendliche der ePA-Einrichtung auch widersprechen?
Auch Kinder und Jugendliche erhalten automatisch die ePA für alle, unabhängig von ihrem Alter. Sind die Kinder jünger als 15 Jahre, widersprechen die Eltern bei der Krankenkasse, dass sie eine elektronische Patientenakte erhalten. Ist die versicherte Person zwischen 15 und 17 Jahre alt, kann sie nach Rücksprache mit ihren Eltern selbst darüber entscheiden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Warum nicht einfach „Hallo“ oder „Guten Tag“ statt „Lieber Herr Meier“ sagen? Das hat sich offenbar auch der Europäische Gerichtshof gedacht und kommt zum Urteil: Ein Bahnunternehmen darf nicht als Zwangsangabe abfragen, welche Geschlechtsidentität seine Kund:innen haben.
Bei der Bahnfahrt spielt die Geschlechtsidentität keine Rolle. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Ruben Christen
Einem Beförderungsunternehmen kann es herzlich egal sein, welche Geschlechtsidentität seine Kund:innen haben. Und weil es egal ist, ist es auch nicht notwendig diese Information beim Ticketkauf abzufragen – und damit nach der Datenschutzgrundverordnung nicht zulässig. Zu diesem Ergebnis kam der Europäische Gerichtshof (EuGH) im Fall des französischen Bahnunternehmens SNCF Connect.
Das Unternehmen wollte beim Online-Ticketkauf wissen, mit welcher geschlechtsspezifischen Anrede es die Käufer:innen adressieren soll. Die französische Datenschutzbehörde hatte eine Beschwerde deswegen im Jahr 2021 zurückgewiesen, die der Verband „Mousse“ eingereicht hatte. Der wiederum zog bis vor das oberste französische Verwaltungsgericht, das die Entscheidung dem EuGH vorlegte.
Der EuGH sieht nun keinen „objektiv unerlässlichen“ Grund, die Geschlechtsidentität beim Ticketkauf abzufragen und sagt: „Das Eisenbahnunternehmen könnte sich nämlich für eine Kommunikation entscheiden, die auf allgemeinen und inklusiven Höflichkeitsformeln beruht, die in keinem Zusammenhang mit der angenommenen Geschlechtsidentität der Kunden stehen, was eine praktikable und weniger einschneidende Lösung wäre.“
Ein deutschsprachiges Beispiel dafür wäre: „Guten Tag, Alex Meier“ statt eine Anrede mit „Herr“ oder „Frau“.
Deutsche Bahn bietet schon länger eine neutrale Option
Mousse setzt sich seit dem Jahr 2000 für die Rechte von Lesben, Schwulen, Bi- und Transsexuellen ein und kämpft regelmäßig auch vor Gericht gegen Diskriminierung wegen Geschlecht, Gender oder sexueller Orientierung.
Bei der Deutschen Bahn lässt sich seit Ende 2023 eine neutrale Anrede beim Ticketkauf auswählen. Aber auch hier ging ein juristischer Streit voraus, bis im Jahr 2022 das Oberlandesgericht Frankfurt am Main bestätigte, dass die Zwangswahl zwischen männlicher und weiblicher Anrede nicht mit dem Allgemeinen Gleichbehandlungsgesetz vereinbar ist. Nun ist die Thematik erneut – aus einer europäischen Datenschutzperspektive – entschieden und bekräftigt worden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Vermietdienst Airbnb will im US-Bundesstaat Oregon vorerst nur mehr verkürzte Profile von Gästen anzeigen, gab das Unternehmen Ende Dezember bekannt. Vor einer Buchung sollen Gastgeber:innen lediglich die Initialen statt den vollen Namen der Mietwilligen sehen.
Mit dem Pilotversuch will das Online-Portal gegen rassistische Diskriminierung auf seinem Dienst vorgehen. So hatte etwa eine unabhängige Studie bereits 2015 herausgefunden, dass Gäste mit Schwarz klingendem Namen signifikant öfter von Vermieter:innen abgewiesen werden als identische Gäste mit Weiß klingendem Namen.
Ein Puzzleteil unter vielen
Die Diskriminierung Schwarzer Menschen hat in den USA eine lange Tradition. Dies schlägt sich oft genug auch im Tech-Sektor nieder, etwa auf dem Wohnungsmarkt, bei zielgerichteter Online-Werbung oder in der Strafverfolgung. Airbnb hatte 2020 das „Project Lighthouse“ ins Leben gerufen, um diskriminierende Praktiken auf dem Portal aufzudecken.
Zuvor einigte sich das Unternehmen außergerichtlich mit drei Klägerinnen aus Oregon. Sie hatten Airbnb vorgeworfen, die damals geltende Verpflichtung, den vollen Namen und Photos im Nutzer:innen-Profil anzugeben, sei diskriminierend. Noch vor der Einigung änderte Airbnb seine Richtlinien, potenzielle Gäste müssen seit 2018 vor einer Buchung nicht mehr ihr Gesicht zeigen.
Zudem gelobte das Unternehmen, in Zusammenarbeit mit Bürgerrechtsgruppen weiter an antidiskriminierenden Maßnahmen zu arbeiten. So begann im Sommer 2020 ein groß angelegtes Datenprojekt für US-Nutzer:innen, daneben führt das Unternehmen regelmäßig Bürgerrechts-Audits durch. Das Projekt in Oregon soll ab Ende Januar für zumindest zwei Jahre laufen.
Umstrittenes Geschäftsmodell
Trotz dieser Bemühungen trägt das Unternehmen jedoch keine weiße Weste. So macht etwa das Geschäftsmodell den lokalen Wohnungsmarkt kaputt und lässt die Mieten steigen. Vor allem in Europa ist das Kernprodukt von Airbnb in vielen Städten deshalb verboten oder stark eingeschränkt.
Abseits dessen errechnet das Unternehmen offenbar mit einem Algorithmus die Vertrauenswürdigkeit von Nutzer:innen und schließt sie gegebenenfalls von dem Dienst aus. Besonders betroffen sollen Sexarbeiter:innen sein, die Airbnb für den privaten Urlaub nutzen wollen. Das Unternehmen bestreitet, in Deutschland dieses Verfahren zur Risikoeinschätzung zu nutzen.
