Während in der EU eine App zur Altersverifikation bereits im Testbetrieb ist, will in den USA ein neuer Gesetzentwurf den Altersnachweis bundesweit im Betriebssystem verankern

EU OS ist bisher lediglich eine Machbarkeitsstudie, die in einen europaweiten Linux-Arbeitsplatz münden soll. Grundlage ist derzeit Fedora Kinoite.

Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen.

In Europa ist Datenschutz ein Grundrecht, das für alle 27 Mitgliedstaaten gilt. Auch die EU-Organe und EU-Einrichtungen selbst stehen unter Aufsicht eines Datenschutzbeauftragten.

Doch was macht eigentlich dieser Europäische Datenschutzbeauftragte (EDSB), der schon mehr als zwei Jahrzehnte für den Schutz der Privatsphäre und die Datenschutzrechte der Bürger arbeitet? Was sind seine Aufgaben, welche Rolle hat der EDSB in Brüssel? Wer konsultiert ihn? Wann wird er typischerweise angehört? Wie funktioniert die Zusammenarbeit zwischen dem EDSB und den nationalen Behörden?

Das berichten uns zwei Insider: Thomas Zerdick und Robert Riemann, die beide beim EDSB arbeiten.

Thomas Zerdick ist Jurist und Leiter des Referats für Aufsicht und Durchsetzung. Vor seiner Zeit beim EDSB arbeitete er bei der Europäischen Kommission im Referat Datenschutz und war einer derjenigen, die an der EU-Datenschutzgrundverordnung mitgeschrieben haben. Robert Riemann ist Informatiker und arbeitete bis Ende Dezember beim EDSB im Referat Technik und Privatheit.

Das Gespräch ist eine gekürzte und behutsam überarbeitete Fassung des Podcasts „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt beim Chaosradio. In „Dicke Bretter“ beleuchten wir Institutionen, Akteure oder Organisationen, die daran mitwirken, wenn Gesetze, Richtlinien oder auch nur politische Positionen bei digitalen Themen entstehen.

Die unabhängige Datenschutzaufsichtsbehörde

Constanze Kurz: Ihr arbeitet beide beim Europäischen Datenschutzbeauftragten. Was sind die Aufgaben dieses Amtes?

Thomas Zerdick: Der Europäische Datenschutzbeauftragte ist die unabhängige Datenschutzaufsichtsbehörde für die EU-Organe und EU-Einrichtungen. Das sind eben zum Beispiel das Europäische Parlament und die Europäischen Kommission, aber auch wir selbst als Europäischer Datenschutzbeauftragter oder auch Einrichtungen wie Europol.

Wir überwachen die Datenverarbeitung dieser EU-Organe und EU-Einrichtungen. Wir bearbeiten Beschwerden von Bürgerinnen und Bürgern, führen Untersuchungen durch und entscheiden dazu. Ich selbst bin Leiter des Referates Aufsicht und Durchsetzung und mache genau das mit meinem Team: Wir überprüfen, ob die EU-Organe und -Einrichtungen die Datenschutzvorschriften auch einhalten, die sie von den anderen verlangen.

Constanze Kurz: Sind in deinem Team typischerweise Juristen?

Thomas Zerdick: In meinem Team sind wir bis auf eine Person alle Juristen. Wir sind ungefähr dreißig Mitarbeiter.

Datenschutz ist im Kern Grundrechtsschutz. Da wir Entscheidungen vorbereiten, die der Europäische Datenschutzbeauftragte dann erlässt, brauchen wir juristische Abwägungen. Wir nehmen Abwägungen und Prüfungen von Rechtsgrundlagen vor, bewerten Zweckbindung oder Verhältnismäßigkeit. Denn alles das, was der Europäische Datenschutzbeauftragte entscheidet, kann auch vor Gericht überprüft werden. Daher brauchen wir Juristen, die sicherstellen, dass das gerichtsfest ist.

„Ziemlich bekannt hier in Brüssel“

Constanze Kurz: Wie viele Menschen arbeiten insgesamt beim Europäischen Datenschutzbeauftragten?

Thomas Zerdick: Insgesamt sind wir ungefähr 120 Mitarbeiter. Das klingt viel, ist es aber nicht, weil ungefähr die Hälfte davon beim Europäischen Datenschutzausschuss arbeitet. Das ist eine andere Einrichtung: Der Europäische Datenschutzausschuss ist durch die EU-Datenschutz-Grundverordnung eingerichtet worden und koordiniert alle Datenschutzaufsichtsbehörden in der Europäischen Union. Da gibt es ein Sekretariat, in dem die Kollegen arbeiten.

Constanze Kurz: Ich möchte ein wenig über den Kopf der Behörde reden. In Deutschland ist es häufig so, dass die Bundesdatenschutzbeauftragten, manchmal sogar die Landesdatenschutzbeauftragten, ziemlich bekannt sind, zum Beispiel Peter Schaar oder Ulrich Kelber. Sie waren oft in den Medien vertreten. Sie sind jeweils als eine relativ laute Stimme für den Datenschutz vernehmbar gewesen. Derzeit haben wir Frau Specht-Riemenschneider hier in Deutschland als Bundesdatenschutzbeauftragte. Auch sie hat eine Menge Interviews gegeben, als sie ihr Amt antrat. Wie ist denn das in Europa? Die Aufgaben des Europäischen Datenschutzbeauftragten sind ja anders. Würdet ihr sagen, er ist eine laute Stimme für den Datenschutz oder arbeitet er eher im Hintergrund?

Thomas Zerdick: Der derzeitige Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, ist ziemlich bekannt hier in Brüssel. Das erklärt sich natürlich auch aus dem Aufgabenzuschnitt. Der wichtigste Unterschied zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden ist die Zuständigkeit: Der Europäische Datenschutzbeauftragte ist ausschließlich zuständig für die EU-Organe und EU-Einrichtungen, also für öffentliche Verwaltung der Europäischen Union. Daher kennt man ihn vielleicht etwas weniger in den Mitgliedstaaten.

Er ist gleichberechtigtes Mitglied im Europäischen Datenschutzausschuss, wo sich alle Aufsichtsbehörden treffen. Wojciech Wiewiórowski trifft sich zum Beispiel regelmäßig mit Louisa Specht-Riemenschneider. Wenn es Entscheidungen gibt, die der Europäische Datenschutzbeauftragte trifft, zum Beispiel gegen die Europäische Kommission oder gegen Europol, sind wir auch in den Medien im Vordergrund. Von daher sehe ich den Unterschied als nicht sehr groß im Vergleich zu den Mitgliedstaaten.

Öffentliche Stellungnahmen

Constanze Kurz: Auch in Europa wird der Datenschutzbeauftragte konsultiert, wenn es um geplante Gesetze geht oder wenn es die angesprochenen Institutionen und deren Evaluierung geht. Er gibt öffentliche Stellungnahmen ab. Wie häufig kommt das vor?

Thomas Zerdick: Ich würde sagen quasi wöchentlich. Das ist ein Unterschied im Vergleich zur nationalen Ebene: Die Europäische Kommission ist verpflichtet, den Europäischen Datenschutzbeauftragten zu konsultieren. Und zwar immer dann, wenn es neue Rechtsakte gibt, die von der Kommission vorbereitet werden, die personenbezogene Daten betreffen.

Das ist also relativ breit, denn das ist heute fast immer der Fall: Digitalisierung, Sicherheit, Migration, Gesundheit, Künstliche Intelligenz, Plattformregulierung, internationale Verträge. Jeweils kommt der Europäische Datenschutzbeauftragte ins Spiel. Er gibt Stellungnahmen oder Kommentare ab, die wir dann veröffentlichen. Und das wird immer mehr.

Constanze Kurz: All diese Themen haben mittlerweile technische Komponenten, alle Datenschutzfragen verbinden sich mit Technikfragen. Was macht das Referat Technik und Privatheit, um eine Stellungnahme mit technischem Wissen zu bereichern? Wie läuft die Zusammenarbeit mit den Juristen?

Robert Riemann: Wenn beispielsweise ein neuer Rechtsakt vorbereitet und dazu formell die Stellungnahme vom Europäischen Datenschutzbeauftragten eingeholt wird, dann koordiniert das ein Referat. Sie schauen im Haus, wer die Kompetenzen hat, um die Arbeit zu unterstützen. Sobald klar wird, dass es tatsächlich etwas sehr Technisches ist, das so von einer Abteilung noch nicht bearbeitet wurde, dann gibt es eine Anfrage an das Referat Technik und Privatheit, um eine Person zur Unterstützung zu benennen. Diese Person arbeitet dann gleichberechtigt mit den Juristen zusammen an der Stellungnahme.

Constanze Kurz: Das klingt wie typische wissenschaftliche Arbeit, um eine Technik zu ergründen oder Technikfolgen abzuschätzen. Gibt es eine Zusammenarbeit mit akademischen Forschern oder Sachverständigen, die man sich dazu holt?

Robert Riemann: Für dieses Beispiel eines Rechtsakts wird typischerweise keine externe Expertise hinzugezogen. Aber natürlich ist es so, dass die Leute das Thema recherchieren. Bevor ein Vorschlag der Kommission auf den Tisch kommt, werden häufig die Themen schon in der Öffentlichkeit angesprochen. Wenn sich Forscher oder auch NGOs wie EDRi oder Interessenverbände in Brüssel mit eigenen Stellungnahmen äußern, werden die natürlich gelesen. Insofern gibt es schon einen Einfluss auf das, was intern diskutiert wird. Aber es ist nicht so, dass der Europäische Datenschutzbeauftragte für den Fall einer Beantwortung dieser Anfragen der Kommission für eine Stellungnahme die Meinung von außen explizit einholen würde.

Lange über die eigentliche Amtszeit hinaus

Constanze Kurz: Jetzt gibt es für den Amtsträger gerade eine besondere Situation, die mit der Benennung des Europäischen Datenschutzbeauftragten verbunden ist. Denn der derzeitige Amtsinhaber arbeitet schon lange über seine Amtszeit hinaus, die fünf Jahre beträgt. Die Amtszeit endete eigentlich am 5. Dezember 2024. Aber es gab die Situation, dass sich der EU-Rat und das EU-Parlament nicht im Einvernehmen auf einen neuen Kandidaten geeinigt haben, sondern zu unterschiedlichen Voten gekommen sind. Wie verläuft das Auswahlverfahren, warum kam es diesmal zu diesem Stillstand und was kann man jetzt machen?

Thomas Zerdick: Die Datenschutzgrundverordnung für die EU-Organe regelt das. Der Europäische Datenschutzbeauftragte hat eine Amtszeit von normalerweise fünf Jahren und ist zu benennen im Einvernehmen zwischen dem europäischen Parlament und den Mitgliedstaaten im Rat der EU. Nach Ablauf der Amtszeit macht die Europäische Kommission eine Ausschreibung, da kann sich jeder bewerben. Dann werden die Bewerber von der Europäischen Kommission geprüft und die Liste mit geigneten Kandidaten veröffentlicht. Von dieser Liste müssen sich dann das Parlament und der Rat für eine Person entscheiden. Diesmal haben sie sich noch nicht entscheiden können. Das ist nicht neu, das gab es leider schon mal. Aber die EU-Datenschutzgrundverordnung für die Organe, die sagt: Solange es keinen neuen Amtsinhaber gibt, bleibt der alte im Amt und hat alle Rechten und Pflichten. Also solange die sich nicht einigen, macht der jetzige Amtsinhaber einfach weiter.

Constanze Kurz: Und wenn sie sich niemals einigen, dann bleibt er einfach für immer im Amt? Oder gibt es irgendeine Frist, die bis zum Zeitpunkt eine Einigung bestehen muss?

Thomas Zerdick: Es gibt keine Frist. Das sieht die Verordnung nicht vor.

Constanze Kurz: Und wenn der Amtsträger irgendwann keine mehr Lust hat?

Thomas Zerdick: (lacht) Das sieht die Verordnung auch nicht vor.

Robert Riemann: Das ist auch kein europäischer Sonderfall, sondern diese Situation gibt es auch in den Mitgliedsländern. Ich denke da in Spanien, wo es auch Schwierigkeiten gab, ein neues Mandat zu verabschieden. Auch in einigen Bundesländern in Deutschland gab es lange Zeit Unklarheit, wer das Mandat bekommt. Insofern ist das leider etwas, was man in Europa häufiger beobachten muss.

Constanze Kurz: Würdet ihr einen Tipp abgeben, wie sich dieser Stillstand auflösen wird oder wann sich diese beiden Institutionen vielleicht einigen könnten? Was sagen denn die Auguren?

Thomas Zerdick: Die Auguren sagen derzeit nichts. Wir können dazu nichts sagen, weil es in der Hand vom Parlament und vom Rat ist, die sich zusammensetzen und eine Lösung finden müssen.

Wie Kommission und Datenschutzbeauftragter zusammenarbeiten

Constanze Kurz: Ich möchte euch nach dem typischen Ablauf befragen, wenn der Europäische Datenschutzbeauftragte tätig wird. Wir nehmen mal ein ganz umstrittenes Beispiel: die Chatkontrolle. Wie wurde hier der Europäische Datenschutzbeauftragte involviert? Die Kommission hat ja vor mehr als drei Jahren den Vorschlag dazu vorgelegt. Wie ist die typische Vorgehensweise, wenn eine Konsultation beginnt, die ja stattfinden muss?

Thomas Zerdick: Die Europäische Kommission arbeitet ihren Vorschlag aus. Bevor sie diesen Vorschlag veröffentlicht, gibt es eine interne Abstimmung in der Europäischen Kommission. Gleichzeitig mit dieser internen Abstimmung werden wir als Amt informell unterrichtet und können dann bereits erste kleine Kommentare abgeben. Sobald die Kommission ihren Gesetzgebungsvorschlag veröffentlicht hat, leitet sie ihn ganz amtlich dem Europäischen Datenschutzbeauftragten zu, mit der Bitte um Stellungnahme.

Dann setzen sich die Kolleginnen und Kollegen aus dem Referat Politik und Gesetzgebung zusammen, analysieren den Vorschlag der Kommission und schreiben die Stellungnahme, die dann vom Europäischen Datenschutzbeauftragten veröffentlicht wird. Mit dieser Stellungnahme kann der Gesetzgeber – das Parlament und der Rat der EU-Mitgliedstaaten – dann arbeiten. Damit erschöpft sich normalerweise das Offizielle, das Amtliche des Europäischen Datenschutzbeauftragten. Aber er ist natürlich jederzeit bereit, auch zu Anhörungen zu kommen und vorzutragen, was in dieser Stellungnahme steht.

EU-Datenschutzbeauftragter gegen wahlloses Scannen bei freiwilliger Chatkontrolle

Constanze Kurz: Das war jetzt das Beispiel der Chatkontrolle. Wird für jedes dieser Verfahren die Stellungnahme öffentlich oder gibt es auch welche, wo das nicht der Fall ist?

Thomas Zerdick: Die Stellungnahmen sind grundsätzlich öffentlich.

Constanze Kurz: Nun wurden ja gerade beim Beispiel Chatkontrolle auch neue technische Fragen aufgeworfen. Da geht es um massenhaftes Scannen oder darum, wie beispielsweise Filter funktionieren. Wie wird technische Expertise einbezogen?

Robert Riemann: Das Referat Politik und Gesetzgebung identifiziert die technischen Themen, hier etwa Kryptographie und Pseudonyme, und schickt eine Anfrage an das Referat Technik. Mein Referatsleiter bekommt das dann auf seinen Schreibtisch und sucht sich eine Person aus seinem Team, die schon in den letzten Jahren zu dem Thema gearbeitet hat. Sie wird dann mitarbeiten und den Juristen Frage und Antwort stehen.

Wir sind in unserer Technikergruppe fünfzehn Leute und müssen zusammen alle Datenschutzthemen abdecken können. Das heißt beispielsweise, dass wir uns zu Pandemiezeiten mit Bluetooth-Tokens beschäftigt haben und zu Blockchain-Zeiten alle Blockchain-Expertinnen wurden. Das ist wirklich breit gefächert. Wir können natürlich nicht auf dem Niveau Expertise anbieten, wie das die Universitäten teilweise können oder auch spezielle Organisationen, die nur ein Kernthema haben. Das bedeutet, dass wir natürlich viel Recherche am Schreibtisch machen, um einen fundierten Beitrag zu einer Stellungnahme zusammen mit den Juristen zu erarbeiten.

Constanze Kurz: Das ist also der Ablauf für den Fall einer Stellungnahme, die der Europäische Datenschutzbeauftragte allein abgibt. Aber was passiert, wenn auch der Europäische Datenschutzausschuss angehört wird?

Robert Riemann: Der Europäische Datenschutzbeauftragte ist ja Teil des Europäischen Datenschutzausschusses. Das heißt, er bringt sich dort in fast allen Themen ein. Beim Europäischen Datenschutzausschuss gibt es mehrere Fachgruppen. Dazu gehört die Technology Experts Sub-Group, also eine Expertengruppe zu Technologiefragen. Dahin dürfen alle Mitgliedsländer, die im Europäischen Datenschutzausschuss vertreten sind, eine Person entsenden, die sich dort zu Themen einbringen kann.

Soll eine Stellungnahme erarbeitet werden, meldet sich ein Mitgliedsland freiwillig und leitet dieses Projekt federführend. Personen, die daran mitarbeiten, bilden eine Art Schreibteam und treffen sich beispielsweise alle zwei Wochen, um einen ersten Entwurf vorzubereiten.

Technische Fragen landen wahrscheinlich bei dieser Expertengruppe für Technologiefragen. Deutschland hat eine gewisse Sonderrolle, weil es ja nicht nur Mitarbeiter von der Bundesbeauftragten für den Datenschutz hat, sondern auch Mitarbeiter in den Landesdatenschutzbehörden. Zusätzlich gibt es deswegen auch noch einen deutschen Prozess, der festlegt, wer in welcher Gruppe zu welchem Thema mitarbeitet. Am Ende arbeiten dann ein Technologieexperte aus Spanien, einer aus Italien, einer aus Hessen und dann vielleicht noch jemand aus Finnland mit.

Deren Entwurf wird zunächst in der Expertengruppe für Technologiefragen vorgestellt. Sie trifft sich monatlich, seit der Corona-Pandemie online und zweimal im Jahr auch mit einen Pflichtpräsenztermin, so dass man sich ein bisschen kennenlernen kann. An einem Tag werden dann alle Themen einmal durchgearbeitet. Wenn dann die Expertengruppe mit einem Entwurf zufrieden ist und annimmt, dass er mehrheitsfähig ist, dann kann das theoretisch schon der Plenarsitzung mit allen Aufsichtsbehörden vorgelegt werden. Aber bei sehr komplexen Fragen holt man die juristische Perspektive vorher hinzu.

Thomas Zerdick: Das klingt alles sehr kompliziert, aber ist es eigentlich nicht. Es ist ein typisches Beispiel, wie Europa zusammenarbeitet. Denn in diesen Expertengruppen sitzen eben Vertreter aller Datenschutzaufsichtsbehörden aus ganz Europa. Da werden täglich Kompromisse geschmiedet, Ansichten ausgetauscht und versucht, eine einheitliche Auslegung in diesen Datenschutzfragen zu finden.

„Wir haben uns in Europa zum Positiven weiterentwickelt“

Constanze Kurz: Es gibt auch Kritik an diesem Datenschutzausschuss, eigentlich schon an der Vorgängergruppe, damals noch Artikel-29-Gruppe, vor allem weil die Stellungnahmen unverbindlich waren und wegen der teilweise langfristigen Prozesse, die für so einen Konsens wohl dazugehören. Wie seht ihr diese Kritik?

Thomas Zerdick: Die Kritik kenne ich seit über zwanzig Jahren. Vorher wurde sich beschwert, dass die Artikel-29-Gruppe unverbindliche Stellungnahmen abgibt, an die man sich aber halten muss. Das wurde immer beklagt. Jetzt ist es eigentlich umgekehrt: Der Europäische Datenschutzausschuss, der immer noch Stellungnahmen abgibt, trifft inzwischen verbindliche Entscheidungen gegenüber den eigenen Datenschutzaufsichtsbehörden. Nun wird auch das wieder beklagt.

Ich denke, wir haben uns in Europa zum Positiven weiterentwickelt. Wir haben die Datenschutzgrundverordnung, für deren einheitliche Anwendung der Europäische Datenschutzausschuss an der Arbeit ist. Das hat sich jetzt eingespielt, die Entscheidungen kommen auch relativ schnell.

Constanze Kurz: Die Datenschutzgrundverordnung ist ein EU-Gesetz, das Wirkung entfaltet in allen EU-Ländern und das Grundrecht regelt, was man in Deutschland oft informationelle Selbstbestimmung nennt. Aus meiner Sicht gab es damals eine bestimmte politische Situation, in der es möglich war, die Datenschutzgrundverordnung tatsächlich zum Gesetz zu machen. Doch heute wird der Datenschutz ein bisschen anders betrachtet: Gerade kann man das an dem sogenannten digitalen Omnibus sehen, wo versucht wird, die Datenschutzgrundverordnung zu verändern. Datenschutz scheint aktuell nicht gerade ein hippes Thema zu sein und wird auch in Deutschland manchmal als Innovationsbremse diskreditiert, zumindest von der aktuellen Regierung. Was haltet ihr von den Vorschlägen, die jetzt im digitalen Omnibus besprochen werden?

Thomas Zerdick: Wieso reden wir denn über den Datenschutz in Europa? Weil die europäische Grundrechte-Charta, also praktisch die Verfassung von Europa, den Datenschutz ausdrücklich als Grundrecht stützt. Das ist eine feste Sache, an der man nicht vorbeikommt. Die Auswirkung dieses Grundrechts ist, dass die EU verpflichtet ist und die Mitgliedstaaten ebenso, dieses Grundrecht zu schützen und Regeln dafür zu schaffen, wie man das am besten macht.

Das hat die Europäische Union schon seit 1995 gemacht. Und es gibt seit 2016 die Datenschutzgrundverordnung, die versucht zu sagen, was die Regeln sind, um mit personenbezogenen Daten umzugehen. Das war der erste große EU-Rechtsakt, der im digitalen Feld spielt – ein Meilenstein.

Jetzt haben wir den digitalen Omnibus, der versucht, an dem Text der Datenschutzgrundverordnung Änderungen vorzunehmen. Ich denke nicht, dass man sagen kann, das Ganze wird in Frage gestellt. Das geht nicht, weil die EU-Grundrechte-Charta diesen Schutz des Grundrechts Datenschutz einfordert. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte arbeiten gerade an einer Stellungnahme für diesen digitalen Omnibus.

Constanze Kurz: Da drängt sich eine Frage auf: Angenommen, es bestehen rechtliche Differenzen, also eine Stellungnahme des Europäischen Datenschutzbeauftragten bewertet rechtliche Fragen anders als beispielsweise die EU-Kommission. Wie ist dann der weitere Verlauf? Kann die EU-Kommission das auch einfach ignorieren? Muss sie bestimmte Elemente aus den Stellungnahmen aufnehmen?

Thomas Zerdick: Kein Mensch ist verpflichtet, uns zuzuhören, um es mal ganz krass zu sagen. Aber das ist natürlich Expertise und Datenschutzwissen, was wir herantragen. Das ist die ureigenste Aufgabe einer unabhängigen Datenschutzaufsicht, dieses Wissen weiterzugeben und zu sagen, was unsere Auslegung, unser Verständnis von einem Vorschlag ist.

Wir wissen, dass sowohl die Kommission als auch die Mitgliedstaaten als auch die Abgeordneten im Europäischen Parlament sehr wohl lesen, was vom Europäischen Datenschutzbeauftragten geschrieben wird. Aber rechtlich verbindlich ist das nicht.

Constanze Kurz: In Deutschland ist es häufig so, dass zum Beispiel bei Bundestagsgesetzgebungsprozessen die Bundesdatenschutzbeauftragte hinzugezogen wird. Aber die Gesetzesvorschläge müssen auch nicht unbedingt die Meinung der Bundesdatenschutzbeauftragten übernehmen. Am Ende landen in Deutschland dann einige Gesetze vor dem Bundesverfassungsgericht, wo wiederum die Bundesdatenschutzbeauftragte als Sachverständige an der Urteilsfindung mitwirkt. Wie ist das in Brüssel, wo ja auch viele Gesetzgebungsverfahren am Ende beim Europäischen Gerichtshof landen? Tritt dort der Europäische Datenschutzbeauftragte auch als Sachverständiger auf, wenn darüber gestritten wird, ob ein Gesetz mit der EU-Charta in Einklang ist?

Thomas Zerdick: Ja, durchaus. Das liegt dann beim Europäischen Gerichtshof, er kann uns als Sachverständigen beiladen. Das ist auch bereits passiert. Ich war selber persönlich zu einem Fall dort, wo es um die Vorratsdatenspeicherung ging. Der Europäische Gerichtshof lädt uns dann ein und stellt Fragen, die wir zu beantworten haben, erst schriftlich oder auch in der mündlichen Verhandlung in Luxemburg.

Software auf code.europa.eu

Constanze Kurz: Wie wird der Europäische Datenschutzbeauftragte noch hinzugezogen?

Thomas Zerdick: In laufenden Gesetzgebungsverfahren werden wir oft vom Europäischen Parlament beigeladen oder von Ausschüssen oder auch von einzelnen Abgeordneten im Europäischen Parlament. Auch der Rat der Europäischen Union lädt ab und zu den Europäischen Datenschutzbeauftragten ein, wenn zu gewissen Punkten Stellungnahmen abzugeben sind.

Robert Riemann: Es kann vorkommen, dass eine nationale Datenschutzbehörde einen Beschwerdefall hat oder auch ein Unternehmen beaufsichtigt und Bedenken hat in der Auslegung der Datenschutzgrundverordnung. In solchen Fällen kann sich die Datenschutzbehörde an den Europäischen Datenschutzausschuss wenden und vorschlagen: Wir haben hier ein interessantes Thema, das nicht nur relevant für unser Land ist, sondern für die ganze Europäische Union. Eine gemeinsame Stellungnahme kann dann in der Plenarsitzung vorgeschlagen und erarbeitet werden. Daran arbeitet natürlich oft auch der Europäische Datenschutzbeauftragte mit.

Thomas Zerdick: Es gibt eine kollegiale Zusammenarbeit mit anderen Aufsichtsbehörden, etwa bei Ergebnissen von Untersuchungen, die wir in Brüssel als Europäischer Datenschutzbeauftragter gemacht haben, zum Beispiel im Fall Europäische Kommission und Microsoft 365. Dann können die Kollegen aus den Mitgliedstaaten sagen, bitte teilt mit uns auf dem Amtswege eure Erkenntnisse, damit wir davon lernen können. Das ist unser tägliches Brot.

Robert Riemann: Es gibt auch internationale Kooperationen in anderen Themenbereichen: Software entwickeln wir zum Beispiel gemeinsam. Und über die Grenzen in Europa hinweg entwickeln wir auch Methoden, um technische Audits durchzuführen. Wir haben dazu auf code.europa.eu Software, die auch Unternehmen benutzen können, bevor die Datenschutzbehörden sie einsetzen. Darüber hinaus gibt es seit zwei, drei Jahren auch jedes Jahr Workshops, wo Techniker nach Brüssel kommen, um sich auszutauschen.

Die Juristen haben das schon länger gemacht. Nun ist der Austausch nicht mehr nur auf Rechtsfragen beschränkt, sondern findet auch zu technischen Fragen statt, auch teilweise zu ganz praktischen Fragen.

Constanze Kurz: Ist das also eine neuere Entwicklung, wenn das erst seit zwei oder drei Jahren stattfindet?

Robert Riemann: Genau. Die Datenschutzbehörden der EU-Staaten sind häufig sehr klein. Der Europäische Datenschutzausschuss hat in seinem Jahresbericht veröffentlicht, wie viele Mitarbeiter in den einzelnen Ländern mitarbeiten. In Deutschland haben wir natürlich einen Luxusfall, ungefähr 1.000 Menschen arbeiten hier über die verschiedenen Landesbehörden verteilt. Aber es gibt eben auch Länder wie Liechtenstein, wo es nur wenige Personen sind, die aber auch viele technische Lösungen abdecken können müssen. Insofern sind wir darauf angewiesen, effizient zusammenzuarbeiten und uns über unsere Ansätze nicht nur zu Rechtsfragen, sondern auch zu technischen Fragen auszutauschen.

„Die Kritik am Datenschutz ist eigentlich eine deutsche Kritik“

Constanze Kurz: Wir haben ja in den letzten Monaten seit der zweiten Amtseinführung von Donald Trump erlebt, dass sich die US-amerikanische und die europäische Datensphäre auseinanderentwickeln und dass Digital-Gesetze und Datenschutzgesetze auf europäischer Ebene in den politischen Kampf hineingezogen werden. Wie seht ihr diesen Konflikt, dass die Regeln, die eben häufig für große US-Unternehmen hier in Europa geschaffen wurden, nun unter diesen Vorzeichen in der Spitzenpolitik debattiert und vom US-Präsidenten in ganz klassische Handelskriege reingezogen werden?

Thomas Zerdick: Ganz entspannt. Das gab es schon zu Zeiten der ersten Datenschutzrichtlinie 1995. Schon damals war absehbar: Wenn sich Europa entscheidet, Datenschutzvorschriften einzuführen, weil es ein Grundrecht ist, betrifft das Wirtschaftsinteressen insbesondere der US-amerikanischen Konzerne. Schon damals war sehr viel Politik im Spiel, und das war nichts anderes, als dann die Datenschutzgrundverordnung verhandelt wurde. Da kamen die Amerikaner schon sehr früh zur EU-Kommission und haben vorgeschlagen: Macht das doch mal anders, macht das noch mal weniger scharf. Es war letztlich ironischerweise die durch Edward Snowden ausgelöste Affäre, die dann auf europäischer Seite dazu geführt hat, zu sagen: Das geht uns zu weit, wir brauchen jetzt scharfe europäische Datenschutzvorschriften.

Aus Brüsseler Sicht ist das nichts Neues, das ist ganz normal. Schlecht wäre es natürlich, wenn dem Druck nachgegeben würde. Das kann ich mit dem europäischen Grundrechtscharakter des Datenschutzes schlecht vereinbaren, wenn wir plötzlich sagen würden: Ja, wir haben jetzt Gesetze, aber wir wenden sie nicht an, weil es US-amerikanische Konzerne sind.

Constanze Kurz: Als Deutsche bin ich seit vielen Jahren vertraut mit den Datenschutzdiskussionen, die häufig öffentlich geführt werden. Die Chatkontrolle wäre dafür ein Beispiel oder die Vorratsdatenspeicherung. Die deutsche Öffentlichkeit räumt dem Grundrecht auf informationelle Selbstverstimmung einen Wert ein. Auch die Verfahren, die beim Bundesverfassungsgericht geführt werden, erfahren oft eine große Öffentlichkeit. Das ist aber nicht in allen europäischen Ländern so. Wie seht ihr die Diskrepanzen bei der Wahrnehmung dieses Grundrechts in Europa?

Thomas Zerdick: Das erklärt sich zum Teil aus den geschichtlichen Unterschieden. Aber es ist ja ein großer Konsens vorhanden: Datenschutz existiert und ist auch ein Grundrecht in allen europäischen Mitgliedstaaten. Das ist also nicht anders als in Deutschland. Und die Grundlage der Zusammenarbeit zumindest bei den Aufsichtsbehörden ist eben die Datenschutzgrundverordnung.

Man muss auch sagen, dass Deutschland – derzeit zumindest – ziemlich allein dasteht, weil die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Das ist ganz merkwürdig. Diese großflächigen Spitzen gegen den Datenschutz hört man aus anderen Mitgliedstaaten so nicht. Im Gegenteil, das wird dort einfach gemacht und umgesetzt, und dann ist gut.

Bundesregierung sägt am Datenschutz

Kurz und knappe Informationen zu dem, was der Datenschutzbeauftragte macht

Constanze Kurz: Gibt es etwas, was ihr für den Europäischen Datenschutzbeauftragten für die Zukunft wünschen würdet? Was wäre notwendig oder würde die Effizienz oder die Qualität der Arbeit sehr verbessern?

Robert Riemann: Meine Wünsche wären gar nicht so spezifisch nur für Datenschutzbehörden, eher allgemein für Behörden. Wir hatten beispielsweise beim Europäischen Datenschutzbeauftragten schon früh eine digitale Akte. Das hat während der Corona-Pandemie unheimliche Vorteile gehabt. Aber ich denke, generell könnte man noch viel mehr durch Automatisierung von Prozessen erreichen. Ich wünsche mir, dass wir Dashboards haben, um Fallmanagement zu machen, und zwar nicht für jedes Land einzeln, sondern am besten eines, was für alle Datenschutzbehörden funktionieren würde. Sowas haben wir momentan nicht.

Ich würde mir auch wünschen, dass es eine digitale Strategie gibt, die nicht nur national denkt, sondern auch europäisch. Und ich denke, es fehlt uns an vielen Standardisierungsprozessen. Das ist schwer in Gang zu bringen, weil die Datenschutzbehörden nur wenige Informatiker haben und das Geld knapp ist. Insofern ist es nicht klar, wie sich das demnächst verbessern könnte.

Thomas Zerdick: Ich würde mich Robert anschließen. Warum? Natürlich hat ein Amt wie der Europäische Datenschutzbeauftragte nie genug Mitarbeiter und nie genug Geld. Das wird sich in absehbarer Zeit auch nicht ändern. Aber was uns gut zu Gesicht stände, wäre eine bessere Automatisierung von Prozessen.

Nur ein Beispiel: Wir bearbeiten natürlich auch Eingaben und Beschwerden von Bürgerinnen und Bürgern. Und wir sehen gerade in der letzten Zeit eine 140-prozentige Steigerung dieser Beschwerden auf uns zukommen. Warum? Weil die Leute, die sich beschweren, zu generativer KI greifen und sich eine Beschwerde beispielsweise an die Europäische Kommission generieren lassen und sie direkt an den Europäischen Datenschutzbeauftragten schicken. Wir brauchen hier sozusagen Waffengleichheit, wir müssen auch praktisch KI-gestützte Anwendungen zur Verfügung haben, um vielleicht besser und effizienter arbeiten zu können.

Wir sind ja auch gleichzeitig Aufsichtsbehörde für KI-Systeme von den europäischen Organen. Das heißt, wir haben eine Doppelaufgabe: nicht nur Datenschützer, sondern auch KI-Aufsicht. Ich sehe die Notwendigkeit, dass wir die zugrundeliegende Technik verstehen und auch Kolleginnen und Kollegen dafür einstellen, die das beaufsichtigen können.

Constanze Kurz: Wenn sich jemand nun noch mehr interessiert für den Europäischen Datenschutzbeauftragten, wo holt man sich mehr Informationen?

Thomas Zerdick: Auf unserer Homepage edps.europa.eu findet man alles, was das Herz begehrt, insbesondere auch kurz und knappe Informationen zu dem, was wir machen und auch zur Technik und zu neuen Technologien, aber auch unsere Entscheidungen. Podcasts gibt es auch!

Robert Riemann: Ich möchte noch eine weitere Möglichkeit erwähnen, wie man uns folgen kann: Der Europäische Datenschutzbeauftragte hat einen Mastodon-Account.

Constanze Kurz: Ich möchte mich bedanken für die Zeit, die ihr euch genommen habt, und für die Einblicke, die ihr gegeben habt. Vielen Dank für das Gespräch!

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Bundesgesundheitsministerium will die Digitalisierung im Gesundheitswesen rasch voranbringen. Ein Gesetzentwurf definiert dafür die Rolle der elektronischen Patientenakte um, weitet die Nutzung von Gesundheitsdaten erheblich aus und gibt der Gematik neue weitreichende Befugnisse. Wir veröffentlichen den Gesetzentwurf.

Bundesgesundheitsministerin Nina Warken (CDU) hat einen ersten Entwurf für das „Gesetz für Daten und digitale Innovation im Gesundheitswesen“ (GeDIG) vorgelegt. Das rund 200-seitige Dokument soll die Weichen für eine digital gestützte Gesundheitsversorgung stellen und wird derzeit zwischen den Bundesministerien abgestimmt. Wir veröffentlichen den Entwurf (PDF).

Das Fundament für das Gesetz hatte Warken bereits Mitte Februar mit ihrer Digitalisierungsstrategie gebaut. Darin formuliert die Ministerin das Ziel, die elektronische Patientenakte (ePA) nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung zu machen, sondern auch zur „Gesundheits(daten)plattform“ auszubauen.

Dementsprechend soll das GeDIG unter anderem die Grundlagen für ein „digitales Primärversorgungssystem“ schaffen, indem es die Rolle der ePA erheblich erweitert. Außerdem will das Ministerium mehr Gesundheitsdaten für die Forschung bereitstellen und die Befugnisse der Gematik umfassend ausbauen.

Die elektronische Patientenakte als erste Anlaufstelle

Die ePA-App soll den Versicherten künftig einen „digitalen Versorgungseinstieg“ ermöglichen. Sie wäre dann nicht mehr nur ein digitaler Dokumentenspeicher, sondern die erste digitale Anlaufstelle für die gesundheitliche Grundversorgung.

Mit Hilfe der App sollen Versicherte künftig zunächst eine Ersteinschätzung einholen. Diese Einschätzung soll spätestens ab dem 1. Februar 2028 nach einheitlichen Standards durch die Terminservicestellen der Kassenärztlichen Vereinigungen erfolgen. Versicherte sollen dann über die ePA-App direkt an deren standardisierte Ersteinschätzungsverfahren weitergeleitet werden. Wird dabei ein Behandlungsbedarf festgestellt, können die Versicherten über die App digital einen Termin für eine ärztliche Behandlung buchen. Damit der Prozess möglichst reibungsfrei abläuft, müssen Arztpraxen ab dem 1. September 2029 die elektronische Überweisung anbieten.

Bei der Terminvergabe sollen ebenfalls einheitliche Standards gelten. Buchungsplattformen wie Doctolib müssen sich laut Gesetzentwurf auf strengere Vorgaben einstellen, die die Kassenärztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband festlegen. Sie sollen unter anderem sicherstellen, dass Dritte den Terminbuchungsprozess nicht kommerziell nutzen.

Krankenkassen sollen Gesundheitsdaten auswerten dürfen

Das GeDIG zielt außerdem darauf ab, dass im Gesundheitswesen mehr Daten für „Versorgung, Forschung und Innovation“ bereitstehen.

Dafür sollen die Krankenkassen deutlich mehr Befugnisse erhalten, um bei ihren Versicherten individuelle Gesundheitsrisiken auszumachen. Mit Zustimmung der Versicherten sollen sie auf Daten zugreifen dürfen, die in der ePA hinterlegt sind. Zudem sollen sie selbst Gesundheitsdaten erheben können, die unter anderem „Ernährungsgewohnheiten“, den „Raucherstatus“ oder das Körpergewicht der Versicherten erfassen. Mit den gewonnenen Informationen dürfen die Versicherungen dann auf „gesunde Lebensverhältnisse“ laut Gesetzentwurf bei ihren Versicherten hinwirken.

Darüber hinaus sollen die Kassen personenbezogene Sozialdaten, die ihnen vorliegen, anonymisieren und auswerten dürfen. Nach der Anonymisierung weisen die Daten keinen Personenbezug mehr auf. Aus Datenschutzsicht dürfen sie damit „zur Erfüllung gesetzlicher Aufgaben“ weiterverarbeitet und an Dritte übermittelt werden.

Auch mit nicht-anonymisierten Daten sollen die Kassen hantieren dürfen. Eine neue Experimentierklausel soll es ihnen ermöglichen, sogenannte Reallabore einzurichten. Hier können die Versicherungen zeitlich befristet die „innovative Nutzung von personenbezogenen Daten“ erproben, etwa um eine „bessere Einschätzung von Erkrankungsrisiken (z. B. Demenz, Herzerkrankungen)“ zu erhalten.

Damit kommt der Gesetzentwurf den Erwartungen der Krankenkassen weitgehend entgegen. Ende vergangenen Jahres hatte der GKV-Spitzenverband gefordert, die Präventionsangebote der Kassen „durch den Ausbau der datengestützten Früherkennung von Krankheiten“ ausbauen zu dürfen. Die Ärzteschaft hatte vor einem solchen Schritt gewarnt, weil sie die Aushöhlung des Patientengeheimnisses und der ärztlichen Schweigepflicht befürchtet. Offenkundig setzt sich das BMG über derlei Bedenken nun tendenziell hinweg.

So umfassend will Warken die Gesundheitsdaten aller Versicherten verknüpfen

Eine Forschungskennziffer gegen Datensilos und für Widerspruchsrechte

Damit auch die Forschung von den Gesundheitsdaten profitiert, sieht der Gesetzentwurf die Einführung einer „eindeutigen Forschungskennziffer“ vor. Diese pseudonyme Kennziffer wird aus dem unveränderlichen Teil der Krankenversichertennummer (KVNR) abgeleitet und soll „die Verknüpfung von Daten verschiedener Datensilos“ ermöglichen.

Damit will das BMG zugleich die Umsetzung der EU-Verordnung über den Europäischen Gesundheitsdatenraum) (EHDS) vorbereiten. Die Verordnung trat im März 2025 in Kraft und findet in den kommenden Jahren sukzessive Anwendung. Der EHDS wird der erste sektorenspezifische Datenraum in der EU sein und soll als Blaupause für weitere sogenannte Datenräume dienen. Künftig sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Auch Forschende und Behörden sollen diese Daten unter bestimmten Voraussetzungen nutzen dürfen. Möchten Versicherte das nicht, können sie von ihrem Widerspruchsrecht (Opt-out) Gebrauch machen. Die Forschungskennziffer soll laut BMG als technischer Schlüssel dienen, um die entsprechenden Datensätze gezielt herauszufiltern.

„Trotz der Funktion als ‚unique identifier‘ ist es gerade nicht das Ziel der Forschungskennziffer, einer Identifizierung von Einzelpersonen zu ermöglichen“, betont das BMG in dem Gesetzentwurf. „Im Gegenteil dient die Forschungskennziffer gerade dazu, bei der Zurverfügungstellung von Daten solche Merkmale zu ersetzen, über die Betroffene leichter re-identifiziert werden können.“

Fachleute weisen jedoch darauf hin, dass eine derartige Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation biete. Das Risiko steige zudem an, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, die weitere personenbezogene Daten der gleichen Person enthalten.

Gematik erhält deutlich mehr Befugnisse

Um das „hohe Tempo bei der Digitalisierung im Gesundheitswesen und der Pflege […] aufrecht zu erhalten“ ist laut BMG auch „die Fortentwicklung der Gesellschaft für Telematik (gematik) erforderlich“. Die Gematik ist in Deutschland für die technischen Vorgaben bei der Digitalisierung des Gesundheitswesens verantwortlich. Betrieben wird die Firma gemeinschaftlich von Ministerien wie dem BMG sowie privaten Organisationen aus dem Gesundheitsbereich, darunter Krankenkassen-Verbände oder die Bundesärztekammer. Der Gesetzentwurf sieht vor, dass die Gematik neue Befugnisse erhält.

Das Ministerium verfolgt damit insbesondere das Ziel, die Betriebsstabilität der Telematikinfrastruktur (TI) zu verbessern. Die TI ist das digitale Netzwerk des deutschen Gesundheitswesens, über das Arztpraxen, Kliniken, Apotheken und Krankenkassen Informationen austauschen. Sie erwies sich in den vergangenen Jahren allerdings als überaus instabil. Unter anderem KBV-Vorstandsmitglied Sibylle Steiner hatte zu Jahresbeginn gefordert, dass die Technik „geräuschlos und reibungslos im Hintergrund laufen“ müsse. „Das muss 2026 das Ziel sein“, so Steiner.

Um das zu erreichen, will das BMG die Gematik von einer Zulassungsbehörde zu einer aktiv steuernden Digitalagentur mit Durchsetzungsbefugnissen ausbauen. Das wäre ein erheblicher Machtzuwachs für die vielfach kritisierte Gematik, ohne dass das Gesetz eine entsprechende unabhängige Kontrolle vorsieht – zumal das BMG nicht nur Auftraggeber, sondern auch Gesellschafter der gematik ist.

Laut Gesetzentwurf soll die Gematik kritische Kernkomponenten der Telematikinfrastruktur künftig selbst beschaffen und bereitstellen. Bislang verkaufen Anbieter ihre Komponenten eigenständig an Arztpraxen und Kliniken, nachdem die Digitalagentur diese zugelassen hat. Nach Einschätzung des Ministeriums hat das jedoch zu hoher Komplexität, schlechter Betriebsstabilität und mangelnder Servicequalität geführt. Um Störungen und Sicherheitsprobleme zu beseitigen, soll die Digitalagentur außerdem zusätzliche Durchgriffsrechte erhalten.

Auf diesem Wege will das Gesundheitsministerium auch mehr Interoperabilität im Gesundheitswesen erreichen. Verschiedene IT-Systeme, Programme und Plattformen sollen nahtlos zusammenarbeiten und untereinander Daten austauschen können, auch wenn sie von unterschiedlichen Herstellern stammen.

Als konkreter Anwendungsfall soll hier die digitale Impfdokumentation als Vorstufe des digitalisierten Impfprozesses eingeführt werden. Der sogenannte digitale Impfpass soll als eine „nutzenstiftende Mehrwert-Anwendung“ auch dazu beitragen, dass mehr Versicherte die ePA aktiv nutzen. Bislang tut das nämlich nur ein sehr kleiner Teil der Versicherten.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundesgesundheitsministerin Nina Warken hat ihre Digitalisierungsstrategie vorgelegt. Darin betont die CDU-Ministerin, die Patient:innensouveränität stärken zu wollen. Tatsächlich aber will sie eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufbauen. Nutznießer sind Forschung und Pharma-Unternehmen. Die Rechte der Patient:innen bleiben auf der Strecke.

Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).

Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.

Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.

Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.

Die ePA soll zur „Gesundheits(daten)plattform“ werden

Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.

Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.

Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.

„Künstliche Intelligenz“ soll Symptome auswerten

Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.

Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.

Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.

Forschungsdatenzentrum soll als „Innovationsmotor“ wirken

Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.

Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.

Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.

Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.

Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.

„Real-World-Überwachung“ ermöglichen

Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.

Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.

Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.

Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.

Wie „Künstliche Intelligenz“ unser Gesundheitswesen verändern soll – und welche Fragen das aufwirft

Warken will Medizinregister miteinander verknüpfen

Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.

Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.

Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.

Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.

Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.

Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.

Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an

Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.

Zu diesem Zweck sollen Betreiber von Medizinregistern und die meldenden Gesundheitseinrichtungen registerübergreifende Pseudonyme erstellen dürfen. Als Grundlage dafür soll der unveränderbare Teil der Krankenversichertennummer von Versicherten (KVNR) dienen.

Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.

Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.

Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.

Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.

Gesundheitsministerium schafft Schnittstellen in die EU

Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.

Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.

Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Streit um die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur irischen Datenschutzbeauftragten erreicht Brüssel. Doch auch nach einer formalen Beschwerde des Irish Council for Civil Liberties will die EU-Kommission offenbar nicht in das Verfahren eingreifen.

Das Irish Council for Civil Liberties (ICCL) hat am 28. Oktober eine formale Beschwerde bei der EU-Kommission eingereicht. Darin kritisiert die Menschenrechtsorganisation die Ernennung von Niamh Sweeney zur Leiterin der irischen Data Protection Commission (DPC). Die Berufung stelle die Unabhängigkeit der Datenschutzbehörde infrage.

Bereits vergangene Woche hatten mehrere Nichtregierungsorganisationen der irischen Regierung einen Beschwerdebrief übergeben, in dem sie die Ernennung Sweeneys kritisieren. Als Grund führen sie zum einen an, dass diese mehr als sechs Jahre als Lobbyistin für den Tech-Konzern Meta tätig war. Meta ist eines der Unternehmen, das die DPC überwacht.

Zum anderen kritisieren die NGOs das Auswahlverfahren selbst. Dafür stellte das Unternehmen publicjobs ein Gremium aus fünf Personen zusammen. Darunter war auch Leo Moore. Der Anwalt der Kanzlei William Fry hat mit mehreren Big-Tech-Unternehmen zusammengearbeitet. Neben Moore gehörte außerdem ein Vertreter des irischen Justizministeriums dem Auswahlgremium an: Deputy Secretary General Doncha O’Sullivan.

Irland: Liebling der Tech-Branche

In seiner Beschwerde betont das ICCL, dass die DPC eine Schlüsselposition bei der Durchsetzung der europäischen Datenschutzgrundverordnung (DSGVO) einnehme. Außerdem müsse die irische Datenschutzkommission laut EU-Recht vollkommen unabhängig gegenüber jeglichen Weisungen von außen agieren – auch gegenüber möglicher Einflussnahme der irischen Regierung.

Viele Technologiekonzerne haben ihren europäischen Hauptsitz in Irland, darunter Meta, Google, Apple, Microsoft und TikTok. Die Unternehmen tragen einen erheblichen Teil zu Irlands Wirtschaft bei. Und Meta allein zahlte im Jahr 2023 mehr als 280 Millionen Euro Steuern an die irischen Behörden.

Derweil geriet die Durchsetzung der DSGVO in Irland den vergangenen Jahren immer wieder ins Stocken. Im Jahr 2022 klagte die DPC sogar gegen eine Entscheidung des ihr übergeordneten European Data Protection Board, um keine weitergehenden Ermittlungen zu Metas Datenverarbeitung aufnehmen zu müssen.

Die Berufung Sweeneys zur dritten Datenschutzkommissarin lässt den ICCL an der Unabhängigkeit der Datenschutzbehörde zweifeln. In ihrer Beschwerde an die EU Kommission schreibt die Organisation:

„Angesichts der bisherigen Bilanz der irischen Datenschutzkommission und der begründeten Zweifel an ihr hätte Irland sich über jeden Vorwurf [der Parteilichkeit] erheben müssen, unter anderem durch die Einführung von Verfahrensgarantien für die Ernennung der Mitglieder seiner Behörde.“

EU-Kommission will offenbar nicht eingreifen

Bei einer Pressekonferenz der EU-Kommission am 29. Oktober erkundigte sich eine Journalistin bei einem Kommissionssprecher, ob die Kommission die Beschwerde des ICCL annehmen werde. Der Sprecher antwortete, dass die europäischen Mitgliedstaaten für die Besetzung ihrer jeweiligen Datenschutzbehörde zuständig seien.

Die Kommission sei nicht in das Auswahlverfahren involviert gewesen und habe auch keine Kompetenzen einzuschreiten. Zugleich versuche die Kommission „immer sicherzustellen […], dass alle europäischen Datenschutzbehörden die Mittel und Unabhängigkeit haben, um ihrer Arbeit nachzugehen“.

Die Reaktion der EU-Kommission kritisiert Itxaso Domínguez de Olazábal vom Verband europäischer Digitalorganisationen European Digital Rights (EDRi): „Die Kommission kann nicht weiter wegschauen, während eine nationale Regulierungsbehörde die Grundsätze der Union untergräbt“, sagt de Olazábal gegenüber netzpolitik.org. „Der Schutz personenbezogener Daten und Grundrechte ist Teil dessen, wofür die EU steht – und die Kommission muss entsprechend handeln.“

Domínguez betont, dass die Beschwerde des ICCL nicht nur auf das Auswahlverfahren, sondern auch auf die Unabhängigkeit der DPC beziehe. Daher liege das Verfahren durchaus im Zuständigkeitsbereich der Kommission. „Die Kommission konzentriert sich offenbar auf das Auswahlverfahren und übersieht dabei das tieferliegende Problem: die anhaltende mangelnde Unabhängigkeit der irischen Datenschutzbehörde, die durch diese Ernennung offengelegt wird“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Um „organisierten Leistungsmissbrauch“ im Sozialbereich zu verhindern, will Arbeitsministerin Bärbel Bas den Datenaustausch zwischen Polizei, Ordnungsämtern und Jobcenter fördern und das Strafrecht verschärfen. Sozialverbände und Organisationen von Betroffenen warnen vor verheerenden Folgen.

Die Koalition aus Union und SPD setzt ihren Kurs der Verschärfungen in der Migrations- und Sozialpolitik fort. Bundesarbeitsministerin Bärbel Bas hat nun angekündigt, Missbrauch von Sozialleistungen durch Personen aus dem europäischen Ausland in Deutschland entschiedener bekämpfen zu wollen. Laut Bas gebe es „organisierten Leistungsmissbrauch“ durch kriminelle Netzwerke.

Nach einem Treffen mit Vertreter*innen der Kommunen und Jobcentern am Montag in Duisburg kündigte die Co-Chefin der SPD an, betrügerische Strukturen vor allem mit einem schnelleren Datenaustausch zwischen Behörden aufspüren zu wollen. Ordnungsämter, Polizei und Jobcenter müssten besser miteinander kommunizieren und Daten austauschen können, forderte Bas. Dazu seien Gespräche mit Datenschützer*innen und dem Digitalminister nötig.

Bas will EU-Freizügigkeit einschränken

Gemeinsam mit Justizministerin Stefanie Hubig (SPD) will Bas außerdem prüfen, ob es eine „Strafbarkeitslücke“ im deutschen Recht gibt. So könnte Sozialleistungsmissbrauch im Strafgesetzbuch ein eigener Straftatbestand werden. Die Ministerin will damit erreichen, „dass die Verfahren nicht immer eingestellt werden“.

Außerdem will Bas die Arbeitnehmerfreizügigkeit auf EU-Ebene neu definieren. Diese sei zwar eine wichtige Errungenschaft, müsse aber an Voraussetzungen geknüpft werden. Dazu nannte sie etwa die mögliche Einführung einer Mindestanzahl an Wochenarbeitsstunden.

Derzeit können Menschen aus anderen EU-Staaten unkompliziert nach Deutschland einreisen, hier einen Wohnsitz anmelden und eine Arbeit aufnehmen, sofern sie einen gültigen Pass besitzen. Anders als deutsche Staatsangehörige haben sie Anspruch auf Sozialleistungen jedoch nur, wenn sie einen Minijob haben und der Lohn zum Leben nicht reicht.

Verfahren nur bei ausländischen Verdachtsfällen

In Deutschland bezogen zuletzt insgesamt rund 5,5 Millionen Menschen Bürgergeld. Angesichts der scharfen Debatte überraschen die geringen Fallzahlen solcher Verdachtsfälle „bandenmäßigen Leistungsmissbrauchs“. Bis Mai dieses Jahres haben die Jobcenter 195 solcher Fälle registriert, 96 zogen eine Strafanzeige nach sich. Im vergangenen Jahr waren es 421 Verdachtsfälle, bei 209 von ihnen wurde eine Strafanzeige erstattet. Das geht aus Antworten der Bundesregierung auf eine Kleine Anfrage der Grünen hervor.

Die Zahl der Fälle, die tatsächlich zu einer Verurteilung führen, ist nicht bekannt. Die Strafverfolgungsbehörden teilen den Ausgang des Verfahrens nicht immer an die Jobcenter mit.

Jobcenter eröffnen Verfahren wegen „bandenmäßigen Leistungsmissbrauchs“ nur bei nicht-deutschen Unionsbürger*innen. Alle anderen Fälle, die im Zusammenhang mit organisierten Tätergruppen stehen, werden nicht separat als bandenmäßiger Leistungsmissbrauch erfasst, so die Bundesregierung.

Zivilgesellschaft kritisiert faktenfreie Debatte

Die Veranstaltung in Duisburg, nach der Bas ihre Pläne verkündete, war eine Fachtagung zu „Herausforderungen und Lösungen im Zusammenhang mit der Zuwanderung aus EU-Mitgliedstaaten“. Eingeladen waren Vertreter*innen von Stadtverwaltungen, Jobcentern und der Bundesagentur für Arbeit. Interessenvertretungen von Menschen aus dem EU-Ausland, die in Deutschland prekär beschäftigt sind oder Sozialleistungen beziehen, waren nicht dabei.

Das kritisieren zivilgesellschaftliche Organisationen und Wissenschaftler*innen in einem offenen Brief an die Arbeitsministerin. Darin weisen sie die von der Arbeitsministerin befeuerte Debatte um „bandenmäßigem Sozialmissbrauch durch EU-Bürger*innen“ zurück. Diese entspreche nicht der Faktenlage und stelle Menschen aus EU-Staaten unter Generalverdacht des Missbrauchs und Betrugs.

Bereits vor zwei Wochen haben sich zahlreiche andere Organisationen sowie Sozialverbände zu Wort gemeldet. Sie sprechen von medialer Hetze und politischer Instrumentalisierung von Unionsbürger*innen in prekären Lebenslagen. Die zugrunde liegenden Ursachen wie strukturell bedingte Armut, Ausbeutung und fehlender Schutz für Beschäftigte aus anderen EU-Staaten würden in der Debatte ausgeblendet.

Razzien und Zwangsräumungen

Zu den Unterzeichner*innen des am Montag veröffentlichten offenen Briefs zählen zum Beispiel das Netzwerk Europa in Bewegung und die Initiative Stolipinovo in Europa e. V., die sich für die Rechte und Interessen von Migrantengemeinschaften aus Osteuropa einsetzt. Die Organisationen schildern darin mehrere Fälle aus deutschen Städten, die von struktureller Ungleichbehandlung von EU-Ausländer*innen und repressiven behördlichen Praktiken zeugen. Dazu zählen massenhafte Zwangsräumungen, diskriminierende Razzien und rassistische Behandlung in Jobcenter.

Ein Beispiel ist eine Razzia in einer Notunterkunft für wohnungslose Menschen in Berlin-Schöneberg Mitte Oktober. Mitarbeiter*innen der Berliner Jobcenter und der Familienkasse hatten in Begleitung von Polizeibeamt*innen und Pressevertrer*innen um 6 Uhr morgens die Unterkunft aufgesucht. Die Anlauf- und Beratungsstelle Amoro Foro e.V bezeichnet die Aktion als unverhältnismäßig und politisch motiviert. Ihr sei monatelange rassistische Berichterstattung vorausgegangen.

Der Verein Stolipinovo berichtet von Beispielen aus Duisburg. Die Stadt verfolge eine der repressivsten migrationspolitischen Strategien Deutschlands. Eine „Taskforce Problemimmobilien“ nutze Brandschutzverordnungen als Vorwand, um bulgarische und rumänische Staatsbürger*innen unangekündigt aus ihren Wohnungen zu räumen. Die Stadt gebe den Menschen keine Möglichkeit, die angeführten Baumängel zu beseitigen. Im Laufe eines Jahrzehnts hätten auf diese Weise mehr als 5.000 Menschen ihr Zuhause verloren, darunter Familien mit minderjährigen Kindern, Kindern mit Behinderungen sowie Schwangere.

Systematische Benachteiligung in Behörden

Auch eine Untersuchung der Bundesarbeitsgemeinschaft der Freien Wohlfahrtspflege dokumentierte 2021 eine diskriminierende Sonderbehandlung von nicht-deutschen EU-Bürger*innen durch Jobcenter und Familienkassen. Eine Umfrage unter Mitarbeitenden in der Beratung ergab unter anderem, dass Bürger*innen östlicher EU-Staaten mit systematischen und teilweise rechtswidrigen Schwierigkeiten bei der Beantragung von Sozialleistungen und von Kindergeld konfrontiert sind.

Dazu gehört beispielsweise, dass Menschen aus Rumänien, Bulgarien und anderen Staaten bereits in der Eingangszone von Jobcenter abgewiesen werden und nicht einmal einen Antrag auf Leistungen stellen können. Auch müssten EU-Bürger*innen oft unverhältnismäßig hohe Anforderungen für das Vorlegen von Dokumenten erfüllen. Teilweise werden aufstockende Leistungen trotz belegter Erwerbstätigkeit verweigert.

Der Paritätische Gesamtverband bewertete die Ergebnisse als skandalös und warnte vor strukturellem Rassismus in Jobcenter. Eine Untersuchung der Universität Duisburg-Essen bestätigte die Vorwürfe im vergangenen Jahr am Beispiel Duisburgs: Sozialrechtlicher Ausschluss, repressives Vorgehen der lokalen Behörden sowie ein informeller Arbeitsmarkt würden zur prekären Lebenslage von Unionsbürger*innen in segregierten Stadtteilen beitragen.

Warnung vor verheerenden sozialen Folgen

Der offene Brief fordert ein Ende der politischen Instrumentalisierung von Armut und eine Rückkehr zu einer faktenbasierten Debatte. Armut, unsichere Beschäftigung und Ausgrenzung seien keine Vergehen, sondern Folgen politischer Entscheidungen. Arbeitsminister Bas dürfe Probleme wie Wohnungslosigkeit und Ausbeutung im Niedriglohnsektor nicht noch verstärken.

Die Unterzeichner*innen warnen, dass die angekündigten Verschärfungen verheerende Folgen für die Betroffenen hätten. Für viele EU-Bürger*innen in Deutschland sei ein Minijob in Kombination mit aufstockenden Sozialleistungen oft der einzige Weg, um Zugang zum Gesundheitssystem zu erhalten. Würde diese Regelung eingeschränkt, verlören damit viele Menschen den Versicherungsschutz und damit den Zugang zu medizinischer Versorgung.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Einsatz von Staatstrojanern durch den BND gefährdet den journalistischen Quellenschutz. Reporter ohne Grenzen zieht deshalb nun vor den Europäischen Gerichtshof für Menschenrechte. Es geht auch darum, dass die Betroffenen mangels Informationspflichten gar keine Chance haben, sich zu wehren.

Der Journalist:innen-Verband Reporter ohne Grenzen (RSF) verklagt den deutschen Auslandsgeheimdienst BND vor dem Europäischen Gerichtshof für Menschenrechte (EGMR) wegen des Einsatzes von Staatstrojanern. Mit ihrer Klage war die die Organisation schon vor dem Bundesverwaltungsgericht, das die Klage für unzulässig erklärte, wie auch vor dem Bundesverfassungsgericht, das die Klage nicht annahm, gescheitert. Laut RSF liegt das daran, dass die Klage nicht im Namen von konkret betroffenen Kläger:innen gestellt wird.

Nach Auffassung des Verbandes verletzt die Überwachung mit Staatstrojanern grundlegende Rechte gemäß der Europäischen Menschenrechtskonvention (EMRK): das Recht auf Achtung des Privat- und Familienlebens (Artikel 8), das Recht auf freie Meinungsäußerung und Informationsfreiheit (Artikel 10) sowie das Recht auf wirksame Beschwerde (Artikel 13).

„Wir sind durch alle rechtlichen Instanzen in Deutschland gegangen, um sicherzustellen, dass diese Grundrechte geschützt werden, doch nun hat auch das Bundesverfassungsgericht unsere Beschwerde ohne Begründung abgelehnt. Daher wenden wir uns jetzt an den Europäischen Gerichtshof für Menschenrechte“, sagt Anja Osterhaus, Geschäftsführerin von Reporter ohne Grenzen Deutschland.

Fehlender Rechtsschutz durch Nachweispflicht

Reporter ohne Grenzen will mit der Klage auf ein Problem hinweisen: In Deutschland verlangen Gerichte einen Nachweis, dass man selbst Ziel einer geheimen Überwachung war, bevor sie eine Klage gegen die Überwachungsmaßnahme annehmen. Diesen Nachweis zu liefern, sei aber faktisch unmöglich, weil die Maßnahmen des Geheimdienstes im Verborgenen stattfinden würden. Wer dagegen klagen wollte, müsste sich selbst bezichtigen – also einräumen, in einer Konstellation tätig zu sein, die den Einsatz eines Staatstrojaners rechtfertigen könnte, heißt es in der Pressemitteilung. Der RSF bezeichnet das als „unzumutbar hohe Hürden“, die die Organisation nun mit der Beschwerde in Straßburg abschaffen wolle, denn sie verhinderten effektiven Rechtsschutz für Journalist:innen.

Journalist:innen müssten sich auf die Vertraulichkeit ihrer Kommunikation verlassen können, der Einsatz von Staatstrojanern würde diese Vertraulichkeit jedoch untergraben. „Der Geheimdienst kann Journalisten heimlich per Trojaner überwachen, ohne dass der Betroffene hiervon jemals erfährt. Hiergegen gibt es in Deutschland keinen Rechtsschutz, wenn vom Betroffenen auch weiterhin Nachweise für eine Überwachung verlangt werden. Dies steht einem demokratischen Rechtsstaat schlecht zu Gesicht und verstößt gegen die Menschenrechte“, sagt Rechtsanwalt Niko Härting, der das Verfahren für RSF führt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Viele EU-Länder wollen der Polizei mehr Zugang zu privaten Daten verschaffen. Neben der Vorratsdatenspeicherung steht auch der Zugriff auf verschlüsselte Inhalte zur Debatte. In einem Fahrplan skizziert die EU-Kommission ihre nächsten Schritte.

Die EU-Kommission hat am Dienstag einen Fahrplan für den Zugang zu Daten für Polizeibehörden vorgestellt. Demnach liegt der Fokus auf sechs Schlüsselbereichen. Er umfasst etwa die weiteren Schritte in Richtung EU-weiter Vorratsdatenspeicherung, mehr Einsatz sogenannter Künstlicher Intelligenz bei Ermittlungen und einen für das Jahr 2026 geplanten Ansatz, um an verschlüsselte Daten zu kommen. Mit diesen Vorhaben drohen Einschränkungen bei Datenschutz, Privatsphäre und Vertraulichkeit der Kommunikation.

Umrissen hatte die Kommission ihre Prioritäten bereits in ihrer „ProtectEU“ genannten Strategie zur inneren Sicherheit im April. Entsprechend betont sie nun auch im aktuellen Fahrplan, dass rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhten. Zwischen den Jahren 2017 und 2022 hätten sich die Datenanfragen an Online-Dienste verdreifacht, und der Bedarf an diesen Daten steige weiter an.

Zugleich gebe es jedoch Probleme dabei, schnell an die Daten zu kommen. In manchen Fällen hätten die Anbieter sie bereits gelöscht, in anderen hapere es bei der grenzüberschreitenden Zusammenarbeit; bisweilen seien Daten verschlüsselt und nicht ohne Weiteres zugänglich. All diese Hürden müssten abgebaut werden, um „effektiv und rechtmäßig“ Ermittlungen im digitalen Raum durchführen zu können, heißt es in der Mitteilung. Federführend sind hierbei Digitalkommissarin Henna Virkkunen und Innenkommissar Magnus Brunner.

Vorratsdatenspeicherung: Mehr als 5.000 Stellungnahmen

Bereits letzte Woche ging die erste Etappe zu Ende. In einer öffentlichen Konsultation holte die Kommission Meinungen zum Dauerbrenner Vorratsdatenspeicherung ein, nun wird sie die über 5.000 Stellungnahmen aus ganz Europa auswerten müssen. Die sollen in eine Folgenabschätzung über diese Form der anlasslosen Massenüberwachung einfließen, ein notwendiger Schritt vor einem möglichen Gesetz. Mit einem erneuten Anlauf für eine EU-weite Regelung wird allgemein gerechnet, nicht zuletzt drängen EU-Innen- und Justizminister:innen im Rat auf einen einheitlichen Rechtsrahmen.

In der Vergangenheit hatten Gerichte, darunter der Europäische Gerichtshof (EuGH), nationale Anläufe sowie eine frühere EU-Richtlinie unter Verweis auf die tiefen Grundrechtseingriffe kassiert. Im Vorjahr hat der EuGH jedoch die Tür ein Stück weit geöffnet und die verdachtslose Speicherung von mindestens IP-Adressen unter bestimmten Bedingungen für zulässig erklärt.

„Rechtsmäßiger Zugang“ gefährdet alle

Auf dem Arbeitsprogramm der Kommission steht zudem eine Verbesserung des grenzüberschreitenden Datenaustauschs zwischen Ermittlungsbehörden. Dabei will sie offenbar nicht abwarten, bis alle EU-Länder das E-Evidence-Paket umgesetzt haben. Optimierungsbedarf gebe es auch bei der Europäischen Ermittlungsanordnung; die Instrumente sollen im kommenden Jahr überprüft werden.

In Zusammenarbeit mit der EU-Polizeibehörde Europol will die Kommission Ermittlungsbehörden im Bereich der digitalen Forensik besser aufstellen. Dabei sollen auch öffentlich-private Partnerschaften zum Zug kommen. Um mit der zu erwartenden Materialfülle zurechtzukommen, will die Kommission bis zum Jahr 2028 die Entwicklung und den Einsatz von KI-Tools fördern. Mehr einbringen will sich Brüssel auch bei der Standardisierung neuer Technologien, etwa, um gleich von Beginn an Überwachungsschnittstellen nach dem Prinzip des „rechtmäßigen Zugangs durch Design (‚lawful access by design‘)“ einzubauen.

Das Konzept steht im Widerspruch zu Privatsphäre durch Design (‚privacy by design‘), das Daten und Privatsphäre von Menschen nicht nur gegenüber ihrem eigenen Staat schützt, sondern auch gegenüber anderen Staaten und Kriminellen. Denn einmal geschaffene Wege zum Zugriff auf geschützte Inhalte lassen sich nicht nur durch autorisierte Akteure ausnutzen, sondern auch durch andere. Auf diese Weise kann das Konzept „lawful access by design“ sowohl einzelne Nutzer:innen als auch die IT-Sicherheit insgesamt gefährden.

Debatte unter Ausschluss der Öffentlichkeit

Für das Jahr 2026 ist ein weiterer brisanter Fahrplan angekündigt. Darin will die Kommission Ansätze „identifizieren und evaluieren“, um Polizeien womöglich Zugang zu verschlüsselten Daten zu geben. Ob sich dabei auch gefährliche Methoden wie Hintertüren wiederfinden werden, bleibt vorerst offen. Auch eine eigens einberufene Arbeitsgruppe, die sich in den vergangenen Jahren vertieft mit dem sogenannten „Going Dark“-Phänomen beschäftigt hatte und auf deren Vorschlägen das Vorgehen der Kommission beruht, ist solche Details schuldig geblieben.

Die bisherigen Schritte der Kommission sind auf vehemente Kritik seitens Grundrechteorganisationen gestoßen, die sich übergangen sehen und mehr Mitsprache fordern. In einem Brief forderten dutzende Nichtregierungsorganisationen im vergangenen Mai, dass die Debatte über Hintertüren nicht unter Ausschluss der Öffentlichkeit stattfinden dürfe. Unter anderem sei die EU-Arbeitsgruppe „undurchsichtig“ gewesen; es müssten nun mehr Stimmen aus Zivilgesellschaft und Wissenschaft gehört werden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der abgedroschene Begriff »Digitale Souveränität« erhält angesichts der sich wandelnden Weltordnung neue Brisanz. Dänemark reagiert und stellt auf Freie Software um.

Quelle

Anfang Februar 2025 gelten die ersten Regel aus dem AI Act. Das Gesetz soll die Gefahren sogenannter Künstlicher Intelligenz eindämmen. Tatsächlich enthält es zahlreiche Ausnahmen. Vor allem Frankreich verhandelte Schlupflöcher mit potenziell weitreichenden Folgen für Europas Grundrechte.

Dieser Artikel wurde von dem Journalistenteam Investigate Europe recherchiert, das aus Reporterinnen und Reportern aus elf europäischen Staaten besteht. Die Recherche wird gemeinsam mit Medienpartnern wie Disclose (Frankreich), EU Observer (Belgien), Il Fatto Quotidiano (Italien), InfoLibre (Spanien), Publico (Portugal) und Efsyn (Griechenland) veröffentlicht.

Ab dem 2. Februar 2025 sind KI-Systeme, die ein unannehmbares Risiko darstellen, in der EU verboten. Das ist im AI Act, der europäischen KI-Verordnung, geregelt. Die ersten dieser Regeln werden bald gültig, bei anderen dauert es noch etwas. Aber der AI Act enthält Ausnahmen und Schlupflöcher. Deshalb dürfen etwa Strafverfolgungsbehörden weiter Gesichtserkennung auf Videoüberwachungsbilder anwenden und an der Grenze dürfen automatisiert die mutmaßlichen Emotionen von Geflüchteten ermittelt werden. Das sind nur einige der Punkte, die die EU-Staaten in den europäischen AI Act hineinverhandelt haben. Dabei sollte das Gesetz eigentlich die zahlreichen Grundrechtsbedenken beim Einsatz von KI-Systemen ausräumen.

Grund für die Ausnahmen ist unter anderem die geheime Lobbyarbeit Frankreichs und anderer EU-Staaten. Das zeigen interne Dokumente aus den Verhandlungen, die Investigate Europe vorliegen. Sie zeichnen ein Bild von Gesprächen, in denen es den Mitgliedstaaten gelang, den Gesetzestext zu verwässern und damit Polizei und Grenzschützern die Möglichkeit zu geben, Bürgerinnen und Bürger heimlich zu überwachen.

Ausnahmen für die „nationale Sicherheit“

„Eine Reihe von bürokratischen Schlupflöchern führt dazu, dass der AI Act nicht das Gesetz zum Schutz der Menschenrechte ist, auf das viele gehofft hatten“, sagt die Direktorin der Brüsseler Nichtregierungsorganisation Equinox, Sarah Chander, die sich gegen rassistische Diskriminierung einsetzt. „In Wirklichkeit ist der AI Act ein industriefreundliches Instrument, das den europäischen KI-Markt schnell voranbringen und den öffentlichen Dienst digitalisieren soll.“

Für die Recherche konnte Investigate Europe mehr als 100 Dokumente aus den Sitzungen des COREPER-Ausschusses sichten, in dem sich die ständigen Vertreter:innen der 27 Mitgliedstaaten treffen. Sie bereiten die Sitzungen des Rats der EU vor. Die Journalistinnen und Journalisten konnten auch mit mehreren Personen sprechen, die an den Verhandlungen beteiligt waren. Sie zeigen, wie Frankreich strategische Änderungen im Gesetzestext durchsetzen konnte.

Das KI-Gesetz verbietet den Einsatz von Gesichtserkennungssystemen im öffentlichen Raum. Ausnahmen, die von der Regierung Macron und ihren Unterstützern in das Gesetz hineinverhandelt wurden, ermöglichen es jedoch, dass Strafverfolgungsbehörden und Grenzschutzbeamte sich nicht immer an dieses Verbot halten müssen. Dies könnte beispielsweise dazu führen, dass Klimademonstrationen oder politische Proteste mit Hilfe von KI überwacht werden, wenn die Behörden eine Gefährdung der „nationalen Sicherheit“ befürchten.

Harter Kampf um Gesichtserkennung

In einer COREPER-Sitzung im November 2022 brachte der französische Verhandlungsführer die Wünsche seiner Regierung unmissverständlich zum Ausdruck. Er habe gefordert, dass „die Ausnahme von Sicherheit und Verteidigung vom Anwendungsbereich unbedingt beibehalten werden muss“, heißt es in einem Protokoll der Sitzung. Damit bezog er sich auf eine Passage im damaligen Gesetzentwurf, laut der nur das Militär Echtzeit-Gesichtserkennung im öffentlichen Raum einsetzen dürfen sollte. In einer späteren Sitzung unterstützten mehrere Staaten die französische Forderung, darunter Italien, Schweden, Finnland, Tschechien, Litauen, Rumänien, Ungarn und Bulgarien.

„Das war einer der härtesten Kämpfe, den wir am Ende verloren haben“, erinnert sich einer der Verhandlungsführer im Gespräch mit Investigate Europe, der seinen Namen nicht in diesem Bericht lesen möchte. Die endgültige Fassung des Gesetzes erlaubt es Staaten, Überwachungstechnologien einzusetzen, wenn es um die nationalen Sicherheit geht.

In der Praxis könnten sich dank dieser Regelung auch private Unternehmen sowie Drittstaaten an der Überwachung von EU-Bürgern beteiligen, wenn sie den Sicherheitsbehörden des Landes KI-Technologie zur Verfügung stellen. Das Gesetz sieht vor, dass die Überwachung zulässig ist – „unabhängig von der Art der Einrichtung, die diese Tätigkeiten ausübt“.

Schlupfloch für private Unternehmen

„Dieser Artikel verstößt gegen jede Verfassung, gegen die Grundrechte und gegen europäisches Recht“, sagt ein Jurist der konservativen EVP-Fraktion im Europäischen Parlament im Gespräch mit Investigate Europe. „Frankreich könnte zum Beispiel die chinesische Regierung bitten, mit ihren Satelliten Fotos zu machen und diese an die französische Regierung zu verkaufen.“

Die Ausnahme widerspreche auch Urteilen des Europäischen Gerichtshofs, sagt die Rechtswissenschaftlerin Plixavra Vogiatzoglou von der Universität Amsterdam. In den Jahren 2020 und 2022 hatten die Luxemburger Richter geurteilt, dass französische Telekommunikationskonzerne gegen EU-Recht verstoßen hätten, weil sie Daten aus Gründen der nationalen Sicherheit gespeichert hätten. Vogiatzoglou: „Der EU-Gerichtshof hat gesagt, dass private Unternehmen nicht vom EU-Recht ausgenommen sind, auch wenn sie in Fragen der nationalen Sicherheit involviert sind.“

Auch außerhalb der Ratsverhandlungen hat Frankreich in den vergangenen Jahren auf den Einsatz von Überwachungstechnologien gedrängt. So genehmigte das Verfassungsgericht des Landes im Mai 2023 den Einsatz von KI-Systemen zur Videoüberwachung während der Olympischen Spiele in Paris. Diese Maßnahme wurde von Amnesty International als „ernsthafte Bedrohung für bürgerliche Freiheiten und demokratische Prinzipien“ kritisiert. In Zukunft könnte diese Ausnahme zur Regel werden.

Emotionserkennung an der Grenze erlaubt

Ab dem 2. Februar außerdem verboten sind KI-Systeme zur Emotionserkennung am Arbeitsplatz, in Schulen und Universitäten. Außerdem dürfen Unternehmen die Technologie nicht nutzen, um das Verhalten potenzieller Kunden in ihren Geschäften zu analysieren. Auch Arbeitgeber dürfen sie nicht einsetzen, um festzustellen, ob ihre Mitarbeiter zufrieden oder traurig sind. Dank des Einsatzes Frankreichs und anderer EU-Länder dürfen Sicherheitsbehörden und Grenzschützer die Systeme künftig jedoch nutzen.

Bei einer Verhandlungssitzung von COREPER am 29. November 2023 betonte der dänische Vertreter, dass ein Verbot „verhältnismäßig sein muss und nur dann gelten darf, wenn die Gefahr einer Diskriminierung besteht“. Die Niederlande, Portugal und die Slowakei vertraten bei dem Treffen eine ähnliche Position und äußerten sich kritisch zu einer Ausweitung des Verbots auf die Strafverfolgung.

Eine weitere umstrittene Anwendung von KI sind biometrische Kategorisierungssysteme. Deren Betreiber versprechen, damit die ethnische Zugehörigkeit oder sogar die sexuelle Orientierung einer Person bestimmen zu können. Das neue EU-Gesetz verbietet zwar ihren Einsatz, aber hier gibt es ebenfalls eine Ausnahme für Strafverfolgungsbehörden: „Dieses Verbot erstreckt sich nicht auf die Kennzeichnung oder Filterung rechtmäßig erworbener biometrischer Datensätze … auf der Grundlage biometrischer Daten oder auf die Kategorisierung biometrischer Daten“.

Auch hier war es Frankreich, das die Beschränkungen des AI Act aufweichte. In einem schriftlichen Kommentar zum Gesetzentwurf schrieben die französischen Verhandlungsführer am 24. November 2023, es sei „sehr wichtig, die Suche nach einer Person zu ermöglichen, … die ihre religiösen oder politischen Ansichten zum Ausdruck bringt und beispielsweise ein Abzeichen trägt, wenn diese Person in gewalttätigen Extremismus verwickelt ist oder ein terroristisches Risiko darstellt“.

Gesichtserkennungssoftware kann in Echtzeit eingesetzt werden, wenn dies für die Strafverfolgungsbehörden „unbedingt erforderlich“ ist. Die Polizei kann die Technologie bei Ermittlungen zu 16 bestimmten Straftaten einsetzen, darunter „Umweltkriminalität“. Mehrere Staaten drängten darauf, die Liste um Dutzende von Straftaten zu erweitern. Aus dem Protokoll einer COREPER-Sitzung vom November 2023 geht hervor, dass Frankreich auf eine Ausweitung des Anwendungsbereichs drängte. Unterstützt wurde es dabei von den Vertreter:innen aus Italien, Zypern, Estland, Lettland, Bulgarien und Ungarn.

In derselben Verhandlungssitzung forderte der griechische Vertreter, dass Gefängnisse und Grenzgebiete ausdrücklich von jeglichem Verbot ausgenommen werden sollten. Vielmehr sollten die Behörden die Möglichkeit haben, Bürger und Geflüchtete mit Echtzeit-Überwachungstechnologie zu überwachen.

„Ende der Anonymität“

Mit biometrischen Systemen könnten Millionen von Gesichtern überwacht und mit nationalen Datenbanken abgeglichen werden, um Personen zu identifizieren. Der Einsatz dieser Technologie im öffentlichen Raum würde „das Ende der Anonymität an diesen Orten“ bedeuten, warnte bereits 2020 European Digital Rights. Zivilgesellschaftliche Organisationen warnen seit langem davor, dass der AI Act die Grundrechte in Europa massiv einschränken könnte.

„Wir leben in einem Klima, in dem unsere Regierungen auf immer mehr Ressourcen, Gesetze und Technologien drängen, um Menschen in ihrem Alltag leichter zu überwachen, zu kontrollieren und zu bestrafen“, sagt die Gründerin der Brüsseler Anti-Rassismus-Organisation Equinox, Sarah Chander. „Wir entfernen uns immer weiter von einer Zukunft, in der die wir unsere Ressourcen für soziale Vorsorge und Schutz ausgeben statt für Überwachungstechnologie.“

Als am 6. Dezember 2023 die letzte Verhandlungsrunde zwischen Rat, Parlament und Kommission über die endgültige Fassung des AI Act begann, drängte die spanische Ratspräsidentschaft darauf, den Gesetzestext noch vor den Europawahlen im Juni 2024 zu verabschieden. Offenbar fürchteten die spanischen Diplomaten das Erstarken rechtsradikaler Parteien. Ein Beamter, der an den Gesprächen teilnahm und um Anonymität bat, berichtete Investigate Europe, dass die Unterhändler eineinhalb Tage lang verhandelten. „Wir waren erschöpft, und erst nach einer durchverhandelten Nacht begannen wir um 6 Uhr morgens, über Verbote zu sprechen“, erinnert er sich heute. „Am Ende haben wir erreicht, dass jedes Produkt von einer unabhängigen nationalen Behörde zugelassen werden muss.“

Selbstzertifizierung möglich

Der Einsatz sogenannter Hochrisikotechnologien wie Echtzeitüberwachung ist an bestimmte Bedingungen geknüpft, darunter ein Gerichtsbeschluss, die Registrierung in einer europäischen Datenbank und eine Folgenabschätzung zur Wahrung der Grundrechte. Doch auch hier wurden die strengen Regeln in den Verhandlungen teilweise aufgeweicht. So fügten die Verhandlungsführer dem Gesetz einen Artikel hinzu, der es Unternehmen erlaubt, eine Selbstzertifizierung auszufüllen und damit zu entscheiden, ob es sich bei ihrem Produkt um eine Hochrisikotechnologie handelt oder nicht.

Investigate Europe liegt ein internes Arbeitspapier des juristischen Dienstes des Europäischen Parlaments vor, das diese Lösung in Frage stellt. „Den Unternehmen wird ein hohes Maß an Subjektivität überlassen, was im Widerspruch zum Ziel des AI Act steht, das Risiko von Hochrisiko-KI-Systemen zu regulieren.“

Tatsächlich dürften die Verhandlungspartner auch von dem Interesse getrieben gewesen sein, ihre eigenen Wirtschaftsunternehmen zu schützen. Die Regierung Macron warnte in einer Verhandlungsrunde am 15. November 2023, dass ohne einen breiten Einsatz von KI-Technologien „die Gefahr besteht, dass Unternehmen ihre Aktivitäten in Regionen verlagern, in denen Grundrechte keine Rolle spielen“.

Konkrete Auswirkungen noch nicht absehbar

Es bleibt abzuwarten, inwieweit die Mitgliedstaaten die Ausnahmen nutzen werden. Der niederländische Anwalt für digitale Rechte, Anton Ekker, glaubt, dass die Ausnahmen in der Praxis kaum Auswirkungen haben werden. „Ich bin sehr kritisch, wenn ein Staat Algorithmen einsetzt. Aber zu sagen, dass alles erlaubt ist, weil es Ausnahmen gibt, ist nicht richtig“, sagte er in einem Interview mit Investigate Europe. „Es gibt viele nationale Verfassungen, die Grundrechte schützen.“

Professorin Rosamunde van Brakel forscht an der Vrije Universiteit Brüssel zu ethischen Fragen rund um den Einsatz von KI. Sie befürchtet, dass das Gesetz Betroffenen kaum helfen wird. „In den meisten Fällen greifen Regulierung und Aufsicht erst, nachdem es zu einem Verstoß gekommen ist. Vorher schützen sie uns nicht“, sagt sie. „Außerdem betreffen KI-Anwendungen im öffentlichen Sektor oft schutzbedürftige Bevölkerungsgruppen, die nicht in der Lage sind, eine Beschwerde einzureichen oder darauf zu vertrauen, dass eine Beschwerde ernst genommen wird.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln.

Wer wird neuer Europäischer Datenschutzbeauftragter? Diese Frage sollten gestern und heute Parlament und Rat klären. Sie ernennen zusammen den Beamten, der darüber wacht, dass sich die EU-Institutionen an den Datenschutz halten. Dabei kam es heute aber zu einer noch nie dagewesenen Situation: Parlament und Rat stimmten für unterschiedliche Personen.

Der Innenausschuss des EU-Parlaments hatte gestern für Bruno Gencarelli gestimmt. Gencarelli ist momentan in der EU-Kommission für Datenschutzpolitik zuständig und verhandelte verschiedene internationale Abkommen zum Datenaustausch.

Die Mitgliedstaaten im Rat wählten heute dagegen den aktuellen Amtsinhaber Wojciech Wiewiórowski. Er ist seit 2019 Europäischer Datenschutzbeauftragter und hat in dieser Zeit EU-Institutionen einige Male die Zähne gezeigt. So wies er etwa im vergangenen Jahr die EU-Kommission an, dass sie mit Microsofts Office-Suite keine Daten mehr in die USA übertragen dürfte.

Polnische Verbindung

Die Abgeordneten im Parlament hatten gestern mit 32 Stimmen Gencarelli unterstützt. Wiewiórowski hatte 26 Stimmen erhalten, der französische Datenschützer François Pellegrini 30 Stimmen. Anna Pouliou leitet aktuell den Datenschutz am CERN-Forschungszentrum, für sie votierten 11 Abgeordnete.

Die Mitgliedstaaten stimmten heute im Ausschuss der Ständigen Vertreter ab. Darin sitzen quasi die EU-Botschafter der Mitgliedstaaten. Dort erhielt Wiewiórowski die meisten Stimmen, gefolgt von Gencarelli, Pellegrini und Pouliou. Ein Umstand dürfte Wiewiórowski dabei hilfreich gewesen sein: Er kommt aus Polen. Polen hat momentan den alle sechs Monate rotierenden Vorsitz des EU-Rats inne. Damit hat das Land zusätzlichen Einfluss – und ein Interesse daran, Landsleute in mächtige Positionen zu bringen oder sie dort zu halten.

Das Gesetz schreibt aber vor, dass Parlament und Rat den Posten des Datenschutzbeauftragten „im gegenseitigen Einvernehmen“ besetzen. Die beiden Institutionen müssen also nun verhandeln und sich auf einen gemeinsamen Kandidaten einigen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission.

Die EU-Kommission soll dafür sorgen, dass die Verbote aus der europäischen KI-Verordnung möglichst umfangreich ausgelegt werden. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einer heute veröffentlichten Stellungnahme. Sie bezieht sich auf Leitlinien, an denen die Kommission momentan noch arbeitet.

Diese Leitlinien sollen dafür sorgen, dass auch „einfachere“ Systeme von den Regeln der KI-Verordnung betroffen sind, fordern die Organisationen. Die Kommission soll auch klarstellen, welche Arten von Systemen die verbotenen „inakzeptablen“ Risiken für Grundrechte haben. Außerdem sollen Grundrechte die zentrale Basis dafür sein, wie die KI-Verordnung praktisch umgesetzt wird.

Arbeit an Details läuft weiter

Die Europäische Union hat lange an ihren Regeln für Künstliche Intelligenz gefeilt. Intensiv diskutiert wurde etwa die Frage, welche Einsätze von KI in Europa ganz verboten werden sollten. Dabei ging es etwa um die biometrische Gesichtserkennung oder das sogenannte „Predictive Policing“. Die fertige KI-Verordnung schränkt beide Praktiken zwar ein, verbietet sie aber nicht ganz.

Die Verordnung selbst ist seit bald einem Jahr beschlossen und trat auch schon vor einigen Monaten in Kraft. Aber Obacht: Bei EU-Gesetzen heißt das nicht, dass alle ihre Regeln auch direkt gelten.

Zuvor gibt es noch einiges fertigzustellen. Zum Beispiel die sogenannten „Praxisleitfäden“, die genaue Regeln für KI-Modelle mit allgemeinem Verwendungszweck wie GPT-4 festlegen sollen. An denen arbeiten gerade die Anbieter solcher Modelle, andere Unternehmen und Vertreter:innen der Zivilgesellschaft unter Aufsicht der EU-Kommission. Bis April soll es einen fertigen Text geben.

Die Verbote gelten ab dem 2. Februar. Bis dahin will die EU-Kommission noch Leitlinien veröffentlichen, die Unternehmen dabei helfen sollen, sie einzuhalten. Außerdem will sie noch klarstellen, was genau denn ein KI-System überhaupt ist – und welche Systeme deshalb von der KI-Verordnung betroffen sein werden.

Ergebnis soll zählen, nicht die Art der Software

Auf diese Leitlinien bezieht sich nun die zivilgesellschaftliche Koalition, an der unter anderem European Digital Rights (EDRi), Access Now, AlgorithmWatch und Article 19 beteiligt sind. Caterina Rodelli von Access Now hält die Leitlinien für ein „zentrales Werkzeug“, um mangelhafte Menschenrechtsregeln der Verordnung noch auszubessern.

Die erste Forderung der Koalition bezieht sich auf „einfachere“ Software. „Wir sind besorgt, dass Entwickler:innen vielleicht die Definition von KI und die Einstufung von Hochrisiko-KI-Systemen ausnutzen können, um die Verpflichtungen der KI-Verordnung zu umgehen“, schreiben die Organisation. Unternehmen könnten ihre KI-Systeme zu normaler, regelbasierter Software umwandeln und so nicht mehr vom Gesetz betroffen sein, obwohl es die gleichen Risiken geben würde.

Die Organisationen fordern deshalb, dass sich Gesetze an möglichem Schaden orientieren sollten, nicht an den genutzten technischen Mitteln. Sie beziehen sich auf das Beispiel des niederländischen SyRI-Systems. Dieses System beschuldigte Empfänger:innen von Sozialhilfe fälschlicherweise des Betrugs und beeinträchtigte so Tausende von Familien. Der Skandal führte 2021 zum Sturz der damaligen niederländischen Regierung.

Dabei wirkte das zugrundeliegende System einfach und erklärbar, betont das Statement. Die Auswirkungen auf eine Vielzahl an Personen waren trotzdem verheerend.

Mehr Systeme einbeziehen

Die Koalition fordert außerdem, dass die Leitlinien marginalisierte Gruppen besser schützen sollen. Dafür soll die Kommission ausdehnen, welche Fälle unter die verbotenen „inakzeptablen“ Risiken für die Grundrechte fallen.

So soll das Verbot von „Social Scoring“ etwa auf Anwendungen ausgedehnt werden, die heute in Europa schon gang und gäbe sind: Etwa für Empfänger:innen von Sozialhilfe, wie im niederländischen Fall, oder für Migrant:innen. Die Leitlinien sollten deshalb etwa Daten schützen, die über Bande Informationen wie die Ethnie oder den sozioökonomischen Status preisgeben könnten, wie zum Beispiel die Postleitzahl.

Das Verbot für „Predictive Policing“ soll eine weite Bandbreite an Systemen einbeziehen, die kriminalisiertes Verhalten vorhersagen sollen. Im Verbot des allgemeinen Scrapens von Gesichtsbildern sehen die Organisationen einige Schlupflöcher, die sie gerne geschlossen haben würden. Außerdem soll eine Definition einer Gesichtsbild-Datenbank gelöscht werden, weil durch diese Anbieter wie Pimeyes oder Clearview außen vor bleiben würden.

Löcher schließen bei der Gesichtserkennung

Bei den Verhandlungen zur KI-Verordnung wollte das Europäische Parlament ein umfassendes Verbot von Systemen zur Emotionserkennung durchsetzen, ist damit aber gescheitert. Die Leitlinien sollen nun zumindest klar zwischen echten medizinischen Geräten wie Herzmonitoren und Geräten wie „Aggressionsdetektoren“ unterscheiden, fordern die Organisationen – denn medizinische Geräte sind von den Verboten ausgenommen.

Außerdem sollen die Leitlinien die Regeln für automatisierte Gesichtserkennung verschärfen. Auch in Deutschland gab es schon Forderungen, einige der in der KI-Verordnung dafür offen gelassenen Schlupflöcher zu schließen. Auf europäischer Ebene fordert die zivilgesellschaftliche Koalition nun, dass die Entwicklung von Gesichtserkennungssystemen für den Export unter das Verbot fallen soll. Zudem soll es nicht ausreichen, wenn Behörden nur mit einem Schild auf Zonen hinweisen, in denen Gesichtserkennung genutzt wird. Videoaufzeichnungen sollen erst nach 24 Stunden biometrisch ausgewertet werden dürfen.

In Zukunft bitte mehr Zeit

Eine Menge Wünsche für die Leitlinien – die Koalition hat aber auch noch einige Kritik für deren Entstehen übrig. Der Prozess sei nicht vorher angekündigt worden, habe kurze Fristen gelassen, es sei kein Entwurf veröffentlicht worden, schreiben sie. Außerdem seien manche der Fragen suggestiv formuliert gewesen. So habe die Kommission etwa nur nach Systemen gefragt, die aus der Definition von KI ausgeschlossen werden sollten, und nicht nach Systemen, für die die Regeln gelten sollten, bemängeln die Organisationen.

Das Statement fordert deshalb die Kommission auf, in Zukunft die Zivilgesellschaft besser einzubeziehen. „Die EU-Kommission muss Interessengruppen mit begrenzten Ressourcen eine Stimme geben, und dafür muss sie längere Zeiträume für so umfassende Befragungen vorsehen“, so Nikolett Aszodi von AlgorithmWatch.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Laut Medienberichten gibt es auf hoher Ebene der EU-Kommission Diskussionen um den Digital Markets Act. Das Gesetz soll eigentlich die Macht großer Online-Plattformen einschränken. Nun will die EU-Kommission angeblich alle schon eingeleiteten Verfahren überprüfen. Für die Zivilgesellschaft wäre das ein großer Fehler.

Die EU-Kommission soll intern ihre Untersuchungen zu großen Unternehmen in der Digitalwirtschaft auf den Prüfstand gestellt haben. Das berichtete heute die Financial Times mit Verweis auf interne Quellen. In der vergangenen Woche hatte Le Monde ähnliches geschrieben, sich dabei allerdings auf den Digital Services Act (DSA) bezogen.

Laut der Financial Times geht es um Untersuchungen unter dem Digital Markets Act (DMA), mit dem die EU die Übermacht von Plattformen wie Google und Facebook einschränken will. Dabei soll die Kommission alle ihre Untersuchungen überprüfen, die sie bisher unter dem DMA eröffnet hat. Laut der Zeitung soll in dieser Zeit nicht über mögliche Strafzahlungen entschieden werden. Die eigentliche Arbeit an den Untersuchungen soll aber weitergehen.

Der DMA betrifft in erster Linie sogenannte Gatekeeper. Damit sind sehr große Digitalunternehmen gemeint, die zentrale Plattformdienste zur Verfügung stellen und eine Schlüsselposition in digitalen Märkten einnehmen. Insgesamt sieben Unternehmen erfüllen derzeit die Bedingungen, um derart eingestuft zu werden. Dazu zählen etwa Alphabet, Apple oder Meta, aber nicht das zuletzt hoch umstrittene X des US-Milliardärs Elon Musk. Für sie gelten besonders strenge Regeln, bei Verstößen drohen ihnen Geldbußen von bis zu zehn Prozent des weltweiten Gesamtumsatzes.

Nur normale Treffen, sagt Kommission

Die Kommission bestreitet auf Anfrage die Darstellung. Sie sei weiterhin fest entschlossen, den Digital Markets Act und sein Schwestergesetz, den Digital Services Act, durchzusetzen, betonte heute ein Sprecher der Kommission. Es gebe keine solche Überprüfung.

„Was wir haben werden, sind Treffen, um die Ausgereiftheit von Fällen zu bewerten und die Verteilung von Ressourcen sowie die allgemeine Bereitschaft der Untersuchungen zu beurteilen“, so der Sprecher weiter. Das seien normale Schritte, die im gesamten Lebenszyklus von Fällen im Tech-Bereich passieren würden.

Auch ansonsten betont die Kommission, dass die technische Arbeit in den DMA-Fällen sehr komplex sei. Deshalb würden die Untersuchungen weiterhin andauern. Der letzte Schritt aus den Untersuchungen, der öffentlich geworden ist, war die Verkündung von vorläufigen Ergebnissen gegen Apple und Meta im vergangenen Sommer.

Ergebnisse müssen wasserdicht sein

Bei Apple geht es dabei um die Regeln für App-Entwickler:innen. Diese sollen unter dem DMA eigentlich Kund:innen frei auf Angebote außerhalb des App Stores weiterleiten können. Hier reichten die Anpassungen von Apple laut Sicht der Kommission nicht aus. Bei Meta bemängelte die Kommission das „Pay or Consent“-Modell des Unternehmens. Unter diesem müssen Nutzer:innen entweder ihre Daten hergeben oder bezahlen, wenn sie Facebook oder Instagram nutzen wollen.

Die Kommission schickte diese vorläufigen Ergebnisse an die beiden Unternehmen – und die durften dann Widerspruch dagegen einlegen. Dafür bekommen sie auch Zugang zu allen Dokumenten, die die Kommission im Laufe der jeweiligen Untersuchung angelegt hat. Und es sind Konzerne mit prall gefüllten Geldbeuteln, für die es in diesen Fällen um sehr viel Geld geht. Man kann davon ausgehen, dass sie für ihre Verteidigung absolut hochwertige Anwält:innen angeheuert haben.

Der Sprecher der Kommission betonte heute deshalb auch: „Bevor wir eine solche Entscheidung beschließen, müssen wir uns sicher sein, dass wir diesen Fall vor Gericht gewinnen werden.“

Die orange Bedrohung

Neben der juristischen Absicherung gibt es aber noch ein zweites, politisches Problem, das Auswirkungen auf die europäischen Regeln haben könnte. Dieses Problem ist orangefarben, jähzornig und wird am kommenden Montag zum zweiten Mal als Präsident der USA eingeschworen werden.

Donald Trump hatte seit der Zeit rund um die US-Wahl verstärkt Kontakt mit Big-Tech-Chefs. Der Kniefall Mark Zuckerbergs in der vergangenen Woche war das neueste Signal in diese Richtung. Zuckerberg hat sich schon über die angebliche „Zensur“ durch europäische Digitalgesetze beschwert und versucht, mit nationalistisch gefärbten Appellen an Trump, EU-Vorgaben abzuwehren.

Auch Apple-Chef Tim Cook hatte Berichten zufolge bereits Kontakt mit Donald Trump und nutzte die Gelegenheit, um EU-Strafen zu kritisieren. „Ich werde nicht zulassen, dass sie sich an unseren Unternehmen bereichern“, will Trump darauf geantwortet haben.

Zivilgesellschaft macht Druck

Der Bericht über mögliche Bedenken bei der Kommission rief kritische Reaktionen hervor. Wenn die Kommission ihren bisherigen starken Kurs zum DMA ändern würde, wäre das ein sehr großer Fehler, sagte Lucas Lasota von der Free Software Foundation Europe (FSFE) zu netzpolitik.org. Die FSFE unterstützt die Kommission aktuell in einem DMA-Gerichtsverfahren gegen Apple.

„Die FSFE hält ihn für ein sehr wichtiges Gesetz“, so Lasota. Der DMA wolle ein ebeneres Spielfeld für alle schaffen. Es gehe nicht um einen Gegensatz EU gegen USA, sondern um Big Tech gegen alle.

Dem stimmt auch Jan Penfrat von Europan Digital Rights zu. „Die DMA-Untersuchungen zu den Gatekeepern zu verlangsamen, herunterzufahren oder zu pausieren, wäre ein großer Fehler der Europäischen Kommission“, sagte er zu netzpolitik.org.

„Wenn die Kommission sich von der Angst vor politischem Gegenwind aus der Trump-Regierung dazu schikanieren lässt, seine DMA-Untersuchungen neu zu bewerten, dann wird diese Schikane – sowohl von Big Tech als auch von Trump – nicht aufhören“, so Penfrat.

Schwab will gründliche Arbeit

Zweifel gab es auch im Europäischen Parlament. So etwa von Stephanie Yon-Courtin, einer liberalen Abgeordneten aus Frankreich, die am Digital Markets Act mitarbeitete. Für „etwas schwach“ hält sie die Antwort der Kommission, laut der diese weiterhin entschlossen sei, ihre Regeln durchzusetzen. „Wir brauchen gegen die Provokationen von Big Tech keine Worte mehr, sondern Taten, und zwar bald“, sagte Yon-Courtin netzpolitik.org.

Wesentlich gelassener zeigt sich der deutsche Christdemokrat Andreas Schwab. Er war auf Parlamentsseite Chefverhandler zum DMA. „Grundsätzlich gilt: Gründlichkeit vor Schnelligkeit, weil der Maßstab in Europa das Rechtsstaatsprinzip ist“, so Schwab. Die Verfahren würden wahrscheinlich vor Gericht landen und in den USA gebe es jetzt schon Zweifel daran, wie seriös die EU handele. „Deshalb muss die Sache sauber durchgezogen werden.“

„Gleichzeitig ist es aber kein Geheimnis, dass die Spitze der Kommission derzeit keinen Ärger mit den USA will“, so Schwab weiter. „Das muss uns noch nicht besorgt machen, wir können eine Reihe von Entscheidungen auch Anfang Februar noch treffen.“ Am kommenden Donnerstag tritt die Arbeitsgruppe des Parlaments zusammen, die sich mit der Durchsetzung des DMA beschäftigt. Dort will er mit Vertreter:innen der Kommission weitere Einzelheiten besprechen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine neue Verordnung für die Polizeibehörde Europol soll eine gigantische Sammlung von Ermittlungsdaten legalisieren, die einzelne EU-Mitgliedsstaaten dort quasi geparkt hatten. Es handelt sich um vier Petabyte an Daten aus laufenden und abgeschlossenen Ermittlungsverfahren, darunter auch gestrichene Einträge aus Terrorlisten einzelner Staaten. In einigen Fällen weiß die Behörde selbst nicht genau, um was für Daten es sich handelt, wie sie einräumte. Erst Anfang Januar hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Löschung aller Daten angeordnet, die nicht mit einer konkreten Straftat im Zusammenhang stehen. 

Doch die Datensammlung, die Kritiker:innen als „Datenarche“ bezeichnen und mit der Speicherwut des US-Geheimnisses NSA vergleichen, dürfte unverändert bestehen bleiben und sogar ausgebaut werden. Am Dienstagabend einigten sich die EU-Staaten mit dem Parlament auf eine neue Verordnung, nach der Europol „weiterhin Ermittlungen auf der Grundlage dieser Daten unterstützen könnte“. Das teilte die französische Ratspräsidentschaft mit. Bis zur Wirksamkeit der neuen Verordnung sollen „Übergangsmaßnahmen“ die Datenarche vor Löschung bewahren.

Generell soll die Verordnung die Kompetenzen von Europol drastisch ausweiten. Künftig dürfe die Behörde mit Drittstaaten persönliche Daten zu Ermittlungszwecken austauschen, so die französischen Verhandler:innen. Auch dürfe Europol-Chefin Catherine De Bolle nationalen Behörden die Aufnahme von Ermittlungsverfahren in grenzüberschreitenden Kriminalfällen vorschlagen. Das wäre eine deutliche Ausweitung der bisherigen Befugnisse von Europol. Die nationalen Behörden sollen allerdings selbst entscheiden dürfen, ob sie dem Vorschlag nachkommen.

„Direkte Bedrohung für Rolle der Aufsichtsbehörde“

Der Datenschutzbeauftragte Wiewiórowski übte schon im Vorfeld Kritik an der neuen Verordnung. Sie gebe der EU-Polizeiagentur breite Befugnisse zur Datenspeicherung – ohne ausreichende Maßnahmen zum Schutz von Grundrechten. „Daten von Einzelpersonen ohne klare Verbindung zu Straftaten könnte genauso verarbeitet werden wie Daten von Verdächtigen oder Verurteilten“, sagte Wiewiórowski. Besonders empörend findet er, dass mit der Verordnung Gesetzesverletzungen rückwirkend legalisiert werden. Dies bedeute „eine direkte Bedrohung der Rolle der Aufsichtsbehörde“.

Auch aus dem EU-Parlament gibt es heftige Reaktionen. Aus Sicht der SPD-Abgeordneten Birgit Sippel verwendet Europol für die Rechtfertigung seiner Überwachung und massenhaften Datenspeicherung auf Vorrat „ähnliche Argumente“ wie die NSA. Dieses Vorgehen sei jedoch nicht mit der Datenschutzgrundverordnung vereinbar, sagte die Abgeordnete bei seiner Sitzung des Bürgerrechteausschusses im Parlament. Schwachstellen der Verordnung würden möglicherweise bald den Europäischen Gerichtshof beschäftigen, sagt Sippel gegenüber netzpolitik.org. „Rechtssicherheit sieht anders aus.“

Es handelte sich um massenhafte Daten unverdächtiger Personen, etwa um Handy-Bewegungsdaten und Flugreisedaten, sagt der EU-Abgeordnete Patrick Breyer von der Piratenpartei. „Die Konsequenz: Unschuldige Bürger laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren.“ Europol müsse „wirksam kontrolliert und an Gesetzesverstößen gehindert werden“, sagt Breyer. „Die bisher oberflächlichen Aufsichtsmechanismen haben keine Zähne bekommen, um illegale Praktiken der Behörde erkennen und stoppen zu können.“

Den Vergleich mit der NSA wies Europol-Vizechef Jürgen Ebner vor dem Ausschuss zurück. „Wir machen keine Massenüberwachung, auch können wir keine Zwangsmaßnahmen anordnen“, betonte er. „Wir haben nicht die technischen Mittel, um das zu machen.“ Die Software des umstrittenen US-Anbieters Palantir, die Europol 2016 eingekauft hatte, verwendet die Polizeibehörde inzwischen nicht mehr.

Ebenfalls auf Kritik der Abgeordneten stößt, dass die Verordnung Europol künftig breit die Kooperation mit Firmen möglich macht. Der Entwurf erlaubt Europol, persönliche Daten direkt von privaten Organisationen zu erhalten. Diese darf Europol analysieren und an die Behörden der Mitgliedsstaaten weitergeben. Der Abgeordnete Breyer, der Teil der Grünen-Fraktion ist, bringt diese Erlaubnis mit EU-Plänen in Verbindung, Diensteanbieter zur flächendeckenden Durchleuchtung privater Nachrichten auf Kindesmissbrauchsinhalte zu verpflichten. Diese Art der Kooperation sei inakzeptabel, sagt Breyer.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Ein deutscher Kläger bringt die Zwangsabgabe von biometrischen Merkmalen vor das europäische Höchstgericht: Das Verwaltungsgericht Wiesbaden sieht grundsätzliche Rechtsprobleme, wenn für den Besitz eines Personalausweises die Abgabe der Fingerabdrücke verpflichtend ist. In einem Beschluss (pdf) legt das Gericht diese Rechtsfragen dem Europäischen Gerichtshof (EuGH) vor.

Die Verpflichtung für über dreihundert Millionen EU-Bürger, zwei Fingerabdrücke auf dem Ausweis in digitaler Form speichern zu lassen, geht auf die EU-Verordnung 2019/1175 zurück. Das Verwaltungsgericht begründet in seinem Beschluss seine Zweifel daran, dass die entsprechenden Vorschriften in dieser EU-Verordnung unionsrechtskonform sind. Zum einen bestünden rechtliche Zweifel schon durch das Zustandekommen der Verordnung außerhalb des eigentlich vorgeschriebenen ordentlichen Gesetzgebungsverfahrens, zum anderen sieht das Gericht die Europäische Grundrechtecharta verletzt. Das betrifft die Artikel 7 und 8 der Charta, die das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation sowie das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten festschreiben.

Außerdem legt das Gericht in seinem Beschluss dar, dass die Datenschutzgrundverordnung missachtet wurde. Es bezieht sich dabei auf Artikel 35 der DSGVO, in dem eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Bevor eine Verarbeitung von sensiblen Daten wie Fingerabdrücken erfolgt, sollen dadurch vorab die Risiken analysiert werden. Eine solche Datenschutz-Folgenabschätzung hat es aber nicht gegeben.

Der Kläger wird vom Verein digitalcourage unterstützt, der gegenüber netzpolitik.org erklärt, die Fingerabdruck-Speicherpflicht verletze „unsere Grundrechte auf Privatsphäre und den Schutz unserer personenbezogenen Daten“. Der Verein bezweifelt auch, dass die auf dem Personalausweis gespeicherten Fingerabdrücke zu der versprochenen verbesserten Fälschungssicherheit führen. Wie auch das Gericht in seinem Beschluss darlegt, wäre damit nicht einmal die Notwendigkeit des schwerwiegenden rechtlichen Eingriffs einer zwangsweisen Abgabe von persönlichen Biometriedaten gegeben. Die Speicherung der Fingerabdrücke auf dem Personalausweis sei „ein unverhältnismäßiger Eingriff“, so digitalcourage.

Die Mehrheit von CDU, CSU und SPD im Bundestag hatte auf Grundlage der Verordnung im Jahr 2020 die verpflichtende Speicherung von Fingerabdrücken im deutschen Personalausweis beschlossen. In den dezentralen Melderegistern der Kommunen werden die biometrischen Daten zwar nicht gespeichert, aber auf einem Chip, der in der Plastikkarte des Ausweises eingelassen ist. In Deutschland werden – sofern das bei der beantragenden Person möglich ist – Abdrücke von beiden Zeigefingern genommen. Die EU-Verordnung sieht allerdings keine Festlegung auf einen bestimmten Finger vor.

Zuvor freiwillig, jetzt Pflicht: Fingerabdruck-Abgabe

Seit August 2021 müssen alle Menschen in Deutschland beim Beantragen eines Personalausweises zwei Fingerabdrücke hinterlassen. Das rief Kritiker auf den Plan: Bürgerrechtsorganisationen bewerteten diese Fingerabdruck-Pflicht als unvereinbar mit dem Grundgesetz. Schon im Prozess des Entstehens der Verordnung war auch der EU-Kommission bescheinigt worden, das Vorhaben sei ungerechtfertigt und nicht notwendig.

Doch was zuvor in Deutschland freiwillig war, wurde dennoch zur Pflicht. Das Fingerabdruck-Prozedere auf dem Amt kennen viele Menschen schon vom Reisepass, denn da besteht der Zwang schon einige Jahre länger. Die Verpflichtung zur Abgabe zweier Fingerabdrücke bei der Ausweisbeantragung ergibt sich konkret aus § 5 Abs. 9 des deutschen Personalausweisgesetzes, der wiederum auf der EU-Verordnung zur Erhöhung der Sicherheit der Personalausweise und Aufenthaltsdokumente beruht.

Gegen die Fingerabdruckabnahme wehrte sich ein Bürger und verlangte auf dem Amt einen Ausweis ohne die biometrische Vermessung. Als ihm das verwehrt wurde, zog er vor Gericht.

Das Verwaltungsgericht Wiesbaden hat überaus schnell reagiert und mit seinem Beschluss nun den EuGH hinzugezogen. Mit sehr hoher Wahrscheinlichkeit wird das europäische Höchstgericht erneut über die zwangsweise Erfassung von Fingerabdrücken entscheiden. Die anlassunabhängige Vermessung der biometrischen Merkmale von Menschen für ihre Identifikationspapiere ist nicht das erste Mal ein Fall für den EuGH. Zuletzt war dazu vor acht Jahren ein Urteil (vom 17. Oktober 2013) ergangen. Der damalige deutsche Kläger, der einen Reisepass ohne Fingerabdrücke ausgestellt bekommen wollte und mit seinem Fall ebenfalls in Luxemburg landete, hatte allerdings keinen Erfolg.

Im Beschluss des Wiesbadener Verwaltungsgerichts wird entsprechend betont und auch schlüssig begründet, dass die Funktion eines Ausweises nicht mit der eines Reisepasses vergleichbar sei. Die Chancen des Klägers dürften also hoch sein, dass der EuGH den Fall aufgreift.

Für den Fälschungsschutz ungeeignet

Dass diese obligatorische Abnahme von Fingerabdrücken ein Eingriff in Grundrechte ist, steht außer Frage. Artikel 7 und 8 der Grundrechtecharta sind klar betroffen. Aber ist er auch ungerechtfertigt und unverhältnismäßig? Dazu gehört die Frage, ob nicht auch geringere Eingriffe ausgereicht hätten.

Die EU-Verordnung 2019/1157 soll dem Schutz vor Fälschungen dienen und eine verlässliche Verbindung zwischen dem Inhaber und seinem Ausweis herstellen, um einer betrügerischen Verwendung vorzubeugen. In Erwägungsgrund 18 heißt es:

Die Speicherung eines Gesichtsbilds und zweier Fingerabdrücke […] auf Personalausweisen und Aufenthaltskarten […] stellt eine geeignete Kombination einer zuverlässigen Identifizierung und Echtheitsprüfung im Hinblick auf eine Verringerung des Betrugsrisikos dar, um die Sicherheit von Personalausweisen und Aufenthaltskarten zu verbessern.

Dass die Aufnahme von Fingerabdrücken für den Fälschungsschutz geeignet ist und damit Betrug und Identitätsdiebstahl verhindern kann, bezweifelt das VG Wiesbaden in seinem Beschluss ausdrücklich. Wenn schon das Gesicht einer Person zum Abgleich vorhanden ist, erschließt sich nicht, warum ein zweites Merkmal wie der Fingerabdruck erforderlich sein soll.

Im Erwägungsgrund 19 der Verordnung ist auch geregelt, dass die EU-Mitgliedstaaten zur Überprüfung der Identität eines Ausweisinhabers vorrangig das Gesichtsbild prüfen. Die Fingerabdrücke sollen höchstens bestätigend überprüft werden.

Der Beschluss des Gerichts greift mehrfach die Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen (pdf) aus dem Jahr 2018 auf, der weit vor dem Inkrafttreten schon kritisiert hatte, dass die Notwendigkeit des Fingerabdruckszwangs nicht begründet sei. Mit weniger eingriffsintensiven Maßnahmen könnte man das Ziel der Fälschungssicherheit auch erreichen, argumentierte er. Biometrische Daten seien nach EU-Recht besonders schützenswert, zumal wenn hier 370 Millionen Menschen betroffen sind.

Gefahr des Identitätsdiebstahls

Der Anwalt des Klägers, Wilhelm Achelpöhler, hatte die Klage erst Ende Dezember eingereicht. Der Beschluss des Gerichts erfolgte also sehr schnell, betont der Rechtsanwalt gegenüber netzpolitik.org. Wenn der Vorlagebeschluss des Verwaltungsgerichts Wiesbaden an den EuGH übermittelt worden sei, könnten neben dem Kläger und der beklagten deutschen Stadt auch die EU-Mitgliedstaaten und die EU-Kommission binnen zwei Monaten Schriftsätze an den Gerichtshof senden.

Nach den schriftlichen Stellungnahmen erwartet Achelpöhler eine mündliche Verhandlung am Gerichtshof. Der Anwalt sieht gegenüber netzpolitik.org seine Argumentation durch den Beschluss des Verwaltungsgerichts insgesamt bestätigt und wird auch beim EuGH den Mandanten vertreten.

Die Richter des Verwaltungsgerichts gehen über die Argumente in der Klage teilweise sogar hinaus und verweisen in ihrem Beschluss auch darauf, dass in den Ausweisen der gesamte Fingerabdruck gespeichert wird und nicht nur partielle Informationen. Dadurch erhöhe sich das Risiko eines Identitätsdiebstahls. Statt des gesamten Abdrucks hätten auch nur Teile der Minuzien auf den Fingerkuppen verwendet werden können, aus denen ein ganzer Fingerabdruck nicht mehr rekonstruierbar wäre. Darauf hatte bereits der Europäische Datenschutzbeauftragte hingewiesen.

Auch digitalcourage sieht eine Gefahr des Identitätsdiebstahls und eines „Datenlecks“, die unweigerlich bestünden. Konstantin Macher von Digitalcourage erklärte dazu in einer Pressemitteilung des Vereins vom 27. Januar: „Erfahrungsgemäß ist bei einem Datenleck die Frage nicht ob, sondern wann es passiert. Die Speicherung unserer kompletten Fingerabdrücke vergrößert die Gefahr eines Identitätsdiebstahls, sobald der RFID-Chip geknackt ist.“

Auf Nachfrage von netzpolitik.org, was mit dem „Knacken des RFID-Chips“ technisch gemeint sei, erklärt Macher, dass auch der Fall bedacht werden müsse, „wenn sich eines Tages die Verschlüsselung der Daten auf dem Personalausweis als nicht (mehr) sicher herausstellen sollte“. Denn auch eine starke Verschlüsselung könne keine absolute Sicherheit garantieren.

Vier Innenminister

Den Ausweis mit Chip gibt es seit mehr als elf Jahren, der Biometrie-Reisepass mit Chip wurde sogar schon einige Jahre zuvor eingeführt. Über 62 Millionen Deutsche besitzen mittlerweile ein Ausweis-Exemplar mit einem Funk-Chip (RFID).

Immerhin vier Innenminister haben ihren Anteil daran: Otto Schily (SPD) hatte nach dem elften September die Biometrie-Idee zunächst für den Reisepass stark protegiert, Wolfgang Schäuble (CDU) brachte sie durch das Bundeskabinett, Thomas de Maizière (CDU) durfte den Personalausweis mit biometrischen Daten und funkendem Chip präsentieren und Horst Seehofer (CSU) verpflichtete die Ausweisbesitzer zuletzt auch noch zur Fingerabdruckabgabe.

Die biometrischen Daten des Chips dürfen Polizeien, Zollverwaltung, Steuerfahndung und Meldebehörden auslesen, nicht aber private Akteure. Alle Personalausweise bleiben allerdings auch dann gültige Ausweisdokumente, wenn der Chip den Geist aufgibt und nicht mehr auslesbar ist. Die Fingerabdrücke sind dann verloren – anders als die Gesichtsbilder, die zwar dann auch nicht mehr digital ausgelesen werden können, aber wenigstens aufgedruckt sind und noch mit dem Gesicht des Inhabers verglichen werden können.

Viele glauben, dass es in Deutschland eine Personalausweispflicht gibt, aber das stimmt so nicht. Denn nach § 1 Abs. 2 Satz 3 des Personalausweisgesetzes besteht keine Pflicht zum Besitz eines Personalausweises. Wer etwa einen gültigen Reisepass hat, muss keinen Personalausweis besitzen. Eine „Ausweispflicht“ besteht also zwar, aber nicht im Wortsinn: Man muss sich mit einem hoheitlichen Dokument ausweisen können, nicht unbedingt aber mit einem Personalausweis. Dennoch zeigt schon die hohe Anzahl der Ausweise, die im Umlauf sind, dass die große Mehrheit der Deutschen einen Personalausweis hat.

Allein deswegen betrifft die EuGH-Vorlage des Verwaltungsgerichts Millionen Bürger und ihre persönlichen Biometriedaten. Sollte der EuGH im Sinne der Grundrechte entscheiden und die zwangsweise Erhebung der Fingerabdruckdaten für unverhältnismäßig befinden, dann wäre die Entscheidung nicht nur für den Kläger von Bedeutung, sondern verbindlich für alle EU-Staaten. Die verpflichtende biometrische Vermessung der Fingerkuppen könnte dann ein Ende finden.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Es geht um einen Deal in Milliardenhöhe, der das Ende der Pandemie beschleunigen sollte: Im Frühjahr vereinbarte die EU-Kommission den Kauf von 1,8 Milliarden Corona-Impfstoffdosen mit Pfizer. Sie macht den Pharmariesen damit zum Hauptlieferanten der Kommission. Den Durchbruch in den Verhandlungen brachte angeblich der direkte Draht zwischen Kommissionschefin Ursula von der Leyen und Pfizer-Chef Albert Bourla. Die beiden hätten in Anrufen und Nachrichten den Ankauf detailliert besprochen, berichtete damals die New York Times.

Doch bis heute weiß die Öffentlichkeit wenig über das Geschäft, dass heute in ganz Europa Booster-Impfungen ermöglicht. Die Kommission legte zwar – wie bei Verträgen mit anderen Herstellern – eine Vorvereinbarung und einen Kaufvertrag mit Pfizer offen, schwärzte darin aber Lieferpreis und Haftungsklauseln. Intransparent agiert die EU-Behörde auch beim Zustandekommen des Deals. Sie verweigert den öffentlichen Einblick in die Nachrichten zwischen Von der Leyen und Bourla.

Eine Anfrage von netzpolitik.org nach dem Informationsfreiheitsgesetz der EU schmetterte die Kommission im Sommer ab. Sie will nicht einmal verraten, ob die Nachrichten überhaupt noch existieren oder ob sie in der Zwischenzeit schon gelöscht sind. Über diese Intransparenz beschwerten wir uns bei der EU-Ombudsfrau Emily O’Reilly. Ihre Behörde kann solche Beschwerden prüfen und öffentlich Missstände in der EU-Verwaltung anprangern. Rechtlich bindende Entscheidungen trifft sie nicht.

Ombudsfrau sieht „Fehlverhalten“ der EU-Kommission

Heute hat Ombudsfrau O’Reilly ihre Empfehlungen an die Kommission veröffentlicht: Darin sieht sie „maladministration“, ein Fehlverhalten der Kommission. Der Behauptung der Kommission, dass Nachrichten über SMS und Messengerdienste wie WhatsApp generell keine Dokumente seien und daher nicht von der Informationsfreiheit erfasst werden, kann die Ombudsfrau nichts abgewinnen. Egal über welchen Kanal eine Nachricht übermittelt werde – wenn der Inhalt die Arbeit der Kommission betreffe, dann müsse der Öffentlichkeit Zugang gewährt werden.

Die Ombudsfrau legt der Kommission nahe, die Anfrage von netzpolitik.org nochmal zu prüfen. „Wenn es die in Berichten erwähnten Textnachrichten gibt und sie gefunden werden, dann sollte die Kommission prüfen, ob ein öffentlicher Zugang im Sinne von Verordnung 1049/2001 gewährt werden kann.“ Die Kommission hat nun bis 26. April 2022 Zeit, detailliert Stellung zunehmen. Vorerst möchte sie nicht darauf reagieren, wie ein Sprecher auf Anfrage betonte.

Die Vizechefin der EU-Kommission, Věra Jourová, hatte zuletzt neue Leitlinien der Kommission für Informationsfreiheitsanfragen in Aussicht gestellt. Dabei soll auch der Umgang mit Nachrichten über SMS und Messenger neu geregelt werden. Ombudsfrau O’Reilly ruft die Kommission auf, künftig alle Nachrichten unabhängig von ihrer Form auf ihre Relevanz zu prüfen. „Die EU-Verwaltung muss ihre Praxis der Aufzeichnung von Dokumenten an die Realität anpassen“, so O’Reilly.

Einen zeitgemäßen Umgang mit Nachrichten über Messenger fordert auch der grüne EU-Abgeordnete Daniel Freund. „Es ist heute so, dass per Signal, WhatsApp und Slack regiert wird.“ Dementsprechend müssten diese Nachrichten unter die Informationsfreiheit fallen – oder die Verwendung von SMS und Messengern für die offizielle Kommunikation verboten werden, sagt der Abgeordnete und frühere Transparency-International-Experte.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

In der Ostukraine braut sich neue Konfrontation mit Russland zusammen. Der Konflikt wird dabei auch in sozialen Netzwerken ausgetragen, durch gezielte Falschinformation und Irreführung – so lautet zumindest der Vorwurf der US-Regierung und des Europäischen Auswärtigen Dienstes gegen die russische Regierung. Vorwürfe, Russland und China setzten gezielt Desinformation ein, sind schon seit Jahren aus Brüssel und Washington zu hören.

Die Vorwürfe machen deutlich, dass Social Media immer stärker zum Schauplatz moderner Kriegsführung gerät. Und wer diese Sichtweise teilt, für den ist die Informationsgewinnung über Propaganda der Gegenseite eine strategische Notwendigkeit.

Eine Datenpipeline für die Informationsgewinnung verspricht eine neue EU-Verordnung: Das Digitale-Dienste-Gesetz soll vorschreiben, dass große Plattformen wie Facebook und YouTube rasche Schritte gegen illegale Inhalte setzen müssen. Bei Werbung im Netz müsse nachvollziehbar sein, wer werbe und welche Zielgruppe angesprochen werde. Um diese und weitere Auflagen kontrollieren zu können, sollen Plattformen Forscher:innen Zugang zu ihren Daten gewähren.

Derzeit starten in Brüssel Verhandlungen zwischen Kommission, Rat und EU-Parlament über einen endgültigen Gesetzestext. Dabei könnte eine tief im Text versteckte Definition zum Streitpunkt werden: Denn in ihrem Gesetzesvorschlag hat die EU-Kommission den Datenzugang für die Forschung stark beschränkt. Konkret Zugriff haben sollen nur Forscher:innen wissenschaftlicher Institutionen, die wirtschaftlich unabhängig seien.

„Datenzugang für Organisationen wie unsere nicht verhindern“

Diese enge Definition verärgert NATO-Kreise. Das zeigt eine schriftliche Protestnote der NATO-Einrichtung Stratcom Centre of Excellence an die EU-Staaten, die netzpolitik.org veröffentlicht. In dem Schreiben verweist das Zentrum auf eigene Forschungsarbeit in sozialen Medien. Ein Stratcom-Bericht aus 2019 habe etwa gezeigt, dass Facebook, Instagram, Twitter und YouTube nicht genug gegen manipulative Auftritte in ihren Netzwerken unternähmen. Die meisten Fake-Profile würden mit Hilfe aus Russland betrieben.

Die Untersuchungen des NATO-Zentrums könnten durch das Digitale-Dienste-Gesetz der EU erheblich erleichtert werden, heißt es in dem Schreiben aus April 2021. „Leider sehen wir, dass der derzeitige Wortlaut von Artikel 31 eine solche Arbeit verhindern dürfte.“ Das Zentrum wäre daher „dankbar“, wenn der Artikel angepasst werden könnte, „um den Datenzugang für die Forschung durch Organisationen wie unsere nicht zu verhindern“.

Das Stratcom Centre of Excellence wurde 2014 von Deutschland und sechs weiteren NATO-Staaten gegründet. Es wird inzwischen von 14 Mitgliedern des Militärbündnisses finanziell unterstützt. Formell untersteht seine Arbeit nicht dem NATO-Oberkommando, das Zentrum ist allerdings als Dienststelle des Bündnisses eingerichtet und liefert der NATO strategische Analysen, Konzepte und bietet Fortbildungen für ziviles und militärisches Personal. Ziel ist es dabei auch, Strategien für das Entwickeln von „Gegenerzählungen“ zu russischen Propaganda-Narrativen zu entwerfen.

Als Fürsprecher des NATO-Zentrums im Rat der EU-Staaten tritt Lettland auf, in dessen Hauptstadt Riga das Zentrum seinen Sitz hat. Das „Recht auf Informationsgewinnung für Forschungszwecke sollte nicht auf wissenschaftliches Personal beschränkt sein“, forderten lettische Diplomat:innen unter Verweis auf den Brief. Das zeigt ein Verhandlungsdokument, dass wir ebenfalls veröffentlichen. Die Dokumente stammen aus einer Informationsfreiheitsanfrage von netzpolitik.org beim Rat der EU-Staaten.

Dass die EU-Staaten eng mit der NATO kooperieren, ist nicht ungewöhnlich. Fast alle EU-Länder sind auch NATO-Mitglieder, in den vergangenen Jahren wurde die Zusammenarbeit stetig vertieft. Etwa vereinbarte der Rat der EU mit dem Militärbündnis bereits 2016, gemeinsame Analysekapazitäten beim Aufspüren von Desinformation aufzubauen. Unterstützung dafür gibt es auch im EU-Parlament, wo ein eigens eingerichteter Ausschuss vor der Gefahr „fremder Einflussnahme“ warnt und sogar Sanktionsmöglichkeiten gegen die Verbreitung von Desinformation fordert.

Allerdings gibt es daran beständig Kritik. EU-Abgeordnete der Linksfraktion kritisieren „das Lobbying von transatlantischen und NATO-Thinktanks“. Deren Einfluss stelle eine ernste Bedrohung für politische Positionen dar, die sich international für Frieden und soziale Gerechtigkeit einsetzten, sagt etwa die irische EU-Abgeordnete Clare Daly. Eine von der Linksfraktion finanzierte Studie über „Rhetorik und Realität von Desinformation in der Europäischen Union“ sieht die Arbeit des NATO-Zentrums in Riga als Teil einer langjährigen Strategie zu Beeinflussung der öffentlichen Meinung.

Definition entzweit Rat und Parlament

Doch trotz der Kritik von links könnte der Wunsch der NATO-Einrichtung durchaus in Erfüllung gehen. Im November 2021 einigten sich die EU-Staaten auf eine gemeinsame Position zum Digitale-Dienste-Gesetz. Darin fordert der Rat die Ausweitung der Zugangsberechtigten nach Artikel 31. Nicht bloß wissenschaftliche Forscher:innen sollten Daten der großen Plattformen bekommen. Stattdessen sollte die Definition einer „Forschungseinrichtung“ aus Artikel 2 der Urheberrechtsrichtlinie herangezogen werden. Darunter fällt „eine Hochschule einschließlich ihrer Bibliotheken, ein Forschungsinstitut oder eine sonstige Einrichtung, deren vorrangiges Ziel die wissenschaftliche Forschung oder die Lehrtätigkeit – auch in Verbindung mit wissenschaftlicher Forschung – ist“. Diese Definition könnte auch das NATO-Zentrum einschließen.

Widerstand gegen diese breite Definition kommt hingegen aus dem EU-Parlament. Dieses weitet in seiner Version von Artikel 31 des Digitale-Dienste-Gesetzes den Zugang von wissenschaftlichen Institutionen explizit auch auf zivilgesellschaftliche Organisationen aus. Forscher:innen, die Datenzugang erhalten, müssten allerdings frei von kommerziellen Interessen sein, ihre Finanzierungsquellen offenlegen und „unabhängig von jeder Regierung, Verwaltung und anderen staatlichen Körperschaften sein“, mit Ausnahme von öffentlich finanzierten Forschungseinrichtungen. Ein Streit zwischen Rat und Parlament in der Definitionsfrage scheint programmiert.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Die unrechtmäßige Speicherung von sensiblen Daten von Mieter*innen durch den Immobilienkonzern Deutsche Wohnen landet vor dem Europäischen Gerichtshof. Das Kammergericht Berlin legte dem EuGH kurz vor Weihnachten zwei Fragen zu dem Fall vor, wie ein Sprecher des EU-Gerichts auf Anfrage von netzpolitik.org bestätigte.

Hohe Mieten und fehlende Reparaturen in den rund 160.000 Wohnungen von Deutsche Wohnen in Berlin lieferten den Anlass für den Volksentscheid „Deutsche Wohnen und Co. enteignen“, dem im September 2021 eine Mehrheit der Wahlbevölkerung Berlins zustimmte. Ärger gibt es für den Konzern aber auch mit dem Datenschutz. Denn Deutsche Wohnen speichert massenhaft Daten wie etwa Kopien von Personalausweisen, Kontoauszüge, Gehaltsbescheinigungen und Krankenversicherungsdaten. Das ist zumindest bei Ausweisen nicht rechtens – Vermieter*innen dürften bei Mietinteressent*innen diese zwar überprüfen, die Anfertigung einer Ausweiskopie sei aber „nicht erforderlich und damit unzulässig“, heißt es von der Datenschutzkonferenz.

Auch müsste der Konzern eigentlich nicht mehr erforderliche Daten löschen, doch das tat er nach Angaben der Berliner Datenschutzbehörde jahrelang und trotz mehrfacher Aufforderungen nicht.

Rechtswiderspruch rüttelt an Konzernstrafen

Ein 14,5-Millionen-Euro-Bußgeld der Behörde hob das Landgericht Berlin wegen eines bizarren rechtlichen Widerspruchs wieder auf. Die Datenschutzgrundverordnung der EU sieht bei Fehlverhalten von Unternehmen Bußgelder von bis zu vier Prozent ihres Jahresumsatzes vor. Doch das Landgericht Berlin urteilte, dass juristische Personen wie Deutsche Wohnen nur dann bestraft werden können, wenn einem konkreten Verantwortlichen bei der Firma Fehlverhalten nachgewiesen werden kann. Dies sei im deutschen Recht so angelegt.

Doch dies widerspreche geltendem EU-Recht, argumentiert die Berliner Datenschutzbehörde. „Im Ergebnis würde es dazu führen, dass in Deutschland – im Gegensatz zu vielen anderen Mitgliedstaaten – ein Bußgeld gegen große Unternehmen aufgrund der komplexen Unternehmensstruktur häufig nicht nachweisbar wäre.“

Das Kammergericht Berlin lässt die Sache nun vom Europäischen Gerichtshof in Luxemburg prüfen. Es müsse geklärt werden, ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen könne. Auch will das Berliner Gericht wissen, wie handfest Verstöße sein müssten, um für Bußgelder zu sorgen. Die Berliner Datenschutzbehörde teilte auf unsere Anfrage mit, sie begrüße die Einschaltung des EuGH und hoffe, dass eine höchstgerichtliche Klärung „zu einer einheitliche Anwendung der DSGVO in allen Mitgliedstaaten und damit zur erforderlichen Rechtssicherheit führt – nicht nur für die Aufsichtsbehörden, sondern auch für die datenverarbeitenden Unternehmen.“

Ob Deutsche Wohnen inzwischen der Aufforderung der Datenschutzbehörde zur Löschung unnötiger Daten nachgekommen ist und sein Datenmanagement verbessert hat, ist unklar. Der Konzern antwortete auf eine Presseanfrage von netzpolitik.org, er wolle das Thema aufgrund des noch laufenden Verfahrens nicht kommentieren.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.