Während in der EU eine App zur Altersverifikation bereits im Testbetrieb ist, will in den USA ein neuer Gesetzentwurf den Altersnachweis bundesweit im Betriebssystem verankern

Hinter dem Erfolg von Künstlicher Intelligenz und Sozialen Medien stecken ausgebeutete Arbeiter:innen. Bei einem Fachgespräch im Deutschen Bundestag wurde heute diskutiert, wie ihre Lage verbessert werden kann. Die Botschaft der Sachverständigen war klar: Deutschland muss mehr Verantwortung übernehmen.

Im Bundestag wurde heute erstmals über die Arbeitsbedingungen von Datenarbeiter:innen hinter Künstlicher Intelligenz und Sozialen Medien diskutiert. Die Ausschüsse für Digitales und Arbeit hatten zu einem Fachgespräch zum Thema Data Labeling geladen. Die klare Botschaft der drei Sachverständigen: Wenn Deutschland auf KI setzt, dann muss es mehr Verantwortung für die Menschen im Maschinenraum der Technologie übernehmen.

Als Data Labeling oder auch Daten-Annotation bezeichnet man eine Tätigkeit, bei der Menschen zum Beispiel Bildmaterial mit Metadaten versehen, also mit Labels, die den Inhalt beschreiben. Das ist unter anderem für Machine-Learning-Systeme erforderlich, die hinter fast allem stehen, auf dem heute das Label „KI“ klebt. Die Arbeiter:innen sind selten bei den Tech-Konzernen selbst beschäftigt, sondern werden häufig unter ausbeuterischen Bedingungen bei Outsourcing-Firmen oder -Plattformen angestellt.

Seit Jahren bringen Whistleblower:innen, Aktivist:inen, Forscher:innen und Journalist:innen die unsichtbar gemachten Arbeitskräfte in die Öffentlichkeit. Auch wir auf netzpolitik.org berichten kontinuierlich darüber. Die Arbeitsbedingungen in der Branche haben sich aber kaum verbessert, weshalb Erwartungen an die Politik groß sind. Das heutige Fachgespräch, an dem sich Abgeordnete von Union, SPD, Grünen und Linkspartei beteiligten, könnte ein Anfang sein. An konkreten Ideen, wie sich die Lage der Arbeiter:innen verbessern lässt, mangelt es jedenfalls nicht.

„Sie sehen die KI, aber uns sehen Sie nicht“

Die ehemalige Datenarbeiterin Joan Kinyua war virtuell aus der kenianischen Hauptstadt Nairobi zugeschaltet. Sie habe mehr als acht Jahre in der Branche gearbeitet hat, die „Künstlicher Intelligenz dabei hilft, die Welt zu verstehen“. Für unterschiedliche Anbieter habe sie unter anderem Bilder von Straßen mit Metadaten versehen, damit selbstfahrende Autos keine Unfälle bauen. Auch mit Straßenszenen aus Berlin habe sie arbeiten müssen (lest dazu mehr in unserem kürzlich veröffentlichten Interview mit Joan).

Später habe sie auch Bilder mit Gewaltdarstellungen klassifizieren müssen, sogar solche, die Gewalt an Kindern zeigten. Gleichzeitig habe sie selbst Daten für das KI-Training erzeugen sollen, indem sie Bilder ihrer Tochter zur Verfügung stellt.

Ausgeübt habe sie die Tätigkeit meist vom eigenen Computer zuhause, über sogenannte Microwork-Plattformen – „ohne Arbeitsvertrag, Sozialversicherung oder Gesundheitsversorgung“. Oft habe sie stundenlang auf neue Aufträge warten müssen, teilweise bis zu 20 Stunden am Tag auf Stand-By. Immer wieder hätten Auftraggeber:innen ihre Ergebnisse abgelehnt. Den Input hätten sie trotzdem behalten, sie selbst sei leer ausgegangen. So habe es Tage gegeben, an denen sie in fünf Stunden nur zwei Cent verdient habe. Im Schnitt würden Datenarbeiter:innen in Kenia 250 US-Dollar im Monat verdienen, was kaum zum Überleben reiche.

Von ihrer Arbeit habe sie außerdem Panik-Attacken und Angstzustände erhalten. Wie ihr gehe es vielen in der Branche, schildert Kinyua. Als Präsidentin der kenianischen Data Labelers Association vertrete sie inzwischen die Interessen von mehr als tausend Datenarbeiter:innen. Viele von ihnen litten unter posttraumatischen Belastungsstörungen.

„Sie sehen die KI, aber uns sehen Sie nicht“, so beschrieb Joan Kinyua den Abgeordneten ihre Lage. Es sei auch in der Verantwortung des Deutschen Bundestages, das zu ändern und für bessere Bedingungen zu sorgen. Unter anderem schlug die Kenianerin Mindeststandards für Datenarbeiter:innen in Deutschland und weltweit vor. Dazu zählt auch eine Obergrenze für die Arbeit an belastenden Inhalten. Zudem brauche es unabhängige Audits der Anbieter, sowie Register für KI-Arbeiter:innen und ganz grundsätzlich mehr Transparenz über Outsourcing und Lieferketten von Tech-Konzernen.

Milliarden-Profite dank Prekarisierung

Dr. Milagros Miceli von der TU Berlin berichtete von ihren Erkenntnissen aus fast einem Jahrzehnt Forschung zu Datenarbeit. Die von Joan Kinyua geschilderten Arbeitsbedingungen seien „kein Einzelfall, sondern ein konstantes Muster“. Oder genauer gesagt: das Geschäftsmodell einer milliardenschweren Branche.

Der von ihr geprägte Begriff der Datenarbeit umfasse mehr als das Labeling von Daten im engeren Sinne: Auch das Generieren und Sammeln von Daten zähle dazu, in zunehmendem Maße außerdem die Validierung des algorithmischen Outputs und das Korrigieren von Fehlern. Zudem müssten Arbeiter:innen immer wieder so tun, als seien sie eine KI.

Miceli ist eine der Initiator:innen des „Data Workers Inquiry“, in dem Datenarbeiter:innen von ihrer Wirklichkeit berichten. Kürzlich hat das Projekt die Geschichte einer Person veröffentlicht, die sich als AI Girlfriend ausgeben musste, also als Chatbot, der eine Liebesbeziehung mit seinen Nutzer:innen simuliert.

Die unterschiedlichen Formen der Datenarbeit seien essenzieller Bestandteil von KI-Produkten, einer Studie zufolge würde sie 80 Prozent der Entwicklungsarbeit von Künstlicher Intelligenz ausmachen. Miceli ist in ihrer Botschaft deshalb klar: „Ohne Datenarbeit und ohne Menschen wie Joan Kinyua gibt es keine KI“. Tech-Konzerne würden Milliarden damit verdienen „dass sie Arbeiter:innen durch Outsourcing und Plattformisierung prekarisieren und austauschbar machen“. Wenn Deutschland KI fördern wolle, müsse deshalb unbedingt für bessere Arbeitsbedingungen sorgen.

Viele der Arbeiter:inen seien hochqualifiziert, hätten Bachelor-Abschlüsse oder sogar promoviert, berichtet die Forscherin. Dabei sei wichtig, dass die Tätigkeit nicht auf Länder wie Kenia beschränkt ist, sondern auch in Deutschland und Europa viele Menschen in der Branche tätig seien. Wie viele genau, das könne man aufgrund der Intransparenz der Unternehmen nicht sagen.

Probleme bei Gesundheits- und Datenschutz

Bekannt ist, dass mehrere Tech-Konzerne und Outsourcing-Unternehmen in Deutschland große Zentren für die Moderation von Inhalten auf Social-Media-Plattformen unterhalten. Eine Tätigkeit, die die Sachverständigen ebenfalls zum Feld der Datenarbeit zählt und die bereits vor drei Jahren bei einem Fachgespräch im Bundestag Thema war. Julia Kloiber vom Superrr Lab war damals bereits dabei und wies heute erneut darauf hin, dass dabei oft Menschen in vulnerablen Lebenssituationen ausgenutzt würden.

Kloiber empfahl unter anderem besseren Schutz für Menschen, die mit schädlichen Inhalten arbeiten müssen. Bei der Polizei etwa, wo ebenfalls Menschen mit Darstellungen von Kindesmissbrauch arbeiten müssten, gebe es klare Expositionsbegrenzungen. Auch für Datenarbeiter:innen brauche es eine Obergrenze, die die Arbeit mit belastendem Material festlegt. Außerdem brauche es Trauma-Prävention und Zugang zu professioneller psychologischer Unterstützung.

Der fehlende Schutz habe nicht nur schwerwiegende Folgen für die Betroffenen, sondern auch für das Gesundheitssystem, schließlich könnten Menschen ein ganz Leben lang unter posttraumatischen Belastungsstörungen leiden. Manchmal könnten sie deshalb nicht mehr arbeiten. Die dadurch entstehenden Kosten würden von den Tech-Konzernen externalisiert und von der Allgemeinheit aufgefangen.

Kloiber wies zudem auf Datenschutzprobleme beim Outsourcing hin: Nicht nur würden die Datenarbeiter:innen selbst stark überwacht, bei ihnen landeten auch große Mengen personenbezogener Daten und sensibler Inhalte. Erst kürzlich hatten Datenarbeiter:innen als Whistleblower:innen darüber berichtet, dass sie Aufnahmen aus Meta-Brillen bearbeiten müssten und dabei auch Nacktaufnahmen und andere intime Szenen von Nutzer:innen zu Gesicht bekämen.

„Unsere digitale Zukunft darf nicht auf Ausbeutung fußen“

Deutlich wurde bei dem Fachgespräch, dass auch deutsche Firmen davon profitieren, dass sie prekäre Arbeit an Menschen wie Joan Kinyua auslagern. Auch die Auto-Industrie, die Pharma-Branche oder Tech-Unternehmen wie Siemens gehörten zu den Kunden von Outsourcing-Unternehmen im Datenbereich, berichtete etwa Milagros Miceli.

Für Julia Kloiber ist klar, dass Deutschland deshalb auch Verantwortung übernehmen müsse. Eine Untersuchung des Fairwork-Projekt der Universität Oxford und Wissenschaftszentrums Berlin habe die Löhne von vier Outsourcing-Unternehmen untersucht. Nur zwei von ihnen hätten Mindestlohn gezahlt, keines den sogenannten Existenzlohn („Living Wage“), der nicht nur das bloße physische Überleben, sondern auch soziale und kulturelle Teilhabe ermöglicht.

Einen wichtigen Ansatzpunkt sieht die Geschäftsführerin des Superrr Lab deshalb in der Regulierung von Lieferketten. Hier drohe der hohe Standard des erst kürzlich eingeführten und dann schon wieder halb gecancelten deutschen Lieferkettengesetzes abgesenkt zu werden. Die Schwarz-Rote Koalition hatte sich darauf geeinigt, nicht über die – ebenfalls gerade ausgehöhlte – EU-Lieferkettenrichtlinie hinauszugehen.

Bei der Umsetzung der Richtlinie müsse Deutschland sicherzustellen, dass der Geltungsbereich nicht eingeschränkt werde. Die EU-Regeln sollen nur Unternehmen ab 5000 Beschäftigten und einem Umsatz von 1,5 Milliarden Euro gelten. In Deutschland würden dann 95 Prozent der Unternehmen von den Sorgfaltspflichten für ihre Lieferketten entbunden, so Kloiber.

Die Expertin brachte zudem ein Direktanstellungsgebot ins Spiel, wie es erst kürzlich gefeuerte und streikende TikTok-Angestellte in Deutschland gefordert hatten. Ganz grundsätzlich fordert Kloiber eine realistischere Kosten-Nutzen-Rechnung, wenn in Deutschland KI ausgebaut und etwa in der Verwaltung eingesetzt wird. Soziale und auch ökologische Kosten dürften nicht länger ausgeblendet werden: „Unsere digitale Zukunft darf nicht auf Ausbeutung fußen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der legendäre Urheberrechtsfall „Metall auf Metall“ geht in die letzte Runde. Der Europäische Gerichtshof hat gerade nach weitläufiger Auffassung das Recht auf Remix und Sampling gestärkt. Jetzt muss noch der Bundesgerichtshof final entscheiden.

Der Europäische Gerichtshof hat eine Entscheidung präzisiert, die es ermöglicht, urheberrechtlich geschützte Werke ohne Zustimmung ihrer Rechtsinhaber:innen zu verwenden. Demnach müssen bestimmte Voraussetzungen zutreffen, damit ein Sample als erlaubtes „Pastiche“ gilt.

27 Jahre – so lange streiten sich der Musikproduzent Moses Pelham und die Band Kraftwerk bereits vor Gericht. Recht auf Sampling gegen Urheberrecht. Gestritten wird um einen zwei Sekunden langen Musikschnipsel aus dem Kraftwerk-Song „Metall auf Metall“. Der stammt aus 1977. Rund 20 Jahre später schnitt Pelham aus den zwei Sekunden die Dauerschleife für den Song „Nur mir“ von Sabrina Setlur. Kraftwerk klagte 1999 dagegen.

Das Oberlandesgericht Hamburg, der Bundesgerichtshof, das Bundesverfassungsgericht und der Europäische Gerichtshof – sie alle haben sich im letzten Vierteljahrhundert mit dem Fall beschäftigt. Derweil ist das Samplen gängige Kulturpraxis, nicht nur in HipHop und Techno.

Um eine Rechtsgrundlage zu schaffen, führte die EU 2019 eine „Pastiche-Regel“ ein, die 2021 im deutschen Urheberrecht verankert wurde. Dort heißt es in § 51a Karikatur, Parodie und Pastiche: „Zulässig ist die Vervielfältigung, die Verbreitung und die öffentliche Wiedergabe eines veröffentlichten Werkes zum Zweck der Karikatur, der Parodie und des Pastiches. Die Befugnis nach Satz 1 umfasst die Nutzung einer Abbildung oder sonstigen Vervielfältigung des genutzten Werkes, auch wenn diese selbst durch ein Urheberrecht oder ein verwandtes Schutzrecht geschützt ist.“

Wann ist Pastiche Pastiche?

Nun hat der Europäische Gerichtshof sich zur Tragweite der Ausnahme für „Pastiches“ im Zusammenhang mit dem Sampling geäußert. Demnach sei entscheidend, ob die Neuschöpfung im Zuge des Samplings mit den urheberrechtlich geschützten Werken einen „erkennbaren künstlerischen oder kreativen Dialog“ führe, „gleichzeitig aber wahrnehmbare Unterschiede“ aufweise. Beispielsweise in Form einer offenen Nachahmung des Stils oder kritischer Auseinandersetzung. Auf diese Weise solle ein angemessener Rechts- und Interessenausgleich zwischen Rechteinhaber:innen und der Kunstfreiheit gesichert werden. Eine Nachahmung ohne erkennbare Auseinandersetzung mit dem Original sei demnach kein zulässiges Pastiche.

Nach weitläufiger Interpretation hat der Europäische Gerichtshof damit das Recht auf Remix und Sampling gestärkt – und damit geht der Fall „Metall auf Metall“ in die letzte Runde und zurück an den Bundesgerichtshof in Karlsruhe: Dieser muss nun entscheiden, ob Pelham sich in dem Song von 1997 in einem ausreichenden Dialog mit „Metall auf Metall“ befindet und wahrnehmbare Unterschiede bestehen.

Das Oberlandesgericht Hamburg hatte bereits festgestellt, dass die Rhythmussequenz trotz leichter Abwandlung in „Nur mir“ als Anspielung auf das Original erkennbar bleibe – darauf weist der Europäische Gerichtshof hin. Fraglich ist jetzt, ob der Bundesgerichtshof dieser Auffassung folgen wird.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Soziale Netzwerke und ihre auf Überwachung und Personalisierung basierenden Geschäftsmodelle schaffen Anreize, die letztlich die Demokratie gefährden. Für die EU ist es höchste Zeit, dem etwas entgegenzusetzen, fordert eine umfassende Studie der Forschungsabteilung der EU-Kommission.

Es ist schon eine Ansage: Die EU sollte in ihrem Streben nach digitaler Souveränität neue Geschäftsmodelle im digitalen Raum entwickeln, die besser mit der Demokratie vereinbar sind. Zu diesem Schluss kommt eine neue Studie der Gemeinsamen Forschungsstelle der EU-Kommission.

Der Titel der englischsprachigen Studie ist so alarmierend wie programmatisch: „Fractured reality – How democracy can win the global struggle over the information space“ (auf Deutsch: „Zersplitterte Realität – Wie die Demokratie den globalen Kampf um den Informationsraum gewinnen kann“). Verfasst haben sie ein Dutzend renommierter Forscher:innen zu dem Thema, darunter die Hauptautoren, der Kognitionspsychologe Stephan Lewandowsky und der Verhaltensforscher Mario Scharfbillig.

Aufmerksamkeitsökonomie unter der Lupe

In der heutigen „Aufmerksamkeitsökonomie“ ist die Zeit und Aufnahmefähigkeit von Menschen begrenzt, schreiben die Autor:innen. Viele Online-Dienste, insbesondere soziale Medien, kämpfen geschickt um das kostbare Gut: Sie haben ihre personalisierten Produkte so gestaltet, dass Nutzer:innen möglichst lange auf ihrem Dienst bleiben. Dann können sie ihnen möglichst viele und passgenaue Werbeanzeigen einblenden.

Dies begünstige „strukturell – wenn auch unbeabsichtigt – Inhalte, die die Demokratie bedrohen, da die menschliche Aufmerksamkeit Informationen bevorzugt, die negativ, emotional und konfliktgeladen sind“, heißt es in der Studie. Zudem würden die Dienste den Weg zu Echokammern ebnen. In diesen würden sich Menschen gegenseitig unwidersprochen ihre Ansichten bestätigen.

Grundsätzlich neu sei dieses Phänomen zwar nicht, jedoch ermögliche Technologie eine zuvor ungekannte Vielfalt und Fragmentierung von Wahrnehmungen der Realität. Dies sei ein Problem: „Demokratische Institutionen und die Demokratie selbst können ohne ein gewisses Maß an gemeinsamer Realität nicht überleben.“

Wenn sich soziale Medien nun zunehmend zu einer wichtigen Informationsquelle entwickeln und sich strukturell bedingt Informationen minderwertiger Qualität schneller verbreiten, öffnet das die Tür für Falschnachrichten, ob unbeabsichtigt (Misinformation) oder bewusst gestreut (Desinformation). Inzwischen habe sich das Phänomen jedoch gewandelt: Es gehe nicht mehr darum, konkrete Behauptungen aufzustellen oder anzufechten, sondern darum, den Informationsraum zu überfluten („flooding the zone“).

Dominanter Fantasie-Industrie-Komplex

Während Informationsmanipulation früher auf „systematischen Lügen“ basierte, setze sich die heutige Situation aus einer Mischung aus Desinformation, Täuschung, irreführenden Informationen und wahren Kernen zusammen. Die Autor:innen beschreiben dies als „Fantasie-Industrie-Komplex“, der sich selbst organisiere und lose koordiniert sei.

Ziel der Informationsmanipulation sei es heute oft nicht, Menschen von bestimmten falschen Behauptungen zu überzeugen, sondern „abzulenken, Misstrauen zu schüren und antidemokratische Normen, autoritäre Instinkte und Verhaltensweisen zu aktivieren“. Dies sei ein systemisches Problem, betonen die Autor:innen. „Einzelpersonen für Fehlinformationen verantwortlich zu machen, verkennt die eigentliche Ursache.“

Mit diesem „Fantasie-Industrie-Komplex“ ist eine der Ko-Autor:innen allzu gut vertraut. Als Studentin hatte die heute an der Georgetown University lehrende Desinformationsforscherin Renée DiResta ein Praktikum beim US-Geheimdienst CIA absolviert. Daraus drehten ihr rechte und rechtsextreme US-Influencer:innen einen Strick: Unter anderem Elon Musk nutzte seinen Einfluss sowie die Tatsache, den Kurznachrichtendienst X zu besitzen, um mit vermeintlichen Enthüllungen über einen „Zensur-Industrie-Komplex“ politisch Stimmung zu machen.

Im Zentrum der Auseinandersetzung fand sich DiResta wieder. In einschlägigen Ecken des Internets als „CIA Renee“ verunglimpft, ging es ihren Widersacher:innen vor allem darum, ihre Glaubwürdigkeit und in weiterer Folge die des Stanford Internet Observatory (SIO) zu beschädigen. Zu dieser Zeit forschte DiResta dort zu Desinformation und landete im Visier von US-Republikanern. Denen gefiel nicht, dass das SIO ihre oft auf Lügen basierende Wahlkampftaktik offenlegte.

Republikaner hacken Forschung kurz und klein

Der konzertierte Angriff auf das SIO und eine Reihe anderer vergleichbarer Institute, der auch aus Anhörungen im republikanischen Repräsentantenhaus bestand, hatte schließlich Erfolg. Verträge wurden nicht verlängert, das Budget gekürzt, im Jahr 2024 machte die Stanford University das SIO ganz dicht – gerade noch rechtzeitig vor den US-Präsidentschaftswahlen im Herbst.

Auf den Druck von rechts reagierten neben US-Universitäten auch einige prominente soziale Netzwerke: Meta kündigte etwa öffentlichkeitswirksam an, zeitgleich zum Amtsantritt Donald Trumps seine Moderationsregeln auf Facebook und Instagram zurückzuschrauben. Im Sommer darauf zog auch YouTube still und heimlich nach. Solange Falschinformationen rund um Themen wie Impfungen, Minderheiten oder Wahlbetrug im „öffentlichen Interesse“ stehen, bleiben sie auf dem größten Video-Streamingportal der Welt unmoderiert stehen.

Vor dieser von der Realität weitgehend losgelösten Entwicklung warnen die Autor:innen der EU-Studie. „Demokratie braucht einen gesunden Informationsraum, der ausreichend genaue und überprüfbare Informationen enthält, eine politische Vielfalt an Meinungen und Stimmen zulässt, breit gefächerte Besitzverhältnisse im Medienbereich umfasst sowie ein geringes Maß an schädlichen Inhalten und Fehlinformationen aufweist, wenn wir ein gewisses Realitätsgefühl erhalten wollen“.

Abkehr von der Aufmerksamkeitsökonomie

Um dem etwas entgegenzusetzen, bringen die Autor:innen konkrete Empfehlungen mit. Zuvorderst müssten wir alternative öffentliche Räume schaffen, sowohl online als auch offline, die nicht von der Aufmerksamkeitsökonomie abhängen. Wir sollten uns auch vom Erfolg crowd-basierter und dezentraler Ansätze wie jenem der Online-Enzyklopädie Wikipedia inspirieren lassen.

Nutzer:innen sollten zugleich mehr Autonomie erhalten, etwa mit einer Verbesserung des Plattformdesigns durch Erkenntnisse aus der Verhaltensforschung. Beispielsweise durch Abkühlphasen – etwas, was der anstehende Digital Fairness Act der EU durchaus auf dem Schirm hat.

Verbesserungsmöglichkeiten macht die Studie auch bei Faktenchecks aus. Selbst wenn diese stattfinden, erreichen sie oft ihr Zielpublikum nicht. Das ließe sich durch angepasste Ausspiel-Mechanismen verändern. Zudem sollten ausgewiesene Verbreiter:innen von Falschinformationen demonetarisiert werden: „Solange Desinformation profitabel ist, wird sie nicht verschwinden“.

Indes weisen die Autor:innen darauf hin, dass keine dieser Maßnahmen ausreiche, wenn keine Alternativen zu den derzeitigen Geschäftsmodellen entstehen, die auf „Engagement“ basierten. Als Alternativen stellen sie unter anderem Abo-Modelle in den Raum, eine Besteuerung digitaler Werbeanzeigen, oder auch Gebühren für Online-Dienste, die besonders viel Falschinformationen verbreiten. Helfen könnten auch Auflagen zu Interoperabilität, mit der Nutzer:innen ihre Daten möglichst einfach von einem Anbieter zu einem anderen mitnehmen und umziehen könnten.

Papiertiger ohne europäische Alternativen

Bleibt aber immer noch das Problem, dass die meisten großen Online-Dienste derzeit nicht aus Europa stammen. Forschungsergebnisse deuten der EU-Studie zufolge darauf hin, dass Algorithmen von Plattformbetreibern zu deren Gunsten instrumentalisiert werden – was sich wohl am deutlichsten an dem zur rechten Propagandaplattform umgebauten X ablesen lässt.

„Die Informationsdiät der Europäer liegt somit in den Händen ausländischer Akteure, die möglicherweise nicht die europäischen demokratischen Werte teilen“, warnen die Autor:innen. Trotz der vorangegangenen Empfehlungen lassen sich diese Werte ohne digitale Souveränität und Autonomie der EU nicht vollständig schützen, schreiben sie.

Dabei dürfe die EU jedoch nicht in offenkundige Fallen tappen, warnt die Studie: „Es besteht derzeit die Gefahr, dass ein verstärktes Streben nach digitaler Souveränität auf Technologieebene die Chance auf einen besseren demokratischen Rahmen verspielt und ähnliche Probleme in Europa wiederholt, insbesondere wenn Geschäftsmodelle nicht mit demokratischen Prinzipien vereinbar sind.“

Mit demokratischen Modellen experimentieren

Um die Stellung der EU im digitalen Raum zu stärken, sollte Europa in dezentrale System wie Atmosphere, Fediverse, Mastodon oder Eurosky investieren und zugleich eine europäische Cloud-Infrastruktur samt ausreichender Rechenkapazität schaffen. Damit ließe sich die Macht ausländischer Unternehmen schwächen, während die alternativen Dienste „demokratische Modelle in Echtzeit“ erforschen könnten. Neben finanzieller Förderung solcher Ansätze könnten etwa Verpflichtungen für öffentliche Einrichtungen und Behörden, die entstehenden Online-Dienste zu nutzen, anstatt auf X und Co. zu verharren, deren Attraktivität steigern.

Darüber hinaus sollte die EU bei der Forschung keine Kompromisse machen. „Das rasante Tempo des Wandels stellt die Forschung vor die Herausforderung, Schritt zu halten und Auswirkungen zu untersuchen, zumal Plattformdaten größtenteils privat bleiben“, heißt es in der Studie. Den im Digital Services Act (DSA) enthaltenen Zugang für die Wissenschaft, der bis heute noch nicht so recht vollständig umgesetzt ist, geht den Autor:innen augenscheinlich nicht weit genug.

Angesichts des Bedarfs an schnellerer Forschung und Evaluierung digitaler Strategien sei ein europäisches „CERN für Daten und Demokratie“ erforderlich, um die in Europa fragmentierten Kapazitäten für die kontinuierliche Plattformforschung im industriellen Maßstab zu bündeln. Trotz ihrer globalen Vorreiterrolle bei der Digitalregulierung sollte sich die EU lieber beeilen: „Ein globaler Innovationswettlauf ohne Berücksichtigung seiner gesellschaftlichen Folgen könnte die Fähigkeit der Gesellschaften überfordern, diese Veränderungen friedlich zu bewältigen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

EU OS ist bisher lediglich eine Machbarkeitsstudie, die in einen europaweiten Linux-Arbeitsplatz münden soll. Grundlage ist derzeit Fedora Kinoite.

Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen.

Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.

So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.

Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.

Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.

Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.

Datenschutzbehörde macht „besonders schwerwiegende“ Funde

In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.

Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.

Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.

Kontrollverlust beim Online-Dating

Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.

Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.

Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.

Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“

Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.

Datenhandel gefährdet alle

Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.

Achtung, Datenhandel! Lebensgefahr!

Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.

Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.

---

Hier sind alle Veröffentlichungen von netzpolitik.org zu den Databroker Files und hier die auf Basis der Recherchen entstandene ARD-Doku „Gefährliche Apps – Im Netz der Datenhändler“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

KI sei verfänglich für faschistische Ideologien und gehe mit autoritären Machtzentren einher. Große Plattformen wie ImmobilienScout24 und Doctolib machen Profit mit Grundbedürfnissen der Menschen. Zwei Aktivist*innen schlagen im Interview konkrete Schritte hin zu einer demokratischen digitalen Teilhabe vor.

Künstliche Intelligenz ist in aller Munde. Ihr wird nachgesagt, nicht nur Arbeitsprozesse zu vereinfachen und zu beschleunigen. Sie soll auch der Wirtschaft zu neuem Aufschwung verhelfen. Doch immer mehr kritische Stimmen greifen in die Debatte ein und beziehen eine klare Haltung gegen diese Technologie. Zwei von ihnen sind die Digitalexpert*innen Aline Blankertz und Malte Engeler.

Anlässlich der Konferenz „Cables of Resistance. Bewegungskonferenz gegen Big Tech“, die am Wochenende in Berlin stattfindet und mögliche Widerstandsstrategien gegen KI und große Plattformen ausloten möchte, haben wir mit ihnen gesprochen. Aline Blankertz ist angewandte Ökonomin und setzt sich für die demokratische Ausgestaltung von Wirtschaft ein, unter anderem im digitalpolitischen Kollektiv „Structural Integrity“. Sie ist an der Organisation der Konferenz beteiligt. Malte Engeler ist Jurist und Mitbegründer des digitalpolitischen Kollektivs.

Im Interview erklären sie, warum sogenannte KI besonders gut verfänglich für autoritäre Politiken ist, wie ihre Sabotage aussehen kann und wie die Gesellschaft wieder mehr demokratische Kontrolle über große Plattformen erreichen kann. Sie plädieren für eine politische Organisierung und die Vergesellschaftung von Plattformen, die solch essenzielle Bereiche der Daseinsvorsorge wie Wohnungssuche oder Arztterminbuchungen strukturieren.

„Künstliche Gebärmutter“ und KI haben den gleichen ideologischen Ursprung

netzpolitik.org: Was ist eigentlich eine „künstliche Gebärmutter“? Im Manifest der Konferenz ist die Rede davon.

Aline Blankertz: Die künstliche Gebärmutter ist eine Figur, die immer mal wieder rund um Elon Musk auftaucht. Dieser Idee des selektiven Pronatalismus liegt zugrunde, dass man stärker steuern möchte, wer Kinder bekommen darf. Die künstliche Gebärmutter ist das Mittel, um sich letztlich vom „weiblichen Körper“ lösen zu können. Es geht darum, aus einer weißen cis-männlichen Perspektive technisch steuern zu können, wohin es mit der Menschheit geht. Mein Verständnis ist, dass es diese künstliche Gebärmütter noch nicht technisch ausgereift gibt. Aber es laufen Forschungsprojekte, die das aktiv vorantreiben. Daneben existieren viele andere transhumanistische Projekte, wie zum Beispiel „Neuralink“, um menschliche Gehirne und Maschinen stärker miteinander zu verbinden.

In Europa ist es subtiler, aber viele dieser Entwicklungen hin zu solchen transhumanistischen Ideen ‒ also wie können Menschen mit technischen Upgrades besser gemacht werden ‒ sehen wir auch hier. Die künstliche Gebärmutter und die Brain-Computer-Interfaces unterscheiden sich zwar von KI, weil sie unmittelbarer auf die Ebene von Hardware und menschlichen Körpern setzen. Doch auch der KI-Diskurs hat den gleichen ideologischen Ursprung und wird technisch von denselben Menschen vorangetrieben.

„Diese Infrastrukturen kann niemand bei sich im Keller haben“

netzpolitik.org: Ist das der Grund warum ihr KI fundamental ablehnt? Und was versteht ihr unter KI genau?

Malte Engeler: Wenn wir von KI reden, dann meinen wir die in der Gesellschaft aktuell sehr präsente Form von KI: große Datenmodelle, die aus vorhandenen Datenquellen zukünftige oder neue Ergebnisse berechnen. Wir meinen maschinelles Lernen, das Menschen dazu nutzen, um neue Texte, Bilder, Videos oder Ton zu erstellen. Die Modelle werden auch in sozialen Situationen eingesetzt, um neue Entscheidungspunkte zu generieren. Zum Beispiel in militärischen Aktionen, in Verwaltungsentscheidungen oder zur Benotung im Bildungswesen. Es geht also um eine Technologie, die auf Basis einer immensen Datenmenge Muster erlernt und neue Ergebnisse mit diesen Mustern produziert. Wir reden hier von ganz großen Modellen.

Dieser Technologie ist inhärent, dass sie besonders für autoritäre und faschistische Kräfte anknüpfbar ist. Das ist also kein technischer Fehler, sondern die Technologie ist schlicht und einfach so gebaut. Dazu gehört, dass diese gigantischen Modelle eine große Zentralisierung mit sich bringen. Die Infrastrukturen, die zum Training und Erhalt der Modelle nötig sind, kann niemand bei sich im Keller haben. Diese riesigen Rechenzentren können eigentlich nur zentralisiert betrieben werden. Politisch anknüpfbar für faschistische Politiken sind diese Infrastrukturen deshalb, weil sie autoritäre Machtzentren stark bevorzugen.

Zum anderen ist da diese Mustererkennung, die immer auf Daten aus der Vergangenheit trainiert wird. Sie überträgt deshalb notwendigerweise diese Vergangenheit in die Zukunft und vereinheitlicht diese Zukunft statistisch auf einen weiß-patriarchal geprägten Mittelwert. Laut diversen Theorien steckt im Kern des Faschismus die Idee, dass es eine Wahrheit, eine tiefes völkisches, echtes Leben in der Gesellschaft gibt, das zum Erblühen gebracht werden soll. Und diese Idee von einer Wiedergeburt der nationalen Stärke findet sich im technischen Prinzip wieder, massenhaft Daten zu sammeln und das vermeintlich Wahre aus diesen Daten wieder extrapolieren zu können.

„Wünschenswert, wenn Menschen KI nicht auch noch freiwillig nutzen“

netzpolitik.org: Ist es aus antifaschistischer Sicht ein Problem, wenn Menschen ihre Suchanfragen nicht mehr in eine klassische Suchmaschine eingeben, sondern zum Beispiel in ChatGPT?

Aline Blankertz: Wir beschäftigen uns vor allem mit der kollektiven Dimension. Es ist nicht die einzelne Suchanfrage bei ChatGPT, die uns dem Faschismus näher bringt. Es sind eben die Zwänge, die an vielen Stellen bestehen. Beispielsweise, dass viele Menschen nun Dinge schneller machen müssen und es deswegen mit KI tun. Dass sie im Wettbewerb mit anderen stehen, um bessere Betriebsergebnisse hervorzubringen.

Es ist wünschenswert, wenn Menschen KI nicht auch noch freiwillig nutzen. Wenn sie es nur unterhaltsam finden, könnten sie sich eine andere Beschäftigung suchen, die weniger klimaschädlich ist und den KI-Hype nicht weiter am Leben hält. Aber das ist nicht das, womit wir antifaschistisch wirken können, indem wir einfach keine KI mehr verwenden.

„KI-Unternehmer*innen werden hierzulande glorifiziert“

netzpolitik.org: Welchen konkreten Schaden seht ihr in Europa und in Deutschland durch KI bereits?

Aline Blankertz: Aktuell läuft die Debatte, dass man in der Verwaltung großflächig KI einsetzen möchte, etwa nach dem Vorbild von DOGE aus den USA. Das wird zwangsläufig dazu führen, dass mehr Menschen diskriminiert werden und dafür wiederum weniger Verantwortung übernommen wird. Das kennen wir beispielsweise aus Amsterdam, wo ein Algorithmus zur Folge hatte, dass vor allem sozial schwachen Familien Betrugsvorwürfe gemacht wurden. Oder aus England, wo Abiturergebnisse während der Corona-Pandemie insbesondere von Schüler*innen aus ärmeren Gegenden abgewertet wurden.

Ein anderer Aspekt ist, dass auch hierzulande KI-Unternehmer*innen als Heilsbringende glorifiziert werden. Ein starkes Beispiel hierfür ist Dieter Schwarz, dem die Schwarz-Gruppe mit Lidl und Kaufland gehört. Neben vielen Rechenzentren baut er so etwas wie eine Privatstadt in Baden-Württemberg auf und wird dafür gefeiert. Die CEOs von SAP und Telekom werden ebenfalls häufig gefragt, was für eine Gesellschaft sie sich wünschen. Ganz so, als ob sie gesellschaftliche Interessen im Blick hätten.

Außerdem beschleunigt KI die gesellschaftliche Spaltung nicht nur im Mediendiskurs, indem plausibel klingende Outputs ohne Anspruch auf Wahrheit eine demokratische Diskussionsbasis untergraben. Sie entwertet schon jetzt Arbeit. Menschen haben Angst, von sogenannter KI ersetzt zu werden, die Gewerkschaften fahren ihre Forderungen zurück. Gleichzeitig erwirtschaften diejenigen, die in Aktien investiert haben, umso mehr Gewinne. Die ökonomische Ungleichheit wächst also noch stärker durch KI.

„In den USA zünden Menschen autonom fahrende Autos an“

netzpolitik.org: Was kann man dagegen tun?

Aline Blankertz: Wir können uns gegen KI wenden. Wir können uns verweigern. Wir können Trainingsdaten vergiften. Man kann auch so etwas wie Sabotage nach dem CIA-Sabotage-Manual betreiben. Es enthält einige inspirierende Ideen aus der Zeit des Zweiten Weltkriegs, wie Menschen den Faschismus verlangsamen können. Man kann Abläufe verringern, verlangsamen und weniger effizient machen. Man kann sich gegen Rechenzentren engagieren.

In den USA gibt es noch weitergehende Aktivitäten. Da zünden Menschen autonom fahrende Autos von Waymo an. Dort gibt es Roboter, die die Gehwege von Obdachlosen freihalten sollen. Menschen attackieren auch diese Roboter.

Um wirklich politisch wirksam sein zu können, müssen wir uns aber organisieren. Da führt kein Weg dran vorbei. Die Dienste im Individuellen zu wechseln reicht nicht. Zu sagen, „ich finde KI doof, reicht auch nicht“. Wir müssen uns politisch zusammenfinden und die Auswirkungen solcher digitalen Technologien stärker als Problem verstehen.

„Vergesellschaftung ist die Antwort“

netzpolitik.org: Auf der Konferenz gebt ihr einen Talk darüber, dass Regulierung und Open-Source-Alternativen nicht ausreichen, um gegen die Macht der Tech-Giganten anzukommen. Stattdessen schlagt ihr vor, große Tech-Plattformen zu vergesellschaften.

Malte Engeler: Aktuell erleben wir eine autoritäre Wende. In Zeiten von Kipppunkten wie diesen ist Abwehrkampf ein ganz wesentlicher Teil. Gegen etwas zu kämpfen ist nicht so motivierend wie für etwas. Ich kann das für mich persönlich ganz klar sagen: Mich motiviert nicht der Hass auf Big Tech. Mich motiviert der Wunsch nach einer besseren Welt. Wir brauchen konkrete Vorstellungen einer Realität, in der diese Technologien, die wir gerade bekämpfen, anders funktionieren. Und wie kommen wir dahin? Wie kann man eine Plattform, die uns jetzt ausbeutet und aus unseren Bedürfnissen Profit schlägt, in etwas Besseres verwandeln?

Die Antwort auf diese Fragen ist Vergesellschaftung: also die Überführung einer privatwirtschaftlich betriebenen kommerziellen Plattform in einen Zustand, in dem sie im Sinne des Gemeinwohls und der Bedürfnisbefriedung der Menschen demokratisch verwaltet wird.

„Mit kleineren Plattformen anfangen“

netzpolitik.org: Welche Plattformen würdet ihr gern vergesellschaften?

Malte Engeler: Sich allein diese Frage zu stellen, ist sehr spannend. Das führt dazu, dass auch linke und progressive Kräfte auf einmal anfangen, darüber nachzudenken: Was ist unsere Vision? Was ist unsere Idee von einer digitalen Wohnungsvermittlung oder von einem Portal, auf dem man sich Arzttermine klicken kann? Was würden wir mit diesen Infrastrukturen machen, wenn sie nicht nach kapitalistischen Prinzipien betrieben werden würden?

Auf der „Cables of Resistance“ gibt es auch einen Talk von der Redscout24-Gruppe, in der Aline und ich beteiligt sind. Das ist ein ganz konkreter Versuch zu zeigen, wie ImmobilienScout24 anders aussehen könnte. Aber das ist nur ein Beispiel von vielen. Doctolib wäre ein anderes.

Die Frage der Vergesellschaftung zwingt uns aber auch dazu, uns zu positionieren, welche Plattformen wir vielleicht gar nicht wollen. Man kann vergesellschaften, um dann nur abzuschalten. KI ist ein Beispiel für eine Technologie, die wir in unserer befreiten Welt nicht haben wollen.

Aline Blankertz: Konkret plädieren wir dafür, mit den kleineren Plattformen wie ImmoScout24 und Doctolib anzufangen. Denn über sie läuft aktuell der Zugang zu für alle Menschen wichtigen Bereichen der Daseinsvorsorge wie Wohnungen und Gesundheitsversorgung. So können wir erst einmal lernen, wie die Umstellung auf Bedürfnisorientierung funktioniert. Mittelfristig können wir dann unseren Blick stärker auf digitale Infrastrukturen wie Rechenzentren und globale Plattformen richten.

Was wir durch Vergesellschaftung gewinnen, ist, dass wir überhaupt wieder gesellschaftlich gestalten können. Im Moment läuft es danach, wie am meisten Geld für die Anteilseignenden herausspringt. Wenn wir an Demokratie glauben, müssen wir auch daran glauben, dass wir gesellschaftliche Infrastrukturen danach gestalten können.

Da kann man sich gut bei „Deutsche Wohnen & Co enteignen“ umsehen, die für ihre Anstalt öffentlichen Rechts ‒ so unsexy das auch klingen mag ‒ sehr detailliert ausbuchstabieren, welche Gruppen wie an Entscheidungsprozessen beteiligt werden sollen. Gleichermaßen wäre das auch bei einer digitalen Wohnungsvermittlungsplattform, die auf die Bedürfnisse von Menschen zugeschnitten ist.

„ImmoScout24 vom Markt verdrängen“

netzpolitik.org: Wie kann eine Bewegung oder ein Zusammenschluss von Bewegungen praktisch an ein Unternehmen wie ImmoScout24 herankommen?

Malte Engeler: Wir sollten nicht vergessen, dass es schon viele Strukturen gibt, die so organisiert sind. Man vergisst, dass wir das Rad nicht neu erfinden müssen. Bibliotheken zum Beispiel sind eine gut funktionierende öffentliche Infrastruktur. Sie haben einen gemeinsamen Datenbestand. Beispielsweise kann ich heute in der Staatsbibliothek Berlin ein Buch aus Heidelberg bestellen und es übermorgen abholen. Das sind auch keine privatwirtschaftlich betriebenen Informationszugangssysteme.

Es gibt verschiedene Wege zum Ziel. In einigen Gemeinden existieren noch kommunale Online-Plattformen zur Wohnungsverwaltung, auf denen sie den eigenen Wohnungsbestand anbieten. Sie stellen ihn nicht auf ImmoScout24 ein. Man könnte also festlegen: Wer Wohnraum hat und vermieten will, muss dafür die Plattform der Gemeinde nutzen. Bei einigen Infrastrukturen der Daseinsvorsorge wie Müllabfuhr oder Wasseranschluss gibt es schon ein ähnliches Prinzip, den sogenannten Anschluss- und Benutzungszwang.

Mit Aktivist*innen aus dem Fediverse, die viel Erfahrung mit dezentralen Strukturen haben, und Menschen, die solche Bibliotheken-Systeme bauen, könnte man ausloten, wie ein deutschlandweiter Katalog aussähe, mit dem man in jeder Kommune auf alle Wohnungen in Deutschland zugreifen kann.

Im Grunde verdrängt man ImmoScout24 auf diese Weise vom Markt und vergesellschaftet es gar nicht. Die Plattform wird so immer unwichtiger. Sie kann dann noch Eigentumswohnungen auf dem Land vermitteln, aber ist aus dem Mietraum raus. Das wäre bereits eine Errungenschaft.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen.

In Europa ist Datenschutz ein Grundrecht, das für alle 27 Mitgliedstaaten gilt. Auch die EU-Organe und EU-Einrichtungen selbst stehen unter Aufsicht eines Datenschutzbeauftragten.

Doch was macht eigentlich dieser Europäische Datenschutzbeauftragte (EDSB), der schon mehr als zwei Jahrzehnte für den Schutz der Privatsphäre und die Datenschutzrechte der Bürger arbeitet? Was sind seine Aufgaben, welche Rolle hat der EDSB in Brüssel? Wer konsultiert ihn? Wann wird er typischerweise angehört? Wie funktioniert die Zusammenarbeit zwischen dem EDSB und den nationalen Behörden?

Das berichten uns zwei Insider: Thomas Zerdick und Robert Riemann, die beide beim EDSB arbeiten.

Thomas Zerdick ist Jurist und Leiter des Referats für Aufsicht und Durchsetzung. Vor seiner Zeit beim EDSB arbeitete er bei der Europäischen Kommission im Referat Datenschutz und war einer derjenigen, die an der EU-Datenschutzgrundverordnung mitgeschrieben haben. Robert Riemann ist Informatiker und arbeitete bis Ende Dezember beim EDSB im Referat Technik und Privatheit.

Das Gespräch ist eine gekürzte und behutsam überarbeitete Fassung des Podcasts „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt beim Chaosradio. In „Dicke Bretter“ beleuchten wir Institutionen, Akteure oder Organisationen, die daran mitwirken, wenn Gesetze, Richtlinien oder auch nur politische Positionen bei digitalen Themen entstehen.

Die unabhängige Datenschutzaufsichtsbehörde

Constanze Kurz: Ihr arbeitet beide beim Europäischen Datenschutzbeauftragten. Was sind die Aufgaben dieses Amtes?

Thomas Zerdick: Der Europäische Datenschutzbeauftragte ist die unabhängige Datenschutzaufsichtsbehörde für die EU-Organe und EU-Einrichtungen. Das sind eben zum Beispiel das Europäische Parlament und die Europäischen Kommission, aber auch wir selbst als Europäischer Datenschutzbeauftragter oder auch Einrichtungen wie Europol.

Wir überwachen die Datenverarbeitung dieser EU-Organe und EU-Einrichtungen. Wir bearbeiten Beschwerden von Bürgerinnen und Bürgern, führen Untersuchungen durch und entscheiden dazu. Ich selbst bin Leiter des Referates Aufsicht und Durchsetzung und mache genau das mit meinem Team: Wir überprüfen, ob die EU-Organe und -Einrichtungen die Datenschutzvorschriften auch einhalten, die sie von den anderen verlangen.

Constanze Kurz: Sind in deinem Team typischerweise Juristen?

Thomas Zerdick: In meinem Team sind wir bis auf eine Person alle Juristen. Wir sind ungefähr dreißig Mitarbeiter.

Datenschutz ist im Kern Grundrechtsschutz. Da wir Entscheidungen vorbereiten, die der Europäische Datenschutzbeauftragte dann erlässt, brauchen wir juristische Abwägungen. Wir nehmen Abwägungen und Prüfungen von Rechtsgrundlagen vor, bewerten Zweckbindung oder Verhältnismäßigkeit. Denn alles das, was der Europäische Datenschutzbeauftragte entscheidet, kann auch vor Gericht überprüft werden. Daher brauchen wir Juristen, die sicherstellen, dass das gerichtsfest ist.

„Ziemlich bekannt hier in Brüssel“

Constanze Kurz: Wie viele Menschen arbeiten insgesamt beim Europäischen Datenschutzbeauftragten?

Thomas Zerdick: Insgesamt sind wir ungefähr 120 Mitarbeiter. Das klingt viel, ist es aber nicht, weil ungefähr die Hälfte davon beim Europäischen Datenschutzausschuss arbeitet. Das ist eine andere Einrichtung: Der Europäische Datenschutzausschuss ist durch die EU-Datenschutz-Grundverordnung eingerichtet worden und koordiniert alle Datenschutzaufsichtsbehörden in der Europäischen Union. Da gibt es ein Sekretariat, in dem die Kollegen arbeiten.

Constanze Kurz: Ich möchte ein wenig über den Kopf der Behörde reden. In Deutschland ist es häufig so, dass die Bundesdatenschutzbeauftragten, manchmal sogar die Landesdatenschutzbeauftragten, ziemlich bekannt sind, zum Beispiel Peter Schaar oder Ulrich Kelber. Sie waren oft in den Medien vertreten. Sie sind jeweils als eine relativ laute Stimme für den Datenschutz vernehmbar gewesen. Derzeit haben wir Frau Specht-Riemenschneider hier in Deutschland als Bundesdatenschutzbeauftragte. Auch sie hat eine Menge Interviews gegeben, als sie ihr Amt antrat. Wie ist denn das in Europa? Die Aufgaben des Europäischen Datenschutzbeauftragten sind ja anders. Würdet ihr sagen, er ist eine laute Stimme für den Datenschutz oder arbeitet er eher im Hintergrund?

Thomas Zerdick: Der derzeitige Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, ist ziemlich bekannt hier in Brüssel. Das erklärt sich natürlich auch aus dem Aufgabenzuschnitt. Der wichtigste Unterschied zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden ist die Zuständigkeit: Der Europäische Datenschutzbeauftragte ist ausschließlich zuständig für die EU-Organe und EU-Einrichtungen, also für öffentliche Verwaltung der Europäischen Union. Daher kennt man ihn vielleicht etwas weniger in den Mitgliedstaaten.

Er ist gleichberechtigtes Mitglied im Europäischen Datenschutzausschuss, wo sich alle Aufsichtsbehörden treffen. Wojciech Wiewiórowski trifft sich zum Beispiel regelmäßig mit Louisa Specht-Riemenschneider. Wenn es Entscheidungen gibt, die der Europäische Datenschutzbeauftragte trifft, zum Beispiel gegen die Europäische Kommission oder gegen Europol, sind wir auch in den Medien im Vordergrund. Von daher sehe ich den Unterschied als nicht sehr groß im Vergleich zu den Mitgliedstaaten.

Öffentliche Stellungnahmen

Constanze Kurz: Auch in Europa wird der Datenschutzbeauftragte konsultiert, wenn es um geplante Gesetze geht oder wenn es die angesprochenen Institutionen und deren Evaluierung geht. Er gibt öffentliche Stellungnahmen ab. Wie häufig kommt das vor?

Thomas Zerdick: Ich würde sagen quasi wöchentlich. Das ist ein Unterschied im Vergleich zur nationalen Ebene: Die Europäische Kommission ist verpflichtet, den Europäischen Datenschutzbeauftragten zu konsultieren. Und zwar immer dann, wenn es neue Rechtsakte gibt, die von der Kommission vorbereitet werden, die personenbezogene Daten betreffen.

Das ist also relativ breit, denn das ist heute fast immer der Fall: Digitalisierung, Sicherheit, Migration, Gesundheit, Künstliche Intelligenz, Plattformregulierung, internationale Verträge. Jeweils kommt der Europäische Datenschutzbeauftragte ins Spiel. Er gibt Stellungnahmen oder Kommentare ab, die wir dann veröffentlichen. Und das wird immer mehr.

Constanze Kurz: All diese Themen haben mittlerweile technische Komponenten, alle Datenschutzfragen verbinden sich mit Technikfragen. Was macht das Referat Technik und Privatheit, um eine Stellungnahme mit technischem Wissen zu bereichern? Wie läuft die Zusammenarbeit mit den Juristen?

Robert Riemann: Wenn beispielsweise ein neuer Rechtsakt vorbereitet und dazu formell die Stellungnahme vom Europäischen Datenschutzbeauftragten eingeholt wird, dann koordiniert das ein Referat. Sie schauen im Haus, wer die Kompetenzen hat, um die Arbeit zu unterstützen. Sobald klar wird, dass es tatsächlich etwas sehr Technisches ist, das so von einer Abteilung noch nicht bearbeitet wurde, dann gibt es eine Anfrage an das Referat Technik und Privatheit, um eine Person zur Unterstützung zu benennen. Diese Person arbeitet dann gleichberechtigt mit den Juristen zusammen an der Stellungnahme.

Constanze Kurz: Das klingt wie typische wissenschaftliche Arbeit, um eine Technik zu ergründen oder Technikfolgen abzuschätzen. Gibt es eine Zusammenarbeit mit akademischen Forschern oder Sachverständigen, die man sich dazu holt?

Robert Riemann: Für dieses Beispiel eines Rechtsakts wird typischerweise keine externe Expertise hinzugezogen. Aber natürlich ist es so, dass die Leute das Thema recherchieren. Bevor ein Vorschlag der Kommission auf den Tisch kommt, werden häufig die Themen schon in der Öffentlichkeit angesprochen. Wenn sich Forscher oder auch NGOs wie EDRi oder Interessenverbände in Brüssel mit eigenen Stellungnahmen äußern, werden die natürlich gelesen. Insofern gibt es schon einen Einfluss auf das, was intern diskutiert wird. Aber es ist nicht so, dass der Europäische Datenschutzbeauftragte für den Fall einer Beantwortung dieser Anfragen der Kommission für eine Stellungnahme die Meinung von außen explizit einholen würde.

Lange über die eigentliche Amtszeit hinaus

Constanze Kurz: Jetzt gibt es für den Amtsträger gerade eine besondere Situation, die mit der Benennung des Europäischen Datenschutzbeauftragten verbunden ist. Denn der derzeitige Amtsinhaber arbeitet schon lange über seine Amtszeit hinaus, die fünf Jahre beträgt. Die Amtszeit endete eigentlich am 5. Dezember 2024. Aber es gab die Situation, dass sich der EU-Rat und das EU-Parlament nicht im Einvernehmen auf einen neuen Kandidaten geeinigt haben, sondern zu unterschiedlichen Voten gekommen sind. Wie verläuft das Auswahlverfahren, warum kam es diesmal zu diesem Stillstand und was kann man jetzt machen?

Thomas Zerdick: Die Datenschutzgrundverordnung für die EU-Organe regelt das. Der Europäische Datenschutzbeauftragte hat eine Amtszeit von normalerweise fünf Jahren und ist zu benennen im Einvernehmen zwischen dem europäischen Parlament und den Mitgliedstaaten im Rat der EU. Nach Ablauf der Amtszeit macht die Europäische Kommission eine Ausschreibung, da kann sich jeder bewerben. Dann werden die Bewerber von der Europäischen Kommission geprüft und die Liste mit geigneten Kandidaten veröffentlicht. Von dieser Liste müssen sich dann das Parlament und der Rat für eine Person entscheiden. Diesmal haben sie sich noch nicht entscheiden können. Das ist nicht neu, das gab es leider schon mal. Aber die EU-Datenschutzgrundverordnung für die Organe, die sagt: Solange es keinen neuen Amtsinhaber gibt, bleibt der alte im Amt und hat alle Rechten und Pflichten. Also solange die sich nicht einigen, macht der jetzige Amtsinhaber einfach weiter.

Constanze Kurz: Und wenn sie sich niemals einigen, dann bleibt er einfach für immer im Amt? Oder gibt es irgendeine Frist, die bis zum Zeitpunkt eine Einigung bestehen muss?

Thomas Zerdick: Es gibt keine Frist. Das sieht die Verordnung nicht vor.

Constanze Kurz: Und wenn der Amtsträger irgendwann keine mehr Lust hat?

Thomas Zerdick: (lacht) Das sieht die Verordnung auch nicht vor.

Robert Riemann: Das ist auch kein europäischer Sonderfall, sondern diese Situation gibt es auch in den Mitgliedsländern. Ich denke da in Spanien, wo es auch Schwierigkeiten gab, ein neues Mandat zu verabschieden. Auch in einigen Bundesländern in Deutschland gab es lange Zeit Unklarheit, wer das Mandat bekommt. Insofern ist das leider etwas, was man in Europa häufiger beobachten muss.

Constanze Kurz: Würdet ihr einen Tipp abgeben, wie sich dieser Stillstand auflösen wird oder wann sich diese beiden Institutionen vielleicht einigen könnten? Was sagen denn die Auguren?

Thomas Zerdick: Die Auguren sagen derzeit nichts. Wir können dazu nichts sagen, weil es in der Hand vom Parlament und vom Rat ist, die sich zusammensetzen und eine Lösung finden müssen.

Wie Kommission und Datenschutzbeauftragter zusammenarbeiten

Constanze Kurz: Ich möchte euch nach dem typischen Ablauf befragen, wenn der Europäische Datenschutzbeauftragte tätig wird. Wir nehmen mal ein ganz umstrittenes Beispiel: die Chatkontrolle. Wie wurde hier der Europäische Datenschutzbeauftragte involviert? Die Kommission hat ja vor mehr als drei Jahren den Vorschlag dazu vorgelegt. Wie ist die typische Vorgehensweise, wenn eine Konsultation beginnt, die ja stattfinden muss?

Thomas Zerdick: Die Europäische Kommission arbeitet ihren Vorschlag aus. Bevor sie diesen Vorschlag veröffentlicht, gibt es eine interne Abstimmung in der Europäischen Kommission. Gleichzeitig mit dieser internen Abstimmung werden wir als Amt informell unterrichtet und können dann bereits erste kleine Kommentare abgeben. Sobald die Kommission ihren Gesetzgebungsvorschlag veröffentlicht hat, leitet sie ihn ganz amtlich dem Europäischen Datenschutzbeauftragten zu, mit der Bitte um Stellungnahme.

Dann setzen sich die Kolleginnen und Kollegen aus dem Referat Politik und Gesetzgebung zusammen, analysieren den Vorschlag der Kommission und schreiben die Stellungnahme, die dann vom Europäischen Datenschutzbeauftragten veröffentlicht wird. Mit dieser Stellungnahme kann der Gesetzgeber – das Parlament und der Rat der EU-Mitgliedstaaten – dann arbeiten. Damit erschöpft sich normalerweise das Offizielle, das Amtliche des Europäischen Datenschutzbeauftragten. Aber er ist natürlich jederzeit bereit, auch zu Anhörungen zu kommen und vorzutragen, was in dieser Stellungnahme steht.

EU-Datenschutzbeauftragter gegen wahlloses Scannen bei freiwilliger Chatkontrolle

Constanze Kurz: Das war jetzt das Beispiel der Chatkontrolle. Wird für jedes dieser Verfahren die Stellungnahme öffentlich oder gibt es auch welche, wo das nicht der Fall ist?

Thomas Zerdick: Die Stellungnahmen sind grundsätzlich öffentlich.

Constanze Kurz: Nun wurden ja gerade beim Beispiel Chatkontrolle auch neue technische Fragen aufgeworfen. Da geht es um massenhaftes Scannen oder darum, wie beispielsweise Filter funktionieren. Wie wird technische Expertise einbezogen?

Robert Riemann: Das Referat Politik und Gesetzgebung identifiziert die technischen Themen, hier etwa Kryptographie und Pseudonyme, und schickt eine Anfrage an das Referat Technik. Mein Referatsleiter bekommt das dann auf seinen Schreibtisch und sucht sich eine Person aus seinem Team, die schon in den letzten Jahren zu dem Thema gearbeitet hat. Sie wird dann mitarbeiten und den Juristen Frage und Antwort stehen.

Wir sind in unserer Technikergruppe fünfzehn Leute und müssen zusammen alle Datenschutzthemen abdecken können. Das heißt beispielsweise, dass wir uns zu Pandemiezeiten mit Bluetooth-Tokens beschäftigt haben und zu Blockchain-Zeiten alle Blockchain-Expertinnen wurden. Das ist wirklich breit gefächert. Wir können natürlich nicht auf dem Niveau Expertise anbieten, wie das die Universitäten teilweise können oder auch spezielle Organisationen, die nur ein Kernthema haben. Das bedeutet, dass wir natürlich viel Recherche am Schreibtisch machen, um einen fundierten Beitrag zu einer Stellungnahme zusammen mit den Juristen zu erarbeiten.

Constanze Kurz: Das ist also der Ablauf für den Fall einer Stellungnahme, die der Europäische Datenschutzbeauftragte allein abgibt. Aber was passiert, wenn auch der Europäische Datenschutzausschuss angehört wird?

Robert Riemann: Der Europäische Datenschutzbeauftragte ist ja Teil des Europäischen Datenschutzausschusses. Das heißt, er bringt sich dort in fast allen Themen ein. Beim Europäischen Datenschutzausschuss gibt es mehrere Fachgruppen. Dazu gehört die Technology Experts Sub-Group, also eine Expertengruppe zu Technologiefragen. Dahin dürfen alle Mitgliedsländer, die im Europäischen Datenschutzausschuss vertreten sind, eine Person entsenden, die sich dort zu Themen einbringen kann.

Soll eine Stellungnahme erarbeitet werden, meldet sich ein Mitgliedsland freiwillig und leitet dieses Projekt federführend. Personen, die daran mitarbeiten, bilden eine Art Schreibteam und treffen sich beispielsweise alle zwei Wochen, um einen ersten Entwurf vorzubereiten.

Technische Fragen landen wahrscheinlich bei dieser Expertengruppe für Technologiefragen. Deutschland hat eine gewisse Sonderrolle, weil es ja nicht nur Mitarbeiter von der Bundesbeauftragten für den Datenschutz hat, sondern auch Mitarbeiter in den Landesdatenschutzbehörden. Zusätzlich gibt es deswegen auch noch einen deutschen Prozess, der festlegt, wer in welcher Gruppe zu welchem Thema mitarbeitet. Am Ende arbeiten dann ein Technologieexperte aus Spanien, einer aus Italien, einer aus Hessen und dann vielleicht noch jemand aus Finnland mit.

Deren Entwurf wird zunächst in der Expertengruppe für Technologiefragen vorgestellt. Sie trifft sich monatlich, seit der Corona-Pandemie online und zweimal im Jahr auch mit einen Pflichtpräsenztermin, so dass man sich ein bisschen kennenlernen kann. An einem Tag werden dann alle Themen einmal durchgearbeitet. Wenn dann die Expertengruppe mit einem Entwurf zufrieden ist und annimmt, dass er mehrheitsfähig ist, dann kann das theoretisch schon der Plenarsitzung mit allen Aufsichtsbehörden vorgelegt werden. Aber bei sehr komplexen Fragen holt man die juristische Perspektive vorher hinzu.

Thomas Zerdick: Das klingt alles sehr kompliziert, aber ist es eigentlich nicht. Es ist ein typisches Beispiel, wie Europa zusammenarbeitet. Denn in diesen Expertengruppen sitzen eben Vertreter aller Datenschutzaufsichtsbehörden aus ganz Europa. Da werden täglich Kompromisse geschmiedet, Ansichten ausgetauscht und versucht, eine einheitliche Auslegung in diesen Datenschutzfragen zu finden.

„Wir haben uns in Europa zum Positiven weiterentwickelt“

Constanze Kurz: Es gibt auch Kritik an diesem Datenschutzausschuss, eigentlich schon an der Vorgängergruppe, damals noch Artikel-29-Gruppe, vor allem weil die Stellungnahmen unverbindlich waren und wegen der teilweise langfristigen Prozesse, die für so einen Konsens wohl dazugehören. Wie seht ihr diese Kritik?

Thomas Zerdick: Die Kritik kenne ich seit über zwanzig Jahren. Vorher wurde sich beschwert, dass die Artikel-29-Gruppe unverbindliche Stellungnahmen abgibt, an die man sich aber halten muss. Das wurde immer beklagt. Jetzt ist es eigentlich umgekehrt: Der Europäische Datenschutzausschuss, der immer noch Stellungnahmen abgibt, trifft inzwischen verbindliche Entscheidungen gegenüber den eigenen Datenschutzaufsichtsbehörden. Nun wird auch das wieder beklagt.

Ich denke, wir haben uns in Europa zum Positiven weiterentwickelt. Wir haben die Datenschutzgrundverordnung, für deren einheitliche Anwendung der Europäische Datenschutzausschuss an der Arbeit ist. Das hat sich jetzt eingespielt, die Entscheidungen kommen auch relativ schnell.

Constanze Kurz: Die Datenschutzgrundverordnung ist ein EU-Gesetz, das Wirkung entfaltet in allen EU-Ländern und das Grundrecht regelt, was man in Deutschland oft informationelle Selbstbestimmung nennt. Aus meiner Sicht gab es damals eine bestimmte politische Situation, in der es möglich war, die Datenschutzgrundverordnung tatsächlich zum Gesetz zu machen. Doch heute wird der Datenschutz ein bisschen anders betrachtet: Gerade kann man das an dem sogenannten digitalen Omnibus sehen, wo versucht wird, die Datenschutzgrundverordnung zu verändern. Datenschutz scheint aktuell nicht gerade ein hippes Thema zu sein und wird auch in Deutschland manchmal als Innovationsbremse diskreditiert, zumindest von der aktuellen Regierung. Was haltet ihr von den Vorschlägen, die jetzt im digitalen Omnibus besprochen werden?

Thomas Zerdick: Wieso reden wir denn über den Datenschutz in Europa? Weil die europäische Grundrechte-Charta, also praktisch die Verfassung von Europa, den Datenschutz ausdrücklich als Grundrecht stützt. Das ist eine feste Sache, an der man nicht vorbeikommt. Die Auswirkung dieses Grundrechts ist, dass die EU verpflichtet ist und die Mitgliedstaaten ebenso, dieses Grundrecht zu schützen und Regeln dafür zu schaffen, wie man das am besten macht.

Das hat die Europäische Union schon seit 1995 gemacht. Und es gibt seit 2016 die Datenschutzgrundverordnung, die versucht zu sagen, was die Regeln sind, um mit personenbezogenen Daten umzugehen. Das war der erste große EU-Rechtsakt, der im digitalen Feld spielt – ein Meilenstein.

Jetzt haben wir den digitalen Omnibus, der versucht, an dem Text der Datenschutzgrundverordnung Änderungen vorzunehmen. Ich denke nicht, dass man sagen kann, das Ganze wird in Frage gestellt. Das geht nicht, weil die EU-Grundrechte-Charta diesen Schutz des Grundrechts Datenschutz einfordert. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte arbeiten gerade an einer Stellungnahme für diesen digitalen Omnibus.

Constanze Kurz: Da drängt sich eine Frage auf: Angenommen, es bestehen rechtliche Differenzen, also eine Stellungnahme des Europäischen Datenschutzbeauftragten bewertet rechtliche Fragen anders als beispielsweise die EU-Kommission. Wie ist dann der weitere Verlauf? Kann die EU-Kommission das auch einfach ignorieren? Muss sie bestimmte Elemente aus den Stellungnahmen aufnehmen?

Thomas Zerdick: Kein Mensch ist verpflichtet, uns zuzuhören, um es mal ganz krass zu sagen. Aber das ist natürlich Expertise und Datenschutzwissen, was wir herantragen. Das ist die ureigenste Aufgabe einer unabhängigen Datenschutzaufsicht, dieses Wissen weiterzugeben und zu sagen, was unsere Auslegung, unser Verständnis von einem Vorschlag ist.

Wir wissen, dass sowohl die Kommission als auch die Mitgliedstaaten als auch die Abgeordneten im Europäischen Parlament sehr wohl lesen, was vom Europäischen Datenschutzbeauftragten geschrieben wird. Aber rechtlich verbindlich ist das nicht.

Constanze Kurz: In Deutschland ist es häufig so, dass zum Beispiel bei Bundestagsgesetzgebungsprozessen die Bundesdatenschutzbeauftragte hinzugezogen wird. Aber die Gesetzesvorschläge müssen auch nicht unbedingt die Meinung der Bundesdatenschutzbeauftragten übernehmen. Am Ende landen in Deutschland dann einige Gesetze vor dem Bundesverfassungsgericht, wo wiederum die Bundesdatenschutzbeauftragte als Sachverständige an der Urteilsfindung mitwirkt. Wie ist das in Brüssel, wo ja auch viele Gesetzgebungsverfahren am Ende beim Europäischen Gerichtshof landen? Tritt dort der Europäische Datenschutzbeauftragte auch als Sachverständiger auf, wenn darüber gestritten wird, ob ein Gesetz mit der EU-Charta in Einklang ist?

Thomas Zerdick: Ja, durchaus. Das liegt dann beim Europäischen Gerichtshof, er kann uns als Sachverständigen beiladen. Das ist auch bereits passiert. Ich war selber persönlich zu einem Fall dort, wo es um die Vorratsdatenspeicherung ging. Der Europäische Gerichtshof lädt uns dann ein und stellt Fragen, die wir zu beantworten haben, erst schriftlich oder auch in der mündlichen Verhandlung in Luxemburg.

Software auf code.europa.eu

Constanze Kurz: Wie wird der Europäische Datenschutzbeauftragte noch hinzugezogen?

Thomas Zerdick: In laufenden Gesetzgebungsverfahren werden wir oft vom Europäischen Parlament beigeladen oder von Ausschüssen oder auch von einzelnen Abgeordneten im Europäischen Parlament. Auch der Rat der Europäischen Union lädt ab und zu den Europäischen Datenschutzbeauftragten ein, wenn zu gewissen Punkten Stellungnahmen abzugeben sind.

Robert Riemann: Es kann vorkommen, dass eine nationale Datenschutzbehörde einen Beschwerdefall hat oder auch ein Unternehmen beaufsichtigt und Bedenken hat in der Auslegung der Datenschutzgrundverordnung. In solchen Fällen kann sich die Datenschutzbehörde an den Europäischen Datenschutzausschuss wenden und vorschlagen: Wir haben hier ein interessantes Thema, das nicht nur relevant für unser Land ist, sondern für die ganze Europäische Union. Eine gemeinsame Stellungnahme kann dann in der Plenarsitzung vorgeschlagen und erarbeitet werden. Daran arbeitet natürlich oft auch der Europäische Datenschutzbeauftragte mit.

Thomas Zerdick: Es gibt eine kollegiale Zusammenarbeit mit anderen Aufsichtsbehörden, etwa bei Ergebnissen von Untersuchungen, die wir in Brüssel als Europäischer Datenschutzbeauftragter gemacht haben, zum Beispiel im Fall Europäische Kommission und Microsoft 365. Dann können die Kollegen aus den Mitgliedstaaten sagen, bitte teilt mit uns auf dem Amtswege eure Erkenntnisse, damit wir davon lernen können. Das ist unser tägliches Brot.

Robert Riemann: Es gibt auch internationale Kooperationen in anderen Themenbereichen: Software entwickeln wir zum Beispiel gemeinsam. Und über die Grenzen in Europa hinweg entwickeln wir auch Methoden, um technische Audits durchzuführen. Wir haben dazu auf code.europa.eu Software, die auch Unternehmen benutzen können, bevor die Datenschutzbehörden sie einsetzen. Darüber hinaus gibt es seit zwei, drei Jahren auch jedes Jahr Workshops, wo Techniker nach Brüssel kommen, um sich auszutauschen.

Die Juristen haben das schon länger gemacht. Nun ist der Austausch nicht mehr nur auf Rechtsfragen beschränkt, sondern findet auch zu technischen Fragen statt, auch teilweise zu ganz praktischen Fragen.

Constanze Kurz: Ist das also eine neuere Entwicklung, wenn das erst seit zwei oder drei Jahren stattfindet?

Robert Riemann: Genau. Die Datenschutzbehörden der EU-Staaten sind häufig sehr klein. Der Europäische Datenschutzausschuss hat in seinem Jahresbericht veröffentlicht, wie viele Mitarbeiter in den einzelnen Ländern mitarbeiten. In Deutschland haben wir natürlich einen Luxusfall, ungefähr 1.000 Menschen arbeiten hier über die verschiedenen Landesbehörden verteilt. Aber es gibt eben auch Länder wie Liechtenstein, wo es nur wenige Personen sind, die aber auch viele technische Lösungen abdecken können müssen. Insofern sind wir darauf angewiesen, effizient zusammenzuarbeiten und uns über unsere Ansätze nicht nur zu Rechtsfragen, sondern auch zu technischen Fragen auszutauschen.

„Die Kritik am Datenschutz ist eigentlich eine deutsche Kritik“

Constanze Kurz: Wir haben ja in den letzten Monaten seit der zweiten Amtseinführung von Donald Trump erlebt, dass sich die US-amerikanische und die europäische Datensphäre auseinanderentwickeln und dass Digital-Gesetze und Datenschutzgesetze auf europäischer Ebene in den politischen Kampf hineingezogen werden. Wie seht ihr diesen Konflikt, dass die Regeln, die eben häufig für große US-Unternehmen hier in Europa geschaffen wurden, nun unter diesen Vorzeichen in der Spitzenpolitik debattiert und vom US-Präsidenten in ganz klassische Handelskriege reingezogen werden?

Thomas Zerdick: Ganz entspannt. Das gab es schon zu Zeiten der ersten Datenschutzrichtlinie 1995. Schon damals war absehbar: Wenn sich Europa entscheidet, Datenschutzvorschriften einzuführen, weil es ein Grundrecht ist, betrifft das Wirtschaftsinteressen insbesondere der US-amerikanischen Konzerne. Schon damals war sehr viel Politik im Spiel, und das war nichts anderes, als dann die Datenschutzgrundverordnung verhandelt wurde. Da kamen die Amerikaner schon sehr früh zur EU-Kommission und haben vorgeschlagen: Macht das doch mal anders, macht das noch mal weniger scharf. Es war letztlich ironischerweise die durch Edward Snowden ausgelöste Affäre, die dann auf europäischer Seite dazu geführt hat, zu sagen: Das geht uns zu weit, wir brauchen jetzt scharfe europäische Datenschutzvorschriften.

Aus Brüsseler Sicht ist das nichts Neues, das ist ganz normal. Schlecht wäre es natürlich, wenn dem Druck nachgegeben würde. Das kann ich mit dem europäischen Grundrechtscharakter des Datenschutzes schlecht vereinbaren, wenn wir plötzlich sagen würden: Ja, wir haben jetzt Gesetze, aber wir wenden sie nicht an, weil es US-amerikanische Konzerne sind.

Constanze Kurz: Als Deutsche bin ich seit vielen Jahren vertraut mit den Datenschutzdiskussionen, die häufig öffentlich geführt werden. Die Chatkontrolle wäre dafür ein Beispiel oder die Vorratsdatenspeicherung. Die deutsche Öffentlichkeit räumt dem Grundrecht auf informationelle Selbstverstimmung einen Wert ein. Auch die Verfahren, die beim Bundesverfassungsgericht geführt werden, erfahren oft eine große Öffentlichkeit. Das ist aber nicht in allen europäischen Ländern so. Wie seht ihr die Diskrepanzen bei der Wahrnehmung dieses Grundrechts in Europa?

Thomas Zerdick: Das erklärt sich zum Teil aus den geschichtlichen Unterschieden. Aber es ist ja ein großer Konsens vorhanden: Datenschutz existiert und ist auch ein Grundrecht in allen europäischen Mitgliedstaaten. Das ist also nicht anders als in Deutschland. Und die Grundlage der Zusammenarbeit zumindest bei den Aufsichtsbehörden ist eben die Datenschutzgrundverordnung.

Man muss auch sagen, dass Deutschland – derzeit zumindest – ziemlich allein dasteht, weil die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Das ist ganz merkwürdig. Diese großflächigen Spitzen gegen den Datenschutz hört man aus anderen Mitgliedstaaten so nicht. Im Gegenteil, das wird dort einfach gemacht und umgesetzt, und dann ist gut.

Bundesregierung sägt am Datenschutz

Kurz und knappe Informationen zu dem, was der Datenschutzbeauftragte macht

Constanze Kurz: Gibt es etwas, was ihr für den Europäischen Datenschutzbeauftragten für die Zukunft wünschen würdet? Was wäre notwendig oder würde die Effizienz oder die Qualität der Arbeit sehr verbessern?

Robert Riemann: Meine Wünsche wären gar nicht so spezifisch nur für Datenschutzbehörden, eher allgemein für Behörden. Wir hatten beispielsweise beim Europäischen Datenschutzbeauftragten schon früh eine digitale Akte. Das hat während der Corona-Pandemie unheimliche Vorteile gehabt. Aber ich denke, generell könnte man noch viel mehr durch Automatisierung von Prozessen erreichen. Ich wünsche mir, dass wir Dashboards haben, um Fallmanagement zu machen, und zwar nicht für jedes Land einzeln, sondern am besten eines, was für alle Datenschutzbehörden funktionieren würde. Sowas haben wir momentan nicht.

Ich würde mir auch wünschen, dass es eine digitale Strategie gibt, die nicht nur national denkt, sondern auch europäisch. Und ich denke, es fehlt uns an vielen Standardisierungsprozessen. Das ist schwer in Gang zu bringen, weil die Datenschutzbehörden nur wenige Informatiker haben und das Geld knapp ist. Insofern ist es nicht klar, wie sich das demnächst verbessern könnte.

Thomas Zerdick: Ich würde mich Robert anschließen. Warum? Natürlich hat ein Amt wie der Europäische Datenschutzbeauftragte nie genug Mitarbeiter und nie genug Geld. Das wird sich in absehbarer Zeit auch nicht ändern. Aber was uns gut zu Gesicht stände, wäre eine bessere Automatisierung von Prozessen.

Nur ein Beispiel: Wir bearbeiten natürlich auch Eingaben und Beschwerden von Bürgerinnen und Bürgern. Und wir sehen gerade in der letzten Zeit eine 140-prozentige Steigerung dieser Beschwerden auf uns zukommen. Warum? Weil die Leute, die sich beschweren, zu generativer KI greifen und sich eine Beschwerde beispielsweise an die Europäische Kommission generieren lassen und sie direkt an den Europäischen Datenschutzbeauftragten schicken. Wir brauchen hier sozusagen Waffengleichheit, wir müssen auch praktisch KI-gestützte Anwendungen zur Verfügung haben, um vielleicht besser und effizienter arbeiten zu können.

Wir sind ja auch gleichzeitig Aufsichtsbehörde für KI-Systeme von den europäischen Organen. Das heißt, wir haben eine Doppelaufgabe: nicht nur Datenschützer, sondern auch KI-Aufsicht. Ich sehe die Notwendigkeit, dass wir die zugrundeliegende Technik verstehen und auch Kolleginnen und Kollegen dafür einstellen, die das beaufsichtigen können.

Constanze Kurz: Wenn sich jemand nun noch mehr interessiert für den Europäischen Datenschutzbeauftragten, wo holt man sich mehr Informationen?

Thomas Zerdick: Auf unserer Homepage edps.europa.eu findet man alles, was das Herz begehrt, insbesondere auch kurz und knappe Informationen zu dem, was wir machen und auch zur Technik und zu neuen Technologien, aber auch unsere Entscheidungen. Podcasts gibt es auch!

Robert Riemann: Ich möchte noch eine weitere Möglichkeit erwähnen, wie man uns folgen kann: Der Europäische Datenschutzbeauftragte hat einen Mastodon-Account.

Constanze Kurz: Ich möchte mich bedanken für die Zeit, die ihr euch genommen habt, und für die Einblicke, die ihr gegeben habt. Vielen Dank für das Gespräch!

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die geplante „Vereinfachung“ der europäischen KI-Verordnung könnte den Schutz von Verbraucher:innen vor der Technologie erheblich schwächen. Ein breites Bündnis von 32 Organisationen warnt insbesondere vor Lücken bei Medizingeräten und Spielzeug.

Die Sorge ist groß, dass die geplante „Vereinfachung“ der europäischen KI-Regeln zu deren Aushöhlung führen könnte. Davor warnt die europäische Verbraucherschutzorganisation BEUC gemeinsam mit 31 anderen Organisationen in einem gemeinsamen Brief an die Verhandler des sogenannten KI-Omnibusses: die EU-Kommission, die zypriotische Ratspräsidentschaft und die Berichterstatter:innen des Europaparlaments Arba Kokalari (EVP) und Michael McNamara (Renew).

Die unterzeichnenden Organisationen vertreten neben Verbraucher:innen und der Zivilgesellschaft auch Ärzt:innen, Krankenhäuser und Gesundheitsdienste, Prüfstellen wie den TÜV sowie die Wissenschaft. Sie befürchten, dass in den aktuellen Trilog-Verhandlungen zwischen EU-Parlament, den EU-Ländern und der Kommission zentrale Elemente der KI-Verordnung zur Diskussion gestellt werden könnten. Die angestrebte Vereinfachung dürfe nicht auf Kosten des Verbraucherschutzes und der Grundrechte gehen, bekräftigt der Brief.

Im Zentrum der Kritik steht eine mögliche Änderung, die das Europäische Parlament in die laufenden Trilog-Verhandlungen einbringt: Bestimmte Sektoren sollen aus dem unmittelbaren Anwendungsbereich der KI-Verordnung ausgenommen werden, darunter Medizintechnik, Funkgeräte, Spielzeug und Maschinen. Abgeordnete und Industrievertreter argumentierten, dass diese Produkte schon unter eigene Sicherheitsvorschriften fallen würden und die Hersteller ansonsten einem doppelten Aufwand ausgesetzt seien.

Zivilgesellschaft warnt vor Lücke

Die Autor:innen des Briefs sehen dies anders: Sie betonen, dass die KI-Verordnung spezifische KI-Risiken reguliere, die in den sektorspezifischen Regeln nicht behandelt würden. Dazu zählen etwa Diskriminierung, Intransparenz und die kontinuierliche Veränderung der Systeme. Durch die Ausnahmen würde eine Regulierungslücke entstehen.

Als Beispiel für die möglichen Nachteile dieser Änderung für Verbraucher:innen nennen sie Medizingeräte. Diese würden zunehmend über KI-Funktionen verfügen, die bei der Diagnose, Behandlung oder Überwachung von Patient:innen zum Einsatz kommen würden. Die derzeitigen sektoralen Regeln für Medizingeräte würden KI-spezifische Risiken aber nicht ausdrücklich berücksichtigen. Ähnliches gelte für Kinderspielzeug.

Die Organisationen bekräftigen darüber hinaus, dass die Regulierung durch diese Änderung komplexer würde statt einfacher. Erstens würde Unsicherheit darüber entstehen, welche KI-Systeme weiterhin der EU-Verordnung unterliegen. Zweitens würde sich die Regulierung zersplittern: Anstatt ein einziges Gesetz für KI zu haben, würden die unterschiedlichen sektoralen Regulierungen gelten. Sollten KI-Risiken dort nachträglich ergänzt werden, müssten womöglich Dutzende Gesetze geändert werden.

Ein fragmentierter und unnötig komplexer Regulierungsrahmen würde nur die Rechtsunsicherheit erhöhen, warnt der Brief: „In einer Zeit, in der die EU bestrebt ist, das Vertrauen in KI zu stärken und ihre technologische Souveränität zu festigen, ist die Wahrung des Vertrauens in einen kohärenten und effektiven Rahmen für die KI-Governance von entscheidender Bedeutung.“

Ergebnis bis Ende April

Beim KI-Omnibus hat die EU bislang ein hohes Tempo vorgelegt. Im November von der EU-Kommission vorgestellt, haben die EU-Länder sowie das Parlament im März ihre jeweiligen Verhandlungspositionen festgezurrt. Ende März fand bereits das erste Trilog-Treffen statt. Aktuell verhandeln die EU-Institutionen in technischen Meetings miteinander, schon am 28. April wollen sie sich auf den finalen Kompromiss einigen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Bundesgesundheitsministerium will die Digitalisierung im Gesundheitswesen rasch voranbringen. Ein Gesetzentwurf definiert dafür die Rolle der elektronischen Patientenakte um, weitet die Nutzung von Gesundheitsdaten erheblich aus und gibt der Gematik neue weitreichende Befugnisse. Wir veröffentlichen den Gesetzentwurf.

Bundesgesundheitsministerin Nina Warken (CDU) hat einen ersten Entwurf für das „Gesetz für Daten und digitale Innovation im Gesundheitswesen“ (GeDIG) vorgelegt. Das rund 200-seitige Dokument soll die Weichen für eine digital gestützte Gesundheitsversorgung stellen und wird derzeit zwischen den Bundesministerien abgestimmt. Wir veröffentlichen den Entwurf (PDF).

Das Fundament für das Gesetz hatte Warken bereits Mitte Februar mit ihrer Digitalisierungsstrategie gebaut. Darin formuliert die Ministerin das Ziel, die elektronische Patientenakte (ePA) nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung zu machen, sondern auch zur „Gesundheits(daten)plattform“ auszubauen.

Dementsprechend soll das GeDIG unter anderem die Grundlagen für ein „digitales Primärversorgungssystem“ schaffen, indem es die Rolle der ePA erheblich erweitert. Außerdem will das Ministerium mehr Gesundheitsdaten für die Forschung bereitstellen und die Befugnisse der Gematik umfassend ausbauen.

Die elektronische Patientenakte als erste Anlaufstelle

Die ePA-App soll den Versicherten künftig einen „digitalen Versorgungseinstieg“ ermöglichen. Sie wäre dann nicht mehr nur ein digitaler Dokumentenspeicher, sondern die erste digitale Anlaufstelle für die gesundheitliche Grundversorgung.

Mit Hilfe der App sollen Versicherte künftig zunächst eine Ersteinschätzung einholen. Diese Einschätzung soll spätestens ab dem 1. Februar 2028 nach einheitlichen Standards durch die Terminservicestellen der Kassenärztlichen Vereinigungen erfolgen. Versicherte sollen dann über die ePA-App direkt an deren standardisierte Ersteinschätzungsverfahren weitergeleitet werden. Wird dabei ein Behandlungsbedarf festgestellt, können die Versicherten über die App digital einen Termin für eine ärztliche Behandlung buchen. Damit der Prozess möglichst reibungsfrei abläuft, müssen Arztpraxen ab dem 1. September 2029 die elektronische Überweisung anbieten.

Bei der Terminvergabe sollen ebenfalls einheitliche Standards gelten. Buchungsplattformen wie Doctolib müssen sich laut Gesetzentwurf auf strengere Vorgaben einstellen, die die Kassenärztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband festlegen. Sie sollen unter anderem sicherstellen, dass Dritte den Terminbuchungsprozess nicht kommerziell nutzen.

Krankenkassen sollen Gesundheitsdaten auswerten dürfen

Das GeDIG zielt außerdem darauf ab, dass im Gesundheitswesen mehr Daten für „Versorgung, Forschung und Innovation“ bereitstehen.

Dafür sollen die Krankenkassen deutlich mehr Befugnisse erhalten, um bei ihren Versicherten individuelle Gesundheitsrisiken auszumachen. Mit Zustimmung der Versicherten sollen sie auf Daten zugreifen dürfen, die in der ePA hinterlegt sind. Zudem sollen sie selbst Gesundheitsdaten erheben können, die unter anderem „Ernährungsgewohnheiten“, den „Raucherstatus“ oder das Körpergewicht der Versicherten erfassen. Mit den gewonnenen Informationen dürfen die Versicherungen dann auf „gesunde Lebensverhältnisse“ laut Gesetzentwurf bei ihren Versicherten hinwirken.

Darüber hinaus sollen die Kassen personenbezogene Sozialdaten, die ihnen vorliegen, anonymisieren und auswerten dürfen. Nach der Anonymisierung weisen die Daten keinen Personenbezug mehr auf. Aus Datenschutzsicht dürfen sie damit „zur Erfüllung gesetzlicher Aufgaben“ weiterverarbeitet und an Dritte übermittelt werden.

Auch mit nicht-anonymisierten Daten sollen die Kassen hantieren dürfen. Eine neue Experimentierklausel soll es ihnen ermöglichen, sogenannte Reallabore einzurichten. Hier können die Versicherungen zeitlich befristet die „innovative Nutzung von personenbezogenen Daten“ erproben, etwa um eine „bessere Einschätzung von Erkrankungsrisiken (z. B. Demenz, Herzerkrankungen)“ zu erhalten.

Damit kommt der Gesetzentwurf den Erwartungen der Krankenkassen weitgehend entgegen. Ende vergangenen Jahres hatte der GKV-Spitzenverband gefordert, die Präventionsangebote der Kassen „durch den Ausbau der datengestützten Früherkennung von Krankheiten“ ausbauen zu dürfen. Die Ärzteschaft hatte vor einem solchen Schritt gewarnt, weil sie die Aushöhlung des Patientengeheimnisses und der ärztlichen Schweigepflicht befürchtet. Offenkundig setzt sich das BMG über derlei Bedenken nun tendenziell hinweg.

So umfassend will Warken die Gesundheitsdaten aller Versicherten verknüpfen

Eine Forschungskennziffer gegen Datensilos und für Widerspruchsrechte

Damit auch die Forschung von den Gesundheitsdaten profitiert, sieht der Gesetzentwurf die Einführung einer „eindeutigen Forschungskennziffer“ vor. Diese pseudonyme Kennziffer wird aus dem unveränderlichen Teil der Krankenversichertennummer (KVNR) abgeleitet und soll „die Verknüpfung von Daten verschiedener Datensilos“ ermöglichen.

Damit will das BMG zugleich die Umsetzung der EU-Verordnung über den Europäischen Gesundheitsdatenraum) (EHDS) vorbereiten. Die Verordnung trat im März 2025 in Kraft und findet in den kommenden Jahren sukzessive Anwendung. Der EHDS wird der erste sektorenspezifische Datenraum in der EU sein und soll als Blaupause für weitere sogenannte Datenräume dienen. Künftig sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Auch Forschende und Behörden sollen diese Daten unter bestimmten Voraussetzungen nutzen dürfen. Möchten Versicherte das nicht, können sie von ihrem Widerspruchsrecht (Opt-out) Gebrauch machen. Die Forschungskennziffer soll laut BMG als technischer Schlüssel dienen, um die entsprechenden Datensätze gezielt herauszufiltern.

„Trotz der Funktion als ‚unique identifier‘ ist es gerade nicht das Ziel der Forschungskennziffer, einer Identifizierung von Einzelpersonen zu ermöglichen“, betont das BMG in dem Gesetzentwurf. „Im Gegenteil dient die Forschungskennziffer gerade dazu, bei der Zurverfügungstellung von Daten solche Merkmale zu ersetzen, über die Betroffene leichter re-identifiziert werden können.“

Fachleute weisen jedoch darauf hin, dass eine derartige Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation biete. Das Risiko steige zudem an, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, die weitere personenbezogene Daten der gleichen Person enthalten.

Gematik erhält deutlich mehr Befugnisse

Um das „hohe Tempo bei der Digitalisierung im Gesundheitswesen und der Pflege […] aufrecht zu erhalten“ ist laut BMG auch „die Fortentwicklung der Gesellschaft für Telematik (gematik) erforderlich“. Die Gematik ist in Deutschland für die technischen Vorgaben bei der Digitalisierung des Gesundheitswesens verantwortlich. Betrieben wird die Firma gemeinschaftlich von Ministerien wie dem BMG sowie privaten Organisationen aus dem Gesundheitsbereich, darunter Krankenkassen-Verbände oder die Bundesärztekammer. Der Gesetzentwurf sieht vor, dass die Gematik neue Befugnisse erhält.

Das Ministerium verfolgt damit insbesondere das Ziel, die Betriebsstabilität der Telematikinfrastruktur (TI) zu verbessern. Die TI ist das digitale Netzwerk des deutschen Gesundheitswesens, über das Arztpraxen, Kliniken, Apotheken und Krankenkassen Informationen austauschen. Sie erwies sich in den vergangenen Jahren allerdings als überaus instabil. Unter anderem KBV-Vorstandsmitglied Sibylle Steiner hatte zu Jahresbeginn gefordert, dass die Technik „geräuschlos und reibungslos im Hintergrund laufen“ müsse. „Das muss 2026 das Ziel sein“, so Steiner.

Um das zu erreichen, will das BMG die Gematik von einer Zulassungsbehörde zu einer aktiv steuernden Digitalagentur mit Durchsetzungsbefugnissen ausbauen. Das wäre ein erheblicher Machtzuwachs für die vielfach kritisierte Gematik, ohne dass das Gesetz eine entsprechende unabhängige Kontrolle vorsieht – zumal das BMG nicht nur Auftraggeber, sondern auch Gesellschafter der gematik ist.

Laut Gesetzentwurf soll die Gematik kritische Kernkomponenten der Telematikinfrastruktur künftig selbst beschaffen und bereitstellen. Bislang verkaufen Anbieter ihre Komponenten eigenständig an Arztpraxen und Kliniken, nachdem die Digitalagentur diese zugelassen hat. Nach Einschätzung des Ministeriums hat das jedoch zu hoher Komplexität, schlechter Betriebsstabilität und mangelnder Servicequalität geführt. Um Störungen und Sicherheitsprobleme zu beseitigen, soll die Digitalagentur außerdem zusätzliche Durchgriffsrechte erhalten.

Auf diesem Wege will das Gesundheitsministerium auch mehr Interoperabilität im Gesundheitswesen erreichen. Verschiedene IT-Systeme, Programme und Plattformen sollen nahtlos zusammenarbeiten und untereinander Daten austauschen können, auch wenn sie von unterschiedlichen Herstellern stammen.

Als konkreter Anwendungsfall soll hier die digitale Impfdokumentation als Vorstufe des digitalisierten Impfprozesses eingeführt werden. Der sogenannte digitale Impfpass soll als eine „nutzenstiftende Mehrwert-Anwendung“ auch dazu beitragen, dass mehr Versicherte die ePA aktiv nutzen. Bislang tut das nämlich nur ein sehr kleiner Teil der Versicherten.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

March 2026 meted out a sizeable set of Linux software releases, including updates to FOSS stalwarts GIMP, digiKam, Krita and Blender. Major new releases were covered with dedicated articles, including Firefox 149 with free built-in VPN, the ‘biggest ever release’ of OpenShot video editor, the new GIMP 3.2.0 release, a bump to terminal tool Ghostty 1.3 and the Opera GX for Linux launch. A busy month, but those weren’t the only app updates of note. Below, I run through other releases made in March. While these didn’t get dedicated articles at the time, they offer new features, fixes or changes […]

You're reading Linux App Release Roundup (March 2026), a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.

IT-Fachleuten gilt der elektronische Personalausweis gemeinhin als gut durchdacht und sicher. Dennoch fristet dessen eID-Funktion auch wegen politischer Versäumnisse ein Nischendasein. Zwei Projekte der Sparkassen und des Föderalen IT-Architekturboards könnten das nun ändern.

Online ein Auto mieten oder den Wohnsitz ummelden – das soll der elektronische Personalausweis (auch neuer Personalausweis, nPA) dank eID-Funktion ermöglichen. So war zumindest die Erwartung vieler, als die Bundesregierung unter Angela Merkel im Jahr 2010 den nPA einführte. Doch die damaligen Erwartungen haben sich bis heute nicht erfüllt.

Dabei können die Voraussetzungen für einen Erfolgskurs des nPA kaum besser sein. IT-Sicherheitsexpert:innen und Datenschützer:innen loben die Technologie in höchsten Tönen. Trotzdem ist es um den nPA ruhig geworden. Die meisten haben ihre PIN zum Freischalten der eID-Funktion verlegt oder verloren. Bis vor zwei Jahren konnten sie sich zwar kostenfrei eine neue PIN per Einschreiben auf dem Postweg zusenden lassen. Doch Anfang 2024 beschloss das Bundesinnenministerium unter der Ampel-Koalition, den Service mit Verweis auf die Kosten einzustellen. Wer die eID nutzen will, muss also wieder aufs Amt gehen.

Zwei Projekte könnten dem nPA nun neues Leben einhauchen: zum einen die neuen Services in den Apps der Sparkassen, zum anderen Neo, eine Kommunikationslösung für Bürger:innen und Verwaltung. Neo wird von der FITKO gemeinsam mit dem Bundesdigitalministerium im Auftrag des Föderalen IT-Architekturboards entwickelt.

Sichere Technologie fristet Nischendasein

Die Versäumnisse der Bundesregierung gipfeln in der Einschätzung des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS), die eID sei eine „nationale Sonderlösung“. Der Bundesrechnungshof widersprach (PDF) explizit dieser Auffassung mit Verweis auf die eIDAS-Verordnung der EU, die die eID-Funktion mit Vertrauensniveau „hoch“ notifiziert.

Dass Bürger:innen und selbst die Bundesregierung der Technologie so wenig Bedeutung beimessen, wäre kaum ein Thema, wenn der nPA mehr in der Fläche genutzt würde, sagt Marco Holz. Er ist IT-Architekt bei der Föderalen IT Kooperation (FITKO). Die Bund-Länder-Organisation entwickelt IT-Lösungen für die öffentliche Verwaltung. „Wenn man den Perso höchstens ein Mal im Jahr benutzt, stehen die Chancen schlecht, dass man sich die PIN dauerhaft merkt.“

Privatpersonen können sich mit der AusweisApp gegenüber Dritten ohne große Hürden eindeutig und authentisch ausweisen. Dank NFC-Technologie (Near-Field Communication) ist inzwischen auch ein Kartenlesegerät überflüssig. Nutzer:innen halten ihren Personalausweis einfach an ihr Smartphone und erlauben so die kontaktlose Übermittlung ihrer Daten.

Um die eID-Funktion voranzubringen, müssten jedoch mehr Behörden, Banken und Versicherungen die eID-Funktion in ihre Prozesse einbauen, so Holz. Das erfordert einen hohen Aufwand, den viele Anbieter scheuten.

Hohe Hürden für die eID

Diensteanbieter, die den nPA nutzen möchten, müssen nachweisen, dass sie berechtigt sind, auf bestimmte Datenfelder des nPA zuzugreifen. Dafür brauchen sie ein elektronisches Berechtigungszertifikat, das sie bei der zentralen Vergabestelle beantragen müssen. Auf diese Weise können nur berechtigte und vertrauenswürdige Anbieter die Daten der Personalausweise auslesen. Jedoch verlangt das Bundesverwaltungsamt für die Berechtigungszertifikate hohe Gebühren. Auch Behörden erhalten sie nicht kostenfrei.

Ist diese erste Hürde genommen, benötigen Diensteanbieter dann einen eID-Server. Den betreiben sie entweder selbst und integrieren ihn direkt in ihre Anwendungen. Oder sie nutzen den eID-Server eines externen Dienstleisters, etwa von Governikus oder adesso. Einen eigenen eID-Server zu betreiben, sei sehr komplex, sagt Holz. „Für Diensteanbieter kommt erschwerend hinzu, dass keine der Server-Implementierungen unter einer Open-Source-Lizenz verfügbar ist.“

Außerdem sei es teuer, einen eigenen Server zu betreiben. Gerade für kleine Kommunen sei das kaum zu stemmen, erklärt Holz.

Sparkassen setzen auf eID

„Die Nutzer sollen sich die PIN ihres nPA für die Nutzung der eID irgendwann genauso gut merken wie die PIN zu ihrer Kreditkarte oder ihrem Smartphone“, so die Vision von Oliver Lauer. Lauer ist Leiter des digitallabor.berlin und Chief Digital Officer des Deutschen Sparkassen- und Giroverbands (DSGV). Zusammen mit dem digitallabor.berlin und Expert:innen der Sparkassen Finanzgruppe hat er die eID-Funktion des nPA in die Apps „tief integriert“. Damit will Lauer ein Vorzeigeprojekt für die eID schaffen.

Kund:innen der Sparkassen können ihren Zugang zum Online-Banking nun einfacher wiederherstellen, wenn sie ihre Zugangsdaten verloren haben, das Smartphone defekt oder abhanden gekommen ist. Bisher mussten sie dafür auf den Freischaltbrief warten, in die Filiale oder an den Geldautomaten gehen. Nun laufe der Reset über die Apps automatisch.

eID lohnt sich

Warum nutzen die Sparkassen ausgerechnet die eID-Funktion des nPA? „In einer digitalen Welt ist der Moment, in dem man sich ausgesperrt hat, in meinen Augen einer der schlimmsten“, sagt Lauer. Für Kund:innen sollte daher ein Weg geschaffen werden, um möglichst schnell aus diesem „Katastrophen-Moment“ herauszukommen.

Jedes Jahr sperrten sich Millionen Bankkund:innen aus, sagt Lauer. Daher lohne sich die eID in der Sparkassen-App, nicht zuletzt auf der Kostenseite. Seit Ende Januar ist die App im Einsatz. Und schon jetzt zeichne sich ab, dass sie zuverlässig laufe und Kosten einspare, auch weil die Sparkassen einen eigenen eID-Server betreiben.

Briefe zur Freischaltung oder persönliche Besuche in den Filialen seien mit erheblichen Kosten verbunden. Ebenso würden sich die Kosten für das VideoIdent-Verfahren auf 10 bis 12 Euro pro Transaktion belaufen.

Auch aus Sicht der IT-Sicherheit bleibt das VideoIdent weit hinter der eID zurück. Denn die eID hat eine physische Komponente, den Chip im Ausweis. Das Vertrauen werde immer zwischen dem eigentlichen physischen Personalausweis und dem eID-Server hergestellt, erklärt Holz. Und die Daten würden immer an den Server geschickt, der das entsprechende Berechtigungszertifikat hat. „Das vermeidet schon sehr viele Angriffspunkte.“

Mit der eID sicher mit Behörden kommunizieren

Gemeinsam mit dem BundID-Team des BMDS entwickelt Holz unter dem Arbeitstitel „Neo“ außerdem eine Kommunikationsinfrastruktur für die öffentliche Verwaltung. Damit sollen Privatpersonen einfacher online mit ihrem Stadtbüro oder Rathaus kommunizieren können, etwa nachdem sie einen Antrag gestellt haben.

Um sicherzustellen, dass eine Behörde personenbezogene Daten an den richtigen Thomas Müller oder die richtige Sandra Müller herausgibt, müssen sich Privatpersonen authentifizieren. Dafür nutzt auch Neo die eID-Funktion des nPA. „Das Ziel ist, dass sich Bürger:innen mit ihrem Personalausweis direkt und so einfach wie möglich in der App einloggen können“, so Holz. „Also Ausweis an das Smartphone halten, die PIN des Persos eingeben und direkt mit dem Rathaus kommunizieren oder den Bearbeitungsstatus der eigenen Anträge einsehen.“

Ähnlich wie in der App der Sparkasse hat auch das Neo-Team das Software Development Kit (SDK) der Ausweis-App direkt in den Dienst integriert. Damit sind sie nicht auf Anbieter von Authentifizierungssystemen angewiesen. Mit Blick auf Privatsphäre, Benutzbarkeit und Datenschutz sei der direkte Weg über die eID ein Gewinn. „Denn ich muss mich nicht mehr gegenüber einem Dritten authentifizieren, der dann meine ganzen Login-Daten kennt und weiß, wann ich mich zum Beispiel bei der Sparkasse oder bei Neo eingeloggt habe.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Noch nie gab es so viele Ermittlungsverfahren und Hausdurchsuchungen wegen bloßer Worte. Heute gelten etliche politische Aussagen als strafbar, die noch vor zehn Jahren ganz klar erlaubt waren. Dabei sollten wir gerade in der gegenwärtigen Lage mehr Meinungsfreiheit wagen.

Ronen Steinke ist Leitender Redakteur im Politikressort der Süddeutschen Zeitung und Lehrbeauftragter an der juristischen Fakultät der Goethe-Universität Frankfurt am Main. Heute erscheint sein neues Buch Meinungsfreiheit: Wie Polizei und Justiz unser Grundrecht einschränken – und wie wir es verteidigen im Berlin Verlag. Wir veröffentlichen das Vorwort mit freundlicher Genehmigung von Autor und Verlag. Alle Rechte vorbehalten.

Das zentrale Prinzip, auf dem jede Demokratie beruht, die Meinungsfreiheit, entzweit die Demokratien gerade gewaltig. Die USA auf der einen Seite, Europa auf der anderen.

Im Februar 2025 trat auf der Münchner Sicherheitskonferenz der amerikanische Vizepräsident J. D. Vance in einem Luxushotel auf die Bühne in einem Saal voller europäischer Regierungsvertreterinnen und Regierungsvertreter – und schaltete gleich auf Angriff. Europa würge die Meinungsfreiheit ab, behauptete der Amerikaner, dunkler Anzug, blaue Krawatte, ernster Ton. Die größte Bedrohung für Europa heute komme gar nicht mehr aus Russland oder China, sondern „von innen“. Infolge eines, wie Vance es ausdrückte, „Rückzugs Europas von einigen seiner grundlegenden Werte“. Dann belehrte der US-Vizepräsident seine Zuhörer – und besonders seine deutschen Gastgeber – darüber, dass die „Demokratie auf dem heiligen Prinzip ruht, dass die Stimme der Menschen ein Gewicht hat“.

Mit Blick auf die zahlreichen, immer schärfer werdenden europäischen Gesetze gegen sogenannte Hassrede, also solche Dinge wie die staatlichen „Zensurwünsche“ an die Adresse sozialer Medien wie Facebook oder X, die staatlich verordneten Online-Blocker und -Filter, wie sie vor allem Deutschland in den zurückliegenden zehn Jahren stark forciert hat, formulierte der Gast aus den USA: „Firewalls haben da keinen Platz.“ Das Prinzip der Meinungsfreiheit verlange nämlich eine spezielle Fähigkeit von Regierenden: die Fähigkeit, Kritik zu erdulden. „Entweder man hält dieses Prinzip hoch, oder man hält es nicht hoch.“

Entsetzen und Belustigung

Stille herrschte im Saal, europäische Teilnehmer waren für einen Moment sprachlos, und einige erzählten hinterher, wie sie innerlich geschwankt hätten zwischen Gefühlen des Entsetzens, aber auch der Belustigung. Denn, natürlich: Von Leuten wie J. D. Vance, die in ihrer Heimat kritische Journalisten diffamieren, Universitäten unter Druck setzen und Late-Night-Show-Hosts wegmobben, lässt man sich nicht so gern über demokratische Tugenden belehren. Für deutsche Politiker war es ein Leichtes, darauf hinzuweisen, dass der Amerikaner nicht wirklich gut positioniert sei, um über den Respekt vor abweichenden Meinungen zu dozieren.

Immerhin, gerade hatte die Regierung des US-Präsidenten Donald Trump und seines Vizes Vance die Nachrichtenagentur Associated Press achtkantig aus dem Weißen Haus geworfen, weil die Journalisten sich die Freiheit genommen hatten, den Golf von Mexiko weiterhin als „Golf von Mexiko“ zu bezeichnen, während die Trump-Regierung lieber kindisch von einem „Golf von Amerika“ sprechen wollte. Gleichzeitig hatte in den USA der Kampf gegen unliebsame Stimmen, auch mit drastischen Mitteln wie der Durchsuchung von Handys und sozialen Netzwerken nach kritischen Äußerungen gegen Amerikas Verbündeten Israel, gerade erst begonnen.

Sprachtabus in Deutschland

Aber, schrecklicher Gedanke: Was, wenn der Gast aus Amerika dennoch einen Punkt hatte? Der US-Vizepräsident ist schließlich nicht der Erste, der in Bezug auf Europa etwas bemerkt hat, auch Linksliberale in den USA blicken gegenwärtig mit zunehmend mulmigen Gefühlen auf das, was sich in Europa und besonders in Deutschland vollzieht. Von außen sieht man Dinge vielleicht manchmal klarer als von innen: Schon immer war die Bundesrepublik innerhalb der westlichen Welt das Land mit den meisten Sprachtabus, den schärfsten Strafvorschriften gegen bloße Worte, freedom of speech wird hier traditionell kleiner geschrieben als in den USA. Und: In dem Jahrzehnt zwischen 2015 und 2025, in dem die demokratische Kultur sich beiderseits des Atlantiks als äußerst volatil erwiesen hat und die Demokratie in einen Stresstest geraten ist, hat Deutschland sich entschieden, noch einmal deutlich mehr vom selben zu versuchen.

Das heißt, Deutschland hat darauf gesetzt, noch einmal zusätzliche Gesetze zu schaffen sowie auch alte, schon bestehende Gesetze zu verschärfen, um politische Äußerungen stärker zu regulieren und einzuschränken. Der Bundestag hat Strafparagrafen erweitert und vermehrt, der Tatbestand der Volksverhetzung ist gleich in mehrfacher Hinsicht ausgebaut worden, der Tatbestand der öffentlichen Billigung von Straftaten ist so ausgedehnt worden, dass man jetzt schon dafür bestraft werden kann, wenn man Taten „befürwortet“, die allein in der Fantasie spielen. Viele Staatsanwaltschaften haben die Bekämpfung von Hatespeech zu einer neuen Priorität erhoben, sie haben neue, schlagkräftige Teams gegründet, um zu ermitteln und juristische Spielräume auszuschöpfen.

Noch nie hat es hierzulande so viele Ermittlungen wegen bloßer Worte gegeben. Wegen reiner Äußerungsdelikte, wie Juristinnen und Juristen sagen. Die Zahlen der Ermittlungen haben sich in diesem Jahrzehnt – je nachdem, welchen Tatbestand man ansieht – teils verdreifacht, vervierfacht, verfünffacht, bei manchen, früher völlig unbekannten Delikten wie der öffentlichen Billigung von Straftaten sogar verhundertfacht, von jährlich knapp 20 auf 2000. Selbst wegen des Uraltdelikts der Blasphemie, „Beschimpfen von Bekenntnissen“, gab es im Jahr 2024 plötzlich 125 Ermittlungen – ein Rekord. Das liegt zum einen sicher daran, dass das Internet nichts vergisst und Äußerungen dort technisch leichter zu dokumentieren sind als im analogen Raum. Zum anderen aber auch daran, dass die Bereitschaft des Staates, auf Worte mit Verboten und Strafen zu reagieren, groß ist wie nie.

Vulnerable Gruppen schützen

Anfangs ist dies zweifellos aus besten Absichten geschehen. Als es losging mit der härteren Gangart, etwa 2015/16, lautete die Idee, dass man vor allem vulnerable Gruppen besser davor beschützen müsse, niedergebrüllt zu werden. Das ist richtig – ein wichtiger Gedanke. Als etwa die ZDF-Journalistin Dunja Hayali sich im Sommer 2025 zu einem tödlichen Attentat in den USA äußerte, dem Anschlag auf den Rechtsradikalen Charlie Kirk, da prasselten in den sozialen Medien so viele Kommentare auf sie ein, dass einen der Mut zum offenen Wort schon mal verlassen könnte. Hayali hatte unter anderem gesagt, es sei nicht zu rechtfertigen, dass manche Gruppen Kirks Tod feierten – „auch nicht mit seinen oftmals abscheulichen, rassistischen, sexistischen und menschenfeindlichen Aussagen“. Das genügte schon, um manche zu triggern.

„Sie werden bald für ihre Äußerungen bitter bezahlen“, schrieb @gordons_katzenabenteuer auf Instagram an die Journalistin, „Sie haben nur das allerschlimmste verdient. Schauen sie lieber ab jetzt öfter über ihre Schulter.“ Ein Nutzer namens @nocebo_the_mortem schrieb: „Ich hoffe, sie werden auch vor ihrer Familie erschossen“. @jaroabroad pflichtete bei: „Du bist ein Stück Scheiße sondergleichen und die Drohungen sind völlig gerechtfertigt!“ @juki030 schrieb: „Wir werden dich noch hängen sehen!“ @team.114hrc schrieb: „Heul leise du Dre…… Wirst bald die nächste sein“. @volkersuthoff schrieb: „Hoffentlich erschießt dich einer, du miese dreckslesbe!“

Wenn Täter mit solchen Gewaltdrohungen durchkämen, dann bliebe von der Meinungsfreiheit der Bedrohten nicht viel übrig. Zumal solche Attacken oft strategisch sind. Eine Studie der britischen Zeitung The Guardian ergab, dass von den zehn am häufigsten in Online-Kommentaren beleidigten Autorinnen und Autoren der Zeitung acht Frauen waren, vier von ihnen nicht weiß. Die anderen beiden waren schwarze Männer. In Deutschland sind Menschen mit Migrationshintergrund mehr als doppelt so oft von Online-Beschimpfungen betroffen wie andere. Das sind Menschen, die noch nicht sehr lange eine Stimme im politischen Diskurs haben und die aus Sicht der Pöbler wieder „auf ihre Plätze“ verwiesen werden sollen. Dahinter steckt der Wunsch, diese Gruppen gezielt aus dem Diskurs herauszutreiben.

Über Ziel hinausgeschossen

Das ist reaktionär, es ist antidemokratisch. Dagegen braucht es eine Verteidigung. Auch durch den Staat. Aber: Inzwischen ist der deutsche Strafverfolgungsapparat weit über dieses Ziel hinausgeschossen. Zunehmend geht es nicht erst bei Drohungen los, sondern schon bei viel harmloserem Spott. Wird ein Mensch in Deutschland „dämlich“ oder „Schwachkopf“ genannt, dann ist normalerweise klar, dass das keine Staatsanwaltschaft in Bewegung versetzt. Widerfährt das einem Politiker oder einer Politikerin, dann bilden sich gerade neue Maßstäbe heraus. Ein Bürger in Bayern bekam einen Strafbefehl, weil er die Grünen-Politikerin Annalena Baerbock als die „dümmste Außenpolitikerin der Welt“ bezeichnet hatte. Ein Fall für den neuen Strafparagrafen der „Politikerbeleidigung“.

Seit 2021 werden Beleidigung, üble Nachrede und Verleumdung gegen „Personen des politischen Lebens“ in einem einzigen Paragrafen zusammengefasst. Die Zahl der Ermittlungsverfahren, die der Staat auf dieser Grundlage eingeleitet hat, hat sich seither jährlich verdoppelt. 2021 waren es 748, im Jahr darauf schon 1.404. Im Jahr darauf dann 2.598. Und dann, zuletzt, 4.439 Fälle Fälle. Wohlgemerkt: Um Bedrohungen – oder andere Formen von Gewalt – geht es hier nicht.

Wie weit ist zu weit?

Der neue Wind weht scharf: Bis vor zehn Jahren war es noch undenkbar, dass die Polizei im Morgengrauen zu Razzien in Privatwohnungen anrückt, allein weil jemand das juristische Delikt der Beleidigung begangen haben soll, das in der Regel nur zu sehr geringen Strafen führt. Man hätte es für unverhältnismäßig gehalten. Eine Durchsuchung ist ein schwerer Grundrechtseingriff. Heute geschieht dies dagegen laufend, bei „Aktionstagen“ wird gleich an Dutzenden oder gar Hunderten Türen von Tatverdächtigen parallel geklingelt.

Man liest darüber sogar in der New York Times, in Artikeln, deren Autoren allerdings verwundert klingen über die Entwicklung der Meinungsfreiheit auf dem alten Kontinent. „Wie weit kann man gehen, bevor es zu weit geht?“, schrieben zwei Europa-Korrespondenten der Zeitung in einer langen Reportage im September 2022 über die neue Strenge, mit der Deutschland weiter gehe als „jede westliche Demokratie“. How far is too far?

Razzia wegen „Pimmel“

Hausdurchsuchungen erleben nun zunehmend auch Menschen, die im Netz ihre Meinung zu Ereignissen der internationalen Politik äußern. In den aufwühlenden Debatten zum Nahostkonflikt zum Beispiel war dies der Fall. Als ein Mann in München bei Instagram schrieb, dass das Massaker der palästinensischen Terrormiliz Hamas gegen israelische Zivilistinnen und Zivilisten am 7. Oktober 2023 natürlich entsetzlich sei, andererseits aber ein besetztes Volk das „legitime Recht auf Widerstand mit allen notwendigen Mitteln“ habe, genehmigte das Amtsgericht die Beschlagnahme seines Handys und anderer „internetfähiger Endgeräte“. Das kam unerwartet. Dass Menschen in Diskussionen solche kruden Aussagen einwerfen, die förmlich danach rufen, dass andere Menschen ihnen in der Diskussion widersprechen und mit Kontext oder Differenzierung antworten, ist nicht neu. Dass dies solche strafrechtlichen Interventionen nach sich zieht, ist durchaus neu.

In den Debatten zur innerdeutschen Politik ist dies ebenso zu beobachten. So hat etwa ein altgedienter Lokalpolitiker der Grünen in München erlebt, dass ihm verboten wurde, dem bayerischen Vizeministerpräsidenten Hubert Aiwanger von den Freien Wählern vorzuwerfen, dessen „Hetze“ gegen die Grünen ähnele in ihrer Sündenbock-Struktur der einstigen antisemitischen Agitation der Nazis. Der Grünen-Lokalpolitiker bekam dafür seinerseits ein Strafverfahren wegen Volksverhetzung, worüber er sehr staunte, und 2024 sogar schon Schuldsprüche in nicht nur einer, sondern zwei Gerichtsinstanzen; seine politische Karriere ist erledigt. Anderen zur Warnung.

Als Hamburgs Innensenator während der Corona-Pandemie eine strenge Ermahnung an seine Bürgerinnen und Bürger aussprach, keine Partys zu feiern, dann aber dabei erwischt wurde, wie er selbst eine – illegale – Party mit Dutzenden Gästen zelebrierte, kommentierte der Betreiber einer Punkkneipe aus dem Stadtteil St. Pauli im sozialen Netzwerk X, das damals noch Twitter hieß, diese Heuchelei lakonisch: „Du bist so 1 Pimmel.“ Kurz darauf tauchten vier uniformierte, bewaffnete Beamte vor der Wohnungstür des Gastronomen auf. Sie durchsuchten Räume, beschlagnahmten Geräte. Ein weiteres Verfahren wegen Politikerbeleidigung begann.

Gestern erlaubt, heute verboten

Damit hatte der Hamburger Gastronom nicht gerechnet. Damit hätte aber auch ich, ein ausgebildeter Jurist, der an der juristischen Fakultät der Universität Frankfurt unterrichtet, nicht gerechnet. Selbst wenn man sich sehr anstrengt, im Bilde zu sein, die teils sehr weite neue Interpretation des Strafrechts und von solchen sehr offenen Begriffen wie „Beleidigung“ im Blick zu behalten und politisch informiert zu bleiben, kann man bei diesem Tempo der Entwicklung immer häufiger auch überrascht werden.

Und das ist, meine ich, ein Problem. Damit hat sich in diesem Land etwas verändert. Nicht nur die USA haben ein Problem mit der Meinungsfreiheit, sondern, auf unsere Weise, auch wir. Darum soll es in diesem Buch gehen. Der deutsche Staat definiert heute etliche Aussagen als strafbar, die noch vor zehn Jahren ganz klar unter die Meinungsfreiheit fielen. Die Schwelle, von der an Polizei und Justiz hierzulande von strafbarer „Hetze“ ausgehen, ist an etlichen Stellen rapide abgesenkt worden, teils durch Änderungen der Gesetze, teils durch eine Änderung der Gesetzesinterpretation. Gestern noch erlaubt, heute verboten: Das ist ein juristischer Großtrend, den ich darstellen, analysieren und auf den ich auch eine kritische Antwort zu formulieren versuchen möchte.

UN-Sonderberichterstatter entsetzt

Im Frühjahr 2025, als J. D. Vance in München war, war ich, umgekehrt, in den USA. Ich habe in Kalifornien an Universitäten geforscht, die gerade große Not hatten, sich gegen die autoritären Übergriffe der Trump-Regierung zur Wehr zu setzen. Ich habe mit Rechtswissenschaftlern zusammengesessen, die gerade dabei waren, sich für Proteste gegen diese Trump-Politik zu vernetzen. David Kaye zum Beispiel, der ehemalige UN-Sonderberichterstatter für das Menschenrecht auf Meinungsfreiheit, der mir sein Lieblingscafé in Santa Monica zeigte, vegan und hundefreundlich. Aber so groß ihr Entsetzen über die Trump-Pläne war, so wenig hat das gleichzeitig ihre Sorge über das gemindert, was sie von der anderen Seite des Atlantiks her mitbekamen. „Diese Razzien“, sagte David Kaye.

Als in Kalifornien der Sommer begann, brachte die Sendung 60 Minutes des US-Senders CBS eine Reportage aus – Niedersachsen. Eine amerikanische Reporterin interviewte zwei deutsche Staatsanwälte und eine Staatsanwältin, die auf die Verfolgung von Hatespeech spezialisiert waren. Die Strafverfolger erzählten von den inzwischen üblichen Hausdurchsuchungen wegen Online-Postings und den teils verdutzten Reaktionen der Betroffenen, die oft sagen würden: Sie hätten gar nicht gewusst, dass ihre Äußerungen verboten seien. So erzählte es einer der Staatsanwälte und grinste.

Voraussetzung jeder Freiheit

In Santa Monica sprach mich David Kaye darauf an. Er fand das befremdlich. Staatsanwälte, die sich nichts dabei zu denken schienen, dass sie Menschen überraschten mit der Information, dass etwas neuerdings verboten sei? Was sei das für ein Verständnis von Rechtsstaat? Und er wies mich noch auf einen weiteren Aspekt hin, der ihm Sorgen bereite. „Pimmel“ sei in den USA noch das Mildeste, was man an Spott über den Präsidenten lesen könne. Es geschehe praktisch jeden Tag, dass jemand ihn als „Schwachkopf“ bezeichne, als „dümmsten Präsidenten aller Zeiten“ sowieso. Das ist nach amerikanischem Recht straffrei, zum Glück. Nicht auszudenken, was Donald Trump anstellen könnte, wenn sich die USA mit ihrem Strafrecht ein Beispiel an Deutschland nähmen.

Die Meinungsfreiheit wird in Demokratien traditionell als das wichtigste aller politischen Grundrechte verstanden, weil sie sozusagen die Voraussetzung aller weiteren Freiheiten schafft. Sie ist die Basis, auf der man politisch überhaupt in einen Streit eintreten kann, Forderungen stellen, sich Gehör verschaffen und so weiter. Die Bundesrepublik war noch jung, es war 1952, da schrieben die Richter des Bundesverfassungsgerichts (in diesem Fall waren es sieben Männer und eine Frau) in einem ihrer ersten Urteile, dass die Meinungsfreiheit für eine Demokratie „schlechthin konstituierend“ sei. Sprachlich schöner, auch ein wenig pathetischer: Die Freiheit, seine Meinung zu sagen, sei „die notwendige Voraussetzung beinahe jeder anderen Form der Freiheit“, so lauten die berühmten Worte des einstigen amerikanischen Supreme-Court-Richters Benjamin Cardozo. Und, ja: Es darf auch polemisch sein. Überspitzt. Oder emotional. Jedenfalls bis hin zu einer Grenze.

Was würde Trump damit tun?

Ich frage mich inzwischen, ob wir uns in Deutschland nicht ganz schön schnell gewöhnt haben an die Alltäglichkeit von Hausdurchsuchungen wegen „Politikerbeleidigung“, an die grassierende Verunsicherung, ob man denn noch von einer „dümmsten Außenministerin der Welt“ sprechen darf, an die Tatsache, dass schwierige zivilgesellschaftliche Debatten eingeengt werden – und ich frage mich auch, ob eine offene Gesellschaft ihre Strafjustiz nicht an etlichen Stellen dringend zurückpfeifen müsste, braucht man doch gerade in volatilen Zeiten eher mehr Debatte, nicht weniger. In der amerikanischen Cartoon-Serie „South Park“ taucht derweil der amerikanische Präsident Donald Trump als Sexpartner des Teufels auf, und es werden Zoten gerissen über das kleine Gemächt des Commanders in Chief.

Wenn die USA unter Trump solche Gesetze hätten wie Deutschland, dann würde dies J. D. Vance und Co. noch ganz andere Möglichkeiten bieten, ihre Kritiker einzuschüchtern. Dieses Szenario, in dem ein rechtsautoritärer Regierungschef mit einem fragilen Ego à la Trump oder Vance seine Kritiker wegen krimineller „Beleidigung“ verfolgen lassen könnte: Liberale Amerikaner wie David Kaye sind heilfroh, dass dies gerade nicht ansteht und dass wahrscheinlich auch der amerikanische Supreme Court verhindern würde, dass solche Instrumente diesen Rechtspopulisten in die Hände fielen. In Deutschland, wo die Anklagebehörden in diesem Punkt immer mehr Macht und gesetzlichen Spielraum bekommen haben, ist dieses Szenario vielleicht nur eine Landtagswahl entfernt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Trotz scharfer Kritik hält die sächsische Regierung am ihrem Vorhaben fest, die Polizei mit erheblich erweiterten Überwachungsbefugnissen auszustatten. Den bisherigen Gesetzesentwurf hat sie nach internen Verhandlungen nur kosmetisch angepasst. Kritiker:innen bezweifeln die Vereinbarkeit mit geltendem EU-Recht und warnen vor dystopischen Verhältnissen.

Die sächsische Polizei soll Bilder im Internet biometrisch auswerten dürfen – zumindest wenn es nach dem Willen der sächsischen Regierung geht. Und das ist lange nicht die einzige massive Befugniserweiterung der Polizei, die die Regierung plant. Auch Verhaltensscanner, verdeckte Kennzeichenerkennung und eine automatisierte Datenanalyse sollen kommen. Lediglich bei zwei problematischen Plänen machte das Innenministerium einen Rückzieher. Unter Zeitdruck muss nun der sächsische Landtag entscheiden.

Geringfügige Änderungen für eine „rechtsstaatlich sehr hohe Qualität“

Am Dienstag beschloss das Kabinett den Gesetzentwurf für das Sächsische Polizeivollzugsdienstgesetz (SächsPVDG). Dieser fällt in Teilen weniger scharf aus als die ursprünglich geplante Novelle. Wenn man den sächsischen Innenminister Armin Schuster (CDU) fragt, sogar ein gutes Stück zurückhaltender. Sein Referentenentwurf aus dem Herbst war auf viel Kritik gestoßen, auch die mitregierende SPD kritisierte einige der geplanten Befugniserweiterungen.

Im Vergleich dazu enthielten die neuen Pläne „sehr viele grundrechtssichernde Bestimmungen“, so Schuster. Er verweist auf Richtervorbehalte, Lösch- und Berichtspflichten. „Für Polizisten ist dieses Gesetz eine Herausforde­rung“, sagte der Innenminister auf einer Pressekonferenz am Dienstag nach der Kabinettssitzung. Der Entwurf habe nun eine „rechtsstaat­lich sehr hohe Qualität“, betonte er.

Tatsächlich gibt es bei den meisten Bestimmungen des Entwurfs, wenn überhaupt, geringfügige Änderun­gen und Konkretisierungen. So ist der präventive Staatstrojaner-Einsatz zur Quellen-Telekommuni­kationsüberwachung nach wie vor enthalten, ebenso Verhaltensscanner, die gesetzlichen Grund­lagen für eine Datenanalyse-Plattform sowie der biometrische Abgleich von Gesichtern und Stim­men mit dem Internet.

Kein Palantir, keine Drohnen gegen Handy-Sünder:innen

Gestrichen wurde vor allem das Filmen in Autos, um Handy-Nutzer:innen am Steuer zu erwi­schen. Diese Vorschrift sollte laut dem ursprünglichen Entwurf sogar mit Drohnen umgesetzt wer­den.

Die sächsische Datenschutzbeauftragte Juliane Hundert hielt das für „offensichtlich verfas­sungswidrig“ und sprach von einer „auf der Hand liegenden Unverhältnismäßigkeit“. Ihrer Empfeh­lung nach einer ersatzlosen Streichung folgte die sächsische Regierung offenbar.

Außerdem setzte die SPD durch, dass Palantir keinen sächsischen Auftrag für eine polizeiliche Da­tenanalyse-Plattform bekommt. Der Verzicht wird vom sächsischen Innenminister bedauert: „Der Vorsprung der Firma Palantir ist mit Händen greifbar“, sagte Schuster. Man führe Gespräche mit anderen Anbietern. Laut Kostenplanung im Entwurf rechnet die Staatsregierung mit einer zentralen Bereitstellung durch den Bund, an der man sich dann finanziell beteiligt.

Das 3-Stufen-Modell der polizeilichen Datenanalyse

Weiterhin enthalten ist die Vorschrift, die ermöglichen soll, dass die Polizei eine Plattform zur automatisierten Datenanalyse nutzt. Inzwischen findet sich im Entwurf dafür ein 3-Stufen-Modell.

Auf der ersten Stufe steht ein einfacher Datenabgleich, bei dem jede:r Polizist:in personenbezogene Daten in den Beständen der Polizei Sachsen suchen kann. Ausgenommen sind Biometrie-Daten, personenbezogene Da­ten von Unbeteiligten aus der Vorgangsbearbeitung sowie Daten aus der Wohnraumüberwachung.

Auf der nächsten Stufe folgt die Befugnis, Daten zur Gewinnung neuer Erkenntnisse automatisiert zusammenzuführen und auszuwerten. Voraussetzung ist ein drohender erheblicher Angriff auf den Staat oder Leib, Leben oder Freiheit einer Person. Für drohende terroristische Straftaten liegt die Gefahrenschwelle niedriger. Anordnen dürfen diese Art der Datenanalyse nur hochrangige Polizist:innen, wie etwa die Präsidentin einer Polizeidi­rektion.

Polizeidaten fürs KI-Training – auch ohne Pseudonymisierung

Nur bei der dritten und letzten Stufe muss die Polizei eine richterliche Erlaubnis einholen. Diese Stufe umfasst den Einsatz von „selbstler­nender KI“ sowie die Bildung von Verhaltensprofilen.

Nach wie vor plant die Staatsregierung, der Polizei auch das Training und Testen von eigenen KI-Anwen­dungen mit echten Polizeidaten zu erlauben. Erlaubt ist außerdem die Weiter­gabe personenbezogener Daten an Drittanbieter, die mit der Polizei zusammenarbeiten.

Vorausset­zung dafür ist, dass die Anonymisierung und Pseudonymisierung sowie die Verarbeitung bei der Polizei „nur mit unverhältnismäßigen Aufwand möglich“ ist. Auch diese Vorschrift wurde, trotz Kritik von der SPD-Fraktion und der Opposition, im Vergleich zum letzten Entwurf aus dem Herbst kaum angepasst.

Gesichtersuche im Netz – im Einklang mit der KI-Verordnung?

Auch der „Klette-Paragraf“, wie ihn Armin Schuster nennt, hat im Gesetzesentwurf weiterhin Bestand. Die RAF-Terro­ristin Daniela Klette war bis zu ihrer Festnahme 2024 mehrere Jahrzehnte untergetaucht. Den­noch fanden zwei Journalisten im Dezember 2023 Hinweise auf Klettes Aufenthaltsort über die Ge­sichtersuchmaschine PimEyes. „Diese Blamage darf so nie wieder passieren“, betonte Schuster in der Pressekonferenz.

Dieser biometrische Abgleich von Gesichtern und Stimmen mit Internetdaten wurde trotz viel Kritik kaum angepasst. Die Polizei soll nun lediglich nach Opfern und potenziellen Täter:innen suchen dürfen.

Doch es gibt Zweifel, ob die von Innenminister Armin Schuster als „Klette-Paragraf“ bezeichnete Vorschrift grundsätzlich mit der KI-Verordung der EU in Einklang zu bringen ist.

Laut einem Gutachten von AlgorithmWatch ist es technisch nicht umsetzbar, frei verfügbare Bilder aus dem Internet für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank die­ser Bilder zu erstellen. Das verbietet die KI-Verordnung.

Das sächsische Innenministerium rechtfertigt die Pläne auf Anfrage von netzpolitik.org damit, dass das Gutachten auf die Erstellung einer anlassunabhängigen Datenbank abziele, das vorgeschlagene Gesetz aber „auf den anlassbezogenen Auftragsbereich der Gefahrenabwehr“ fokussiere.

Das Innenministerium schreibt weiter:

Zu OSINT-Recherchen werden sowohl Sachbearbeiter als auch Tools eingesetzt, die sich der grundsätzlichen Datenbankstruktur des Internets bedienen und keine polizeieigene Datenbank für alle Informationen des Internets erstellen. Die Methodik hält sich an die von den Informationsan­bietern gesetzten Grenzen. OSINT-Recherchen sind für einen anlassbe­zogenen Lichtbildvergleich mit Bildern aus dem Internet rechtmäßig unter Wahrung der DSGVO sowie europäischen Datenschutzrichtlinien.

Tatsächlich aber ist es laut KI-Verordnung unerheblich, ob die Polizei selbst eine anlassunabhängige Datenbank mit allen Bildern erstellt oder eine von Drittanbietern nutzt. Konkret verbietet die Verordnung in Ar­tikel 5 (1e) „das Inverkehrbringen, die Inbetriebnahme […] oder die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“.

Videoüberwachung mit Mustererkennung

Auch Verhaltensscanner und Gesichtserkennung in der Videoüberwachung sind weiterhin vorge­sehen. Die Verhaltensscanner sollen Beamt:innen alarmieren, wenn die Software auf den Kamerabildern Bewegungsmuster erkennt, die auf Waffen, gefährliche Gegenstände oder die Begehung einer Straftat hindeuten. Die Beamt:innen sollen dann überprüfen, ob die Software zurecht angeschlagen hat. Sie können daraufhin auch eine auto­matisierte Nachverfolgung des vermeintlich gefährlichen Menschen durch die verschiedenen Kame­ras in die Wege leiten.

Diese Form der Überwachung soll prinzipiell nicht nur an allen Kriminalitätsschwerpunkten möglich sein, sondern etwa auch in Straßenbahnen und Bus­sen, wenn die Polizei annimmt, dass dort künftig Straftaten begangen werden.

Obwohl die SPD-Fraktion sich explizit gegen diese Vorschrift aussprach, ist auch die Möglichkeit eines Live-Gesichtsscans im Gesetzentwurf enthalten. Eingeschränkt wurde hier nur die Menge an Menschen, nach denen die Po­lizei suchen darf, nämlich nach Terrorverdächtigen sowie vermissten Menschen und Opfern von Entführungen und Menschenhandel.

Diese „Echtzeit-biometrische Fernidentifizierung“ muss von Richter:innen angeordnet werden, die auch Umfang und Dauer der Maßnahme absegnen müssen. Obwohl also prinzipiell alle gescannt werden, die durch das Kamerabild laufen, soll die Software nur nach einzelnen Menschen suchen.

Völlig unverändert: Staatstrojaner, Kennzeichenscan und Bodycams

Bei anderen Befugniserweiterungen hat sich nichts verändert.

Der Bodycam-Einsatz in Wohnungen soll weiterhin erlaubt werden. Auch der Einsatz von Staats­trojanern zur Gefahrenabwehr im Rahmen der Quellen-TKÜ soll möglich sein. Der Innenminister wollte zudem die verdeckte Online-Durchsuchung von Computern einführen, hat das aber nicht „durchgekriegt“, wie er bei der Presse­konferenz freimütig zugab. Auch die CDU-Fraktion macht Druck.

Nach wie vor ist das verdeckte automatisierte Scannen von Auto-Kennzeichen geplant. Diese Überwachungsmaßnahme soll in grenznahen Regionen erfolgen. Das Innenministerium begründet die Maßnahme explizit mit der Su­che nach Autodieben und gestohlenen Fahrzeugen. Der verdeckte Scan ist bis zu 30 Kilometer vor der Grenze zu Tschechien oder Polen erlaubt. Das entspricht etwa der Hälfte der Fläche Sach­sens.

Bei den Tasern gibt es einen Kompromiss. SPD- und BSW-Fraktion plädierten auf eine gestaffelte Einführung. Die Staatsregierung schafft nun zwar die Rechts­grundlage, um alle Polizist:innen damit auszustatten. Über die nächsten drei Jahre sollen allerdings nur 120 Stück angeschafft werden. Außerdem ist eine verpflichtende Evaluation im Jahr 2029 vorgesehen.

Minority Report und chinesische Verhältnisse

Auch wenn die Minderheitskoalition den Entwurf im Vergleich zur vorherigen Version in Details verändert hat, bleibt es bei einer massiven Erweiterung der Polizeibefugnisse. Der Dresdener Chaos Computer Club (C3D2) kriti­siert das: „Die Landesregierung will klassische Mittel der Strafverfolgung auf Landesebene einfüh­ren und verschiebt damit die rechtliche Grenze der behördlichen Befugnisse: Gefahrenabwehr ist Sache des Landes, Strafverfolgung des Bundes.“ Als Beispiel nennen sie die Staatstrojaner, deren Einsatz bundesweit durch die Strafprozessordnung geregelt ist.

Der Verein erinnert in seiner Mitteilung an dystopische Welten wie „Minority Report“, in denen Predictive-Policing die Unschuldsvermutung ersetzt. „Sicherheitsbehörden bauen derzeit solche Systeme aus, ungeachtet der juristischen Grenzen und gesellschaftlichen Folgen für die Demokratie und individuelle Freiheiten.“

Der C3D2 warnt insbesondere vor der Einführung ei­ner Plattform zur automatischen Datenanalyse. Diese sei „moderne Rasterfahndung mit Vorhersage­funktion“, so die Sprecherin weiter. „Ob es Palantir wird oder eine andere vergleichbare Lösung, ist letztendlich egal. Solche Systeme funktionieren in der Regel nur, wenn sie an möglichst viele Sensoren und Datenbanken an­geschlossen sind“, heißt es in der Mitteilung. Die Einführung einer solchen Software öffne die Büchse der Pandora.

„Der Chaos Computer Club sieht die Novelle des Sächsischen Polizeigesetzes als einen erneuten Angriff auf die informationelle Selbstbestimmung, die rechtsstaatlich gebotene Gewaltenteilung sowie als Gefahr für eine offene und demokratische Gesellschaft.“

Aus dem Landtag kommt die schärfste Reaktion von der Fraktion Bündnis 90/Die Grünen: „Der massive Einsatz von KI zu Überwachungszwecken, die intelligente Videoüberwachung und die Möglichkeit des Daten­abgriffs aus dem Internet sind keine Lappalien, sondern schwerwiegende Eingriffe in die Bürger­rechte aller Menschen in Sachsen“, sagte der innenpolitische Sprecher der Grünen-Fraktion, Va­lentin Lippmann. Er wiederholte seine Kritik aus dem Herbst, wonach sich der Entwurf eher an chinesischen Überwachungsfantasien orientiere als an dem Grundgesetz.

Grüne und Linke scheiden als Mehrheitsbeschaffer aus

Die Linksfraktion äußerte sich in einer ersten Mitteilung zurückhaltender und verwies darauf, den aktuellen Entwurf noch nicht zu kennen. In der Vergangenheit hatte auch sie die geplanten Befugnisse für die automatisierte Datenanalyse, verdeckte Kennzeichenerkennung und biometrische Suche im Internet zurückgewiesen.

Aufgrund der Mehrheitsverhältnisse im Landtag und die klare Ablehnung der Grünen ist die Positi­on der Linken für die Staatsregierung aber nicht entscheidend. Der schwarz-roten Minder­heitskoalition fehlen zehn Stimmen. AfD (40) und Bündnis Sahra Wagenknecht (15) können den Entwurf durch ihre alleinige Zustimmung über die Ziellinie bringen, Grüne (7) und Linke (6) müssten hingegen gemeinsam mit der Minderheitskoalition votieren.

AfD nicht konstruktiv, BSW sieht noch Änderungsbedarf

Eine Zusammenarbeit mit der AfD haben CDU und SPD in ihrem Koalitionsvertrag ausgeschlossen. Die AfD hat keine Stellungnahme im Konsultationsprozess abgegeben. Als einzig verbleibende Option bleibt der Koalition damit das BSW.

Dessen innenpolitischer Sprecher Bernd Rudolph kündigte Anpassungen im parlamentarischen Ver­fahren an. Besonders bei den Themen automatisierte Datenanalyse, Training von KI-Systemen mit Polizeidaten und Tasern sieht die BSW-Fraktion noch Änderungsbedarf. „Der vorliegende Gesetz-Entwurf enthält sinnvolle Modernisierungen, aber auch gefährliche Überdehnungen.“ Man wolle ein Polizeigesetz, das wirksam schützt, aber nicht überwacht.

Die Uhr tickt

Viel Zeit für Änderungen im Parlament bleibt indes nicht mehr. Wegen eines Urteils des Verfassungsge­richtshofs laufen einige Polizeibefugnisse aus dem aktuellen sächsischen Polizeigesetz bald aus. Grüne und Linke hatten gegen das Gesetz geklagt, der sächsische Verfassungsgerichtshof gab ihnen in Teilen recht und setzte für manche Polizeibefugnisse eine Frist: Bis zum 30. Juni braucht es eine neue Regelung, sonst laufen sie aus.

Den Fraktionen verbleiben damit noch gut vier Monate für den ge­samten parlamentarischen Prozess.

Grüne und Linke kritisie­ren die Regierung für den engen Zeitplan. Selbst Innenminister Schuster räumt ein, dass der Land­tag „jetzt nicht komfortabel“, aber ausreichend Zeit habe. Man habe das durchgerechnet, versicherte Schuster.

Geplant ist, das Gesetz am 24. Juni im Plenum zu beschließen. Damit das alles zeitlich klappt, wurde eine Sondersitzung des Innenausschusses angesetzt. Bereits am 27. März steht die Sachver­ständigenanhörung im Landtag an.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Während die Bundesregierung behördenübergreifend eine lebenslang gültige Personenkennzahl einführen will, geht das Nachbarland Österreich einen anderen Weg. Warum dieser mehr Datenschutz verspricht, ohne die Verwaltungsdigitalisierung zu behindern, erläutert die österreichische Juristin Heidi Scheichenbauer im Gespräch.

Seit Jahren wird in Deutschland über die sogenannte steuerliche Identifikationsnummer diskutiert. Die Steuer-ID soll es Behörden erleichtern, untereinander Daten auszutauschen, indem sie als zentraler Bezugspunkt für unterschiedliche Register dient. Die ID ist lebenslang gültig, alle Bürger:innen erhalten sie vom Bundeszentralamt für Steuern bei Geburt.

Jurist:innen und Datenschützer:innen kritisieren eine solche Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteil des Bundesverfassungsgerichts als verfassungswidrig. Bei der Einführung der Steuer-ID im Jahr 2007 wurden Bedenken von Datenschützer:innen als „konstruierter Erregungszustand“ weggewischt, nur um dann 13 Jahre später genau das zu tun, wovor diese gewarnt hatten. Damals plante die Große Koalition unter Angela Merkel (CDU), die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Die Ampelkoalitionäre folgten trotz früherer Kritik diesem Konzept und auch die schwarz-rote Bundesregierung hält an diesem Plan fest.

Österreich hat bereits vor einigen Jahren einen anderen Weg eingeschlagen und das bereichsspezifische Personenkennzeichen (bPK) eingeführt. Sie ist eine Art Einweg-Kennzeichen, das für unterschiedliche Verwaltungsbehörden angepasst wird. Die bPK verspricht so einen höheren Datenschutz und steuerbare Hürden gegen behördenübergreifende Profilbildung – ohne eine effektive Verwaltungsdigitalisierung zu behindern.

Wir haben mit Heidi Scheichenbauer über das bereichsspezifische Personenkennzeichen gesprochen. Sie ist Senior Researcher und Senior Consultant am Research Institute – Digital Human Rights Center. Als Juristin forscht und lehrt sie zu künstlicher Intelligenz in der Verwaltung, Datenschutz im Non-Profit-Sektor und Plattformregulierung.

„Best-Practice-Beispiel“ aus Österreich

netzpolitik.org: In Deutschland geht es in der Debatte um Verwaltungsmodernisierung viel darum, Datensilos aufzubrechen. Österreich will diese möglichst aufrechterhalten. Warum ist das so?

Heidi Scheichenbauer: Tatsächlich haben wir in Österreich ein Best-Practice-Beispiel dafür, wie sich Daten in der Verwaltung datenschutzoptimiert verarbeiten lassen. Wir bauen eine digitale Verwaltung auf und verhindern zugleich den sprichwörtlichen „gläsernen Bürger“.

Bevor die Bundesregierung ein bundesweit einheitliches Personenkernzeichen einführt, sollte sie einen Blick auf ihr kleines Nachbarland werfen. Unsere Erfahrungen zeigen, dass Privacy by Design auch in diesem Bereich möglich ist.

netzpolitik.org: Wie kam es dazu?

Heidi Scheichenbauer: Im Jahr 2001 gab es in Österreich eine Volkszählung. Damals wurden sehr viele Daten über die Bevölkerung gesammelt und das erste Mal ein zentrales Melderegister auf Bundesebene eingerichtet.

Dieses Zentrale Melderegister (ZMR) enthielt eine Vielzahl an personenbezogenen Daten. Darunter den Namen, das Geschlecht, das Geburtsdatum, die Staatsangehörigkeit. Das allein ist datenschutzrechtlich schon sehr kritisch. Und dann vergab das ZMR allen Bürger:innen auch noch einen bundesweiten Identifikator, die sogenannte Stammzahl. Viele fürchteten damals, dass damit der gläserne Bürger geschaffen wird.

Man hat sich daher einen Weg überlegt, wie man dieses Datenschutzthema adressieren kann – und schuf die bereichsspezifischen Personenkennzeichen, kurz: bPK. Diese Personenkennzeichen beruhen auf der Stammzahl, sind aber für jeden Verwaltungsbereich anders.

Also hat eine Bürgerin zum Beispiel beim Finanzamt ein eigenes bPK, für die Sozialversicherung ist es ein anderes. Und die eine Behörde kann mit dem Kennzeichen, das ihr vorliegt, keine sinnvollen Anfragen bei einer anderen Behörde stellen.

Eine Nummer, sie alle zu finden

Eine heikle Sache

netzpolitik.org: Eine bemerkenswerte Wende. Normalerweise wecken viele Daten auch viele Begehrlichkeiten.

Heidi Scheichenbauer: Es gab damals ein Bewusstsein dafür, dass die Daten im Zentralen Melderegister und die Verwendung eines einheitlichen Identifikators eine heikle Sache sind.

Bei der Einführung hagelte es daher Kritik an den geplanten Neuerungen. Bemängelt wurde unter anderem die mögliche Verknüpfung der vorliegenden Daten mit dem „Ursprungskennzeichen“, also der ZMR-Zahl. Denn damit ist eine behördenübergreifende Identifizierung einer bestimmten Person möglich.

Weiters wurde vorgebracht, dass das Kennzeichen eine Verknüpfung mit anderen individuellen Datensätzen ermögliche, beispielsweise aus der Einkommens- oder Volkszählungsstatistik.

Daten können – das zeigt auch der österreichische Postdatenskandal – sehr viel über das eigene Leben preisgeben, vom Wohnsitz bis zur vermuteten politischen Einstellung. Und dann wird auch klar, wie sehr man mit diesen Daten Menschen diskriminieren und manipulieren kann.

Ein Einweg-Kennzeichen für die Verwaltung

netzpolitik.org: Wie wird das bereichsspezifische Personenkennzeichen erzeugt?

Heidi Scheichenbauer: Es beruht auf der ZMR-Zahl, die im Zentralen Melderegister alle gemeldeten Personen erhalten. Aus ihr wird mit Hilfe eines Verschlüsselungsverfahrens die individuelle Stammzahl abgeleitet. Aus dieser Stammzahl wird dann für die jeweiligen Verwaltungsbereiche einzelne Ableitungen erzeugt.

netzpolitik.org: Erhält jede Behörde automatisch eine bPK für jede:n Bürger:in?

Heidi Scheichenbauer: Nein, nicht automatisch. Teilweise müssen die Behörden dafür zunächst bei der Stammzahlenregisterbehörde einen Antrag stellen, manchmal sogar ganz klassisch per Online-Formular. Bei dem Vorgang müssen Beamt:innen angeben, in welchem Verwaltungsbereich sie tätig sind. Es gibt aktuell rund 30 Tätigkeitsbereiche.

netzpolitik.org: Es gibt also für jede:n Bürger:in je nach Verwaltungsbereich individuelle Einwegskennzahlen. Das klingt recht aufwendig. Hat sich das im Alltag bewährt?

Heidi Scheichenbauer: Auf jeden Fall. Denn die Behörden können so nicht ohne weiteres behördenübergreifende Verarbeitungstätigkeiten vornehmen und damit auch kein Profiling betreiben.

Dafür sorgt auch eine Bereichsabgrenzungsverordnung, die unterschiedliche Verwaltungsbereiche voneinander trennt. Auch dem ging eine politische Diskussion voraus: Was gehört alles zu Steuern und Abgaben, was zu anderen Bereichen.

Auch diese Trennung soll den gläsernen Bürger verhindern. Nicht nur rechtlich, sondern eben auch technisch.

Strikte Trennung innerhalb der Verwaltung

netzpolitik.org: Wie kann eine Behörde denn mit anderen Behörden Daten austauschen?

Heidi Scheichenbauer: Das kann sie auf dem Wege der Amtshilfe tun. Es gibt auch die Möglichkeit, verschlüsselte bereichsspezifische Personenkennzeichen zu beziehen und dann so zu kommunizieren. Aber grundsätzlich ist das gesetzlich sehr strikt getrennt.

Das österreichische E-Government-Gesetz schreibt vor, dass zusammengehörige Lebenssachverhalte in ein und demselben Bereich zusammengefasst werden und dass miteinander unvereinbare Datenverarbeitungen innerhalb desselben Bereichs nicht vorgesehen sind.

netzpolitik.org: In der deutschen Debatte gibt es hingegen das Bestreben, Daten zusammenzuführen, weil die Verwaltung dann angeblich effizienter arbeiten könne. Gibt es eine ähnliche Debatte in Österreich?

Heidi Scheichenbauer: Auf der politischen Ebene haben wir aktuell keine Diskussion dahingehend, dass das bPK-System infrage gestellt wird. Es hat sich gut eingespielt und auch bewährt. In den vergangenen Jahren gab es auch keine politischen Bestrebungen, das System zu verändern. Auch Datenpannen oder Missbrauchsfälle gab es nicht. Zumindest keine, die öffentlich bekannt wurden.

Eine hundertprozentige Sicherheit gibt es, wie so oft im Leben, nicht. Die Privacy-by-Design-Maßnahmen verhindern hier aber tatsächlich sehr effektiv einen ansonsten prinzipiell möglichen Missbrauch.

netzpolitik.org: In Deutschland gilt die Devise, die Daten in einen großen Pool zu geben und den Behördenzugriff rechtlich zu regulieren. Ist das österreichische Modell aus deiner Sicht sicherer?

Heidi Scheichenbauer: Das ist ohne Zweifel sicherer, weil die meisten Risiken für die betroffenen Personen schon in der technischen Gestaltung signifikant gemindert werden. Es werden nämlich kryptografische Verfahren angewendet, die nicht umkehrbar sind. Von bPKs kann somit nicht mehr auf die Stammzahl zurückgerechnet werden. Das ist mathematisch schlicht nicht möglich.

Und auch organisatorisch ist das Zentrale Melderegister ein Ort, der sehr gut abgesichert ist, wie ich auch aus persönlicher Erfahrung weiß. Ich hatte vor vielen Jahren aus beruflichen Gründen einen Termin bei einem Dienstleister der Stammzahlenregisterbehörde. Damals machte ich die Erfahrung, dass man in das betreffende Gebäude nur sehr schwer hineinkommt.

Digitale Identitäten und künstliche Intelligenz

netzpolitik.org: In Österreich gibt es seit einigen Jahren die ID Austria. Zum Ende dieses Jahres soll in allen EU-Mitgliedstaaten die ID-Wallet starten. Welche Auswirkungen hat das auf die bPK?

Heidi Scheichenbauer: Die ID Austria ist ein digitaler Identitätsnachweis. Ich kann mich damit also gegenüber dem Finanzamt und dem Wohnungsamt ausweisen. Dadurch könnten theoretisch behördenübergreifende Profile erstellt werden. Doch es gibt Schutzmaßnahmen, die das verhindern sollen.

So müssen personenbezogene Daten pseudonymisiert und innerhalb bestimmter Fristen gelöscht werden. Die Daten dürfen außerdem, soweit es notwendig ist, nur von bestimmten Stellen verarbeitet oder übermittelt werden. Und sie unterliegen strengen Zugriffsrechten. Im Gegensatz zu den geplanten ID-Wallets der EU sieht die ID Austria gesetzlich sowohl gegenüber Behörden als auch privaten Einrichtungen einen strengen Akkreditierungsprozess unter anderem zur Sicherstellung der Datenminimierung, also des „minimal data set“ bei jeder Anwendung vor. An dem bestehenden System der bPK rüttelt die ID Austria also nicht.

netzpolitik.org: Der Einsatz von sogenannter Künstlicher Intelligenz wird mit Blick auf Verwaltungsdaten ebenfalls diskutiert. Gerade in der Sozialverwaltung gibt es Bestrebungen, Sprachmodelle mit den dort hinterlegten Daten zu trainieren. Gibt es ähnliche Debatten auch in Österreich?

Heidi Scheichenbauer: Durchaus und meist gilt das Datenschutzrecht dann als böse, weil es derartiges verhindere. Die österreichischen Verwaltungseinrichtungen äußern ihren Unmut vor allem über den Datenschutz, als dass sie nach Lösungen suchen. Dabei könnten sie etwa darüber nachdenken, wie KI-Training mit anonymen Daten möglich wäre. Das ist alles aber auch noch sehr im Fluss.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Benachteiligt die Telekom kleinere Anbieter durch ihre Marktmacht? Darüber wacht die Bundesnetzagentur in ganz Deutschland. In vier Städten will die Behörde aber künftig die Regeln lockern. Wettbewerber der Marktführerin warnen vor Deregulierung „zum völlig falschen Zeitpunkt“.

Wenn es um Breitbandanschlüsse in Deutschland geht, hat die Telekom die Nase vorn. Damit der ehemals staatliche Konzern seine besondere Stellung nicht missbraucht, hat die Bundesnetzagentur ein kritisches Auge auf dessen Geschäfte. Nun will die Aufsichtsbehörde in vier deutschen Städten erstmals nicht mehr so genau hinschauen – weil sie dafür keinen Bedarf mehr sieht.

In München, Köln, Ingolstadt und Wolfsburg soll die Marktführerin Telekom Deutschland künftig nicht mehr strenger Vorab-Regulierung unterliegen. Das hat die Bundesnetzagentur heute bekanntgegeben. Als Grund nannte die Bonner Behörde die vorläufigen Ergebnisse einer Marktanalyse zum Breitband-Massenmarkt. Demnach gebe es in den vier Städten ausreichend Wettbewerb. Entsprechend bestehe „nach unseren vorläufigen Erkenntnissen zukünftig kein Bedarf an Vorab-Regulierung mehr“, sagt Klaus Müller, Präsident der Bundesnetzagentur.

Die Entscheidung der Behörde markiert eine wichtige Wende. Seit den 1990er-Jahren setzt Europa grundsätzlich auf sogenannten Infrastruktur-Wettbewerb. Um die Dominanz der damals zumindest teil-privatisierten Ex-Monopolisten einzuschränken, müssen sich Unternehmen wie die Telekom an scharfe Auflagen halten. Unter anderem müssen sie Konkurrenten den regulierten Zugang zu ihren Netzen erlauben. Diese asymmetrischen Auflagen sollen in den vier deutschen Städten erstmals entfallen.

Dort ist nach Ansicht der Bundesnetzagentur der Marktanteil der Ex-Monopolistin inzwischen zu gering, um die Vorab-Regulierung zu rechtfertigen. Die Gebiete seien „in hohem Maße von Kabel- und Glasfasernetzen abgedeckt, sodass die Verbraucherinnen und Verbraucher meistens zwischen drei verschiedenen Zugangsnetzen wählen können“, erklärt die Behörde.

Anders sei die Situation im Kreis Segeberg in Schleswig-Holstein. Zwar verfüge die Telekom auch dort nur noch über einen relativ niedrigen Marktanteil. Allerdings würden sich die Glasfaser- und Kabelnetze der alternativen Anbieter überwiegend auf kleine Gebiete beschränken. Deshalb könne man dort auf Vorab-Regulierung derzeit nicht verzichten.

Deregulierung „zum völlig falschen Zeitpunkt“

Um das richtige Maß an Regulierung des Telekommunikationssektors ringen die EU und ihre Mitgliedstaaten seit geraumer Zeit. Manche Länder, Österreich beispielsweise, haben in den vergangenen Jahren damit begonnen, entsprechende Regeln punktuell auszusetzen. Auch im derzeit verhandelten Digital Networks Act spielt das Thema eine zentrale Rolle.

Einerseits will die EU-Kommission von Vorab-Regulierung nur dann abrücken, wenn kein Marktversagen feststellbar ist. Andererseits will sie Regulierungsbehörden die Verfügung symmetrischer Auflagen einfacher machen, sofern bestimmte Bedingungen gegeben sind. In solchen Fällen werden alle Marktteilnehmer regulatorisch gleich behandelt.

Die Ansage aus Bonn stößt bei den Wettbewerbern der Telekom auf Kritik. „Die von der Bundesnetzagentur skizzierte teilweise Entlassung der Telekom aus der Regulierung kommt zum völlig falschen Zeitpunkt“, sagt Sven Knapp vom Bundesverband Breitbandkommunikation (BREKO). In einer Phase, in der die Telekom so aggressiv auftrete wie nie zuvor, würde eine Deregulierung die Marktmacht des Ex-Monopolisten weiter stärken, Investitionssicherheit gefährden und den Glasfaserausbau spürbar ausbremsen, warnt Knapp.

Die Liste der Beschwerden des Verbands ist lang, von wirksamem Wettbewerb könne keine Rede sein. Die Telekom verfolgt BREKO zufolge eine „Re-Monopolisierungsstrategie“, um den Markt weiterhin dominieren zu können. Auch die Methodik der Marktanalyse überzeugt den Verband nicht. „Zwei alternative Netze mit jeweils 60 Prozent Abdeckung bedeuten noch keinen funktionierenden Wettbewerb. Dafür bräuchte es belastbare Marktanteile im Endkunden- und vor allem im Vorleistungsmarkt.“

Dammbruch befürchtet

Ins selbe Horn stößt der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten (VATM). „Dass die Bundesnetzagentur mit ihren Eckpunkten nun einen neuen Weg skizziert – weg von einer bundesweit einheitlichen Regulierung hin zu einer stärker regionalisierten Betrachtung –, ist ein weitreichender Paradigmenwechsel“, sagt VATM-Geschäftsführer Frederic Ufer. Dies dürfe nicht zu einem bundesweiten Dammbruch führen, der dem Wettbewerb massiv schaden würde.

Unter Dach und Fach sind die von der Bundesnetzagentur vorgeschlagenen Maßnahmen noch nicht. Das finale Eckpunktepapier will sie erst am 16. März präsentieren und im Anschluss mit Marktteilnehmern diskutieren. Ob und inwieweit die Regulierungsbehörde von ihren vorläufigen Ergebnissen sowie Regulierungsvorschlägen abrücken wird, bleibt vorerst offen.

Ein großflächiger Regulierungsabbau steht aktuell jedenfalls nicht bevor: Abgesehen von den vier Städten gebe es in Deutschland nach wie vor keinen wirksamen Wettbewerb, betont die Regulierungsbehörde. „Diesen Teilmarkt sieht die Bundesnetzagentur weiterhin als regulierungsbedürftig an, sodass das marktbeherrschende Unternehmen verpflichtet bleibt, sein Netz auch für andere Anbieter zu öffnen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit der finnischen EU-Abgeordneten Aura Salla soll eine ehemalige Meta-Lobbyistin maßgeblich am geplanten digitalen Regulierungsabbau in der EU mitwirken. Nun fordern mehrere Nichtregierungsorganisationen ihre Abberufung als Chef-Verhandlerin des EU-Parlaments.

Die finnische EU-Abgeordnete Aura Salla ist in Brüssel bestens vernetzt. Vor ihrer Zeit im EU-Parlament war die konservative Politikerin dort Chef-Lobbyistin von Meta. Davor hatte Salla diverse Positionen in der EU-Kommission bekleidet, unter anderem war sie im Kabinett des damaligen Vize-Präsidenten Jyrki Katainen tätig.

Von der Politik in die Privatwirtschaft und wieder zurück: Das als „Revolving Door“ bekannte Phänomen sorgt immer wieder für Probleme, da es schnell zu Interessenskonflikten führt. Zumindest auf dem Papier ist die EU dagegen gewappnet: Ein detailliertes Regelwerk soll verhindern, dass Beamt:innen nahtlos von einer Rolle in die nächste schlüpfen und dabei etwa Kontakte und Wissen mitnehmen, das sie im neuen Job eigentlich nicht haben sollten.

Für Aura Salla könnte es deshalb nun eng werden. Eine Reihe zivilgesellschaftlicher Organisationen, darunter Corporate Europe Observatory (CEO), LobbyControl und Transparency International EU fordern in einem heute veröffentlichten offenen Brief an den Industrieausschuss (ITRE) im EU-Parlament, Salla von ihrer Rolle als Berichterstatterin für den sogenannten Digitalen Omnibus abzuberufen.

Unter diesem Begriff verhandelt die EU derzeit ein Gesetzespaket, mit dem die Digitalregulierung überarbeitet und entschlackt werden soll. Ziel sind vereinfachte Regeln, um die Wettbewerbsfähigkeit Europas zu verbessern. Kritiker:innen weisen darauf hin, dass mit dem Regulierungsabbau unter anderem das Datenschutzniveau empfindlich abgesenkt würde. Als eine der Berichterstatterinnen – und damit Verhandlungsführerinnen – des EU-Parlaments hätte Aura Salla dabei viel Einfluss auf das fertige Gesetz.

Ehemalige Meta-Lobbyistin mischt kräftig mit

„Die Ernennung einer ehemaligen Big-Tech-Lobbyistin, um Digitalgesetze zu überarbeiten und zu schwächen, wirft schwerwiegende Fragen hinsichtlich unzulässiger Einflussnahme auf den Gesetzgebungsprozess auf“, so die NGOs in ihrem Schreiben. Gerade Meta, zu dem Facebook, Instagram und WhatsApp gehören, steht bekanntlich mit Vorgaben wie jenen zum Datenschutz auf Kriegsfuß. Rund 2,5 Milliarden Euro an Geldbußen wurden dem Datenkonzern wegen wiederholter Vergehen in der EU auferlegt.

„Das Unternehmen hat ein starkes Interesse daran, die Datenschutz-Grundverordnung (DSGVO) durch den Digitalen Omnibus zu schwächen, und kann seine engen Verbindungen zu Frau Salla nutzen, um dies zu erreichen“, warnen die NGOs. Tatsächlich habe sich Salla als Abgeordnete bereits mehrfach mit ihrem ehemaligen Arbeitgeber getroffen, unter anderem bei einem Lobbytreffen im September 2024 und einem weiteren im Januar 2025.

Bereits jetzt lässt sich am Omnibus-Entwurf der Kommission der Einfluss der Wirtschaft ablesen, wie eine gemeinsame Analyse von CEO und LobbyControl im Januar ergeben hatte. Mit Industrieforderungen praktisch deckungsgleiche Vorschläge durchziehen den gesamten Entwurf, der in der Leseart der NGOs einen „beispiellosen Angriff auf digitale Rechte“ darstellt. Zudem lese sich der Vorschlag wie eine Wunschliste ausgerechnet US-amerikanischer Tech-Konzerne, anstatt europäische Unternehmen zu stärken.

Voll auf Deregulierungslinie

Ähnliche Positionen wie die Tech-Konzerne vertritt auch Aura Salla. Die zur konservativen EVP-Fraktion gehörende Politikerin warnte etwa vor einem „Regulierungs-Tsunami“, fürchtet Überregulierung durch Gesetze wie den Digital Services Act und möchte Tech-Konzernen erlauben, Verkehrs- und Metadaten ihrer Nutzer:innen möglichst ungehindert zum Trainieren ihrer KI-Systeme verwenden zu können.

Nach ihrer Bestellung zur Berichterstatterin zeigte Salla auf, in welche Richtung sie den Digitalen Omnibus lenken will: „Jahrelang konzentrierte sich die EU auf die Regulierung ihrer eigenen Unternehmen, während China und die USA in Wachstum und technologische Entwicklung investierten. Das endlose Klicken durch Cookie-Einstellungen und die sich überschneidenden und unklaren Regeln für Unternehmen haben das Internet nicht sicherer gemacht, sondern das Wachstum europäischer Unternehmen gebremst. Europäische Unternehmen müssen endlich Priorität haben“, schrieb sie in einer Pressemitteilung.

Zugleich sieht Salla die EU nicht notwendigerweise in der Verantwortung: „Big Tech sollte in ihren Heimatkontinenten reguliert werden“, sagte sie Ende 2024 dem Magazin Wired. In vielen Fällen wären das die USA, so Salla – ein Land, das traditionell reichlich wenig von Regulierung hält, erst recht unter Präsident Donald Trump und seinen Tech-Oligarchen wie Mark Zuckerberg im Schlepptau. Indes schlägt Salla „Maßnahmen wie Zölle, Datenpreismechanismen oder eine Digitalsteuer für Unternehmen außerhalb der EU“ vor. Diese Ansätze dürften jedoch kaum im Digitalen Omnibus verhandelt werden.

Halb verdeckte Interessenkonflikte

Ein ungünstiges Licht auf Salla werfe zudem ihre Tendenz, „wiederholt potenzielle Interessenkonflikte zu verschleiern“, kritisieren die NGOs. So hatte sie etwa nicht offengelegt, Anteile an Rüstungsbetrieben zu halten, obwohl diese Transparenz EU-Abgeordneten ausdrücklich vorgeschrieben ist. Erst Berichterstattung des Online-Mediums Follow the Money hat sie letztlich gezwungen, ihre Aktien zu verkaufen.

Auch als Omnibus-Berichterstatterin sieht Salla keine Interessenskonflikte. In ihrer offiziellen Erklärung hierzu – eine Pflicht für Berichterstatter:innen – hat sie im Februar die einschlägige Frage verneint. Aus Sicht der NGOs verstößt sie damit gegen die Transparenzregeln, die für Abgeordnete gelten.

Auf Anfrage weist Salla die Vorwürfe zurück. Ab ihrem Eintritt in den Mutterschutz im Februar 2023 habe sie nicht mehr für Meta gearbeitet und seit ihrem endgültigen Abschied im Mai 2023 auch kein Geld bekommen, sagt Salla zu netzpolitik.org:„Selbstverständlich habe ich seit meinem Ausscheiden keine Zahlungen mehr von dem Unternehmen erhalten“. Im Zusammenhang mit der Berichterstatterrolle „habe ich keine laufende berufliche Tätigkeit, keine finanziellen Interessen und keine persönlichen Interessen, die einen Interessenkonflikt darstellen könnten“, sagt Salla.

Als Berichterstatterin wolle sie dem europäischen öffentlichen Interesse dienen und die Wettbewerbsfähigkeit Europas stärken, so die Abgeordnete. „Ich habe meine Ansichten zur Notwendigkeit der technologischen Souveränität der EU, zur Beseitigung der Abhängigkeit von amerikanischen Technologiekonzernen und zur Förderung europäischer Alternativen stets deutlich zum Ausdruck gebracht“, sagt die Finnin.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Es ist das erste Signal des Rates im Ringen um den sogenannten Datenomnibus: In einem ersten Positionierungsentwurf stellen sich die Mitgliedstaaten gegen mehrere Vorschläge der EU-Kommission, die von Datenschutz-Expert:innen kritisiert worden waren. Wir veröffentlichen den Zwischenstand.

Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.

Industrieverbänden geht dieser nicht weit genug, zivilgesellschaftlichen Organisationen und Datenschützer:innen zu weit.

Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.

Keine Neudefinition personenbezogener Daten

Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.

Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.

Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.

Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.

Wo steht Deutschland?

Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.

Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch sind. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.

Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.

Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission wird demnächst neue Überwachungsansätze vorstellen und plant unter dem Deckmantel „rechtmäßiger Zugang“ einen weiteren Angriff auf die verschlüsselte Kommunikation. Europäische Digitalorganisationen machen dagegen jetzt mobil.

Der Dachverband europäischer Digitalorganisationen EDRi hat eine neue Kampagne zum Schutz von Verschlüsselung und privater Kommunikation gestartet. Hintergrund der Kampagne „Keep It Safe and Secure“ (KISS) ist, dass die verschlüsselte Kommunikation in der EU nicht nur durch die Chatkontrolle-Gesetzgebung unter Druck steht, sondern auch durch weitere Projekte.

Staatliche Akteure wie Polizeien und Geheimdienste begehren unter dem Deckmantel des Going-Dark-Narrativs Zugriff auf die Inhalte der Kommunikation. Außerdem beklagt EDRi, dass eine staatlich alimentierte Hacking-Industrie Menschen aus Aktivismus, Politik, Wirtschaft und Journalismus ins Visier nehme und die IT-Sicherheit aller Menschen gefährde.

Die EU hatte im letzten Jahr unter dem Schlagwort ProtectEU einen Fahrplan zum Ausbau der Überwachung vorgestellt. Die Angriffe auf die Verschlüsselung verstecken sich hinter der Formulierung „Rechtmäßiger Zugang zu Daten für Strafverfolgung“. Die Pläne sehen neben einem Angriff auf Verschlüsselung auch den Ausbau der Vorratsdatenspeicherung vor. Die EU-Kommission will noch im ersten Quartal eine Folgenabschätzung dazu veröffentlichen.

Schwachstellen und Hintertüren

Europol und andere Strafverfolgungsbehörden, so heißt es in der Kampagne, drängten unter anderem darauf, Hacking-Methoden zu legalisieren, welche die Verschlüsselung schwächen. Diese Methoden sind immer damit verbunden, Schwachstellen und Hintertüren in Hard- und Software einzubauen oder auszunutzen.

Zu den Methoden gehören wie bei der Chatkontrolle ursprünglich geplant das Client-Side-Scanning, bei dem Inhalte wie Texte, Bilder oder Videos auf einem Gerät oder in einem Kommunikationskanal schon vor der Verschlüsselung gescannt werden. Weitere Ansätze sind unsichere Verschlüsselungsmethoden, bei denen nicht nur die Kommunizierenden Schlüssel haben, sondern Behörden „Nachschlüssel“ zum Entschlüsseln der Kommunikation besitzen. Ein weiterer Ansatz sind Systeme, bei denen Behörden als unsichtbarer „Geist“ an verschlüsselter Kommunikation teilnehmen und die Kommunikation so mitlesen können.

Schutz von Verschlüsselung gefordert

In einer Petition fordern EDRi und die Bündnispartner der Kampagne von den EU-Abgeordneten Schutz von Verschlüsselung und ein Verbot von Staatstrojanern. Die massive Mobilisierung im Rahmen Chatkontrolle sei ein klares Zeichen dafür gewesen, dass den Menschen Verschlüsselung wichtig ist. „Wenn wir die Verschlüsselung verlieren, verlieren wir auch das Vertrauen in alles, was wir online tun, und gefährden damit die Sicherheit unserer demokratischen Gesellschaft, unserer Wirtschaft und unserer Menschenrechte“, heißt es weiter.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.