In Mecklenburg-Vorpommern hat sich das LKA kommerzielle Handy-Standortdaten beschafft. In mehreren Bundesländern will sich die Polizei nicht zu Databroker-Deals äußern. Nach Recherchen von netzpolitik.org und Bayerischem Rundfunk verlangen Abgeordnete jetzt Transparenz.

In mindestens acht Bundesländern macht die Opposition Druck auf die Landesregierung und fordert Aufklärung über mögliche Databroker-Deals mit der Polizei. Der Anlass sind Recherchen von netzpolitik.org und Bayerischem Rundfunk.

Zunächst hatte das Landeskriminalamt Meckenburg-Vorpommern eingeräumt, sich Handy-Standortdaten der Werbe-Industrie beschafft zu haben. Mithilfe solcher Daten lassen sich detaillierte Bewegungsprofile von Nutzer*innen erstellen. Fachleute sehen dafür keine konkrete Rechtsgrundlage. Die Datenschutzbehörde von Mecklenburg-Vorpommern hat sich eingeschaltet.

In Brandenburg hat sich die Polizei Daten von beispielsweise Wirtschaftsauskunfteien besorgt. In neun weiteren Bundesländern wollte sich die Polizei nicht über mögliche Databroker-Deals äußern. Vielerorts hat sich deshalb die Opposition eingeschaltet.

Wenn Überwachungskapitalismus und Überwachungsstaat zusammenwachsen

So fordert die innenpolitische Sprecherin der SPD in Nordrhein-Westfalen, Christina Kampmann, die Regierung müsse „umgehend gegenüber dem Landtag offenlegen, ob die NRW-Sicherheitsbehörden solche Datensätze nutzen — und auf welcher rechtlichen Grundlage“. Der innenpolitische Sprecher der Grünen in Bayern, Florian Siekmann, sagt: „Ein Einkauf solcher in der Regel rechtswidrig verkaufter Daten auf dem Graumarkt wäre ein Skandal“.

Der innenpolitische Sprecher der Linksfraktion im Berliner Abgeordnetenhaus, Niklas Schrader, sagt: „Dass Berlin und andere Bundesländer keine Auskunft über den Einsatz solcher Daten geben, ist inakzeptabel und weckt Misstrauen.“

Auch in den Medien zieht die Recherche Kreise. Zahlreiche Zeitungen haben eine Meldung der Deutschen Presse-Agentur übernommen. Der Deutsche Journalistenverband (DJV) sieht Journalist*innen durch mögliches Standort-Tracking der Polizei in Gefahr. „Wo sich ein Reporter aufhält und welche Stationen er in den letzten Stunden angesteuert hat, geht die Polizei nichts an“, sagt Bundesvorsitzender Mika Beuster. Der DJV fordert, deutsche Polizeibehörden sollten „keine Standortdaten kommerzieller Databroker“ verwenden.

In welchen Bundesländern sind Databroker-Deals jetzt Thema? Wir haben uns bei demokratischen Oppositionsparteien erkundigt. Die Übersicht.

• Berlin: „Rechtsstaat darf sich keine Abkürzungen kaufen“
• NRW: Regulierung „bislang völlig unzureichend“
• Bayern: „Mauern lässt nichts Gutes ahnen“
• M‑V: „Erwarten vom Innenminister Aufklärung“
• Brandenburg: „Egal in welchen Fällen rechtswidrig“
• Hamburg: „Inakzeptabel“, dass LKA keine Auskunft gibt
• Baden-Württemberg: Parlamentarische Anfrage geplant
• Sachsen: „Keine Hintertüren, um Grundrechte zu umgehen“
• Niedersachsen, Thüringen, Saarland: Funkstille

Berlin: „Rechtsstaat darf sich keine Abkürzungen kaufen“

⚫️🔴 Das sagt die schwarz-rote Regierung: Nichts. Die Senatsverwaltung für Inneres und Sport verweist auf das LKA, das sich „aus Geheimschutzgründen“ nicht äußern will. Wir wissen nicht, ob die Berliner Polizei Datenhändler nutzt.

🟢 Das sagen die Grünen: „Die Vorwürfe sind zu gravierend, um sie unbeantwortet im Raum stehen zu lassen“, sagt Gollaleh Ahmadi, Sprecherin für Sicherheitspolitik und Datenschutz der Grünen im Berliner Abgeordnetenhaus und stellvertretende Vorsitzende des Innenausschusses. Vertrauen in Sicherheitsbehörden entstehe „durch Rechtsstaatlichkeit und Transparenz nicht durch Schweigen und Schwärzungen.“ Ahmadi fordert „vollständige Aufklärung“.

Sollten Behörden über kommerzielle Daten „Informationen erhalten, die sie auf regulärem Weg nicht erheben dürften“, sei das „nicht akzeptabel“, sagt die Abgeordnete. „Der Rechtsstaat darf sich keine Abkürzungen kaufen.“ Aus „gutem Grunde“ unterliege die Abfrage von Standortdaten strengen Voraussetzungen und einem Richtervorbehalt. „Wenn staatliche Behörden versuchen würden, diese Hürden durch den Kauf kommerziell gehandelter Daten zu umgehen, wäre das ein erheblicher Schlag für unseren Rechtsstaat.“

🟣 Das sagt die Linke: Es sei „inakzeptabel“ und wecke „Misstrauen“, dass Berlin und andere Bundesländer keine Auskunft über den Einsatz solcher Daten geben, sagt der Sprecher der Linken für für Innenpolitik, Niklas Schrader. Es sei „in höchstem Maße besorgniserregend“, dass sich Polizeibehörden offenbar ohne Rechtsgrundlage Daten von Databrokern beschaffen.

„Absolut widersinnig ist es, dass mit dieser Praxis durch den Staat ein Geschäft gefördert wird, welches die innere Sicherheit gefährdet“, sagt Schrader weiter. Die Fraktion wolle über eine parlamentarische Anfrage nachhaken. Zur Gefahr des Datenhandels für die nationale Sicherheit hatten netzpolitik.org und BR mehrere Recherchen veröffentlicht.

---

NRW: Regulierung „bislang völlig unzureichend“

⚫️🟢 Das sagt die schwarz-grüne Regierung: Nichts. Eine Presseanfrage an das Innenministerium blieb bis zur Frist unbeantwortet. Wir wissen nicht, ob die Polizei in Nordrhein-Westfalen Datenhändler nutzt.

🔴 Das sagt die SPD: „Der Handel mit Standortdaten, Bewegungsprofilen und anderen sensiblen Informationen birgt erhebliche Risiken für Grundrechte und Privatsphäre“, warnt Christina Kampmann, innenpolitische Sprecherin der SPD-Fraktion im Landtag von Nordrhein-Westfalen.

„Wenn staatliche Stellen solche Daten ankaufen, stärken sie einen Schattenmarkt, dessen Regulierung aus unserer Sicht bislang völlig unzureichend ist.“ Die Landesregierung müsse „offenlegen, ob die NRW-Sicherheitsbehörden solche Datensätze nutzen — und auf welcher rechtlichen Grundlage.“

🟡 Das sagt die FDP: „Sollten kommerziell gehandelte Daten ohne gesetzliche Grundlage rechtswidrig genutzt worden sein, wäre das ein erheblicher rechtsstaatlicher Vorgang, der von der Landesregierung nunmehr unverzüglich aufgeklärt werden muss“, sagt Marcel Hafke, Sprecher für Inneres der FPD-Fraktion in Nordrhein-Westfalen. Die FDP werde das Thema im Parlament aufgreifen.

Zwar würden Sicherheitsbehörden moderne Instrumente für Ermittlungen brauchen, so Hafke. „Aber sie dürfen sich keine Daten über den Umweg kommerzieller Datenhändler beschaffen, wenn ihnen der direkte Zugriff aus guten verfassungsrechtlichen Gründen gesetzlich verwehrt wäre.“

---

Bayern: „Mauern lässt nichts Gutes ahnen“

⚫️🟠 Das sagt die schwarz-orange Regierung: Nichts. Das Innenministerium verweist auf das LKA Bayern, das keine Auskunft erteilen will, um die „Arbeitsfähigkeit“ der Polizei nicht zu gefährden. Wir wissen nicht, ob die Polizei in Bayern Datenhändler nutzt.

🟢 Das sagen die Grünen: „CSU-Innenminister Hermann muss umgehend erklären, ob die Bayerische Polizei Standortdaten von Bürgerinnen eingekauft hat und zu welchem Zweck genau“, fordert Florian Siekmann, innenpolitischer Sprecher der Grünen im bayerischen Landtag. Aufklärung und Transparenz seien das Gebot der Stunde. „Das Mauern gegenüber der Presse und uns allen lässt nichts Gutes ahnen.“

Ein Einkauf sensibler Standortdaten auf dem „Graumarkt“ wäre ein „Skandal“, so Siekmann weiter. „Ich werde zur nächsten Plenarsitzung eine parlamentarische Anfrage an den Minister richten und erwarte eine eindeutige Antwort.“

🔴 Das sagt die SPD: „Wir sprechen mehr und mehr von Datensouveränität“, sagt Horst Arnold aus dem Rechtsausschuss des bayerischen Landtags, „und jetzt soll durch einen Kauf von Bewegungsprofilen offenbar egal von wem und zu welchem Preis die ganze Rechtsordnung ohne Kontrollmöglichkeit auf den Kopf gestellt werden. Das geht nicht.“

Auch Arnold wolle eine parlamentarische Anfrage stellen. Würde sie unbeantwortet bleiben, wäre das „nicht nur intransparent, sondern tatsächlich eine konkrete Kontrollverweigerung der Polizei gegenüber dem Gesetzgeber und damit auch demokratiewidrig.“

---

M‑V: „Erwarten vom Innenminister Aufklärung“

🔴🟣 Das sagt die rot-rote Regierung: Nachdem die Polizei in Mecklenburg-Vorpommern mitgeteilt hatte, sich Handy-Standortdaten beschafft zu haben, erklärt das Innenministerium: „Das LKA geht von einem rechtlich getragenen Vorgehen aus.“ Mehr will das Ministerium nicht sagen, solange die Datenschutzbehörde den Fall prüft.

🟢 Das sagen die Grünen: „Wir halten die Nutzung kommerzieller Standortdaten durch die Polizei für rechtswidrig“, sagt Constanze Oehlrich, Vorsitzende und innenpolitische Sprecherin der grünen Fraktion im Landtag. Es gebe hohe rechtliche Hürden für den Zugriff auf Standortdaten; sie dürften nicht durch Einkauf kommerzieller Daten umgangen werden. „Wir erwarten vom Innenminister Aufklärung über das Ausmaß dieser Praxis. Deshalb haben wir für die kommende Sitzung des Innenausschusses einen Bericht beantragt.“

Weiter schreibt Oehlrich: „Der Handel mit Standortdaten gefährdet die Privatsphäre und Sicherheit aller“. Der Rechtsstaat dürfe kein Kunde von Datenhändlern werden, die sich um Datenschutz nicht scheren. „Wenn der Staat Daten kauft, die ohne Wissen der Betroffenen gesammelt wurden, wird er selbst zum Komplizen fragwürdiger Datenhändler.“

⚫️ Das sagt die CDU: Nichts. Eine Presseanfrage blieb bis zur Frist unbeantwortet.

---

Brandenburg: „Egal in welchen Fällen rechtswidrig“

⚫️🔴 Das sagt die schwarz-rote Regierung: Das Innenministerium verweist auf die Polizei. Das LKA Brandenburg hatte zunächst vage eingeräumt, Databroker zu nutzen. Später stellte die Behörde klar, „bisher“ keine kommerziellen Standortdaten beschafft zu haben, sondern Daten von „kommerziellen Plattformen wie beispielsweise von Wirtschaftsauskunfteien“.

🟪 Das sagt das BSW: „Wir gehen davon aus, dass der Rückgriff auf Databroker durch die Polizei egal in welchen Fällen rechtswidrig ist“, sagt Niels-Olaf Lüders, Vorsitzender der BSW-Fraktion im Brandenburger Landtag. Es gebe dafür keine Ermächtigung im Polizeigesetz. „Innenminister Redmann ist hier aufgefordert, für Aufklärung und eine sofortige Beendigung dieser Praxis zu sorgen.“

Das BSW habe das Thema bei einer Sitzung im Ausschuss für Inneres und Kommunales ansprechen wollen; die Koalition habe das abgelehnt. „Wir werden dazu weiter nachfragen.“

---

Hamburg: „Inakzeptabel“, dass LKA keine Auskunft gibt

🔴🟢 Das sagt die rot-grüne Regierung: Nichts –„um den Erfolg der polizeilichen Arbeit nicht zu gefährden“. Wir wissen nicht, ob die Polizei in Hamburg Datenhändler nutzt.

🟣 Das sagt die Linke: „Die Nutzung von kommerziell gehandelten Handy-Standortdaten durch die Polizei ist ein massiver Angriff auf die Grundrechte“, sagt Deniz Celik, Vizepräsident der Hamburgischen Bürgerschaft und Sprecher für Innenpolitik. „Bewegungsprofile aus der Werbeindustrie dürfen nicht zur Hintertür staatlicher Überwachung werden.“

Es sei „inakzeptabel“, dass das LKA Hamburg keine Auskunft geben will. „Wir werden mit einer schriftlichen kleinen Anfrage den Senat dazu befragen, ob und in welchem Umfang solche Daten in Hamburg benutzt werden und erwarten eine vollständige Transparenz gegenüber der Öffentlichkeit“.

⚫️ Das sagt die CDU: Nichts. Eine Presseanfrage blieb bis zur Frist unbeantwortet.

---

Baden-Württemberg: Anfrage im Parlament geplant

⚫️🟢 Das sagt die schwarz-grüne Regierung: Nichts. Eine Presseanfrage an das Innenministerium blieb bis zur Frist unbeantwortet. Wir wissen nicht, ob die Polizei in Baden-Württemberg Datenhändler nutzt.

🔴 Das sagt die SPD: Wenig. Die SPD-Fraktion im Landtag werde der Sache zunächst in Form einer Anfrage nachgehen, schreibt deren Pressesprecher.

---

Sachsen: „Keine Hintertüren, um Grundrechte zu umgehen“

⚫️🔴 Das sagt die schwarz-rote Regierung: Nichts Brauchbares. Die Polizei nutze „verfügbare Daten, die rechtmäßig erhoben werden“. Wir wissen nicht, ob die sächsische Polizei Datenhändler nutzt.

🟪 Das sagt das BSW: Für den Rückgriff auf Datenhändler brauche die Polizei „eine eindeutige und verfassungsfeste Rechtsgrundlage“, schreibt Bernd Rudolph, Sprecher für Inneres und Digitalisierung der BSW-Fraktion im sächsischen Landtag. Zwar dürfe moderne Technik die Arbeit der Polizei unterstützen. „Aber es darf keine Hintertüren geben, um Grundrechte, Richtervorbehalte oder gesetzliche Schutzvorschriften zu umgehen.“

Weiter sagt Rudolph: „Dass das LKA Sachsen hierzu keine Auskunft geben möchte, trägt nicht zur Vertrauensbildung bei.“ Gerade bei sensiblen Fragen des Datenschutzes und der digitalen Überwachung sei Transparenz wichtig. Seine Fraktion hat hierzu bereits eine kleine Anfrage gestellt (Drs 8/7222). Korrektur, 9. Juni, 15:10 Uhr: Das BSW hat nur eine kleine Anfrage gestellt, nicht zwei, wie zunächst berichtet.

🟢 Das sagen die Grünen: „Ein solches Vorgehen wäre rechtswidrig“, schreibt Valentin Lippmann, innenpolitischer Sprecher, mit Blick auf mögliche Databroker-Deals der Polizei. Da sich die Behörden auf Presseanfragen nicht äußern, „wird sich der Innenminister unseren Fragen zu diesem Vorfall in der nächsten Innenausschusssitzung stellen müssen.“

🟣 Das sagt die Linke: Eine Presseanfrage blieb zunächst unbeantwortet. Update, 11. Juni: Nach Veröffentlichung des Artikels sagt Rico Gebhardt, innenpolitischer Sprecher der Linksfraktion: „Mir erschließt sich im Moment nicht, warum das Innenministerium nicht einfach klarstellt, ob Grenzen überschritten wurden oder nicht.“

Die sächsische Polizei habe keine gesetzliche Befugnis, Daten zu beschaffen, die nicht rechtmäßig erhoben wurden. „Sollte so etwas trotzdem geschehen sein, läge höchstwahrscheinlich ein besonders gravierender Rechtsbruch vor – und noch eine weitere Missachtung des Parlaments, denn für derartige ‚Einkäufe’ wurden im Landeshaushalt keine Mittel bereitgestellt.“

---

Niedersachsen, Thüringen, Saarland: Funkstille

In fünf Bundesländern hatte die Polizei Databroker-Deals auf Anfrage verneint: Schleswig-Holstein, Bremen, Sachsen-Anhalt, Hessen und Rheinland-Pfalz. Deshalb haben wir dort nicht weiter gegraben.



Bisher nicht erwähnt wurden Niedersachsen, Thüringen und das Saarland. Auch dort hatte die Polizei Transparenz zu möglichen Databroker-Deals verweigert. Aber die Fraktionen der angefragten Oppositionsparteien haben uns nicht geantwortet.

In Niedersachsen und dem Saarland ist unter anderem die CDU in der Opposition; in Thüringen die Linke. Interessierte können sich beispielsweise per E‑Mail an ihre Abgeordneten wenden.

---

netzpolitik.org und Bayerischer Rundfunk recherchieren weiter zur Nutzung von Werbedaten durch Polizeibehörden. Für Hinweise sind die Redakteure Ingo Dachwitz und Sebastian Meineck dankbar. Hier ist eine Übersicht der bisherigen Recherchen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Bundesjustizamt hat erneut falsche Zahlen zum Einsatz von Staatstrojanern veröffentlicht. Unsere Nachfrage ergab: Ermittlungsbehörden haben das Hacken von Geräten mit dem Abhören von Telefonaten verwechselt. Die selben Behörden führen die Überwachungsmaßnahme durch.

Ermittlungsbehörden und Justizbeamte haben erneut falsche Zahlen zum staatlichen Hacken gemeldet. Sechs Bundesländer mussten ihre Statistiken korrigieren, nachdem wir nachgefragt haben.

Das Bundesamt für Justiz veröffentlicht jedes Jahr Statistiken zur Telekommunikationsüberwachung. Im August hat die Behörde zeitversetzt die Zahlen für 2023 veröffentlicht. Wir haben darüber berichtet: Polizei hackt alle fünf Tage mit Staatstrojanern.

Per Informationsfreiheitsgesetz haben wir die Daten angefragt, die das Bundesamt von den Ländern bekommen hat und aus denen es die Berichte erstellt. Diese Daten haben wir auch erhalten, für Telekommunikationsüberwachung und Online-Durchsuchung.

Wieder falsche Zahlen

Doch diese Dokumente enthielten andere Zahlen als die veröffentlichten Statistiken. Anfang September haben wir dem Bundesamt die Widersprüche mitgeteilt und um Prüfung gebeten. Im Januar hat das Amt die Statistiken zum ersten Mal korrigiert. Im Februar nochmal.

Mit der „Quellen-Telekommunikationsüberwachung“ hacken Ermittler Geräte, um Kommunikation auszuleiten. Dieser „kleine Staatstrojaner“ wurde im Jahr 2023 96 Mal angeordnet und 57 Mal eingesetzt. Korrigieren mussten sich Bayern, Hamburg, Hessen, Sachsen und Thüringen.

Mittels „Online-Durchsuchung“ hacken Ermittler Geräte, um sämtliche Daten auszuleiten. Dieser „große Staatstrojaner“ wurde im gleichen Zeitraum 31 Mal angeordnet und sieben Mal eingesetzt. Nordrhein-Westfalen hatte ursprünglich behauptet, die Online-Durchsuchung nicht genutzt zu haben. Tatsächlich gab es fünf Anordnungen in zwei Verfahren und einen Einsatz.

Abhören und Hacken verwechselt

Die veröffentlichten Zahlen zu staatlichem Hacken sind fast immer falsch. Seit fünf Jahren enthalten die Statistiken zur Telekommunikationsüberwachung auch Angaben zum Einsatz von Staatstrojanern. Schon im ersten Jahr waren die Zahlen falsch. Im zweiten Jahr wieder. Und im Dritten. Und jetzt wieder.

Das Bundesjustizamt hat nicht nur die gemeldeten Daten falsch übertragen. Die Länder haben auch falsche Daten geliefert. Das Bundesjustizamt verschickt Fragebögen mit ausführlichen Erklärungen. Landesjustizverwaltungen und Generalbundesanwalt füllen die aus.

Schon bei der ersten Statistik haben die Landesämter „Kreuzchen/Häkchen versehentlich falsch gesetzt“. Das setzt sich bis heute fort. In Sachsen ergab die Überprüfung, dass ursprünglich gemeldete Einsätze der Quellen-TKÜ doch nur „Maßnahmen der klassischen Telekommunikationsüberwachung“ waren.

Die Ermittler haben das Mithören von Telefonie mit heimlichem Hacken verwechselt.

Jura-Trick gegen Grundrecht

Diese Verwirrung ist bereits im Gesetz angelegt. Die Strafprozessordnung enthält einen Paragrafen zur Telekommunikationsüberwachung, der eigentlich das Abhören von Telefonaten regelt. 2017 haben Union und SPD zwei Sätze eingefügt, mit denen Ermittler auch Endgeräte hacken dürfen, um Kommunikation abzuhören.

Das Bundesverfassungsgericht hat staatliches Hacken auf absolute Ausnahmefälle beschränkt und extra ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen erfunden. Die Quellen-TKÜ ist ein juristischer Trick, um diese strengen Vorgaben zu umgehen.

Befürworter behaupten einfach, dass staatliches Hacken nur die moderne Version der normalen Telefonüberwachung sei.

Dabei ist das heimliche Hacken von Smartphones und Computern ein viel tiefergehender Eingriff in die Grundrechte der Betroffenen. Und Staatstrojaner halten Sicherheitslücken offen, um sie auszunutzen statt sie zu schließen – das gefährdet die Sicherheit aller Menschen.

Die juristische Gleichsetzung von Abhören und Hacken führt auch dazu, dass selbst Staatsanwälte die beiden Maßnahmen miteinander verwechseln. Dabei sind sie Strafrechts-Experten – und setzen die Überwachungsmaßnahmen ein.

Licht ins Dunkel

Deshalb sind die Statistiken zur Quellen-TKÜ nur ein Anhang in der Statistik der normalen Telekommunikationsüberwachung. Damit ist nicht erkennbar, bei welchen Straftaten die Quellen-TKÜ eingesetzt wird.

Das Justizamt schreibt nur allgemein: „Wie in den vergangenen Jahren begründete vor allem der Verdacht einer Straftat nach dem Betäubungsmittelgesetz die Überwachungsmaßnahmen.“

Wir haben deshalb Abgeordnete in allen Bundesländern mit demokratischer Opposition gebeten, parlamentarische Anfragen zu stellen: Baden-Württemberg, Bayern, Hamburg, Hessen, Nordrhein-Westfalen, Sachsen, Sachsen-Anhalt, Schleswig-Holstein, Thüringen (Nachklapp) und im Bund.

Hacken wegen Drogen

Für 29 Einsätze der Quellen-TKÜ haben die Regierungen die zugrundeliegende Straftat genannt. In zehn Fällen ging es um Betäubungsmittel, also Drogen. Sieben Mal ging es um Mord, drei Mal um Waffen.

Damit bestätigen die Zahlen erneut: Die Polizei nutzt Staatstrojaner vor allem wegen Drogendelikten. Staat und Überwachungsfirmen lassen Sicherheitslücken in Milliarden Geräten offen, um ein Dutzend Drogendealer zu überwachen.

Wenn Ermittler Geräte hacken dürfen, tun sie das nicht immer. Von 96 Anordnungen wurden nur 57 tatsächlich durchgeführt. Die meisten Regierungen wollen nicht sagen, warum genehmigte Einsätze nicht stattfinden. Wenn sie antworten, nennen sie fast immer „technische Gründe“. Nur einmal gab es neben technischen auch ermittlungstaktische Gründe, an denen ein Trojaner-Einsatz scheiterte.

Mehr Einstellungen als Anklagen

Selbst wenn Trojaner zum Einsatz kommen, führen sie nicht immer zum Ermittlungserfolg. Viele Regierungen geben keine Auskunft zu dieser Frage. Verfahren laufen demnach noch oder wurden abgegeben, eine Antwort wäre zu viel Aufwand oder würde die Sicherheit gefährden.

In den beantworteten elf Fällen gab es nur zwei Urteile und eine Anklage. Vier mal haben Trojaner „keine relevanten Erkenntnisse“ geliefert, drei Verfahren wurden mangels Tatverdacht eingestellt, in einem Fall hat der Hack den ursprünglichen Tatverdacht sogar ausgeräumt.

Keine Regierung nennt die eingesetzten Trojanerprodukte.

Hessen nennt immerhin die Zielgeräte: zwei iPhones, ein Android und ein Laptop mit Windows. Auch Hamburg hat ein iPhone gehackt. Dabei „wurden 896 Dateien in einem Umfang von 0,388 Gigabyte erhoben und ausgewertet“. In einem anderen Fall „wurden Daten im Umfang von circa 70 Gigabyte erhoben und ausgewertet“.

Antwort oder Sicherheit

Die Regierungen in Hamburg und Hessen nennen sogar Kalenderwochen, in denen die Trojaner zum Einsatz kamen. Viele andere Landesregierungen verweigern Auskünfte zu Technik, Daten oder Zeitpunkt. Thüringen verweigert fast jede Antwort, demnach hat die Staatsanwaltschaft die entsprechenden Unterlagen bereits „vernichtet“.

Insgesamt antworten die Bundesländer sehr unterschiedlich. Einige Regierungen beantworten vorbildlich alle Fragen ihrer Abgeordneten. Andere verweigern viele Antworten vollständig, weil eine Auskunft angeblich die Sicherheit gefährdet. Welche Informationen die Sicherheit gefährden, scheint in Deutschland Ansichtssache der Bundesländer zu sein.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der legendäre Urheberrechtsfall „Metall auf Metall“ geht in die letzte Runde. Der Europäische Gerichtshof hat gerade nach weitläufiger Auffassung das Recht auf Remix und Sampling gestärkt. Jetzt muss noch der Bundesgerichtshof final entscheiden.

Der Europäische Gerichtshof hat eine Entscheidung präzisiert, die es ermöglicht, urheberrechtlich geschützte Werke ohne Zustimmung ihrer Rechtsinhaber:innen zu verwenden. Demnach müssen bestimmte Voraussetzungen zutreffen, damit ein Sample als erlaubtes „Pastiche“ gilt.

27 Jahre – so lange streiten sich der Musikproduzent Moses Pelham und die Band Kraftwerk bereits vor Gericht. Recht auf Sampling gegen Urheberrecht. Gestritten wird um einen zwei Sekunden langen Musikschnipsel aus dem Kraftwerk-Song „Metall auf Metall“. Der stammt aus 1977. Rund 20 Jahre später schnitt Pelham aus den zwei Sekunden die Dauerschleife für den Song „Nur mir“ von Sabrina Setlur. Kraftwerk klagte 1999 dagegen.

Das Oberlandesgericht Hamburg, der Bundesgerichtshof, das Bundesverfassungsgericht und der Europäische Gerichtshof – sie alle haben sich im letzten Vierteljahrhundert mit dem Fall beschäftigt. Derweil ist das Samplen gängige Kulturpraxis, nicht nur in HipHop und Techno.

Um eine Rechtsgrundlage zu schaffen, führte die EU 2019 eine „Pastiche-Regel“ ein, die 2021 im deutschen Urheberrecht verankert wurde. Dort heißt es in § 51a Karikatur, Parodie und Pastiche: „Zulässig ist die Vervielfältigung, die Verbreitung und die öffentliche Wiedergabe eines veröffentlichten Werkes zum Zweck der Karikatur, der Parodie und des Pastiches. Die Befugnis nach Satz 1 umfasst die Nutzung einer Abbildung oder sonstigen Vervielfältigung des genutzten Werkes, auch wenn diese selbst durch ein Urheberrecht oder ein verwandtes Schutzrecht geschützt ist.“

Wann ist Pastiche Pastiche?

Nun hat der Europäische Gerichtshof sich zur Tragweite der Ausnahme für „Pastiches“ im Zusammenhang mit dem Sampling geäußert. Demnach sei entscheidend, ob die Neuschöpfung im Zuge des Samplings mit den urheberrechtlich geschützten Werken einen „erkennbaren künstlerischen oder kreativen Dialog“ führe, „gleichzeitig aber wahrnehmbare Unterschiede“ aufweise. Beispielsweise in Form einer offenen Nachahmung des Stils oder kritischer Auseinandersetzung. Auf diese Weise solle ein angemessener Rechts- und Interessenausgleich zwischen Rechteinhaber:innen und der Kunstfreiheit gesichert werden. Eine Nachahmung ohne erkennbare Auseinandersetzung mit dem Original sei demnach kein zulässiges Pastiche.

Nach weitläufiger Interpretation hat der Europäische Gerichtshof damit das Recht auf Remix und Sampling gestärkt – und damit geht der Fall „Metall auf Metall“ in die letzte Runde und zurück an den Bundesgerichtshof in Karlsruhe: Dieser muss nun entscheiden, ob Pelham sich in dem Song von 1997 in einem ausreichenden Dialog mit „Metall auf Metall“ befindet und wahrnehmbare Unterschiede bestehen.

Das Oberlandesgericht Hamburg hatte bereits festgestellt, dass die Rhythmussequenz trotz leichter Abwandlung in „Nur mir“ als Anspielung auf das Original erkennbar bleibe – darauf weist der Europäische Gerichtshof hin. Fraglich ist jetzt, ob der Bundesgerichtshof dieser Auffassung folgen wird.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Folgen des KI-Hypes für den Datenschutz sind schwer absehbar. Im Fall von Metas KI-Training zögern Aufsichtsbehörden, das Oberlandesgericht Köln gab dem Konzern sogar – fürs Erste – grünes Licht. Jura-Professorin Paulina Jo Pesch zeigt Schwächen des Urteils auf und fordert eine entschiedenere Durchsetzung der Datenschutzvorgaben.

Hinter weitverbreiteten KI-Anwendungen stehen generative Sprach- und Bildmodelle, die mit riesigen Datenmengen gefüttert werden, auch mit personenbezogenen Daten. Das Problem: Teile der Trainingsdaten, darunter personenbezogene, lassen sich aus vielen der Modelle extrahieren. Unter welchen Umständen sich ein Modell zu viel „merkt“ und wie sich das verhindern lässt, ist bislang wenig erforscht. Zugleich werden Extrahierungsmethoden immer besser. Anbieter*innen können bislang nicht verhindern, dass Modelle personenbezogene Trainingsdaten ausgeben. Auch Chatbots können personenbezogene Daten von anderen verraten.

Außerdem „halluzinieren“ die Modelle. Sie generieren also falsche Informationen, die nicht in den Trainingsdaten enthalten sind. Weil KI-Unternehmen diese nicht offenlegen, können Forscher*innen nicht zuverlässig messen, wann ein Modell Informationen erfindet und wann es unrichtige Trainingsdaten wiedergibt. Zuverlässige Methoden zur Vermeidung von Halluzinationen gibt es bisher nicht.

Werden personenbezogene Daten aus einem Modell extrahiert, kann für Betroffene gerade die Kombination aus „Erinnerung“ und „Halluzination“ gefährlich sein. Ein mit personenbezogenen Daten trainiertes Modell generiert unter Umständen Falschinformationen über sie. Gerade bei öffentlichen Modellen besteht das Risiko, dass Nutzer*innen diese Informationen unkritisch weiterverbreiten.

Meta fragt lieber nicht um Erlaubnis

Mit Llama (Large Language Model Meta AI) ist auch Meta an dem KI-Rennen beteiligt. Meta nutzt Llama für eigene KI-Funktionen wie Transkriptions- oder Suchfeatures auf Instagram, Facebook und WhatsApp sowie für Chatbots oder in KI-Brillen, die das Unternehmen anbietet. Außerdem stellt Meta seine Modelle anderen zur Nutzung bereit. So können etwa Forscher*innen die Modelle testen oder Unternehmen auf Basis von Llama KI-Dienstleistungen oder -Produkte anbieten.

Im Juni 2024 informierte Meta die Nutzer*innen von Instagram und Facebook über eine Aktualisierung seiner Datenschutzrichtlinie. Diese Aktualisierung ließ Metas Vorhaben erkennen, seine KI-Modelle mit Nutzer*innendaten zu trainieren. Die Nutzer*innen konnten dem zwar widersprechen, die Widerspruchsmöglichkeit war jedoch schwer auffindbar.

Nachdem Datenschutzorganisationen wie noyb Meta scharf kritisierten, veröffentlichte der Konzern noch gleichen Monat weitere Informationen zum geplanten Training. Demnach beabsichtigte der Konzern, nur noch öffentliche Daten für das Training zu verwenden. Kurz darauf verkündete Meta, die irische Datenschutzbehörde verzögere das Training in der EU. Im April 2025 verkündete der Konzern dann den baldigen Trainingsstart.

Was trainiert Meta eigentlich mit welchen Daten?

Inzwischen hat der Konzern damit begonnen, seine KI mit den Daten europäischer Nutzer*innen zu trainieren. Unklar ist weiterhin, welche Daten dafür genau genutzt werden. Meta stellt im Vergleich zu anderen KI-Unternehmen zwar mehr Informationen über das Training mit Social-Media-Daten bereit. Diese Informationen haben sich aber immer wieder verändert und lassen Fragen offen.

Das betrifft insbesondere den Umgang mit sensiblen Daten. Bei Llama handelt es sich um ein multimodales Sprachmodell, das neben Texten auch Bilder, Videos und Tondateien verarbeitet. Der für das Training genutzte Social-Media-Content umfasst damit etwa auch Fotos der Nutzer*innen. Metas Datenschutzinformationen verweisen auf öffentliche Inhalte wie Beiträge, Kommentare und Audiospuren.

Inzwischen heißt es in den Datenschutzinformationen, dass auch Daten von Drittpartner*innen und KI-Interaktionen für die KI-Entwicklung genutzt würden. Als Beispiele für KI-Interaktionen nennt Meta Nachrichten, die Nutzer*innen oder andere Personen von der KI erhalten, mit ihr teilen oder an diese senden.

Diese Angaben schließen private Sprachnachrichten und Transkriptionen nicht aus. Metas Umschreibung passt auch auf Chatverläufe mit Chatbots. Solche Chatverläufe können besonders sensible Daten enthalten, wenn etwa Chatbots für intime Gespräche zu mentaler Gesundheit oder parasoziale romantische Beziehungen genutzt werden.

Verbraucherzentrale scheitert vor Gericht

Um den Beginn des Trainings zu verhindern, hat die Verbraucherzentrale Nordrhein-Westfalen im Mai 2025 einen Eilantrag beim Oberlandesgericht (OLG) Köln gestellt. Sie argumentierte insbesondere, dass Meta das Training nicht auf eine wirksame Rechtsgrundlage stützen könne, ist mit dem Eilantrag jedoch gescheitert. Das Urteil und Einblicke in die mündliche Verhandlung in Köln offenbaren erhebliche Mängel.

Meta hatte sich entschieden, keine Einwilligungen einzuholen, sondern beruft sich auf ein berechtigtes Interesse an der Nutzung der Daten für KI-Training. Die Verbraucherzentrale hält das für unzureichend, doch das Gericht folgt Metas Argumentation in seinem Urteil. Nach der Datenschutzgrundverordnung (DSGVO) können berechtigte Interessen die Verarbeitung personenbezogener Daten rechtfertigen, solange die Interessen Betroffener nicht schwerer wiegen. Dabei müssen diese der Datenverarbeitung aber widersprechen können.

Die Verbraucherzentrale NRW hat darauf hingewiesen, dass nicht alle Betroffenen widersprechen können. Facebook- und Instagram-Beiträge enthalten zuhauf personenbezogene Daten von Nicht-Nutzer*innen. Die Widerspruchsfunktion steht aber nur Nutzer*innen offen. Das Gericht ignoriert diesen Einwand. Zudem behauptet es ohne Begründung und trotz gegenteiliger Hinweise, Meta erfülle die Anforderungen der DSGVO an den Schutz von Minderjährigen.

Das Gericht halluziniert niedrige Risiken herbei

Berechtigte Interessen geben außerdem keine Rechtsgrundlage für Verarbeitungen her, die für Betroffene zu riskant sind. Das OLG Köln behauptet, die Risiken für Nutzer*innen seien gering. Dabei legt das Urteil nahe, dass die Richter*innen nicht verstanden haben, was Meta trainiert. Das Wort „Llama“ taucht im gesamten Urteil nicht auf. Auch beschreibt das Gericht keine Anwendungsszenarien.

Auf diese kommt es aber entscheidend an. Ein Transkriptionsfeature gibt wahrscheinlich keine extrahierbaren Daten aus. Aus Llama selbst werden jedoch sicher Daten extrahiert. Forscher*innen wenden Extrahierungsmethoden auf alle bekannten Modelle an. Je nachdem, welche Arten von Daten wie gut extrahierbar sind, könnte es dabei versehentlich auch zu Datenlecks kommen.

Gerichte prüfen in Eilverfahren die Rechtslage nur „kursorisch“, also nicht im Detail. Das OLG Köln reiht dabei aber mit großem Selbstbewusstsein Behauptungen aneinander, die aus Sicht der Datenschutzforschung haltlos sind. Selbst wenn Metas Training transparent genug wäre, fehlt es an tragfähigen Forschungsergebnissen für die Einschätzung des Gerichts.

Ein grober Fehler des Urteils betrifft besondere Kategorien personenbezogener Daten. Das sind sensible Daten, die die DSGVO besonders schützt, zum Beispiel Daten über Race, religiöse Anschauungen oder sexuelle Orientierungen. Social-Media-Daten enthalten viele solcher Daten. Besondere Kategorien personenbezogener Daten dürfen nicht auf Basis berechtigter Interessen verarbeitet werden, sondern nur unter strengeren Voraussetzungen, in vielen Fällen nur aufgrund von Einwilligungen. Das OLG Köln stört sich daran nicht.

Stattdessen behauptet das Gericht, dass die Anwendung der besonderen Schutzanforderungen nicht geboten sei. Das Urteil stellt hier wieder auf ein nicht weiter begründetes geringes Risiko ab. Dabei kommt es gerade im Bereich des maschinellen Lernens leicht zu unbemerkten Modellbias, also zu systematischen Fehleinschätzungen, die zum Beispiel zu rassistischer Diskriminierung führen. Besondere Kategorien personenbezogener Daten bergen dabei potenziell besonders hohe Risiken.

Bedenkliche Informationslage

Bedenklich ist zudem die Informationslage, auf die sich das Gericht stützt. In diesem Fall sind das vor allem die Angaben von Meta selbst. Das ist in einem Eilverfahren an sich nicht zu beanstanden – weil es schnell gehen muss, gelten geringere Beweisanforderungen. Gerichte arbeiten daher mit eidesstattlichen Versicherungen, formellen Erklärungen der Parteien. Um Falschangaben vorzubeugen, sind falsche eidesstattliche Versicherungen nach dem Strafgesetzbuch strafbar.

Das Urteil stellt entscheidend auf eidesstattliche Versicherungen von Metas Produktmanager für generative KI ab. Zwei in der mündlichen Verhandlung in Köln anwesende Personen berichten allerdings, dass die Versicherungen nie formgerecht abgegeben worden sind. (Die Autorin hat von zwei in der Verhandlung in Köln anwesenden Personen Informationen zum Ablauf der mündlichen Verhandlung und dabei getroffenen Aussagen des Gerichts erhalten. Eine der Personen ist seitens der klagenden Verbraucherzentrale am Verfahren beteiligt, die andere Person hat den Prozess beobachtet, ohne daran beteiligt zu sein.)

Eidesstattliche Versicherungen müssen mündlich oder im Original mit händischer Unterschrift abgegeben werden. Selbst wenn die Erklärungen von Meta formgerecht wären, hätte sich das OLG Köln besser nicht darauf verlassen. Es gibt zwar keine Anzeichen dafür, dass diese Falschangaben enthalten. Durch das deutsche Strafgesetzbuch wäre deren Richtigkeit aber nicht abgesichert: Falls der in Kalifornien ansässige Manager nicht einreisen will, hätten Falschangaben keine strafrechtlichen Folgen für ihn.

Zudem legt das Urteil nahe, dass Metas Erklärungen inhaltlich dünn sind. Sie bestätigen etwa das Funktionieren der Widerspruchsfunktion. Eine Pressemitteilung der für Meta zuständigen irischen Datenschutzbehörde (Data Protection Commission, DPC) zeigt jedoch, dass die Behörde Meta zur Nachbesserung der Widerspruchsfunktion aufgefordert hat. Es bleibt somit zweifelhaft, ob Widersprüche in der Vergangenheit einfach genug möglich waren und funktioniert haben.

Datenschutzbehörden lassen Meta erst mal machen

Auch die Pressemitteilung der irischen Datenschutzbehörde und der Umgang des Gerichts damit verdienen besondere Aufmerksamkeit. Die für ihre Nachsicht gegenüber Datenkonzernen bekannte Behörde hat die Pressemitteilung am Vorabend der mündlichen Verhandlung in Köln veröffentlicht. Sollte die Behörde sich etwa mit Meta abgestimmt und so das Verfahren beeinflusst haben?

Das OLG Köln hat nach Berichten Anwesender schon in der mündlichen Verhandlung signalisiert, der Rechtsauffassung der irischen Behörde wahrscheinlich folgen zu müssen, warum auch immer das Gericht sich an deren Einschätzung auch nur lose gebunden fühlt. Das ist nicht nur im Hinblick auf die Gewaltenteilung bedenklich. Die Pressemitteilung enthält auch keinerlei Rechtsauffassung zur Frage nach der Datenschutzkonformität, der das Gericht folgen könnte. Sie enthält schlicht gar keine rechtliche Einschätzung. Es heißt lediglich, Meta habe in Absprache mit der Behörde Maßnahmen zur Verbesserung des Datenschutzes ergriffen und verfolge die Umsetzung weiter.

Aus der Pressemitteilung wird ersichtlich, dass die irische Behörde Meta nur beraten hat. Das war dem OLG Köln auch von Metas Hauptaufsichtsbehörde in Deutschland, dem Hamburger Datenschutzbeauftragten, bekannt. Im Urteil heißt es ausdrücklich, die Behörde habe Meta das Training „bislang“ nicht untersagt und beobachte derzeit die Folgen der Trainings.

Der Hamburger Datenschutzbeauftragte hatte im Juli 2024 die Datenschutzauswirkungen des Trainings generativer Sprachmodelle noch unterschätzt. Nach Berichten aus der mündlichen Verhandlung hat er angesichts seiner Einblicke in Metas Training diese Auffassung zurückgenommen, erhebliche Datenschutzbedenken geäußert und zunächst sogar ein eigenes Verfahren gegen Meta angekündigt. Außerdem berichtete er, dass die irische Behörde plane, ein Verletzungsverfahren im Oktober einzuleiten. Das spricht dafür, dass europäische Datenschutzbehörden von Verstößen wissen, Meta aber zunächst gewähren lassen.

Wider den KI-Hype

Die Bedeutung des Kölner Verfahrens weist über Meta und über Deutschland hinaus. Das Urteil und die Vorgänge im Prozess legen nahe, dass europäische Gerichte und Aufsichtsbehörden bei KI dem Ansatz „Abwarten und Teetrinken“ folgen. Es lässt sich nur spekulieren, welche Rollen hier der Druck des KI-Hypes, Innovationspläne der EU oder auch blanke Naivität spielen.

Dabei macht die DSGVO nicht nur klare Vorgaben an KI-Unternehmen, sondern bietet diesen auch ausreichende Möglichkeiten, sich an die Vorgaben zu halten. Demnach müssen KI-Unternehmen die Datenschutzkonformität ihrer Vorhaben begründet nachweisen. Sie dürfen ihre Modelle trainieren und testen – allerdings nur zu reinen Forschungszwecken und ohne die KI in der Praxis einzusetzen – und damit blind auf die Menschheit loszulassen. Gerichte und Aufsichtsbehörden sollten diese Vorgaben durchsetzen, anstatt sich dem KI-Hype zu beugen.

Prof. Dr. Paulina Jo Pesch ist Juniorprofessorin für Bürgerliches Recht sowie das Recht der Digitalisierung, des Datenschutzes und der Künstlichen Intelligenz am Institut für Recht und Technik der Friedrich-Alexander-Universität Erlangen-Nürnberg. Sie koordiniert das vom Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) geförderte interdisziplinäre Forschungsprojekt SMARD-GOV, das Datenschutzaspekte großer Sprachmodelle erforscht.

Eine englischsprachige Langfassung der Analyse des Verfahrens sowie eines weiteren Verfahrens beim OLG Schleswig-Holstein ist im CR-online blog erschienen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.