Vor 20 Jahren hat der Bund das Informationsfreiheitsgesetz eingeführt, heute steht das Auskunftsrecht unter Druck. Doch Sicherheit dürfe nicht gegen demokratische Teilhabe ausgespielt werden, sagt die Bundesbeauftragte für Datenschutz und Informationsfreiheit. Sie fordert ein Transparenzgesetz.
Louisa Specht-Riemenschneider – Alle Rechte vorbehalten: Johanna Wittig
Weitgehend unbemerkt von der breiten Öffentlichkeit hat Anfang dieses Jahres ein besonderes Gesetz Geburtstag gefeiert: das Informationsfreiheitsgesetz (IFG). Es verpflichtet Bundesbehörden seit dem 1. Januar 2006, auf Anfrage relevante Informationen herauszugeben. Louisa Specht-Riemenschneider, die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), feierte das Jubiläum jetzt mit einem Symposium und forderte bei der Gelegenheit erneut eine Weiterentwicklung des IFG zu einem Transparenzgesetz.
Specht-Riemenschneider stellte sich in diesem Zusammenhang auch gegen aktuelle Bestrebungen, die Informationsfreiheit zu schwächen. „Wer Informationsfreiheit pauschal beschränkt, schafft nicht mehr Sicherheit, sondern weniger Demokratie.“ Informationszugang und demokratische Teilhabe müssten als Kernelemente des freiheitlichen Rechtsstaats unterstützt werden.
Das Informationsfreiheitsgesetz sieht vor, dass Behörden bestimmte Informationen wie etwa Studien, Protokolle oder Umweltdaten auf Anfrage in der Regel herausgeben müssen. Zahlreiche Ausnahmen und Einschränkungen sorgen dafür, dass es immer wieder zu Rechtsstreitigkeiten kommt.
Abschied vom Amtsgeheimnis
„Die Abkehr vom preußischen Amtsgeheimnis hin zu einem voraussetzungslosen Anspruch Jedermanns auf Informationszugang war vor 20 Jahren wahrlich nicht selbstverständlich“, so Specht-Riemenschneider in ihrer Eröffnungsrede beim 8. Symposium zur Informationsfreiheit. Sie sei das „Bekenntnis eines selbstbewussten Staates“ gewesen, „der vor seinen Bürgerinnen und Bürgern nichts zu verstecken hat.“
In der Praxis bleibt der Staat hinter diesem Anspruch aber oft zurück. Das zeigt unter anderem eine repräsentative Umfrage mit 2.500 Teilnehmenden, die die BfDI zum Thema durchführen ließ.
Demnach finden es nahezu alle Befragten (96 Prozent) sehr wichtig, dass Behörden transparent und nachvollziehbar arbeiten. Allerdings bewerten nur 35 Prozent die Arbeit der Behörden tatsächlich als eher transparent und nachvollziehbar. Lediglich drei Prozent halten die Arbeit von Behörden für sehr transparent und nachvollziehbar. 60 Prozent der Befragten werten Behördenarbeit als eher oder gar nicht transparent und nachvollziehbar.
Der Erhebung zufolge haben zehn Prozent der Teilnehmenden bereits eine IFG-Anfrage gestellt, die große Mehrheit hat dies noch nicht. Das liegt offenbar auch an den ausbaufähigen Bedingungen für die Informationsfreiheit: 37 Prozent der Befragten gaben an, nicht zu wissen, an wen sie sich hätten wenden können. 31 Prozent wussten nicht mal, dass es dieses Recht gibt. 21 Prozent waren sich unsicher, ob sie die Dokumente überhaupt erhalten würden. 16 Prozent fürchteten Nachteile oder Konflikte und elf Prozent befürchten zu hohe Gebühren.
Informationsfreiheit unter Druck
Auch politisch hat die Informationsfreiheit derzeit einen schweren Stand. Während sich die gescheiterte Ampel-Koalition noch die Weiterentwicklung des IFG zu einem Transparenzgesetz vorgenommen hatte, diskutierten Union und SPD bei der Regierungsbildung auf Vorschlag des CDU-Politikers Philipp Amthor über die Abschaffung der Informationsfreiheit. Nach einem öffentlichen Aufschrei schaffte es dieser Vorschlag zwar nicht in den Koalitionsvertrag, Transparenzorganisationen stellten der schwarz-roten Regierung zum Einjährigen trotzdem ein kritisches Zeugnis aus.
Noch düsterer sieht es in einigen Bundesländern aus, wo Informationsfreiheitsgesetze gerade teils zurückgestutzt werden. So etwa in Berlin, wo die schwarz-rote Regierung den Anschlag auf das Berliner Stromnetz als Begründung für eine drastische Beschneidung der Informationsfreiheit heranzieht.
Dem stellt sich Louisa Specht-Riemenschneider klar entgegen. „Einschränkungen von Transparenz wegen vermeintlicher Sicherheitsbedenken haben das Potenzial, Misstrauen zu schüren und damit antidemokratischen Bestrebungen in die Hände zu spielen“, heißt es in einer Pressemitteilung der Bundesbeauftragten. „Als stabile liberale Demokratie muss sich Deutschland dem Trend zur Falsch- und Desinformation sowie zur Beschränkung von Transparenz entschieden entgegenstellen und die Chancen ausschöpfen, die das IFG zur Stärkung des Vertrauens der Bürgerinnen und Bürger in den Staat gerade in unruhigen Zeiten mit sich bringt.“
Ausbau statt Schwächung
Die BfDI fordert statt einer Schwächung deshalb erneut einen Ausbau der Informationsfreiheit. „Informationszugang und demokratische Teilhabe müssen als Kernelemente eines freiheitlichen Rechtsstaats unterstützt werden.“ Die Informationsfreiheit solle deshalb verfassungsrechtlich abgesichert werden, statt sie wie bisher nur in einem einfachen Gesetz verankert zu sein.
Außerdem brauche der Bund „ein echtes Transparenzgesetz“. Moderne Verwaltung dürfe Informationen nicht nur auf Antrag herausgeben, sondern solle wichtige amtliche Informationen von sich aus veröffentlichen, barrierefrei und leicht auffindbar. Dafür sprachen sich im Datenbarometer auch 83 Prozent der Befragten aus. Proaktive Transparenz erleichtere nicht nur den Zugang für Bürgerinnen und Bürger, sondern könne auch Behörden entlasten, weil weniger Einzelanfragen beantwortet werden müssen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Jetzt zeigt unsere neue Recherche: Auch die deutsche Polizei bedient sich daran und unterläuft dabei den Rechtsstaat. So schafft man Unsicherheit im Namen der Sicherheit. Ein Kommentar.
Standortdaten von Handys können über Online-Werbung an die Polizei fließen – Nebel: Vecteezy; Mütze: Pixabay/S_Salow; Montage: netzpolitik.org
Donald Trumps Abschiebemiliz ICE tut es, ungarische Behörden unter Viktor Orbán taten es und jetzt steht fest: Auch die deutsche Polizei hat Daten aus dem Ökosystem der Online-Werbung für heimliche Überwachung genutzt. Vermutet worden war das schon länger, dank unserer neuen IFG-Recherche mit dem Bayerischen Rundfunk haben wir es erstmals Schwarz auf Weiß: Mindestens in Mecklenburg-Vorpommern ist es passiert. Vielleicht auch in Brandenburg, das dortige Landeskriminalamt will auch auf Nachfrage nicht sagen, auf welche Art kommerzieller Daten von Databrokern es zurückgreift.
Zu den polizeilich genutzten Datensätzen aus der digitalen Werbeindustrie können unter anderem metergenaue Standortdaten von Handys gehören. Sie werden von Tracking-Firmen aus beliebten Apps ohne Wissen der Nutzer:innen abgesaugt und von windigen Databrokern an potenziell alle verkauft, die danach fragen.
Hinzu kommt, dass die Daten, nach allem, was wir wissen, überwiegend illegal fließen. Von der Erhebung über den Handel bis zur Verwendung dürfte jedes Glied dieser Datenlieferkette gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Mindestens das Landeskriminalamt von Mecklenburg-Vorpommern muss sich den Vorwurf gefallen lassen, dass es auf einem Daten-Schwarzmarkt mitgemischt hat. Ob und wie viel Geld geflossen ist, verrät es nicht.
Wo ein Trog ist, da sammeln sich Schweine
Überhaupt mauern deutsche Behörden bei diesem Thema, wo es nur geht. Nutzt die Polizei wirklich nur in zwei Bundesländern Daten von Databrokern? Neun LKAs verweigerten die Auskunft gleich ganz – unter Verweis auf den Schutz der Polizeiarbeit. Der Verdacht liegt nahe, dass sie etwas zu verbergen haben.
Während US-Behörden ihre Geschäftsbeziehungen zu kommerziellen Datenfirmen wie selbstverständlich offenlegen, können wir hierzulande nicht mal eine Debatte darüber führen, ob und unter welchen Umständen werbebasierte Überwachung zu unserem Verständnis vom Rechtsstaat passt. Auch die Bundesregierung verweigerte dem Parlament im Dezember Informationen zu dem Thema, selbst in eingestufter Form.
Dabei ist der Missbrauch von angeblich nur für Werbezwecke erhobenen Daten durch Polizeibehörden und Geheimdienste nur die neuste Stufe einer längeren Entwicklung: Die vermeintlich harmlose Welt der kommerziellen Datensammlung verschmilzt mit staatlicher Überwachung.
Bereits die Snowden-Leaks hatten gezeigt, dass US-Geheimdienste in großem Stil auf Daten zugreifen, die etwa bei kommerziellen E‑Mail-Anbietern wie Google oder Yahoo anfallen. Heute können staatliche Stellen auf ein wachsendes Netz privater Überwachungskameras zugreifen, mit KI-Gesichtserkennung Menschen auf Fotos in Sozialen Netzwerken aufspüren und mit Hilfe privater Anbieter wie Palantir Verdächtige aus riesigen Datenmengen generieren.
Und jetzt also ADINT, kurz für Advertising-based Intelligence, werbebasierte Aufklärung. Eigentlich keine Überraschung: Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Es war nur eine Frage der Zeit, bis sich daran auch andere gütlich tun. Wer sich schon länger mit den Begehrlichkeiten von einmal erhobenen Daten beschäftigt, kennt den Spruch: Wo ein Trog ist, sammeln sich Schweine.
Datensparsamkeit nur bei Medienanfragen
Dass deutsche Polizeibehörden darüber lieber nicht sprechen, hat wohl einen Grund: Nach Einschätzung von Jurist:innen fehlt ihnen eine rechtliche Grundlage, um kommerziell erhobene Daten aus der Werbeindustrie zu nutzen. Auf Generalklauseln können sie sich jedenfalls nicht stützen, sagen Datenschutzbehörden.
Das Zusammenwachsen von Überwachungskapitalismus und Überwachungsstaat stellt die Wirksamkeit unseres Rechtsstaats auf die Probe. Wenn sie beispielsweise Menschen mit Funkzellenabfragen orten wollen, brauchen Polizeibehörden dafür eine richterliche Genehmigung. Diesen Umweg, der den Schutz von Grundrechten sicherstellen und Überwachungsexzesse verhindern soll, will sich die Polizei offenbar gerne sparen.
Deshalb müssen wir jetzt nicht nur auf Transparenz und eine politische Debatte drängen, sondern auch auf strenge Regeln. Im besten Fall verbieten wir Behörden die Nutzung von illegal erhobenen Werbedaten.
Man muss sich das vor Augen halten: In den USA jagt ICE Menschen, vermutlich auch mit Hilfe von Werbedaten. Die Regierung von Viktor Orbán könnte sie gegen Oppositionelle genutzt haben. Expert:innen warnen davor, dass feindliche Geheimdienste und Militärs sie gegen die EU einsetzen könnten. Und deutsche Polizist:innen – machen einfach auch mit. Hallo, geht’s noch?
Wir brauchen keine Polizeibehörden, die nur bei ihren Antworten auf Presseanfragen Datensparsamkeit praktizieren, aber bei neuartigen Überwachungsmethoden aus dem Vollen schöpfen wollen. Der Staat sollte uns vor Tracking-Firmen und Datenhändlern schützen, nicht mit ihnen Geschäfte machen.
Korrektur, 2. Juni, 12:00 Uhr: Aus den Antworten des LKA Brandenburg geht nicht klar hervor, ob die von Datenhändlern beschafften kommerziellen Daten aus der Werbe-Industrie stammen oder möglicherweise aus Quellen außerhalb der Werbe-Industrie. Auch auf direkte Nachfrage hat die Behörde das nicht offengelegt. Das war nicht sauber formuliert. Wir haben das korrigiert.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
In mindestens zwei Bundesländern hat sich die Polizei Daten von Databrokern beschafft, wie Recherchen von netzpolitik.org und BR erstmals zeigen. Mit solchen Daten könnten sich Handys metergenau orten lassen. Fachleute halten das für illegal, eine Datenschutzbehörde hat sich bereits eingeschaltet.
Handys orten ohne Richtervorbehalt – Werbedaten machen es möglich. (Symbolbild)
Fachleute haben es schon vermutet, jetzt belegen Recherchen von netzpolitik.org und Bayerischem Rundfunk exklusiv: Auch in Deutschland nutzt die Polizei Daten der Werbe-Industrie. Mindestens zwei Landeskriminalämter haben sich von kommerziellen Anbietern Daten beschafft.
Dahinter steckt das oftmals illegale Geschäft der Databroker. Erhoben werden solche Daten etwa angeblich zu Werbezwecken, doch über Databroker werden sie zur Handelsware. In die Hände der Datenhändler gelangen sie über Tracking-Firmen, abgesaugt von populären Apps – und in der Regel ohne Wissen der Betroffenen.
Zum Angebot der Databroker gehören auch metergenaue Ortungen, aus denen sich Bewegungsprofile von Handys und ihren Besitzer*innen ablesen lassen: Wohnort, Arbeitsplatz und mehr. Das gefährdet nicht nur die Privatsphäre aller, sondern lässt sich auch für Spionage und Sabotage nutzen. Expert*innen aus Politik und Wissenschaft sehen im Handel mit Standortdaten deshalb eine Gefahr für die nationale Sicherheit.
Dass Polizeibehörden selbst Daten von Databrokern nutzen, war bislang nur von wenigen Staaten bekannt, etwa den USA und seit Kurzem Ungarn. Jetzt haben das auch zwei deutsche Landeskriminalämter bestätigt: Brandenburg und Mecklenburg-Vorpommern. Anlass waren Anfragen nach dem Informationsfreiheitsgesetz (IFG) und Presseanfragen von netzpolitik.org und dem BR.
Ein Geschäft, das Europas Sicherheit bedroht
Möglicherweise nutzen noch mehr deutsche Landespolizeien solche Daten. In neun Bundesländern haben die Behörden eine Auskunft verweigert. Nur in fünf Bundesländern hat die Polizei den Einsatz klar verneint.
In Reaktion auf die Recherche hat der Landesdatenschutzbeauftragte Mecklenburg-Vorpommern eine Prüfung eingeleitet. Weder seine Behörde noch die sonstigen 15 Landesdatenschutzbehörden, die wir angefragt haben, sehen eine konkrete rechtliche Grundlage für die Nutzung von Werbedaten durch die Polizei.
Auch der Polizeirechtler Mark Zöller von der Ludwig-Maximilians-Universität München hält die Praxis für rechtswidrig. Er spricht von einem „wirklich massiven“ Risiko, dass Behörden Daten erhalten, die sie nicht zu sehen bekommen sollten.
Unsere Recherche zeigt: Auf wahrscheinlich illegale Weise unterstützt die Polizei den Schwarzmarkt der Databroker. Damit beteiligen sich deutsche Behörden im Namen der Sicherheit an einem Geschäft, das selbst Europas Sicherheit bedroht. Ob und wie viel Steuergeld dabei geflossen ist, wissen wir jedoch nicht.
Brandenburg „greift auf Datenhändler zurück“
Ein wichtiger Baustein unserer Recherche war eine Liste von sogenannten ADINT-Firmen. ADINT steht für Advertising-based Intelligence, also werbebasierte Aufklärung. Die Liste haben der Tracking-Forscher Wolfie Christl und das Citizen Lab der Universität Toronto bereitgestellt. Sie arbeiten an einer globalen Bestandsaufnahme zum Missbrauch von Werbedaten für Überwachungszwecke. Ihre bislang unveröffentlichten Zwischenergebnisse sind in unsere IFG- und Presseanfragen an deutsche Behörden geflossen.
Das Landeskriminalamt Brandenburg greift zur Bekämpfung unterschiedlicher Kriminalitätsphänomene bei der Informationsbeschaffung anlassbezogen auch auf Datenhändler oder andere Anbieter kommerziell erwerblicher Daten zurück.
Unter anderem würden „in den Phänomenbereichen Cybercrime und Wirtschaftskriminalität Daten weniger kommerzieller Anbieter erhoben“. Dies diene „in der Regel zur Analyse von Täter- und Tatzusammenhängen“.
Mehr zu den Daten und ihren Quellen, den beteiligten Firmen oder entsprechenden Verträgen wollte die Behörde nicht offenlegen. Das könne „Belange der Strafverfolgung und ‑vollstreckung, der Gefahrenabwehr sowie die Tätigkeit der Polizei beeinträchtigen“. Wir wissen deshalb nicht genau, welche kommerziellen Daten die Polizei in Brandenburg nutzt und ob dazu auch Handy-Standortdaten gehören.
Die Polizei in Mecklenburg-Vorpommern hat unsere IFG-Anfrage so beantwortet:
Im Zusammenhang mit der Bekämpfung von Kriminalität, die im Zuständigkeitsbereich des LKA MV liegt, wie zum Beispiel im Bereich der Bekämpfung von Cybercrime oder auch Wirtschaftskriminalität, erfolgt mitunter die Nutzung von Daten weniger und etablierter kommerzieller Anbieter, insbesondere für eine erste Analyse von Beteiligungen und Verflechtungen.
Erst nach einer weiteren Presseanfrage wurde die Behörde genauer: Zu den Daten gehörten demnach auch Standortdaten der Werbe-Industrie. Das LKA legt aber nicht offen, ob es die Daten selbst erworben oder einen ADINT-Dienstleister genutzt hat. Künftig will die Behörde allerdings keine kommerziellen Daten mehr nutzen: Es sei “gegenwärtig und auch zukünftig” nicht vorgesehen.
Mecklenburg-Vorpommern: Datenschutzbehörde prüft
Was sagt die zuständige Datenschutzbehörde zu den Databroker-Deals der Polizei in Mecklenburg-Vorpommern? Das LKA hatte die Behörde „über ein entsprechendes Produkt informiert“, erklärt eine Sprecherin auf Anfrage. Anlass sei ein „regelmäßiger, informeller Austausch“ gewesen. „Bereits in diesem Termin haben wir uns kritisch zum Einsatz und insbesondere Zweifel an einer tragfähigen Rechtsgrundlage geäußert.“
Dass die Polizei das Produkt tatsächlich eingesetzt hat, erfuhr die Behörde jedoch erst auf Anfrage von netzpolitik.org und BR, wie der Landesdatenschutzbeauftragte Sebastian Schmidt auf Anfrage erklärt. Daraufhin habe die Behörde eine Prüfung eingeleitet. Zunächst müsse man herausfinden, welche Daten die Polizei tatsächlich genutzt habe und wofür – mehr Details zum konkreten Fall könne er deshalb nicht nennen. Grundsätzlich weist der Datenschützer jedoch auf drei mögliche Probleme bei kommerziellen Werbedaten hin:
Erstens könne die Polizei mit Standortdaten aus der Werbe-Industrie „ähnliche Erkenntnisse“ gewinnen wie mit einer Funkzellenabfrage – so nennt man es, wenn die Polizei Handys über Daten von Mobilfunkanbietern ortet. Diese Überwachungsmaßnahme muss aber ein*e Richter*in genehmigen. „Einen solchen Richtervorbehalt würde man zum Beispiel umgehen, wenn man kommerzielle Standortdaten nutzt, ohne dass man eine entsprechende Rechtsgrundlage dafür hat“, erklärt Schmidt.
Zweitens stecken in den Angeboten von Databrokern oftmals Daten von Millionen Geräten, also von sehr vielen Unbeteiligten. Daran seien noch mal andere Anforderungen geknüpft, als wenn es nur um Verdächtige gehe, erklärt der Datenschützer. „Wir prüfen selbstverständlich auch, ob Daten von unbeteiligten Dritten angekauft worden sind.“
Drittens ist bei kommerziell erworbenen Standortdaten nicht klar, ob sie rechtmäßig erhoben wurden. Die bisherigen Recherchen von BR und netzpolitik.org zeigen: Von der informierten Einwilligung, auf die sich viele App-Betreiber und Databroker mit Blick auf die europäische Datenschutzgrundverordnung (DSGVO) berufen, kann in der Regel keine Rede sein. Schmidt sagt: „Diese Daten dann für polizeiliche Ermittlungen zu verwenden, ist aus datenschutzrechtlicher Sicht nicht ganz unproblematisch.“
Die Prüfung könnte Schmidt zufolge etwa ein halbes Jahr lang dauern. Das heißt, Ergebnisse kommen nicht vor der Landtagswahl am 20. September, in der die in Teilen rechtsextreme AfD Umfragen zufolge stärkste Kraft werden könnte. Was würde eine potenzielle AfD-Regierung mit einem solchen Überwachungs-Instrument tun?
Polizei-Behörden sehen sich im Recht
Der Fall Mecklenburg-Vorpommern könnte für ganz Deutschland wichtig sein. Denn unsere Recherchen zeigen: Bundesweit gehen die Einschätzungen von Polizei- und Datenschutzbehörden zur Rechtmäßigkeit der Nutzung von Werbedaten auseinander.
Wir haben alle 16 Landesdatenschutzbehörden angefragt – keine nannte eine konkrete Rechtsgrundlage für den Einsatz kommerzieller Standortdaten durch die Polizei.
Offenbar bräuchte es jedoch eine solche Grundlage. Allgemeine Ermittlungsbefugnisse, sogenannte Generalklauseln, dürften nicht ausreichen. Das sagt etwa die Landesdatenschutzbeauftragte von Brandenburg auf Nachfrage von BR und netzpolitik.org. Generalklauseln “können unseres Erachtens nicht für die Erhebung und Verwendung kommerzieller Standortdaten herangezogen werden”.
Das LKA Brandenburg, das nach eigener Aussage auf Datenhändler zurückgreift, hat unsere Frage zur Rechtsgrundlage nicht beantwortet. Andere Polizeibehörden argumentieren jedoch mit Generalklauseln. Das LKA Mecklenburg-Vorpommern beruft sich etwa auf allgemeine Befugnisse in der Strafprozessordnung und dem Landespolizeigesetz. Auch die Landeskriminalämter von Hamburg, Nordrhein-Westfalen, Thüringen und Saarland halten den Einsatz kommerzieller Standortdaten für rechtlich möglich.
Diese neun LKAs schweigen
Während die Polizeibehörden in Brandenburg und Mecklenburg-Vorpommern einige Fragen offenlassen, sind die Behörden der meisten anderen Bundesländer noch weniger transparent.
Lediglich die Polizei in Bremen, Hessen, Rheinland-Pfalz, Sachsen-Anhalt und Schleswig-Holstein hat den Einsatz kommerzieller Werbedaten bei unseren jüngsten Presseanfragen klar verneint.
Neun weitere LKAs verwiesen auf Geheimschutzgründe und äußern sich nicht. „Um die Wirksamkeit der Strafverfolgung und der Gefahrenabwehr effektiv zu schützen und laufende Verfahren nicht zu gefährden, müssen diese Angaben vertraulich behandelt werden“, heißt es etwa aus Sachsen. Thüringen und Baden-Württemberg verweisen auf „polizeitaktische Gründe“.
Von „sensiblen Bereichen der Polizeiarbeit“, schreiben die Behörden in Niedersachsen und Hamburg. Auch Bayern, Berlin, Nordrhein-Westfalen und das Saarland verweigerten eine Auskunft.
Jurist: Praxis ist „rechtswidrig“
Darf die Polizei nun Werbedaten nutzen oder nicht? Der Jurist Mark Zöller ist Professor an der Ludwig-Maximilians-Universität München und forscht dort zu Innerer Sicherheit und Digitalisierung. Im Gespräch mit netzpolitik.org und BR sagt er zur Nutzung von Werbedaten durch die Polizei: „Nach dem jetzigen Stand der Dinge wäre das rechtswidrig.“
Eine Ermächtigungsgrundlage gebe es in keinem Polizeigesetz, Behörden könnten sich nicht auf bestehende Generalklauseln berufen. „Wer das im Moment macht, handelt ohne gesetzliche Grundlage.“
Zwar könne die Polizei im Einzelfall auch illegal erhobene Daten verwenden, wie der Jurist erklärt. Die Rechtsprechung folge dem Muster: Je schlimmer die Straftat, desto eher könne auch ein rechtswidrig erhobenes Beweismittel benutzt werden. Im Fall von Standortdaten und anderen Informationen aus der Werbe-Industrie brauche es jedoch ausdrückliche gesetzliche Regelungen.
„Das Risiko halte ich für wirklich massiv, dass man da über die Hintertür Daten erhält, die man auf verfassungskonformen Weg als Staat eigentlich gar nicht zu sehen bekommen sollte“, sagt Zöller. Nach der Rechtsprechung des Bundesverfassungsgerichts müssten sich Menschen darauf verlassen können, dass ihre Daten nur für den Zweck verwendet werden, für den sie erhoben werden.
„Wir sehen das sehr häufig, dass Polizeibehörden neue technische Möglichkeiten erkennen und dann schon mal voranpreschen, weil die Verlockung groß ist, so etwas zu nutzen“, sagt Zöller mit Blick auf den Datenhandel. Auch ermittlungstaktisch könne man das nachvollziehen. Im Rechtsstaat funktioniere die Logik jedoch anders herum: „Erst regeln, dann loslegen.“
Zöller sieht es kritisch, dass mehrere Polizeibehörden den Einsatz von Werbedaten weder bestätigen noch verneinen: „Das spricht dafür, dass das auch dort zumindest in Erwägung gezogen wird.“
Der Wiener Tracking-Forscher Wolfie Christl warnt vor den Folgen staatlicher Überwachung mit Werbedaten: „Sollten deutsche Polizeibehörden ADINT-Systeme einsetzen, wäre damit eine Art unkontrollierte Massenüberwachung möglich – auf Grundlage großer Mengen zugekaufter personenbezogener Verhaltensdaten über Millionen von Menschen in Deutschland.“
Er spricht vom „Missbrauch“ der Daten für Überwachung. „Es gibt über die gesamte Datenlieferkette hinweg keine Rechtsgrundlage für eine Weitergabe dieser Daten für Überwachungszwecke.“
Bundesbehörden mauern ebenfalls
Nicht nur in den Bundesländern verweigern Sicherheitsbehörden Transparenz, sondern auch auf Bundesebene. Nutzen etwa die Bundespolizei und Bundeskriminalamt Daten der Werbe-Industrie? Das wollte Ende 2025 die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) in einer Kleinen Anfrage wissen. Die Bundesregierung gab keine Auskunft.
Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden.
Nicht einmal in eingestufter Form, also unter Auflagen zur Geheimhaltung, wollte die Regierung das Parlament über eine mögliche Nutzung von Werbedaten durch Polizeibehörden informieren. Auch Auskünfte zur Nutzung durch Geheimdienste verweigerte sie auf vorherige Anfragen von netzpolitik.org und BR.
Fachleute halten es jedoch für wahrscheinlich, dass auch Bundesbehörden bei Databrokern einkaufen oder Dienste von ADINT-Anbietern nutzen. „Es gibt gute Gründe, davon auszugehen, dass dies längst geschieht“, schlussfolgern die Autoren einer Studie des Thinktanks Interface im Jahr 2024. Hinweise darauf gibt es unter anderem in der Begründung für die 2023 beschlossene Novelle des BND-Gesetzes.
Auch die Wissenschaftlichen Dienste des Deutschen Bundestages sehen Hinweise, „dass die Praxis kein Ausnahmephänomen darstellt, sondern zunehmend Teil des behördlichen Informationsmanagements wird“. Das dazu gehörige Gutachten entstand auf Anfrage von Linken-Politikerin Vogtschmidt.
Sollten Bundesbehörden tatsächlich Werbedaten kaufen, würde das laut Gutachten rechtlich auf tönernen Füßen stehen: Bundespolizei und Bundeskriminalamt hätten dafür keine Rechtsgrundlage, heißt es. Eine klare Rechtsgrundlage fehlt demnach sogar für Geheimdienste, die deutlich mehr Befugnisse zur Überwachung haben.
Politiker*innen warnen über Parteigrenzen hinweg
Hinter dem Geschäft mit Handy-Standortdaten steckt globale kommerzielle Massenüberwachung. Hierzu recherchieren netzpolitik.org, Bayerischer Rundfunk und internationale Recherche-Partner seit Februar 2024. Databroker bündeln Daten aus der Werbe-Industrie und verkaufen sie in riesigen Paketen, in der Regel rechtswidrig. Dabei geht es längst nicht mehr um personalisierte Werbung. Die Daten werden zur Handelsware – ein klarer Bruch mit der Zweckbindung, wie sie die DSGVO verlangt.
Allein anhand von Gratis-Kostproben verschiedener Anbieter konnte das Recherche-Team inzwischen mehr als 13 Milliarden Handy-Standorte von Millionen Betroffenen weltweit sammeln und auswerten.
In zahlreichen Veröffentlichungen haben die Databroker Files gezeigt: In den Daten stecken teils genaueste Bewegungsprofile. Sie verraten Wohnadressen und Urlaubsziele, aber auch Privates wie Besuche in Kliniken, Bordellen oder religiösen Einrichtungen. Ausspionieren lassen sich selbst hochrangige Beamt*innen der Bundesregierung und der EU-Kommission oder Menschen mit Zugang zu Militärstützpunkten und Geheimdiensten.
Sicherheitsbehörden müssen die milliardenfachen Standortdaten nicht selbst auswerten. Dafür bieten spezialisierte Firmen Software an. Zum Angebot gehört eine interaktive, grafische Nutzungsoberfläche, ähnlich wie ein Online-Kartendienst. Statt nach Restaurants können Beamt*innen damit etwa nach Handy-Ortungen in bestimmten Gebieten suchen sowie nach den Bewegungsprofilen bestimmter Geräte.
Für den Zugriff auf solche Software verlangen ADINT-Firmen eine Gebühr. Zur Branche gehören etwa die US-amerikanische Firma Penlink, das israelische Unternehmen Rayzone oder das italienische RCS Labs. Zu den öffentlich bekannten Kunden zählen die US-amerikanische Abschiebe-Miliz ICE und die ungarische Regierung, wie kürzlich das Citizen Lab der Universität Torotono mit dem Medium VSquare aufgedeckt hat.
Parteiübergreifend haben Politiker*innen in Deutschland und in der EU den unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie als Gefahr für die innere und äußere Sicherheit bezeichnet. Mit Blick auf erhöhte Gefahr von Spionage ist die Sorge groß, dass ausländische Geheimdienste solche Daten nutzen.
Korrektur, 2. Juni, 12:00 Uhr: Aus den Antworten des LKA Brandenburg geht nicht klar hervor, ob die von Datenhändlern beschafften kommerziellen Daten aus der Werbe-Industrie stammen oder möglicherweise aus Quellen außerhalb der Werbe-Industrie. Auch auf direkte Nachfrage hat die Behörde das nicht offengelegt. Das war etwa im Teaser und in der Info-Grafik nicht sauber formuliert. Wir haben das korrigiert.
Update, 4. Juni, 11:00 Uhr: Erst nach der Veröffentlichung hat das LKA Brandenburg weitere Details genannt. Die Behörde habe „bisher keine personenbezogenen Standortdaten von Datenhändlern oder anderen kommerziellen Anbietern bezogen“. Auch seien „bisher keine Dienstleister in Anspruch genommen worden, die solche Daten aus dem Ökosystem der Online-Werbung, aus anderen kommerziell erwerblichen oder unbekannten Quellen zur Verfügung stellen“. Stattdessen habe die Polizei auf Daten von kommerziellen Plattformen „wie beispielsweise von Wirtschaftsauskunfteien“ zurückgegriffen.
netzpolitik.org und Bayerischer Rundfunk recherchieren weiter zur Nutzung von Werbedaten durch Polizeibehörden. Für Hinweise sind die Autoren Ingo Dachwitz und Sebastian Meineck dankbar.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Vom Lobby-Gipfel in den Alpen bis zum Buchhandlungspreis: Das erste Jahr Schwarz-Rot ist geprägt von skandalöser Intransparenz und zähem Ringen um Informationsfreiheit. Der vielleicht größte Umbruch: Unter Bundeskanzler Friedrich Merz ist Transparenz erstmals seit langem kein politisches Ziel mehr.
Transparenz ist für die Regierung von Bundeskanzler Friedrich Merz kein Thema – Alle Rechte vorbehalten: IMAGO / photothek
Es ging schon nicht gut los mit der neuen Regierung und der Transparenz: Noch bevor sie im Amt war, löste die Koalition in spe einen öffentlichen Ausschrei aus, weil sie auf Vorschlag der CDU über eine Abschaffung des Informationsfreiheitsgesetzes diskutierte. Am Ende flog die umstrittene Formulierung zwar aus dem Koalitionsvertrag von Union und SPD, doch ein Jahr nach Amtsantritt stellen Transparenzorganisationen der Regierung von Friedrich Merz ein vernichtendes Zeugnis aus.
„Der Stellenwert, den diese Regierung Transparenz einräumt, ist sehr gering“, schreibt uns etwa Sarah Schönewolf, Pressesprecherin des Portals Abgeordnetenwatch. „Der politische Wille, Transparenz zu priorisieren und zu stärken, ist in der Regierung Merz praktisch nicht vorhanden“, heißt es auch von FragDenStaat. Die Organisation Lobbycontrol sieht mit Blick auf „die Informationspolitik der schwarz-roten Bundesregierung und den Umgang mit Fragen aus Parlament, Presse und Öffentlichkeit“ sogar „einen neuen Tiefpunkt“ erreicht.
Wir haben die drei Organisationen um eine Transparenz-Bilanz des ersten Jahres Schwarz-Rot gebeten. Sie berichten uns von willkürlichen Auskunftsverweigerungen, verschleppten Anfragen und vorgeschobenen Ausnahmetatbeständen. Immer wieder würden einzelne Ministerien und ihre Leitungen durch skandalöse Intransparenz auffallen. Dass die Regierung die gesetzliche Lage der Informationsfreiheit verbessern könnte, erwartet von ihnen niemand mehr.
Vom Lobby-Gipfel in den Alpen bis zum Buchhandlungspreis
„Ob Interessenkonflikte, Lobbykontakte oder Maskendeals, die aktuelle Regierung zeigt sich besonders zugeknöpft, schmallippig und teilweise geradezu dreist darin, wie Antworten verweigert werden“, schreibt uns etwa Timo Lange von Lobbycontrol. Als Beispiel nennt er unter anderem den vom Gesundheitsministerium seitenweise geschwärzten Sudhoff-Bericht zu den Maskengeschäften des ehemaligen Gesundheitsministers Jens Spahn.
Ein zentrales Problem macht Sarah Schönewolf von Abgeordnetenwatch in der Wirtschaftsnähe wichtiger Akteur:innen aus. „Überdurchschnittlich viele Mitglieder dieser Regierung waren bis kurz vor ihrer Ernennung selbst als Lobbyist:innen tätig und legen einen sehr unbefangenen Umgang mit Lobbyeinfluss einerseits und einen sehr zurückhaltenden Umgang mit Transparenz darüber andererseits an den Tag.“
Das Paradebeispiel hierfür dürfte Wirtschaftsministerin Katherina Reiche sein, die bis kurz vor ihrem Amtsantritt Vorstandsvorsitzende einer Tochtergesellschaft des Energiekonzerns E.ON war. Erinnert sei beispielhaft an die vermeintlich rein private Reise zu einem Lobby-Treffen in Tirol im Oktober 2025, das von ihrem Ehemann Karl-Theodor zu Guttenberg mitorganisiert wurde. Als Journalist:innen Anfragen zu dem exklusiven Stelldichein mit Wirtschaftsbossen und internationalen Politiker:innen stellten, verweigerte das Wirtschaftsministerium die Auskunft. Reiche sei schließlich privat bei dem Event gewesen, auch wenn sie im Programm als „Ihre Exzellenz“ und amtierende Bundeswirtschaftsministerin vorgestellt wurde.
Ein anderes Beispiel ist Kulturstaatsminister Wolfram Weimer, der zunächst behauptet hatte, sein Medienunternehmen, das unter anderem das Online-Magazin The European herausgibt, mit Amtsantritt verlassen zu haben. Erst durch Recherchen der Süddeutschen Zeitung wurde öffentlich, dass er weiter Anteile an der Weimer Media Group hielt. In Reaktion auf den öffentlichen Aufschrei ließ der Unternehmer seine Beteiligung ruhen.
Auch Weimers Vorgehen zum Buchhandlungspreis war durch Intransparenz geprägt: Die Streichung dreier linker Buchhandlungen von der Liste der Preisträger:innen wurde zunächst als Jury-Entscheidung getarnt. Als später klar wurde, dass der Staatsminister die Läden wegen „verfassungsschutzrelevanter Erkenntnisse“ ausschließen ließ, verweigerte er konkretere Auskünfte. Inzwischen haben die betroffenen Buchhandlungen Klagen angekündigt.
4.000 Euro Gebühren für eine Akteneinsicht
Womöglich noch gravierender als das Verhalten einzelner Regierungsvertreter:innen sind systematische Hürden bei Auskunftsanfragen durch Journalist:innen und zivilgesellschaftliche Akteur:innen.
Als Abgeordnetenwatch beispielsweise Einsicht in Unterlagen zu acht Lobbyterminen von Wirtschaftsministerin Katherina Reiche beantragte, drohte ihr Ministerium der Organisation nach Auskunft von Pressesprecherin Sarah Schönewolf mit Bearbeitungsgebühren von bis zu 4.000 Euro. Die Begründung: Es handele sich um acht separate Anträge, sodass acht Mal der Höchstbetrag von 500 Euro aufgerufen werden könne. Dabei habe das Bundesverwaltungsgericht eine vergleichbare Praxis bereits 2016 für rechtswidrig erklärt: „Abschreckend wirkende Gebühren sind mit dem IFG unvereinbar“, so Schönewolf. Bei einem vergleichbaren Fall unter Reiches Vorgänger Robert Habeck habe das Ministerium lediglich einmal die Höchstgebühr verlangt.
Erst nachdem man Klage angedroht habe, hätte das Ministerium eingelenkt, erzählt Schönewolf. „Das ist kein Einzelfall: Wir erleben wiederholt, dass Ministerien versuchen, den Zugang zu Informationen durch hohe Gebühren oder Verzögerungen von deutlich mehr als der einmonatigen Frist zu erschweren.“
FragDenStaat muss häufiger Klagen
Auch FragDenStaat berichtet von immer neuen Steinen, die der Transparenzorganisation in den Weg gelegt werden. Anfragen nach dem Informationsfreiheitsgesetz würden immer wieder verschleppt oder komplett ignoriert, so Pressesprecherin Michelle Trimborn. Außerdem mache man die Erfahrung, dass häufig Ausnahmetatbestände vorgeschoben und etwa Sicherheitsbedenken extrem großzügig ausgelegt werden oder Dokumente plötzlich als geheime „Verschlusssache“ gelten würden.
Die Zahl der Klagen und Verfahren, die man deshalb gegen die Regierung führe, habe zugenommen. Man würde „manche Ministerien in Sachen Transparenz als ‚mangelhaft‘ bewerten“.
Besonders auffällig sei das Innenministerium mit seinen nachgeordneten Behörden. Aktuell versucht FragDenStaat beispielsweise, Fragenkataloge zu erhalten, die das Ministerium an Politische Stiftungen geschickt hat. Eine Antwort wäre laut gesetzlicher Vorgaben bis Anfang April fällig gewesen, bislang hat das Ministerium laut Dokumentation auf der Plattform nicht einmal reagiert. Auch zur Durchleuchtung zivilgesellschaftlicher Organisationen durch den Verfassungsschutz im Rahmen des sogenannter Haber-Verfahrens schweigt das Innenministerium beharrlich.
Erstmals ist Transparenz kein politisches Ziel mehr
Auch wir bei netzpolitik.org machen unsere Erfahrungen mit der schweigsamen Regierung. Gerne hätten wir zum Beispiel erfahren, ob auch deutsche Behörden mutmaßlich illegal aus der Werbeindustrie gesammelte Informationen von Datenhändlern kaufen, doch die Regierung schweigt sich dazu aus. Selbst als die Bundestagsabgeordnete Donata Vogtschmidt im Parlament eine Kleine Anfrage zu dem Thema stellt, erhält sie keine Auskunft, nicht mal eine eingestufte. „Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden“, so die Begründung.
Dabei ist es natürlich nicht so, als hätten vorangegangen Bundesregierungen in Sachen Transparenz immer besonders geglänzt. Schon vor zehn Jahren war die „Informationsfreiheits-Ablehnung des Tages“ eine beliebte Rubrik auf netzpolitik.org. Auch unter den Kanzler:innen Merkel und Scholz wurden IFG-Anfragen gerne mal unter Verweis auf absurde Gründe wie das Urheberrecht abgelehnt.
Neu sei allerdings, dass die Regierung Merz Transparenz nicht mal mehr als politisches Ziel benenne, so Sarah Schönewolf von Abgeordnetenwatch:
Die Ampel hatte sich Transparenz explizit auf die Fahnen geschrieben und trotz einiger Schwächen zumindest teilweise umgesetzt. Schwarz-Rot habe nicht einmal das. Im Koalitionsvertrag findet sich kein einziges konkret benanntes Transparenzvorhaben in den für uns relevanten Bereichen. Das ist eine unambitionierte und uninspirierte Fortführung des Status quo.
Informationsfreiheit unter Druck
Zu den Fortschritten unter der Ampel-Regierung zählt etwa der „exekutive Fußabdruck“, der den Einfluss von Interessengruppen auf Gesetzestexte sichtbar machen soll. Dieser werde von den Ministerien bisher kaum angewendet, kritisieren Abgeordnetenwatch und Lobbycontrol. Aktuell evaluiert das Digitalministerium die Regelung, Timo Lange von Lobbycontrol fordert deshalb, dass das Instrument dringend nachgebessert werden müsse.
Auf der Wunschliste der drei Organisationen bleibt zudem die Einführung eines Transparenzgesetzes auf Bundesebene. „Transparenz bleibt ein wichtiges Mittel, um Vertrauen in die Regierung, Teilhabe und letztlich Demokratie zu stärken“, so Michelle Trimborn. „Dass die schwarz-rote Regierung gerade jetzt nicht für mehr Transparenz sorgt, um autoritären Entwicklungen und Desinformation etwas entgegenzusetzen, ist fahrlässig und gefährlich.“
Tatsächlich stehen die Zeichen aktuell sogar eher auf Abbau von Transparenz. Im Bund ist der erwartete Angriff bislang zwar nicht erfolgt, dafür jedoch auf Länderebene. In mehreren Bundesländern laufen derzeit Gesetzgebungsverfahren, die die Informationsfreiheit im Namen von Bürokratieabbau und Sicherheit beschneiden.
Dabei sei Transparenz keine Kür, sondern eine der Grundvoraussetzungen dafür, dass Demokratie funktioniert, so Sarah Schönewolf. „Wer sie verweigert, schwächt den Rechtsstaat.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Eine der wichtigsten Konferenzen zu digitalen Grund- und Menschenrechten sollte diese Woche in Sambia stattfinden. Doch die Veranstaltung in dem südafrikanischen Land wurde kurzfristig abgesagt. Die Veranstalter:innen erheben schwere Vorwürfe: Demnach ließ China wegen taiwanesischer Gäste die Muskeln spielen.
Morgen sollte in Lusaka die RightsCon beginnen, eine der wichtigsten Konferenzen für Grund- und Menschenrechte in der digitalen Welt. Doch kurz vor dem Beginn meldete vorige Woche die Regierung des Gastgeberlandes Sambia Bedenken an und verkündete, die Konferenz müsse verschoben werden. Inzwischen ist sie ganz abgesagt und die Ausrichterin, die Nichtregierungsorganisation Access Now, erhebt schwere Vorwürfe – nicht nur gegen Sambia, sondern auch gegen die Volksrepublik China. Diese habe wegen der Teilnahme taiwanesischer Gäste Druck auf die Regierung Sambias ausgeübt.
Mehr als 2.600 Gäste erwartet
Die Konferenz findet jedes Jahr in einem anderen Land statt. Seit 2024 habe man die erste RightsCon im südlichen Afrika in enger Zusammenarbeit mit der Regierung Sambias vorbereitet, heißt es in einem Statement, das Access Now am Freitag veröffentlicht hat. Mehr als 2.600 Gäste seien in der sambischen Hauptstadt Lusaka erwartet worden, viele von ihnen hätten ihre Reise lange geplant und teilweise bereits angetreten. Weitere 1.100 Teilnehmende im Netz waren angemeldet, zusammen repräsentierten sie mehr 750 Organisationen aus 150 Ländern: Menschenrechts-Aktivist:innen, Vertreter:innen von Regierungen und internationalen Organisationen, Mitarbeitende von Tech-Unternehmen.
Entsprechend groß war der Schock, als Ende April, nur wenige Tage vor dem Beginn der viertägigen Veranstaltung, erste Berichte über eine Verschiebung der Konferenz durch die sambische Regierung die Runde machten. Noch am 26. April hatte das Ministerium für Technologie und Wissenschaft die bevorstehende Veranstaltung begrüßt. „RightsCon 2026 wird Sambia eine strategische Plattform bieten, um sein Engagement für eine sichere, inklusive und auf Rechten basierende digitale Zukunft unter Beweis zu stellen und gleichzeitig wirtschaftliche Chancen für lokale Innovatoren und Unternehmen zu erschließen“, so eine Sprecherin des Ministeriums.
Einen Tag später, so Access Now, sei man vom Ministerium telefonisch informiert worden, dass es ein Problem gebe: „Uns wurde mitgeteilt, dass Diplomaten der Volksrepublik China Druck auf die Regierung Sambias ausübten, weil Vertreter der taiwanesischen Zivilgesellschaft planten, persönlich an der Veranstaltung teilzunehmen“, so Access Now in der englischsprachigen Erklärung. Dies habe man mit Nachdruck zurückgewiesen und unverzüglich taiwanesische Gäste gewarnt. „Wir haben ihnen gesagt, dass wir von einer Anreise abraten würden, bis mehr Klarheit herrscht“, so Nikki Gladstone von Access Now gegenüber WIRED.
Mehrere kritische Beiträge im Programm
Laut Access Now folgten zahlreiche Versuche der Klärung. Am Ende habe die sambische Regierung jedoch klargemacht, dass die Konferenz nur stattfinden dürfe, wenn inhaltliche Konzessionen gemacht würden. Ihnen sei „informell aus mehreren Quellen“ mitgeteilt worden, dass „die RightsCon nur dann fortgesetzt werden könne, wenn wir bestimmte Themen zensieren und gefährdete Gruppen, darunter unsere taiwanesischen Teilnehmer:innen, von der Teilnahme vor Ort und online ausschließen würden“. In Reaktion darauf erfolgte am 30. April schließlich die Absage der Konferenz durch die Veranstalter:innen. „Das war unsere rote Linie“, so Access Now.
Das Programm der RightsCon enthielt mehrere Sessions, die sich kritisch mit Chinas Rolle in der globalen Digitalisierung auseinandersetzten, etwa zum Export digitaler Zensur- und Überwachungswerkzeuge, zur Verbreitung von Desinformation in Regionen wie Afrika oder zu chinesischen Cyber-Attacken. Unter den Speaker:innen waren unter anderem die Chefinnen von Amnesty International Taiwan und des Taiwan Network Information Center, das für die Registrierung von Domainnamen und die Vergabe von IP-Adressen in Taiwan zuständig ist. 2025 fand die RightsCon in Taipeh statt, der Hauptstadt Taiwans.
Die Taiwan-Frage führt immer wieder zu geopolitischen Spannungen, die Volksrepublik China droht regelmäßig mit einer militärischen Eroberung der strategisch wichtigen Insel. Erst kürzlich beschimpfte ein Sprecher der chinesischen Regierung Taiwans Präsidenten Lai Ching-te als „Ratte“. Anlass war eine Reise Lais in das südafrikanische Königreich Eswatini. Medienberichten zufolge sollen drei Staaten im Indischen Ozean auf Druck Pekings Überflugrechte für Lais Maschine zurückgezogen haben, um die Reise zu verhindern.
Kritische Abhängigkeiten
China hat in den vergangenen Jahrzehnten massiv auf dem afrikanischen Kontinent investiert und so Abhängigkeiten geschaffen. Insbesondere im Rahmen des Projekts „Neue Seidenstraße“ haben chinesische Kredite und Konzerne den Ausbau der analogen und digitalen Infrastruktur in vielen afrikanischen Ländern ermöglicht. Auch zwischen Sambia und China sind die Verbindungen eng. WIRED zufolge hat die Zambia Development Agency wenige Tage vor der Konferenz, am 23. April einen Vertrag über 1,5 Milliarden US-Dollar mit einem staatlichen chinesischen Bauunternehmen verkündet, um die Stromkapazitäten des Landes auszubauen. Auch das Internationale Konferenz-Zentrum in Lusaka, in dem die RightsCon stattfinden sollte, wurde 2022 mit Hilfe eines Zuschusses der chinesischen Regierung in Höhe von 30 Millionen US-Dollar umfassend erweitert.
Dass China seine Macht gegen die globale Digital-Rights-Community derart offen ausspielt und Abhängigkeiten ausnutzt, ist jedoch ungewöhnlich. Die Volksrepublik positioniert sich seit vielen Jahren im Globalen Süden als systemische Alternative zur US-Dominanz, auch im Bereich der Internet Governance. In einem 2022 Weißbuch spricht China gar von einer „Schicksalsgemeinschaft im Cyberspace“.
„Ich denke, dieser Fall zeigt deutlich, dass China nicht nur eines der stärksten Systeme zu Online-Zensur und ‑Überwachung aufgebaut hat, sondern derzeit auch neue Methoden der Offline-Zensur außerhalb der eigenen Grenzen testet“, kommentiert Alena Epifanova von der Deutschen Gesellschaft für Auswärtige Politik den Fall. „Das könnte künftig mehrere Länder betreffen, die enge wirtschaftliche Beziehungen zu China haben oder von chinesischen Investitionen abhängig sind“, so die Vermutung der Analysten des von der Bundesregierung finanzierten Thinktanks. „Wenn es um Taiwan geht, zieht das Land alle Register – unabhängig von Partnerschaftsnarrativen –, um Taipeh zu isolieren.“
Wir haben die Botschaft der Volksrepublik China und die Botschaft Sambias am Montag kurzfristig für ein Pressestatement zu den Vorwürfen angefragt und bis zur Veröffentlichung keine Antwort erhalten. Wir reichen diese nach, sofern wir eine Antwort erhalten.
Update 1, 05.05.2026, 12:45 Uhr: Mehrere Europäische Organisationen wie die European Partnership for Democracy (EPD), European Digital Rights, Digitale Gesellschaft und Zašto haben einen offenen Brief zur Absage der Konferenz veröffentlicht. Darin kritisieren sie die Entscheidung der sambischen Regierung und fordern unter anderem Konsequenzen der EU und ihrer Mitgliedsländer. Ein automatisiert übersetzter Auszug aus dem englischsprachigen Brief:
Dieser Schritt geschieht nicht in einem Vakuum. Die Zivilgesellschaft steht weltweit bereits unter erheblichem Druck und sieht sich mit drastischen Mittelkürzungen sowie Gesetzen konfrontiert, die darauf abzielen, den zivilgesellschaftlichen Handlungsspielraum einzuschränken. Die Absage der RightsCon reiht sich ein in ein besorgniserregendes globales Muster der Unterdrückung, das genau jene Organisationen und Personen ins Visier nimmt, die sich für die Verteidigung der Grundrechte einsetzen.
Der Zeitpunkt macht dies besonders deutlich. Der Tag der Pressefreiheit der UNESCO findet diese Woche in Lusaka statt – ein Ereignis, das offene Gesellschaften feiern sollte und nicht von der Unterdrückung zivilgesellschaftlicher Versammlungen durch die Regierung des Gastgeberlandes überschattet werden darf.
EPD unterstützt den Aufruf unserer Partner an die Europäische Union und ihre Mitgliedstaaten, Sambia klar zu machen, dass diese Entscheidung zutiefst alarmierend ist und die Gefahr birgt, einen Schatten auf die Beziehungen zwischen der EU und Sambia zu werfen. Wir unterstützen auch den Aufruf, die Delegierten, die heute am Weltpressefreiheitstag in Lusaka teilnehmen, dazu aufzufordern, diese Plattform zu nutzen, um ihre Stimme zu erheben. Schließlich unterstützen wir den Aufruf an die sambische Regierung, die Rechte von Aktivisten auf Versammlung, Organisation und freie Meinungsäußerung in ihrem Land oder im Ausland uneingeschränkt zu respektieren.
Update 2, 05.05.2026, 13:30 Uhr: Die Botschaft der Republik Sambia hat auf unsere Presseanfrage geantwortet und uns ein Statement geschickt, das sie bereits am 29. April veröffentlicht hatte. Darin betont die Regierung, dass es sich lediglich um eine Verschiebung der Konferenz handele, und bedauert dadurch entstehende Unannehmlichkeiten. Sie begründet den Schritt wie folgt (maschinell übersetzt aus dem Englischen):
Die Verschiebung wurde notwendig, da umfassende Informationen zu zentralen Themen, die auf dem Gipfel zur Diskussion stehen sollten, offengelegt werden mussten. Diese Offenlegung ist unerlässlich, um eine vollständige Übereinstimmung mit den nationalen Werten, den politischen Prioritäten und den übergeordneten Erwägungen des öffentlichen Interesses Sambias zu gewährleisten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der KI-Boom wird mehr und mehr zum Problem für Umwelt und Klima. Expert:innen haben jetzt für das Umweltministerium skizziert, wie eine nachhaltigere Alternative aussehen könnte. Ihr Gutachten vermeidet Kritik am aktuellen Kurs, die Empfehlungen laufen jedoch auf eine drastische Politikwende hinaus.
Digitalminister Karsten Wildberger (CDU) und NRW-Wirtschaftsministerin Mona Neubauer (Grüne) zusammen mit Lokalpolitiker:innen und Microsoft-Vertreter:innen beim Spatenstich für ein neues Rechenzentrum des Konzerns im Rheinischen Revier. – Alle Rechte vorbehalten IMAGO / Marc John
Wie kann Künstliche Intelligenz ökologisch nachhaltiger und gleichzeitig zum Wettbewerbsvorteil für Deutschland und Europa werden? Das Bundesumweltministerium hat zu dieser Frage in der vergangenen Woche ein Gutachten von fünf Expert:innen veröffentlicht. Ihre klare Botschaft: Beides ist möglich, aber nur mit einem deutlichen Umsteuern in der KI-Politik.
Während die Bundesregierung gerade die Regeln zu Umweltschutz und Energieeffizienz von Rechenzentren lockern will, weil sie sich als Konkurrentin in einem KI-Wettrennen mit den USA und China wähnt, warnt das Gutachten unter anderem: „Regulatorische Änderungen mit eng gefasstem Fokus und kurzfristiger Perspektive können zu langfristigen Problemen führen und dazu, dass die Ziele der Energiewende verfehlt werden.“
Der Energiehunger der Künstlichen Intelligenz
Die Ausgangslage für nachhaltige KI ist aktuell gleich im doppelten Sinne düster: Zum einen ist klar, dass der Energieverbrauch durch Rechenzentren, die für die Entwicklung und den Betrieb sogenannter Künstlicher Intelligenz gebaucht werden, rasant steigt. Nach Schätzungen der Internationalen Energieagentur betrug er in 2024 bereits 415 Terawattstunden, was nur knapp unter dem Stromverbrauch von Frankreich liegt, also der siebtgrößten Volkswirtschaft der Welt (449 Terawattstunden in 2024). Um den Energiehunger der KI zu stillen, setzen die großen KI-Firmen neben erneuerbaren auch massiv auf fossile, umweltschädliche Formen der Energiegewinnung, insbesondere Gas.
Zum anderen ist aufgrund der großen Intransparenz der Branche weitgehend unbekannt, wie viel Strom und Wasser einzelne KI-Modelle oder Rechenzentren genau verbrauchen oder wie viele Treibhausgas-Emissionen sie verursachen. Auch die großen Versprechen, dass KI für nachhaltige Zwecke wie etwa intelligentes Energie-Management genutzt werden könne, warten überwiegend noch auf ihre Einlösung.
Die ausgewiesenen Expert:innen Udit Gupta, Philipp Hacker, Lynn Kaack, Emma Strubell und Aimee van Wynsberghe haben im Auftrag des Umweltministeriums deshalb zahlreiche Vorschläge gemacht, wie die Situation verbessert werden könnte. Sie sagen: KI und Nachhaltigkeit müssten nicht im Widerspruch stehen. Deutschland habe eine gute Ausgangslage, um bei nachhaltiger KI eine globale Führungsrolle einzunehmen.
Spezialisierte KI-Ansätze statt riesiger Modelle
Eine zentrale Empfehlung der interdisziplinären Expert:innen-Gruppe ist ein realistischerer Blick auf die Vor- und Nachteile unterschiedlicher KI-Ansätze.
Derzeit sei die Aufmerksamkeit auf die großen sogenannten General-Purpose-AI-Modelle (GPAI) konzentriert. Der englische Begriff lässt sich am besten als KI-Modelle mit allgemeinem Verwendungszweck übersetzen. Gemeint sind in der Regel generative Modelle wie GPT von OpenAI oder Claude von Anthropic. Diese Modelle sind gerade wegen ihres allgemeinen Problemlösungsanspruchs und der dahinterstehenden Technik des Reasonings, das logisches Schlussfolgern imitiert, besonders energieintensiv.
Daneben gebe es jedoch auch andere vielversprechende Ansätze wie etwa kleinere KI-Modelle, die speziell zur Erfüllung konkreter Aufgaben trainiert werden. Diese seien oft besser zur Erfüllung von Aufgaben in der Industrie geeignet, etwa für Predictive Maintenance oder Bilderkennung für Krebsforschung. Viele Aufgaben erforderten gar nicht die Fähigkeiten von Allzweckmodellen oder profitieren nicht einmal davon.
Je genauer man die Zielaufgabe für ein KI-Modell definieren könne, desto effizienter lasse es sich in der Regel gestalten. Die klare Empfehlung des Gutachtens: „Um den wirtschaftlichen Nutzen von KI zu maximieren und gleichzeitig ihren Ressourcenbedarf zu minimieren, ist es daher von entscheidender Bedeutung, Modelle entsprechend zu spezialisieren oder sie gezielt für bestimmte Aufgaben einzusetzen.“
Der Fokus auf kleinere und spezifische Modelle passe zum deutschen und europäischen KI-Ökosystem, das stärker von kleineren und mittleren Unternehmen als von Tech-Giganten geprägt sei. Solche Modelle müssten durch gezielte Investitionen, Förderungen und Public-Private-Partnerships vorangetrieben werden. Dann könnten sich Nachhaltigkeit und ökonomische Wettbewerbsfähigkeit gegenseitig verstärken.
„Die Zukunft ist offener, als wir denken“, so fasste Jurist Philipp Hacker von der Europa-Universität Viadrina die Hoffnung der Sachverständigen bei einer Vorstellung der Studie in Berlin zusammen. „Es ist nicht alternativlos, dass die GPAI-Modelle gewinnen.“ Die Anbieter der großen Modelle hätten bis heute kein tragfähiges Geschäftsmodell und ihre Modelle würden teilweise immer schlechter, Stichwort „Enshittification“, so Hacker.
Intransparenz als Kernproblem
Ein großes Problem bei einer nachhaltigeren Gestaltung der KI-Ökonomie ist dem Gutachten zufolge die massive Intransparenz der Branche. Weil entsprechende Informationen fehlen, könnten Nutzer:innen heute gar nicht das „am wenigsten problematische Modell“ auswählen, so Computerlinguistin Emma Strubell von der Carnegie Mellon University.
Die Intransparenz sei nicht nur ein Problem für private, sondern auch für betriebliche Anwender:innen, die sich ein Bild von der Effizienz machen müssten. Auflagen für die Umweltberichterstattung müssten deshalb dringend um verpflichtende, standardisierte, unabhängig überprüfte und öffentlich zugängliche Informationen zu den Folgen von KI über den gesamten Lebenszyklus ergänzt werden.
Die KI-Verordnung der EU enthalte hierzu beispielsweise nur rudimentäre Anforderungen, die erweitert werden müssten. Dabei sollten nicht nur Daten zum Energieverbrauch beim Training, sondern auch beim Gebrauch von KI-Modellen einfließen. Ebenso CO₂-Emissionen, die bei der Produktion spezialisierter Hardware wie etwa hochleistungsfähigen Grafikprozessoren entstehen.
Bislang halten KI-Firmen solche Daten unter Verweis auf Geschäftsgeheimnisse unter Verschluss. Das öffentliche Informationsinteresse überwiege hier jedoch, so das Gutachten: „Der dringende Bedarf an Daten für ein wirksames Ressourcenmanagement und den Umweltschutz überwiegt die potenziellen Wettbewerbsnachteile, die mit der Offenlegung von Kennzahlen verbunden sind, die indirekt mit der Modellgröße zusammenhängen.“
Darüber hinaus könnten Anbieter verpflichtet werden, ein „grünes Modell“ ihrer KI-Anwendungen anzubieten, das beispielsweise ohne rechenintensives Reasoning daherkomme, um Energieverschwendung durch unnötige Rechenoperationen zu vermeiden. Auch das staatliche Beschaffungswesen sollte als Hebel genutzt werden, um KI- und Cloud-Anbieter zu fördern, die auf Energieeffizienz, nachhaltige Energiequellen und öffentliche Transparenz setzen.
Regeln für Rechenzentren müssen verschärft werden
Auch Rechenzentren als wichtige KI-Infrastruktur stehen im Fokus des Gutachtens. Bei keiner Industrie steige der Energiebedarf derzeit so rasant an wie bei Rechenzentren, so Udit Gupta von der New Yorker Universität Cornell Tech bei der Vorstellung des Papiers. In bestimmten Regionen führe der Bau-Boom bereits heute zu Problemen mit der Energieversorgung. In Frankfurt am Main etwa gingen bereits 2022 knapp 30 Prozent des Stromverbrauchs auf das Konto von Rechenzentren.
Auch hier gehen dem Gutachten zufolge die aktuellen Berichts- und Transparenzpflichten für Betreiber nicht weit genug. Statt tatsächlicher Verbrauchsmessungen würden sie häufig lediglich Schätzungen basierend auf dem Design ihrer Anlagen übermitteln. Ohne solche Angaben könne der tatsächliche Bedarf an Rechenkapazität nicht realistisch eingeschätzt und der Bau neuer Anlagen volkswirtschaftlich sinnvoll geplant werden. Zahlen aus den Niederlanden hätten erst kürzlich gezeigt, dass Rechenzentren dort vermutlich nur zu einem Drittel ausgelastet seien.
Problematisch seien auch die zentralen Maßeinheiten für die Effizienz von Rechenzentren, der PUE-Wert, kurz für Power Usage Effectiveness, und der WUE-Wert, kurz für Water Usage Effectiveness. Beide Werte, die auch in den Nachhaltigkeitsberichten großer Rechenzentrumsbetreiber wie Amazon, Google oder Microsoft angegeben werden, geben keine Auskunft über den absoluten Verbrauch. Stattdessen sind es relative Effizienzwerte, was dazu führe, dass PUE und WUE sich zwar verbessern würden, der absolute Verbrauch jedoch drastisch steige, weil Einsparungen in immer noch größere Modelle investiert würden. Der PUE-Wert messe zudem nur den Energieverbrauch der Gebäude-Infrastruktur, etwa Kühlsystem und Beleuchtung, nicht den Verbrauch der tatsächlichen Energieinfrastruktur.
Um hier für Verbesserungen zu sorgen, müssten den Expert:innen zufolge die Transparenz- und Berichtspflichten für Rechenzentren deutlich verschärft werden. Hierzu müsste der DIN-Standard für Rechenzentren ebenso angepasst werden wie die Europäische Energieeffizienz-Richtlinie und das deutsche Energieeffizienzgesetz. Wichtig seien unabhängig auditierte Verbrauchsmessungen, die zudem mindestens in aggregierter Form öffentlich zugänglich sein sollten. Auch bei Rechenzentren müsse der ganze Lebenszyklus ins Reporting einbezogen werden: von den Emissionen, die bei der Herstellung von Servern entstehen, bis zum Elektroschrott, nachdem Hardware aussortiert wird.
Darüber hinaus könnten auch beim Design von Rechenzentren und der Energieversorgung große Fortschritte erzielt werden. So sollten etwa KI-Unternehmen verpflichtet werden, selbst für den Ausbau Erneuerbarer Energien in dem Maße zu sorgen, wie sie Strom verbrauchen. Rechenzentren sollten zudem Teil des Systems der CO₂-Bepreisung sein, damit Betreiber Folgekosten für die Umwelt nicht externalisieren können.
Außerdem sollte der Staat die Entwicklung energieeffizienter Rechenzentren fördern, die auf die Bedürfnisse der deutschen Wirtschaft spezialisiert sind. Auch die Abwärme von Rechenzentren sollte weiterhin verpflichtend genutzt werden müssen, Ausnahmen davon reduziert werden.
Auf Kollisionskurs
Die Liste der Vorschläge der Expert:innen ist noch deutlich länger und zeigt, wie groß die Möglichkeiten wären, KI und Rechenzentren nachhaltiger zu gestalten. Zum aktuellen Kurs der Bundesregierung passen sie jedoch gar nicht. Diese sieht Deutschland und Europa in einem KI-Wettrennen mit den USA und China und setzt deshalb auf den Ausbau von KI-Kapazitäten um jeden Preis.
Getrieben von Wirtschaftsverbänden wie BDI, Bitkom oder Eco hat Digitalminister Karsten Wildberger (CDU) eine neue Rechenzentrumsstrategie erarbeiten lassen, die im März vom Bundeskabinett beschlossen wurde. Sie sieht vor, die Rechenzentrumskapazitäten in Deutschland bis 2030 mindestens zu verdoppeln und die KI-Kapazitäten bis dahin sogar zu vervierfachen. Hierfür sollen Umweltstandards gesenkt, Berichtspflichten gelockert und Planungsverfahren beschleunigt werden.
Wirtschaftministerin Katharina Reiche (CDU) will zudem das deutsche Energieeffizienzgesetz so weit zurückfahren, dass es nur noch den Mindeststandards der entsprechenden EU-Richtlinie entspricht. Dabei haben Journalist:innen von Investigate Europe gerade erst aufgedeckt, wie erfolgreich große Tech-Konzerne gegen weitergehende Transparenzvorgaben in dieser Richtlinie lobbyiert hatten: Die EU-Kommission hat demzufolge bestimmte Abschnitte fast wortgleich von Microsoft kopiert, so dass die ohnehin schon schwammigen Kennzahlen zu Rechenzentren, die an Aufsichtsbehörden übermittelt werden müssen, nicht öffentlich gemacht werden dürfen.
Es ist nun also an Umweltminister Carsten Schneider (SPD), die Vorschläge der von ihm beauftragten Expert:innen in die Debatte mit seinen Kolleg:innen zu bringen. Ob er die KI-Politik auf Klima-Kurs bringen kann, wenn er argumentiert, dass Deutschland und Europa von nachhaltiger KI auch wirtschaftlich profitieren könnten?
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur „ersten Bewegungskonferenz gegen Big Tech“ in Berlin kamen 750 Menschen zusammen. Bei „Cables of Resistance“ ging es um Protest, Betriebsräte und Widerstand gegen Rechenzentren. Die vielleicht radikalste Antwort der Aktivist:innen auf die Macht der Tech-Konzerne: Verweigerung.
Eine Ausstellung über den Protest gegen das Tesla-Werk in Grünheide – CC-BY-SA 4.0 Joschi Wolf
Was tun gegen Big Tech? Am vergangenen Wochenende kamen in Berlin deutsche und internationale Aktivist:innen, Gewerkschafter:innen, Forscher:innen und Künstler:innen zur Konferenz „Cables of Resistance“ zusammen, um über die Frage zu beraten, die derzeit so viele beschäftigt. Ihre Antwort: radikale Verweigerung, Protest und Widerstand.
Ins Leben gerufen wurde die „erste Bewegungskonferenz gegen Big Tech“ von den Gruppen Berlin vs. Amazon, Tesla den Hahn abdrehen und die Berlin Tech Workers Coalition. Mit ihrem tech- und kapitalismuskritischen Ansatz haben sie offenbar einen Nerv getroffen: Die Tickets waren schnell ausverkauft, mehr als 750 Menschen kamen nach Angaben der Veranstalter:innen in das Tagungshaus am Franz-Mehring-Platz.
Das überwiegend durch Einreichungen aus der Community bestückte Programm war geprägt durch kritische Analyse des Status Quo, internationale Vernetzung und Austausch über politische Strategien. In insgesamt neun Themen-Tracks ging es um Fragen von Stadtpolitik, Nachhaltigkeit, Militarisierung oder Arbeitskämpfe.
„Die Speerspitze der kapitalistischen Akkumulation“
Die Ausgangslage beschreiben viele derzeit als düster. Angesichts der Übermacht der großen Tech-Konzerne kann man schon mal leicht verzweifeln. Ihre wirtschaftliche und politische Dominanz ist konkurrenzlos. Allein die fünf wertvollsten unter ihnen – Nvidia, Apple, Google, Microsoft und Amazon – strichen im letzten Jahr fast 500 Milliarden US-Dollar Gewinn ein. Ihr gemeinsamer Marktwert beträgt derzeit mehr als 18 Billionen US-Dollar – astronomische Zahlen.
Für die Veranstalter:innen steht fest: „Digitale Technologien sind die derzeitige Speerspitze der kapitalistischen Akkumulation und Zerstörung.“ Und: „Das digitale Kapital steht hinter dem Faschismus und ist sein bereitwilliger Handlanger.“ So heißt es im Entwurf für ein Manifest, das die Organisator:innen zu Beginn der Konferenz zur Debatte stellten und das sie im Nachgang weiterentwickeln wollen.
Die vielleicht mächtigste Waffe der Tech-Konzerne: Sie bestimmen, wie die Zukunft aussehen soll – nicht nur technisch, sondern auch diskursiv. Dass mehr Innovation, mehr Technologie und allen voran mehr KI immer besser seien, sagen längst nicht mehr nur sie. Auch viele Politiker:innen wiederholen das Mantra vom vermeintlichen digitalen Fortschritt unhinterfragt. Big Tech hat nicht nur das Internet gekapert, sondern auch unsere Vorstellung davon, wie digitale Zukünfte überhaupt aussehen könnten.
Von Arbeitskämpfen bis Perma-Computing
„Big Tech wird unseren Planeten mittel- bis langfristig zerstören“, so fasst Mitorganisatorin Aline Blankertz in einem Pressegespräch die Lage zusammen. Die Konferenz wolle deshalb Menschen zusammenbringen, „die für eine solidarische, selbstbestimmte, klimagerechte Zukunft kämpfen.“
Ein zentrales, immer wiederkehrendes Thema waren Rechenzentren. Als physische Repräsentation der digitalen Welt und als Symbol für den KI-Hype sind sie in vielen Regionen der Welt bereits zum Kristallisationspunkt des Widerstands gegen Big Tech geworden. Der Protest gegen Rechenzentren dürfte bald auch in Deutschland stärker werden, denn sie nehmen viel Fläche ein, verbrauchen riesige Menge Strom und Wasser und werden gerne in ärmeren und marginalisierten Nachbarschaften gebaut, die dann unter der Lärm- und Umweltbelastung leiden.
In den vielen Vorträgen und Panel-Gesprächen zu dem Thema ging es um Aufklärung, Ansatzpunkte für Veränderungen an gesetzlichen Rahmenbedingungen wie dem Energieeffizienzgesetz, Aktionen des zivilen Ungehorsams und lokale Proteste, die die Ansiedlung von Rechenzentren verhindern.
Worum es nicht ging: Anschläge, Sabotage oder andere Formen eines vermeintlichen Ökoterrorismus.
Dass man das überhaupt klarstellen muss, liegt daran, dass das rechte Krawallmedium Nius die Konferenz offenbar zum Feind auserkoren hat, weil der Quantenphysiker Guido Arnold an einem Panel teilnahm. Im Januar hatten Nius und Spiegel Arnold und sein radikal Tech-kritisches Kollektiv „Capulcu“ mit dünner Begründung als Vordenker der „Vulkangruppe“ dargestellt. Der Vorwurf stützt sich vor allem darauf, dass die Vulkangruppe, die sich unter anderem zum Brandanschlag auf das Berliner Stromnetz Anfang des Jahres bekannte, ähnliche Begriffe nutzt, etwa den von Arnold geprägten Ausdruck des „technologischen Angriffs“.
Auch im Manifest der Konferenz findet sich der Begriff. Nius schickte einen Reporter, der Teilnehmende vor dem Gebäude abpasste und fragte, warum sie an einer Konferenz teilnehmen würden, die mit durchtrennten Kabeln werbe. Die ausbleibenden Antworten der genervten Besucher:innen schnitt Nius zu einem fünfeinhalbminütigen Video zusammen.
Nicht zum ersten Mal griff die Springer-Zeitung Welt die Vorlage von Rechtsaußen auf und titelte: „Wie linke Tech-Gegner in Berlin einen Angriff planen“. Eine Presseakkreditierung hatte Welt nach Angaben der Veranstalter:innen nicht beantragt.
Kann man Big Tech auf den eigenen Plattformen schlagen?
Dabei gibt es durchaus Dinge, die man an der Konferenz kritisieren kann, ohne sich komplett lächerlich zu machen.
Zum Beispiel, dass kein einziger der neun Themenstränge Probleme der demokratischen Öffentlichkeit und von Sozialen Medien zum Thema machte. Die Frage, wie eine tech-kritische Bewegung, die von der Konferenz ausgehen soll, die narrative Hegemonie von Big Tech auf den Plattformen eben dieser Konzerne brechen soll, hätte man hier gut diskutieren können. Auch konkrete Alternativen wie das Fediverse mit seinen Stärken und Schwächen hätten gut auf die Konferenz gepasst. Einige Teilnehmende nahmen die Sache dann einfach selbst in die Hand und hingen Zettel aus, auf denen sie zumindest Mastodon-Handles austauschten.
Zudem waren die einzelnen Sessions teilweise so kurz, dass die ausgegebene Losung „Das ist keine Infoveranstaltung, sondern eine Kampfansage“, sich auf unfreiwillige Art und Weise bestätigte. Ein bisschen mehr Information wäre manchmal schon gut gewesen. Ebenso ein bisschen mehr Raum für Diskussionen über Widersprüchlichkeiten, die es notwendigerweise gibt, wenn unterschiedliche Bewegungen zusammenkommen.
Keine Zeit für Zukunft
Doch wichtiger waren an diesem Wochenende Vernetzung, Inspiration und Motivation. „Wir werden Big Tech nicht weganalysieren“, gab Journalistin Nina Scholz bei ihrem Auftaktvortrag die Richtung vor. Es sollte ums Handeln gehen: Raus aus der Ohnmacht, rein in die Bewegung.
In diesem Sinne hätten es gerne auch noch mehr Programmpunkte zu konkreten Alternativen und positiven Zukunftsentwürfen sein dürfen. Lediglich eine Stunde stand für den Themenblock „Zukunft“ und Ideen wie die Vergesellschaftung von Plattformen, Digital Degrowth oder Hardwareproduktion außerhalb kapitalistischer Verwertungslogik zur Verfügung. Auch davon hätte es gerne noch mehr sein dürfen.
Aber womöglich ist das einfach der Moment, an dem wir gerade stehen: Für Zukunft ist hoffentlich später Zeit, jetzt geht es darum, das Schlimmste zu verhindern. Sich dem Hype zu verweigern, das Fortschrittsversprechen zu hinterfragen, bestimmte Entwicklungen auch ganz abzulehnen und Widerstand zu organisieren – das ist vielleicht nicht die visionärste Antwort auf Big Tech. Aber es könnte genau die Antwort sein, die es jetzt braucht.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Bau von Rechenzentren boomt, in Deutschland und weltweit. Dadurch werden Strom und Wasser knapp, sagen Aktivist*innen und organisieren lokale Proteste. Auf der Konferenz „Cables of Resistance“ trafen sie sich zur Vernetzung.
Rechenzentrum der US-Firma CyrusOne in Frankfurt am Main. In der Stadt stehen die energiehungrigen Klötze dicht an dicht. – Alle Rechte vorbehalten IMAGO / Joko
„Der Widerstand in Beringen lässt momentan noch zu wünschen übrig“, so beschreiben zwei Aktivist*innen die Stimmung in einem 5.000-Seelen-Dorf im nördlichsten Zipfel der Schweiz, in dem zwei riesige Rechenzentren entstehen sollen. Sie sind zur ersten Konferenz gegen Big Tech in Berlin, der „Cables of Resistance“-Konferenz angereist, um über den KI-Hype in der Schweiz zu berichten. Die Resignation der Bevölkerung werde weichen, wenn „Wasser und Strom vor der eigenen Haustür in einigen Jahren knapp werden“, prognostizieren sie.
Um das fast fertig gestellte Rechenzentrum in der Nähe von Zürich mit Wasser zu versorgen, müsse das Trinkwasser aus der Nachbargemeinde angezapft werden, berichten die beiden Aktiven von der Initiative „Aufstände der Allmende“. Allein dieses Rechenzentrum in Beringen habe einen Strombedarf von bis zu drei Viertel des Verbrauchs des gesamten Kantons Schaffhausen. In nur wenigen Kilometern Entfernung, in der Nachbargemeine Herblingen, soll nun mutmaßlich das dritte und noch größere Rechenzentrum des Kantons entstehen. Wie der Strombedarf dieser Anlagen gestillt werden soll, sei noch völlig unklar. „Eine Idee, die im Parlament diskutiert wird, ist der Bau neuer Atomkraftwerke“.
Im nahegelegenen Zürich ist die Dichte der Tech-Unternehmen höher als im Silicon Valley. Dass Rechenzentren in der Region aus dem Boden sprießen, liegt laut der Schaffhauser Nachrichten auch daran, dass der Kanton an der wichtigen Verkehrsachse Zürich – Stuttgart liegt. Auch Frankfurt am Main ist nicht weit weg, dort befindet sich einer der weltweit wichtigsten Internetknoten, mit dem sich Daten schnell übertragen lassen.
Kein Ende des Ausbaus in Sicht
In der hessischen Metropole am Main sei das Stromnetz bereits am Limit, erklärt die Journalistin Indra Jungblut, die ebenfalls auf der Konferenz sprach. Bis 2030 sei kein größerer Anschluss an das Stromnetz mehr möglich. Die mehr als 100 Rechenzentren beanspruchen bis zu 40 Prozent des gesamten Strombedarfs der Stadt. In einigen Bezirken stehen die Serverfarmen dicht an dicht nebeneinander und haben massive Auswirkungen auf das Leben in der Stadt. Ihre Konzentration ist hier deutschlandweit am größten. Und trotzdem: „Ein Ende des Ausbaus ist nicht in Sicht“, sagt Jungblut.
Denn Rechenzentren-Entwickler*innen haben sich etwas einfallen lassen. Sie bauen eigene Anlagen zur Stromerzeugung, die sie mit fossilen Brennstoffen betreiben. Ein gut dokumentiertes Beispiel sei die US-amerikanische Firma CyrusOne: für den Betrieb des „FRA7“ Rechenzentrums in Frankfurt hat sie eine eigene Gasturbine gebaut. „Und das ist vermutlich kein Einzellfall“, sagt die Journalistin. Hersteller wie Siemens Energy jedenfalls kommen mit der Produktion neuer Gasturbinen, die vor kurzem noch als Auslaufmodell galten, nicht mehr hinterher.
„Strom wird zu einer knappen Ressource“
Der Region Berlin-Brandenburg drohe ein ähnliches Schicksal wie Frankfurt, warnen die Stadtforscher*innen Niklas Steinke und Fabian Halfar in ihrem Vortrag. Hier sind Dutzende neue Rechenzentren geplant. In Berlin-Lichtenberg entsteht „Bluestar“ der Prea Group, das größte KI-Rechenzentrum der Stadt. Mit 100 Megawatt Anschlussleistung soll es mehr Strom verbrauchen als eine Stadt wie Potsdam. Schon bis 2024 seien in Berlin mehr Netzanschlüsse angefragt worden als das gesamte Berliner Stromnetz übertragen kann, vor allem für große Rechenzentren-Projekten.
Warum kommt Big Tech überhaupt nach Berlin? Großstädte wie Berlin und Frankfurt verfügen über eine Wasser- und Stromnetzinfrastruktur, die mit öffentlichen Geldern gebaut wurde. Die wollen die Tech-Firmen für sich nutzen, sagen die Forscher*innen und nennen das „Infrastukturextraktivismus“. Dieser sei neben dem bereits bekannten Abbau der Rohstoffe in ehemals kolonisierten Regionen und der Sammelwut großer Datenmengen eine neue Manifestation des KI-Hypes. „Im Rechenzentrum-Boom wird Strom zu einer knappen Ressource“, sagt Halfar. Bisher sei die Vergabe großer Netzanschlüsse nicht politisch aufgeladen. Das mache es den Rechenzentren-Betreiber*innen leichter, sich das Stromnetz innerhalb weniger Jahren anzueignen.
Hilfe bekämen sie dabei auch von klassischen Bodenspekulant*innen, die potenziell geeignete Flächen in der Stadt aufkaufen und darauf warten, dass Betreiber*innen von Rechenzentren auf sie zukommen. Denn eine Bewerbung für einen Anschluss zum Hochspannungsnetz setze eine Fläche voraus. „Wir müssen uns dringend darum kümmern, dass das Stromnetz aus der politischen Unsichtbarkeit austritt und eine demokratische Diskussion darüber stattfindet, wofür wir den Strom verwenden wollen“, schlussfolgert Halfar.
Bundesregierung knickt vor Big-Tech-Lobby ein
Die Bundesregierung sei dem globalen Wettrennen um KI-Kapazitäten dem Glauben aufgesessen, dass sich mit Rechenzentren Wohlstand generieren lässt, sagte Julian Bothe, Experte für KI und Nachhaltigkeit bei AlogrithmWatch, in seinem Talk. Bis 2030 will sie die Rechenzentrumskapazitäten im Land mindestens verdoppeln und die Kapazitäten für Künstliche Intelligenz vervierfachen, wie es in der kürzlich vorgestellten Rechenzentrumsstrategie heißt. Dabei habe Deutschland schon jetzt die meisten Rechenzentren im europäischen Vergleich. Laut DataCenterMap sind es aktuell mehr als 500.
Die Pläne der Regierung bringen eine weitgehende Deregulierung zugunsten der Tech-Firmen und zulasten der Gesellschaft und der Umwelt mit sich, kritisiert Bothe. Ein starkes Beispiel hierfür sei die geplante Abschwächung des Energieeffizienzgesetzes. So sollen beispielsweise die bestehenden Transparenzstandards für Verbrauchswerte abgeschafft werden. Das würde den Betreiber*innen erlauben, den konkreten Energieverbrauch und die Energieeffizienz der Rechenzentren vor der Öffentlichkeit geheimzuhalten – mit dem Verweis auf Geschäftsgeheimnisse.
„Anstatt in Zeiten der Energiekrise endlich auf Energieeffizienz zu setzen, droht Wirtschaftsministerin Reiche erneut, vor den Lobby-Bemühungen der Tech-Giganten einzuknicken“, sagte Bothe anlässlich des Positionspapiers zur Gesetzesnovelle, das AlgorithmWatch mit anderen Organisationen vergangene Woche veröffentlicht hat. Die Forderung, Verbrauchswerte als Geschäftsgeheimnisse hinter Verschluss zu halten, komme von Microsoft. Das habe eine Recherche von LobbyControl und Campact ergeben.
Zugang zu sauberem Wasser steht auf dem Spiel
Das geplante Energieeffizienzgesetz müsse gestoppt werden, sagte Bothe. Denn Widerstand gegen schädigende Gesetzesvorhaben auf nationaler Ebene sei wichtig. Genauso notwendig sei aber auch lokaler Protest gegen geplante Rechenzentren vor Ort. Dass Protest wirksam sein kann, zeigt der Fall von Groß-Gerau. Die Stadtverordneten haben dort gegen den Bau des bislang größten Rechenzentrums in der Rhein-Main-Region gestimmt.
Dass Proteste bereits an vielen Orten auf der Welt stattfinden, haben zahlreiche Vorträge auf der Konferenz gezeigt. Immer wieder versuchen lokale Gruppen, die Ansiedlung neuer Rechenzentren zu verhindern. José Renato Laranjeira etwa berichtete vom Kampf der indigenen Anacé-Gemeinschaft in Brasilien. Durch den Bau von Rechenzentren sahen sie einen heiligen Fluss in Gefahr. Der Zugang zu sauberem Wasser stand für sie auf dem Spiel.
Neue Arbeitsplätze und Steuereinnahmen sind Mythen
Welche Erfahrungen Aktivist*innen im Kampf gegen Rechenzentren bereits gesammelt und welche Strategien sich als wirksam erwiesen haben, darum ging es in einem international besetzten Panel. Einerseits sei es wichtig, die lokale Bevölkerung zu involvieren und andererseits die Propaganda der Tech-Konzerne mit Fakten zu kontern, sagte Luis García Valverde von der spanischen Umweltschutz-NGO „Ecologistas en Acción“. Seine Organisation setzt sich gegen die Ansiedlung riesiger Amazon-Rechenzentren in der Region Aragon im Nordosten Spaniens ein, unter anderem mit einer Klage. García Valverde berichtete von Versuchen des Tech-Konzerns die Öffentlichkeit zu beeinflussen: etwa indem Amazon Anzeigen in lokalen Zeitungen schaltet, Fußballclubs in der Region sponsort oder die Namensrechte eines Stadiums kauft.
Auch Hacktivistin Eda von der französischen Organisation „La Quadrature du Net“ setzt auf Aufklärung. Im französischen Marseille habe die Ansiedlung von Rechenzentren etwa die geplante Elektrifizierung des Hafens verhindert. Von der Elektrifizierung würden die Menschen in der Stadt aber massiv profitieren. Wenn Kreuzfahrtschiffe im Hafen über Strom liefen, gäbe es weniger Luftverschmutzung. Genau solche Informationen müssten öffentlich gemacht werden, um die Menschen vor Ort aufzurütteln, sagte Eda.
Zudem müsse man Mythen über neue Arbeitsplätze und Steuereinnahmen entkräften, ergänzte Dylan Murphy von der irischen Gruppe „Not Here Not Anywhere“. Er berichete von der Überlastung des irischen Stromnetzes durch den gigantischen Ausbau der Rechenzentren im Land, der irgendwann sogar zu einem Moratorium, einem Baustopp, geführt habe. „Rechenzentren sind Vampire, die unseren Gemeinschaften Strom, Wasser, Land und Rohstoffe entziehen.“ Als physische Manifestation des KI-Hypes würden sie sich hervorragend für Mobilisierung eignen, pflichtete García Valverde aus Spanien bei. Plötzlich hätten Menschen das abstrakte Thema KI direkt vor der eigenen Haustür.
Ein großes Problem bei der Mobilisierung sei jedoch die Intransparenz der Betreiber*innen und teilweise auch der Gemeinden. Oft sei nicht einmal klar, wer wo genau baue und für wen. Teilweise bauen die großen Tech-Konzerne nicht mehr selbst, sondern mieten Kapazitäten bei Dritten, erzählte García Valverde.
Was tun gegen die KI-Blase?
Um so ein Modell handelt es sich beim ersten Rechenzentrum im Schweizerischen Beringen. Seine Zukunft ist derzeit noch völlig offen. Es wird sich erst in einigen Jahren zeigen, welche Firmen die Fläche im Rechenzentrum mieten wollen und ob die Gemeinde Steuereinnahmen einnehmen wird. Außerdem ist die Frage nach der Abwärmenutzung noch ungelöst: das Rechenzentrum produziert deutlich mehr Abwärme, als ein kleines Dorf wie Beringen sinnvoll nutzen kann. Deshalb ist nun der Bau eines Erdbeckenspeichers – eines künstlichen Sees, der die Abwärme des Rechenzentrums im Sommer speichern soll – für rund 22 Millionen Euro im Gespräch. Platzt die KI-Blase, bleiben die Beringer*innen mit kostspieliger leerstehender Infrastruktur zurück.
Um auf die Situation einzuwirken und die öffentliche Diskussion über den Bau von Rechenzentren anzuregen, organisiert sich laut den Aktivist*innen von „Aufstände der Allmende“ derzeit ein Bündnis rund um die Kampagne „KI kurzschließen“. Vom 2. bis 9. Juli werde es in der Schweiz dazu ein Widerstandscamp geben.
Wie man sich hierzulande engagieren kann, erklärt die Bundestagsabgeordnete Sonja Lemke (die Linke). Sie empfiehlt Aktivist*innen und Bürger*inneninitiativen, auf der kommunalen Ebene anzusetzen, wo die Entscheidungen über den Bau von Rechenzentren getroffen werden: „Geht in die kommunalen Planungsausschüsse, schreibt Mails an eure Abgeordneten und stellt IFG-Anfragen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Hinter dem Erfolg von Künstlicher Intelligenz und Sozialen Medien stecken ausgebeutete Arbeiter:innen. Bei einem Fachgespräch im Deutschen Bundestag wurde heute diskutiert, wie ihre Lage verbessert werden kann. Die Botschaft der Sachverständigen war klar: Deutschland muss mehr Verantwortung übernehmen.
Im Bundestag wurde heute erstmals über die Arbeitsbedingungen von Datenarbeiter:innen hinter Künstlicher Intelligenz und Sozialen Medien diskutiert. Die Ausschüsse für Digitales und Arbeit hatten zu einem Fachgespräch zum Thema Data Labeling geladen. Die klare Botschaft der drei Sachverständigen: Wenn Deutschland auf KI setzt, dann muss es mehr Verantwortung für die Menschen im Maschinenraum der Technologie übernehmen.
Als Data Labeling oder auch Daten-Annotation bezeichnet man eine Tätigkeit, bei der Menschen zum Beispiel Bildmaterial mit Metadaten versehen, also mit Labels, die den Inhalt beschreiben. Das ist unter anderem für Machine-Learning-Systeme erforderlich, die hinter fast allem stehen, auf dem heute das Label „KI“ klebt. Die Arbeiter:innen sind selten bei den Tech-Konzernen selbst beschäftigt, sondern werden häufig unter ausbeuterischen Bedingungen bei Outsourcing-Firmen oder -Plattformen angestellt.
Seit Jahren bringen Whistleblower:innen, Aktivist:inen, Forscher:innen und Journalist:innen die unsichtbar gemachten Arbeitskräfte in die Öffentlichkeit. Auch wir auf netzpolitik.org berichten kontinuierlich darüber. Die Arbeitsbedingungen in der Branche haben sich aber kaum verbessert, weshalb Erwartungen an die Politik groß sind. Das heutige Fachgespräch, an dem sich Abgeordnete von Union, SPD, Grünen und Linkspartei beteiligten, könnte ein Anfang sein. An konkreten Ideen, wie sich die Lage der Arbeiter:innen verbessern lässt, mangelt es jedenfalls nicht.
„Sie sehen die KI, aber uns sehen Sie nicht“
Die ehemalige Datenarbeiterin Joan Kinyua war virtuell aus der kenianischen Hauptstadt Nairobi zugeschaltet. Sie habe mehr als acht Jahre in der Branche gearbeitet hat, die „Künstlicher Intelligenz dabei hilft, die Welt zu verstehen“. Für unterschiedliche Anbieter habe sie unter anderem Bilder von Straßen mit Metadaten versehen, damit selbstfahrende Autos keine Unfälle bauen. Auch mit Straßenszenen aus Berlin habe sie arbeiten müssen (lest dazu mehr in unserem kürzlich veröffentlichten Interview mit Joan).
Später habe sie auch Bilder mit Gewaltdarstellungen klassifizieren müssen, sogar solche, die Gewalt an Kindern zeigten. Gleichzeitig habe sie selbst Daten für das KI-Training erzeugen sollen, indem sie Bilder ihrer Tochter zur Verfügung stellt.
Ausgeübt habe sie die Tätigkeit meist vom eigenen Computer zuhause, über sogenannte Microwork-Plattformen – „ohne Arbeitsvertrag, Sozialversicherung oder Gesundheitsversorgung“. Oft habe sie stundenlang auf neue Aufträge warten müssen, teilweise bis zu 20 Stunden am Tag auf Stand-By. Immer wieder hätten Auftraggeber:innen ihre Ergebnisse abgelehnt. Den Input hätten sie trotzdem behalten, sie selbst sei leer ausgegangen. So habe es Tage gegeben, an denen sie in fünf Stunden nur zwei Cent verdient habe. Im Schnitt würden Datenarbeiter:innen in Kenia 250 US-Dollar im Monat verdienen, was kaum zum Überleben reiche.
Von ihrer Arbeit habe sie außerdem Panik-Attacken und Angstzustände erhalten. Wie ihr gehe es vielen in der Branche, schildert Kinyua. Als Präsidentin der kenianischen Data Labelers Association vertrete sie inzwischen die Interessen von mehr als tausend Datenarbeiter:innen. Viele von ihnen litten unter posttraumatischen Belastungsstörungen.
„Sie sehen die KI, aber uns sehen Sie nicht“, so beschrieb Joan Kinyua den Abgeordneten ihre Lage. Es sei auch in der Verantwortung des Deutschen Bundestages, das zu ändern und für bessere Bedingungen zu sorgen. Unter anderem schlug die Kenianerin Mindeststandards für Datenarbeiter:innen in Deutschland und weltweit vor. Dazu zählt auch eine Obergrenze für die Arbeit an belastenden Inhalten. Zudem brauche es unabhängige Audits der Anbieter, sowie Register für KI-Arbeiter:innen und ganz grundsätzlich mehr Transparenz über Outsourcing und Lieferketten von Tech-Konzernen.
Milliarden-Profite dank Prekarisierung
Dr. Milagros Miceli von der TU Berlin berichtete von ihren Erkenntnissen aus fast einem Jahrzehnt Forschung zu Datenarbeit. Die von Joan Kinyua geschilderten Arbeitsbedingungen seien „kein Einzelfall, sondern ein konstantes Muster“. Oder genauer gesagt: das Geschäftsmodell einer milliardenschweren Branche.
Der von ihr geprägte Begriff der Datenarbeit umfasse mehr als das Labeling von Daten im engeren Sinne: Auch das Generieren und Sammeln von Daten zähle dazu, in zunehmendem Maße außerdem die Validierung des algorithmischen Outputs und das Korrigieren von Fehlern. Zudem müssten Arbeiter:innen immer wieder so tun, als seien sie eine KI.
Miceli ist eine der Initiator:innen des „Data Workers Inquiry“, in dem Datenarbeiter:innen von ihrer Wirklichkeit berichten. Kürzlich hat das Projekt die Geschichte einer Person veröffentlicht, die sich als AI Girlfriend ausgeben musste, also als Chatbot, der eine Liebesbeziehung mit seinen Nutzer:innen simuliert.
Die unterschiedlichen Formen der Datenarbeit seien essenzieller Bestandteil von KI-Produkten, einer Studie zufolge würde sie 80 Prozent der Entwicklungsarbeit von Künstlicher Intelligenz ausmachen. Miceli ist in ihrer Botschaft deshalb klar: „Ohne Datenarbeit und ohne Menschen wie Joan Kinyua gibt es keine KI“. Tech-Konzerne würden Milliarden damit verdienen „dass sie Arbeiter:innen durch Outsourcing und Plattformisierung prekarisieren und austauschbar machen“. Wenn Deutschland KI fördern wolle, müsse deshalb unbedingt für bessere Arbeitsbedingungen sorgen.
Viele der Arbeiter:inen seien hochqualifiziert, hätten Bachelor-Abschlüsse oder sogar promoviert, berichtet die Forscherin. Dabei sei wichtig, dass die Tätigkeit nicht auf Länder wie Kenia beschränkt ist, sondern auch in Deutschland und Europa viele Menschen in der Branche tätig seien. Wie viele genau, das könne man aufgrund der Intransparenz der Unternehmen nicht sagen.
Probleme bei Gesundheits- und Datenschutz
Bekannt ist, dass mehrere Tech-Konzerne und Outsourcing-Unternehmen in Deutschland große Zentren für die Moderation von Inhalten auf Social-Media-Plattformen unterhalten. Eine Tätigkeit, die die Sachverständigen ebenfalls zum Feld der Datenarbeit zählt und die bereits vor drei Jahren bei einem Fachgespräch im Bundestag Thema war. Julia Kloiber vom Superrr Lab war damals bereits dabei und wies heute erneut darauf hin, dass dabei oft Menschen in vulnerablen Lebenssituationen ausgenutzt würden.
Kloiber empfahl unter anderem besseren Schutz für Menschen, die mit schädlichen Inhalten arbeiten müssen. Bei der Polizei etwa, wo ebenfalls Menschen mit Darstellungen von Kindesmissbrauch arbeiten müssten, gebe es klare Expositionsbegrenzungen. Auch für Datenarbeiter:innen brauche es eine Obergrenze, die die Arbeit mit belastendem Material festlegt. Außerdem brauche es Trauma-Prävention und Zugang zu professioneller psychologischer Unterstützung. Content Moderation als Ausbildungsberuf zu etablieren, könne helfen, Standards für die Branche zu setzen.
Der heute oft fehlende Schutz habe nicht nur schwerwiegende Folgen für die Betroffenen, sondern auch für das Gesundheitssystem, schließlich könnten Menschen ein ganz Leben lang unter posttraumatischen Belastungsstörungen leiden. Manchmal könnten sie deshalb nicht mehr arbeiten. Die dadurch entstehenden Kosten würden von den Tech-Konzernen externalisiert und von der Allgemeinheit aufgefangen.
Kloiber wies zudem auf Datenschutzprobleme beim Outsourcing hin: Nicht nur würden die Datenarbeiter:innen selbst stark überwacht, bei ihnen landeten auch große Mengen personenbezogener Daten und sensibler Inhalte. Erst kürzlich hatten Datenarbeiter:innen als Whistleblower:innen darüber berichtet, dass sie Aufnahmen aus Meta-Brillen bearbeiten müssten und dabei auch Nacktaufnahmen und andere intime Szenen von Nutzer:innen zu Gesicht bekämen.
„Unsere digitale Zukunft darf nicht auf Ausbeutung fußen“
Deutlich wurde bei dem Fachgespräch, dass auch deutsche Firmen davon profitieren, dass sie prekäre Arbeit an Menschen wie Joan Kinyua auslagern. Auch die Auto-Industrie, die Pharma-Branche oder Tech-Unternehmen wie Siemens gehörten zu den Kunden von Outsourcing-Unternehmen im Datenbereich, berichtete etwa Milagros Miceli.
Für Julia Kloiber ist klar, dass Deutschland deshalb auch Verantwortung übernehmen müsse. Eine Untersuchung des Fairwork-Projekt der Universität Oxford und Wissenschaftszentrums Berlin habe die Löhne von vier Outsourcing-Unternehmen untersucht. Nur zwei von ihnen hätten Mindestlohn gezahlt, keines den sogenannten Existenzlohn („Living Wage“), der nicht nur das bloße physische Überleben, sondern auch soziale und kulturelle Teilhabe ermöglicht.
Einen wichtigen Ansatzpunkt sieht die Geschäftsführerin des Superrr Lab deshalb in der Regulierung von Lieferketten. Hier drohe der hohe Standard des erst kürzlich eingeführten und dann schon wieder halb gecancelten deutschen Lieferkettengesetzes abgesenkt zu werden. Die Schwarz-Rote Koalition hatte sich darauf geeinigt, nicht über die – ebenfalls gerade ausgehöhlte – EU-Lieferkettenrichtlinie hinauszugehen.
Bei der Umsetzung der Richtlinie müsse Deutschland sicherzustellen, dass der Geltungsbereich nicht eingeschränkt werde. Die EU-Regeln sollen nur Unternehmen ab 5000 Beschäftigten und einem Umsatz von 1,5 Milliarden Euro gelten. In Deutschland würden dann 95 Prozent der Unternehmen von den Sorgfaltspflichten für ihre Lieferketten entbunden, so Kloiber.
Die Expertin brachte zudem ein Direktanstellungsgebot ins Spiel, wie es erst kürzlich gefeuerte und streikende TikTok-Angestellte in Deutschland gefordert hatten. Ganz grundsätzlich fordert Kloiber eine realistischere Kosten-Nutzen-Rechnung, wenn in Deutschland KI ausgebaut und etwa in der Verwaltung eingesetzt wird. Soziale und auch ökologische Kosten dürften nicht länger ausgeblendet werden: „Unsere digitale Zukunft darf nicht auf Ausbeutung fußen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die 15. Kalenderwoche geht zu Ende. Wir haben 17 neue Texte mit insgesamt 159.201 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.
– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser:innen,
es war mal wieder eine „Databroker-Woche“ bei netzpolitik.org – und so langsam nervt mich dieser Satz, der regelmäßig in unserer Redaktion zu hören ist. Und das, obwohl ich selbst ständig über das Thema schreibe. Die ausufernde Tracking-Industrie, der unkontrollierte Handel mit unseren Daten, sie beschäftigen uns seit Jahren. Wir treiben die Debatte dazu voran wie wohl kein anderes deutschsprachiges Medium. Nur langsam frage ich mich: Soll das ewig so weitergehen?
Aber der Reihe nach. Eigentlich waren es ja drei begrüßenswerte Anlässe, aus denen wir diese Woche über das Thema berichtet haben.
Erstens haben unsere Kolleg:innen vom Bayerischen Rundfunk die sehr sehenswerte ARD- und Arte-Doku „Gefährliche Apps: Im Netz der Datenhändler“ veröffentlicht. Mein Kollege Sebastian und ich arbeiten seit mehr als zwei Jahren mit ihnen an den „Databroker Files“. Der Film erzählt von unseren Recherchen und den sehr konkreten Gefahren, die etwa von vermeintlich harmlosen Tracking-Daten ausgehen und unterschiedliche Menschen wie zum Beispiel eine Journalistin oder ukrainische Soldaten betreffen.
Zweitens schreiten Ermittlungen von Datenschutzbehörden gegen zwei deutsche Apps voran, die unsere Databroker-Files-Recherchen ausgelöst haben. Die Behörden sind sich inzwischen sicher, dass eine Wetter-App und eine Dating-App, beide mit Millionen Nutzer:innen, datenschutzwidrig genaue Standortdaten verarbeitet und an Dritte weitergegeben haben. Konsequenzen hat das bislang aber noch nicht, die Verfahren laufen noch.
Drittens haben das Citizen Lab, der Wiener Tracking-Forscher Wolfie Christl und der ungarische Journalist Szabols Panyi eine bemerkenswerte Recherche veröffentlicht. Sie können am Beispiel einer US-Überwachungsfirma detailliert aufzeigen, wie Daten aus dem Ökosystem der Online-Werbung für Geheimdienste und andere Behörden nutzbar gemacht werden. Und sie berichten, dass die Produkte dieser Firma nicht nur von Trumps paramilitärischer Abschiebetruppe ICE genutzt werden, sondern auch von der ungarischen Regierung angeschafft wurden. Dort finden am Sonntag Wahlen statt und Viktor Orbán kämpft mit allen Mitteln um den Machterhalt.
Ein komplettes Versagen von Datenschutz, Politik und Medien
Ich bin angesichts dieser Ereignisse diese Woche hin- und hergerissen. Einerseits freue ich mich über aufklärende Recherchen, Public-Value-Journalismus und konkrete Konsequenzen. Andererseits bin ich frustriert, dass es all das noch immer braucht. Wir haben doch eigentlich bei diesem Thema längst kein Erkenntnis-, sondern ein Umsetzungsdefizit.
Juristisch gibt es – soweit ich weiß – wenig Zweifel daran, dass das umfassende Tracking durch ein riesiges, undurchsichtiges Firmennetzwerk ebenso illegal ist wie der Handel mit den dabei erfassten Daten. Doch die Datenschutzbehörden kommen nicht hinterher.
Die Wissenschaftlichen Dienste des Bundestages haben zudem klargestellt, dass eine Nutzung solcher Daten durch staatliche Stellen im besten Fall auf wackeligen Füßen stünde, wahrscheinlich aber doch eher überwiegend ebenfalls illegal wäre. Doch die Bundesregierung schweigt einfach dazu, ob auch deutsche Sicherheitsbehörden kommerzielle Daten nutzen.
Wir erleben bei diesem Thema ein komplettes Versagen von Datenschutz, Politik und leider auch von vielen Medien.
Also was tun? Digitale Selbstverteidigung geht immer. Aber eigentlich müsste man das Problem ja politisch angehen. Doch Regulierung, womöglich sogar Verbote bestimmter Geschäftspraktiken, das ist momentan einfach nicht angesagt. Als wir im Sommer 2024 die ersten Storys der Databroker Files veröffentlichten, gab es große Bestürzung in allen demokratischen Parteien. Heute haben wir eine Bundesregierung, die sich in Brüssel dafür einsetzt, dass der Datenschutz möglichst mit dem Vorschlaghammer reformiert – also abgebaut – wird. Die Datenindustrie macht derweil munter weiter.
Deshalb machen auch wir weiter, decken auf und erzeugen Druck. Wir lesen uns also sicher bald wieder, wenn es mal erneut heißt: Databroker-Woche bei netzpolitik.org.
Danke für eure Unterstützung bei der journalistischen Sisyphusarbeit! Euer Ingo
Trugbild: Den Teufel mit Beelzebub austreiben
Ein Verbot sozialer Medien löst nicht die fundamentalen Probleme von Jugendlichen. Die Debatte ist vielmehr Ausdruck einer sozio-ökonomischen Krise – und könnte den Befürwortern an der Wahlurne sogar schaden. Von Vincent Först – Artikel lesen
Frauenhäuser: „Ausklinken darf nicht die Lösung sein“
Versteckte Tracker, geteilte Clouds und überwachte Schul-iPads: Digitale Gewalt ist Alltag in Frauenhäusern. Isa Schaller erklärt, wie Tools missbraucht werden – und was es für einen besseren Schutz der Betroffenen braucht. Von Sophie Tiedemann – Artikel lesen
Große ARD-Doku: Achtung, Datenhandel! Lebensgefahr!
Erhoben zu Werbezwecken, verschleudert im Internet: Standortdaten aus der Werbe-Industrie können Menschen gefährden. Das zeigt die ARD-Doku „Gefährliche Apps“, die nun online ist. Sie beruht auf den Recherchen von netzpolitik.org und Bayerischem Rundfunk zu den Databroker Files. Von Sebastian Meineck, Ingo Dachwitz – Artikel lesen
Wegen Handy-Standortdaten: Wetter Online droht Bußgeld
Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen. Von Ingo Dachwitz, Sebastian Meineck – Artikel lesen
Alterskontrollen: Social-Media-Verbot lässt Bundesregierung ahnungslos zurück
Die Bundesregierung weiß nicht, ob ein Social-Media-Verbot für Minderjährige wissenschaftlich ratsam wäre. Sie weiß auch nicht, ob der Eingriff in Grundrechte verhältnismäßig wäre – oder ob sie das Verbot überhaupt will. Das zeigt die Antwort auf eine Kleine Anfrage der Linken. Von Sebastian Meineck – Artikel lesen
Freiwillige Chatkontrolle: Big Tech will ohne Rechtsgrundlage weiterscannen
Am Wochenende ist die Ausnahmeregelung für die freiwillige Chatkontrolle ausgelaufen. Doch große Tech-Unternehmen wie Google, Meta oder Microsoft wollen weiter massenhaft die private Kommunikation ihrer Nutzer:innen scannen. Von Markus Reuter – Artikel lesen
Recht auf Breitband: Lauter Einzelfälle
Bevor das Recht auf einen zeitgemäßen Internetanschluss greift, springt wohl zunehmend der Satellitenanbieter Starlink ein. Doch wie oft das tatsächlich vorkommt, kann die Bundesregierung nicht beantworten. Von Tomas Rudl – Artikel lesen
Gesetzentwurf: So will Gesundheitsministerin Warken ihre Digitalstrategie umsetzen
Das Bundesgesundheitsministerium will die Digitalisierung im Gesundheitswesen rasch voranbringen. Ein Gesetzentwurf definiert dafür die Rolle der elektronischen Patientenakte um, weitet die Nutzung von Gesundheitsdaten erheblich aus und gibt der Gematik neue weitreichende Befugnisse. Wir veröffentlichen den Gesetzentwurf. Von Daniel Leisegang – Artikel lesen
Kafka und Künstliche Intelligenz: Die Sehnsucht nach totaler Souveränität
Mit Hilfe von KI-Agenten sollen Einzelpersonen schon bald Unternehmen mit Milliardenbewertung aufbauen. Das klingt verführerisch, weil es einer prometheischen Sehnsucht nach totaler Souveränität schmeichelt. Allerdings wusste schon Franz Kafka, dass Ein-Personen-Unicorns mythische Wesen sind. Von Gastbeitrag, Anselm Küsters – Artikel lesen
KI-Risiken: Breites Bündnis warnt vor verwässerten KI-Regeln
Die geplante „Vereinfachung“ der europäischen KI-Verordnung könnte den Schutz von Verbraucher:innen vor der Technologie erheblich schwächen. Ein breites Bündnis von 32 Organisationen warnt insbesondere vor Lücken bei Medizingeräten und Spielzeug. Von Anna Ströbele Romero – Artikel lesen
Grundrechte: Zwei Insider berichten vom Europäischen Datenschutzbeauftragten
Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen. Von Constanze – Artikel lesen
Die Kritik am Überwachungspaket der Bundesregierung reißt nicht ab. Die Gesellschaft für Freiheitsrechte warnt vor „Eingriffen in die Grundrechte aller Menschen“ und „mächtigen Überwachungsmaßnahmen“. Von Markus Reuter – Artikel lesen
Widerstand gegen Big Tech: „KI wollen wir in unserer befreiten Welt nicht haben“
KI sei verfänglich für faschistische Ideologien und gehe mit autoritären Machtzentren einher. Große Plattformen wie ImmobilienScout24 und Doctolib machen Profit mit Grundbedürfnissen der Menschen. Zwei Aktivist*innen schlagen im Interview konkrete Schritte hin zu einer demokratischen digitalen Teilhabe vor. Von Timur Vorkul – Artikel lesen
Nach unseren Recherchen: Datenschutzbehörde findet gravierende Verstöße bei bekannter Dating-App
Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen. Von Sebastian Meineck, Ingo Dachwitz – Artikel lesen
Vor Schicksalswahl: Orbán-Regierung soll neuartige Überwachungsprogramme angeschafft haben
Die US-Firma Penlink verkauft Überwachungstechnik, die auf Werbe-Tracking basiert. Nach Trumps Abschiebemiliz ICE hat offenbar auch die ungarische Regierung Lizenzen gekauft. Kurz vor der Wahl könnte sie damit gegen Opposition und Medienschaffende vorgehen. Von Ingo Dachwitz, Sebastian Meineck – Artikel lesen
Hype um Prediction Markets : Wetten, dass Jesus vor 2027 zurückkehren wird
Prediction Markets sind in vielen Ländern illegal. Das Wetten auf zukünftige politische und gesellschaftliche Ereignisse wird aber immer populärer. Dabei sind die Wetten manipulationsanfällig und ethisch teilweise höchst fragwürdig. Von Denis Glismann – Artikel lesen
Studie der Medienanstalten: Debattenkultur im Netz erodiert
Die Bereitschaft, sich an Debatten in Sozialen Medien und in Online-Kommentarbereichen zu beteiligen, sinkt. Ein zentraler Grund dafür ist die Diskursqualität, die zunehmend als negativ wahrgenommen wird, so das Ergebnis einer Studie der Medienanstalten. Von Denis Glismann – Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die US-Firma Penlink verkauft Überwachungstechnik, die auf Werbe-Tracking basiert. Nach Trumps Abschiebemiliz ICE hat offenbar auch die ungarische Regierung Lizenzen gekauft. Kurz vor der Wahl könnte sie damit gegen Opposition und Medienschaffende vorgehen.
Viktor Orbán droht bei der Wahl der Machtverlust. – Alle Rechte vorbehalten IMAGO / Anadolu Agency; Bearbeitung: netzpolitik.org
Die ungarische Regierung soll kürzlich Lizenzen für ein Überwachungsprogramm erworben haben, das Menschen mithilfe von Daten aus der Online-Werbeindustrie überwachen und verfolgen kann. Das hat am Donnerstag das ungarische Investigativmedium VSquare berichtet. Das Programm Webloc der US-Firma Penlink soll auf Daten von bis zu 500 Millionen Handys beruhen.
Unsere Untersuchungen zeigen, dass mittlerweile in mehreren Ländern weltweit Militär-, Geheimdienst- und Strafverfolgungsbehörden – bis hinunter zu lokalen Polizeieinheiten – äußerst invasive und rechtlich fragwürdige, werbebasierte Überwachungstechnik ohne richterliche Anordnung oder angemessene Kontrolle einsetzen.
Zu den bekanntesten Kunden von Penlink gehört die paramilitärische US-Abschiebebehörde ICE, die im Auftrag der Trump-Regierung massenhaft Menschen festnehmen und deportieren soll. Sie soll das werbebasierte Überwachungswerkzeug laut Medienberichten unter anderem nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.
Laut VSquare und Citizen Lab steht Webloc Ungarn mindestens seit 2022 zur Verfügung; zuletzt habe 2026 eine ungarische Sicherheitsbehörde neue Webloc-Lizenzen erworben. Es wäre der erste bestätigte Kauf eines werbebasierten Überwachungstools durch eine europäische Regierung. Auf unsere Presseanfrage hat die ungarische Regierung bis zum Zeitpunkt der Veröffentlichung nicht reagiert.
Standorte und Interessen: Diese Daten soll Webloc nutzen
Das Werkzeug Webloc ist offenbar eine Erweiterung für ein größeres Überwachungsprodukt namens Tangles. Das berichten die Forschenden des Citizen Lab mit Verweis auf gesammelte Dokumente und Verträge. Webloc soll demnach Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem gehören:
genaue GPS-Standorte,
die einzigartigen Werbe-Kennungen eines Geräts (mobile advertising IDs, kurz: MAID),
Eckdaten zum Gerät wie Betriebssystem und weitere installierte Apps,
Eckdaten zur Person, die das Gerät nutzt, wie Alter, Geschlecht, Sprache sowie
Eine Presseanfrage von netzpolitik.org zur Datengrundlage von Webloc hat die US-Betreiberfirma Penlink (früher: Cobweb Technologies) nicht beantwortet. Wir können deshalb nicht mit Sicherheit sagen, ob die beschriebene Datengrundlage zutreffend oder aktuell ist.
Die Liste der verfügbaren Daten ist zumindest plausibel. Denn genau solche Daten lassen sich aus der Online-Werbe-Industrie gewinnen. Das zeigen unsere Recherchen zum Datenmarktplatz Xandr, die von Zielgruppen-Segmenten handeln, und zu den Databroker Files, die den Handel mit Standortdaten in den Fokus nehmen.
Solche Daten werden angeblich nur zu Werbezwecken erhoben, etwa beim Bieten auf digitale Werbeplätze, dem Real-Time-Bidding. Weitere Daten können über sogenannte SDKs abfließen; das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen. Nicht alle Akteur*innen der Werbe-Industrie behandeln die Daten vertraulich.
Auf oftmals verschlungenen Wegen landen sie letztlich als Handelsware bei Databrokern – und von dort potenziell bei Unternehmen, die daraus Überwachungswerkzeuge bauen. Diese Form der Überwachung wird auch ADINT genannt, kurz für advertising-based intelligence, werbebasierte Aufklärung.
Bewegungsprofile: Das soll Webloc mit den Daten machen
Webloc soll die Arbeit mit den Daten mithilfe einer grafischen Oberfläche einfach machen, wie aus dem Bericht der Forschenden hervorgeht. Demnach sollen Kund*innen etwa suchen können, welches Handy in einem bestimmten Gebiet – oder in mehreren Gebieten – unterwegs gewesen ist. Außerdem sollen sich Nutzer*innen das Bewegungsprofil einzelner Handys anzeigen lassen können.
Als Beispiel zeigen die Forschenden den Screenshot aus der Produktpräsentation eines Drittanbieters, der die Fähigkeiten von Webloc darlegen soll. Der Screenshot zeigt die angebliche Route eines Handy-Nutzers auf einer Karte, basierend auf 39 Ortungen: Die Reise soll demnach von Deutschland über Österreich nach Ungarn geführt haben.
Zu den Fähigkeiten der Software hat sich Penlink auf Anfrage nicht geäußert. Grundsätzlich lassen sich Handy-Nutzer*innen jedoch mithilfe von Standortdaten der Werbe-Industrie auf genau diese Weise ausspionieren. Das interne Recherche-Werkzeug, das netzpolitik.org und Bayerischer Rundfunk für die Databroker-Files-Recherchen genutzt hat, hatte im Kern die gleichen Fähigkeiten.
Mit einem Werkzeug wie diesem lassen sich gezielt Personen oder Gruppen ins Visier nehmen, etwa Besucher*innen einer politischen Demo; Menschen, die in bestimmten Grenzregionen unterwegs sind, die bestimmte Parteizentralen oder Redaktionen besuchen und vieles mehr. In einem autoritären Regime ist das eine besondere Gefahr unter anderem für Aktivist*innen, Oppositionelle, Journalist*innen oder Migrant*innen.
Den Recherchen von VSquare und dem Citizen Lab zufolge gehörten mindestens drei ungarische Sicherheitsbehörden seit den frühen 2020er-Jahren zu den Kunden von Cobwebs Technologies, das inzwischen unter dem Namen Penlink firmiert: der Inlandsgeheimdienst Constitution Protection Office (AH), das für das Sammeln und Zusammenführen von Geheimdienstdaten zuständige National Information Center (NIC) sowie die Überwachungsbehörde Special Service for National Security (NBSZ).
Zum Portfolio von Cobwebs Technologies / Penlink sollen mehrere Werkzeuge gehören. NBSZ soll zuletzt im März 2026 Lizenzen für das werbebasierte Überwachungswerkzeug Webloc und weitere Programme erworben haben.
Die Enthüllungen kommen zu einem besonderen Zeitpunkt: Am kommenden Sonntag wählt Ungarn ein neues Parlament, und es sieht erstmals seit Langem so aus, als könnten Premier Viktor Orbán und seine Fidesz-Partei die Mehrheit verlieren. Umfragen sehen die TISZA-Partei von Herausforderer Péter Magyar deutlich vorne; nach 16 Jahren droht Orbán der Machtverlust.
Er und seine Fidesz-Partei haben das Land in den vergangenen Jahren zunehmend autoritär regiert. Die Regierung macht unabhängigen Medien und Nichtregierungsorganisationen die Arbeit schwer, hat Veranstaltungen wie die queere Pride-Demonstration in Budapest verbieten lassen und lässt kaum eine Gelegenheit aus, um Hetze zu verbreiten: etwa gegen die EU, die Ukraine, queere Menschen oder den jüdischen Philanthropen George Soros. Im Rahmen der Pegasus-Affäre kam 2021 ans Licht, dass mehrere ungarische Oppositionelle und Medienschaffende mit dem gleichnamigen Staatstrojaner überwacht wurden.
Brisant ist, dass die ungarische Regierung auch gegen den Journalisten Szabols Panyi vorgeht, der für VSquare zusammen mit dem Citizen Lab zu Penlink / Cobwebs Technologies in Ungarn recherchiert. Auch auf seinem Telefon wurde 2021 die Pegasus-Überwachungssoftware entdeckt. Kürzlich berichtete Panyi auf VSquare über zunehmenden russischen Einfluss auf Viktor Orbán – unter anderem soll Moskau ein Team des Militärgeheimdienstes GRU nach Ungarn geschickt haben, um den Wahlkampf mit Desinformation zu beeinflussen. Die Regierung wirft dem Journalisten Spionage für einen ausländischen Staat vor; die Polizei ermittelt gegen ihn.
Ein großes Arsenal digitaler Waffen
Neben ungarischen Behörden soll nach Recherchen des Citizen Lab auch die Polizei in El Salvador Webloc erworben haben, wie der Bericht unter Berufung auf geleakte Dokumente und einen Medienbericht festhält. Das Land wird seit 2019 von Präsident Nayib Bukele regiert, ebenfalls zunehmend autoritär. Eine Presseanfrage von netzpolitik.org ließ die betroffene Polizeibehörde unbeantwortet.
Außerdem listet der Bericht zahlreiche US-Behörden auf, von der lokalen bis zur Bundesebene, die Tangles-Lizenzen erworben haben sollen.
Entwickelt haben soll das werbebasierte Überwachungssystem das israelische Unternehmen Cobwebs Technologies. Es wurde 2023 von der US-Investmentfirma Spire Capital erworben und mit der Überwachungsfirma Penlink fusioniert, unter deren Namen die Geschäfte seitdem weiter laufen.
Neben Webloc sollen Penlink und Cobweb offenbar weitere mächtige Werkzeuge zur digitalen Überwachung im Angebot haben. Das Hauptprodukt heißt dem Bericht des Citizen Lab zufolge Tangles. Es soll etwa Soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kunden können demnach etwa nach Namen, Telefonnummern oder E-Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Dazu zählen auch Posts, Interaktionen mit anderen, besuchte Veranstaltungen oder Beziehungen zu anderen Nutzer*innen. Auch Gesichtserkennung und die automatisierte Analyse von Bildhintergründen, um Orte zu erkennen, sollen zum Produktumfang gehören.
Unsere Presseanfrage zu Tangles und weiteren Produkten ließ Penlink unbeantwortet.
Cobweb soll zumindest bis zur Fusion mit Penlink ein weiteres Produkt namens Trapdoor angeboten haben, berichtet das Citizen Lab. Das Programm wird als „Social-Engeneering-Plattform“ beschrieben, die Kund*innen bei Phishing-Angriffen unterstützen soll. Dem Bericht zufolge könne man mit dem Tool etwa Fake-Websites aufsetzen und Phishing-Links verschicken, um an Informationen und Zugangsdaten von Zielpersonen zu gelangen. Die Forschenden schlussfolgern, mit dem Werkzeug lasse sich die Installation von Malware auf dem Gerät eines Opfers erleichtern.
Das Citizen Lab beschreibt zudem das Cobwebs-Produkt Lynx, mit dem sich digitale Undercover-Operationen und Fake-Accounts in Sozialen Medien managen lassen sollen. Es soll unter anderem genutzt werden können, um sogenannte virtuelle Agenten zu steuern, mit denen Geheimdienste Gruppen im Netz infiltrieren. Auch für Lynx ist ungeklärt, ob es von Penlink übernommen wurde.
Keine Auskunft von der Bundesregierung
Mithilfe von 94 Informationsfreiheitsanfragen wollten die Forscher*innen des Citizen Lab in Erfahrung bringen, welche anderen europäischen Behörden zu den Kunden von Penlink oder Cobwebs gehören. Dabei bissen sie weitgehend auf Granit: „Viele Anfragen wurden abgelehnt oder blieben unbeantwortet“, schreiben die Forschenden. „Europol bestätigte, über Informationen zu Webloc zu verfügen, weigerte sich jedoch, diese offenzulegen.“
In Deutschland hatte zuletzt die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) Ende 2025 im Rahmen einer Kleinen Anfrage von der Bundesregierung unter anderem wissen wollen, ob Bundesbehörden wie das BKA Produkte von Cobwebs oder Penlink nutzen. Die Bundesregierung verweigerte die Auskunft. Ähnlich äußerte sich das Innenministerium nun auf eine aktuelle Presseanfrage von netzpolitik.org:
Die Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern (BMI) arbeiten zur Erfüllung ihrer gesetzlichen Aufträge auch mit kommerziellen Anbietern zusammen. Wir bitten um Verständnis, dass wir Ihnen zu Details der Beschaffung und des Einsatzes von entsprechender Software keine weiteren Auskünfte geben können.
Dass Deutschland für Penlink als Markt relevant sein könnte, darauf deutet ein weiterer Fund der Recherche des Citizen Lab: Seit 2020 unterhält Cobwebs in Deutschland ein Vertriebsbüro, das seit 2025 unter dem Namen Pen-Link GmBH firmiert.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen.
Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.
So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.
Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.
Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.
In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.
Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.
Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.
Kontrollverlust beim Online-Dating
Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.
Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.
Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.
Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“
Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.
Datenhandel gefährdet alle
Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.
Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.
Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen.
Die Unternehmenszentrale von WetterOnline am Bonner Rheinufer – Alle Rechte vorbehalten Screenshot: ARD
Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen hat ein Bußgeldverfahren gegen Wetter Online eingeleitet. Wann es zu einem Abschluss kommt, sei derzeit jedoch noch nicht absehbar, erklärt Pressesprecher Jan Keuchel auf Anfrage von netzpolitik.org.
Mehr als 100 Millionen Mal wurde die App allein aus dem Google Play Store heruntergeladen; nach eigenen Angaben hat das Angebot mehr als 22 Millionen Nutzer:innen. Was vielen dieser Menschen wohl nicht klar war: Wetter Online hatte offenbar genaue Standortdaten erfasst, obwohl das für eine Wettervorhersage nicht notwendig wäre, und diese Daten sind darüber hinaus offenbar bei Dritten gelandet.
Zu diesem Schluss ist die Landesbeauftragte für Datenschutz, Bettina Gayk, gekommen. Nach intensiven Ermittlungen wirft ihre Behörde dem Unternehmen vor, „über Jahre Standortdaten seiner Nutzer*innen ohne Rechtsgrundlage, konkret ohne deren wirksame Einwilligung erhoben und für Werbezwecke (weiter-)verarbeitet zu haben“, so der Behördensprecher. Laut Jahresbericht der Datenschutzbehörde hatte man die Praxis zügig stoppen können; Wetter Online hat demnach nachgebessert.
Anstoß für das Verfahren der Datenschutzbehörde gegen Wetter Online waren die Databroker-Files-Recherchen von netzpolitik.org und BR. Auf Grundlage dieser Recherchen beleuchtet nun auch eine neue Dokumentation der ARD den außer Kontrolle geratenen Handel mit personenbezogenen Daten und geht auch auf den Fall Wetter Online ein.
Der Film „Gefährliche Apps – Im Netz der Datenhändler“ erzählt anschaulich, wie Standortdaten aus der Online-Werbeindustrie über Handy-Apps abfließen und letztlich zur Handelsware von Databrokern werden.
Um sich selbst ein Bild von der Lage bei Wetter Online zu machen, hatten Mitarbeiter:innen der Datenschutzbehörde im vergangenen Jahr bei Wetter Online einen überraschenden Kontrollbesuch gemacht. Davon berichtet die Datenschutzbeauftragte Bettina Gayk in der Doku: „Man hat uns mitgeteilt, dass Standortdaten nur für eigene Zwecke, nämlich das Ausspielen dieses Wetterdienstes genutzt werden“. Tatsächlich aber habe man feststellen können, dass die Daten auch für andere Zwecke verarbeitet werden. Außerdem habe es Schnittstellen zum Teilen der Daten mit Dritten gegeben.
Das Unternehmen selbst hat auf eine aktuelle Presseanfrage von netzpolitik.org nicht reagiert. Im vergangenen Jahr erklärte Wetter Online jedoch, dass niemals GPS-Daten „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, so ein Sprecher des Unternehmens im Juni 2025.
Wie genau Handy-Standortdaten von Wetter-Online-Nutzer:innen letztlich in dem uns vorliegenden Datensatz gelandet sein könnten, erklärte der Sprecher damals nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“
Unklar bleibt deshalb auch, an welche Drittparteien Standortdaten abgeflossen sein könnten. Zeitweise listete Wetter Online in der Datenschutzerklärung mehr als 800 Werbepartner auf.
Zehntausende Handys an nur an einem Tag geortet
Hinter dem globalen Datenhandel stecken mindestens Zehntausende Apps. Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten von verschiedenen Datenhändlern vor, allesamt erhalten als kostenlose Vorschau-Pakete. Woher die Daten stammen, erfahren Käufer:innen oft nicht. Im Januar 2025 konnten wir jedoch gemeinsam mit internationalen Partnermedien erstmals über einen Datensatz berichten, in dem auch konkrete Apps genannt werden. Insgesamt enthält dieses Datenset 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Verweisen auf rund 40.000 Apps für Android und iOS.
In dem Datensatz fanden wir auch zahlreiche Apps aus Deutschland, dazu teils genaue Handy-Standortdaten. Unter den Apps mit den meisten in Deutschland georteten Handys war Wetter Online. An nur einem Tag wurden zehntausende Wetter-Online-Nutzer:innen in Deutschland wohl teils auf den Meter genau geortet.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Die Landesdatenschutzbeauftragte Bettina Gayk reagierte damals umgehend und forderte Wetter Online schon kurz nach unserer Berichterstattung auf, die Verarbeitung präziser Standortdaten „so schnell wie möglich“ zu beenden. Das Unternehmen hinter der App, die „WetterOnline – Meteorologische Dienstleistungen GmbH“ hat ihren Sitz in Nordrhein-Westfalen, weshalb der Fall in die Zuständigkeit von Gayks Behörde fällt.
So gefährlich ist der Datenhandel
Die TV-Doku macht nun anhand konkreter Fälle anschaulich, wie gefährlich solche vermeintlich harmlosen Werbedaten in den falschen Händen werden können: Sie können etwa für Stalking genutzt werden, für Spionage durch ausländische Geheimdienste oder sogar Frontstellungen in der Ukraine verraten.
Die Standortdaten von Handys landen oft auf verschlungenen Pfaden bei den Databrokern. In der Regel enthalten die dort gehandelten Datensätze zwar keine Namen oder Telefonnummern der betroffenen Menschen. Aufspüren lassen sie sich dank der Mobile Advertising ID oftmals trotzdem.
Eine solche pseudonyme Identifikationsnummer ordnen Apple und Google Smartphones mit iOS oder Android zu. Mit ihr sollen Werbetreibende einzelne Personen wiedererkennen. Zugleich bewirkt die Nummer, dass sich vereinzelte Standortdaten zu aussagekräftigen Bewegungsprofilen zusammensetzen lassen.
In zahlreichen Recherchen haben wir aufgezeigt, wie leicht man anhand dieser Daten Personen ins Visier nehmen, identifizieren und ausspionieren kann. Mühelos lässt sich oftmals ablesen, wo Menschen wohnen und arbeiten, wo sie einkaufen und spazieren gehen – oder welche Ärzte, Bordelle oder religiösen Gebäude sie aufsuchen. So entdeckten wir in den Datensätzen auch genaue Standortdaten von hochrangigen Beamt:innen der EU-Kommission oder von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdiensten in Deutschland.
Datenschutzbehörde: Wirksame Einwilligung fehlte
Dass Tracking-Daten alles andere als harmlos sind, betont auch die Datenschutzbehörde. „In Kombination mit anderen Daten können solche Standortdaten zur Erstellung von Bewegungsprofilen genutzt werden und potenziell tiefe Einblicke in das Leben der Betroffenen ermöglichen“, erklärt Sprecher Jan Keuchel. „Die Gefahr eines Missbrauchs ist deshalb groß.“
Es müsse sichergestellt werden, dass Standortdaten und ähnliche Daten nur auf Basis einer wirksamen Rechtsgrundlage verarbeitet werden. „Dies gilt umso mehr, sofern die Daten zu Werbezwecken an Dritte weitergeleitet werden.“ Dafür komme aus datenschutzrechtlicher Sicht nur die informierte und freiwillige Einwilligung der Betroffenen infrage, so Keuchel.
Damit diese Einwilligung auch wirksam ist, müssten Nutzer:innen verstehen können, wozu sie genau ihr Einverständnis geben, zu welchen Zwecken ihre Daten verarbeitet werden und welche Dritten sie für welchen Zweck erhalten. An solch einer wirksamen Einwilligung habe es im Fall von Wetter Online gefehlt, so Keuchel weiter.
Potenzielle Gefährdung „hoch“
Auf Wetter Online könnte nun eine Geldbuße zukommen: „Da die potenzielle Gefährdung der Rechte der betroffenen Nutzer*innen hoch war“, so Behördensprecher Keuchel, könne man es nicht bei einer „Anordnung zur datenschutzgerechten Anpassung des Verfahrens“ belassen.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Dass der Fall nach mehr als einem Jahr noch nicht abgeschlossen ist, erklärt Keuchel mit dessen Umfang und der Komplexität. Die Untersuchungen hätten „eine Anhörung, einen Vor-Ort-Termin sowie verschiedene schriftliche Auskunftsersuchen gegenüber dem Unternehmen“ umfasst. „Das Geldbußeverfahren verlangt noch einmal eigene Arbeitsschritte.“ Grundsätzlich spiele es bei derlei Verfahren auch eine Rolle, ob der Sachverhalt „von dem betroffenen Unternehmen eingeräumt oder bestritten wird und ob es zu einer rechtlichen Auseinandersetzung kommt“.
Datenschutz-Nachhilfe von der Aufsichtsbehörde brauchte Wetter Online unterdessen auch in einem weiteren Fall: Ein Datenauskunftsersuchen unserer Redaktion im Rahmen der Databroker-Recherchen versuchte das Unternehmen zunächst mit Hinweis auf zu hohen Aufwand abzuwimmeln. Erst als wir – unterstützt von der Datenschutzorganisation noyb – Beschwerde bei der Behörde einlegten, rückte Wetter Online zumindest ein paar Daten heraus.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Erhoben zu Werbezwecken, verschleudert im Internet: Standortdaten aus der Werbe-Industrie können Menschen gefährden. Das zeigt die ARD-Doku „Gefährliche Apps“, die nun online ist. Sie beruht auf den Recherchen von netzpolitik.org und Bayerischem Rundfunk zu den Databroker Files.
– Alle Rechte vorbehalten ARD / Gefährliche Apps; Collage: netzpolitik.org
Es geht um Milliarden Standortdaten von ahnungslosen Handy-Nutzer*innen, oftmals metergenau. Angeblich nur zu Werbezwecken erhoben, fließen die Daten über populäre Handy-Apps auf teils verschlungenen Wegen in die Hände von Databrokern. Potenziell betroffen sind alle Menschen, die ein Smartphone nutzen.
Die Recherchen von netzpolitik.org und Bayerischem Rundfunk begannen im Februar 2024 mit einem Gratis-Datensatz, den ein Databroker als Vorschau für ein kostenpflichtiges Abo verschenkt hat. Anhand dieser Daten konnte das Team nicht nur einen flächendeckenden Angriff auf die Privatsphäre von Handy-Nutzer*innen enthüllen, sondern auch eine Gefahr für die nationale Sicherheit. Die EU-Kommission sagte: „Wir sind besorgt“.
Jetzt erzählt eine Fernsehdoku die wichtigsten Erkenntnisse aus den Databroker Files. Sie macht anschaulich, wie der Handel mit personenbezogenen Daten außer Kontrolle geraten ist – und vor welchem Hintergrund Fachleute aus Politik und Verbraucherschutz ein Verbot von Tracking und Profilbildung zu Werbezwecken fordern.
Erstmals berichtet die Doku darüber, wie Handy-Standortdaten der Werbe-Industrie auch ukrainische Soldaten an der Front gefährden können – oder Journalist*innen im Exil. Neu ist auch die Geschichte einer bayerischen Schülerin, die niemals erwartet hätte, dass Databroker ihr genaues Bewegungsprofil offen im Netz handeln.
„Gefährliche Apps – Im Netz der Datenhändler“, produziert vom Bayerischen Rundfunk für ARD, Arte und die Deutsche Welle, ist nun in der ARD Mediathek zu sehen – und in einer etwas längeren Fassung auch in der Arte-Mediathek. Was der Datenhandel konkret für Menschen bedeuten kann, fassen wir hier anhand von vier Köpfen aus der Doku zusammen.
1. Databroker verkaufen Handy-Standortdaten von der Front
Ex-Soldat Dmytro. - Alle Rechte vorbehalten ARD / Gefährliche Apps
Heute lebt Dmytro auf einem Hof in der Nähe von Odessa. Unter raschelnden Baumkronen grast eine Kuh, in den Ästen läutet ein Windspiel. Als das Kamerateam Dmytro besucht, führt er die Pferde aus, reitet über einen Feldweg. Zuvor hat er als Soldat für die Ukraine an der Front gekämpft. Für ihn und seine Kameraden hatten Smartphones eine besondere Bedeutung.
„Das Handy ist sehr wichtig, weil es moralisch unterstützt“, erklärt er im Interview. „Man kann seine Lieben zuhause spüren, seinen Ehepartner. Es ist eine Erinnerung daran, wofür man an der Front kämpft.“
Zugleich können Smartphones im Krieg eine Gefahr darstellen, und zwar durch die potenzielle Ortung von Soldat*innen und deren Stellungen. Inzwischen liegen dem Recherche-Team Datensätze von mehreren Databrokern vor; in einem davon finden sich auch Handy-Ortungen aus umkämpften Gebieten in der Ukraine. Die Daten geben auch Preis, dass Geräte per Starlink im Netz waren, jenes Satelliteninternet, das ukrainische Truppen verwenden.
Das Recherche-Team zeigt Dymtro auf Satellitenbildern eine Auswahl von Handy-Ortungen im Kampfgebiet. Er beugt sich über den Bildschrim und bestätigt: „Genau hier an diesem roten Punkt, da war unser Hauptquartier.“
Es ist möglich, dass die russische Armee nicht auf Standortdaten der Werbe-Industrie angewiesen ist, um potenzielle Ziele zu identifizieren – es lässt sich aber auch nicht ausschließen, dass russische Behörden genau das tun. Deutsche Rüstungsunternehmen befürchten zudem, dass auch ihre neuen Produktionsstätten in der Ukraine ins Visier geraten können, wie tagesschau.de berichtet. Deren Standorte sind weitestgehend geheim, um sie vor russischen Angriffen zu schützen.
2. Exil-Journalistin in Berlin berichtet von Verfolgung
Exil-Journalistin Mostafa. - Alle Rechte vorbehalten ARD / Gefährliche Apps
In Ägypten hatte die Journalistin Basma Mostafa unter anderem kritisch über Polizeigewalt berichtet. Sie erzählt dem Fernsehteam von mehreren Festnahmen, sogar von Folter. Schließlich gelang ihr die Flucht; der Weg führte sie nach Berlin. Ihr Leben in Ägypten, sagt sie heute, habe sie zurückgelassen. Aber auch in Berlin werde sie von ägyptischen Agenten verfolgt und bedroht. Sie fotografiert die Männer, die ihr auffallen, und zeigt dem Recherche-Team die Fotos auf ihrem Smartphone. Die Polizei habe ihr empfohlen, den Wohnort zu wechseln.
„Ich frage mich wirklich: Woher wissen die immer genau, wo ich bin?“, sagt Mostafa im Interview. Gemeinsam mit dem Recherche-Team betrachtet auch sie einen Ausschnitt der Standortdaten, die Databroker von Millionen Handys auf der Welt verkaufen. Der Ausschnitt zeigt die Bewegungsmuster einer Person, die offenbar in Mostafas Wohnhaus lebt. Von diesem Haus führen Handy-Ortungen zu anderen Adressen, die Mostafa wiedererkennt: etwa den Spielplatz, wo sie mit ihren Kindern hingehe, oder ein Krankenhaus. Es fühle sich an, sagt sie, als wäre sie gehackt worden.
Ähnlich wie im Fall der ukrainischen Soldaten gilt: Es kann sein, dass ägyptische Behörden nicht auf Standortdaten aus der Werbe-Industrie angewiesen wären, falls sie Dissident*innen im Ausland ins Visier nehmen wollten. Sicherheitsexperte Franz-Stefan Gady legt zumindest nahe, dass ein solches Szenario denkbar ist. Anders als große Geheimdienste wie aus den USA, Russland oder China hätten „zweitrangige“ Dienste inzwischen immer mehr Zugang zu Daten, „die sie wahrscheinlich vor einigen Jahren noch nicht gehabt hätten“, erklärt Gady.
3. Die Spur der Daten führt zu 18-Jähriger aus Bayern
Emma aus Bayern. - Alle Rechte vorbehalten ARD / Gefährliche Apps
Wie aufdringlich Handy-Standordaten sein können, zeigt der Fall der 18-Jährigen Emma aus Bayern. Mühelos fand das Recherche-Team ihre Privatadresse in den Daten: Ein freistehendes Haus in einer bayerischen Gemeinde, wo sich auffällig viele Ortungen eines Geräts häuften. Ebenso häuften sich die Ortungen bei einer nahegelegenen Schule, während eine Perlenschnur aus Standortddaten die Strecke beschrieb, die Emma oft mit dem Schulbus genommen hat.
Das Beispiel zeigt: Bereits zwei Orte, Wohnort plus Arbeits- oder Ausbildungsplatz, können genügen, um eine Person in einem Bewegungsprofil eindeutig wiederzuerkennen.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
„Das ist krass“, sagt Emma heute, als das Kamera-Team der 18-Jährigen ihre Standortdaten auf einem Tablet zeigt. Die Daten zeigen auch Emmas Abstecher in den Supermarkt und zu McDonald’s. Oder die genaue Route über einen Feldweg, den sie nimmt, wenn sie mit ihrem Hund spazieren geht.
„Wenn irgendein Mann diese Daten hätte“, sagt Emma, „so Stalking-mäßig“, dann wäre das „sehr unvorteilhaft“. Zur Erinnerung: Das Recherche-Team hat die Daten kostenlos von einem Databroker im Netz erhalten. Prinzipiell zugänglich sind solche Daten für alle, die Datenhändler danach fragen. Für einen vierstelligen Betrag im Monat können Interessierte ein Abonnement abschließen.
4. Standortdaten können Besuch in Abtreibungsklinik verraten
Mutter Miller. - Alle Rechte vorbehalten ARD / Gefährliche Apps
In Dallas, Texas, lebt Lauren Miller mit ihrem zweijährigen Sohn Henry. Abtreibungen sind ihrem US-Bundesstaat kriminalisiert. Doch vor gut zwei Jahren war eine Abtreibung genau das, was Miller und ihr damals ungeborener Sohn aus medizinischen Gründen benötigten. Denn Henry hatte einen nicht überlebensfähigen Zwillingsbruder. Nur eine Teilabtreibung hätte das gesunde Baby retten können, wie Miller berichtet.
Deshalb machten sich Miller und ihr Mann auf die Reise nach Colorado. Dieser Bundesstaat verletzt nicht die reproduktiven Rechte von Menschen; dort sind Abtreibungen weiterhin legal. „Ich weiß noch, wie ich mit gesenktem Kopf durch die Sicherheitskontrolle am Flughafen gegangen bin“, erzählt Miller. „Wir haben sogar überlegt, die Handys zu Hause zu lassen.“
Am Ende hatten Miller und ihr Sohn Henry Glück. Weder US-Sicherheitsbehörden noch radikale Abtreibungsgegner*innen hatten sie an der Reise in die Abtreibungsklinik gehindert. Eines ist jedoch wahrscheinlich: Handy-Standortdaten hätten die Familie verraten können.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
In den Standortdaten, die Databroker verkaufen, lassen sich sensible Orte wie Abtreibungskliniken mühelos ins Visier nehmen. Systematisch lässt sich untersuchen, weche Geräte dort ein und ausgehen – und vor allem, welche Geräte aus einem US-Bundesstaat einreisen, der Abtreibungen verbietet.
Erste Warnungen vor verräterischen Datenspuren gab es bereits 2022, kurz nachdem der Oberste Gerichtshof in den USA den Weg zur Kriminalisierung von Abtreibungen in US-Bundesstaaten frei gemacht hatte. In der Folge hatte etwa Google angekündigt, Standortdaten zu löschen, von denen sich Klinikbesuche ableiten lassen. Dass US-Sicherheitsbehörden Handy-Standortdaten tatsächlich bei Databrokern einkaufen, ist spätestens seit 2020 bekannt; jüngst gab auch FBI-Direktor Kash Patel diese Praxis offen zu.
Im Interview sagt Miller: „Es ist schwer greifbar, wenn man sagt: ‚Die haben meine Daten.‘ Was heißt das? Ist doch egal. Aber wenn man versteht, wie bedrohlich solche Daten sein können, dann macht man sich schon Sorgen.“
Mehr als 30 Artikel veröffentlicht
In der Doku berichten auch die Autoren dieses Textes von den Recherchen. - Alle Rechte vorbehalten ARD / Gefährliche Apps
Zu den Databroker Files hat netzpolitik.org inzwischen mehr als 30 Artikel verfasst. Hier sind Lesetipps für Interessierte, die tiefer eintauchen möchten:
In Handy-Standortdaten aus Belgien haben netzpolitik.org und Recherche-Partner sogar Spitzenbeamt*innen in Brüssel gefunden. EU-Abgeordnete warnten vor Spionagegefahr und forderten Konsequenzen.
In Folge der Recherchen sind Datenschutzbehörden in Deutschland aktiv geworden; es gab eine Durchsuchung bei Wetter Online, einer von Deutschlands populärsten Wetter-Apps.
Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Anna Biselli. Team Bayerischer Rundfunk: Katharina Brunner, Rebecca Ciesielski, Florian Heinhold, Maximilian Zierer.
Update, 14. April: Wir haben den Link zur Arte-Mediathek ergänzt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Es ist das erste Signal des Rates im Ringen um den sogenannten Datenomnibus: In einem ersten Positionierungsentwurf stellen sich die Mitgliedstaaten gegen mehrere Vorschläge der EU-Kommission, die von Datenschutz-Expert:innen kritisiert worden waren. Wir veröffentlichen den Zwischenstand.
Stop and Go für unterschiedliche Vorschläge im „Digital Omnibus“ – Gemeinfrei-ähnlich freigegeben durch unsplash.com Tanya Barrow
Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.
Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.
Keine Neudefinition personenbezogener Daten
Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.
Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.
Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.
Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.
Wo steht Deutschland?
Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.
Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch sind. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.
Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.
Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.
Zumindest teilweise ist der „Digital Omnibus“ der EU mit hoher Geschwindigkeit unterwegs – Gemeinfrei-ähnlich freigegeben durch unsplash.com Gen Pol
Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.
Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.
Sollen sexualisierte Deepfakes verboten werden?
Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.
Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.
Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.
Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.
KI-Omnibus könnte bald schon am Ziel sein
Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.
Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.
Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.
Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.
Institutionen warnen vor Datenomnibus
Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.
De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.
In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.
Ehemalige Meta-Lobbyistin verhandelt über Datenschutz
Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.
Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“
Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.
Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die EU-Kommission will pseudonymisierte Daten teilweise von der Datenschutzgrundverordnung ausnehmen. Jetzt äußert sich erstmals eine deutsche Datenschutzbeauftragte. Meike Kamp übt deutliche Kritik an den Plänen und glaubt, die Kommission habe ein Urteil des Europäischen Gerichtshofes missverstanden.
Wenn die Person dahinter nicht mehr erkannt werden kann, sollen Daten künftig nicht mehr von der DSGVO geschützt sein – Gemeinfrei-ähnlich freigegeben durch unsplash.com Oscar Keys
Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.
Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.
Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.
Wann gelten pseudonymisierte Daten als personenbezogen?
In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen. Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.
Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.
Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.
Ringen um EuGH-Urteil
Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.
Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.
Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.
Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.
Auch Alexander Roßnagel übt Kritik
Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.
Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.
Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.
Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.
Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen
Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.
Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.
Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet!
Ingo, Chris, Markus und Esther beim podcasten auf dem Congress
Wir waren live, das erste Mal seit fünf Jahren: Auf der Bühne des 39C3-Sendezentrums habe ich mit meinen Kolleg:innen Esther, Markus und Chris geplaudert. Wie war ihr Chaos Communication Congress bislang? Was hat in den letzten Wochen super geklappt und was weniger gut? Und vor allem: Wie liefen ihre Lieblingsrecherchen des Jahres ab?
Chris erzählt vom mSpy-Leak, für den wir 3,6 Millionen Nachrichten an den Support einer Überwachungs-App ausgewertet haben. Markus spricht über eine außergewöhnliche Crowd-Recherche zwischen Berlin und Belgrad. Und Esther berichtet von den Mühen der Berichterstattung über Verwaltungsdigitalisierung.
Außerdem beantworten wir Hörer:innenfragen: Welche Recherchen sind so richtig schief gelaufen? Wie viele Admins arbeiten bei netzpolitik.org? Und welche Drähte haben wir ins Parlament?
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
00:00:00 Begrüßung
00:03:32 Blattkritik
00:07:44 Hausmitteilungen
00:09:18 Thema des Jahres
00:37:57 Postfach
00:44:52 Credits
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.
Biometrische Erfassung für die staatliche Datenbank „Huduma Namba“ in Kipcherere, Bariongo (Kenia). – Alle Rechte vorbehalten IMAGO / ZUMA Press Wire
Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.
Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.
Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.
Koloniales Echo
Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.
Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.
Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.
In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.
Radikale Verweigerung
Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.
Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.
Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.
2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.
Der Kampf geht weiter
Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.
Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
