Die Wirtschaftssenatorin Franziska Giffey nutzt die Notfallsituation in Berlin, um sich mit der Forderung nach mehr Videoüberwachung zu profilieren. Sie will auch „Künstliche Intelligenz“ einsetzen. Doch mehr Kameras helfen nicht, wenn es eigentlich andere Maßnahmen braucht. Ein Kommentar.

Nach dem mehrtägigen und noch anhaltenden Stromausfall im Südwesten von Berlin wegen eines Brandanschlags hat die Berliner Wirtschaftssenatorin Franziska Giffey (SPD) mehr Videoüberwachung gefordert. Offenbar geht sie davon aus, dass mehr Kameras eine sinnvolle Konsequenz aus dem viele tausend Haushalte und Unternehmen betreffenden Krisenfall sein oder einen solchen gar verhindern könnten. Der Regierende Bürgermeister Kai Wegner von der CDU sekundierte eilig.

Giffey kündigt zugleich an, die vermehrte Videoüberwachung durch „Künstliche Intelligenz“ ergänzen zu wollen, etwa zur Wärmeerkennung. Vielleicht hat sie sich Kameras vorgestellt, die Wärmebilder aufzeichnen, unterstützt durch eine Software, die solche Bilder analysiert: eine automatische Menschenerkennung gewissermaßen, die auf magische Weise böse Absichten sichtbar macht.

Nun könnte sich die Wirtschaftssenatorin für die Notfallhilfe und die bessere Versorgung, Unterbringung und Aufklärung von stromlosen frierenden Menschen einsetzen, denn der Stromausfall betrifft auch die Fernwärmeversorgung. Sie könnte sich mehr vorsorgende Gedanken machen, wie künftig bei Katastrophen oder absichtlichen Zerstörungen der Schaden für die betroffenen Menschen und die Wirtschaft minimiert werden kann.

Oder sie kann sich mitten in der Notfallsituation einfallsarm, aber vorhersehbar für mehr Videoüberwachung starkmachen. Schon nach kurzem Nachdenken erscheint das jedoch als keine schlaue Idee. Denn von Stromausfällen sind zumeist auch Kameras und auswertende Computer betroffen. Im Krisengebiet in Berlin waren auch Internet- und Telefonverbindungen gestört.

Videoüberwachung nicht sinnvoll

Videoüberwachung ist nicht geeignet, Anschläge zu erschweren oder gar zu verhindern. Denn die bloße filmende Kamera führt bekanntlich weder zu mehr Sicherheit noch zu mehr Resilienz. Zwar wird zuweilen behauptet, Kameras mit Mustererkennungssoftware könnten Gefährdungssituationen zuverlässig identifizieren oder gar durch ein schnelles Eingreifen nach Alarmierung verhindern. Die Realität sieht aber anders aus: unwissenschaftliche Schönfärberei in Hamburg, auch das Vorzeigebeispiel Mannheim ist keine Erfolgsgeschichte. Es bleiben doch nur Computer, die auf Menschen starren.

Interview zur Videoüberwachung: Computer, die auf Menschen starren

Die Sinnhaftigkeit der Forderung nach Videoüberwachung kann also nur darin liegen, bei absichtlichen Sabotagen die Tätersuche zu unterstützen. Allerdings können sich auch nur mäßig begabte Kriminelle sehr leicht unkenntlich machen.

Beim Berliner Stromnetz seien bereits drei Viertel der Leitungen vom Netzbetreiber oder anderen Privaten kameraüberwacht, sagte Giffey. „Was nicht videoüberwacht ist, ist auf öffentlichem Straßenland“. So sei das auch bei der am Samstag sabotierten Kabelbrücke in Berlin, meint die Senatorin. Allerdings wissen ortskundige Berliner, dass dort ein großes Heizkraftwerk an der Wasserkanalseite liegt. Das ist umzäunt und auch bewacht und wäre damit kein öffentliches Straßenland. Und an „gefährdeten Objekten“ ist es ohnehin geltendes Recht, dass Videoüberwachung möglich ist. Denn an solchen „gefährdeten Objekten“ dürfen Bildaufnahmen gemacht und auch aufgezeichnet werden.

Schlechtes Notfallmanagement

Mit fragwürdigen Maßnahmen wie Videoüberwachung kann der Berliner Senat nicht von der Tatsache ablenken, dass die Verwaltung nur ein schlechtes Notfallmanagement zeigte. Die Hilfen seien zu langsam und unvollständig gekommen, der Regierende Bürgermeister hätte sich rar gemacht.

Wer vom Stromausfall betroffen ist, dem nützt eben kein Bild eines Täters, der bei einer Sabotage gefilmt wird. Natürlich muss nach dem Ende der Krisensituation die Tätersuche priorisiert werden. Aber eine große Krise mit vielen betroffenen Menschen verlangt erstmal nach gut organisierter Hilfe und Notfallmaßnahmen, danach nach sinnvoller und bezahlbarer Vorsorge, zumal nicht nur Absicht, sondern auch Katastrophen und Unfälle ein ebenso großes Schadensbild erzeugen könnten.

Politiker neigen dazu, sich in Krisensituationen mit „Gummistiefel-Fotos“ und starken und einfachen Forderungen profilieren zu wollen. Genau das macht Giffey hier. Und eine Großkrise mit Stromausfall bei zehntausenden Haushalten bietet sich für ehrgeizige Politiker einfach an, selbst wenn die Forderung nicht so recht ins eigene Ressort passt und keinen Sinn ergibt. Videoüberwachung, gar mit „Künstlicher Intelligenz“, klingt aber immerhin modern. Bezahlbarer Bevölkerungsschutz und Krisenvorsorge sind hingegen die dicken Bretter, die eigentlich zu bohren wären.

Die halbe Stadt nun kameraüberwachen zu wollen, ist allerdings gar nichts Neues. Denn zur Wahrheit gehört, dass die Berliner Koalition ohnehin seit dem Sommer plant, die Anzahl der festinstallierten Videoüberwachungskameras dauerhaft auszubauen. Auch die automatische Verhaltenserkennung mit „Künstlicher Intelligenz“ war in dem Plan zur Ausweitung der Polizeibefugnisse schon enthalten.

Aktionismus statt solide Politik hat in Berlin eben Tradition. Wie sagte Joseph Weizenbaum so treffend: „Früher hat man dem Computer ein Problem übergeben, wenn man es verstanden hatte, heute ist es andersrum.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die anlasslose Massenüberwachung der DNS-Anfragen aller Kunden von Vodafone ist vorerst abgewendet. Der Netzbetreiber wehrte sich dagegen erfolgreich mit einer Verfassungsbeschwerde. Klaus Landefeld von Branchenverband eco bewertet die Methode als „völlig ungeeignet“. Er hofft, dass sie dauerhaft verboten wird.

Ende November erging eine Eilentscheidung des Bundesverfassungsgerichts zu einer neuen Form der Massenüberwachung: Das Gericht stoppte einen Amtsgerichtsbeschluss, die einem Netzbetreiber das Mitprotokollieren von Billionen DNS-Anfragen vorgeschrieben hätte.

Das Amtsgericht Oldenburg hatte Vodafone zur Umsetzung von Überwachungsanordnungen verpflichtet, die monatlich sage und schreibe 12,96 Billionen DNS-Anfragen betroffen hätte. Der DNS-Server des Anbieters sollte überwacht werden, gestützt auf Paragraph 100a der Strafprozessordnung. Außerdem sollten die zur Identifizierung des Anschlussinhabers notwendigen Kundendaten mitgeliefert werden.

Doch der Telekommunikationskonzern wehrte sich und setzte sich nun vorerst durch. Die Vollziehung des amtsgerichtlichen Beschlusses ist für sechs Monate ausgesetzt, auch neue Anordnungen darf es nicht geben.

Das Bundesverfassungsgericht sieht „jedenfalls massenhafte Eingriffe“ in das Fernmeldegeheimnis der vierzig Millionen Vodafone-Kunden und erkennt Anhaltspunkte, dass die DNS-Massenüberwachung verfassungswidrig sein könnte. Viele völlig unverdächtige Kunden gerieten in die Überwachung und könnten sich nicht dagegen wehren. Denn die Überwachung findet heimlich statt, weswegen weder vorbeugender noch abwehrender Rechtsschutz möglich sei.

Wer ruft was auf?

Vodafone sollte DNS-Anfragen zu einem bestimmten Server abfangen, über den aber keine näheren Angaben bekannt sind. Das Domain Name System (DNS) übersetzt den Namen einer Website wie beispielsweise netzpolitik.org in Nummern (hier IPv4 144.76.255.209). Das könnte man mit den früher gebräuchlichen Telefonbüchern vergleichen. Allerdings wird nicht minutenlang gestöbert und geblättert, sondern die Namensauflösung wird in einem Bruchteil einer Sekunde geliefert.

Die Namensauflösung erfolgt technisch mehrstufig. Typisch ist heute die Server-assistierte iterative Form: Ein DNS-Stub-Resolver fragt den lokalen rekursiven DNS-Server, der die Anfrage (iterativ von der Wurzel abwärts) bis zum gesuchten Domain-Namen weiterleitet. Gebräuchliche DNS-Resolver und DNS-Server beschleunigen diese Namensauflösung dadurch, dass sie lokale DNS-Caches als Zwischenspeicher nutzen.

Zieht man den Vergleich mit dem Telefonbuch heran, dann wollten die Ermittler also eine Art Zielwahlüberwachung der gesamten Telefonie, um gezielt für eine vorgegebene Zieltelefonnummer herausfinden, wer alles diese Nummer angerufen hat.

13 Billionen DNS-Anfragen pro Monat mitprotokollieren

Vodafone gab dem Gericht die Anzahl von etwa fünf Millionen DNS-Server-Anfragen pro Sekunde im Anordnungszeitraum von einem Monat an. So errechnen sich die 12,96 Billionen DNS-Anfragen monatlich.

Um eine so große Anzahl für eine Überwachungsanordnung festzuhalten, müsste ein erheblicher Aufwand betrieben werden. Und je größer die eigene DNS-Infrastruktur des Netzbetreibers ist, desto aufwendiger wird es. Die Technik zur Protokollierung darf aber dabei die eigentliche Funktion, nämlich die schnelle Namensauflösung, nicht bremsen.

Das bedeutet einen großen organisatorischen und personellen Aufwand. Die DNS-Server-Systeme der Anbieter müssten sämtliche DNS-Anfragen aller Kundenanschlüsse daraufhin auswerten, ob diese einen bestimmten inkriminierten Server abfragen.

Klaus Landefeld, Vorstand des IT-Branchenverbandes eco, bewertet die Eilentscheidung des Bundesverfassungsgerichts positiv und hofft auf ein Ende der Überwachungsmethode: „Das war dringend notwendig, um diese neue Idee einer Schleppnetzfahndung im Internet zumindest vorübergehend, hoffentlich aber auch dauerhaft abzuwenden.“

Die Maßnahme sei „völlig ungeeignet“. Denn es müssten „faktisch alle Anbieter von DNS-Resolvern verpflichtet werden“. Doch selbst dann könnten diese Anbieter nur einen Teil der DNS-Anfragen ihren eigenen Kunden zuordnen, da diese auch Resolver von populären Drittanbietern wie etwa Google (8.8.8.8), Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9) nutzten. Und selbst wenn die Methode Erfolg hätte, wäre der immense Aufwand „mit Sicherheit dem Ergebnis nicht angemessen“ und rechtfertigte nicht die „anlasslose Massenüberwachung der DNS-Anfragen aller Kunden“, so Landefeld.

Es drängt sich die Frage auf, weswegen diese offensichtlich wenig geeignete Maßnahme von den Ermittlern überhaupt gefordert wird. „Ich halte es persönlich für einen verzweifelten Versuch, die mangelhafte oder derzeit überhaupt nicht vorhandene Möglichkeit der (Rück-)Auflösung von Carrier-NAT durch die vorgeschaltete DNS-Abfrage zu umgehen“, sagt Landefeld. Die Ermittler wollen demnach an private IP-Adressen gelangen, auch wenn dies für die Netzbetreiber einen außerordentlichen Aufwand bedeutet und Millionen Kunden betroffen wären. Denn der DNS-Server vom Anbieter sieht vielleicht die private IP-Adresse des Kunden und nicht nur die öffentliche IP-Adresse, die sich eben viele Kunden (Carrier-grade NAT) teilen.

Es gibt auch andere technische Methoden, um an die gesuchte private IP-Adresse zu kommen, die bei der Verhältnismäßigkeitsprüfung nicht schon auf der ersten Stufe scheitern. Das sieht auch das hohe Gericht so. Landefeld fielen ebenfalls Alternativen ein, die ohne anlasslose Massenüberwachung auskämen. Den Ermittlern waren aber offenbar keine anderen Methoden eingefallen.

Wer die gesuchten Verdächtigen sind, ist bisher nicht bekannt. Akteneinsicht hatte der Netzbetreiber von der Staatsanwaltschaft nicht bekommen. Aber schwerwiegende Verfehlungen können es nicht sein. Denn das Bundesverfassungsgericht schreibt, es sei „nicht ersichtlich, dass die hier konkret verfolgten Delikte besonders schwer wögen oder die Ermittlung des Sachverhalts mit anderen Ermittlungsmethoden nicht ebenso erfolgsversprechend sein könnte“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Nach Risikoprüfung des Einsatzes von Palantir-Software in der Schweiz bekam der US-Konzern eine Absage, trotz jahrelanger Hofierung von Behörden und Armee. Den Eidgenossen sind die Risiken zu groß. Da drängt sich die Frage auf, warum die Palantir-Software für deutsche Polizeien gut genug sein soll. Innenminister Dobrindt wird sie beantworten müssen.

Der Chef von Palantir, Alex Karp, residiert auch in einem Anwesen in der Schweiz. Der US-Tech-Konzern expandiert sein Geschäft mit Analysesoftware schon mehrere Jahre nach Europa. Was liegt da näher, als auch den Eidgenossen die Palantir-Systeme anzudienen? Genau das versuchte das militärnahe Unternehmen über Jahre – aber biss sich die Zähne aus.

Das berichtet das Magazin „Republik“ aus der Schweiz. Die Journalisten haben mit Hilfe von 59 Anfragen nach dem Öffentlichkeits­gesetz in einer lesenswerten Analyse nachvollzogen, wie sich der Konzern an öffentliche Stellen ranwanzte, um seine Software bei den Schweizer Bundes­behörden und beim Militär an den Mann zu bringen. Der Palantir-CEO und Milliardär Karp gab sich höchstselbst die Ehre und empfing den damaligen Bundeskanzler Walter Thurnherr.

Die Analyse enthält auch einen 20-seitigen internen Evaluationsbericht der Armee. Darin werden Vorzüge, aber auch Risiken eines Palantir-Einsatzes beschrieben, die letztlich zur Ablehnung einer Kooperation mit dem Konzern führten. Die Militärexperten kommen zu dem Schluss, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne.

Das jedoch lässt die von polizeilichen Palantir-Nutzern in Deutschland gebetsmühlenartig wiederholte Behauptung, ein Abfluss der polizeiinternen Daten sei technisch gar nicht möglich, unglaubwürdig erscheinen. Sie dürfte sich eher auf bloße Zusicherungen des US-Konzerns, nicht aber auf technische Fakten stützen. Denn die Software ist proprietär, weswegen technische Einblicke darin nur begrenzt möglich sind.

Die vier deutschen Landespolizeien und deren Innenminister, die Verträge mit Palantir eingegangen sind, wirken einmal mehr ignorant gegenüber diesen ernsten Risiken, die eine Kooperation mit dem Konzern mit sich bringen: Nordrhein-Westfalen, Hessen, Bayern und nun auch Baden-Württemberg.

Daumen runter für Palantir

Palantir-Software, wie sie auch von deutschen Polizeien eingesetzt wird, verbindet heterogene Datenbanken und analysiert Verbindungen von Datenpunkten oder Mustern darin. Zuvor fragmentierte Daten werden also zusammengeführt. Damit werden beispielsweise Verbindungen von Menschen sichtbar oder geographische Bewegungen verfolgbar.

Im Evaluationsbericht heißt es zu den Risiken für die in die Palantir-Systeme eingepflegten Daten:

Palantir ist ein Unternehmen mit Sitz in den USA, bei dem die Möglichkeit besteht, dass sensible Daten durch die amerikanische Regierung und Geheim­dienste eingesehen werden können.

Die Risikoeinschätzung der Militärs weist auf weitere Problemfelder, die von den polizeilichen Palantir-Vertragspartnern in Deutschland auch gern wegdiskutiert werden. Die Palantir-Software führe zu einer Abhängigkeit vom US-Anbieter, insbesondere „von externem hochqualifizierten Personal“. Ob „für die Implementierung, den Betrieb und die Wartung der Systeme dauerhaft technisches Fachpersonal von Palantir vor Ort benötigt wird“, sei unklar.

Auch drohe der Verlust der Daten­hoheit und der „nationalen Souveränität“. Das Kostenrisiko sei außerdem schwer abzuschätzen, da es keine Preislisten gebe. Das betrifft die Implementierung und Anpassung der Software und die Datenmigration, aber auch Lizenzgebühren und Wartungskosten. Man könne „genaue Beträge nur durch direkte Verhandlungen“ ermitteln.

Zudem werden die starken Eingriffe in die Privatsphäre in dem Bericht problematisiert, die durch die umfassende Daten­sammlung und -analyse entstehe. Auch die Diskriminierung spielt dabei eine Rolle, denn es könne dazu kommen, „dass bestimmte Personen aufgrund statistischer Zusammen­hänge ungewollt ins Visier geraten“.

Das Schweizer Bundesamt für Rüstung prüfte den Einsatz von Palantir-Software für ein bestimmtes Softwaresystem, das „Informatiksystem Militärischer Nachrichtendienst“. Dafür lagen vorgegebene Kriterien der Ausschreibung vor. Eines davon erfüllt das Palantir-Angebot nicht. Das Amt gibt den Journalisten aber keine Auskunft, um welches Kriterium es sich handelte. Das dazu veröffentlichte Schreiben besteht fast nur aus Schwärzungen.

Das Problem heißt nicht nur Palantir

Nimmt Dobrindt die Risiken in Kauf?

Die Eidgenossen entschieden sich gegen den Einsatz von Palantir-Produkten. Es war ihnen ein zu großes Risiko. Die Empfehlung lautet knapp: „Die Schweizer Armee sollte Alternativen zu Palantir in Betracht ziehen.“

Der Bericht stammt von Anfang Dezember 2024. Seither hat der 2003 gegründete US-Anbieter seine überaus engen Verbindungen zur Trump-Regierung noch intensiviert und durch Karp-Interviews medial begleitet. Die Software wird zwar in Kriegsgebieten von US-Geheimdiensten und -Militärs schon jahrelang intensiv genutzt. Doch seit dem Börsengang im Jahr 2020 wuchs Palantir zu einem der größten US-Tech-Konzerne heran.

Wenn die Risiken der Zusammenarbeit in Fragen der Datenhoheit und gar dauerhaften Abhängigkeit, der digitalen Souveränität, des Datenabflusses und bei den Grundrechtseingriffen von den Schweizern als so erheblich eingeschätzt werden, drängt sich die Frage auf, warum die deutschen Landespolizeien und Landesinnenminister zu einer anderen Einschätzung kommen. Es bleibt ihr Geheimnis.

Der deutsche Bundesinnenminister Alexander Dobrindt (CSU) weigert sich bisher, diese Fakten anzuerkennen. Denn er schließt nicht aus, Palantir-Produkte bei den Polizeien des Bundes einzuführen. Sein geplantes „Sicherheitspaket“ umfasst auch die sog. automatisierte Datenanalyse, so dass auch die Polizeien des Bundes ihre Datenbanken automatisiert erschließen und auswerten könnten.

Wenn er für die polizeiliche Datenanalyse­software mit dem US-Konzern kooperieren wollte, würden Millionen Datensätze, auch von völlig unverdächtigen Menschen, diesen nun hinlänglich bekannten Risiken ausgesetzt. Aber eigentlich müsste Palantir als möglicher Vertragspartner schon wegfallen, weil er mit der vielgepriesenen „digitalen Souveränität“ nicht kompatibel ist. Denn selbst bei lockerer Auslegung von „digital souverän“ kann die proprietäre Softwarelösung des US-Konzerns nicht akzeptabel sein.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die UN-Cybercrime-Konvention wurde am Wochenende symbolisch unterzeichnet. Deutschland hat seine Unterschrift nicht unter den Vertrag gesetzt, die Vereinigten Staaten ebenfalls nicht. Internationale Menschenrechts- und Digitalrechte-Organisationen lehnen das Abkommen weiterhin ab und fordern die Staaten auf, es nicht zu ratifizieren.

Die UN-Cybercrime-Konvention wurde am Samstag in Hanoi symbolisch unterzeichnet. UN-Generalsekretär António Guterres gab sich die Ehre: In einer feierlichen Zeremonie in der vietnamesischen Hauptstadt wurde der internationale Vertrag mit den Unterschriften der Staaten versehen, die damit das politische Signal geben, die Konvention unterstützen zu wollen.

Rechtlich verbindlich ist das nicht. Denn erst durch eine Ratifikation können die jeweiligen nationalen Parlamente einer Konvention Geltung verschaffen. Für die Cybercrime-Konvention sind dafür mindestens vierzig Ratifikationen notwendig. Neunzig Tage danach tritt sie in Kraft. Dass Parlamente in vierzig Staaten zustimmen, ist schon wegen der zahlreichen Unterschriften in Hanoi sehr wahrscheinlich, aber der Zeitpunkt des Inkrafttretens hängt von den verschiedenen parlamentarischen Gepflogenheiten in den Ländern ab.

Europa uneins

Deutschland hat bei der Unterzeichnungszeremonie in Hanoi seine Unterschrift nicht auf den Vertrag gesetzt, plant das aber dem Vernehmen nach in der Zukunft. Die Frage ist jedoch, wann dieser Zeitpunkt kommen wird, denn ob ein Staat nach Monaten, Jahren oder Jahrzehnten ratifiziert, ist ihm selbst überlassen. Die Europäische Union war aber unter den Unterzeichnern, was als politisches Signal bedeutsam ist. Der konservative ÖVP-Politiker und EU-Kommissar für Inneres und Migration Magnus Brunner nannte das Abkommen einen „Meilenstein“, der die weltweite Zusammenarbeit im Kampf gegen Cyberkriminalität stärke.

Die EU-Kommission teilte heute in einer Pressemeldung mit, dass der Kampf gegen Cyberkriminalität für die EU eine Priorität sei und der UN-Vertrag die Fähigkeit der EU verbessere, international gegen solche Verbrechen vorzugehen. Nach der Unterzeichnung wird nun der EU-Rat über das Abkommen beraten und über den Abschluss entscheiden, wozu auch die Zustimmung des Europäischen Parlaments erforderlich wäre.

Die europäischen Staaten, die in Hanoi unterzeichnet haben und damit ein Signal setzen, die Konvention ratifizieren zu wollen, sind nach Informationen von netzpolitik.org die Slowakei, Österreich, Belgien, Tschechien, Frankreich, Griechenland, Irland, Luxemburg, Polen, Portugal, Slowenien, Spanien und Schweden als EU-Mitgliedsstaaten sowie das Vereinigte Königreich. Europa ist sich also uneins, denn viele kleinere Staaten und einige große Staaten wie eben Deutschland oder Italien, aber auch die Niederlande oder Nicht-EU-Mitglied Schweiz fehlen auf der Unterzeichnerliste.

72 Unterzeichner-Staaten

Nicht überraschend: China und Russland sind als langjährige Unterstützer auf der Liste der insgesamt 72 Unterzeichner-Staaten. Russland hatte den UN-Vertrag vor Jahren sogar initiiert.

Die Vereinigten Staaten hingegen haben nicht unterschrieben. Ohne eine US-Beteiligung wäre die UN-Konvention aber ein weitaus weniger wirksames Abkommen. Ob sie den Vertrag ratifizieren und damit auch einwilligen, Daten nach den Maßgaben der Konvention herauszugeben, bleibt eine offene Frage.

Denn darum geht es in dem UN-Vertrag im Kern: Daten. Im Kampf gegen das organisierte Verbrechen und eine nur vage definierte „Computerkriminalität“ werden durch den Vertrag nämlich weitreichende Überwachungsmaßnahmen und Kooperationen beim Austausch von Daten vorgeschrieben. Die umfangreichen Datensammlungen und die internationalen Datenzugriffsmöglichkeiten werden vor allem kritisiert, weil längst nicht in allen Staaten hinreichende Menschenrechtsstandards und rechtliche Schutzmaßnahmen existieren, die Missbrauch verhindern oder zumindest aufdecken könnten. Unabhängige Gerichte, Datenschutzgarantien oder auch nur Verhältnismäßigkeitsprüfungen sind zwar in vielen Demokratien etabliert, aber eben keine weltweiten Standards.

David Kaye, der ehemalige UN-Sonderberichterstatter für Meinungsfreiheit, nannte den UN-Vertrag vor der Abstimmung in der UN-Generalversammlung im Dezember letzten Jahres „äußerst mangelhaft, sowohl in seiner Formulierung als auch in seiner Substanz“. Es sei für ihn und für viele Beobachter „schockierend, dass demokratische Staaten ihn unterstützen“ würden.

„Der Vertrag soll einen umfassenden Zugang zu Daten schaffen“

Alarmierend breite Zustimmung

Die internationalen Menschenrechts- und Digitalrechte-Organisationen, die das Zustandekommen des UN-Vertrages fünf Jahre kritisch begleitet haben, äußern sich in einem gemeinsamen Statement weiterhin ablehnend zu dem Abkommen.

Sie rufen die Staaten auf, von der Ratifikation abzusehen, um den Vertrag nicht in Kraft treten zu lassen. Sie erwarten von allen die Menschenrechte achtenden Staaten, ihre Unterstützung des UN-Abkommens zumindest solange zurückzuhalten, bis garantiert ist, dass alle Unterzeichnerstaaten der Konvention wirksame Schutzmaßnahmen und rechtliche Garantien umsetzen. Nur so könnten Menschenrechtsverletzungen in der Praxis verhindert werden.

Die 16 unterzeichnenden Organisationen, darunter Human Rights Watch, die Electronic Frontier Foundation, Privacy International, epicenter.works und Access Now, drücken nochmals ihre tiefe Besorgnis über die UN-Cybercrime-Konvention aus, weil sie „grenzüberschreitende Menschenrechtsverletzungen begünstigen“ würde. Die Konvention enthalte keine ausreichenden Menschenrechtsschutzbestimmungen, die sicherzustellen würden, dass die Bemühungen zur Bekämpfung der Cyberkriminalität auch mit einen angemessenen Schutz der Menschenrechte einhergehen. Wichtige Rechtsgrundsätze seien nicht genügend vorgeschrieben worden.

Auch Tanja Fachathaler, die zusammen mit anderen Organisationen für die österreichische Digital-NGO epicenter.works jahrelang die Verhandlungen begleitete, äußert sich gegenüber netzpolitik.org weiterhin ablehnend. Dass so viele Staaten nun symbolisch unterzeichnet hätten, sei besorgniserregend:

Die breite Zustimmung der Staaten zur Cybercrime-Konvention in Hanoi ist alarmierend. Wir halten an unserer Kritik an dem Vertrag fest: Durch seine teils fehlenden, teils lückenhaften Sicherheitsbestimmungen öffnet er das Tor zu Menschenrechtsverletzungen und Missbrauch der Kooperationsmechanismen, die im Vertrag geschaffen werden.

Die „Verfolgung kritischer Stimmen“ sei eine „reale Gefahr“, die durch die Konvention noch verstärkt werden könnte. Die politische Opposition, aber auch Medienvertreter und IT-Sicherheitsexperten seien von den Regelungen des Abkommens bedroht. Sollte es trotzdem in Kraft treten, fordert Fachathaler gegenüber netzpolitik.org, dass es „dringend geboten“ sei, „dass die Anwendung der Bestimmungen im Einklang mit internationalen Menschenrechtsstandards“ stehe. Es sei zudem „essentiell, die Zivilgesellschaft in die Implementierung des Vertrags einzubinden“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn in Kürze die Entscheidung fällt, ob Europa eine verpflichtende Chatkontrolle bekommt, ist auch die Haltung der Bundesregierung maßgeblich. Doch der Digitalminister mag sich lieber nicht positionieren. Digitale Weichenstellungen und gefährliche Formen technisierter Massenüberwachung sieht er offenbar nicht als sein Metier. Eine Einordnung.

In wenigen Tagen steht die Entscheidung an, ob es in Europa eine verpflichtende Chatkontrolle geben wird oder ob sich erneut keine ausreichende Mehrheit im Rat der EU-Länder dafür findet. Die deutsche Haltung wird maßgeblich dafür sein, ob die Front der ablehnenden EU-Staaten gegen den Vorschlag der EU-Präsidentschaft Dänemarks stehenbleibt.

Hintergrund ist ein jahrelanger Streit über einen Entwurf der EU-Kommission für eine Verordnung zur massenhaften Chat-Überwachung, die dem Kampf gegen digitale Gewaltdarstellungen von Kindern dienen soll. Die geplante Chatkontrolle würde alle Anbieter von Messenger- und weiterer Kommunikationsdienste, auch solche mit Ende-zu-Ende-Verschlüsselung, zum Scannen nach Missbrauchsfotos und -videos verpflichten. Betroffen wären auch Signal, Threema oder WhatsApp, die von vielen Millionen Menschen genutzt werden.

In den vergangenen Jahren hat sich Deutschland ablehnend gezeigt und sich gegen das automatisierte Scannen verschlüsselter Kommunikation, aber auch gegen die Umgehung von Ende-zu-Ende-Verschlüsselung und das Client-Side-Scanning positioniert. Ob die neue Bundesregierung das genauso hält, ist noch offen. Wir haben daher die Bundesregierung zu der Haltung befragt, die sie bei der anstehenden Entscheidung einnehmen wird.

Von diesen Ländern hängt ab, wie es mit der Chatkontrolle weitergeht

Das Bundesjustizministerium (BMJ) will sich gegenüber netzpolitik.org nicht in die Karten schauen lassen und antwortet auf die Frage nach der Chatkontrolle-Position nur: „Die Federführung“ liege „innerhalb der Bundesregierung beim Bundesministerium des Innern“. Da sollten wir uns doch hinwenden, meint das BMJ.

Das Bundesinnenministerium (BMI) hat jedoch auch nichts zu sagen: „Wir bitten um Verständnis, dass wir uns zu laufenden Abstimmungen innerhalb der Bundesregierung grundsätzlich nicht äußern.“

„Von der Seitenlinie“

Fragen wir doch die Digitalexperten in der Bundesregierung. Die schwarz-schwarz-rote Koalition hatte schließlich ein neues Ministerium aus der Taufe gehoben, das sich hauptsächlich mit Digitalisierung, digitaler Infrastruktur und Staatsmodernisierung befassen soll. Ein Sprecher des Digitalministeriums (BMDS) antwortet auf Fragen von netzpolitik.org nach der Position des Ministers zur geplanten verpflichtenden Chatkontrolle allerdings nur mit nur zwei Sätzen.

„Wir brauchen Maßnahmen, die wirksam und zugleich angemessen sind. Zu den derzeit auf EU-Ebene vorliegenden Vorschlägen erfolgt eine Positionierung der Bundesregierung unter Federführung des Bundesinnenministeriums.“

Auf weitere Fragen, etwa wie Minister Karsten Wildberger (CDU) zum Aufbrechen von Verschlüsselung oder zum Client-Side-Scanning im Rahmen einer Chatkontrolle steht, wird nicht geantwortet. Der seit Mai amtierende Digitalminister hat außerdem auch keine Position zur freiwilligen EU-Chatkontrolle und den damit verbundenen Risiken für die Privatsphäre.

Das Ministerium verweist stattdessen auf ein Gespräch mit Wildberger vom 11. September. Dort auf die Chatkontrolle angesprochen, äußert sich der Bundesminister folgendermaßen: Er wolle sich in diesen „politischen Prozess“ nicht „von der Seitenlinie“ einbringen. Er werde deswegen seine Meinung nicht dazugeben, da das „nicht hilfreich“ sei, denn dafür „gibt es jetzt einen Prozess“.

Das kann man natürlich anders sehen, ob es für die Diskussionen um eine europaweit verpflichtende Chatkontrolle „hilfreich“ wäre, wenn sich der amtierende Digitalminister von Deutschland nicht an die „Seitenlinie“ stellen, sondern dazu positionieren würde. Allerdings machen seine Äußerungen direkt im Anschluss klar, warum er vielleicht ganz richtig liegt.

Ein Offenbarungseid technischer und politischer Inkompetenz

Wildberger fügt hinzu: „Kinderpornographie“ in Chats, „das geht überhaupt nicht“, das seien Straftatbestände. Davon müsse man aber das Thema der Privatsphäre „säuberlich trennen“. Doch ein zentraler Streitpunkt in der langjährigen Debatte ist es gerade, wie weit man in die Privatsphäre und sogar Intimsphäre von Menschen eingreifen darf, um auf solche Inhalte in ihren Chats zu scannen.

Der Minister postuliert dann, dass er „persönlich eine klare Meinung“ dazu hätte. Die sagt er aber nicht sofort, sondern stellt erstmal folgende Frage in den Raum: „Wie stellen wir sicher, dass wir Rechtsordnung auch in diesem Rahmen sicherstellen?“ Den Versuch einer Antwort auf die wirre Frage macht er nicht. Stattdessen sagt Wildberger: „Wo es um Kinderpornographie geht, am Ende des Tages muss man auch über Deep Fakes reden, da hört bei mir der Spaß auf.“

Kein Mensch mit Herz und Hirn würde die digitalen Darstellungen von Gewalt gegen Kinder in die Kategorie Spaß einsortieren. Die Debatte um die Chatkontrolle dreht sich vielmehr um die Frage, zu welchen technischen Maßnahmen die Anbieter von Messenger-Diensten verpflichtet werden sollten, um solche Inhalte massenhaft zu scannen. Dass diese Inhalte verabscheuungswürdig und strafbar sind, stellt niemand in Abrede.

Auf die Nachfrage, ob Anbieter zur Chatkontrolle verpflichtet werden sollen, bemerkt Wildberger, dass seine Antwort darauf eine „nicht politisch gemeinte Formulierung“ sei: „Da muss es eine Lösung für geben.“ Die Luft brennt förmlich vor Spannung, welche technische Idee der Digitalminister nun favorisieren wird. Doch der oberste Digitalisierer murmelt: „Wie die Lösung jetzt hier genau aussieht, das sollen …“ Da endet sein Satz im Ungewissen. Vielleicht sollen es die Experten richten, vielleicht gibt es einen Prozess.

Zuletzt endet die kurze Passage in dem Gespräch mit dem Versprechen, er werde sich „in die Debatte natürlich“ einbringen, wenn es hilfreich und erforderlich wäre. Aber das Thema sei „ein bisschen komplex“, aber „von der Richtung her“ sei er „klar justiert“.

Dass seine Pressestelle auf die Fragen von netzpolitik.org danach, ob angesichts der gesellschaftlichen und auch wirtschaftspolitischen Bedeutung von sicheren Verschlüsselungsmethoden ein Aufbrechen der Verschlüsselung oder ein Client-Side-Scanning im Rahmen einer Chatkontrolle als probate Mittel gelten können, nicht nur keine Antworten gibt, sondern stattdessen einen Hinweis auf diesen Offenbarungseid technischer und politischer Inkompetenz sendet, spricht Bände über den Minister und die Bedeutung seines Hauses innerhalb der Bundesregierung. Das ist nicht mal „Seitenlinie“, das ist eher die Tribüne hinten oben.

Der falsche Weg

Man fragt sich, unter welchem Stein der Bundesdigitalminister in den letzten Jahren gelebt hat und ob es niemanden in seinem Haus gibt, der ihn dazu briefen konnte, worum es im Streit über die Chatkontrolle geht: um das absichtliche Unterminieren von IT-Sicherheitsmaßnahmen für massenhafte Chat-Scans und um fundamentale Grundrechte.

Wenn in Schutzmaßnahmen wie Verschlüsselung verpflichtende Hintertüren eingebaut werden müssen, tangiert das die Privatsphäre und den Kernbereich privater Lebensgestaltung von Millionen Menschen und unterminiert zudem auf gefährliche Weise die IT-Sicherheit. Darauf weisen seit Jahren alle hin, die beruflich und wissenschaftlich mit IT-Sicherheit zu tun haben. Chatkontrolle ist technisch gesehen schlicht der falsche Weg.

Aber juristisch ist er es auch. Denn dass eine massenhafte anlasslose Überwachung von individueller Kommunikation mit den europäischen Grundrechten konform geht, wird mit guten Argumenten bezweifelt: Der Juristische Dienst des EU-Rats schätzt den aktuellen Vorschlag als rechtswidrig ein. Die Rechtsexperten stützen sich auch auf ein Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR) aus dem Jahr 2024. Darin heißt es unzweideutig, dass „eine Schwächung der Ende-zu-Ende-Verschlüsselung, die alle Nutzer beträfe,“ gegen die Europäische Menschenrechtskonvention verstößt.

Dass der Digitalminister innerhalb und außerhalb der Bundesregierung zu so wichtigen Fragen in unser digitalisierten Welt keine Position einnimmt, macht ihn zum Komplizen der Befürworter der Chatkontrolle. Gleiches gilt übrigens für die Justizministerin Stefanie Hubig (SPD), deren Nicht-Positionierung angesichts der zweifellos erheblichen Grundrechtseingriffe ebenso blamabel ist.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundes- und Landesdatenschützer üben Kritik am Palantir-Einsatz und den Gesetzen, die automatisierte Polizeidatenanalysen erlauben. Sie verlangen eine verfassungskonforme Neuausrichtung. Jetzt sei der Moment gekommen, einen digital souveränen Weg einzuschlagen.

Im Streit um die Nutzung von Palantir hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu Wort gemeldet: In einer Entschließung (pdf) fordert sie bei der massenhaften automatisierten Datenanalyse durch die Polizei die Einhaltung rechtlicher Anforderungen und mahnt besonders an, dass die notwendige gesetzliche Grundlage den verfassungsrechtlichen Maßstäben genügen soll.

Aktuell erwägt Bundesinnenminister Alexander Dobrindt (CSU), für die Polizeien des Bundes die gesetzliche Voraussetzung zu schaffen, um Software des US-Konzerns Palantir oder von Konkurrenten zur automatisierten polizeilichen Rasterfahndung einsetzen zu dürfen. Im Rahmen eines Gesetzespakets soll das Vorhaben in Kürze umgesetzt werden. SPD-Justizministerin Stefanie Hubig hat allerdings noch Bedenken und fordert die Einhaltung rechtsstaatlicher Grundsätze.

Die DSK betont, dass die Erlaubnis zu solchen Analysen nur bei sehr schwerwiegenden Rechtsgutsverletzungen überhaupt denkbar sei. Sie könnten auch nur „im Rahmen sehr enger Verfahrensbestimmungen“ eingesetzt werden.

Detaillierte Vorgaben aus Karlsruhe

Die Datenschützer verweisen insbesondere auf ein Urteil des Bundesverfassungsgerichts zur automatisierten Datenanalyse aus dem Jahr 2023, das detaillierte Vorgaben macht. Demnach haben die Gesetzgeber von Polizeigesetzen, die solche Analysen erlauben, explizite Einschränkungen vorzunehmen, was die Art der einbezogenen Daten und deren Umfang betrifft, aber auch welcher Art die angewandten Analysemethoden und die Eingriffsschwellen sein dürfen. Sie müssen zudem Regelungen in die Polizeigesetze einbauen, die für diese starken Grundrechtseingriffe abmildernd wirken und auch deren Folgen berücksichtigen.

Nordrhein-Westfalen, Hessen und Bayern setzen Software von Palantir aktuell ein. Baden-Württemberg hat kürzlich ebenfalls eine gesetzliche Grundlage für die automatisierte Datenanalyse durch die Polizei in die Wege geleitet. Die dortige Polizei hatte den Vertrag mit Palantir aber bereits geschlossen, bevor eine Rechtsgrundlage für den Einsatz überhaupt bestand.

Die derzeitige DSK-Vorsitzende und Berliner Datenschutzbeauftragte Meike Kamp sieht in all diesen Bundesländern die gegebenen Voraussetzungen aus Karlsruhe nicht genügend berücksichtigt: „Bisher tragen die rechtlichen Vorschriften diesen Voraussetzungen nicht ausreichend Rechnung. Für Bund und Länder gilt es, sich an die Vorgaben des Bundesverfas­sungsgerichts zu halten und den Einsatz von automatisierten Datenanalysen durch die Polizeibehörden verfassungskonform auszugestalten.“

Das sieht auch Franziska Görlitz von der Gesellschaft für Freiheitsrechte (GFF) so, die gegen die Polizeigesetze in allen drei Bundesländern Verfassungsbeschwerde erhoben hat. Die Juristin fasst in einem Interview zusammen, warum keines der Landesgesetze verfassungskonform ist: „Die bisherigen Gesetze erlauben, dass zu viele Daten unter zu laschen Voraussetzungen in die Analyse einbezogen werden und dabei zu mächtige Instrumente zum Einsatz kommen. Gleichzeitig fehlen wirksame Schutzmechanismen gegen Fehler und Diskriminierung.“

Nicht „digital souverän“, sondern vollständig abhängig

Für eines der drei unionsgeführten Bundesländer, die Palantir aktuell nutzen, nennt die DSK für das polizeiliche Analyseverfahren eine Hausnummer, welche die erhebliche Breite der Datenrasterung klarmacht: Etwa 39 Millionen Personendatensätze durchkämmt die bayerische Polizei mit Palantir. Die Datenschützer zeigen damit, dass praktisch jeder Mensch betroffen sein kann, eben nicht nur „Straftäterinnen und -täter, sondern etwa auch Geschädigte, Zeuginnen und Zeugen, Sachverständige oder Personen, die den Polizeinotruf genutzt haben“.

Zudem ist die Art der Daten höchst sensibel. In Polizeidatenbanken können beispielsweise auch Informationen über Menschen abgelegt werden, die eine „Volkszugehörigkeit“, einen „Phänotyp“ oder die „äußere Erscheinung“ beschreiben. Auch die Religionszugehörigkeit, verwendete Sprachen, Dialekte oder Mundarten dürfen festgehalten werden. Entsprechend besteht ein sehr hohes Diskriminierungspotential.

Die hohe Zahl von Betroffenen und die Art der gespeicherten Daten sind aber nicht etwa die einzigen Probleme. Das Problem heißt auch Palantir, ein 2003 gegründeter US-Anbieter, der heute am Aktienmarkt gehandelt wird und nach Marktkapitalisierung zu den dreißig wertvollsten Konzernen der Welt zählt. Die deutsche Tochter ist Vertragspartner der Polizei in vier Bundesländern. Die DSK pocht bei der Polizeidatenanalyse auf die Wahrung der „digitalen Souveränität“. Denn damit können ungewollte Abhängigkeiten oder Kostenfallen vermieden werden, in die Polizeien geraten können. Die DSK fordert hier „sicherzustellen, dass die eingesetzten Systeme hinreichend offen sind, um nötigenfalls einen Wechsel auf ein geeigneteres System zu ermöglichen“.

Das widerspricht den praktischen Gegebenheiten bei der Nutzung von Palantir fundamental: Der US-Konzern bietet ein geschlossenes und proprietäres System an, das mit denen anderer Anbieter nicht kompatibel ist. Die polizeilichen Nutzer sind genau das Gegenteil von „digital souverän“ oder selbstbestimmungsfähig, nämlich vollständig abhängig. Die DSK präferiert hingegen „Lösungen auf Open-Source-Basis“ und bietet für verfassungskonforme und praxistaugliche Lösungen auch „konstruktive Beratung“ an.

Die Datenschützer fordern zudem, dass polizeiliche Datenbestände nicht in Drittländer übermittelt werden dürften, „die hinter dem europäischen Rechtsstaatsniveau zurückbleiben“. Polizeidatenverarbeitung soll erst gar nicht von Softwaresystemen abhängen, die Zugriffe dieser Drittstaaten zulassen.

Diese Forderung dürfte der Tatsache Rechnung tragen, dass für den ohnehin zwielichtigen US-Konzern Palantir der US CLOUD Act aus dem Jahr 2018 einschlägig ist. Das Gesetz bestimmt, dass US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden verpflichtet werden können, auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden. Die Befürchtung besteht also, dass selbst bei der Verarbeitung und Speicherung von Daten in einem polizeilichen Rechenzentrum unter bestimmten Umständen US-Behörden Zugriff erlangen könnten.

Es formiert sich Widerstand

In Baden-Württemberg, dem jüngsten Palantir-Clubmitglied, formiert sich bereits Widerstand gegen das geplante Polizeigesetz: Ein parteiunabhängiges Protest-Bündnis mit dem Namen Kein Palantir in Baden-Württemberg plant eine Kundgebung am 4. Oktober auf dem Schlossplatz der Landeshauptstadt und fordert dazu auf, den Landtagsabgeordneten schriftlich mitzuteilen, was man von der Idee hält.

Das geplante Gesetz soll in Kürze durch den Landtag gehen und beschlossen werden. Das Bündnis könnte mit dem Protest also wegen des beginnenden Wahlkampfs in Baden-Württemberg ein politisches Debattenthema setzen. Auch der bundesweite Campact-Appell „Trump-Software Palantir: Über­wa­chungs­pläne stoppen“ hat große Unterstützung gefunden und wurde von mehr als 430.000 Menschen unterzeichnet.

Der Landesdatenschutzbeauftragte im Ländle, Tobias Keber, betont anlässlich der DSK-Entschließung, dass die Anforderungen an das Polizeigesetz „enorm hoch“ seien, sowohl rechtlich als auch technisch. Automatisierte Grundrechtseingriffe würden auch die Anforderungen an den Nachweis erhöhen, dass durch diese Datenanalyse relevante Erkenntnisse erschlossen werden können, die anders nicht in gleicher Weise zu gewinnen wären. Seine Behörde hatte in einer Stellungnahme zum Landespolizeigesetz (pdf) im Juni bereits Änderungen angemahnt und festgestellt, dass einige der darin getroffenen Regelungen „verfassungsrechtlichen Anforderungen nicht gerecht“ würden.

Die DSK-Vorsitzende Kamp betont, dass alle polizeilichen Datenanalysen rechtskonform, nachvollziehbar und beherrschbar sein müssten. Und sie fügt hinzu: „Jetzt ist der Moment gekommen, einen digital souveränen Weg einzuschlagen.“ Dass ein solcher Weg mit Palantir-Software nicht möglich ist, versteht sich von selbst.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Polizei Sachsen-Anhalts soll künftig automatisierte Datenanalysen mit Massendaten von Unbescholtenen durchführen dürfen. Ein Gesetz ist schon auf dem Weg. Abgeordnete der Opposition gehen nach einer Antwort der Landesregierung davon aus, dass Software von Palantir eingesetzt werden wird. Denn der Innenministerin steht gar nichts anderes zeitnah zur Verfügung.

In Sachsen-Anhalt kocht der Streit um Palantir hoch. Es geht dabei um eine Software für die Polizei, die verschiedene Datentöpfe der Behörden zusammenführen soll, um dadurch Analysen zu ermöglichen. Die Opposition befürchtet, das Bundesland und seine CDU-Innenministerin plane, die aus rechtlichen und geopolitischen Gründen heißdiskutierte Softwarelösung des US-amerikanischen Konzerns Palantir für die Landespolizei einzuführen.

Das dafür geplante Gesetz wurde von Fachleuten bereits kurz nach Veröffentlichung des Entwurfs im Mai heftig kritisiert und als offensichtlich grundrechtswidrig gebrandmarkt. Das Gesetz stehe „auf verfassungsrechtlich tönernen Füßen“, bescheinigte ihm der Sachverständige Jonas Botta in einer Stellungnahme an den Innenausschuss des Landtages von Sachsen-Anhalt. Es betreffe eine sehr große Personenzahl, nicht nur aus Sachsen-Anhalt, sondern aus dem gesamten Bundesgebiet und darüber hinaus.

Ein Gesetz ist aber für die Nutzung solcher Software notwendig, weil das Bundesverfassungsgericht 2023 in einem Urteil über automatisierte Polizeidatenanalysen detaillierte rechtliche Vorgaben machte. Seither müssen hohe quantitative und qualitative Grenzen eingehalten werden, was die Menge und Art der Daten angeht, die mit solcher Software verarbeitet werden darf.

Begründet wird die Notwendigkeit der Analyseplattform vor allem mit dem Magdeburg-Attentat auf dem Weihnachtsmarkt im Dezember 2024. Seit dem 22. Januar untersucht der Landtag mit einem Untersuchungsausschuss das Sicherheitskonzept des Weihnachtsmarkts und die Missachtung zahlreicher Hinweise, die der Tatverdächtige in vielen Behörden selbst hinterlassen hatte.

Palantir oder doch nicht?

Sachsen-Anhalt hatte 2024 gegenüber netzpolitik.org noch betont, in Sachen Palantir „keine Vorhaben“ zu planen. Ein Jahr später ließ die langjährige Innenministerin Tamara Zieschang nach einer schriftlichen Anfrage von netzpolitik.org im April 2025 mitteilen, dass sich das Bundesland für eine „interimsweise Bereitstellung einer zentral betriebenen, digital souveränen, wirtschaftlich tragbaren und rechtlich zulässigen automatisierten Datenanalyseplattform durch den Bund“ einsetzen würde. Das sei aber „unabhängig von einem konkreten Produkt“. Einen ausdrücklichen Ausschluss Palantirs gab es nicht.

Nun beantwortete die Landesregierung eine parlamentarische Anfrage (pdf) der Linken im Landtag. Darin war auch nach „Bundes-VeRA“ gefragt worden. Das ist der Behördenname für die Palantir-Software in der Version für die Bundesbehörden: verfahrensübergreifende Recherche- und Analyseplattform.

Die Abgeordneten der Linken Eva von Angern und Andreas Henke wollten etwa wissen, ob die Landesregierung Schlüsse daraus gezogen hätte, dass „Bundes-VeRA“ von der damaligen Bundesregierung gestoppt worden war. Im Sommer 2023 kam die geplante Einführung von Palantirs „Bundes-VeRA“ zum Erliegen, weil dem „Ziele des P20-Programms“ entgegenstünden: nämlich „die hersteller­unabhängige Anwendungsbereitstellung und der Betrieb von polizeilichen Funktionalitäten mit hoher Autonomie und flexibler Erweiterung und Anpassung“, wie die Linke schreibt. Die damalige Innenministerin Nancy Faeser hatte Palantir für Bundesbehörden 2023 eine Absage erteilt.

Das angesprochene P20-Programm steht für „Polizei 20/20“. Das Bundesinnenministerium hatte damit den Plan verfolgt, die polizeiliche Infrastruktur zu modernisieren und dabei den Austausch von Informationen zwischen Bund und Ländern zu erleichtern. Die dazu von den Innenministern in Bund und Ländern schon 2016 angestoßene Saarbrücker Agenda für eine gemeinsame und einheitliche Informationsarchitektur ist allerdings auch nach fast einem Jahrzehnt nicht vollständig umgesetzt.

Die Antwort der Landesregierung auf die Frage nach den Konsequenzen fällt schmallippig aus: Die „Schlussfolgerungen“ der Landesregierung seien mit einer sachsen-anhaltinischen Bundesratsinitiative, gemeinsam mit dem Freistaat und Palantir-Vertragspartner Bayern, gezogen worden. Der Bundesrat hatte aufgrund dieser Initiative am 21. März 2025 für eine „rechtssichere Implementierung eines gemeinsamen Datenhauses für die Informationsverarbeitung der Polizeien des Bundes und der Länder“ votiert sowie eine „interimsweise zeitnahe Bereitstellung einer gemeinsam betriebenen automatisierten Datenanalyseplattform“ beschlossen.

Keine Palantir-Konkurrenz in Sicht

Ob tatsächlich „interimsweise“ auf Palantir gesetzt wird, bleibt unbestätigt. Der MDR spricht davon, dass ungenannte Experten davon ausgehen würden, dass das Vorhaben nur mit der Software möglich sei. Der Name des US-Konzerns wird in der Antwort der Landesregierung aber tunlichst vermieden.

Man fordere eine „gemeinsam finanzierte, zentral zu betreibende, rechtlich zulässige und digital souveräne Interimslösung“, schreibt die Landesregierung. Damit dürfte eigentlich Palantir als automatisierte Datenanalyseplattform wegfallen, denn selbst bei minimaler Auslegung von „digital souverän“ kann die proprietäre und intransparente Softwarelösung des US-Konzerns wohl nicht akzeptabel sein. Denn technisch nachzuvollziehen, was durch die Software intern wie verarbeitet und analysiert wurde, bleibt für die nutzenden Behörden unmöglich. Daraus macht Palantir ein ganz unsouveränes Geheimnis.

„Auf keinen Fall Palantir“

Eva von Angern, Fraktionsvorsitzende und auch Mitglied im Untersuchungsausschuss zum Magdeburg-Attentat, sagt gegenüber netzpolitik.org: „Unsere Anfrage im Landtag zeigt deutlich, dass die Landesregierung widersprüchlich agiert in Bezug auf eine kommende Anwendung von Palantir.“ Das Land plane eine eigene Lösung für Sachsen-Anhalt, „obwohl bereits auf Bundesebene ein gemeinsames Vorgehen der Innenministerien angekündigt wurde“.

Sachsen-Anhalts Ministerpräsident Reiner Haseloff hatte nach dem Anschlag auf den Magdeburger Weihnachtsmarkt im Februar 2025 im Bundesrat an die Bundesregierung appelliert, den „begonnenen Aufbau des gemeinsamen Datenhauses weiter mit höchster Priorität voranzutreiben“. Hierzu zähle, „die bereits im Jahr 2023 geplanten Aktivitäten einer Interimslösung für eine automatisierte Datenanalyseplattform erneut aufzunehmen und zeitnah bereitzustellen“. Das deutet darauf, dass sich Haseloff auf Palantir bezog. Denn es steht gar nichts anderes zeitnah zur Verfügung.

Die Opposition stellt sich dagegen. Palantir sei eine Software, betont von Angern, die „den Datenschutz übergeht und massenhaft Eingriffe in die persönlichen Privatsphäre vorsieht“. Das müsse unbedingt verhindert werden. „Auf keinen Fall Palantir“, sagt auch Sebastian Striegel, Innenpolitiker der Grünen in Sachsen-Anhalt gegenüber dem MDR.

Zudem ist die Frage, ob sie „rechtlich zulässig“ ist, ebenfalls streitig. Ohne Frage ist die geplante automatisierte Datenanalyse äußerst grundrechtssensibel. Denn das Verarbeiten von Massendaten auch von Unbescholtenen auf Knopfdruck kann Teil der Analyse sein, etwa mit Daten aus Funkzellenabfragen oder durch die vielen personenbezogenen Datenhäppchen aus den verschiedenen Polizeidatensammlungen. Es liegen außerdem noch mehrere Verfassungsbeschwerden gegen Regelungen in Polizeigesetzen von bisherigen Palantir-Nutzerländern vor, deren Ausgang ungewiss ist. Die Bundesländer Nordrhein-Westfalen, Hessen und Bayern sind derzeit Palantir-Kunden.

Wohl auch wegen der rechtlichen Grenzen des Bundesverfassungsgerichts fragen die Linken die Landesregierung ganz konkret, welche Daten in der Plattform verarbeitet und auf welche Datenbanken sie automatisiert Zugriff nehmen soll. Die Antwort ist allerdings wenig aussagekräftig, denn sie verweist nur darauf, was „grundsätzlich möglich“ wäre, nämlich insbesondere „Daten aus den polizeilichen Informationssystemen sowie Vorgangsdaten und Falldaten“ zusammenzuführen und zu analysieren. Genaueres bleibt die Landesregierung schuldig.

„Interimsweise“ ist kaum möglich

Linken-Fraktionsvorsitzende von Angern positioniert sich gegenüber netzpolitik.org klar gegen das Vorhaben der Landesregierung: „Palantir soll Daten aus verschiedensten Datenbanken wie Gesundheitsdaten, Ordnungsamt, Polizei“ zusammenführen, „ohne dass die Menschen darüber mitentscheiden können oder sich was zu Schulden haben kommen lassen“. Sie sei gegen „gläserne Bürger“.

Sie betont außerdem, dass der Anlass des Gesetzes „nicht stichhaltig“ sei: „Die Innenministerin schiebt den Magdeburg-Anschlag vor, obwohl genug Wissen über das Handeln des späteren Attentäters vorlag. Die Innenministerin will damit die eigenen Defizite verhüllen.“ Zieschang könne nicht ein neues Instrument etablieren, „dass am Ende womöglich als rechtswidrig eingestuft wird“.

Wenn nun tatsächlich „interimsweise“ auf Palantir gesetzt wird, dann ist der Sack mit hoher Wahrscheinlichkeit für viele Jahre zu. Denn es dürfte Millionen Euro kosten, die Software zu lizenzieren, zu implementieren, die Daten einzupflegen und die Menschen zu schulen, die am Nutzer-Interface klicken werden.

Wer glaubt, dass ein solches einmal im Wirkbetrieb befindliches Palantir-System nach wenigen Jahren durch eine „digital souveräne“ Lösung ersetzt wird, der muss nur nach Nordrhein-Westfalen schauen. Dort sind aus einstigen Palantir-Testern nach vielen Jahren längst Abhängige geworden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

EU-weit soll die Einführung einer sogenannten ID-Wallet vorangetrieben werden, mit der sich Menschen digital ausweisen können und die dafür deren Identitätsdaten speichert. Auch juristische Personen sollen die Möglichkeit bekommen, diese ID-Wallets zu nutzen. Für den Gesetzesvorschlag der EU-Kommission gibt es jedoch keineswegs nur Lob – im Gegenteil.

In der Europäischen Union trat 2014 die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt in Kraft, die nun reformiert werden soll. Diese überarbeitete eIDAS-Verordnung soll allen EU-Bürgern die Möglichkeit zu einer digitalen Identität schmackhaft machen, die den Namen „European Digital Identity Wallet“ bekommen wird. Die ID-Wallet soll jeweils in der Hoheit der einzelnen EU-Mitgliedstaaten bereitgestellt werden, aber eine überall kompatible EU-weite Lösung sein.

Der Entwurf der EU-Kommission zur eIDAS-Neuregelung vom Juni 2021 (eIDAS: electronic IDentification, Authentication and trust Services) hat in der Wirtschaft überwiegend positives Feedback bekommen, er trifft jedoch auf breite Kritik und Nachbesserungswünsche von Bürgerrechtsorganisationen, Datenschützern und Experten für IT-Sicherheit. Die Kritik ist nicht ganz neu, schon im Juli 2021 (pdf) hatte der Europäische Datenschutzbeauftragte Schwachpunkte der geplanten Reformierung aufgezeigt, die aus Sicht des Datenschutzes bestehen. Eine öffentliche Konsultation hatte im Sommer zu Stellungnahmen aufgefordert.

Es existieren in Europa teilweise schon jahrelang Lösungen für nationale elektronische Identitäten, aber mit Dänemark, Deutschland, Schweden und Ungarn haben noch vier Staaten inkompatible Eigenkreationen. Die nun zur Überarbeitung vorgesehene Verordnung hat eine europaweit nutzbare ID-Wallet zum Ziel.

Von der Leyen verspricht eine sichere europäische elektronische Identität

Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, hatte höchstselbst in ihrer Rede zur Lage der Union 2020 für die einheitliche ID-Wallet geworben. Sie beschrieb, dass niemand in der Praxis wissen können, was mit den eigenen Daten passiere und wie aber der geplante neue digitale EU-Identitätsspeicher die Kontrolle zurückbrächte:

Jedes Mal, wenn eine Website uns aufgefordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht. Aus diesem Grund wird die Kommission demnächst eine sichere europäische digitale Identität vorschlagen. Eine, der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.

Ganz so rosig wie in von der Leyens schwärmenden Worten wird die Umsetzung der ID-Wallet-Idee derzeit nicht bewertet, jedenfalls nicht aus Sicht von Datenschützern und IT-Sicherheitsfachleuten. Eine öffentliche Anhörung zu eIDAS beim Parlamentsausschuss für Industrie, Forschung und Energie brachte am Donnerstag Experten für eine Diskussion zusammen. Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte, erneuerte dort gleich zu Beginn seine Kritik, warnte vor Gefahren und forderte Nachbesserungen.

Ein weiterer der angehörten Kritiker der geplanten Verordnungsreform war Thomas Lohninger, Geschäftsführer des Vereins epicenter.works aus Österreich und Vizepräsident von European Digital Rights. Eine Konsequenz der neuen digitalen Brieftasche könne ein für die Privatsphäre von Menschen gefährliches Szenario sein, vor dem Lohninger auch in seiner Stellungnahme (pdf) warnt: Gezielte Werbung könnte mit der staatlich garantierten Identität gekoppelt werden. Die Werbewirtschaft wüsste dann quasi mit staatlichem Stempel, mit wem sie es namentlich zu tun hat und wem konkret sie Werbung unterjubelt.

Lohninger betonte, es fehle an „Schutzmaßnahmen gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“. Hier müsse man dringend nachbessern. Es bestehe keine besondere Eile bei der Gesetzgebung, insofern plädiere er dafür, diesen Mangel zu beseitigen. Er rate auch zu einer Art Negativ-Liste, in der verständlich festgehalten werden solle, wofür die Daten der ID-Wallet keinesfalls verwendet werden dürfen. Auf jeden Fall müsse verhindert werden, dass mit der ID-Wallet am Ende nur die Tracking- und Werbewirtschaft und insbesondere auch die großen außereuropäischen Tech-Konzerne gestärkt werden.

Informationssammlung beim ID-Wallet-Herausgeber

Ein anderer potentiell gefährlicher Datenmissbrauch droht wegen der Daten, die bei der Nutzung des Identitätsspeichers beim Wallet-Herausgeber anfallen. Die Vorschläge der EU-Kommission schreiben zwar fest, dass der Nutzer über seine European Digital Identity Wallet die volle Kontrolle behalten soll. Über die Nutzung der Wallet soll der Herausgeber keine Informationen sammeln, die nicht notwendig für die Wallet-Dienstleistungen sind. Datenschutzexperte und Informatiker Lukasz Olejnik rät jedoch wegen dieser sensiblen Nutzungsdaten in seiner Stellungnahme, die Rechte der Nutzer weiter zu stärken und zusätzlich vorzuschreiben, dass nicht mehr benötigte, aber bereits gesammelte Daten über die Wallet-Nutzung gelöscht werden sollen. Mehr als zwei Jahre sollten sie keinesfalls festgehalten werden, so Olejnik, wünschenswert wäre eine viel kürzere Frist von nur einem Monat.

Lohninger kritisiert, dass nicht schon von vornherein ein technischer Ansatz vorgeschrieben werde, um die Nutzungsdaten beim Wallet-Herausgeber zu minimieren. Er optiert für eine technische Infrastruktur, die eine Informationssammlung beim Herausgeber weitgehend unterbinde. Die entsprechende Passage müsse schon deswegen geändert werden, weil das Vertrauen der potentiellen Nutzer in die ID-Wallet durch technische Maßnahmen zum Datenschutz viel deutlicher gestärkt werden müsse. Denn ohne Vertrauen seitens der Nutzer drohe das ganze Vorhaben zu scheitern.

Damit die ID-Wallet breite Akzeptanz findet, muss es neben dem Vertrauensvorschuss auch möglichst viele Angebote geben, die von Menschen genutzt werden könnten. Sonst endet der Vorschlag vielleicht wie die deutsche eID im Personalausweis, die – selbst nachdem sie per Gesetz zwingend aktiviert ist – noch immer kaum Nutzer findet. Der Entwurf der Verordnung sieht daher eine Verpflichtung zur Akzeptanz der ID-Wallet bei Staat und Wirtschaft vor, versucht also durch eine vielfältige Angebotsseite die Nutzung anzuregen. Die sehr großen Plattformbetreiber sollen daher mitmachen müssen, aber auch eine ganze Reihe anderer Wirtschaftsbranchen, etwa Transport, Energie, Banken, Gesundheit, Post, Telekommunikation und weitere sollen verpflichtet werden.

Die IT-Sicherheit bei Smartphones

Ein in der Anhörung vielfach vorgebrachter Kritikpunkt ist das Fehlen vieler rechtlicher und technischer Details für das Design und die Nutzungsmöglichkeiten der Wallet: Das mache eine Risikoanalyse und eine sinnvolle Datenschutz-Folgenabschätzung im Sinne der Datenschutzgrundverordnung fast unmöglich, so Lohninger. Das betonte auch der Europäische Datenschutzbeauftragte Wiewiórowski, der anmerkte, eine Prüfung, ob alle Standards der DSGVO eingehalten werden, sei aktuell nicht möglich.

Schwierig sei zudem, dass die IT-Sicherheit der ID-Wallet als App von der IT-Sicherheit von Smartphones abhänge, sagte Lohninger. Das stelle viele Menschen vor Probleme, etwa wenn sie nicht die finanziellen Mittel hätten, um neuere Smartphones mit regelmäßigen Updates zu nutzen. Schon deswegen müsse in die Vorschläge zur ID-Wallet eine Anti-Diskriminierungsklausel hinein, damit nicht Menschen mit weniger Geld nach der Einführung der Digital-Brieftasche auch noch Aufpreise zahlen müssen, wenn sie diese digitale Identität nicht nutzen können. In seinem Heimatland Österreich sei das bereits zu beobachten.

Millionen Browser-Nutzer gefährdet

Besonders in der Kritik von Seiten vieler IT-Experten steht auch der geplante Artikel 45 der Verordnung. Darin geht es um Zertifikate in Browsern. Solche Zertifikate werden von Certificate Authorities (CAs) verwaltet. Sie haben eine Funktion wie ein Notar, der beglaubigt, dass Zertifikate echt sind. Der Kommissionsvorschlag würde eine staatliche Zertifikatsinfrastruktur über solche CAs in Browsern verpflichtend vorschreiben. Lukasz Olejnik hält das Vorhaben in seiner Stellungnahme für hochgefährlich und schlägt vor, den Artikel 45 wegen seiner potentiellen Auswirkungen auf die IT-Sicherheit und auf Grundrechte komplett zu streichen oder aber mindestens statt einer Verpflichtung eine Opt-In-Lösung aufzunehmen.

Die Electronic Frontier Foundation fand in einer im Dezember veröffentlichten Stellungnahme deutliche Worte, was die Folgen angeht, würde der Vorschlag so in Kraft treten: „Die Sicherheit von HTTPS im Browser könnte um vieles schlimmer werden.“ Millionen Browser-Nutzer wären außerdem betroffen. Auch Lohninger kritisiert, dass der Vorschlag für die IT-Sicherheit von Browsern gefährlich wäre und verheerende Konsequenzen („devastating consequences“) drohen würden. Er appellierte bei der Anhörung an die EU-Parlamentarier: „Please don’t break the web!“

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Ein deutscher Kläger bringt die Zwangsabgabe von biometrischen Merkmalen vor das europäische Höchstgericht: Das Verwaltungsgericht Wiesbaden sieht grundsätzliche Rechtsprobleme, wenn für den Besitz eines Personalausweises die Abgabe der Fingerabdrücke verpflichtend ist. In einem Beschluss (pdf) legt das Gericht diese Rechtsfragen dem Europäischen Gerichtshof (EuGH) vor.

Die Verpflichtung für über dreihundert Millionen EU-Bürger, zwei Fingerabdrücke auf dem Ausweis in digitaler Form speichern zu lassen, geht auf die EU-Verordnung 2019/1175 zurück. Das Verwaltungsgericht begründet in seinem Beschluss seine Zweifel daran, dass die entsprechenden Vorschriften in dieser EU-Verordnung unionsrechtskonform sind. Zum einen bestünden rechtliche Zweifel schon durch das Zustandekommen der Verordnung außerhalb des eigentlich vorgeschriebenen ordentlichen Gesetzgebungsverfahrens, zum anderen sieht das Gericht die Europäische Grundrechtecharta verletzt. Das betrifft die Artikel 7 und 8 der Charta, die das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation sowie das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten festschreiben.

Außerdem legt das Gericht in seinem Beschluss dar, dass die Datenschutzgrundverordnung missachtet wurde. Es bezieht sich dabei auf Artikel 35 der DSGVO, in dem eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Bevor eine Verarbeitung von sensiblen Daten wie Fingerabdrücken erfolgt, sollen dadurch vorab die Risiken analysiert werden. Eine solche Datenschutz-Folgenabschätzung hat es aber nicht gegeben.

Der Kläger wird vom Verein digitalcourage unterstützt, der gegenüber netzpolitik.org erklärt, die Fingerabdruck-Speicherpflicht verletze „unsere Grundrechte auf Privatsphäre und den Schutz unserer personenbezogenen Daten“. Der Verein bezweifelt auch, dass die auf dem Personalausweis gespeicherten Fingerabdrücke zu der versprochenen verbesserten Fälschungssicherheit führen. Wie auch das Gericht in seinem Beschluss darlegt, wäre damit nicht einmal die Notwendigkeit des schwerwiegenden rechtlichen Eingriffs einer zwangsweisen Abgabe von persönlichen Biometriedaten gegeben. Die Speicherung der Fingerabdrücke auf dem Personalausweis sei „ein unverhältnismäßiger Eingriff“, so digitalcourage.

Die Mehrheit von CDU, CSU und SPD im Bundestag hatte auf Grundlage der Verordnung im Jahr 2020 die verpflichtende Speicherung von Fingerabdrücken im deutschen Personalausweis beschlossen. In den dezentralen Melderegistern der Kommunen werden die biometrischen Daten zwar nicht gespeichert, aber auf einem Chip, der in der Plastikkarte des Ausweises eingelassen ist. In Deutschland werden – sofern das bei der beantragenden Person möglich ist – Abdrücke von beiden Zeigefingern genommen. Die EU-Verordnung sieht allerdings keine Festlegung auf einen bestimmten Finger vor.

Zuvor freiwillig, jetzt Pflicht: Fingerabdruck-Abgabe

Seit August 2021 müssen alle Menschen in Deutschland beim Beantragen eines Personalausweises zwei Fingerabdrücke hinterlassen. Das rief Kritiker auf den Plan: Bürgerrechtsorganisationen bewerteten diese Fingerabdruck-Pflicht als unvereinbar mit dem Grundgesetz. Schon im Prozess des Entstehens der Verordnung war auch der EU-Kommission bescheinigt worden, das Vorhaben sei ungerechtfertigt und nicht notwendig.

Doch was zuvor in Deutschland freiwillig war, wurde dennoch zur Pflicht. Das Fingerabdruck-Prozedere auf dem Amt kennen viele Menschen schon vom Reisepass, denn da besteht der Zwang schon einige Jahre länger. Die Verpflichtung zur Abgabe zweier Fingerabdrücke bei der Ausweisbeantragung ergibt sich konkret aus § 5 Abs. 9 des deutschen Personalausweisgesetzes, der wiederum auf der EU-Verordnung zur Erhöhung der Sicherheit der Personalausweise und Aufenthaltsdokumente beruht.

Gegen die Fingerabdruckabnahme wehrte sich ein Bürger und verlangte auf dem Amt einen Ausweis ohne die biometrische Vermessung. Als ihm das verwehrt wurde, zog er vor Gericht.

Das Verwaltungsgericht Wiesbaden hat überaus schnell reagiert und mit seinem Beschluss nun den EuGH hinzugezogen. Mit sehr hoher Wahrscheinlichkeit wird das europäische Höchstgericht erneut über die zwangsweise Erfassung von Fingerabdrücken entscheiden. Die anlassunabhängige Vermessung der biometrischen Merkmale von Menschen für ihre Identifikationspapiere ist nicht das erste Mal ein Fall für den EuGH. Zuletzt war dazu vor acht Jahren ein Urteil (vom 17. Oktober 2013) ergangen. Der damalige deutsche Kläger, der einen Reisepass ohne Fingerabdrücke ausgestellt bekommen wollte und mit seinem Fall ebenfalls in Luxemburg landete, hatte allerdings keinen Erfolg.

Im Beschluss des Wiesbadener Verwaltungsgerichts wird entsprechend betont und auch schlüssig begründet, dass die Funktion eines Ausweises nicht mit der eines Reisepasses vergleichbar sei. Die Chancen des Klägers dürften also hoch sein, dass der EuGH den Fall aufgreift.

Für den Fälschungsschutz ungeeignet

Dass diese obligatorische Abnahme von Fingerabdrücken ein Eingriff in Grundrechte ist, steht außer Frage. Artikel 7 und 8 der Grundrechtecharta sind klar betroffen. Aber ist er auch ungerechtfertigt und unverhältnismäßig? Dazu gehört die Frage, ob nicht auch geringere Eingriffe ausgereicht hätten.

Die EU-Verordnung 2019/1157 soll dem Schutz vor Fälschungen dienen und eine verlässliche Verbindung zwischen dem Inhaber und seinem Ausweis herstellen, um einer betrügerischen Verwendung vorzubeugen. In Erwägungsgrund 18 heißt es:

Die Speicherung eines Gesichtsbilds und zweier Fingerabdrücke […] auf Personalausweisen und Aufenthaltskarten […] stellt eine geeignete Kombination einer zuverlässigen Identifizierung und Echtheitsprüfung im Hinblick auf eine Verringerung des Betrugsrisikos dar, um die Sicherheit von Personalausweisen und Aufenthaltskarten zu verbessern.

Dass die Aufnahme von Fingerabdrücken für den Fälschungsschutz geeignet ist und damit Betrug und Identitätsdiebstahl verhindern kann, bezweifelt das VG Wiesbaden in seinem Beschluss ausdrücklich. Wenn schon das Gesicht einer Person zum Abgleich vorhanden ist, erschließt sich nicht, warum ein zweites Merkmal wie der Fingerabdruck erforderlich sein soll.

Im Erwägungsgrund 19 der Verordnung ist auch geregelt, dass die EU-Mitgliedstaaten zur Überprüfung der Identität eines Ausweisinhabers vorrangig das Gesichtsbild prüfen. Die Fingerabdrücke sollen höchstens bestätigend überprüft werden.

Der Beschluss des Gerichts greift mehrfach die Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen (pdf) aus dem Jahr 2018 auf, der weit vor dem Inkrafttreten schon kritisiert hatte, dass die Notwendigkeit des Fingerabdruckszwangs nicht begründet sei. Mit weniger eingriffsintensiven Maßnahmen könnte man das Ziel der Fälschungssicherheit auch erreichen, argumentierte er. Biometrische Daten seien nach EU-Recht besonders schützenswert, zumal wenn hier 370 Millionen Menschen betroffen sind.

Gefahr des Identitätsdiebstahls

Der Anwalt des Klägers, Wilhelm Achelpöhler, hatte die Klage erst Ende Dezember eingereicht. Der Beschluss des Gerichts erfolgte also sehr schnell, betont der Rechtsanwalt gegenüber netzpolitik.org. Wenn der Vorlagebeschluss des Verwaltungsgerichts Wiesbaden an den EuGH übermittelt worden sei, könnten neben dem Kläger und der beklagten deutschen Stadt auch die EU-Mitgliedstaaten und die EU-Kommission binnen zwei Monaten Schriftsätze an den Gerichtshof senden.

Nach den schriftlichen Stellungnahmen erwartet Achelpöhler eine mündliche Verhandlung am Gerichtshof. Der Anwalt sieht gegenüber netzpolitik.org seine Argumentation durch den Beschluss des Verwaltungsgerichts insgesamt bestätigt und wird auch beim EuGH den Mandanten vertreten.

Die Richter des Verwaltungsgerichts gehen über die Argumente in der Klage teilweise sogar hinaus und verweisen in ihrem Beschluss auch darauf, dass in den Ausweisen der gesamte Fingerabdruck gespeichert wird und nicht nur partielle Informationen. Dadurch erhöhe sich das Risiko eines Identitätsdiebstahls. Statt des gesamten Abdrucks hätten auch nur Teile der Minuzien auf den Fingerkuppen verwendet werden können, aus denen ein ganzer Fingerabdruck nicht mehr rekonstruierbar wäre. Darauf hatte bereits der Europäische Datenschutzbeauftragte hingewiesen.

Auch digitalcourage sieht eine Gefahr des Identitätsdiebstahls und eines „Datenlecks“, die unweigerlich bestünden. Konstantin Macher von Digitalcourage erklärte dazu in einer Pressemitteilung des Vereins vom 27. Januar: „Erfahrungsgemäß ist bei einem Datenleck die Frage nicht ob, sondern wann es passiert. Die Speicherung unserer kompletten Fingerabdrücke vergrößert die Gefahr eines Identitätsdiebstahls, sobald der RFID-Chip geknackt ist.“

Auf Nachfrage von netzpolitik.org, was mit dem „Knacken des RFID-Chips“ technisch gemeint sei, erklärt Macher, dass auch der Fall bedacht werden müsse, „wenn sich eines Tages die Verschlüsselung der Daten auf dem Personalausweis als nicht (mehr) sicher herausstellen sollte“. Denn auch eine starke Verschlüsselung könne keine absolute Sicherheit garantieren.

Vier Innenminister

Den Ausweis mit Chip gibt es seit mehr als elf Jahren, der Biometrie-Reisepass mit Chip wurde sogar schon einige Jahre zuvor eingeführt. Über 62 Millionen Deutsche besitzen mittlerweile ein Ausweis-Exemplar mit einem Funk-Chip (RFID).

Immerhin vier Innenminister haben ihren Anteil daran: Otto Schily (SPD) hatte nach dem elften September die Biometrie-Idee zunächst für den Reisepass stark protegiert, Wolfgang Schäuble (CDU) brachte sie durch das Bundeskabinett, Thomas de Maizière (CDU) durfte den Personalausweis mit biometrischen Daten und funkendem Chip präsentieren und Horst Seehofer (CSU) verpflichtete die Ausweisbesitzer zuletzt auch noch zur Fingerabdruckabgabe.

Die biometrischen Daten des Chips dürfen Polizeien, Zollverwaltung, Steuerfahndung und Meldebehörden auslesen, nicht aber private Akteure. Alle Personalausweise bleiben allerdings auch dann gültige Ausweisdokumente, wenn der Chip den Geist aufgibt und nicht mehr auslesbar ist. Die Fingerabdrücke sind dann verloren – anders als die Gesichtsbilder, die zwar dann auch nicht mehr digital ausgelesen werden können, aber wenigstens aufgedruckt sind und noch mit dem Gesicht des Inhabers verglichen werden können.

Viele glauben, dass es in Deutschland eine Personalausweispflicht gibt, aber das stimmt so nicht. Denn nach § 1 Abs. 2 Satz 3 des Personalausweisgesetzes besteht keine Pflicht zum Besitz eines Personalausweises. Wer etwa einen gültigen Reisepass hat, muss keinen Personalausweis besitzen. Eine „Ausweispflicht“ besteht also zwar, aber nicht im Wortsinn: Man muss sich mit einem hoheitlichen Dokument ausweisen können, nicht unbedingt aber mit einem Personalausweis. Dennoch zeigt schon die hohe Anzahl der Ausweise, die im Umlauf sind, dass die große Mehrheit der Deutschen einen Personalausweis hat.

Allein deswegen betrifft die EuGH-Vorlage des Verwaltungsgerichts Millionen Bürger und ihre persönlichen Biometriedaten. Sollte der EuGH im Sinne der Grundrechte entscheiden und die zwangsweise Erhebung der Fingerabdruckdaten für unverhältnismäßig befinden, dann wäre die Entscheidung nicht nur für den Kläger von Bedeutung, sondern verbindlich für alle EU-Staaten. Die verpflichtende biometrische Vermessung der Fingerkuppen könnte dann ein Ende finden.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Wie immer zum Ende des Jahres blicken wir im Podcast zurück. Was waren 2021 die zentralen netzpolitischen Themen? Welche Debatten und Ereignisse prägten das netzpolitische Jahr? Wo gab es Fortschritte, wo Rückschritte und wo Stillstand?

Während Corona weiter das öffentliche Leben und die Debatten bestimmt, dankt Angela Merkel nach sechzehn Jahren im Amt ab. Es gibt jetzt einen neuen Bundeskanzler und erstmals im Bund eine Ampel-Koalition, die vieles anders machen will als die Vorgängerin, auch beim Thema Digitalisierung. Die EU macht unterdessen ernst und nähert sich mit großen Schritten der Verabschiedung eines Gesetzespakets zur Regulierung von mächtigen Online-Plattformen. Und in den Vereinigten Staaten ist ein neuer Präsident im Amt, während der alte nicht mehr in den Sozialen Medien herumkrakeelen kann, weil eben diese mächtigen Online-Plattformen ihn zu Beginn des Jahres rausgeschmissen haben.

Während es also durchaus ein veränderungsreiches Jahr war, bleibt bei einem Thema alles gleich: Der Ausbau der staatlichen Überwachung schreitet voran. Trotz Pegasus-Skandal und absurd schlechter IT-Sicherheitslage hat die Große Koalition die Befugnisse zum staatlichen Hacken erheblich ausgeweitet. Die Ampel verspricht einen Richtungswechsel, auch darüber sprechen wir im Podcast.

Dabei scheitern wir zwar am selbstgesteckten Zeitlimit, doch dafür ist der Rückblick in diesem Jahr so umfassend wie noch nie. Zum geneigten Nachlesen liefern wir dieses Mal eine ausführliche Linkliste mit.

Viel Spaß beim Anhören, kommt gut in das neue Jahr!

---

Gesprochen von Constanze Kurz und Ingo Dachwitz. Produziert von Serafin Dinges.

Hier ist die MP3-Datei zum Download. Es gibt den Podcast wie immer auch im offenen ogg-Format.

Links und Ressourcen

Meta:

• Spendenaufruf: Wir brauchen dringend eure Unterstützung
• Die besten Reste des Jahres
• Ein Jahr netzpolitik.org in Zahlen und Themen
• Titelmusik von Trummerschlunk

Corona-Pandemie:

• Mehr als 20 Millionen Euro für Luca
• „Dann hat man irgendwie das Interesse verloren“
• Corona-Warn-App könnte Luca bald obsolet machen
• Wenn die App plötzlich rot zeigt
• Weniger als ein Drittel der Gesundheitsämter nutzt moderne Software zur Pandemiebekämpfung
• Riesenchaos um Recht auf PCR-Test
• Jens Spahn versucht, sein eigenes Versagen zu verschleiern
• Digitaler Impfnachweis wird dezentral und Open Source
• Wieder Datenpanne in Corona-Testzentren
• Streit um Impfstoff-Patente wird in Europa entschieden
• Auf die Fresse
• Eine schrecklich nette Partei

Digitale Öffentlichkeit und Inhaltemoderation:

• Trump ist weg vom Fenster. Was nun?
• Goodbye, Mr. President
• Donald Trumps neues soziales Netzwerk verletzt Freie-Software-Lizenz
• Facebooks Oversight Board löst das Problem der sozialen Medien nicht
• Deutsche Plattformregulierung auf dem Prüfstand
• Hürden für Passwort- und Bestandsdatenauskunft leicht erhöht
• Bundestag überarbeitet Regeln zu Hassrede im Netz
• Fällt Telegram wirklich nicht unter das NetzDG?
• „Netzsperren und Rausschmiss aus den App-Stores – das ist mir zu platt“
• Telegram sperren? Warum es keine technische Lösung gegen Hass gibt

Big Tech und EU-Plattformregulierung:

• Whistleblowerin erhebt schwere Vorwürfe gegen Facebook
• Facebook wusste, was alles schiefläuft
• Wie Google und Facebook sich die Konkurrenz vom Leib halten
• Das Plattformgesetz der EU rückt näher
• Der Digital Services Act als dystopisches Regelwerk
• Wettbewerbsbeschwerde gegen Apple
• Berühmte IT-Sicherheitsforscher:innen warnen vor Wanzen in unserer Hosentasche
• Warum die Chatkontrolle so gefährlich ist
• Neuer EU-Fahrplan für Zugang zu Verschlüsselung
• Politische Werbung soll transparenter werden
• Schrems und Böhmermann wollen Facebook und Parteien verklagen
• Ambitionierter Aufschlag für die Regulierung Künstlicher Intelligenz

Überwachung und staatliches Hacking:

• Mal eben die Zentralisierung biometrischer Daten durchwinken
• EU-Initiative für Verbot von biometrischer Überwachung
• Europäisches Parlament stellt sich gegen biometrische Massenüberwachung
• Milliarden für Europas Biometrie-Giganten
• Schockierendes Ausmaß von biometrischer Überwachung in Europa
• Belgisches Verfassungsgericht kippt Vorratsdatenspeicherung
• Klares Nein zur deutschen Vorratsdatenspeicherung
• Menschenrechtsgerichtshof schränkt Massenüberwachung der Geheimdienste ein
• Die individuelle Personenkennzahl kommt
• Eine Nummer für alles und jeden
• Wie Frontex mit einer List das Völkerrecht umgeht
• Frontex will kein Bargeld von FragdenStaat
• Wenn digitale Gewalt zu physischer Gewalt wird
• Hinweise auf Pegasus-Spähsoftware bei Regierungsmitgliedern gefunden
• Die Branche der Staatshacker ächten
• Wir müssen die gesamte Überwachungsindustrie in Frage stellen
• Hacker-Behörde ZITiS prüft Staatstrojaner aus Österreich
• Polnische Oppositionelle mit Pegasus gehackt
• Bundesregierung verweigert Auskunft über israelischen Staatstrojaner Candiru
• Bundesnachrichtendienst setzt Staatstrojaner Pegasus ein
• Bundesnachrichtendienst erhält so viele Überwachungsbefugnisse wie noch nie
• Wir verklagen das BKA auf den Staatstrojaner-Vertrag
• Große Koalition einigt sich auf Staatstrojaner-Einsatz schon vor Straftaten
• Überschwemmung, Waldbrand und Cyberangriff

Datenschutz und Datenpolitik:

• Facebook droht Stopp des EU-US-Datentransfers
• Facebook-Seiten der Bundesbehörden sollen in die Tonne
• Online-Tracking: Warum nicht das Unmögliche wagen?
• Das Durchsetzungsproblem der DSGVO
• Wenn die Datenschutzbehörde zur Facebook-Freundin wird
• Datenstrategie der Bundesregierung: Die Richtung stimmt, aber der Weg ist noch weit

Urheberrecht:

• Uploadfilter werden Gesetz
• Gerichte sollen Urheberrechtsreform (er)klären
• Overblocking ist echt
• Die Rückkehr der Netzsperren

Transparenz:

• Die Open-Data-Richtlinie und die deutschen Blockaden
• Kein Anspruch auf Offenheit
• Zwischen Aktenordner und E-Mail stehengeblieben
• Österreich: Volksbegehren für echte Informationsfreiheit gestartet
• Auslieferungsverbot für Assange gekippt

Merkel geht, die Ampel kommt:

• Verschenkte Jahre
• Zeitenwende im Innenministerium
• Das plant die Ampel in der Netzpolitik
• Ampel verspricht Stärkung digitaler Grundrechte
• Ampel verzichtet auf Digitalministerium
• Was die EU netzpolitisch für 2022 plant

 

---

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: In dem eingebundenen Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso auf iTunes, Spotify oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast/. Wie immer freuen wir uns über Anregungen, Kritik, Lob und Ideen, entweder hier in den Kommentaren oder per Mail an ingo.dachwitz@netzpolitik.org.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Vor drei Jahren begann ein Selbstversuch, der eigentlich für etwa ein Jahr laufen sollte: Wie kann man sich ohne viel Vorwissen und technische Detailkenntnisse von all dem Werbe-Tracking, von den professionellen Datensammlern und auch generell vom Werbemarkt loslösen, dabei auch staatlicher Überwachung und Geheimdiensten ebenso wie Kriminellen besser entgehen? Katharina Larisch und Volker Wittpahl haben es versucht, haben ihre Hardware und Software umgestellt, ihre Kommunikation verändert, ihre Social-Media-Nutzung umgekrempelt.

Sie wollten ausprobieren, ob eine datenschutzfreundliche digitale Existenz mit dem ganz normalen Alltag mit Familie, Freunden und Berufsleben vereinbar ist. Sie suchten sich allerdings von Anfang an Hilfe – für konkrete technische Unterstützung und für den Fall, dass was schiefgeht. Wir haben Katharina und Volker sowie ihren Coach Klaudia Zotzmann-Koch in einem Interview gefragt, was sie gelernt haben und welches Vorgehen sie empfehlen können. Wo sind sie an Grenzen gestoßen? Wie geht die Umstellung mit dem normalen Leben zusammen? Wie konsequent haben sie es durchgezogen?

Es ging langsamer als erwartet, die Hoheit über die eigenen Daten und Systeme zu erlangen, denn der Umstieg auf freie Software und die weitgehende Vermeidung von kommerzieller Software wurde ein mehrstufiger Prozess. Als die Tester ein Jahr nach Beginn des Selbstversuchs über ihre Erfahrungen bei der PrivacyWeek 2019 gesprochen haben, resümierte Katharina: „Es ist kein Projekt mehr, sondern eine Art zu leben geworden.“

Wer es selbst ausprobieren möchte, kann als Einstieg unser Kleines Einmaleins der digitalen Selbstverteidigung nutzen. Weitere vielfältige Hinweise sind auf den Webseiten von Prism Break, Data Detox Kit und Privacy Tools (Englisch) zusammengestellt.

Selbstbestimmter im Netz unterwegs

netzpolitik.org: Liebe Klaudia, lieber Volker, liebe Katharina, bitte beschreibt doch kurz, was für ein Projekt ihr zusammen durchzieht.

Volker Wittpahl: Ziel unseres Projektes war es, unter Betreuung und Anleitung herauszufinden, inwieweit es für technische Laien möglich ist, sich im privaten Umfeld digital mündig zu machen, und wie praktikabel und nutzerfreundlich diese Mündigkeit im Alltag ist.

Katharina Larisch: Ich wurde als Familienmitglied von Volker für das Projekt einfach „verkauft“ und habe initial des Hausfriedens willen mitgemacht. Nach jeder Session mit Klaudia wurde allerdings meine Laune schlechter und damit meine Motivation besser. Und meine Sensibilität für Datenlecks, vor allem im Gesundheitsbereich, hat deutlich zugenommen: Nachrichten dazu haben mich auf einmal deutlich mehr interessiert und mich förmlich angesprungen.

Klaudia Zotzmann-Koch: Nach der PrivacyWeek 2018, bei der Volker als Vortragender in Wien war, kontaktierte er mich im Nachhinein fragte, ob ich ihn und Katharina coachen könnte, um selbstbestimmter im Netz unterwegs sein zu können. Natürlich habe ich sofort Ja gesagt. Und Clemens Hopfer, den Volker ebenfalls auf der PrivacyWeek kennengelernt hat, ist wegen Linux und Hardware auch noch mit im Boot.

netzpolitik.org: Wie kam es dazu, dass ihr informationelle Selbstbestimmung ganz praktisch in die Tat umsetzen wolltet?

Katharina Larisch: Ich habe ich mich in der Vergangenheit mit Gesundheitsdaten und Datenanalytik beschäftigt und ein Gefühl dafür, was man aus scheinbar ganz harmlosen Daten lesen kann. Seitdem bekämpfe ich auch die „Ich habe ja nichts zu verbergen“-Floskel.

Volker Wittpahl: Meine Teilnahme an der PrivacyWeek in Wien und die dort gezeigten Möglichkeiten beim Umgang mit Technologie-Konzernen und durch quelloffene und freie Software waren ein Auslöser. Kurz vor der PrivacyWeek war mein damaliges Windows-Telefon kaputt gegangen, und ich hatte nur die Wahl zwischen iPhone und Android-Geräten. Als ich deswegen frustriert war, sagte mir Clemens, dass es natürlich freie Systeme gäbe, und zeigte mir sein LineageOS-Telefon. Das hat dann den Ausschlag gegeben.

Die einfachen Dinge zuerst

netzpolitik.org: Beschreibt doch mal, welche konkreten Änderungen ihr in eurem digitalen Leben vorgenommen habt und in welcher Reihenfolge ihr vorgegangen seid.

Katharina Larisch: Die einfachen Dinge zuerst: Messenger geändert, Browser mit Plugins bestückt, nichts Wichtiges mehr per unverschlüsselter E-Mail verschickt und nicht mehr im Browser auf „alles akzeptieren“ geklickt. Und dank Volker steht der Passwortmanager KeepassXC seit langem auf meiner Liste. Ich konnte mich damit noch nicht richtig anfreunden, für mich ist das ein „der Technik ausgeliefert sein“-Gefühl.

netzpolitik.org: Hast Du auch mit den einfachen Dingen begonnen, Volker?

Volker Wittpahl: Ich habe begonnen mit einer Inventur und Bestandsaufnahme von im Haushalt, also privat vorhandener Hardware, installierter und gekaufter Software inklusive Betriebsystemen sowie Internet- und Cloud-Diensten, wie auch Mail- und anderer Nutzerkonten.

Danach habe ich mich von allen „kostenfreien“ Diensten, Angeboten und Software – auch Betriebssystemen – kommerzieller Anbieter getrennt, im besonderen jener, die unter den US-amerikanischen Cloud Act fallen.

Dann habe ich mir ein Smartphone angeschafft, auf dem ein freies Betriebssystem – in meinem Falle LineageOS – eigenständig installiert wurde, natürlich mit F-Droid und nur freien und quelloffenen Apps.

Parallel begann ich mit dem Aufsetzen einer privaten Nextcloud und der Synchronisation aller Dateien und Adressdaten von dort auf allen privaten Geräten. Das endete nach einem Jahr, weil ich das Selbsthosting zugunsten von der Nutzung einer von einem deutschen Dienstleister gehosteten Nextcloud aufgegeben habe.

Außerdem wurde Linux – konkret Linux Mint – neben Windows auf den privaten Laptops installiert. Mittlerweile läuft bei mir nur noch Linux.

netzpolitik.org: Warum hast Du das Hosting von NextCloud beendet und greifst auf einen Dienstleister zurück, aus Sicherheitsgründen?

Volker Wittpahl: Mir fehlt das Wissen und die Erfahrung aus dem Bereich Server- und Netzwerkadministration, um alle notwendigen Patches und Updates regelmäßig einzuspielen. Nach dem ersten Update-Crash des Systems war für mich klar, dass der Aufwand und die Qualität eines professionellen Dienstleisters nach europäischen Sicherheitsstandards in Relation zum Selbsthosting preiswerter und zuverlässiger sind.

So niederschwellig wie möglich

netzpolitik.org: Wie kam es dazu, Klaudia, dass Du anderen helfen kannst und willst, selbstbestimmter mit den digitalen Werkzeugen umzugehen?

Klaudia Zotzmann-Koch: Ich bin Mit-Organisatorin der PrivacyWeek in Wien und seit 2015 aktiv im Chaos Computer Club. Ich habe selbst über mehrere Jahre hinweg gelernt, wie Dinge zusammenhängen, was hinter Tracking und verschiedenen Businessmodellen steht, aber auch, was man selber tun kann. In vielen Workshops, die ich seit 2016 dazu gebe, sehe ich auch, woran es immer wieder hakt und welche Fragen „Normaluser:innen“ haben.

Das sind üblicherweise ganz andere, als IT-Kundige und politische Entscheidungsträger:innen meinen. Während viel von informationeller Selbstbestimmung, informierten Zustimmungen zu Datenverarbeitung und anderen abstrakten Konstrukten geredet wird, sind die Probleme überwiegend viel weiter vorne. Schon allein Software- und Hardwarefehler zu unterscheiden, fällt den meisten schwer: Das Ding ist einfach kaputt. Selbst etwas programmieren, davon sind wir ganz weit weg. Oder auch davon, die Zusammenhänge hinter den Kulissen datenverarbeitender Firmen zu durchschauen. Für die meisten sind Datenschutzerklärungen oder AGBs unnütze Informationstexte, die man schnell wegklickt, weil man gerade ein ganz anderes Problem zu lösen hat.

Es ist mir seither ein echtes Anliegen, die Inhalte so niederschwellig wie möglich zu vermitteln. Und ich lerne selber jede Woche wieder etwas Neues, das ich dann in Workshops und Coachings einbaue und in die nächste überarbeitete Neuauflage meines Buches „Dann haben die halt meine Daten. Na und?!“, was ein weiteres Ergebnis meines Erlernten ist.

netzpolitik.org: Heute bist Du Coach, aber wie bist Du vorgegangen, um selbst digital selbstbestimmter zu werden?

Klaudia Zotzmann-Koch: Ich besuchte ab Herbst 2015 Cryptoparties und fing erst einmal mit den „Quickwins“ an, also leichten Dingen, die einfach machbar sind: Browser-Plugins für https und Adblocker nutzen. Ich wechselte zum Messenger Signal, nutzte bald eine Nextcloud. Kalender und Adressbuch wanderten von den Herstellern meiner Geräte in meine eigenen Hände.

Der Password-Safe war für mich ein „Game-Changer“. Dann habe ich meine Social-Media-Profile ausgemistet, Facebook nicht mehr benutzt, Twitter nur noch gezielt und sehr selbst-moderiert verwendet. Und danach lief das quasi spiralförmig, also Apps gegen datenschutzfreundlichere Alternativen auswechseln, Programme auf „Nachhause-Senden von Informationen“ kontrollieren. Eins nach dem anderen und immer etwas straffer.

E-Mail-Verschlüsselung war eine Herausforderung. Aber durch Menschen um mich herum war es sehr einfach, an die Informationen und an Hilfe zu kommen. Im Nachhinein kann ich nicht einmal sagen, dass mir die Umstellung sehr schwer gefallen ist, aber durch mein Umfeld war ich auch in einer privilegierten Position.

netzpolitik.org: Mit Blick auf euren ganz normalen Alltag, beruflich und privat: Wie sehr hat sich eure Techniknutzung und der Blick auf den Umgang mit Technologien verändert?

Katharina Larisch: Privat nutze ich viel mehr freie und quelloffene Software, beruflich stelle ich unangenehme Fragen wie etwa zum Datenschutz und zur digitalen mündlichen Prüfung über den Anbieter Zoom. Und ich nutze seitdem nicht mehr das Wort Datenschutz, um lästige Dinge loszuwerden, ganz im Gegenteil: Wenn jemand die Augen verdreht, singe ich das Hohelied vom Datenschutz.

Volker Wittpahl: Es hat sich sehr verändert, da ich nun bei „freien“ Angeboten kritischer den Datenschutz und die Wahrung der Privatsphäre hinterfrage. Beim Kauf von neuer Technik schaue ich immer, ob es auch eine bereits bewährte Open-Source-Lösung gibt, beispielsweise beim Smart Home.

Ich nutze im Privaten nur noch Open-Source-Software und bekomme sofort ein komisches Gefühl, wenn mich jemand nötigt, für einen Vorgang eine kommerzielle App wie die Luca-App zur Corona-Nachverfolgung oder eine „Security-App“ zur Online-Kreditkarten-Zahlung auf einem Android- oder iOS-Gerät zu installieren.

Klaudia Zotzmann-Koch: Ich versuche, auf dem Stand der Technik zu bleiben und da, wo ich Verbesserungsmöglichkeiten sehe oder auf diese hingewiesen werde, auf Open-Source-Alternativen umzusteigen. Ein bisschen was geht immer noch besser. Bei vielem haben mich Volker und Katharina tatsächlich überholt, oder sie suchen rigoroser nach quelloffenen Lösungen, wo ich auch mal bei kommerziellen Produkten hängenbleibe, die allerdings für mich immer gute Bewertungen von Datenschutzexpert:innen haben müssen.

Ein Fazit

netzpolitik.org: Was würdet ihr sagen, welche Software oder Hardware hat die größte Veränderung mit sich gebracht?

Klaudia Zotzmann-Koch: Generell hat Software für mich den größten Unterschied gemacht, eindeutig. Da ist von meinen alten „Normaluser:innen“-Gewohnheiten von vor dem Herbst 2015 fast nichts mehr übrig. Adblocker und Password-Safe waren meine größten Gewinne, und der Umstieg von Twitter ins Fediverse, wo Clemens und ich mittlerweile einen eigenen Mastodon-Server betreiben. Wir bieten auch eine ganze Open-Source-Sammlung für Autor:innen und Kreative an.

Volker Wittpahl: Beim persönlichen Verhalten war der Umstieg auf ein Smartphone mit freiem Betriebssystem und freier Software die größte Veränderung. Noch besser wurde das Gefühl beim Wechsel von LineageOS zu GrapheneOS. Seit GrapheneOS kann kein Laie mehr sagen: „Ich würde ja gern ein freies Phone haben, aber die Installation ist zu komplex für mich.“

netzpolitik.org: Was für ein Fazit würdet ihr bisher ziehen?

Volker Wittpahl: Bei mir gab es eine enorme Sensibilisierung für Aspekte des Datenmissbrauchs und für das kritische Hinterfragen bei der Anschaffung und Nutzung neuer technischer Dinge. Gefühlt gibt es bei mir weniger Auf- und Erregung durch Push-Nachrichten auf dem Smartphone.

Auf der PrivacyWeek habe ich gelernt, dass für die Sicherheit von Computer und Smartphone regelmäßige Updates wesentlich wichtiger sind als Virenschutzprogramme. Fast täglich meldet mir mein Laptop und einmal in der Woche mein Smartphone, dass wieder Software-Updates zur Installation bereitstehen. Ich freue mich jedesmal, wenn ich ein Update installieren kann: Denn dann hat sich jemand um eine Sicherheitslücke auf meinem Gerät gekümmert. Auch wenn es sich komisch anhört, aber es gibt mir ein anderes Gefühl der Sicherheit im positiven Sinne, als ich es bei den Updates der kommerziellen Programme habe.

Klaudia Zotzmann-Koch: Volker und Katharina sind sehr engagiert bei der Sache und haben es wirklich ein Jahr lang durchgezogen. Wir haben uns regelmäßig online getroffen, und sie haben auch mich immer wieder mit ihren Fragen und Recherchen an meine thematischen Grenzen gebracht. Ich habe selbst viel aus diesem Coaching gelernt. Die beiden sind noch immer fleißig dabei und tragen ihre Erfahrungen weiter. Das finde ich sehr schön zu beobachten.

netzpolitik.org: Woran seid ihr gescheitert? Was würdet ihr gern nutzen, was aber ohne richtig viel Aufwand oder viel Zeit nicht machbar war?

Katharina Larisch: Mailverschlüsselung, auch nachdem mir Klaudia den Unterschied zwischen Mail, verschlüsselter Mail und VPN-Nutzung erklärt hat. Aber diese Erklärung nutze ich bis heute, falls mal wieder ein Arztbrief per Mail ohne Verschlüsselung bei mir landet.

Klaudia Zotzmann-Koch: Ich hätte gern einen leicht zu bedienenden Static Site Generator für Webseiten. Ich warte auf eine Nutzer:innen-freundliche Umgebung, die ich dann auch wieder in Workshops unfallfrei und guten Gewissens an Einsteiger:innen weitergeben kann.

Volker Wittpahl: Zu vielen Dingen, etwa Fitnessbänder oder Smart-TVs, gibt es jede Menge Studien und Berichte über Datenschutzfragen. Aber für die Anschaffung und Einrichtung eines Privacy-freundlichen Druckers gibt es kaum Studien oder Empfehlungen, auch nicht von den Verbraucherzentralen oder Datenschützern.

„Nicht zu streng mit sich selbst sein“

netzpolitik.org: Was haltet ihr angesichts eurer Erfahrungen für ein sinnvolles Vorgehen, wenn andere nun auch etwas mehr informationelle Selbstbestimmung in die Praxis umsetzen wollen?

Katharina Larisch: Ganz einfach anfangen: soziale Medien wie Facebook meiden, ebenso Whatsapp. Es gibt ausreichend gute Alternativen.

Klaudia Zotzmann-Koch: Genau, ganz klein anfangen und nicht zuviel auf einmal umstellen. Wenn es stressig wird, fallen wir fast unweigerlich in alte Verhaltensmuster zurück, dann verzetteln wir uns. Immer eins nach dem anderen.

Für den Anfang ist der Wechsel zu beispielsweise Firefox mit dem Plugin uBlock origin eine überschaubare Sache, hilft aber schon viel. Als Zweites würde ich einen Password-Safe empfehlen. Und wenn das nach ein paar Tagen oder auch zwei, drei Wochen „sitzt“, dann das nächste angehen.

Vor allem sollte man aber während des Wegs nicht zu streng mit sich selbst sein. Wir stoßen alle an Grenzen, wo wir zum Teil nicht frei entscheiden können – im Job oder im Verein zum Beispiel, wo bestehende Strukturen da sind und wo Hinterfragen vielleicht schon zu vehementer Gegenwehr führt. Das sind dicke Bretter, die man nur über die Zeit bearbeiten kann. Auf jeden Fall nicht kleinkriegen lassen, immer wieder die Themen ansprechen. Meist ist es überraschend, wie viele Verbündete es tatsächlich schon gibt, die erleichtert sind, dass jemand das Thema angesprochen hat.

netzpolitik.org: Welche Rolle spielt Bequemlichkeit?

Volker Wittpahl: Die gleiche wie überall. Das kann man mit gesunder Ernährung oder Sport vergleichen. Prinzipiell weiß jeder, wie das funktioniert, aber sehr viele bewegen sich kaum und essen ungesund. Ähnlich wie bei Sport und Ernährung kann ich mich auch zu digitalen Aspekten mit überschaubarem Aufwand informieren und mein Verhalten ändern. Hier greifen die gleichen Verhaltensmuster.

Katharina Larisch: Bequemlichkeit spielt mit der Zeit keine Rolle mehr, man gewöhnt sich an vieles. Zudem ist der Unterschied zwischen freien und kommerziellen Produkten nicht groß, sobald man die erste Hürde genommen hat. Für die Motivation der ersten Hürde hatten wir ja Klaudia. (lacht)

Klaudia Zotzmann-Koch: Bequemlichkeit spielt eine große Rolle. Aber wenn man sich erst einmal an andere Lösungen gewöhnt hat, sind das die bequemen. Teams oder Zoom installieren? Wozu das denn? BBB und Jitsi laufen im Browser und sind viel niedrigschwelliger.

netzpolitik.org: Habt ihr politische Forderungen?

Katharina Larisch: Aufklärung, Aufklärung, Aufklärung! Ich habe nicht viel Wissen, werde aber mittlerweile als Experte gehandelt frei nach dem Motto: Unter Blinden ist der Einäugige König. Zudem wird Datenschutz zu oft als Ausrede missbraucht, um eigenes Versagen zu verschleiern.

Volker Wittpahl: Der Aussage von Katharina kann ich mich nur anschließen: aufklären und vorleben. Allein die Kenntnis um den Cloud Act und das EuGH-Urteil zum Privacy Shield machen Dich in Diskussionen auf einmal zum Experten, selbst unter studierten Informatiker:innen. Wenn dann noch rauskommt, dass man ein Smartphone mit freiem Betriebssystem nutzt, steht man nicht als digital mündiger Bürger da, sondern entweder in der Nerd- oder Fanatiker-Ecke.

Klaudia Zotzmann-Koch: Die Bildung und das Bewusstsein in der Fläche schaffen, das wäre meine Forderung. Vor allem sollten nicht wieder Digitalkonzerne diejenigen sein, die in die Schulen gehen, da alles voll ausstatten und den Kindern dann ausschließlich die eigenen Lösungen beibringen. Wir brauchen keine auf bestimmte Lösungen dressierten Leute, die nichts hinterfragen, sondern für alle solides Grundwissen, auf dem dann je nach eigenem Berufs- und Lebensweg aufgebaut werden kann.

netzpolitik.org: Wie wollt ihr weitermachen?

Katharina Larisch: Auf meiner to-do-Liste stehen noch Mailverschlüsselung und Passwortgenerator, aber ich versuche auch, Wissen weiterzugeben, beispielsweise durch eine Lehrveranstaltung zur digitalen Gesundheitskompetenz.

Volker Wittpahl: Mein Ansatz ist lebenslanges Lernen: Wenn es neue Dinge gibt, die relevant sind, etwa bei der Nutzung von Messengern, passe ich mein Verhalten an. Ich versuche, Vorbild zu sein, um anderen zu zeigen, wie digitale Mündigkeit gelebt werden kann.

Klaudia Zotzmann-Koch: Auch für mich gilt: Ich möchte selbst weiter lernen und weitergeben, was ich gelernt habe.

netzpolitik.org: Vielen Dank für das Interview und eure Zeit!

---

Katharina Larisch ist Professor für Physician Assistance an der Europäischen Fachhochschule und Fachärztin für Arbeitsmedizin. Sie ist Mitbegründerin und war Medical Lead des Online-Gesundheitsportals netdoktor.de.

Volker Wittpahl ist Ingenieur und Direktor des Instituts für Innovation und Technik in Berlin sowie Professor an der Klaipeda University in Litauen.

Klaudia Zotzmann-Koch ist Podcasterin und Datenschutzexpertin, gibt Workshops zu Medienkompetenz und Privatsphäre. Sie ist Autorin von Krimis, Romanen, Science Fiction sowie verschiedenen Bereichen moderner Medien.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.