Die Wirtschaftssenatorin Franziska Giffey nutzt die Notfallsituation in Berlin, um sich mit der Forderung nach mehr Videoüberwachung zu profilieren. Sie will auch „Künstliche Intelligenz“ einsetzen. Doch mehr Kameras helfen nicht, wenn es eigentlich andere Maßnahmen braucht. Ein Kommentar.
Videoüberwachung der Polizei am Berliner Alexanderplatz. – Alle Rechte vorbehalten IMAGO / Future Image
Nach dem mehrtägigen und noch anhaltenden Stromausfall im Südwesten von Berlin wegen eines Brandanschlags hat die Berliner Wirtschaftssenatorin Franziska Giffey (SPD) mehr Videoüberwachung gefordert. Offenbar geht sie davon aus, dass mehr Kameras eine sinnvolle Konsequenz aus dem viele tausend Haushalte und Unternehmen betreffenden Krisenfall sein oder einen solchen gar verhindern könnten. Der Regierende Bürgermeister Kai Wegner von der CDU sekundierte eilig.
Giffey kündigt zugleich an, die vermehrte Videoüberwachung durch „Künstliche Intelligenz“ ergänzen zu wollen, etwa zur Wärmeerkennung. Vielleicht hat sie sich Kameras vorgestellt, die Wärmebilder aufzeichnen, unterstützt durch eine Software, die solche Bilder analysiert: eine automatische Menschenerkennung gewissermaßen, die auf magische Weise böse Absichten sichtbar macht.
Künstliche Intelligenz
Wir schrieben schon über maschinelles Lernen, bevor es ein Hype wurde. Unterstütze unsere Arbeit!
Nun könnte sich die Wirtschaftssenatorin für die Notfallhilfe und die bessere Versorgung, Unterbringung und Aufklärung von stromlosen frierenden Menschen einsetzen, denn der Stromausfall betrifft auch die Fernwärmeversorgung. Sie könnte sich mehr vorsorgende Gedanken machen, wie künftig bei Katastrophen oder absichtlichen Zerstörungen der Schaden für die betroffenen Menschen und die Wirtschaft minimiert werden kann.
Oder sie kann sich mitten in der Notfallsituation einfallsarm, aber vorhersehbar für mehr Videoüberwachung starkmachen. Schon nach kurzem Nachdenken erscheint das jedoch als keine schlaue Idee. Denn von Stromausfällen sind zumeist auch Kameras und auswertende Computer betroffen. Im Krisengebiet in Berlin waren auch Internet- und Telefonverbindungen gestört.
Videoüberwachung nicht sinnvoll
Videoüberwachung ist nicht geeignet, Anschläge zu erschweren oder gar zu verhindern. Denn die bloße filmende Kamera führt bekanntlich weder zu mehr Sicherheit noch zu mehr Resilienz. Zwar wird zuweilen behauptet, Kameras mit Mustererkennungssoftware könnten Gefährdungssituationen zuverlässig identifizieren oder gar durch ein schnelles Eingreifen nach Alarmierung verhindern. Die Realität sieht aber anders aus: unwissenschaftliche Schönfärberei in Hamburg, auch das Vorzeigebeispiel Mannheim ist keine Erfolgsgeschichte. Es bleiben doch nur Computer, die auf Menschen starren.
Die Sinnhaftigkeit der Forderung nach Videoüberwachung kann also nur darin liegen, bei absichtlichen Sabotagen die Tätersuche zu unterstützen. Allerdings können sich auch nur mäßig begabte Kriminelle sehr leicht unkenntlich machen.
Beim Berliner Stromnetz seien bereits drei Viertel der Leitungen vom Netzbetreiber oder anderen Privaten kameraüberwacht, sagte Giffey. „Was nicht videoüberwacht ist, ist auf öffentlichem Straßenland“. So sei das auch bei der am Samstag sabotierten Kabelbrücke in Berlin, meint die Senatorin. Allerdings wissen ortskundige Berliner, dass dort ein großes Heizkraftwerk an der Wasserkanalseite liegt. Das ist umzäunt und auch bewacht und wäre damit kein öffentliches Straßenland. Und an „gefährdeten Objekten“ ist es ohnehin geltendes Recht, dass Videoüberwachung möglich ist. Denn an solchen „gefährdeten Objekten“ dürfen Bildaufnahmen gemacht und auch aufgezeichnet werden.
Schlechtes Notfallmanagement
Mit fragwürdigen Maßnahmen wie Videoüberwachung kann der Berliner Senat nicht von der Tatsache ablenken, dass die Verwaltung nur ein schlechtes Notfallmanagement zeigte. Die Hilfen seien zu langsam und unvollständig gekommen, der Regierende Bürgermeister hätte sich rar gemacht.
Wer vom Stromausfall betroffen ist, dem nützt eben kein Bild eines Täters, der bei einer Sabotage gefilmt wird. Natürlich muss nach dem Ende der Krisensituation die Tätersuche priorisiert werden. Aber eine große Krise mit vielen betroffenen Menschen verlangt erstmal nach gut organisierter Hilfe und Notfallmaßnahmen, danach nach sinnvoller und bezahlbarer Vorsorge, zumal nicht nur Absicht, sondern auch Katastrophen und Unfälle ein ebenso großes Schadensbild erzeugen könnten.
Politiker neigen dazu, sich in Krisensituationen mit „Gummistiefel-Fotos“ und starken und einfachen Forderungen profilieren zu wollen. Genau das macht Giffey hier. Und eine Großkrise mit Stromausfall bei zehntausenden Haushalten bietet sich für ehrgeizige Politiker einfach an, selbst wenn die Forderung nicht so recht ins eigene Ressort passt und keinen Sinn ergibt. Videoüberwachung, gar mit „Künstlicher Intelligenz“, klingt aber immerhin modern. Bezahlbarer Bevölkerungsschutz und Krisenvorsorge sind hingegen die dicken Bretter, die eigentlich zu bohren wären.
Die halbe Stadt nun kameraüberwachen zu wollen, ist allerdings gar nichts Neues. Denn zur Wahrheit gehört, dass die Berliner Koalition ohnehin seit dem Sommer plant, die Anzahl der festinstallierten Videoüberwachungskameras dauerhaft auszubauen. Auch die automatische Verhaltenserkennung mit „Künstlicher Intelligenz“ war in dem Plan zur Ausweitung der Polizeibefugnisse schon enthalten.
Aktionismus statt solide Politik hat in Berlin eben Tradition. Wie sagte Joseph Weizenbaum so treffend: „Früher hat man dem Computer ein Problem übergeben, wenn man es verstanden hatte, heute ist es andersrum.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der argentinische Präsident Javier Milei baut die Demokratie ab und die Online-Überwachung aus. Jetzt hat die Regierung per Dekret buchstäblich über Nacht den Geheimdienst in eine Super-Überwachungsbehörde umgewandelt. Journalist*innen und Aktivist*innen sind alarmiert.
Immer wieder kommt es in Argentinien bei Demonstrationen zu willkürlichen Verhaftungen und Repressionen. – Alle Rechte vorbehalten IMAGO / ZUMA Press Wire
Die Feierstimmung über das neue Jahr hielt in Argentinien gerade einmal einen Tag an. Am 2. Januar wurde bekannt, dass die Regierung Milei zwei Tage zuvor in den letzten Minuten des alten Jahres das Notstandsdekret 941/2025 erlassen hatte. Das Dekret erweitert die Befugnisse des argentinischen Geheimdienst SIDE (Secretaría de Inteligencia del Estado) deutlich.
Demnach können ab sofort alle Aktivitäten des SIDE „verdeckt“ erfolgen. Agent*innen können zudem Verhaftungen ohne Haftbefehl vornehmen, zur Unterstützung kann der SIDE die Armee für Inlandseinsätze anfordern und Personenregister-Behörden müssen Daten an den Geheimdienst herausgeben.
Das Vorgehen weckt Erinnerungen an die argentinische Militärdiktatur. Argentinien hatte sich jahrelang vorbildlich darum bemüht, die Diktatur aufzuarbeiten, Milei dreht das Rad nun wieder zurück. „Dieses Dekret führt zur bisher gravierendsten Veränderung, da den Geheimdiensten seit der zivil-militärischen Diktatur keine derartigen Befugnisse eingeräumt wurden“, zeigt sich Beatriz Busaniche von der Stiftung Vía Libre besorgt.
SIDE verteidigt die Notwendigkeit der Reform auf X mit Verweis auf „die aktuellen globalen Herausforderungen und die neue Rolle, die die Argentinische Republik unter der Führung von Präsident Javier G. Milei auf der Weltbühne einnimmt“. Laut der Stellungnahme des Geheimdienstes, die auch die Tageszeitung Pagina 12 veröffentlichte, streben SIDE und Mileis Regierung „ein modernes, professionelles und effizientes nationales Nachrichtendienstsystem [an], das den höchsten demokratischen und republikanischen Standards entspricht.“
Diesem Ziel seien laut Regierung auch jene Teile der Reform verpflichtet, die den Umbau weiterer Behörden vorsehen. Die Regierung brüstet sich, damit der staatlichen Verfolgung von Journalist*innen und Bürger*innen ein Ende zu setzen.
Die Bürgerrechtsorganisation Centro de Estudios Legales y Sociales (CELS) kritisiert, dass es genau anders herum sei: Durch den Wechsel des Schwerpunkts des SIDE vom Schutz der nationalen Sicherheit auf Spionageabwehr insbesondere im Inland erlaube die Reform die Verfolgung von Aktivist*innen, Journalist*innen, Indigenen und anderen Regierungskritiker*innen überhaupt erst.
Diese Schlussfolgerung zieht auch Via Libre. Zudem erschwere der komplexer werdende Zuschnitt der Behörden und Sekretariate eine Kontrolle des Geheimdienstes, beklagt Busaniche.
Wie Javier Milei die Zivilgesellschaft systematisch schwächt
Die Reform steht für die wachsende Repression und Überwachung durch die argentinische Regierung seit dem Amtsantritt Mileis im Dezember 2023.
Der rechts-libertäre Politiker trat als Außenseiter zu Wahl an und kam nur durch die Unterstützung rechter Parteien an die Macht. Seither hat seine Regierung die Zivilgesellschaft in Argentinien systematisch geschwächt.
So schränkte die Regierung gleich zu Beginn das Recht auf öffentlichen Straßenprotest stark ein („Ley Antipiquetes“, zu Deutsch: Kundgebungsverbot). Es folgten Gesetze, die vordergründig den Drogenhandel bremsen sollen, dabei jedoch auch Aktivisti treffen („Ley Antimafia“) sowie eine Reform der Online-Überwachung („Ley Ciberpatrullaje“). Außerdem erhielt die Polizei eine neue „KI-Einheit“, die Unidad de Inteligencia Artificial Aplicada a la Seguridad, UIAAS.
Zivilgesellschaft ist unvorbereitet
Die Zivilgesellschaft Argentiniens ist insbesondere auf die zunehmende Online-Überwachung nicht ausreichend vorbereitet. Weil es keine Netzneutralität gibt, sind die Meta-Plattformen WhatsApp und Instagram weit verbreitet, Signal ist hingegen kaum bekannt, Mastodon schon gar nicht.
Andere Organisationen wie CELS und Amnesty International Argentina sind zwar größer, haben jedoch alle Hände voll damit zu tun, die fortwährenden Attacken aus der Casa Rosada, dem Regierungssitz in Buenos Aires, gegen die Bevölkerung abzuwehren, Klagen einzureichen und Gerichtsprozesse zu führen. Dabei können sie durchaus Erfolge vorweisen. So erzielten CELS und andere Organisationen im vergangenen Jahr einen juristischen Sieg, als ein Bundesverwaltungsgericht das Kundgebungsverbot nach zwei Jahren für verfassungswidrig erklärte.
Gesichtserkennung wird ausgeweitet
Zivilgesellschaftliche Klagen führten im Jahr 2023 auch zu einem Verbot von Gesichtserkennung im öffentlichen Raum (Sistema de Reconocimiento Facial de Prófugos, SRFP). Allerdings gilt dieses Verbot nur für die damalige Anwendung in der argentinischen Hauptstadt Buenos Aires. In anderen Städten kommt die Gesichtserkennung weitgehend ungehindert zum Einsatz.
Auf der Karte „Surveillance under Surveillance“ vom Chaos Computer Club Hamburg sind die Orte von Kamera-Überwachung weltweit kartografiert, auch argentinische Städte sind darunter. Wie viele Kameras es genau in Argentinien gibt und welche davon Gesichtserkennung einsetzen, ist unbekannt. Verschiedene Organisationen kommen dabei zu unterschiedlichen Einschätzungen.
Und laut der „SurveillanceWatch“ operieren in Argentinien aktuell 25 internationale Unternehmen der Überwachungs-Industrie. Unter ihnen sind Unternehmen wie Cellebrite, Clearview AI und Hikvision, deren Anwendungen in anderen Ländern für massive Kritik sorgen. In Buenos Aires wird die Gesichtserkennung im öffentlichen Raum wahrscheinlich schon bald wieder angewandt, die dortige Staatsanwaltschaft hat im vergangenen Jahr Clearview-Lizenzen eingekauft.
Tausende Opfer durch Polizeigewalt
Die zunehmende Überwachung ist für die meisten Menschen in Argentinien nicht das größte Problem. Sie sind vielmehr damit beschäftigt, gegen die alltägliche Polizeigewalt sowie die Kürzungen im Gesundheits- und Bildungswesen zu kämpfen. Und auch die hohe Arbeitslosigkeit und steigenden Lebenshaltungskosten lassen die staatliche Überwachung und Repression in den Hintergrund rücken. „Sie verhaften uns sowieso, wenn sie wollen“, lautet der Tenor der politisch Aktiven.
Tatsächlich kommt es bei Demonstrationen regelmäßig zu willkürlichen Verhaftungen. Die Personen werden zwar meist schnell wieder freigelassen, harmlos ist der Kontakt zur argentinischen Polizei aber keineswegs.
Immer wieder erschießen Polizist*innen Menschen. Im Sommer 2025 töteten Beamt*innen in Buenos Aires ein siebenjähriges Kind; zuletzt kamen in den Tagen nach Weihnachten zwei Personen ums Leben. CORREPI zählt seit Ende 2023 mehr als 1.000 Tote und 1.500 Verletzte – inklusive Pressevertreter*innen – als Opfer staatlicher Gewalt.
Für 2024 hat CORREPI errechnet, dass die Stadtpolizei von Buenos Aires wegen ihrer Schusswaffeneinsätze zu den tödlichsten in ganz Argentinien zählt. Eine Polizeieinheit, mit der übrigens die Bayerische Landespolizei kooperiert, ohne das verwerflich zu finden.
Opposition will Dekret abwehren
Durch die Reform der Regierung Milei wird die Überwachung, die Repression und die Gewalt im Land weiter zunehmen. Die neue KI-Einheit UIAAS untersteht zwar dem Sicherheitsministerium und die Gesichtserkennung steht auf der Agenda der Staatsanwaltschaft der Hauptstadt. Doch es muss davon ausgegangen werden, dass es auch Verknüpfungen zur SIDE geben wird.
Manuel Tufró, Direktor für Justiz und Sicherheit bei CELS, ist wenig optimistisch, dass Parlament, Justiz und Zivilgesellschaft Transparenz herstellen können: „Es wird äußerst schwierig sein, die eingesetzten Werkzeuge der Gesichtserkennung, Spyware, KI und Techniken wie der Cyber-Patrouille zu ermitteln“, sagt Tufró, „da der Erlass festgelegt hat, dass alle Aktivitäten im Zusammenhang mit der SIDE ‚verdeckt‘ erfolgen müssen.“
Die parlamentarische Opposition will das jüngste Dekret zur Geheimdienst-Reform im Kongress abwehren. Wann und ob ihr das gelingt, ist allerdings offen. Nach der Zwischenwahl im Oktober ist sie geschwächt. Zugleich verfügt aber auch Milei über keine eigene Mehrheit im Kongress. Außerdem ist Sommerpause in Argentinien, der Kongress tagt erst wieder im März.
Am vergangenen Montag haben daher einige Abgeordnete eine gerichtliche Intervention beantragt. Sie fordern, dass das Dekret früher für verfassungswidrig erklärt wird, und ersuchen eine einstweilige Verfügung zu seiner sofortigen Aussetzung.
Internationale Aufmerksamkeit könnte diesem Widerstand guttun, damit dieses Dekret nicht wie das Kundgebungsverbot zwei Jahre in Kraft bleibt, bevor es dann gerichtlich annulliert wird.
Nina Galla ist Pressesprecherin für AlgorithmWatch in Berlin. In ihrer Freizeit beschäftigt sie sich mit den Auswirkungen von KI in der Schule und schreibt seit 2025 über die digital-politische Entwicklung in Argentinien.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
PayPal ist im Frühjahr ins Werbegeschäft eingestiegen. Der Finanzdienstleister hortet umfangreiche persönliche Informationen über Menschen, die ihn nutzen, und stellt solche Daten Werbetreibenden zur Verfügung. Ein juristisches Gutachten zeigt nun, dass das illegal ist.
Schauspieler Will Ferrell nutzt PayPal angeblich sogar auf dem Flohmarkt – weil er seine Daten bei dem Unternehmen sicher verwahrt glaubt, so eine Werbekampagne. – Alle Rechte vorbehalten Screenshot aus PayPal-Werbevideo
Mit Paypal kann man jetzt auch in Geschäften zahlen – und sogar auf dem Flohmarkt, wie Schauspieler Will Ferrell in einer Werbekampagne zeigt. In der deutschen Version sagt er zu einem kleinen Jungen, der ihn beim Kauf einer Actionfigur über den Tisch zieht: „Wenigstens meine Daten sind sicher vor euch Abzockern.“ Doch die Aussage ist nicht wahr.
Die Finanztransaktionsplattform PayPal positioniert sich in einer Werbekampagne als Alternative zum Bargeld. Dabei gibt es einen drastischen Unterschied zwischen beiden Zahlungsmitteln. Bargeld wird zwar auch getrackt, aber die Daten, die Paypal erhebt – und an Werbetreibende verkauft – sind viel umfassender als nur die Info, welche Summe von wo nach wo wandert.
Das Netzwerk Datenschutzexpertise hat die Datenschutzpraxis von Paypal im Rahmen eines juristischen Gutachtens untersucht und kommt zu einem vernichtenden Ergebnis. Das Unternehmen erfasst, was du zu welchem Preis kaufst, von welchem Unternehmen du es erwirbst, und wohin du es liefern lässt. Es speichert Standortdaten, die Liste der Apps auf deinem Telefon, welches Gerät und welchen Browser du benutzt und welche Websites du besuchst.
PayPal speichert teils sogar die sexuelle Orientierung
Das Unternehmen erlaubt sich laut Datenschutzerklärung auch, deinen Fingerabdruck zu erfassen, dein Einkommen, deine Telefon- und Steuernummer, deinen Beruf, dein Alter, dein Geschlecht, deine Kreditwürdigkeit und deine finanzielle Situation. In dem Datensatz, den der Konzern über dich anlegt, sind – so die Datenschutzerklärung – womöglich auch religiöse Überzeugungen, politische oder philosophische Ansichten, Behinderungen und die sexuelle Orientierung vermerkt, sowie „Daten aus den von Ihnen verknüpften Drittkonten“.
PayPal kann laut dem Gutachten extrem sensible Informationen sammeln, weil auch Zahlungen an Gesundheitseinrichtungen oder Anwält*innen, sowie Spenden an politische Parteien und religiöse Institutionen über die Plattform abgewickelt werden. PayPal speichert die Daten, so lange das Konto existiert und zehn Jahre darüber hinaus.
Seit dem Frühjahr ist PayPal auch im Werbe-Business
Das Netzwerk Datenschutzexpertise schreibt in seinem Gutachten: „Die hohe Aussagekraft der Finanztransaktionsdaten begründet ein hohes Nutzungs- und auch ein hohes Missbrauchspotenzial“. So sei damit beispielsweise manipulative Werbung möglich und auch eine diskriminierende Preisgestaltung.
Dabei muss Zahlungsverkehr in Deutschland und Europa eigentlich anonym ablaufen. Ausnahmen von der Regel sind nur erlaubt, wenn sie eindeutig nötig und gut begründet sind.
PayPal speichert sensible Daten ohne explizite Einwilligung
Laut des Gutachtens informiert PayPal seine Kund*innen nicht hinreichend darüber, wofür, an wen und auf welcher Rechtsgrundlage Daten weitergegeben werden und speichert die Daten unerlaubt lange. Zudem geht das Unternehmen davon aus, dass Menschen mit der Nutzung des Dienstes in die Datenverarbeitung einwilligen. Dabei muss diese Einwilligung – spätestens, wenn es um sensitive Daten, Marketing- und Werbezwecke oder die Weitergabe von Daten geht – tatsächlich bewusst, informiert, genau definiert und unabhängig von der Verfügbarkeit des Dienstes gegeben werden, um rechtmäßig zu sein. Die Kund*innen müssen wissen, wozu sie da eigentlich zustimmen.
Der Konzern bietet Unternehmen die personenbezogenen Informationen laut dem Gutachten in aggregierter Form an. Die Firmen können dann über PayPal auf Webseiten, Apps und Smart-TVs Werbung platzieren, die angeblich die Zielgruppe sehr genau erreicht. Auch der direkte Verkauf der Daten an Werbefirmen war zumindest mal geplant. Über die aktuelle Umsetzung dieses Projekts in Europa ist dem Netzwerk Datenschutzexpertise nichts bekannt.
Einen Teil der Informationen sammelt PayPal angeblich, um betrügerische Kontozugriffe zu verhindern. Im August 2025 waren die Anmeldedaten zu 15 Millionen PayPal-Konten im Darknet aufgetaucht, woraufhin die Zahl der Betrugsversuche massiv in die Höhe ging.
Die Liste der Datenempfänger umfasst 600 Unternehmen
PayPal behält sich vor, die erfassten Daten weiterzugeben, beispielsweise an Behörden, andere Finanzinstitute, Inkassobüros, Auftragsverarbeiter und Partnerunternehmen. Eine Liste mit möglichen Datenempfängern umfasst 600 Firmen aus vielen Staaten der Welt.
Die Datenschutzerklärung, die 7.000 Wörter umfasst, lässt „nicht erkennen, mit welchen Daten auf welcher Rechtsgrundlage welche Zwecke verfolgt werden“, so das Netzwerk Datenschutzanalyse. Problematisch sei, dass sowohl die Kategorien der Daten als auch die Arten der Verarbeitung nur beispielhaft und nicht abschließend aufgeführt werden.
Auch die AGB seien ausgesprochen nutzerunfreundlich. Sie umfassen 17 Dokumente, wobei für Kund*innen nicht ersichtlich sei, welche für sie relevant sind. Hinzu kommen 20.000 Wörter Nutzungsbedingungen ohne Inhaltsverzeichnis. Mit der Eröffnung eines Kontos erklären sich Nutzer*innen mit all diesen Bedingungen einverstanden.
So widerspricht man der Datennutzung zu Werbezwecken
Die Nutzung der Daten zu Werbezwecken ist in PayPal-Konten voreingestellt. Wer das abschalten möchte, muss auf der Website erst auf „Daten und Datenschutz“ und dann auf „personalisierte Angebote und Werbung“ klicken. Dort lässt sich ein Regler zwischen einem grauen und einem schwarzen Feld hin- und herbewegen. Welche die datenschutzfreundliche Option ist, wird nicht erklärt. Mit Entwicklertools lässt sich im Browser allerdings die Antwort von PayPal auf verschiedene Einstellungen auslesen. Regler links, Feld grau hinterlegt, gibt als Response: DENY_CONSENT. Diese Einstellung verweigert also wohl die Zustimmung zur Werbenutzung. Der mögliche Opt-Out steht im Widerspruch zur Datenschutzgrundverordnung, wonach die Voreinstellung eine möglichst geringe Datenverarbeitung („Privacy by Default“) vorsehen muss.
Als besonders problematisch sieht das Netzwerk Datenschutzexpertise, dass die personenbezogenen Daten auch nach außerhalb der EU übermittelt werden. Der Hauptsitz von PayPal ist in den USA, dort sind die Daten deutlich schlechter geschützt als in Europa. Zudem ist das Unternehmen gezwungen, Daten an US-Behörden herauszugeben, wenn diese sie anfordern.
Die Datenschutzexpert*innen sehen ihre Analyse der Datenschutzpraxis von PayPal nur als exemplarischen Fall. „Es ist zu vermuten, dass die bei PayPal festgestellten Mängel in ähnlicher Form bei anderen Unternehmen in diesem Bereich bestehen“, schreiben sie. BigTech-Unternehmen würden zunehmend versuchen, auf Finanztransaktionsdaten zuzugreifen, um diese mit Daten aus anderen Anwendungen zu kombinieren und kommerziell zu nutzen. Deshalb fordern die Datenschutz-Expert*innen, die Nutzung von Finanzdaten für Werbezwecke generell zu verbieten.
Laut Heise Online prüft Paypal das Gutachten derzeit. Es lässt sich wie folgt zitieren: „Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen.“
Update, 13.12.2025, 14.08 Uhr: Erklärung hinzugefügt, welche Reglerstellung die Nutzung von Daten für Werbung untersagt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die anlasslose Massenüberwachung der DNS-Anfragen aller Kunden von Vodafone ist vorerst abgewendet. Der Netzbetreiber wehrte sich dagegen erfolgreich mit einer Verfassungsbeschwerde. Klaus Landefeld von Branchenverband eco bewertet die Methode als „völlig ungeeignet“. Er hofft, dass sie dauerhaft verboten wird.
Ende November erging eine Eilentscheidung des Bundesverfassungsgerichts zu einer neuen Form der Massenüberwachung: Das Gericht stoppte einen Amtsgerichtsbeschluss, die einem Netzbetreiber das Mitprotokollieren von Billionen DNS-Anfragen vorgeschrieben hätte.
Das Amtsgericht Oldenburg hatte Vodafone zur Umsetzung von Überwachungsanordnungen verpflichtet, die monatlich sage und schreibe 12,96 Billionen DNS-Anfragen betroffen hätte. Der DNS-Server des Anbieters sollte überwacht werden, gestützt auf Paragraph 100a der Strafprozessordnung. Außerdem sollten die zur Identifizierung des Anschlussinhabers notwendigen Kundendaten mitgeliefert werden.
Doch der Telekommunikationskonzern wehrte sich und setzte sich nun vorerst durch. Die Vollziehung des amtsgerichtlichen Beschlusses ist für sechs Monate ausgesetzt, auch neue Anordnungen darf es nicht geben.
Das Bundesverfassungsgericht sieht „jedenfalls massenhafte Eingriffe“ in das Fernmeldegeheimnis der vierzig Millionen Vodafone-Kunden und erkennt Anhaltspunkte, dass die DNS-Massenüberwachung verfassungswidrig sein könnte. Viele völlig unverdächtige Kunden gerieten in die Überwachung und könnten sich nicht dagegen wehren. Denn die Überwachung findet heimlich statt, weswegen weder vorbeugender noch abwehrender Rechtsschutz möglich sei.
Wer ruft was auf?
Vodafone sollte DNS-Anfragen zu einem bestimmten Server abfangen, über den aber keine näheren Angaben bekannt sind. Das Domain Name System (DNS) übersetzt den Namen einer Website wie beispielsweise netzpolitik.org in Nummern (hier IPv4 144.76.255.209). Das könnte man mit den früher gebräuchlichen Telefonbüchern vergleichen. Allerdings wird nicht minutenlang gestöbert und geblättert, sondern die Namensauflösung wird in einem Bruchteil einer Sekunde geliefert.
Die Namensauflösung erfolgt technisch mehrstufig. Typisch ist heute die Server-assistierte iterative Form: Ein DNS-Stub-Resolver fragt den lokalen rekursiven DNS-Server, der die Anfrage (iterativ von der Wurzel abwärts) bis zum gesuchten Domain-Namen weiterleitet. Gebräuchliche DNS-Resolver und DNS-Server beschleunigen diese Namensauflösung dadurch, dass sie lokale DNS-Caches als Zwischenspeicher nutzen.
Zieht man den Vergleich mit dem Telefonbuch heran, dann wollten die Ermittler also eine Art Zielwahlüberwachung der gesamten Telefonie, um gezielt für eine vorgegebene Zieltelefonnummer herausfinden, wer alles diese Nummer angerufen hat.
13 Billionen DNS-Anfragen pro Monat mitprotokollieren
Vodafone gab dem Gericht die Anzahl von etwa fünf Millionen DNS-Server-Anfragen pro Sekunde im Anordnungszeitraum von einem Monat an. So errechnen sich die 12,96 Billionen DNS-Anfragen monatlich.
Massenüberwachung
Wir berichten unter dem Stichwort Massenüberwachung über Technologien, die dazu eingesetzt werden, massenhaft Daten über Menschen festzuhalten und auszuwerten. Unterstütze unsere Arbeit!
Um eine so große Anzahl für eine Überwachungsanordnung festzuhalten, müsste ein erheblicher Aufwand betrieben werden. Und je größer die eigene DNS-Infrastruktur des Netzbetreibers ist, desto aufwendiger wird es. Die Technik zur Protokollierung darf aber dabei die eigentliche Funktion, nämlich die schnelle Namensauflösung, nicht bremsen.
Das bedeutet einen großen organisatorischen und personellen Aufwand. Die DNS-Server-Systeme der Anbieter müssten sämtliche DNS-Anfragen aller Kundenanschlüsse daraufhin auswerten, ob diese einen bestimmten inkriminierten Server abfragen.
Klaus Landefeld, Vorstand des IT-Branchenverbandes eco, bewertet die Eilentscheidung des Bundesverfassungsgerichts positiv und hofft auf ein Ende der Überwachungsmethode: „Das war dringend notwendig, um diese neue Idee einer Schleppnetzfahndung im Internet zumindest vorübergehend, hoffentlich aber auch dauerhaft abzuwenden.“
Die Maßnahme sei „völlig ungeeignet“. Denn es müssten „faktisch alle Anbieter von DNS-Resolvern verpflichtet werden“. Doch selbst dann könnten diese Anbieter nur einen Teil der DNS-Anfragen ihren eigenen Kunden zuordnen, da diese auch Resolver von populären Drittanbietern wie etwa Google (8.8.8.8), Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9) nutzten. Und selbst wenn die Methode Erfolg hätte, wäre der immense Aufwand „mit Sicherheit dem Ergebnis nicht angemessen“ und rechtfertigte nicht die „anlasslose Massenüberwachung der DNS-Anfragen aller Kunden“, so Landefeld.
Es drängt sich die Frage auf, weswegen diese offensichtlich wenig geeignete Maßnahme von den Ermittlern überhaupt gefordert wird. „Ich halte es persönlich für einen verzweifelten Versuch, die mangelhafte oder derzeit überhaupt nicht vorhandene Möglichkeit der (Rück-)Auflösung von Carrier-NAT durch die vorgeschaltete DNS-Abfrage zu umgehen“, sagt Landefeld. Die Ermittler wollen demnach an private IP-Adressen gelangen, auch wenn dies für die Netzbetreiber einen außerordentlichen Aufwand bedeutet und Millionen Kunden betroffen wären. Denn der DNS-Server vom Anbieter sieht vielleicht die private IP-Adresse des Kunden und nicht nur die öffentliche IP-Adresse, die sich eben viele Kunden (Carrier-grade NAT) teilen.
Es gibt auch andere technische Methoden, um an die gesuchte private IP-Adresse zu kommen, die bei der Verhältnismäßigkeitsprüfung nicht schon auf der ersten Stufe scheitern. Das sieht auch das hohe Gericht so. Landefeld fielen ebenfalls Alternativen ein, die ohne anlasslose Massenüberwachung auskämen. Den Ermittlern waren aber offenbar keine anderen Methoden eingefallen.
Wer die gesuchten Verdächtigen sind, ist bisher nicht bekannt. Akteneinsicht hatte der Netzbetreiber von der Staatsanwaltschaft nicht bekommen. Aber schwerwiegende Verfehlungen können es nicht sein. Denn das Bundesverfassungsgericht schreibt, es sei „nicht ersichtlich, dass die hier konkret verfolgten Delikte besonders schwer wögen oder die Ermittlung des Sachverhalts mit anderen Ermittlungsmethoden nicht ebenso erfolgsversprechend sein könnte“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.
Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.
Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.
So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.
Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.
Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.
Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen
Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.
Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.
All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.
Besuche in der Deutschen Botschaft und beim Polo
Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.
Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.
Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.
Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.
Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.
Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.
Eine Gefahr für Europa
Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.
Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.
Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.
Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP. Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.
EU könnte Datenschutz noch weiter abschwächen
Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“
Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.
Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die EU-Staaten fordern ein neues Gesetz zur Vorratsdatenspeicherung, das weit über die alten Gesetze hinausgeht. Das geht aus einem EU-Dokument hervor, das wir veröffentlichen. Praktisch alle Internet-Dienste sollen Daten ihrer Nutzer anlasslos speichern, auch Messenger wie WhatsApp und Signal.
Die anlasslose Vorratsdatenspeicherung ist unverhältnismäßig und rechtswidrig. Mit dieser Begründung haben das Bundesverfassungsgericht und der Europäische Gerichtshof entsprechende Gesetze gekippt.
In Deutschland arbeitet die Bundesregierung an einer neuen Vorratsdatenspeicherung. Laut Koalitionsvertrag sollen Internet-Zugangs-Anbieter „IP-Adressen und Portnummern“ drei Monate lang speichern, „um diese einem Anschlussinhaber zuordnen zu können“.
Die EU-Institutionen arbeiten an einer noch umfassenderen Vorratsdatenspeicherung. Geht es nach den EU-Staaten, sollen alle möglichen Internet-Dienste eine Vielzahl an Daten ein Jahr lang speichern.
Deutsche Befürworter der Vorratsdatenspeicherung fordern, dass Internet-Zugangs-Anbieter IP-Adressen ihrer Kunden speichern müssen. Wenn Ermittler auf eine IP-Adresse stoßen, sollen sie damit den Inhaber des entsprechenden Internet-Anschlusses identifizieren.
Die EU-Staaten gehen weit über Internet-Zugangs-Anbieter hinaus. Die meisten Staaten fordern „einen möglichst breiten Geltungsbereich“ für Internet-Dienste. Einige EU-Staaten fordern explizit eine Vorratsdatenspeicherung für „Over-the-Top-Dienste“. Die Begründung: Nur noch drei Prozent mobiler Nachrichten werden über SMS verschickt, die restlichen 97 Prozent über Messenger wie WhatsApp und Signal. Also sollen auch diese Messenger Daten speichern müssen.
Die EU-Staaten nennen „eine Vielzahl von Dienstleistern“, für die ein neues Gesetz zur Vorratsdatenspeicherung gelten soll. Sie erwähnen explizit „Domain-Registrare, Hosting-Anbieter, Filesharing- und Cloud-Speicherdienste, Zahlungsdienstleister, Anbieter von VPN-Diensten, Kryptowährungshändler, Vermittler von E-Commerce- und Finanzplattformen, Taxi- und Lebensmittellieferdienste und Gaming-Plattformen sowie Automobilhersteller“.
Die meisten dieser Dienste fallen bereits in den Anwendungsbereich der E-Evidence-Verordnung. Die regelt jedoch den anlassbezogenen Zugriff auf bereits vorhandene Daten. Die Vorratsdatenspeicherung verpflichtet zur anlasslosen Speicherung neuer Daten.
Wer, wann, wo, wie, mit wem?
Deutsche Befürworter der Vorratsdatenspeicherung betonen immer wieder, dass es nur um IP-Adressen geht. Schon das deutsche Gesetz soll auch Portnummern umfassen.
Die EU-Staaten finden, dass „Daten zur Identifizierung eines Nutzers“ wie „Teilnehmerdaten und IP-Adressen“ nur die „Mindestdatenkategorie sein sollten“. Einige Staaten wollen auch Seriennummern von Internet-Geräten speichern.
Manche Staaten wollen auch Kommunikations-Verbindungs-Daten speichern. Ermittler sollen in den Daten erkennen, „wer wann, wo und wie mit wem kommuniziert hat“. Das erinnert an die EU-Richtlinie von 2006. Damals mussten Anbieter für jeden Anruf, jede SMS, jede E-Mail und jedes Internet-Telefonat speichern, „wer wann, wo und wie mit wem kommuniziert hat“.
Einige EU-Staaten fordern auch „eine allgemeine und unterschiedslose Vorratsspeicherung“ von Standortdaten. Mobilfunk-Netze wissen immer, wo ein Smartphone ist. Diese Daten sind extrem aussagekräftig und sensibel. Manche EU-Staaten wollen mit diesen Daten vermisste Personen suchen. Andere Staaten betonen, dass „nicht alle Fälle von vermissten Personen eine potenzielle Straftat darstellen“.
Mindestens ein Jahr Speicherfrist
Die alten Gesetze von EU und Deutschland hatten eine Speicherdauer von sechs Monaten. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“. Trotzdem soll das neue neue deutsche Gesetz eine Frist von drei Monaten vorschreiben.
Die EU-Staaten wollen deutlich längere Speicherfristen. Die meisten Staaten fordern „eine Dauer von einem Jahr und in jedem Fall nicht weniger als sechs Monate“. Einige Staaten befürworten noch „längere Aufbewahrungsfristen für komplexe Ermittlungen oder sehr schwere Straftaten“.
Einige Staaten wollen, dass die EU die Aufbewahrungsfristen nur „als Mindestfrist und nicht als Höchstfrist festlegt, damit die Mitgliedstaaten bei Bedarf längere Aufbewahrungsfristen beibehalten können“.
Nicht nur schwere Straftaten
Die Vorratsdatenspeicherung wurde ursprünglich nach den Terroranschlägen am 11. September 2001 eingeführt und mit dem Kampf gegen internationalen Terrorismus begründet. Mittlerweile wird die Vorratsdatenspeicherung oft mit sexuellem Missbrauch von Kindern und Jugendlichen begründet.
Die EU-Staaten betonen jedoch, „dass Metadaten für die Ermittlung praktisch aller Straftaten relevant sein könnten“. Ermittler sollen Vorratsdaten vor allem bei schweren Straftaten nutzen. Was als „schwere Straftat“ gilt, sollen jedoch die Nationalstaaten definieren. Auch „Aspekte der nationalen Sicherheit“ sollen die Staaten ohne EU regeln.
Neben schweren Straftaten fordern die Staaten die Nutzung von Vorratsdaten gegen „alle Straftaten, die im Cyberspace oder unter Verwendung von Informations- und Kommunikationstechnologie begangen werden“.
Die meisten Staaten befürworten „die Einbeziehung von Straftaten, die überwiegend online begangen werden (Stalking, Hassverbrechen usw.), auch wenn das Strafmaß moderat ist, aber der Mangel an Daten die Ermittlungen praktisch unmöglich machen würde“.
Verhältnismäßigkeit neu bewerten
Das Rats-Dokument fasst zusammen, warum die alte Vorratsdatenspeicherung rechtswidrig war: „Sie hat die Verhältnismäßigkeitsprüfung nicht bestanden, da sie pauschal alle Personen und alle elektronischen Kommunikationsmittel sowie alle Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahme erfasst hat.“
Mit der neuen Vorratsdatenspeicherung sollen mehr Anbieter mehr Daten länger speichern, die Ermittler für mehr Zwecke verwenden dürfen. Wie das rechtskonform gehen soll, bleibt offen.
Einige Staaten fordern, die Rechtsprechung der Gerichte neu zu interpretieren. Sie wollen „die Notwendigkeit und Verhältnismäßigkeit angesichts der technologischen Entwicklungen und der sich wandelnden Begehungsweisen von Straftaten neu bewerten“.
Gesetzesvorschlag 2026
Die meisten EU-Staaten fordern ein neues EU-Gesetz zur Vorratsdatenspeicherung. Die EU-Kommission arbeitet bereits daran.
Nach Angaben der Kommission könnte sie „Ende des ersten Halbjahres 2026“ einen Gesetzesvorschlag präsentieren.
Hier das Dokument in Volltext:
Classification: Limite
Date: 27 November 2025
Place: Brussels
From: Presidency
To: Delegations
Document: WK 16133/2025 INIT
Presidency Outcome Paper – Future rules on data retention in the European Union
1) Introduction
On 25 September 2025, the Danish Presidency organised a meeting of the Working Party on Judicial Cooperation in Criminal Matters (COPEN). The purpose of the meeting was to continue discussions on a possible design for a future EU legal framework on data retention and to contribute to the Commission’s impact assessment, by identifying the main priorities of the Member States in this area, in particular in light of the requirements laid down in the case-law of the Court of Justice of the European Union (CJEU).
During the meeting, the Commission provided an update on their work on the impact assessment, including a presentation of the preliminary results of the call for evidence and the public consultation. The Commission reported that the response rate to the general open consultation had been very high and thus a big success. On the targeted consultation, the Commission summarised the input received from Member States and asked for it to be supplemented by more information regarding electronic data used for criminal investigations. The Commission is planning to finalise the impact assessment in the first quarter of 2026. If the result of the impact assessment pointed in the direction of a legislative proposal, that proposal could, according to the Commission, be presented at the end of the first semester of 2026.
During the exchange of views, most Member States reiterated their support for future EU legislation in this area. In this regard, most Member States referred to the need to remain within the limits defined by the CJEU, while some stressed the need to go beyond mere codification of the case-law and thought that necessity and proportionality should be re-assessed in the light of evolving technologies and developments in the way crimes are committed. Many considered that the overall proportionality of the retention regime could only usefully be ensured through access level and through additional safeguards. Moreover, Member States emphasised that certain elements should remain within their national competence, such as the definition of what constitutes ’serious crime‘. Also, aspects related to national security should be exempt from the scope of any future EU legislation on data retention. This would mean that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security would have to be exempt from future EU legislation, regardless of which national authority requested access.
At the end of the meeting, the Presidency invited Member States to send their contributions in writing based on the guiding questions outlined in the Presidency’s discussion paper, WK 11640/2025.
2) Background and context
For more than a decade, the European Union has not had a common set of rules regulating the retention of personal data for the purpose of the investigation, detection and prosecution of serious crime. On 8 April 2014, the Data Retention Directive in force at the time (Directive 2006/24/EC)[1] was declared invalid ab initio by the CJEU in the landmark judgment in joined cases C-293/12 and C-594/12, Digital Rights Ireland and Others.[2] In that judgment, the CJEU found that the Directive violated Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, i.e. the right to respect for private and family life and the right to the protection of personal data. Even though the CJEU found that the Directive had a legitimate aim, it did not pass the proportionality test, given that it covered in a generalised manner all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation, or exception being made in the light of the necessary objective of fighting serious crime.
Since the Directive was declared invalid, the CJEU has developed and further refined its case-law on Member States‘ access to retained and stored data for the purpose of fighting serious crime.[3] In the absence of a harmonised EU legal framework, Member States have had to navigate complex legal terrain to ensure that their national laws align with the CJEU’s standards on necessity and proportionality, as well as privacy and data protection safeguards. In the Council, discussions of the consequences of the jurisprudence have taken place since 2014 in various fora, i.e. JHA Council meetings, but also in more detail in the COPEN Working Party.
In June 2023, the Swedish Presidency, together with the European Commission, launched a High-Level Group on access to data for effective law enforcement (HLG), aiming to stimulate the discussion and open it to other relevant stakeholders. The HLG issued its concluding report in November 2024[4], in which the HLG confirmed that one of the main areas of access to data for law enforcement purposes is data retention. This was reiterated by the Council conclusions of 12 December 2024 on access to data for effective law enforcement, which invited the Commission to present a roadmap for the implementation of relevant measures to ensure the lawful and effective access to data for law enforcement.[5] Furthermore, in its conclusions of 26 June 2025, the European Council invited the EU Institutions and the Member States to take further action to strengthen law enforcement and judicial cooperation, including on effective access to data for law enforcement purposes.[6]
During the discussions at the informal delegates‘ meeting of the Coordinating Committee in the area of police and judicial cooperation in criminal matters (CATS) in Copenhagen on 1-2 September 2025, many delegates stressed the importance of a timely Commission proposal for a harmonised set of rules on data retention in order to ensure that law enforcement authorities across the EU have effective access to data when investigating and prosecuting organised crime.
Within this context, the work done in the COPEN Working Party during the Danish Presidency has focused on contributing to this goal, by ensuring that the Member States‘ approaches and priorities are identified and taken into account in the Commission’s impact assessment, following up on the work done by the Polish Presidency and in full coordination with the other communities concerned by the topic of access to data for law enforcement (i.e. the Standing Committee on operational cooperation on internal security (COSI) and the Horizontal Working Party on Cyber Issues (HWPCIs)).
3) Summary of the Member States‘ remarks
Following the COPEN Working Party meeting on 25 September 2025, the Danish Presidency has received written contributions from fifteen Member States[8] and the EU Counter-Terrorism Coordinator (EU-CTC) with reference to the questions outlined in the Presidency discussion paper prepared for that meeting (WK 11640/2025). The contributions have been compiled in their full length in document WK 13500/25 and were distributed to Member States on 31 October 2025. In the following, the Presidency seeks to summarise both the written contributions and the oral comments made during the meeting in order to provide an overview of the Member States‘ main positions in this area. Hence, the summary reflects the Presidency’s reading of and selection from the inputs provided and does not in any way prejudge the official or final position of Member States.
Support for a new legislative framework
Member States highlight that stored traffic and location data are particularly relevant for the effective investigation and prosecution of criminal offences that leave few traces other than such data (e.g. cases regarding the acquisition, dissemination, transmission or making available online of child sexual abuse material[9]), and thereby minimise the risk of systemic impunity. With relevant data, investigators can get a clear picture of the criminal offences committed. They emphasise that evidence is not always incriminating, but in many cases, it is exculpatory and can lead to an acquittal. For this reason, some Member States believe it is appropriate to provide for new rules which include general data retention and which are accepted by the CJEU.
Most Member States express support for a new legislative framework at EU level, highlighting the need for harmonised rules to address the fragmentation after the 2006 Directive was declared invalid in 2014. However, this support is expressed with cautionary remarks concerning the need to incorporate elements to guarantee proportionality and necessity as well as robust safeguards against abuse. Some Member States emphasise the limitations imposed in particular by the Digital Rights Ireland judgment and the need to avoid indiscriminate retention, while a few Member States explain that they do not have a formal position yet on the need for new legislation on data retention at EU level. The EU-CTC is in favour of establishing a harmonised EU regime on data retention that is technology-neutral and future-proof and advocates for the use of standardised formats for data retention.
Most Member States recall that safeguarding national security falls within the remit of their competence and this area should therefore be excluded from the scope of any future EU legal framework on data retention. According to certain Member States, the framework should be defined in such a way as not to impede the exercise of their competence in the area of national security. This implies that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.
In addition, some Member States also mention the importance of aligning future data retention rules with existing EU regulations which provide law enforcement authorities access to retained data, mainly the e-Evidence Regulation[10], but also others, such as regulation in the field of consumer protection.[11]
Scope of service providers
Regarding the service providers that should be covered by the obligation to retain data, most Member States express general support for future legislation to have the broadest possible scope of application, including the possibility of adapting the list to future technological and market developments.
More concretely, some Member States and the EU-CTC agree that over-the-top (OTT) services should be subject to retention obligations due to their dominance in communications (approximately 97% of mobile messages are currently sent via OTTs, with traditional SMS and MMS making up only about 3% of messages[12]). Nevertheless, some Member States mentioned that the impact which such an extension would have on OTT business models and that the related costs should be taken into account. Further to the general reference to OTTs, Member States provided detail on a wide range of service providers to be included in a future legal framework, such as domain name registries, hosting providers, file sharing and cloud storage services, payment service providers, providers of VPN services, cryptocurrency traders, e-commerce and financial platforms intermediaries, taxi and food delivery services and gaming platforms, as well as car manufacturers, most of which are already included in the scope of the e-Evidence Regulation.
Regarding alignment of services with the e-Evidence Regulation, several Member States point out that it would be useful to include at least the same scope of services in a future legal framework on data retention to ensure the full effectiveness of access rules under the e-Evidence Regulation.
Data to be retained
Regarding the data to be retained, most Member States mention that data to identify a user should be the minimum data category to be included in future legislation, such as subscriber data and IP addresses. Furthermore, metadata associated with communications (traffic and location data) should be included, with content data clearly excluded. Some Member States also mention data to identify the destination and service recipient’s communication equipment in order to determine the location of mobile communication equipment.
As regards the possibility of imposing a general and indiscriminate data retention obligation on telecommunication providers in order to locate missing persons, most Member States consider that location data is crucial in such cases, with some expressing support for including a general and indiscriminate retention of such data for the purposes of conducting search operations and rescuing people, given how highly effective this is, while others consider that such a retention obligation would need to be finely tuned since not all cases of missing persons involve a potential criminal offence.
Targeted retention
On the benefits of targeted data retention for traffic and location data, Member States noted that the aim of targeting measures would be to provide proportionality and to limit interference with individuals‘ privacy, as data should only be retained according to clearly defined criteria, in line with the CJEU’s case-law.
On the shortcomings, Member States generally agree that targeted data retention based on geographical criteria would be technically challenging to implement (and even impossible for some), due to the current configuration of providers‘ networks, which does not allow for restriction of data retention to a pre-defined area, while being very costly for service providers. In addition, Member States consider that targeted data retention would be insufficient to achieve a good outcome for the investigations, since law enforcement authorities will not always know in advance by whom, when, and where a crime is going to be committed.
Moreover, retention based on geographical or personal criteria could be easily circumvented e.g. by criminals using other persons‘ identities or shifting their criminal activities to areas not covered by data retention obligations. Targeted data retention limited to data of persons with a criminal history would not account for first-time offenders as well as foreign offenders (not included in national databases). Furthermore, reliance on criminal statistics would risk not accounting for areas where crimes are prepared or concealed or for crimes that cannot easily be linked to a certain location such as financial crimes. As a consequence, such targeted retention would not meet the needs to effectively investigate a number of crimes including organised crime, cybercrimes or terrorism.
For some Member States, targeted retention could also raise constitutional issues because of risks of discrimination and the presumption of innocence. Some Member States also expressed concerns that applying such targeted retention would lead to unequal protection of victims depending on where the crime is committed (e.g. murder in a remote area outside the targeted geographical area) and potentially hamper the early stages of investigations in relation to unknown suspects. In these cases, the lack of data to identify a potential perpetrator could result in delays in time-sensitive investigations where there is a potential risk to life.
Several Member States also point to the high complexity of designing and implementing such a targeted retention regime, which would need to define all relevant criteria capturing future criminal behaviour based on historical data and would need to be constantly updated (creating additional burden for companies).
Instead, several Member States and the EU-CTC recommend working on a system that allows for an adequately graduated and differentiated retention regime, with limitations defined in terms of data categories and retention periods, accompanied by strengthened security requirements and strict access rules and purpose limitations, user information, complaint mechanisms and legal remedies as well as general oversight. Some Member States also point out that the CJEU has not ruled out the use of criteria other than those mentioned (i.e. geographical or personal) to define data retention obligations.
Expedited retention orders (quick freeze)
While Member States recognise expedited retention (known as a ‚quick freeze‘), as a relevant tool allowing for the immediate preservation of data upon notification of a crime, it is considered insufficient to guarantee a good outcome for an investigation. Quick-freeze obligations should therefore complement, but not replace, a data retention regime.
The reasoning behind this is that the tool is reactive, not preventive. The event under investigation would have to have taken place before the quick freeze is utilised. Furthermore, in the absence of a general retention obligation, the risk that the request might arrive when the data has already been deleted increases exponentially.
Some Member States would support the regulation of quick-freeze measures in an EU instrument, with some considering that regulation of quick freeze should cover not only the scope of data to be accessed, but also the conditions imposed on the requesting authority, taking into account the degree of interference with privacy.
Use of traffic and location data retained for marketing and billing purposes
In some Member States, the preservation regime relies on service providers storing data for commercial purposes. In others, law enforcement authorities may only access this type of data from telecommunication providers, and in certain Member States, data retained for marketing and billing purposes serves as the basis for requests directed at providers not subject to the general data retention obligation, such as operators outside the traditional telecom sector. A common feature of these regimes is that the retention period can be very short, typically between a few days or weeks, or three to six months, depending on the Member State, and the data available may be incomplete.
Some Member States indicate that companies either retain a different range of data for their own purposes, or retain data necessary for criminal investigations, but not for a sufficiently long period or of a sufficient quality. Thus, some of the data (e.g. data kept for marketing purposes) have only limited evidential value and may only prove useful in certain categories of offence, such as online or credit fraud. In other cases, service providers do not store relevant data at all since they are not required for billing purposes (e.g. when offering unlimited calls or in relation to pre-paid services). Overall, Member States consider that data held by service providers for purely business purposes are insufficient to enable the effective investigation and prosecution of all types of serious crime. For the purposes of effective criminal investigations, the definition and scope of data to be retained should reflect the investigative needs in terms of identifying the perpetrator and establishing who communicated with whom, when, where and how.
However, several Member States would prefer to keep the possibility to request metadata that has already been retained for commercial purposes or in order to comply with other obligations, such as data retained to fulfil security and quality requirements.
Retention periods
As for the question of how to best determine retention periods in line with the case-law, most Member States advocate for a duration of one year and in any event not shorter than six months. However, some Member States are in favour of longer retention periods for complex investigations or for very serious crimes, linking the retention obligations with strict conditions to access.
According to some Member States and the EU-CTC, retention periods should be designed as a minimum mandatory period, rather than as a maximum limit, thus allowing Member States to maintain longer retention periods where necessary.
Regarding the question of the advantages and disadvantages of one fixed retention period across the EU, allowing for the possibility of renewals at national level, or setting a range within which Member States may set shorter or longer retention periods, Member States generally recognise that uniform retention periods across the EU increase predictability and facilitate cross-border investigations while also ensuring that criminals cannot take advantage of lower retention periods in some Member States. While Member States prefer to maintain some flexibility (in particular to be able to maintain longer retention periods under national law), they recognise that a range may introduce some uncertainty as to what is necessary and proportionate. Other Member States show openness to an interval-based model, under which the EU would set minimum and maximum retention periods, allowing Member States to adjust them according to national needs, taking into account the type of data, their relevance to specific crime areas, the technical capabilities of service providers, and the practical needs of law enforcement.
On the possible differentiation of retention periods according to the type of data, most Member States are generally open to such an approach, while also pointing to an increase in complexity affecting the ability of service providers to implement it.
Scope of crimes
Most Member States stress that metadata could be relevant in relation to the investigation of practically all crimes. For the purposes of an EU data retention regime for traffic and location, they agree that such obligations could be limited to the purposes of combating serious crime. Types of crime mentioned in the contributions include combating fraud and serious economic and financial crimes, cyber-enabled and cyber-dependent crime, child exploitation, terrorism, homicide, human trafficking, cybercrime, corruption, organised crime, all crimes committed in cyberspace or using information and communication technology. Other crimes that were committed with the use of relevant means of communication are also mentioned in some of the contributions, such as offences against life and health and online sexual offences, kidnappings and disappearances, and threats to national security.
In addition, most Member States support the inclusion of crimes committed largely online (stalking, hate crime, etc.) even if the level of sanctions is moderate but the lack of data would practically make the investigation impossible. While most Member States consider that the lack of traffic and location data would risk systemic impunity in particular in relation to cyber-dependent and cyber-enabled crimes, similar risks are also identified in relation to other serious and organised crimes such as drugs trafficking, arms trafficking, human trafficking, terrorism, as well as kidnappings and disappearances and other serious offences against life and health.
On the other hand, some Member States advocate for the broadest catalogue of offences possible based on the list in Article 12(1)(d) of the e-Evidence Regulation (which includes all crimes with a penalty threshold of three years). Member States consider that EU legislation should not define the concept of ’serious crime‘. In this regard, some Member States consider that an offence catalogue would imply an EU-wide definition of ’serious crime‘, interfering with national competences. Some Member States also note that a list of all possible offences would not be sufficient because of the changing modus operandi of criminals. Those Member States see the decisive points as being the specific purpose of the investigation, the degree of interference, and strict, differentiated safeguards.
Access rules and conditions
Some Member States emphasise that EU provisions on access to retained data should be limited to minimum harmonisation in compliance with the principles of subsidiarity and proportionality and with the other requirements set out by the CJEU, while other Member States point out that the system should be based on general retention combined with robust access safeguards.
A large majority of the Member States state the need for robust access safeguards, including prior authorisation by a court or independent administrative body for certain types of data, based on reasoned requests and subject to limitations reflecting the seriousness of the offence. Such access would be granted only for a specific purpose, with strict guarantees also applying to data sharing, and accompanied by strong security and data minimisation measures, in order to avoid, among other risks, the possibility of profiling.
Some Member States mention that access to traffic and location data should be subject to additional criteria in specific cases. These include situations where digital evidence is essential for identifying the perpetrator, where serious harm to life, health, human dignity or major economic damage is involved, where the data is at risk of being lost, where less intrusive measures have failed to elucidate the offence, or where the case has a cross-border dimension that makes it difficult to obtain evidence quickly by other means.
Some Member States pointed out that when designing a new data retention regime in accordance with the case-law of the CJEU, account should be taken of the fact that the CJEU’s judgments were delivered in specific factual contexts. They therefore argue that a new EU data retention regime should not rely on a literal application of those rulings to individual cases, but rather on an assessment of the principle of proportionality in line with the CJEU’s general guidelines as they result from the application of the Charter, combined with appropriate mechanisms for oversight by independent bodies or judicial authorities to ensure full protection of fundamental rights.
On this matter, some Member States also point out that access to communication metadata is subject to the condition of probable cause, reasonable grounds or a criminal context.
Regarding alignment with the e-Evidence Regulation regarding conditions for access, several Member States support mirroring some of its elements, such as standardised formats for access requests, secure communication channels and guarantees of access depending on the type of data at stake, while adapting them to the specific needs of data retention for law enforcement purposes in order to ensure transparency, data protection and more efficient operation. More specifically, some Member States advocate for standards in line with those of the European Telecommunications Standards Institute (ETSI). Such standards would enhance the efficiency of information sharing and provide greater legal certainty for service providers, while also allowing them to contribute to the design so that the standards better reflect their technical needs. The EU-CTC also sees value in defining standardised formats for a harmonised categorisation of data to be retained and accessed, but also for establishing secure channels for the exchange between competent authorities and service providers.
Some Member States explain, however, that the e-Evidence Regulation only standardises to a limited extent, and that new standards of data transmission could potentially incur significant costs. These Member States do not see a need to regulate standardised formats and communication channels. They argue that the main purpose of an EU instrument should be to regulate data retention in situations involving interactions between national authorities and providers established within their territory, i.e. domestic cases, since cross-border cooperation scenarios are already addressed by the e-Evidence Regulation.
Finally, some Member States highlight the fact that it would be important to bear in mind the recommendations of the HLG regarding the enforcement of sanctions against electronic and other communications service providers which do not comply with requirements regarding the retention and provision of data.
On the other hand, some Member States stress that access rules at EU level should not interfere with national rules on the admissibility of data.
4) Conclusion
If a data retention framework were to be defined, a primary hurdle would be reconciling the demands of effective law enforcement, on the one hand, with the protection of fundamental rights, as interpreted by CJEU jurisprudence, on the other. In this regard, most Member States highlight the need for a framework that avoids indiscriminate retention, prioritises judicial oversight based on the sensitivity of the data at stake, and incorporates robust safeguards against abuse. The Commission must navigate this complex legal and political landscape by focusing on differentiated retention obligations, establishing a clear definition of crimes that justify access, and adopting strict rules to regulate such access. It should contain harmonised procedures to ensure compliance with CJEU case-law while providing a practically effective solution. Moreover, it is emphasised that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.
5) Next steps
Taking into account the views of Member States and given the need to respond to law enforcement requirements while fully respecting individuals‘ fundamental rights, the COPEN Working Party will continue to follow up on the specific activities related to data retention in the Roadmap, and when appropriate, with the support of the Commission, the justice and home affairs agencies and other relevant stakeholders. However, at this stage, priority will be given to awaiting the outcome of the impact assessment before considering further steps. The contributions of other Council preparatory bodies to the work on access to data for effective law enforcement within their respective mandates will be coordinated by the Presidency to avoid overlaps.[13]
Footnotes
Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC.
Judgment of 8 April 2014, Digital Rights Ireland, C-293/12 and C-594/12.
Judgment of 6 October 2020, La Quadrature du Net I, C-511/18, C-512/18 and C-520/18, paragraph 168 (conditions for general and indiscriminate retention of traffic and location data). Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraph 67 (conditions for access to civil identity data). Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraphs 101-103 (conditions for access to information on IP addresses). Judgment of 20 September 2022, SpaceNet, C-793/19 and C-794/19, paragraphs 104, 114,119, 120. Judgment of 2 March 2021, Prokuratuur, C-746/18, paragraph 50. Judgment of 2 October 2018, Ministerio Fiscal, C-207/16, paragraphs 52-57. Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraph 97. Judgment of 30 April 2024, Tribunale di Bolzano, C-178/22, paragraphs 19, 22, 38, 49, 58, 62.
15941/2024 REV2.
16448/24.
EUCO 12/25.
10806/25.
BG, CZ, IE, IT, LT, LV, AT, PL, PT, ES, SK, FI, SE, HU, and SI.
Judgment of 6 October 2020, La Quadrature du Net and Others, C-511/18, C-512/18 and C-520/18, paragraphs 153 and 154. Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraphs 73 and 74.
Regulation (EU) 2023/1543 of the European Parliament and of the Council of 12 July 2023 on European Production Orders and European Preservation Orders for electronic evidence in criminal proceedings and for the execution of custodial sentences following criminal proceedings.
Regulation (EU) 2017/2394 on cooperation between national authorities responsible for the enforcement of consumer protection laws, recital 7, Article 9(2), and Article 42.
Roadmap for lawful and effective access to data for law enforcement.
Including CATS, COPEN, DATAPROTECT, FREMP, HWPCI and LEWP, not excluding the possible involvement of other preparatory bodies of the Council.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Nach Risikoprüfung des Einsatzes von Palantir-Software in der Schweiz bekam der US-Konzern eine Absage, trotz jahrelanger Hofierung von Behörden und Armee. Den Eidgenossen sind die Risiken zu groß. Da drängt sich die Frage auf, warum die Palantir-Software für deutsche Polizeien gut genug sein soll. Innenminister Dobrindt wird sie beantworten müssen.
Der Chef von Palantir, Alex Karp, residiert auch in einem Anwesen in der Schweiz. Der US-Tech-Konzern expandiert sein Geschäft mit Analysesoftware schon mehrere Jahre nach Europa. Was liegt da näher, als auch den Eidgenossen die Palantir-Systeme anzudienen? Genau das versuchte das militärnahe Unternehmen über Jahre – aber biss sich die Zähne aus.
Das berichtet das Magazin „Republik“ aus der Schweiz. Die Journalisten haben mit Hilfe von 59 Anfragen nach dem Öffentlichkeitsgesetz in einer lesenswerten Analyse nachvollzogen, wie sich der Konzern an öffentliche Stellen ranwanzte, um seine Software bei den Schweizer Bundesbehörden und beim Militär an den Mann zu bringen. Der Palantir-CEO und Milliardär Karp gab sich höchstselbst die Ehre und empfing den damaligen Bundeskanzler Walter Thurnherr.
Die Analyse enthält auch einen 20-seitigen internen Evaluationsbericht der Armee. Darin werden Vorzüge, aber auch Risiken eines Palantir-Einsatzes beschrieben, die letztlich zur Ablehnung einer Kooperation mit dem Konzern führten. Die Militärexperten kommen zu dem Schluss, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne.
Das jedoch lässt die von polizeilichen Palantir-Nutzern in Deutschland gebetsmühlenartig wiederholte Behauptung, ein Abfluss der polizeiinternen Daten sei technisch gar nicht möglich, unglaubwürdig erscheinen. Sie dürfte sich eher auf bloße Zusicherungen des US-Konzerns, nicht aber auf technische Fakten stützen. Denn die Software ist proprietär, weswegen technische Einblicke darin nur begrenzt möglich sind.
Die vier deutschen Landespolizeien und deren Innenminister, die Verträge mit Palantir eingegangen sind, wirken einmal mehr ignorant gegenüber diesen ernsten Risiken, die eine Kooperation mit dem Konzern mit sich bringen: Nordrhein-Westfalen, Hessen, Bayern und nun auch Baden-Württemberg.
Palantir
Wir berichten mehr über Palantir als uns lieb wäre. Unterstütze unsere Arbeit!
Daumen runter für Palantir
Palantir-Software, wie sie auch von deutschen Polizeien eingesetzt wird, verbindet heterogene Datenbanken und analysiert Verbindungen von Datenpunkten oder Mustern darin. Zuvor fragmentierte Daten werden also zusammengeführt. Damit werden beispielsweise Verbindungen von Menschen sichtbar oder geographische Bewegungen verfolgbar.
Im Evaluationsbericht heißt es zu den Risiken für die in die Palantir-Systeme eingepflegten Daten:
Palantir ist ein Unternehmen mit Sitz in den USA, bei dem die Möglichkeit besteht, dass sensible Daten durch die amerikanische Regierung und Geheimdienste eingesehen werden können.
Die Risikoeinschätzung der Militärs weist auf weitere Problemfelder, die von den polizeilichen Palantir-Vertragspartnern in Deutschland auch gern wegdiskutiert werden. Die Palantir-Software führe zu einer Abhängigkeit vom US-Anbieter, insbesondere „von externem hochqualifizierten Personal“. Ob „für die Implementierung, den Betrieb und die Wartung der Systeme dauerhaft technisches Fachpersonal von Palantir vor Ort benötigt wird“, sei unklar.
Auch drohe der Verlust der Datenhoheit und der „nationalen Souveränität“. Das Kostenrisiko sei außerdem schwer abzuschätzen, da es keine Preislisten gebe. Das betrifft die Implementierung und Anpassung der Software und die Datenmigration, aber auch Lizenzgebühren und Wartungskosten. Man könne „genaue Beträge nur durch direkte Verhandlungen“ ermitteln.
Zudem werden die starken Eingriffe in die Privatsphäre in dem Bericht problematisiert, die durch die umfassende Datensammlung und -analyse entstehe. Auch die Diskriminierung spielt dabei eine Rolle, denn es könne dazu kommen, „dass bestimmte Personen aufgrund statistischer Zusammenhänge ungewollt ins Visier geraten“.
Das Schweizer Bundesamt für Rüstung prüfte den Einsatz von Palantir-Software für ein bestimmtes Softwaresystem, das „Informatiksystem Militärischer Nachrichtendienst“. Dafür lagen vorgegebene Kriterien der Ausschreibung vor. Eines davon erfüllt das Palantir-Angebot nicht. Das Amt gibt den Journalisten aber keine Auskunft, um welches Kriterium es sich handelte. Das dazu veröffentlichte Schreiben besteht fast nur aus Schwärzungen.
Die Eidgenossen entschieden sich gegen den Einsatz von Palantir-Produkten. Es war ihnen ein zu großes Risiko. Die Empfehlung lautet knapp: „Die Schweizer Armee sollte Alternativen zu Palantir in Betracht ziehen.“
Der Bericht stammt von Anfang Dezember 2024. Seither hat der 2003 gegründete US-Anbieter seine überaus engen Verbindungen zur Trump-Regierung noch intensiviert und durch Karp-Interviews medial begleitet. Die Software wird zwar in Kriegsgebieten von US-Geheimdiensten und -Militärs schon jahrelang intensiv genutzt. Doch seit dem Börsengang im Jahr 2020 wuchs Palantir zu einem der größten US-Tech-Konzerne heran.
Wenn die Risiken der Zusammenarbeit in Fragen der Datenhoheit und gar dauerhaften Abhängigkeit, der digitalen Souveränität, des Datenabflusses und bei den Grundrechtseingriffen von den Schweizern als so erheblich eingeschätzt werden, drängt sich die Frage auf, warum die deutschen Landespolizeien und Landesinnenminister zu einer anderen Einschätzung kommen. Es bleibt ihr Geheimnis.
Der deutsche Bundesinnenminister Alexander Dobrindt (CSU) weigert sich bisher, diese Fakten anzuerkennen. Denn er schließt nicht aus, Palantir-Produkte bei den Polizeien des Bundes einzuführen. Sein geplantes „Sicherheitspaket“ umfasst auch die sog. automatisierte Datenanalyse, so dass auch die Polizeien des Bundes ihre Datenbanken automatisiert erschließen und auswerten könnten.
Wenn er für die polizeiliche Datenanalysesoftware mit dem US-Konzern kooperieren wollte, würden Millionen Datensätze, auch von völlig unverdächtigen Menschen, diesen nun hinlänglich bekannten Risiken ausgesetzt. Aber eigentlich müsste Palantir als möglicher Vertragspartner schon wegfallen, weil er mit der vielgepriesenen „digitalen Souveränität“ nicht kompatibel ist. Denn selbst bei lockerer Auslegung von „digital souverän“ kann die proprietäre Softwarelösung des US-Konzerns nicht akzeptabel sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Militärische Abschirmdienst darf künftig deutlich mehr, hat der Bundestag mit einem neuen Geheimdienstgesetz beschlossen. Doch die Reform des kleinsten deutschen Geheimdienstes ist erst der Auftakt für weitere Änderungen am Geheimdienstrecht.
Martina Rosenberg ist die Präsidentin des MAD (Archivbild) – Alle Rechte vorbehalten IMAGO / Mike Schmidt
Es gibt ein neues Geheimdienstgesetz in Deutschland. Weitgehend geräuschlos beschloss am gestrigen Donnerstag der Bundestag das Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr. Es enthält auch ein völlig neues MAD-Gesetz für den Militärischen Abschirmdienst. Der Entwurf der Bundesregierung ging dabei mit wenigen Änderungen aus dem Verteidigungsausschuss durchs Parlament.
Damit bekommt der Militärgeheimdienst fortan deutlich mehr Befugnisse. Der MAD soll etwa künftig auch außerhalb von Militärgelände im Ausland operieren dürfen, eine Aufgabe, die bislang der BND übernahm. Fortan sollen beide Dienste sich bei ihren Aufgabenaufteilungen abstimmen.
Ein unfertiger Befugniskatalog
Der Katalog der sogenannten nachrichtendienstlichen Mittel, mit denen der Militärgeheimdienst seine Informationen sammeln darf, ist lang: von Observationen über den Einsatz von V-Personen off- und online bis zu verdeckten Eingriffen in IT-Systeme. Aber die Liste der Mittel im Gesetz ist nicht final, sondern kann durch Dienstvorschriften erweitert werden.
Dieses geplante Vorgehen sahen Sachverständige in einer Anhörung zum Gesetz teils kritisch, da es unter anderem durch Geheimhaltung entsprechender Dienstvorschriften eine öffentliche Kontrolle der Geheimdienstbefugnisse verhindert. Eine solche „Erweiterung im Verborgenen ist untunlich“, kritisierte beispielsweise Christian Sieh vom Deutschen BundeswehrVerband die nun beschlossene Änderung.
Den neuen Befugnissen gegenüber steht eine neue Kontrollinstanz: eine gerichtliche Überprüfung von besonders eingriffsintensiven Maßnahmen. Dafür soll in Zukunft das Amtsgericht Köln zuständig sein. Das stellt auf der einen Seite eine unabhängige richterliche Kontrolle dar, auf der anderen Seite birgt es jedoch die Gefahr, dass die Geheimdienstkontrolle zersplittert wird und keine der Kontrollinstanzen ein umfassendes Bild über die Gesamttätigkeiten des Dienstes hat.
Politischer und rechtlicher Anlass
Anlass für ein neues MAD-Gesetz war zum einen die geopolitische Lage. Deutschland sei für Russland „Zielfläche Nummer 1 in Europa“, sagte etwa die MAD-Präsidentin Martina Rosenberg. Da künftig 5.000 deutsche Soldat:innen an der NATO-Ostflanke in Litauen stationiert sein sollen, müsse der MAD mehr Möglichkeiten bekommen, unter anderem diese vor Spionage und Sabotage zu schützen.
Einen zweiten, zwingenden Anlass für eine grundlegende Gesetzesreform gaben mehrere Entscheidungen des Bundesverfassungsgerichts. Es forderte beispielsweise in Urteilen zu Landesverfassungsschutzgesetzen eine unabhängige Kontrolle bestimmter Geheimdienstmaßnahmen und konkrete Eingriffsschwellen bei Grundrechtseingriffen – Defizite, die sich gleichermaßen bei Bundesgeheimdiensten finden.
Dass das neue Gesetz den Vorgaben ausreichend gerecht wird, bezweifelt etwa die grüne Bundestagsabgeordnete Agnieszka Brugger. In ihrer Rede im Parlament mahnte sie an, dass Grundrechte im Spannungs- und Verteidigungsfall nach dem Gesetz nicht ausreichend geschützt seien. „Gerade wenn es um den absoluten Ernstfall für unsere Demokratie geht, zeigt sich, wie ernst wir es mit unserem Rechtsstaat nehmen“, so Brugger, die Mitglied für die Grünen im Verteidigungsausschuss ist. Auch die Bundesregierung könne kein Interesse daran haben, „dass in diesen ernsten Zeiten so ein Gesetz in Karlsruhe scheitert und wir wieder zurück auf Los sind“.
Weitere neue Geheimdienstgesetze werden folgen
Das neue MAD-Gesetz ist nur der Auftakt weitreichender Gesetzesänderungen im deutschen Geheimdienstrecht. Auch die Grundlagen von BND und Bundesverfassungsschutz sollen überarbeitet werden. Dass dies nicht gemeinsam passiert, um konsistente Regelungen zu schaffen, kritisierte etwa der grüne Bundestagsabgeordnete Konstantin von Notz zuvor gegenüber netzpolitik.org.
Seine Parteikollegin Brugger fragte zur Gesetzesverabschiedung im Plenum: „Wo sind denn die Gesetze für die anderen Dienste? Wo sind die längst überfälligen Reformen der Sicherstellungsgesetze?“ Sie bezeichnet es als „schlicht unverantwortlich“, wie viel Zeit die Bundesregierung hier verstreichen lasse.
Wie lange es dauert, bis auch die übrigen Geheimdienstgesetze neu beraten werden, ist bisher nicht bekannt. Nach Informationen des WDR soll es jedoch bereits seit November einen ersten Referentenentwurf für ein BND-Gesetz geben, mit einem deutlich größeren Umfang als dem der bisherigen Regelungen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Heute wurde in Berlin eine Novelle des Polizeigesetzes verabschiedet. Sie erlaubt so ziemlich alles, was an digitaler Überwachung möglich ist: Verhaltensscanner, Gesichtersuche, Palantir-artige Datenanalysen, Staatstrojaner. Ein Kommentar.
Auf Demonstrationen (wie hier am 1. Mai) filmt die Berliner Polizei bereits fleißig mit. Künftig darf sie auch festinstallierte Kameras betreiben, die Bilder per KI auswerten und vieles mehr. – Alle Rechte vorbehalten IMAGO / Achille Abboud
Die Schulen sind marode, die Wohnungen knapp und die Brücken brechen bald zusammen. Um Berlin steht es lausig. Doch statt diese täglich spürbaren Probleme anzugehen, wirft die Berliner Landesregierung ohne Not die legendäre freiheitlich orientierte Ausrichtung der Stadt auf den Müll.
Es wirkt wie hektischer Aktionismus, was die schwarz-rote Koalition sich da ins Polizeigesetz zusammenkopiert hat. Als wolle man anderen Bundesländern, die derartige Maßnahmen bereits erlaubt haben, in nichts nachstehen. Heute hat Berlin eine Sicherheitsarchitektur aufgesetzt, die in dieser Stadt lange undenkbar war. Es ist ein Tabubruch, eine Zeitenwende, was da im Abgeordnetenhaus beschlossen wurde.
Bislang durfte die Berliner Polizei den öffentlichen Raum nicht dauerhaft überwachen – und jetzt sollen in manchen Gebieten nicht nur Kameras aufgestellt, sondern diese auch gleich noch an sogenannte Künstliche Intelligenzen angeschlossen werden. Auch Videoüberwachung mit Drohnen ist für die Berliner Polizei künftig explizit erlaubt.
Verhaltensscanner und Gesichtersuchmaschine
Die geplante Kamera-KI soll automatisch erkennen, was die Überwachten gerade tun. Diese Verhaltensscanner werden aktuell in Mannheim und in Hamburg getestet und sind noch weit von einem sinnvollen Praxiseinsatz entfernt. Die Begehrlichkeiten von sicherheitsfanatischen Politiker*innen haben sie anscheinend bereits geweckt.
Die ersten dieser Kameras werden wohl im und um den Görlitzer Park errichtet. Dieses beliebte Erholungsgebiet, in dem traditionell auch Rauschmittel gehandelt werden, hat von Berlins Ober-Sheriff Kai Wegner, CDU, bereits einen Zaun spendiert bekommen, es ist künftig nur noch tagsüber geöffnet. Sollte die Kamera-KI dann dort jemanden erkennen, der jemand anderem etwas zusteckt, folgt vermutlich der Zugriff durch die Polizei. Auch wenn es sich bei dem klandestin übergebenen Objekt um beispielsweise Verhütungs- oder Hygieneartikel handeln sollte. Das Gefühl von Freiheit, das auch von diesem Park aus einst den Ruhm Berlins begründete, vertrocknet unter dem starren Blick der „intelligenten“ Kameras.
Entdeckt die Berliner Polizei auf den Videobildern einen Menschen, den sie gerne näher begutachten möchte, kann sie künftig zudem das Internet nach Bildern durchsuchen, die dem Menschen ähnlich sind, um ihn zu identifizieren oder mehr über ihn zu erfahren. Dafür muss die Person nicht einmal einer Straftat oder deren Vorbereitung verdächtig sein, es reicht, Kontakt mit jemandem zu haben, der verdächtig ist.
Big-Data-Analyse und Staatstrojaner
Die Informationen, wer mit wem hantierte und welches Insta-Profil zu welchem Gesicht gehört, darf in einer Superdatenbank mit Bewegungsprofilen, Verhaltensmustern und Sozialkontaktanalysen gespeichert werden. Mit den dort beinhalteten Bildern, Videos und anderen personenbezogenen Daten kann dann auch eine kommerzielle KI trainiert werden, wie sie beispielsweise Palantir verkauft.
Und wenn sich eine verdächtige Person besonders undurchsichtig zeigt, gibt es in Berlin künftig immer noch die Möglichkeit, per Staatstrojaner ihren Telefonspeicher und die laufende Kommunikation auszulesen. Um solche Schadsoftware zu installieren, darf die Berliner Polizei dann auch heimlich in Wohnungen einbrechen.
Halleluja. Schöne neue Welt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Bundeskriminalamt hat vergangenes Jahr fast 548 Millionen Fluggastdaten erhalten und gerastert. Das geht aus einer Antwort der Bundesregierung hervor. Mittlerweile landen 90 Prozent aller Passagiere in Deutschland in Datenbanken bei der Polizei.
Wer fliegt wohin, wann und mit wem? All das leiten die Fluggesellschaften an das BKA weiter. – Alle Rechte vorbehalten IMAGO / Zoonar
Wer in letzter Zeit von oder in die EU geflogen ist, dessen Daten hat das Bundeskriminalamt mit hoher Wahrscheinlichkeit analysiert.
Die Daten von 153 Millionen Fluggästen haben die Fluggesellschaften im zurückliegenden Jahr an die Fluggastdatenzentralstelle im Bundeskriminalamt übermittelt. Insgesamt waren es 548 Millionen Datensätze. Das geht aus der Antwort der Bundesregierung auf eine Kleine Anfrage der Fraktion Die Linke hervor. Gegenüber dem Vorjahr sind es etwa 94 Millionen mehr Datensätze und 28 Millionen mehr betroffene Passagiere.
Das BKA gleicht die Daten der Flugreisenden automatisch mit polizeilichen Datenbanken ab und sucht nach Mustern, „um Personen zu identifizieren, die mit terroristischen Straftaten oder schwerer Kriminalität in Zusammenhang stehen könnten“, so die Website des BKA.
Die maschinelle Prüfung erzielte im vergangenen Jahr auf diese Weise über 200.000 Datensatztreffer und rund 6.800 Mustertreffer. Nach einer händischen Überprüfung haben BKA-Mitarbeitende nur rund 90.000 von ihnen als echt-positive Treffer bestätigt.
Im Vergleich zum Vorjahr waren es deutlich weniger automatische Treffer. Dennoch konnten die Fahnder*innen nach ihrer Überprüfung mehr Treffer bestätigen als vergangenes Jahr.
Aus diesen Treffern ergaben sich wiederum lediglich 10.426 polizeiliche Maßnahmen, wenn beispielsweise die angetroffenen Flugreisenden mit den gesuchten Personen tatsächlich übereinstimmten. In ungefähr einem Fünftel der Fälle ging es um Aufenthaltsermittlungen. Mehr als 1.500 Menschen wurden festgenommen. Am häufigsten haben die Beamt*innen die angetroffenen Fluggäste durchsucht.
Damit geht die Tendenz der letzten Jahre weiter: Die Menge der erfassten und übermittelten Daten wächst, ohne dass sich damit mehr Treffer erzielen lassen. Der Anteil der für die Grenzbehörden interessanten Personen an allen betroffenen Fluggästen ist und bleibt verschwindend gering.
Immer mehr Datenflut
Nicht nur wächst die Menge der erfassten Daten, der Anteil der betroffenen Passagiere am gesamten Flugaufkommen in Deutschland ist auch größer geworden. Aktuell sind es ungefähr 90 Prozent aller Flugreisenden, deren Daten das BKA verarbeitet (Stand August 2025). Das ist die überwältigende Mehrheit. Im vergangenen Jahr waren es noch 72 Prozent.
Denn immer mehr Luftfahrtunternehmen übermitteln die Daten ihrer Fluggäste an die Fluggastdatenzentralstelle. Aktuell sind es 391 Unternehmen, die an das Fluggastdateninformationssystem angeschlossen sind. Das sind 160 mehr als im Vorjahr. Welche und wie viele Unternehmen an das System noch angebunden werden müssen, wollte die Bundesregierung nicht beantworten.
Zugelassen waren im vergangenen 1710 ausländische und 101 deutsche Fluggesellschaften, so das Luftfahrt-Bundesamt.
Begehrte Daten
Beim Fluggastdatensatz handelt es sich um Daten, die bei der Buchung des Fluges anfallen. Dazu gehören der Name, Telefonnummer und E-Mail-Adresse, alle Arten von Zahlungsinformationen einschließlich der Rechnungsanschrift sowie Informationen zum Gepäck, zum Tarif, zur Zahlungsweise und zu Mitreisenden. Auch Angaben zum Reisebüro und zur Sachbearbeiter*in sind enthalten.
Die Fluglinien sind gesetzlich verpflichtet, die Daten aller Flüge über EU-Außengrenzen sowie für ausgewählte Strecken innerhalb der EU an die Fluggastdatenzentralstelle weiterzugeben und tun dies in Deutschland seit 2018.
Als wesentlich stichhaltiger gelten die sogenannten API-Daten (Advance Passenger Information-Daten), die über den normalen Geschäftsverlauf hinausgehen und viel detailliertere Informationen enthalten: neben der Flugverbindung sind es Daten aus den mitgeführten Identitätsdokumenten, unter anderem Ausstellungsland und Ablaufdatum des Dokuments, Staatsangehörigkeit, Familienname, Vorname, Geschlecht sowie Geburtsdatum. Da EU-Gesetzgebende diese Daten als „verifiziert“ betrachten, müssen die Fluggesellschaften nun auch sie in Kombination mit den Fluggastdatensätzen erheben und an Behörden übermitteln. Anfang dieses Jahres sind zwei EU-Verordnungen dazu in Kraft getreten.
Die EU richtet dafür einen zentralen Router ein, von dem aus die Daten an die zuständigen Behörden in jeweiligen EU-Ländern übermittelt werden. Fluggesellschaften müssen ihre automatisierten Systeme daran anschließen.
Bisher erhoben die Flugunternehmen diese Daten in unterschiedlicher Tiefe und auch nicht in einem standardisierten Format. An Behörden mussten sie vorab nur „etwaige erhobene“ API-Daten weiterleiten, weitere Vorschriften fehlten bis dahin.
Neues Bundespolizeigesetz
Seit 2008 fordert auch die Bundespolizei API-Daten zu bestimmten Flügen an, um sie vor Eintreffen des Fliegers zu prüfen. Im Zuge des neuen Bundespolizeigesetzes soll diese Einschränkung auf ausgesuchte Flüge entfallen. Im Gesetzesentwurf heißt es, dass nun die API-Daten aller Flüge über EU-Außengrenzen von und nach Deutschland an die Bundespolizei übermittelt werden müssen.
Wer also beispielsweise aus Großbritannien nach Deutschland fliegt, deren Daten landen sowohl bei der Fluggastdatenzentralstelle des BKA als auch bei der Bundespolizei, noch bevor man das Flugzeug betreten hat.
Von der anlasslosen Flugdatenspeicherung sind nicht alle Flugreisenden betroffen. Privatflüge sind vom Anwendungsbereich des Fluggastdatengesetzes nicht erfasst und fliegen unter dem BKA-Radar. Diese Behörde wertet die Daten aller anderen Passagiere nicht nur aus, sondern speichert sie für ein halbes Jahr. Verifizierte und ausgeleitete Treffer können auch bis zu fünf Jahre lang gespeichert werden.
Hinweis: In der alten Version war die Löschfrist nach dem alten Stand angegeben. Wie die Bundesregierung in der Antwort auf die Kleine Anfrage der Partei Die Linke im Jahr 2024 mitteilte, werden die Datensätze gemäß der Rechtsprechung des Europäischen Gerichtshofes nach einem halben Jahr automatisch gelöscht.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die dänische Ratspräsidentschaft schlägt vor, die Chatkontrolle freiwillig zu erlauben, statt sie verpflichtend zu machen. Die EU-Staaten haben diesen Vorschlag bereits einmal abgelehnt, ob sie jetzt zustimmen, ist offen. Viele Akteure lehnen eine freiwillige Chatkontrolle ab – auch die EU-Kommission.
Internet-Dienste sollen nicht zur Chatkontrolle verpflichtet werden, die Kommunikation ihrer Nutzer aber freiwillig durchsuchen dürfen. Das schlägt die dänische Ratspräsidentschaft vor.
Im Rat ist bisher kein Vorschlag zustimmungsfähig. Auch der bislang letzte Versuch scheiterte, unter anderem wegen Widerstand aus Deutschland. Gestern hat Dänemark einen neuen Vorschlag verschickt.
In einem Schreiben, das wir aus Quellenschutzgründen derzeit nicht veröffentlichen können, schreibt Dänemark: „Dieser Ansatz sieht keine Aufdeckungsanordnungen vor, sondern behält die freiwillige Regelung für Technologieunternehmen zur Rückverfolgung von Material über sexuellen Kindesmissbrauch bei.“
Der dänische Justizminister Peter Hummelgaard bestätigt gegenüber Medien: „Die Aufdeckungsanordnung wird nicht Teil des neuen Kompromissvorschlags der EU-Präsidentschaft sein. Die Suche nach Material über sexuellen Kindesmissbrauch bleibt für Technologiekonzerne freiwillig.“
Ein EU-Beamter hat diese Angaben gegenüber netzpolitik.org bestätigt. Die dänische Ratspräsidentschaft und das dänische Justizministerium haben auf unsere Anfrage von gestern bisher nicht geantwortet.
Vorschlag schonmal abgelehnt
Schon Polen hatte vorgeschlagen, die Chatkontrolle freiwillig zu erlauben statt verpflichtend zu machen. Dieser Vorschlag fand keine Mehrheit, die Mehrheit der EU-Staaten beharrte auf der Verpflichtung.
Ob derselbe Vorschlag jetzt eine Mehrheit findet, nur weil er von Dänemark statt Polen kommt, ist völlig offen. Selbst wenn sich die EU-Staaten auf diesen Kompromiss einigen sollten, geht das Gesetzgebungsverfahren danach im Trilog weiter. Dort verhandeln Kommission, Parlament und Rat über einen Kompromiss ihrer drei Positionen.
Der neue Vorschlag von Dänemark ist ein wichtiger Etappensieg, aber die Chatkontrolle ist noch lange nicht vom Tisch.
Freiwillige Chatkontrolle
Eigentlich ist eine freiwillige Chatkontrolle verboten. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.
Die temporäre Ausnahme der Datenschutzrichtlinie, die eine freiwillige Chatkontrolle erlaubt, läuft im April 2026 aus. Dass das neue Gesetz bis dahin in Kraft ist, ist unwahrscheinlich.
Die EU-Kommission ist gesetzlich dazu verpflichtet, die Verhältnismäßigkeit der freiwilligen Chatkontrolle zu belegen. Anfang September hätte sie einen Bericht mit Statistiken vorlegen müssen. Das hat sie bis heute nicht getan. Die Kommission scheitert, die Verhältnismäßigkeit der Chatkontrolle zu belegen.
Weitere Probleme
Neben der Chatkontrolle enthält der Gesetzentwurf weitere problematische Regeln. Internet-Zugangs-Anbieter sollen Netz-Sperren einführen, um einzelne Internet-Inhalte zu sperren. Internet-Dienste sollen das Alter ihrer Nutzer überprüfen, was eine anonyme oder pseudonyme Nutzung gefährdet. Auch die freiwillige Chatkontrolle kann auf andere Inhalte ausgeweitet werden.
Ich freue mich sehr, dass wir einer überzeugenden europäischen Lösung nun einen entscheidenden Schritt nähergekommen sind. Die intensiven Gespräche mit der dänischen Ratspräsidentschaft und die enge, vertrauensvolle Zusammenarbeit der Bundesregierung haben sich offenbar gelohnt.
Der angekündigte Vorschlag ist eine echte Verbesserung. Er enthält wichtige Regelungen für den Kampf gegen Kinderpornographie im Netz. Vor allem werden die wichtigen, aktuell aber zeitlich begrenzten Möglichkeiten der Anbieter, sexuellen Missbrauch von Kindern freiwillig aufzudecken und zu melden, auf eine stabile und dauerhafte Grundlage gestellt.
Und: Es werden keine roten Linien überschritten. Eine staatlich angeordnete Chatkontrolle ist vom Tisch. Das gemeinsame Ziel der Bundesregierung ist es, Kindesmissbrauchsdarstellungen im Netz wirksamer zu bekämpfen. Gleichzeitig ist klar: In einem Rechtsstaat heiligt der Zweck niemals alle Mittel. Elementare Bürgerrechte müssen auch im digitalen Raum gewahrt bleiben.
Auch auf nationaler Ebene wird die Bundesregierung den Kampf gegen Kinderpornographie entschlossen voranbringen. Die Einführung einer verpflichtenden IP-Adressenspeicherung ist dafür unverzichtbar. Wir werden dazu bald Vorschläge vorlegen, die effektive Strafverfolgung mit dem Schutz der Grundrechte verbinden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die US-amerikanische Auswanderungsbehörde ICE kauft immer mehr Überwachungssoftware. Jetzt arbeitet ICE mit einem Unternehmen zusammen, mit dessen Software das Militär soziale Medien in Echtzeit observiert.
Livestream von Anti-ICE Protest. Ab jetzt besser nicht mehr? – Alle Rechte vorbehalten IMAGO / Anadolu Agency
Die US-Abschiebebehörde ICE (Immigration and Customs Enforcement) baut ihre Überwachungskapazitäten weiter aus. Wie The Lever kürzlich berichtete, hat die Behörde im September einen Vertrag über potenziell knapp 6 Millionen US-Dollar mit dem IT-Dienstleister Carahsoft Technology unterzeichnet. Das soll ICE „Datenanalysen in Echtzeit für strafrechtliche Ermittlungen“ ermöglichen, wie aus dem Vertrag hervorgeht.
Carahsoft Technology ist dabei nur der Mittelsmann, die Software für die Überwachung und Auswertung sozialer Medien stellt das IT-Unternehmen Zignal Labs. Die Big-Data-Firma bietet an, aus jeglichen öffentlich zugänglichen Informationen mithilfe von Künstlicher Intelligenz sogenannte „Erkennungs-Feeds“ zusammenstellen zu können. Auf seiner Website sowie in einer Werbebroschüre wirbt das Unternehmen etwa damit, mehr als acht Milliarden Beiträge täglich zu durchsuchen und automatisiert auszuwerten.
In der Broschüre verweist der Hersteller unter anderem auf seine Zusammmenarbeit mit dem US-Militär, weiteren US-Diensten sowie internationalen Partnern. So beschreibt der Flyer etwa einen israelischen Militäreinsatz im Gazastreifen, bei dem das Unternehmen geholfen haben soll.
Zignal Labs arbeitete außerdem bereits 2019 mit ICEs übergeordneter Behörde zusammen, dem Department of Homeland Security (DHS). Dabei ging es um Lizenzen und Dienstleistungen für den U.S. Secret Service, auch damals stand die Überwachung sozialer Medien auf dem Programm.
ICE im Kaufwahn
Neben Software von Zignal Labs kaufte ICE für sieben Millionen US-Dollar auch Software von SOS International LLC, auch SOSi, die laut The Lever „den Aufenthaltsort einer Person verfolgt“. Im Frühjahr zahlte die Migrationsbehörde außerdem knapp 30 Millionen US-Dollar für die Software ImmigrationOS von Palantir, welche unter anderem überzogene Visa und Selbstausweisungen trackt.
Letzte Woche wurde bekannt, dass ICE weitflächig nach IT-Dienstleistern sucht, die Daten aus Quellen unterschiedlichster Art zusammenführen und auswerten können, darunter auch aus sozialen Medien. Dabei kann die umstrittene Behörde aus dem Vollen schöpfen: Schon vor Jahren hat sie damit begonnen, ein engmaschiges Überwachungssystem zu errichten.
„Wir beobachten einen Anstieg bei den Verträgen von ICE, die Überwachung erleichtern“, sagt Julie Mao, Juristin bei der liberalen Nichtregierungsorganisation Just Futures Law, gegenüber The Lever. Diese Möglichkeiten setzt die Behörde in die Tat um, inzwischen wurden zahlreiche Migrant:innen oder Student:innen mit gültigen Aufenthaltsgenehmigungen, aber ohne US-Staatsangehörigkeit, nach regierungskritischen Äußerungen des Landes verwiesen. Mit dem Entzug eines Visa müssen auch Menschen rechnen, die in sozialen Medien etwa die Ermordung des rechtsextremen Influencers Charlie Kirk kommentiert hatten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die sächsische Regierung möchte das Polizeigesetz deutlich verschärfen und der Polizei KI-Videoüberwachung, biometrische Internetsuche und staatliches Hacken erlauben. Kritik daran kommt aus Zivilgesellschaft und Opposition. Doch gerade letztere braucht die Regierung, um ihren autoritären Entwurf zum Gesetz zu machen.
Der sächsische Innenminister Armin Schuster (CDU) zählt seine Wünsche auf. – Alle Rechte vorbehalten IMAGO / Sylvio Dittrich
Die sächsische Polizei soll in Zukunft möglichst viele neue Befugnisse bekommen. So lautet die kürzestmögliche Zusammenfassung des Entwurfs für das neue Sächsische Polizeivollzugsdienstgesetz, kurz SächsPVDG. Was will der Entwurf konkret? Was sagen Opposition und Zivilgesellschaft? Und warum könnte es ausgerechnet auf das Bündnis Sahra Wagenknecht ankommen?
Anfang Oktober stellte der sächsische Innenminister Armin Schuster (CDU) den Entwurf des SächsPVDG vor. Im Fokus der Berichterstattung stehen seitdem vor allem Drohnen, Taser und die elektronische Fußfessel. Doch der Entwurf sieht auch die Ausweitung und Einführung von weiteren Überwachungsmaßnahmen vor, darunter der Staatstrojaner „Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung), die automatisierte Kennzeichenerfassung, „KI“-Videoüberwachung, Echtzeit-Gesichtserkennung, der biometrische Datenabgleich und eine automatisierte Datenanalyse von Polizeidaten nach Art von Palantir. Doch mehr zu den einzelnen Punkten weiter unten.
Warum die Uhr für das Gesetzes-Update läuft
Der Hauptgrund für die jetzige Gesetzesnovelle ist ein Urteil des sächsischen Verfassungsgerichtshofs. Die Landtagsabgeordneten aus den Fraktionen der Grünen und Linken hatten gegen die letzte Änderung des Polizeigesetzes erfolgreich geklagt. Der Verfassungsgerichtshof sah einige der neuen Vorschriften als unvereinbar mit der sächsischen Verfassung an, lies sie aber mit Einschränkungen bis zu einer Neuregelung weitergelten. Doch diese Frist läuft am 30. Juni 2026 ab, so steht es in dem Urteil.
Innenminister Schuster betont, aktuell würden insgesamt elf Bundesländer ihre Polizeigesetze überarbeiten. „Bei der Gestaltung der Kompetenzen und Befugnisse bewegen wir uns auf Augenhöhe“, sagte er in einer Pressemitteilung.
Während sich die mitregierende SPD im Landtag zu dem Entwurf eher bedeckt hält, feiert die CDU den Vorstoß. „Dieser Entwurf ist ein Sicherheitsgewinn für Sachsen!“, lässt sich der innenpolitische Sprecher der CDU-Fraktion, Ronny Wähner, in einer Pressemeldung zitieren.
„Chinesische Verhältnisse“ mit „endloser Polizei-Wunschliste“
Grüne und Linke, beide in Sachsen in der Opposition, kritisieren den Gesetzesentwurf mit scharfen Worten. Valentin Lippmann von den Grünen sieht einen massiven Eingriff in die Bürgerrechte. „Insbesondere die KI-gesteuerte Datenanalyse, die Möglichkeit des Abgleichs von Bildern mit öffentlich zugänglichen Quellen im Internet und die umfassende biometrische Videoüberwachung bilden ein Gift der Überwachung“, teilte Lippmann mit. Mit dem Entwurf sei Schuster „näher an der Praxis in China als auf dem Boden unserer Verfassung“.
Rico Gebhardt von der Fraktion Die Linke schreibt auf Anfrage von netzpolitk.org, dass der Gesetzesentwurf auch einige positive Dinge enthalte, etwa Umsetzungen des Gerichtsurteils sowie Maßnahmen zum Schutz vor häuslicher Gewalt. Insgesamt sieht er aber „eine endlose Polizei-Wunschliste“ und einen „rechts-autoritären Entwurf“.
„Überwachungsdruck steht in keinem angemessenen Verhältnis zum Ergebnis“
Auch außerhalb des Landtags hagelt es Kritik. Die sächsische Datenschutzbeauftragte Juliane Hundert nimmt seit Jahren eine Verschärfungsspirale in der Sicherheitsgesetzgebung wahr. „Jede neu geschaffene Maßnahme im Bereich der Gefahrenabwehr erhöht den Überwachungsdruck auf die Bürgerinnen und Bürger allgemein, auch wenn sie nicht straffällig werden, und das kann ich nicht gutheißen“, sagt sie auf eine Anfrage von netzpolitik.org zu dem Entwurf.
„Die zunehmende polizeiliche Erfassung des öffentlichen und virtuellen Raums und der damit einhergehenden Überwachungsdruck scheinen in keinem angemessenen Verhältnis zu den Ergebnissen der Maßnahmen zu stehen.“ Hundert sieht in diesem Kontext vor allem die Maßnahmen kritisch, von denen viele Bürger:innen betroffen sind, etwa die Maßnahmen zur „KI“-Videoüberwachung und zum Filmen in Autos zur Verkehrsüberwachung: „Obwohl sie keinen Anlass dafür gegeben haben und in keiner Weise eine Gefahr für die öffentliche Sicherheit oder Ordnung darstellen, werden ihre Daten polizeilich verarbeitet“, kritisiert Hundert.
Kritik von netzpolitischer Szene bis Fußballfans
Stephanie Henkel, die sich beim Dresdener CCC, aber auch der Piratenpartei sowie den Datenpunks engagiert, sieht es ähnlich wie Hundert, sagt aber: „Man kann kaum sagen, was die schlimmste Anpassung ist.“ Ein Grundproblem sei, dass der Verfassungsgerichtshof in seinem Urteil zu viel durchgewunken habe. Nun gehe das Innenministerium mit diesem Entwurf nochmal deutlich über das Urteil hinaus, so Henkel. „Der jetzige Entwurf stellt unterm Strich einen massiven Ausbau der Überwachung in Sachsen dar, gegen den wir uns als Zivilgesellschaft laut und sichtbar stellen müssen.“
Auch aus der Fußballszene kommt Gegenwind zum Gesetzesentwurf. In einem gemeinsamen Statement schreiben die Fanhilfen von Chemie Leipzig, Dynamo Dresden und dem FSV Zwickau: „Mit diesem vorgelegten Gesetzesentwurf zur Regelung der Befugnisse der sächsischen Polizei begeht der sächsische Innenminister Armin Schuster erneut einen bewussten Verfassungsbruch.“ Anstatt die verfassungsgemäße Ordnung des sächsischen Polizeirechts herzustellen, erweitere man dieses um Dutzende weitere verfassungswidrige Punkte, so ein Fanhilfe-Sprecher.
Besonders kritisch sehen die Fan-Anwält:innen die Kombination der verschiedenen Befugnisse, etwa wenn automatisierte Datenanalysen mit Software von Palantir und neue Formen der Videoüberwachungsauswertung zusammenkämen: „Im Zusammenspiel [von Palantir, Anm. d. Red.] mit der nach Gesetzesentwurf geplanten verdeckten automatisierten Kennzeichenerkennung und dem Einsatz intelligenter Videoüberwachung wäre der gläserne sächsische Bürger dann wohl perfekt.“
Doch wie weit gehen die geplanten Befugnisse wirklich?
Jetzt auch Staatstrojaner für die Prävention
In der Strafverfolgung ist der Staatstrojaner zum Anzapfen der laufenden Telekommunikation schon mehrere Jahre lang erlaubt. Das regelt die bundesweit geltende Strafprozessordnung. In Sachsen gilt seit der letzten Novelle des SächsPVDG, dass die Polizei zur Gefahrenabwehr auch die Kommunikation abhören darf. Nun aber steht das erste Mal explizit im Gesetz, dass die sächsische Polizei dafür auch „in von der betroffenen Person genutzte informationstechnische Systeme“ eingreifen darf. Sie darf also hacken. Darauf hatten sich Union und SPD im sächsischen Koalitionsvertrag geeinigt.
Zu den Voraussetzungen gehört nach dem Entwurf selbstverständlich eine richterliche Anordnung. Zudem ist die Maßnahme nur zulässig, „wenn die Abwehr der Gefahr oder die Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre“. Laut Entwurf geht es um die Verhinderung bestimmter schwerer Straftaten, die sich gegen den „Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“ richten.
Dass dabei auch Dritte mitüberwacht werden, ist allerdings kein Hinderungsgrund. Zuletzt hatte etwa die bayerische Polizei das Pressetelefon der Letzten Generation – und damit wenig überraschend auch die Gespräche mit Journalist:innen – abgehört. Zwei Journalisten ziehen deshalb zusammen mit der Gesellschaft für Freiheitsrechte vor das Bundesverfassungsgericht.
Kommt Palantir auch nach Sachsen?
Das neue SächsPVDG ebnet den Weg auch für Palantir oder andere Analyseplattformen. Die Polizei soll „zur Gewinnung neuer Erkenntnisse gespeicherte personenbezogene Daten anlassbezogen automatisiert zusammenführen und mit weiteren nach diesem Gesetz oder anderen Rechtsgrundlagen gespeicherten personenbezogenen Daten automatisiert verknüpfen, aufbereiten und auswerten“ können. Die Polizei darf diese Datenanalyse zur Verhinderung einer langen Liste von Straftaten einsetzen, darunter schwere Straftaten, besonders schwere Straftaten, aber auch „zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“.
Dabei soll die Polizei fast alle Daten zusammenführen können, über die sie potenziell verfügt: von Daten aus Polizeidatenbanken wie „Gewalttäter Sport“ über Falldaten bis zu Datensätzen „aus gezielten Abfragen in gesondert geführten staatlichen Registern sowie einzelne gesondert gespeicherte Datensätze aus Internetquellen“. Datenschutzbeauftragte Hundert stellt klar: „Dabei werden tausende Datensätze auch von Personen ausgewertet, die nicht Gegenstand polizeilicher Ermittlungen waren.“ Lediglich Daten aus Wohnraumüberwachung und Online-Durchsuchung sollen laut Entwurf nicht miteinbezogen werden.
Näheres soll eine Verwaltungsvorschrift regeln, die dann auch „Kennzeichnungen“ zur Einhaltung der Zweckbindung sowie ein Rechte- und Rollenkonzept beinhalten soll. Rico Gebhardt von den Linken kritisiert das. „Das Parlament wird dann nicht mehr mitreden können. Auch damit werden wirklich alle roten Linien überschritten.“
Gebhardt sieht in dem Entwurf einen „Blankoscheck“, um sich bei „rechtsstaatlich desinteressierten Tech-Oligarchen“ einzukaufen – auch wenn der Name „Palantir“ im Gesetzentwurf nicht explizit falle. Es gebe keine Vorfestlegung auf Palantir, sagte Innenminister Schuster laut Sächsischer Zeitung. Auch die sächsische SPD hatte sich noch vor ein paar Monaten gegen Palantir ausgesprochen.
Stephanie Henkel ist skeptisch, ob es nicht docch auf Palantir hinausläuft: „Ich wüsste nicht, was sie sonst nehmen.“ Henkel erinnert auch an den bereits existierenden Rahmenvertrag, den Bayern mit Palantir ausgehandelt hat. Aktuell setzen Bayern, Hessen und Nordrhein-Westfalen Palantir-Software ein, in Baden-Württemberg soll die Software ab 2026 zum Einsatz kommen.
Videoüberwachung, jetzt mit „Künstlicher Intelligenz“
Neu im Polizeigesetz ist auch der Paragraf zur „KI“-Videoüberwachung. Die Polizei will damit zum einen von einer Software automatisiert erkennen lassen, wenn sich im Bereich der Kameras eine Straftat anbahnt. Konkret soll die Software Waffen und gefährliche Gegenstände erkennen sowie Bewegungsmuster, „die auf die Begehung einer Straftat hindeuten“. Vorbild ist ein Projekt in Mannheim.
Zum anderen soll eine Software auch Personen nachverfolgen können, deren Bewegungsmuster auffällig waren, sofern ein Polizist das bestätigt. Mit richterlicher Anordnung oder bei Gefahr im Verzug darf die Polizei auch einen Abgleich der gefilmten Gesichter mit den eigenen Auskunfts- und Fahndungssystemen durchführen („Fernidentifizierung“).
Diese Gesichtserkennung ist in Sachsen bisher schon erlaubt, allerdings nur an Orten, die wichtig für die grenzüberschreitende Kriminalität sind. Der neue Entwurf ermöglicht nun die „KI“-Videoüberwachung und Fernidentifizierung an Kriminalitätsschwerpunkten sowie bestimmten Veranstaltungen unter freiem Himmel.
Gesichtserkennung mit Daten aus dem Internet
Ebenfalls künftig erlaubt sein soll der Abgleich mit biometrischen Daten aus dem Internet. Konkret nennt der Gesetzesentwurf Gesichter und Stimmen, die die Polizei zum Zwecke der Gefahrenabwehr abgleichen dürfe. Hier braucht es ebenfalls eine richterliche Anordnung. Außerdem soll die Datenschutzbeauftragte nachträglich informiert werden.
Sollte es dieser Paragraf in das finale Gesetz schaffen, wird er wahrscheinlich ein Fall für die Gerichte. Linken-Politiker Gebhardt hat nach eigener Aussage erhebliche Zweifel, „ob so eine biometrische Rasterfahndung, auf die es ja hinauslaufen würde, überhaupt legal betrieben werden kann – oder ihre Anwendung nicht eher dazu führt, das Gesetz erneut in den verfassungswidrigen Bereich zu steuern“.
Laut einem Gutachten von AlgorithmWatch ist es technisch nicht umsetzbar, frei verfügbare Bilder aus dem Internet für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank dieser Bilder zu erstellen. Dies wiederum verbietet die KI-Verordnung der EU. Auf die Anfrage von netzpolitik.org, wie dieser Teil des Entwurfs rechtssicher umgesetzt werden soll, hat das sächsische Innenministerium nicht geantwortet.
Noch mehr Abbau von Datenschutz
Insgesamt bedeutet der Entwurf fast überall einen Rückschritt beim Datenschutz. So ist der Polizei künftig eine Weiterverarbeitung von personenbezogenen Daten auch für Aus- und Fortbildungen erlaubt. Auch zum „KI“-Training dürfen personenbezogene Daten verwendet werden. Das gilt selbst dann, wenn man die Daten nicht anonymisieren oder pseudonymisieren kann.
Zu diesem Zweck darf die Polizei die Daten auch an Dritte weitergeben. Rico Gebhardt befürchtet in diesem Zusammenhang einen Tabubruch: „Das erweckt den bösen Anschein, als wäre das Innenministerium bereit, einen Anbieter mit hochsensiblen Daten der Bürgerinnen und Bürger zu ,bezahlen‘.“
Die bisher dargestellten Neuerungen sind nur eine kleine Auswahl aus dem Entwurf. Künftig soll zudem das automatisierte Scannen von Autokennzeichen auch verdeckt erfolgen können – und das pauschal in allen Orten mit einer Grenznähe von unter dreißig Kilometern sowie an Kriminalitätsschwerpunkten. Das ist etwa die Hälfte der Fläche Sachsens. Die Polizei soll außerdem künftig an bestimmten Kreuzungen auch in Autos filmen dürfen, um zu verhindern, dass Fahrer:innen dort das Handy benutzen. Und Bodycams sollen nun auch in Wohnungen filmen dürfen.
Sächsische Koalition muss erst eine Mehrheit suchen
Dass der Gesetzesentwurf in dieser Form überhaupt zum Gesetz wird, ist alles andere als klar. Denn in Sachsen regieren CDU und SPD in einer Minderheitskoalition – also ohne eigene Mehrheit im Parlament. Die Regierung muss also auf die Opposition zugehen, wie zuletzt beim Haushalt, als Grüne und Linke dem Entwurf nach langen Verhandlungen zustimmten.
Fraktionen im sächsischen Landtag.
Das läuft in Sachsen über den sogenannten Konsultationsmechanismus. Nachdem die Regierung einen Entwurf veröffentlicht, können die Fraktionen Stellungnahmen abgeben, ebenso wie Verbände, Kommunen oder Einzelpersonen. Diese Frist läuft für die Zivilgesellschaft noch bis zum 30. Oktober. Laut Rico Gebhardt, haben die Fraktionen bis zum 10. Dezember Zeit, Stellungnahmen abzugeben.
Die Staatsregierung arbeitet dann Änderungsvorschläge ein und stellt den Entwurf schließlich dem Parlament vor. Politisch bedeutet das, dass die Regierung auf Vorschläge der Opposition wird eingehen müssen, wenn sie einen mehrheitsfähigen Entwurf im Landtag einbringen will.
Wer verschafft dem Polizeigesetz die Mehrheit?
Auch wenn beide Fraktionen Stellungnahmen einreichen werden: Grüne und Linke sorgen vermutlich nicht für eine Mehrheit. Beide hatten gegen das aktuelle Gesetz geklagt und positionieren sich auch deutlich gegen die geplante Novelle. So sagt der innenpolitische Sprecher der Grünen, Valentin Lippmann: „Wir Bündnisgrüne werden in unserer Stellungnahme deutlich machen, dass wir für einen solchen freiheitsfeindlichen Gesetzentwurf nicht zur Verfügung stehen.“ Zudem müsste die sächsische Regierung aufgrund der Sitzverteilung sowohl Grüne als auch Linke ins Boot holen, um eine Mehrheit zu erreichen.
Aktivistin Henkel hält es für möglich, dass auch die AfD für die Mehrheit sorgen könnte. „Ich vertraue der CDU nicht. Für die AfD wäre der Entwurf ein Gewinn“, meint Henkel. „Alles was da drin steht, ist für die Gold wert, wenn die einmal an der Macht sind.“ Doch eine Zusammenarbeit mit der AfD würde vermutlich die SPD vor den Kopf stoßen – und den Koalitionsvertrag brechen. Dort heißt es: „Eine Zusammenarbeit oder eine Suche nach parlamentarischen Mehrheiten mit der AfD als gesichert rechtsextrem eingestufter Partei wird es durch die neue Regierung und die Koalitionsfraktionen nicht geben.“
Deshalb rückt das Bündnis Sahra Wagenknecht in den Fokus. Mit seinen 15 Abgeordneten könnte das BSW dem Gesetzesentwurf eine Mehrheit verschaffen. Doch wie sich das BSW positioniert, ist alles andere als klar.
BSW berät sich intern noch
Dem MDR teilte das BSW Anfang des Monats mit: „Die BSW-Fraktion steht für ein modernes Polizeivollzugsdienstgesetz mit dem Stand der Technik entsprechenden Befugnissen. Gleichzeitig treten wir für eine Balance von Freiheit und Sicherheit ein. Deshalb wollen wir den Gesetzesentwurf gründlich prüfen und in der Fraktion beraten.“ Diese fraktionsinterne Abstimmung dauere an, teilte der innenpolitische Sprecher der BSW-Fraktion, Bernd Rudolph, auf Anfrage von netzpolitik.org mit.
Im Programm des BSW zur sächsischen Landtagswahl hieß es zum Thema innere Sicherheit: „Einen übergriffigen Staat lehnen wir ab, weshalb immer die Verhältnismäßigkeit der Mittel und die universelle Unschuldsvermutung gelten müssen. Jedermann soll sich in der Öffentlichkeit frei entfalten können, ohne Angst vor Beobachtung und Überwachung. Mehr Polizisten auf der Straße und in Problemvierteln sind im Bedarfsfall eine größere Hilfe als mehr Videokameras.“
Inwiefern das BSW diese Position in den Verhandlungen durchsetzen kann, werden die nächsten Monate zeigen.
Wie laut wird die Straße sein?
Einige wollen das nicht passiv abwarten. Grünen-Politiker Lippmann rät den Sächs:innen, das Beteiligungsportal zu nutzen und die eigene Meinung zum Gesetz zu hinterlegen. Bis zum 30. Oktober können Bürger:innen und Verbände noch Stellungnahmen einreichen. Auch Henkel ruft dazu auf.
Trotz der vielen Verschärfungen im Gesetz hat Henkel Hoffnung – auch dank der Proteste gegen Palantir und die Chatkontrolle. „Endlich ist mal wieder ein Bewusstsein da, dass Massenüberwachung böse ist.“ Das habe sie noch vor einem Jahr anders erlebt. „Ich hoffe, dass sich jetzt mehr Leute finden, die gegen das neue SächsPVDG in Sachen protestieren werden.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Regierung will die Geheimdienstgesetze grundlegend erneuern. Los geht es mit einer neuen Rechtsgrundlage für den Militärischen Abschirmdienst. Der Entwurf auf dem Verteidigungsministerium würde dem bislang kleinsten Geheimdienst des Bundes deutlich mehr erlauben.
Der MAD soll eine neue gesetzliche Grundlage bekommen. – Alle Rechte vorbehalten Schild: IMAGO / Panama Pictures, Paragrafen: Pixabay / geralt, Bearbeitung: netzpolitik.org
5.000 Soldat:innen aus Deutschland sollen bis 2027 in Litauen stationiert sein. Ihre Aufgabe: Die NATO-Ostflanke in dem baltischen Staat schützen. Schon heute sind rund 400 Bundeswehr-Angehörige vor Ort im Baltikum, kürzlich hat in Vilnius eine deutsche Schule eröffnet. Gemeinsam mit der Panzerbrigade 45 ziehen auch deutsche Spione in das Gebiet. Sie gehören zum MAD, dem Militärischen Abschirmdienst. Der deutsche Militärgeheimdienst ist beispielsweise dafür zuständig, Spionage und Sabotage gegen die Bundeswehr abzuwehren oder auch Sicherheitsüberprüfungen bei Armeepersonal zu übernehmen. Doch künftig sollen die militärischen Spione noch viel mehr dürfen.
Das steht im „Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr“, einem Entwurf aus dem Verteidigungsministerium von Boris Pistorius (SPD). Hinter dem unscheinbaren Titel verbergen sich weitreichende Änderungen im deutschen Geheimdienstrecht. Das mehr als 100 Seiten starke Papier beinhaltet ein völlig neu geschriebenes MAD-Gesetz. Und es ist erst der Auftakt weiterer Geheimdienstreformen, die Schwarz-Rot in dieser Legislatur noch vorhat.
Die Bundeswehr in Litauen sei Angriffspunkt für Spionage und Sabotage, warnte die Präsidentin des MAD Martina Rosenberg bei einer Anhörung der Geheimdienstchefs im deutschen Bundestag. Deutschland sei für Russland „Zielfläche Nummer eins in Europa“. Verbunden mit ihrer Warnung war die dringliche Forderung an die Parlamentarier:innen für mehr Befugnisse und Budget. Und den Dank, dass dies bereits auf den Weg gebracht wurde, „um so hoffentlich zeitnah mit gut ausgestatteten Behörden den vielfältigen Herausforderungen gestärkt entgegentreten zu können“.
Die Geheimdienstchefin hat viele Gründe, dankbar zu sein. Ihr Dienst soll mit dem geplanten MAD-Gesetz weit mehr Kompetenzen bekommen, sowohl im analogen als auch digitalen Bereich. Vieles soll auf einer Ebene unterhalb des Gesetzes konkretisiert werden und entzieht sich so der Öffentlichkeit. Fachleute warnen vor möglichen Kontrolllücken und fordern, dass es eine Geheimdienstreform für alle drei bundesdeutschen Dienste zusammen braucht.
MAD wird zum Verfassungsschutz
Im neuen Gesetz wird der MAD als „Verfassungsschutzbehörde und abschirmender Nachrichtendienst der Bundeswehr“ bezeichnet und damit als eine weitere Verfassungsschutzbehörde neben dem Bundes- und den Landesverfassungsschutzämtern platziert. Doch vergleichbar sind die Einrichtungen nicht, das merkt die Bundesregierung auch in der Gesetzesbegründung an. Der MAD zeichne sich „durch eine Vielzahl an Unterschieden zu den zivilen Verfassungsschutzbehörden aus“. Künftig wird es einen weiteren großen Unterschied bei den Befugnissen im Ausland geben. Eine der deutlichen Ausweitung betrifft nämlich die Frage, wo der MAD aktiv sein darf.
Bislang operiert der Militärgeheimdienst vor allem im Inland sowie in ausländischen Kasernen, in denen deutsche Soldat:innen stationiert sind. Doch er soll bald auch außerhalb der Militärgelände im Ausland agieren dürfen.
Alles ist eine Information
In der Begründung zum Gesetzentwurf heißt es, der MAD bearbeite „Sachverhalte im Ausland, die die Sicherheit der Bundeswehrangehörigen im Einsatz beeinträchtigen könnten“ und sammle dafür Informationen. Wobei Informationen für den Geheimdienst ein breites Feld sind:
Der Begriff Informationen ist als Oberbegriff für alle sach- und personenbezogenen Auskünfte, Nachrichten und Unterlagen sowie sonstigen Daten zu verstehen, die irgendeinen für die Aufgabenerfüllung des Militärischen Abschirmdienstes bedeutsamen Aussagegehalt haben oder haben können.
Derartige Gummi-Formulierungen kommen öfter in Geheimdienst-Gesetzen vor. So steht im BND-Gesetz als zentrale Aufgabe des Auslandsgeheimdienstes, Erkenntnisse „von außen- und sicherheitspolitischer Bedeutung“ zu sammeln.
Im Fall des MAD bedeutet das Informationsverständnis, dass der Militärgeheimdienst im Ausland künftig entsprechend der Regelungen etwa Telekommunikation überwachen, V-Personen einsetzen oder Ziele observieren darf. Was an dem Befugnisaufwuchs verwundert: Bislang war vor allem der BND als dedizierter Auslandsgeheimdienst dafür zuständig. Er sammelte bei Auslandseinsätzen der Bundeswehr Erkenntnisse, die dafür entsprechend relevant waren. Und der BND behält diese Befugnisse auch weiterhin. Doch wie will die Bundesregierung verhindern, dass sich die beiden Geheimdienstbehörden ins Gehege kommen oder doppelt arbeiten?
Informelle Aufteilung von Aufgaben
Das Gesetz – geht es nach der Bundesregierung – soll das nicht regeln. MAD und BND sollen die Aufteilung auf einer informelleren Ebene klären. Der MAD nehme seine Aufgaben „im Einvernehmen mit dem Bundesnachrichtendienst“ wahr, heißt es gleich im zweiten Paragrafen des Gesetzentwurfs. Dieses Einvernehmen, so der Entwurf weiter, könne „für eine Reihe gleichgelagerter Fälle hergestellt werden“.
Wie genau das aussieht, wird die Öffentlichkeit auf offiziellen Wegen dann vermutlich nicht erfahren. Denn im Gegensatz zu Gesetzen sind Vereinbarungen der Geheimdienste untereinander in aller Regel – wie es ihr Name nahelegt – geheim oder zumindest nicht öffentlich zugänglich.
Neben der Transparenz könnte es aber auch Probleme mit der Effizienz der Arbeit geben, glaubt Corbinian Ruckerbauer von interface. Er koordiniert das European Intelligence Oversight Network (EION), das Nachrichtendienstkontrolleur:innen und anderen Expert:innen eine Plattform für regelmäßigen und strukturierten Austausch bietet. „Mit der Ausweitung der Befugnisse des MAD verschärft sich das Problem der überlagernden Zuständigkeiten der unterschiedlichen Geheimdienste im Zusammenhang mit der Bundeswehr“, schreibt Ruckerbauer gegenüber netzpolitik.org. Eine klare Abgrenzung zwischen den Diensten falle zunehmend schwer. „Das birgt erhebliche Risiken für die Effizienz der Arbeit der Sicherheitsbehörden einerseits und der Effektivität der Kontrolle andererseits.“
Dienstvorschrift als Transparenzproblem
Eine Vorliebe für nicht-gesetzliche Regelungen zeigt sich auch bei der Liste der „nachrichtendienstlichen Mittel“, die der MAD künftig nutzen sollen darf. Paragraf 8 des Gesetzentwurfs enthält insgesamt 15 Punkte: von „verdeckte Nachforschungen und verdeckte Befragungen“ bis zu „Einsichtnahme in Systeme der Informations- und Kommunikationstechnik“. Doch wenn künftig neue entsprechende Spionagemethoden dazukommen, soll dafür keine Gesetzesänderung notwendig sein. Eine Dienstvorschrift würde reichen, wenn das neue Werkzeug vergleichbar mit der Liste ist, es keine spezielle gesetzliche Regelung braucht und der Unabhängige Kontrollrat zustimmt.
Auch bei diesen Dienstvorschriften ist davon auszugehen, dass sie nicht von vornherein der Öffentlichkeit zugänglich sind – anders als ein Gesetz. „Wesentliche nachrichtendienstliche Mittel brauchen eine klare gesetzliche Grundlage“, schreibt Ruckerbauer dazu. „Ein einfacher Verweis auf Dienstvorschriften beeinträchtigt die demokratische Kontrolle des MAD und ist verfassungsrechtlich fragwürdig“, so der Experte für Geheimdienstkontrolle.
Virtuelle Agenten
Der Gesetzentwurf macht auch klar, dass sich der sehr weite Informationsbegriff auf digitale und analoge Informationen gleichermaßen bezieht. Für die Aufgabenerfüllung des MAD sei es egal, ob Beschaffung und Verarbeitung „realweltlich oder im Cyberraum“ stattfinden. Dazu passt es auch, dass es besonders im digitalen Raum jede Menge neue Kompetenzen für den Militärgeheimdienst geben soll.
Eine davon ist der Einsatz „virtueller“ Agent:innen. Dabei bahnen Geheimdienst-Mitarbeitende verdeckt Kontakt zu Zielpersonen auf Online-Plattformen oder in Chatgruppen an. Das ist keine unbekannte Geheimdienstpraxis. So schickte etwa der Bundesverfassungsschutz laut Berichten der SZ aus dem Jahr 2022 seine Mitarbeitenden in digitale rechtsradikale Kommunikationskanäle. Dort lasen die Spione nicht nur mit, sondern stimmten in volksverhetzende Inhalte ein – um sich Vertrauen zu erarbeiten.
Fachleute kritisierten damals, dass es für solche digitalen Undercover-Ermittlungen bislang an einer expliziten Rechtsgrundlage fehle und dadurch etwa nicht klar geregelt sei, ab wann der Geheimdienst zu diesen Mitteln greifen darf. Für den MAD soll das nun offenbar geändert werden. Besonders geht es dabei um Fälle, wo sich Geheimdienstmitarbeitende nicht nur etwa in einschlägigen Foren und Kanälen aufhalten, sondern unter einer Tarnidentität besonderes Vertrauen zu Personen aufbauen. Dadurch versuchen sie mehr Informationen zu erhalten, als sie dies durch reines Mitlesen bekommen würden.
Begründet wird dies mit „der zunehmenden Bedeutung von Internetplattformen und sozialen Netzwerken wie Instagram, Facebook, LinkedIn, MySpace (sic!) oder X für das Kommunikationsverhalten in der Bevölkerung“.
Wenn „fremde Mächte“ angreifen
Weit mehr als eine Anpassung der Rechtsgrundlage an gängige Geheimdienstpraktiken dürften auch die Paragrafen zum „Auslesen technischer Spuren informationstechnischer Angriffe fremder Mächte“ und zu damit verbundenen Auskunftsverlangen sein. Sie reagierten „insbesondere auf die immer relevanter werdenden Cyberangriffe“, schreibt eine Sprecherin des Verteidigungsministeriums auf Anfrage von netzpolitik.org. Derzeit sei das nicht erlaubt.
Man erhofft sich davon, besonders komplexe Angriffe aufklären zu können, „bei denen einzelne informationstechnische Systeme gezielt als Teil einer komplexeren Angriffsinfrastruktur eingesetzt werden.“ Dabei müssen diese Systeme nicht immer den Angreifern selbst gehören. Sie können beispielsweise auch über infizierte Drittsysteme Schadsoftware verteilen oder die Verfügbarkeit von Online-Diensten beeinträchtigen.
Zur Auskunftspflicht für Dienste-Anbieter heißt es etwa in der Gesetzesbegründung: „Für einen Angriff werden auch Server genutzt, die in keinem unmittelbaren Bezug zu einer fremden Macht stehen, insbesondere auch Einrichtungen kommerzieller Hostinganbieter.“ Mit der Auskunftspflicht solle man Informationen „vorrangig ohne systeminvasive Maßnahmen“ erlangen können. Doch ausschließlich in Deutschland ansässige Anbieter wären von dieser Pflicht betroffen: Angriffsinfrastruktur im Ausland soll weiterhin „originär vom Bundesnachrichtendienst aufgeklärt“ werden.
Führen mehr Kontrollinstanzen zu mehr Kontrolle?
Die geplanten erweiterten Befugnisse bräuchten auf der anderen Seite eine starke Geheimdienstkontrolle. So heißt es schon im Vorspann des Gesetzentwurfs, dass das bisherige MAD-Gesetz „Vorgaben aus mehreren Entscheidungen des Bundesverfassungsgerichts zum Recht der Sicherheitsbehörden“ nicht gerecht werde. Es brauche unter anderem eine unabhängige „Kontrolle von bestimmten Maßnahmen des Militärischen Abschirmdienstes“.
Um die umzusetzen, will die Bundesregierung eine neue Zuständigkeit etablieren: die des Amtsgerichts in Köln bei „besonderen Befugnissen“. Die gibt es bei besonders eingriffsintensiven Geheimdienstmaßnahmen, beispielsweise wenn V-Personen oder virtuelle Agenten Zielpersonen länger als ein halbes Jahr ausspionieren. Oder wenn es Maßnahmen gegen Berufsgeheimnisträger:innen wie Medienschaffende oder Anwält:innen gibt.
Löst eine neue Kontrollinstanz die Aufsichtsprobleme, die es immer wieder bei Geheimdiensten gibt? Ruckerbauer mahnt, Schwarz-Rot müsse bei der Reform darauf achten, „dass sie die Kontrolllücken im militärischen Bereich schließt und keine neuen entstehen“. Er empfiehlt: „Das Parlamentarische Kontrollgremium sollte zukünftig beispielsweise dringend auch das Militärische Nachrichtenwesen und dessen Zusammenwirken mit MAD und BND unter die Lupe nehmen dürfen.“
Warum gerade das MAD-Gesetz?
Unabhängig davon, was im neuen MAD-Gesetz am Ende steht, bleibt eine grundsätzliche Frage offen: Warum geht die Bundesregierung das Gesetz für den militärischen Geheimdienst separat an und führt die notwendigen Reformen für alle deutschen Bundesgeheimdienste nicht gemeinsam durch?
„Die Erfahrungen aus der Ampelkoalition lehren, dass die umfassende Geheimdienstreform nicht weiter verschoben werden sollte“, sagt Ruckerbauer. „Stattdessen muss die Bundesregierung schnell die verfassungsgerichtlich festgestellten Defizite des Rechtsrahmens und der Kontrolle mit einer ganzheitlichen Reform angehen.“
Auch Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, pocht auf eine Gesamtreform: „Eine grundlegende Reform des Rechts der Nachrichtendienste ist lange überfällig. Sie wurde auch vom Bundesverfassungsgericht wiederholt angemahnt. Dennoch sind die höchstrichterlichen Vorgaben bis heute nur teilweise umgesetzt“, so der Abgeordnete, der sich seit vielen Jahren mit Geheimdiensten auseinandersetzt. „Neben neuen rechtlichen Grundlagen für die tägliche Arbeit der Nachrichtendienste braucht es unbedingt eine Stärkung der parlamentarischen Kontrolle als Grundlage für notwendiges Vertrauen.“
Notz bedauert, dass begonnene Bemühungen der früheren Ampelregierung bis heute nicht zu einer ganzheitlichen Geheimdienstreform geführt haben: „Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“ Und die sei „noch stark überarbeitungsbedürftig“.
Nach einer ersten Lesung im Parlament arbeiten die Abgeordneten nun in den Ausschüssen weiter an dem Gesetz. Die weiteren Gesetzesgrundlagen für BND und Verfassungsschutz dürften aber nicht lange auf sich warten lassen. Sie seien bereits in Arbeit, hieß es bei einer öffentlichen Anhörung der Geheimdienstchefs im Bundestag.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die UN-Cybercrime-Konvention wurde am Wochenende symbolisch unterzeichnet. Deutschland hat seine Unterschrift nicht unter den Vertrag gesetzt, die Vereinigten Staaten ebenfalls nicht. Internationale Menschenrechts- und Digitalrechte-Organisationen lehnen das Abkommen weiterhin ab und fordern die Staaten auf, es nicht zu ratifizieren.
UN-Generalsekretär António Guterres (Mitte vorn) mit internationalen Delegierten auf der Unterzeichnungszeremonie in Hanoi am 25. Oktober. – Alle Rechte vorbehalten United Nations Office on Drugs and Crime
Die UN-Cybercrime-Konvention wurde am Samstag in Hanoi symbolisch unterzeichnet. UN-Generalsekretär António Guterres gab sich die Ehre: In einer feierlichen Zeremonie in der vietnamesischen Hauptstadt wurde der internationale Vertrag mit den Unterschriften der Staaten versehen, die damit das politische Signal geben, die Konvention unterstützen zu wollen.
Rechtlich verbindlich ist das nicht. Denn erst durch eine Ratifikation können die jeweiligen nationalen Parlamente einer Konvention Geltung verschaffen. Für die Cybercrime-Konvention sind dafür mindestens vierzig Ratifikationen notwendig. Neunzig Tage danach tritt sie in Kraft. Dass Parlamente in vierzig Staaten zustimmen, ist schon wegen der zahlreichen Unterschriften in Hanoi sehr wahrscheinlich, aber der Zeitpunkt des Inkrafttretens hängt von den verschiedenen parlamentarischen Gepflogenheiten in den Ländern ab.
Europa uneins
Deutschland hat bei der Unterzeichnungszeremonie in Hanoi seine Unterschrift nicht auf den Vertrag gesetzt, plant das aber dem Vernehmen nach in der Zukunft. Die Frage ist jedoch, wann dieser Zeitpunkt kommen wird, denn ob ein Staat nach Monaten, Jahren oder Jahrzehnten ratifiziert, ist ihm selbst überlassen. Die Europäische Union war aber unter den Unterzeichnern, was als politisches Signal bedeutsam ist. Der konservative ÖVP-Politiker und EU-Kommissar für Inneres und Migration Magnus Brunner nannte das Abkommen einen „Meilenstein“, der die weltweite Zusammenarbeit im Kampf gegen Cyberkriminalität stärke.
Die EU-Kommission teilte heute in einer Pressemeldung mit, dass der Kampf gegen Cyberkriminalität für die EU eine Priorität sei und der UN-Vertrag die Fähigkeit der EU verbessere, international gegen solche Verbrechen vorzugehen. Nach der Unterzeichnung wird nun der EU-Rat über das Abkommen beraten und über den Abschluss entscheiden, wozu auch die Zustimmung des Europäischen Parlaments erforderlich wäre.
Die europäischen Staaten, die in Hanoi unterzeichnet haben und damit ein Signal setzen, die Konvention ratifizieren zu wollen, sind nach Informationen von netzpolitik.org die Slowakei, Österreich, Belgien, Tschechien, Frankreich, Griechenland, Irland, Luxemburg, Polen, Portugal, Slowenien, Spanien und Schweden als EU-Mitgliedsstaaten sowie das Vereinigte Königreich. Europa ist sich also uneins, denn viele kleinere Staaten und einige große Staaten wie eben Deutschland oder Italien, aber auch die Niederlande oder Nicht-EU-Mitglied Schweiz fehlen auf der Unterzeichnerliste.
72 Unterzeichner-Staaten
Nicht überraschend: China und Russland sind als langjährige Unterstützer auf der Liste der insgesamt 72 Unterzeichner-Staaten. Russland hatte den UN-Vertrag vor Jahren sogar initiiert.
Die Vereinigten Staaten hingegen haben nicht unterschrieben. Ohne eine US-Beteiligung wäre die UN-Konvention aber ein weitaus weniger wirksames Abkommen. Ob sie den Vertrag ratifizieren und damit auch einwilligen, Daten nach den Maßgaben der Konvention herauszugeben, bleibt eine offene Frage.
Denn darum geht es in dem UN-Vertrag im Kern: Daten. Im Kampf gegen das organisierte Verbrechen und eine nur vage definierte „Computerkriminalität“ werden durch den Vertrag nämlich weitreichende Überwachungsmaßnahmen und Kooperationen beim Austausch von Daten vorgeschrieben. Die umfangreichen Datensammlungen und die internationalen Datenzugriffsmöglichkeiten werden vor allem kritisiert, weil längst nicht in allen Staaten hinreichende Menschenrechtsstandards und rechtliche Schutzmaßnahmen existieren, die Missbrauch verhindern oder zumindest aufdecken könnten. Unabhängige Gerichte, Datenschutzgarantien oder auch nur Verhältnismäßigkeitsprüfungen sind zwar in vielen Demokratien etabliert, aber eben keine weltweiten Standards.
David Kaye, der ehemalige UN-Sonderberichterstatter für Meinungsfreiheit, nannte den UN-Vertrag vor der Abstimmung in der UN-Generalversammlung im Dezember letzten Jahres „äußerst mangelhaft, sowohl in seiner Formulierung als auch in seiner Substanz“. Es sei für ihn und für viele Beobachter „schockierend, dass demokratische Staaten ihn unterstützen“ würden.
Die internationalen Menschenrechts- und Digitalrechte-Organisationen, die das Zustandekommen des UN-Vertrages fünf Jahre kritisch begleitet haben, äußern sich in einem gemeinsamen Statement weiterhin ablehnend zu dem Abkommen.
Sie rufen die Staaten auf, von der Ratifikation abzusehen, um den Vertrag nicht in Kraft treten zu lassen. Sie erwarten von allen die Menschenrechte achtenden Staaten, ihre Unterstützung des UN-Abkommens zumindest solange zurückzuhalten, bis garantiert ist, dass alle Unterzeichnerstaaten der Konvention wirksame Schutzmaßnahmen und rechtliche Garantien umsetzen. Nur so könnten Menschenrechtsverletzungen in der Praxis verhindert werden.
Die 16 unterzeichnenden Organisationen, darunter Human Rights Watch, die Electronic Frontier Foundation, Privacy International, epicenter.works und Access Now, drücken nochmals ihre tiefe Besorgnis über die UN-Cybercrime-Konvention aus, weil sie „grenzüberschreitende Menschenrechtsverletzungen begünstigen“ würde. Die Konvention enthalte keine ausreichenden Menschenrechtsschutzbestimmungen, die sicherzustellen würden, dass die Bemühungen zur Bekämpfung der Cyberkriminalität auch mit einen angemessenen Schutz der Menschenrechte einhergehen. Wichtige Rechtsgrundsätze seien nicht genügend vorgeschrieben worden.
Cybercrime
Wir berichten über die politische Seite des Cybercrime. Unterstütze uns dabei!
Auch Tanja Fachathaler, die zusammen mit anderen Organisationen für die österreichische Digital-NGO epicenter.works jahrelang die Verhandlungen begleitete, äußert sich gegenüber netzpolitik.org weiterhin ablehnend. Dass so viele Staaten nun symbolisch unterzeichnet hätten, sei besorgniserregend:
Die breite Zustimmung der Staaten zur Cybercrime-Konvention in Hanoi ist alarmierend. Wir halten an unserer Kritik an dem Vertrag fest: Durch seine teils fehlenden, teils lückenhaften Sicherheitsbestimmungen öffnet er das Tor zu Menschenrechtsverletzungen und Missbrauch der Kooperationsmechanismen, die im Vertrag geschaffen werden.
Die „Verfolgung kritischer Stimmen“ sei eine „reale Gefahr“, die durch die Konvention noch verstärkt werden könnte. Die politische Opposition, aber auch Medienvertreter und IT-Sicherheitsexperten seien von den Regelungen des Abkommens bedroht. Sollte es trotzdem in Kraft treten, fordert Fachathaler gegenüber netzpolitik.org, dass es „dringend geboten“ sei, „dass die Anwendung der Bestimmungen im Einklang mit internationalen Menschenrechtsstandards“ stehe. Es sei zudem „essentiell, die Zivilgesellschaft in die Implementierung des Vertrags einzubinden“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wichtige Stimmen wie Amnesty International, Reporter ohne Grenzen und der Chaos Computer Club appellieren eindringlich an die Bundesregierung, die Chatkontrolle zu verhindern. Sie warnen vor einem Angriff auf die Pressefreiheit, einem IT-Sicherheitsalptraum und einer Gefahr für die Demokratie.
Die Entscheidung um die Chatkontrolle rückt näher. Wenn die Bundesregierung ihre bisher grundrechtsfreundliche Position ändert, könnte die EU das Überwachungsprojekt doch noch beschließen. Bei der so genannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll.
Die EU verhandelt seit drei Jahren kontrovers. Die geplante Verordnung enthält Vorschriften, die Messenger wie WhatsApp, Signal, Threema oder Telegram verpflichten sollen, die Kommunikation aller Nutzer:innen ohne jeden Verdacht zu durchsuchen.
Wir haben uns umgehört, was zivilgesellschaftliche Organisationen von der Bundesregierung erwarten – und warum die Chatkontrolle so gefährlich ist. Die Ablehnung reicht von Digital- und Journalistenverbänden über Menschenrechtsorganisationen bis hin zu Fußballfans.
„Gesamte Bevölkerung unter Generalverdacht“
Die Chatkontrolle würde das „Ende einer breit verfügbaren, vertraulichen und sicher verschlüsselten Kommunikation in Europa“ bedeuten, sagt Tom Jennissen von der Digitalen Gesellschaft. „Die gesamte Bevölkerung würde unter Generalverdacht gestellt und ihre Endgeräte mit staatlich verordneter Spyware infiziert.“ Von der Bundesregierung erwartet Jennissen, dass sie sicherstellt, dass dieser „vollkommen unverhältnismäßige Angriff auf unsere Kommunikationsgrundrechte und die IT-Sicherheit endlich vom Tisch kommt“.
Svea Windwehr vom digitalpolitischen Verein D64 sagt, dass die Chatkontrolle Grundrechte untergrabe, aber ohne den Schutz von Betroffenen zu verbessern. Jede Form der Chatkontrolle zerstöre die Verschlüsselung und die Vertraulichkeit privater Kommunikation, einem Schutz, von dem alle Menschen profitieren. „Anstatt auf vermeintliche technische Lösungen für eine komplexe gesellschaftliche Herausforderung zu setzen, müssen Ansätze gestärkt werden, die Prävention, Care und Unterstützung von Betroffenen in den Fokus rücken“, so Windwehr.
Elina Eickstädt, Sprecherin des Chaos Computer Clubs, nennt die Chatkontrolle und den vorgesehenen Bruch von vertraulicher und verschlüsselter Kommunikation den „Anfang von einem IT-Sicherheitsalptraum“. Hintertüren würden nie nur für Strafverfolgungsbehörden funktionieren, sondern immer auch für andere. „Die Bundesregierung muss sich klar gegen jeden Bruch von vertraulicher und verschlüsselter Kommunikation stellen, sie darf keinen Entwurf annehmen, der diese Prinzipien verletzt“, so Eickstädt weiter.
„Massiver Angriff auf Pressefreiheit“
Arne Semsrott von Frag den Staat sieht in der Chatkontrolle einen „massiven Angriff auf die Pressefreiheit“. Medienschaffende seien darauf angewiesen, vertraulich mit Quellen zu kommunizieren und ihre Arbeit zu schützen. „Wird diese Möglichkeit mit der Chatkotrolle genommen, schadet das der freien Presse enorm“, sagt Semsrott.
Das bestätigt auch Anja Osterhaus von Reporter ohne Grenzen. Sichere Verschlüsselung sei „unverzichtbar für vertrauliche Kommunikation und unabdingbare Voraussetzung für die Pressefreiheit“. Verschlüsselung schütze Journalist:innen und ihre Quellen, das ermögliche investigative Recherchen und erlaube es Whistleblowern, Missstände mitzuteilen. „Chatkontrolle untergräbt nicht nur das Vertrauen in sichere Kommunikation, sie gefährdet auch den Quellenschutz und unterminiert damit das Grundrecht auf Pressefreiheit“, so Osterhaus weiter. Reporter ohne Grenzen fordert deswegen die Bundesregierung dazu auf, sich öffentlich gegen Chatkontrolle zu positionieren.
„Gefährdet die Demokratie“
Lena Rohrbach, Expertin für Menschenrechte im digitalen Zeitalter bei Amnesty International sagt: „Bei der Chatkontrolle stimmt gar nichts: Als anlasslose Massenüberwachung trifft sie alle Menschen in der EU – außer Straftäter:innen, die sie umgehen werden.“ Das Vorhaben der Chatkontrolle „gefährdet die Demokratie, weil sie eine beispiellose Kontrolle unserer Kommunikation ermöglicht, die leicht missbraucht werden kann.“ Auch sie weist darauf hin, dass Kinder „echten Schutz durch Prävention und zielgerichtete Ermittlung“ benötigen würden.
Noa Neumann aus dem Koordinierungskreis von Attac warnt vor einer „anlasslosen, präventiven Massenüberwachung und einer vollständigen Aushöhlung des Datenschutzes“. Die Bundesregierung sei dazu verpflichtet, die Rechte und die Privatsphäre von Menschen aktiv zu schützen. „Deshalb muss sie gegen die Einführung der Chatkontrolle stimmen“, so Neumann weiter.
Linda Röttig vom Dachverband der Fanhilfen erklärt, dass Fußballfans häufig von Überwachung und Datenbanken von Polizeibehörden betroffen und deswegen besonders alarmiert seien, wenn staatliche Überwachung immer weiter ausgebaut werden soll. „Daher erheben auch wir gegen die Chatkontrolle unsere Stimme und warnen gemeinsam mit vielen anderen vor den katastrophalen Folgen dieses Verordnungsentwurfs“, so Röttig weiter. Die Fußballfans fordern die Bundesregierung auf, sich gegen eine Einführung der Chatkontrolle auszusprechen und von dieser Position auch andere Mitgliedsstaaten zu überzeugen.
Druck auf Ministerien nötig
Die Bundesregierung wird sich vermutlich vor dem 14. Oktober auf eine Position einigen, dann wird im EU-Rat abgestimmt. Zur Debatte steht der dänische Vorschlag, der eine verpflichtende Chatkontrolle und Client-Side-Scanning beinhaltet.
Das Bündnis „Chatkontrolle stoppen“ ruft dazu auf, die relevanten Personen und Organisationen zu kontaktieren. Das sind vor allem die beteiligten Bundesministerien (Innen, Justiz, Digital, Familie) sowie die Fraktionen und Abgeordneten der Regierungs-Parteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe, oder auch rechtzeitig ankommende Briefe. Auf der Webseite des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
In den kommenden Tagen wird die Bundesregierung entscheiden, wie sie am 14. Oktober in der EU zur Chatkontrolle abstimmt. Eines ist klar: Kommt die Chatkontrolle, wird es keine verschlüsselte und sichere Kommunikation mehr geben.
Noch ist der Messenger Signal in Europa verfügbar. – Alle Rechte vorbehalten IMAGO / CHROMORANGE
Der beliebte sichere Messenger Signal hat angekündigt, dass er Deutschland und Europa verlassen wird, wenn die Chatkontrolle kommt und sich keine Wege ergeben, sich dieser anlasslosen Massenüberwachung der privaten Kommunikation zu verweigern. Das hat Signal-Chefin Meredith Whittaker gegenüber der dpa gesagt, wie Tagesschau und Heise berichten. Es deutet sich an, dass eine Entscheidung über die Chatkontrolle am 14. Oktober fallen könnte – und die Position der Bundesregierung ist dabei entscheidend.
„Wenn wir vor die Wahl gestellt würden, entweder die Integrität unserer Verschlüsselung und unsere Datenschutzgarantien zu untergraben oder Europa zu verlassen, würden wir leider die Entscheidung treffen, den Markt zu verlassen“, sagte Meredith Whittaker der Nachrichtenagentur dpa.
Bei der so genannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll. Sie wird seit drei Jahren kontrovers in der EU verhandelt, weil die Verordnung Vorschriften enthält, die Messenger wie WhatsApp, Signal, Threema oder Telegram verpflichten sollen, die Dateien aller Menschen auf deren Smartphones und Endgeräten ohne jeden Verdacht zu durchsuchen.
Chatkontrolle als Bedrohung für Privatsphäre und Demokratie
Dieses Durchleuchten von Dateien würde dazu führen, dass eine verschlüsselte und sichere Kommunikation für niemanden mehr möglich ist, weil die Dateien schon vor der eigentlichen Verschlüsselung angeschaut werden können. Die komplette IT-Fachwelt, führende Sicherheitsforscher, Wissenschaftler:innen aus aller Welt sowie zivilgesellschaftliche Organisationen aller Art lehnen daher die Chatkontrolle als Bedrohung für die Demokratie vehement ab. Das Suchen nach Inhalten ist technisch nicht auf bestimmte Inhalte zu begrenzen, sondern könnte in wenigen Handgriffen auch auf politisch missliebige Inhalte ausgeweitet werden.
Signal-Chefin Whittaker sagte der dpa, dass ihr Messenger niemals die Integrität seiner Ende-zu-Ende-Verschlüsselung untergraben werde. „Sie garantiert die Privatsphäre von Millionen und Abermillionen von Menschen auf der ganzen Welt, oft auch in lebensbedrohlichen Situationen.“ Signal lehne deshalb die Chatkontrolle ab. „Es ist bedauerlich, dass Politiker weiterhin einer Art magischem Denken verfallen, das davon ausgeht, dass man eine Hintertür schaffen kann, auf die nur die Guten Zugriff haben.“
Bundesregierung mauert
Während der Ampel-Regierung war die Ablehnung der Chatkontrolle nach anfänglichen Unstimmigkeiten mit dem Innenministerium relativ sicher. Das hat sich mit der neuen schwarz-roten Regierung geändert.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn in Kürze die Entscheidung fällt, ob Europa eine verpflichtende Chatkontrolle bekommt, ist auch die Haltung der Bundesregierung maßgeblich. Doch der Digitalminister mag sich lieber nicht positionieren. Digitale Weichenstellungen und gefährliche Formen technisierter Massenüberwachung sieht er offenbar nicht als sein Metier. Eine Einordnung.
In wenigen Tagen steht die Entscheidung an, ob es in Europa eine verpflichtende Chatkontrolle geben wird oder ob sich erneut keine ausreichende Mehrheit im Rat der EU-Länder dafür findet. Die deutsche Haltung wird maßgeblich dafür sein, ob die Front der ablehnenden EU-Staaten gegen den Vorschlag der EU-Präsidentschaft Dänemarks stehenbleibt.
Hintergrund ist ein jahrelanger Streit über einen Entwurf der EU-Kommission für eine Verordnung zur massenhaften Chat-Überwachung, die dem Kampf gegen digitale Gewaltdarstellungen von Kindern dienen soll. Die geplante Chatkontrolle würde alle Anbieter von Messenger- und weiterer Kommunikationsdienste, auch solche mit Ende-zu-Ende-Verschlüsselung, zum Scannen nach Missbrauchsfotos und -videos verpflichten. Betroffen wären auch Signal, Threema oder WhatsApp, die von vielen Millionen Menschen genutzt werden.
In den vergangenen Jahren hat sich Deutschland ablehnend gezeigt und sich gegen das automatisierte Scannen verschlüsselter Kommunikation, aber auch gegen die Umgehung von Ende-zu-Ende-Verschlüsselung und das Client-Side-Scanning positioniert. Ob die neue Bundesregierung das genauso hält, ist noch offen. Wir haben daher die Bundesregierung zu der Haltung befragt, die sie bei der anstehenden Entscheidung einnehmen wird.
Das Bundesjustizministerium (BMJ) will sich gegenüber netzpolitik.org nicht in die Karten schauen lassen und antwortet auf die Frage nach der Chatkontrolle-Position nur: „Die Federführung“ liege „innerhalb der Bundesregierung beim Bundesministerium des Innern“. Da sollten wir uns doch hinwenden, meint das BMJ.
Das Bundesinnenministerium (BMI) hat jedoch auch nichts zu sagen: „Wir bitten um Verständnis, dass wir uns zu laufenden Abstimmungen innerhalb der Bundesregierung grundsätzlich nicht äußern.“
„Von der Seitenlinie“
Fragen wir doch die Digitalexperten in der Bundesregierung. Die schwarz-schwarz-rote Koalition hatte schließlich ein neues Ministerium aus der Taufe gehoben, das sich hauptsächlich mit Digitalisierung, digitaler Infrastruktur und Staatsmodernisierung befassen soll. Ein Sprecher des Digitalministeriums (BMDS) antwortet auf Fragen von netzpolitik.org nach der Position des Ministers zur geplanten verpflichtenden Chatkontrolle allerdings nur mit nur zwei Sätzen.
„Wir brauchen Maßnahmen, die wirksam und zugleich angemessen sind. Zu den derzeit auf EU-Ebene vorliegenden Vorschlägen erfolgt eine Positionierung der Bundesregierung unter Federführung des Bundesinnenministeriums.“
Auf weitere Fragen, etwa wie Minister Karsten Wildberger (CDU) zum Aufbrechen von Verschlüsselung oder zum Client-Side-Scanning im Rahmen einer Chatkontrolle steht, wird nicht geantwortet. Der seit Mai amtierende Digitalminister hat außerdem auch keine Position zur freiwilligen EU-Chatkontrolle und den damit verbundenen Risiken für die Privatsphäre.
Das Ministerium verweist stattdessen auf ein Gespräch mit Wildberger vom 11. September. Dort auf die Chatkontrolle angesprochen, äußert sich der Bundesminister folgendermaßen: Er wolle sich in diesen „politischen Prozess“ nicht „von der Seitenlinie“ einbringen. Er werde deswegen seine Meinung nicht dazugeben, da das „nicht hilfreich“ sei, denn dafür „gibt es jetzt einen Prozess“.
Das kann man natürlich anders sehen, ob es für die Diskussionen um eine europaweit verpflichtende Chatkontrolle „hilfreich“ wäre, wenn sich der amtierende Digitalminister von Deutschland nicht an die „Seitenlinie“ stellen, sondern dazu positionieren würde. Allerdings machen seine Äußerungen direkt im Anschluss klar, warum er vielleicht ganz richtig liegt.
Ein Offenbarungseid technischer und politischer Inkompetenz
Wildberger fügt hinzu: „Kinderpornographie“ in Chats, „das geht überhaupt nicht“, das seien Straftatbestände. Davon müsse man aber das Thema der Privatsphäre „säuberlich trennen“. Doch ein zentraler Streitpunkt in der langjährigen Debatte ist es gerade, wie weit man in die Privatsphäre und sogar Intimsphäre von Menschen eingreifen darf, um auf solche Inhalte in ihren Chats zu scannen.
Der Minister postuliert dann, dass er „persönlich eine klare Meinung“ dazu hätte. Die sagt er aber nicht sofort, sondern stellt erstmal folgende Frage in den Raum: „Wie stellen wir sicher, dass wir Rechtsordnung auch in diesem Rahmen sicherstellen?“ Den Versuch einer Antwort auf die wirre Frage macht er nicht. Stattdessen sagt Wildberger: „Wo es um Kinderpornographie geht, am Ende des Tages muss man auch über Deep Fakes reden, da hört bei mir der Spaß auf.“
CSAM
Wir berichten seit Jahren unter dem Stichwort CSAM (Child Sexual Abuse Material) über politische Vorhaben im Kampf gegen Missbrauchsdarstellungen von Kindern. Unterstütze unsere Arbeit!
Kein Mensch mit Herz und Hirn würde die digitalen Darstellungen von Gewalt gegen Kinder in die Kategorie Spaß einsortieren. Die Debatte um die Chatkontrolle dreht sich vielmehr um die Frage, zu welchen technischen Maßnahmen die Anbieter von Messenger-Diensten verpflichtet werden sollten, um solche Inhalte massenhaft zu scannen. Dass diese Inhalte verabscheuungswürdig und strafbar sind, stellt niemand in Abrede.
Auf die Nachfrage, ob Anbieter zur Chatkontrolle verpflichtet werden sollen, bemerkt Wildberger, dass seine Antwort darauf eine „nicht politisch gemeinte Formulierung“ sei: „Da muss es eine Lösung für geben.“ Die Luft brennt förmlich vor Spannung, welche technische Idee der Digitalminister nun favorisieren wird. Doch der oberste Digitalisierer murmelt: „Wie die Lösung jetzt hier genau aussieht, das sollen …“ Da endet sein Satz im Ungewissen. Vielleicht sollen es die Experten richten, vielleicht gibt es einen Prozess.
Zuletzt endet die kurze Passage in dem Gespräch mit dem Versprechen, er werde sich „in die Debatte natürlich“ einbringen, wenn es hilfreich und erforderlich wäre. Aber das Thema sei „ein bisschen komplex“, aber „von der Richtung her“ sei er „klar justiert“.
Dass seine Pressestelle auf die Fragen von netzpolitik.org danach, ob angesichts der gesellschaftlichen und auch wirtschaftspolitischen Bedeutung von sicheren Verschlüsselungsmethoden ein Aufbrechen der Verschlüsselung oder ein Client-Side-Scanning im Rahmen einer Chatkontrolle als probate Mittel gelten können, nicht nur keine Antworten gibt, sondern stattdessen einen Hinweis auf diesen Offenbarungseid technischer und politischer Inkompetenz sendet, spricht Bände über den Minister und die Bedeutung seines Hauses innerhalb der Bundesregierung. Das ist nicht mal „Seitenlinie“, das ist eher die Tribüne hinten oben.
Der falsche Weg
Man fragt sich, unter welchem Stein der Bundesdigitalminister in den letzten Jahren gelebt hat und ob es niemanden in seinem Haus gibt, der ihn dazu briefen konnte, worum es im Streit über die Chatkontrolle geht: um das absichtliche Unterminieren von IT-Sicherheitsmaßnahmen für massenhafte Chat-Scans und um fundamentale Grundrechte.
Wenn in Schutzmaßnahmen wie Verschlüsselung verpflichtende Hintertüren eingebaut werden müssen, tangiert das die Privatsphäre und den Kernbereich privater Lebensgestaltung von Millionen Menschen und unterminiert zudem auf gefährliche Weise die IT-Sicherheit. Darauf weisen seit Jahren alle hin, die beruflich und wissenschaftlich mit IT-Sicherheit zu tun haben. Chatkontrolle ist technisch gesehen schlicht der falsche Weg.
Aber juristisch ist er es auch. Denn dass eine massenhafte anlasslose Überwachung von individueller Kommunikation mit den europäischen Grundrechten konform geht, wird mit guten Argumenten bezweifelt: Der Juristische Dienst des EU-Rats schätzt den aktuellen Vorschlag als rechtswidrig ein. Die Rechtsexperten stützen sich auch auf ein Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR) aus dem Jahr 2024. Darin heißt es unzweideutig, dass „eine Schwächung der Ende-zu-Ende-Verschlüsselung, die alle Nutzer beträfe,“ gegen die Europäische Menschenrechtskonvention verstößt.
Dass der Digitalminister innerhalb und außerhalb der Bundesregierung zu so wichtigen Fragen in unser digitalisierten Welt keine Position einnimmt, macht ihn zum Komplizen der Befürworter der Chatkontrolle. Gleiches gilt übrigens für die Justizministerin Stefanie Hubig (SPD), deren Nicht-Positionierung angesichts der zweifellos erheblichen Grundrechtseingriffe ebenso blamabel ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Berliner Landesregierung bastelt an einem neuen Polizeigesetz, das mehr Videoüberwachung, Staatstrojaner und viele weitere Befugnisse für die Polizei bereit hält. Dafür gab es massive Kritik – sowohl auf der Straße als auch bei der parlamentarischen Anhörung.
Nach dem Willen von CDU und SPD soll die Berliner Polizei massiv mit neuen Befugnissen ausgestattet werden. – Alle Rechte vorbehalten IMAGO / A. Friedrichs
Die Berliner schwarz-rote Koalition will ein neues Polizeigesetz beschließen, das in Berlin unter dem Namen Allgemeines Sicherheits- und Ordnungsgesetz (ASOG) firmiert. Berlin folgt damit einer ganzen Reihe von Bundesländern, die ihre Polizeigesetze in den letzten Jahren verschärft haben. An der Berliner Gesetzesnovelle gibt es breite Kritik sowohl von der demokratischen Opposition im Parlament wie auch von der Berliner Datenschutzbeauftragten und Menschenrechtsorganisationen wie der GFF.
Anlässlich der Sachverständigenanhörung am Montag protestieren vor dem Roten Rathaus Lilly und Kiki. Sie verteilen Flyer mit der Aufschrift „Nein zu Massenüberwachung und der Kriminalisierung von Protesten“. Sie sind Teil eines Bündnisses zivilgesellschaftlicher Gruppen wie Amnesty International oder dem Komitee für Grundrechte und Demokratie.
„Überall werden Gelder gekürzt, aber für Videoüberwachung ist dann plötzlich Geld da. Dabei verhindert die keine Straftaten, sondern kriminalisiert marginalisierte Gruppen und spaltet den öffentlichen Raum“, sagt Lilly. Dass die Unverletzlichkeit der Wohnung durch die Gesetzesnovelle eingeschränkt wird, sehen die beiden ebenso kritisch.
„Abkehr von der grundrechtsfreundlichen Politik“
Auch in der Sachverständigen-Anhörung hagelt es Kritik für den Entwurf. So sieht die Berliner Datenschutzbeauftragte Meike Kamp eine Vielzahl neuer Datenverarbeitungsermächtigungen und eine erhebliche Ausweitung der Befugnisse der Polizei. Aufgrund der Detailtiefe – die Gesetzesnovelle ist 700 Seiten stark – habe ihre Behörde nicht einmal alle Vorschriften analysieren können.
Das Volumen der geplanten Änderungen kritisiert auch Innenpolitiker Niklas Schrader von der Linken. Denn so umfangreich wie der Gesetzentwurf sei auch der Überarbeitungsbedarf: „Ich bin mir nicht sicher, ob das in dem kurzen Zeitplan, den Sie uns gegeben haben, schaffbar ist“, sagt er bei der Anhörung.
Eine „Abkehr von der grundrechtsfreundlichen Politik“ in Berlin beklagte der Jurist David Werdermann von der GFF sowohl in seiner Stellungnahme (PDF) wie auch in der Anhörung. Zwar versuche der Entwurf die Rechtsprechung des Bundesverfassungsgerichts nachzuzeichnen, das gelinge allerdings nicht immer.
Ein Hauptkritikfeld an dem Gesetz ist laut Werdermann das Festhalten am Konstrukt der „krininalitätsbelasteten Orte“. An diesen dürfen in Zukunft nicht nur anlasslose Kontrollen durchgeführt werden, sondern auch Videoüberwachungsmaßnahmen. Das Gesetz erlaube zudem die Videoüberwachung von öffentlichen Veranstaltungen und die Auswertung des Videomaterials mit sogenannter KI. Werdermann warnt hier vor einem höheren Überwachungsdruck auf Menschen mit atypischen Verhalten wie beispielsweise Wohnungslosen oder Personen mit körperlichen Einschränkungen.
Kritik hat die GFF auch am Einsatz von Staatstrojanern und daran, dass die Polizeibehörden in Zukunft heimlich Wohnungen betreten dürfen, um diese zu installieren. „Ich habe da große Bauchschmerzen mit“, sagt Werdermann. Insgesamt wird durch das neue ASOG die Schwelle zum Einsatz der Staatstrojaner und zur Überwachung von Wohnungen deutlich herabgesetzt.
Ebenso kritisch sieht Werdermann den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Daten: „Jedes Foto, das möglicherweise ohne das Wissen und Einverständnis der betroffenen Person ins Netz gestellt wird, kann zu Überwachungszwecken genutzt werden“, sagt Werdermann. Es sei nach der neuen Gesetzeslage nicht mehr möglich, an einer Versammlung teilzunehmen, ohne damit rechnen zu müssen, dass Fotos, die beispielsweise von der Presse veröffentlicht werden, anschließend von der Polizei für einen Abgleich genutzt würden.
„Freifahrtschein für Massenüberwachung“
„Die Vorschrift schließt zudem weder den Aufbau einer biometrischen Referenzdatenbanken auf Vorrat noch die Nutzung von kommerziellen Datenbanken aus“, schreibt Werdermann in seiner Stellungnahme. Beides sei jedoch mit der KI-Verordnung und dem Recht auf informationelle Selbstbestimmung nicht vereinbar.
Werdermann verweist in der Stellungnahme darauf, dass der Aufbau einer umfassenden biometrischen Referenzdatenbank – bestehend aus öffentlich zugänglichen Lichtbildern, Videos und Tonaufnahmen aus dem Internet – unverhältnismäßig in Grundrechte eingreift. Das Bundesverfassungsgericht habe mehrfach herausgestellt, dass biometrische Daten besonders schutzwürdig seien. „Durch den Aufbau einer Datenbank, um biometrische Daten vorzuhalten, wären Grundrechte von Millionen, wenn nicht Milliarden von unbeteiligten Personen betroffen, die keinen Anlass für polizeiliche Überwachung gegeben haben“, so Werdermann weiter.
Statt konsequent gegen rechtswidrige Angebote wie PimEyes vorzugehen, schaffe der Senat mit dem Entwurf eine Grundlage für biometrische Massenüberwachung durch die Berliner Polizei, schreibt Werdermann. Diese kritisiert auch die grüne Innenpolitikerin Gollaleh Ahmadi. Sie sieht in der Gesetzesnovelle einen „Freifahrtschein für Massenüberwachung“.
Berlins Datenschutzbeauftragte Meike Kamp kritisiert auch die Verarbeitung von Daten zum Training von KI-Systemen. Hier dürfe zuviel Material ohne Eingriffsschwelle und Löschfristen genutzt werden, sie gehe zudem davon aus, dass auch nicht-anonymisierte Klardaten verarbeitet würden. Daten, die einmal zum Training von Künstlicher Intelligenz genutzt wurden, ließen sich nicht mehr löschen, betont Kamp. Zudem vermute sie, dass solche Daten auch in automatisierten Analyseplattformen landen, deren Nutzung der Berliner Polizei künftig erlaubt sein soll. Zu solchen Plattformen gehört auch die Software „Gotham“ vom umstrittenen US-Unternehmen Palantir.
Präventive Funkzellenabfrage
Ebenso zu wenig geregelt seien die Funkzellenabfragen, wo die Eingriffsschwellen zu niedrig seien. Hier sei auch davon auszugehen, dass Funkzellendaten für KI-Training genutzt werden. „Durch die Verknüpfung der erhobenen Daten mit automatisierten Analyseplattformen lassen sich detaillierte Bewegungsprofile erstellen. Dies ermöglicht Rückschlüsse auf politische Aktivitäten, soziale Beziehungen und persönliche Gewohnheiten der Betroffenen“, schreibt die Berliner Datenschutzbeauftragte in ihrer Stellungnahme (PDF).
Der grüne Innenpolitiker Vasili Franco kritisiert, dass die Funkzellenabfragen in Zukunft auch gegen Personen gerichtet sein können, die nur vermutlich an einer Straftat teilnehmen werden. Damit verschiebt das neue Polizeigesetz die Funkzellenabfragen von der nachträglichen Ermittlung in den präventiven Raum.
Sowohl Sachverständige wie auch Oppositionspolitiker:innen verwiesen in der Anhörung darauf, dass man das verschärfte Polizeigesetz auch vor dem Hintergrund des Rechtsrucks sehen müsse – und dass man damit einer möglichen autoritären Regierung Werkzeuge in die Hand gebe.
Dokumente
Stellungnahmen von Sachverständigen zur Novelle des Berliner ASOG
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
