Die Wirtschaftssenatorin Franziska Giffey nutzt die Notfallsituation in Berlin, um sich mit der Forderung nach mehr Videoüberwachung zu profilieren. Sie will auch „Künstliche Intelligenz“ einsetzen. Doch mehr Kameras helfen nicht, wenn es eigentlich andere Maßnahmen braucht. Ein Kommentar.
Videoüberwachung der Polizei am Berliner Alexanderplatz. – Alle Rechte vorbehalten IMAGO / Future Image
Nach dem mehrtägigen und noch anhaltenden Stromausfall im Südwesten von Berlin wegen eines Brandanschlags hat die Berliner Wirtschaftssenatorin Franziska Giffey (SPD) mehr Videoüberwachung gefordert. Offenbar geht sie davon aus, dass mehr Kameras eine sinnvolle Konsequenz aus dem viele tausend Haushalte und Unternehmen betreffenden Krisenfall sein oder einen solchen gar verhindern könnten. Der Regierende Bürgermeister Kai Wegner von der CDU sekundierte eilig.
Giffey kündigt zugleich an, die vermehrte Videoüberwachung durch „Künstliche Intelligenz“ ergänzen zu wollen, etwa zur Wärmeerkennung. Vielleicht hat sie sich Kameras vorgestellt, die Wärmebilder aufzeichnen, unterstützt durch eine Software, die solche Bilder analysiert: eine automatische Menschenerkennung gewissermaßen, die auf magische Weise böse Absichten sichtbar macht.
Künstliche Intelligenz
Wir schrieben schon über maschinelles Lernen, bevor es ein Hype wurde. Unterstütze unsere Arbeit!
Nun könnte sich die Wirtschaftssenatorin für die Notfallhilfe und die bessere Versorgung, Unterbringung und Aufklärung von stromlosen frierenden Menschen einsetzen, denn der Stromausfall betrifft auch die Fernwärmeversorgung. Sie könnte sich mehr vorsorgende Gedanken machen, wie künftig bei Katastrophen oder absichtlichen Zerstörungen der Schaden für die betroffenen Menschen und die Wirtschaft minimiert werden kann.
Oder sie kann sich mitten in der Notfallsituation einfallsarm, aber vorhersehbar für mehr Videoüberwachung starkmachen. Schon nach kurzem Nachdenken erscheint das jedoch als keine schlaue Idee. Denn von Stromausfällen sind zumeist auch Kameras und auswertende Computer betroffen. Im Krisengebiet in Berlin waren auch Internet- und Telefonverbindungen gestört.
Videoüberwachung nicht sinnvoll
Videoüberwachung ist nicht geeignet, Anschläge zu erschweren oder gar zu verhindern. Denn die bloße filmende Kamera führt bekanntlich weder zu mehr Sicherheit noch zu mehr Resilienz. Zwar wird zuweilen behauptet, Kameras mit Mustererkennungssoftware könnten Gefährdungssituationen zuverlässig identifizieren oder gar durch ein schnelles Eingreifen nach Alarmierung verhindern. Die Realität sieht aber anders aus: unwissenschaftliche Schönfärberei in Hamburg, auch das Vorzeigebeispiel Mannheim ist keine Erfolgsgeschichte. Es bleiben doch nur Computer, die auf Menschen starren.
Die Sinnhaftigkeit der Forderung nach Videoüberwachung kann also nur darin liegen, bei absichtlichen Sabotagen die Tätersuche zu unterstützen. Allerdings können sich auch nur mäßig begabte Kriminelle sehr leicht unkenntlich machen.
Beim Berliner Stromnetz seien bereits drei Viertel der Leitungen vom Netzbetreiber oder anderen Privaten kameraüberwacht, sagte Giffey. „Was nicht videoüberwacht ist, ist auf öffentlichem Straßenland“. So sei das auch bei der am Samstag sabotierten Kabelbrücke in Berlin, meint die Senatorin. Allerdings wissen ortskundige Berliner, dass dort ein großes Heizkraftwerk an der Wasserkanalseite liegt. Das ist umzäunt und auch bewacht und wäre damit kein öffentliches Straßenland. Und an „gefährdeten Objekten“ ist es ohnehin geltendes Recht, dass Videoüberwachung möglich ist. Denn an solchen „gefährdeten Objekten“ dürfen Bildaufnahmen gemacht und auch aufgezeichnet werden.
Schlechtes Notfallmanagement
Mit fragwürdigen Maßnahmen wie Videoüberwachung kann der Berliner Senat nicht von der Tatsache ablenken, dass die Verwaltung nur ein schlechtes Notfallmanagement zeigte. Die Hilfen seien zu langsam und unvollständig gekommen, der Regierende Bürgermeister hätte sich rar gemacht.
Wer vom Stromausfall betroffen ist, dem nützt eben kein Bild eines Täters, der bei einer Sabotage gefilmt wird. Natürlich muss nach dem Ende der Krisensituation die Tätersuche priorisiert werden. Aber eine große Krise mit vielen betroffenen Menschen verlangt erstmal nach gut organisierter Hilfe und Notfallmaßnahmen, danach nach sinnvoller und bezahlbarer Vorsorge, zumal nicht nur Absicht, sondern auch Katastrophen und Unfälle ein ebenso großes Schadensbild erzeugen könnten.
Politiker neigen dazu, sich in Krisensituationen mit „Gummistiefel-Fotos“ und starken und einfachen Forderungen profilieren zu wollen. Genau das macht Giffey hier. Und eine Großkrise mit Stromausfall bei zehntausenden Haushalten bietet sich für ehrgeizige Politiker einfach an, selbst wenn die Forderung nicht so recht ins eigene Ressort passt und keinen Sinn ergibt. Videoüberwachung, gar mit „Künstlicher Intelligenz“, klingt aber immerhin modern. Bezahlbarer Bevölkerungsschutz und Krisenvorsorge sind hingegen die dicken Bretter, die eigentlich zu bohren wären.
Die halbe Stadt nun kameraüberwachen zu wollen, ist allerdings gar nichts Neues. Denn zur Wahrheit gehört, dass die Berliner Koalition ohnehin seit dem Sommer plant, die Anzahl der festinstallierten Videoüberwachungskameras dauerhaft auszubauen. Auch die automatische Verhaltenserkennung mit „Künstlicher Intelligenz“ war in dem Plan zur Ausweitung der Polizeibefugnisse schon enthalten.
Aktionismus statt solide Politik hat in Berlin eben Tradition. Wie sagte Joseph Weizenbaum so treffend: „Früher hat man dem Computer ein Problem übergeben, wenn man es verstanden hatte, heute ist es andersrum.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Digitale Modelle von Skeletten werden neuerdings in Strafverfahren genutzt. Warum ist das etwas anderes als ein Fingerabdruck? Und warum ist es nicht ratsam, derartige Beweismethoden für eine Anklage zu nutzen? Darüber sprechen wir im Interview mit zwei Fachleuten.
Wem gehört dieses Skelett? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mathew Schwartz
Dass Fingerabdrücke oder DNA-Spuren in Strafverfahren als Beweise herangezogen werden, ist weit verbreitet. Aber mittlerweile halten zunehmend neue Technologien in die Gerichtssäle Einzug. Ein Beispiel: 3D-Modelle von mutmaßlichen Täter:innen werden automatisiert mit Videoaufnahmen vom Tatort abgeglichen. So soll bestimmt werden, ob auf dem Video die vermutete Person zu sehen ist – ganz ohne Gesicht.
Auch im sogenannten Budapest-Komplex spielt das eine Rolle. In einem aktuellen Prozess werden einem Beschuldigten Angriffe auf Neonazis, darunter versuchter Mord, vorgeworfen. Die Anklage stützt sich auch auf eine Analyse mittels Skelett-Modell und den Abgleich mit Tatort-Videos.
Wir haben dazu mit Anne Zettelmeier und Prof. Dr. Dominik Brodowski von der Universität des Saarlandes gesprochen. Sie forschen zum Einsatz von Technologien im Justizwesen und warnen davor, KI-gestützte Ergebnisse als alleinige Beweismittel zu nutzen.
Sie forschen im von der Daimler und Benz Stiftung geförderten Ladenburger-Kolleg „Technologische Intelligenz zur Transformation, Automatisierung und Nutzerorientierung des Justizsystems (TITAN)“ und warnen davor, KI-gestützte Ergebnisse als alleinige Beweismittel zu nutzen.
Anne Zettelmeier - Alle Rechte vorbehalten Daimler und Benz Stiftung / Gerald Schiling
netzpolitik.org: Wie funktioniert eine Analyse mit digitalen Skeletten und wo kommt dabei eine KI zum Einsatz?
Zettelmeier: Um ein Skelettmodell einer Person zu erstellen, werden Marker an die Person angebracht – entweder händisch an bestimmten Körperstellen oder durch die automatisierte Erkennung bestimmter Punkte am Skelett.
Beim Einsatz in Strafverfahren geht es um den Vergleich zwischen dem erstellten digitalen Skelettmodell und einem Tatort-Video. Bei diesem Abgleich soll eine KI eingesetzt werden, um die beiden Täter-Skelett-Modelle zu vergleichen. Das Programm nennt dann am Ende eine Prozentzahl, mit welcher Wahrscheinlichkeit die Personen übereinstimmen und ein Verdächtiger die Person auf einem Tatort-Video ist.
netzpolitik.org: Mit welcher Software kann man das machen?
Brodowski: Mit Produkten, die auf dem Markt erhältlich sind und zur Modellierung von Bewegungsabläufen oder auch zur Identifikation von entsprechenden Markern dienen.
Allerdings sind diese Produkte teils für ganz andere Zwecke geschaffen worden, beispielsweise für die Filmindustrie, um verstorbene Schauspieler mit Bewegungen wieder zum Leben zu erwecken. In Kinofilmen geht es im Gegensatz zu Strafverfahren aber nicht um die Rekonstruktion einer materiellen Wahrheit. Da gelten ganz andere Zielrichtungen und Genauigkeitsmaßstäbe.
Biomechanische Gutachten und Computer-Simulation
netzpolitik.org: Ist der Ansatz, 3D-Modelle in Strafverfahren für eine Beweisführung zu nutzen, komplett neu?
Prof. Dr. Dominik Brodowski - Alle Rechte vorbehalten Jörg Pütz
Brodowski: Dass Skelettmodelle für die Beweisführung genutzt werden, ist noch relativ neu. Der Literatur zufolge wurde das allerdings bereits in anderen Verfahren eingesetzt, um Beschuldigte zu be- oder entlasten.
Bereits etablierter sind von Gutachtern erstellte Expertisen. Ein eindrückliches Beispiel hierfür ist der sogenannte Badewannen-Mord, bei dem sich im Nachhinein herausgestellt hat, dass es gar kein Mord war.
Ein Mann wurde dafür verurteilt und saß 13 Jahre lang unschuldig in Haft, bis ein Wiederaufnahmeverfahren nachgewiesen hat, dass er als Täter nicht in Betracht kommt. Dafür hat man unter anderem in einem biomechanischen Gutachten und per Computersimulationen untersucht, wie die Mechanik des menschlichen Körpers mit dem vermuteten Geschehen in Einklang zu bringen ist.
netzpolitik.org: Worin besteht der Unterschied, ob ich ein Verfahren zur Be- oder Entlastung nutze?
Zettelmeier: Gerade das ist eine wichtige Differenzierung. Es kann auf der einen Seite natürlich zur Entlastung beitragen, wenn Körperbau und Bewegungen einer Person gar nicht zu denen eines Menschen auf einer Aufnahme passen. Um solche Modell-Analysen aber zur Belastung von Verdächtigen zu nutzen, muss man sich sehr sicher sein – beispielsweise wenn ein KI-Modell zum Ergebnis kommt, dass es sich bei einer Person auf einem Video wahrscheinlich um den Tatverdächtigen handelt.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Eine Anklage oder am Ende sogar eine Verurteilung allein auf die Ergebnisse eines solchen Modells zu stützen, wäre ein Problem, weil diese Methode nicht ausreichend wissenschaftlich fundiert und untersucht ist. Wenn jemand falsch verurteilt wird und dann wie im Badewannen-Fall viele Jahre unschuldig in Haft sitzt, hat das schwerwiegende Folgen.
Brodowski: Für eine Verurteilung muss ein Gericht von der Schuld des Beschuldigten überzeugt sein und diese subjektive Überzeugung muss sich auch auf eine objektiv hohe Wahrscheinlichkeit stützen. Umgekehrt ist es aber so, dass bereits begründete Zweifel an der Schuld zwingend zum Freispruch zu führen haben. Dann greift der In-dubio-pro-reo-Grundsatz.
Das heißt, wenn wir nun anhand einer solchen Methodik Zweifel an einer Täterschaft eines Beschuldigten säen können, funktioniert das. Aber um als alleiniges Beweismittel dafür auszureichen, dass eine Person am Tatort war, braucht man eine ausgesprochen hohe Sicherheit hinter dieser Methodik. Die sehe ich zum aktuellen Zeitpunkt noch nicht.
Es braucht mehr Untersuchungen unter Realbedingungen
netzpolitik.org: Was bräuchte es denn dafür, dass solche Skelett-Analysen für eine Beweisführung vor Gericht genutzt werden könnten?
Brodowski: Mehr Untersuchungen zur Zuverlässigkeit der Methode, gerade unter Realbedingungen. Es ist ein Unterschied, ob man solche Analysen in einem Labor unter Idealbedingungen mit genügend Vergleichsmaterial durchführt oder ob man verrauschte Handyvideos und Schwarz-weiß-Aufnahmen einer Überwachungskamera nutzt.
Menschen bewegen sich auch im Laufe der Zeit unterschiedlich. Die Knochen bleiben dieselben, aber der Bewegungsapparat verändert sich im Laufe eines Tages, im Laufe von mehreren Monaten. Auch in Stresssituationen können sich Bewegungsmuster verändern. All diese Faktoren und ihre Auswirkungen müssen untersucht werden. Ich sehe da noch großen Forschungsbedarf.
Dazu kommt noch eine andere Problematik, die beim Einsatz von KI auftritt: Die Berechnungen und die Ergebnisse sind nicht gut nachvollziehbar. Das ist die sogenannte Blackbox-Problematik und Ansätze mit Explainable Artificial Intelligence und ähnlichem haben noch keinen durchschlagenden Erfolg gebracht.
Wenn wir nicht wissen, wie nun eine solche Blackbox von einem Ausgangsdatensatz zum Ergebnis kommt, müssen wir das immer mit Vorsicht genießen.
Uns fehlen diesesJahr noch 257.709 Euro.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Verteidiger:innen müssen sich bei digitalen Beweismitteln weiterbilden
netzpolitik.org: Welche Auswirkungen hat es denn auf die Verteidigung und die Richter:innen in Strafverfahren, wenn Ergebnisse eines KI-Modells in Strafverfahren einfließen und nicht klar nachvollziehbar ist, wie diese zustande kommen?
Zettelmeier: Im Zweifel kann das zu einem sogenannten Automation Bias führen. Das bedeutet, dass man sich zu sehr auf die generierten Ergebnisse verlässt und beruft.
Es gibt zum Beispiel in Spanien das VioGén-System, das nach Anzeigen von Frauen wegen Gewalt das Risiko berechnen soll, erneut Gewalt zu erfahren. Basierend auf dem Risiko kann es dann richterliche Anordnungen zum Beispiel für ein Näherungsverbot der früheren Täter geben. Dort gibt es auch die Kritik, dass sich die Richter zu stark auf das generierte Ergebnis berufen und es nicht mehr zu einer eigenständigen Überprüfung kommt.
Brodowski: Umso wichtiger ist deshalb, dass man Transparenz herstellt, wann und an welcher Stelle in Verfahren Künstliche Intelligenz eingesetzt wird. Es darf etwa nicht passieren, dass ein Sachverständiger sehr überzeugt im Gerichtssaal auftritt und dort sein schriftliches Gutachten präsentiert und man nur in Fußnoten herausfindet, dass bei bestimmten Auswerteschritten KI eingesetzt wurde.
Das entspricht auch nicht den Anforderungen, die aus der EU-KI-Verordnung folgen. Diese verlangt ein hohes Maß an Transparenz, um einem solchen Automation Bias entgegenwirken zu können.
Eine gute Verteidigung wird solchen Ansätzen nachgehen und versuchen, Zweifel an der Methodik zu säen. Das verlangt jedoch viel von der Strafverteidigung, die sich deswegen auch im Bereich solcher digitaler Beweismittel zunehmend professionalisieren muss. Während in der Vergangenheit der Fokus der Verteidigung häufig auf der Glaubwürdigkeit von Zeugenaussagen gelegen hat, muss sie sich zukünftig immer mehr auch auf die Aussagekraft von solchen digitalen Beweismitteln fokussieren und hier Fachkompetenz hinzuziehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.
Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.
Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.
So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.
Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.
Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.
Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen
Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.
Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.
All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.
Besuche in der Deutschen Botschaft und beim Polo
Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.
Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.
Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.
Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.
Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.
Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.
Eine Gefahr für Europa
Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.
Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.
Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.
Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP. Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.
EU könnte Datenschutz noch weiter abschwächen
Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“
Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.
Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die EU-Staaten fordern ein neues Gesetz zur Vorratsdatenspeicherung, das weit über die alten Gesetze hinausgeht. Das geht aus einem EU-Dokument hervor, das wir veröffentlichen. Praktisch alle Internet-Dienste sollen Daten ihrer Nutzer anlasslos speichern, auch Messenger wie WhatsApp und Signal.
Die anlasslose Vorratsdatenspeicherung ist unverhältnismäßig und rechtswidrig. Mit dieser Begründung haben das Bundesverfassungsgericht und der Europäische Gerichtshof entsprechende Gesetze gekippt.
In Deutschland arbeitet die Bundesregierung an einer neuen Vorratsdatenspeicherung. Laut Koalitionsvertrag sollen Internet-Zugangs-Anbieter „IP-Adressen und Portnummern“ drei Monate lang speichern, „um diese einem Anschlussinhaber zuordnen zu können“.
Die EU-Institutionen arbeiten an einer noch umfassenderen Vorratsdatenspeicherung. Geht es nach den EU-Staaten, sollen alle möglichen Internet-Dienste eine Vielzahl an Daten ein Jahr lang speichern.
Deutsche Befürworter der Vorratsdatenspeicherung fordern, dass Internet-Zugangs-Anbieter IP-Adressen ihrer Kunden speichern müssen. Wenn Ermittler auf eine IP-Adresse stoßen, sollen sie damit den Inhaber des entsprechenden Internet-Anschlusses identifizieren.
Die EU-Staaten gehen weit über Internet-Zugangs-Anbieter hinaus. Die meisten Staaten fordern „einen möglichst breiten Geltungsbereich“ für Internet-Dienste. Einige EU-Staaten fordern explizit eine Vorratsdatenspeicherung für „Over-the-Top-Dienste“. Die Begründung: Nur noch drei Prozent mobiler Nachrichten werden über SMS verschickt, die restlichen 97 Prozent über Messenger wie WhatsApp und Signal. Also sollen auch diese Messenger Daten speichern müssen.
Die EU-Staaten nennen „eine Vielzahl von Dienstleistern“, für die ein neues Gesetz zur Vorratsdatenspeicherung gelten soll. Sie erwähnen explizit „Domain-Registrare, Hosting-Anbieter, Filesharing- und Cloud-Speicherdienste, Zahlungsdienstleister, Anbieter von VPN-Diensten, Kryptowährungshändler, Vermittler von E-Commerce- und Finanzplattformen, Taxi- und Lebensmittellieferdienste und Gaming-Plattformen sowie Automobilhersteller“.
Die meisten dieser Dienste fallen bereits in den Anwendungsbereich der E-Evidence-Verordnung. Die regelt jedoch den anlassbezogenen Zugriff auf bereits vorhandene Daten. Die Vorratsdatenspeicherung verpflichtet zur anlasslosen Speicherung neuer Daten.
Wer, wann, wo, wie, mit wem?
Deutsche Befürworter der Vorratsdatenspeicherung betonen immer wieder, dass es nur um IP-Adressen geht. Schon das deutsche Gesetz soll auch Portnummern umfassen.
Die EU-Staaten finden, dass „Daten zur Identifizierung eines Nutzers“ wie „Teilnehmerdaten und IP-Adressen“ nur die „Mindestdatenkategorie sein sollten“. Einige Staaten wollen auch Seriennummern von Internet-Geräten speichern.
Manche Staaten wollen auch Kommunikations-Verbindungs-Daten speichern. Ermittler sollen in den Daten erkennen, „wer wann, wo und wie mit wem kommuniziert hat“. Das erinnert an die EU-Richtlinie von 2006. Damals mussten Anbieter für jeden Anruf, jede SMS, jede E-Mail und jedes Internet-Telefonat speichern, „wer wann, wo und wie mit wem kommuniziert hat“.
Einige EU-Staaten fordern auch „eine allgemeine und unterschiedslose Vorratsspeicherung“ von Standortdaten. Mobilfunk-Netze wissen immer, wo ein Smartphone ist. Diese Daten sind extrem aussagekräftig und sensibel. Manche EU-Staaten wollen mit diesen Daten vermisste Personen suchen. Andere Staaten betonen, dass „nicht alle Fälle von vermissten Personen eine potenzielle Straftat darstellen“.
Mindestens ein Jahr Speicherfrist
Die alten Gesetze von EU und Deutschland hatten eine Speicherdauer von sechs Monaten. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“. Trotzdem soll das neue neue deutsche Gesetz eine Frist von drei Monaten vorschreiben.
Die EU-Staaten wollen deutlich längere Speicherfristen. Die meisten Staaten fordern „eine Dauer von einem Jahr und in jedem Fall nicht weniger als sechs Monate“. Einige Staaten befürworten noch „längere Aufbewahrungsfristen für komplexe Ermittlungen oder sehr schwere Straftaten“.
Einige Staaten wollen, dass die EU die Aufbewahrungsfristen nur „als Mindestfrist und nicht als Höchstfrist festlegt, damit die Mitgliedstaaten bei Bedarf längere Aufbewahrungsfristen beibehalten können“.
Nicht nur schwere Straftaten
Die Vorratsdatenspeicherung wurde ursprünglich nach den Terroranschlägen am 11. September 2001 eingeführt und mit dem Kampf gegen internationalen Terrorismus begründet. Mittlerweile wird die Vorratsdatenspeicherung oft mit sexuellem Missbrauch von Kindern und Jugendlichen begründet.
Die EU-Staaten betonen jedoch, „dass Metadaten für die Ermittlung praktisch aller Straftaten relevant sein könnten“. Ermittler sollen Vorratsdaten vor allem bei schweren Straftaten nutzen. Was als „schwere Straftat“ gilt, sollen jedoch die Nationalstaaten definieren. Auch „Aspekte der nationalen Sicherheit“ sollen die Staaten ohne EU regeln.
Neben schweren Straftaten fordern die Staaten die Nutzung von Vorratsdaten gegen „alle Straftaten, die im Cyberspace oder unter Verwendung von Informations- und Kommunikationstechnologie begangen werden“.
Die meisten Staaten befürworten „die Einbeziehung von Straftaten, die überwiegend online begangen werden (Stalking, Hassverbrechen usw.), auch wenn das Strafmaß moderat ist, aber der Mangel an Daten die Ermittlungen praktisch unmöglich machen würde“.
Verhältnismäßigkeit neu bewerten
Das Rats-Dokument fasst zusammen, warum die alte Vorratsdatenspeicherung rechtswidrig war: „Sie hat die Verhältnismäßigkeitsprüfung nicht bestanden, da sie pauschal alle Personen und alle elektronischen Kommunikationsmittel sowie alle Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahme erfasst hat.“
Mit der neuen Vorratsdatenspeicherung sollen mehr Anbieter mehr Daten länger speichern, die Ermittler für mehr Zwecke verwenden dürfen. Wie das rechtskonform gehen soll, bleibt offen.
Einige Staaten fordern, die Rechtsprechung der Gerichte neu zu interpretieren. Sie wollen „die Notwendigkeit und Verhältnismäßigkeit angesichts der technologischen Entwicklungen und der sich wandelnden Begehungsweisen von Straftaten neu bewerten“.
Gesetzesvorschlag 2026
Die meisten EU-Staaten fordern ein neues EU-Gesetz zur Vorratsdatenspeicherung. Die EU-Kommission arbeitet bereits daran.
Nach Angaben der Kommission könnte sie „Ende des ersten Halbjahres 2026“ einen Gesetzesvorschlag präsentieren.
Hier das Dokument in Volltext:
Classification: Limite
Date: 27 November 2025
Place: Brussels
From: Presidency
To: Delegations
Document: WK 16133/2025 INIT
Presidency Outcome Paper – Future rules on data retention in the European Union
1) Introduction
On 25 September 2025, the Danish Presidency organised a meeting of the Working Party on Judicial Cooperation in Criminal Matters (COPEN). The purpose of the meeting was to continue discussions on a possible design for a future EU legal framework on data retention and to contribute to the Commission’s impact assessment, by identifying the main priorities of the Member States in this area, in particular in light of the requirements laid down in the case-law of the Court of Justice of the European Union (CJEU).
During the meeting, the Commission provided an update on their work on the impact assessment, including a presentation of the preliminary results of the call for evidence and the public consultation. The Commission reported that the response rate to the general open consultation had been very high and thus a big success. On the targeted consultation, the Commission summarised the input received from Member States and asked for it to be supplemented by more information regarding electronic data used for criminal investigations. The Commission is planning to finalise the impact assessment in the first quarter of 2026. If the result of the impact assessment pointed in the direction of a legislative proposal, that proposal could, according to the Commission, be presented at the end of the first semester of 2026.
During the exchange of views, most Member States reiterated their support for future EU legislation in this area. In this regard, most Member States referred to the need to remain within the limits defined by the CJEU, while some stressed the need to go beyond mere codification of the case-law and thought that necessity and proportionality should be re-assessed in the light of evolving technologies and developments in the way crimes are committed. Many considered that the overall proportionality of the retention regime could only usefully be ensured through access level and through additional safeguards. Moreover, Member States emphasised that certain elements should remain within their national competence, such as the definition of what constitutes ’serious crime‘. Also, aspects related to national security should be exempt from the scope of any future EU legislation on data retention. This would mean that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security would have to be exempt from future EU legislation, regardless of which national authority requested access.
At the end of the meeting, the Presidency invited Member States to send their contributions in writing based on the guiding questions outlined in the Presidency’s discussion paper, WK 11640/2025.
2) Background and context
For more than a decade, the European Union has not had a common set of rules regulating the retention of personal data for the purpose of the investigation, detection and prosecution of serious crime. On 8 April 2014, the Data Retention Directive in force at the time (Directive 2006/24/EC)[1] was declared invalid ab initio by the CJEU in the landmark judgment in joined cases C-293/12 and C-594/12, Digital Rights Ireland and Others.[2] In that judgment, the CJEU found that the Directive violated Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, i.e. the right to respect for private and family life and the right to the protection of personal data. Even though the CJEU found that the Directive had a legitimate aim, it did not pass the proportionality test, given that it covered in a generalised manner all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation, or exception being made in the light of the necessary objective of fighting serious crime.
Since the Directive was declared invalid, the CJEU has developed and further refined its case-law on Member States‘ access to retained and stored data for the purpose of fighting serious crime.[3] In the absence of a harmonised EU legal framework, Member States have had to navigate complex legal terrain to ensure that their national laws align with the CJEU’s standards on necessity and proportionality, as well as privacy and data protection safeguards. In the Council, discussions of the consequences of the jurisprudence have taken place since 2014 in various fora, i.e. JHA Council meetings, but also in more detail in the COPEN Working Party.
In June 2023, the Swedish Presidency, together with the European Commission, launched a High-Level Group on access to data for effective law enforcement (HLG), aiming to stimulate the discussion and open it to other relevant stakeholders. The HLG issued its concluding report in November 2024[4], in which the HLG confirmed that one of the main areas of access to data for law enforcement purposes is data retention. This was reiterated by the Council conclusions of 12 December 2024 on access to data for effective law enforcement, which invited the Commission to present a roadmap for the implementation of relevant measures to ensure the lawful and effective access to data for law enforcement.[5] Furthermore, in its conclusions of 26 June 2025, the European Council invited the EU Institutions and the Member States to take further action to strengthen law enforcement and judicial cooperation, including on effective access to data for law enforcement purposes.[6]
During the discussions at the informal delegates‘ meeting of the Coordinating Committee in the area of police and judicial cooperation in criminal matters (CATS) in Copenhagen on 1-2 September 2025, many delegates stressed the importance of a timely Commission proposal for a harmonised set of rules on data retention in order to ensure that law enforcement authorities across the EU have effective access to data when investigating and prosecuting organised crime.
Within this context, the work done in the COPEN Working Party during the Danish Presidency has focused on contributing to this goal, by ensuring that the Member States‘ approaches and priorities are identified and taken into account in the Commission’s impact assessment, following up on the work done by the Polish Presidency and in full coordination with the other communities concerned by the topic of access to data for law enforcement (i.e. the Standing Committee on operational cooperation on internal security (COSI) and the Horizontal Working Party on Cyber Issues (HWPCIs)).
3) Summary of the Member States‘ remarks
Following the COPEN Working Party meeting on 25 September 2025, the Danish Presidency has received written contributions from fifteen Member States[8] and the EU Counter-Terrorism Coordinator (EU-CTC) with reference to the questions outlined in the Presidency discussion paper prepared for that meeting (WK 11640/2025). The contributions have been compiled in their full length in document WK 13500/25 and were distributed to Member States on 31 October 2025. In the following, the Presidency seeks to summarise both the written contributions and the oral comments made during the meeting in order to provide an overview of the Member States‘ main positions in this area. Hence, the summary reflects the Presidency’s reading of and selection from the inputs provided and does not in any way prejudge the official or final position of Member States.
Support for a new legislative framework
Member States highlight that stored traffic and location data are particularly relevant for the effective investigation and prosecution of criminal offences that leave few traces other than such data (e.g. cases regarding the acquisition, dissemination, transmission or making available online of child sexual abuse material[9]), and thereby minimise the risk of systemic impunity. With relevant data, investigators can get a clear picture of the criminal offences committed. They emphasise that evidence is not always incriminating, but in many cases, it is exculpatory and can lead to an acquittal. For this reason, some Member States believe it is appropriate to provide for new rules which include general data retention and which are accepted by the CJEU.
Most Member States express support for a new legislative framework at EU level, highlighting the need for harmonised rules to address the fragmentation after the 2006 Directive was declared invalid in 2014. However, this support is expressed with cautionary remarks concerning the need to incorporate elements to guarantee proportionality and necessity as well as robust safeguards against abuse. Some Member States emphasise the limitations imposed in particular by the Digital Rights Ireland judgment and the need to avoid indiscriminate retention, while a few Member States explain that they do not have a formal position yet on the need for new legislation on data retention at EU level. The EU-CTC is in favour of establishing a harmonised EU regime on data retention that is technology-neutral and future-proof and advocates for the use of standardised formats for data retention.
Most Member States recall that safeguarding national security falls within the remit of their competence and this area should therefore be excluded from the scope of any future EU legal framework on data retention. According to certain Member States, the framework should be defined in such a way as not to impede the exercise of their competence in the area of national security. This implies that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.
In addition, some Member States also mention the importance of aligning future data retention rules with existing EU regulations which provide law enforcement authorities access to retained data, mainly the e-Evidence Regulation[10], but also others, such as regulation in the field of consumer protection.[11]
Scope of service providers
Regarding the service providers that should be covered by the obligation to retain data, most Member States express general support for future legislation to have the broadest possible scope of application, including the possibility of adapting the list to future technological and market developments.
More concretely, some Member States and the EU-CTC agree that over-the-top (OTT) services should be subject to retention obligations due to their dominance in communications (approximately 97% of mobile messages are currently sent via OTTs, with traditional SMS and MMS making up only about 3% of messages[12]). Nevertheless, some Member States mentioned that the impact which such an extension would have on OTT business models and that the related costs should be taken into account. Further to the general reference to OTTs, Member States provided detail on a wide range of service providers to be included in a future legal framework, such as domain name registries, hosting providers, file sharing and cloud storage services, payment service providers, providers of VPN services, cryptocurrency traders, e-commerce and financial platforms intermediaries, taxi and food delivery services and gaming platforms, as well as car manufacturers, most of which are already included in the scope of the e-Evidence Regulation.
Regarding alignment of services with the e-Evidence Regulation, several Member States point out that it would be useful to include at least the same scope of services in a future legal framework on data retention to ensure the full effectiveness of access rules under the e-Evidence Regulation.
Data to be retained
Regarding the data to be retained, most Member States mention that data to identify a user should be the minimum data category to be included in future legislation, such as subscriber data and IP addresses. Furthermore, metadata associated with communications (traffic and location data) should be included, with content data clearly excluded. Some Member States also mention data to identify the destination and service recipient’s communication equipment in order to determine the location of mobile communication equipment.
As regards the possibility of imposing a general and indiscriminate data retention obligation on telecommunication providers in order to locate missing persons, most Member States consider that location data is crucial in such cases, with some expressing support for including a general and indiscriminate retention of such data for the purposes of conducting search operations and rescuing people, given how highly effective this is, while others consider that such a retention obligation would need to be finely tuned since not all cases of missing persons involve a potential criminal offence.
Targeted retention
On the benefits of targeted data retention for traffic and location data, Member States noted that the aim of targeting measures would be to provide proportionality and to limit interference with individuals‘ privacy, as data should only be retained according to clearly defined criteria, in line with the CJEU’s case-law.
On the shortcomings, Member States generally agree that targeted data retention based on geographical criteria would be technically challenging to implement (and even impossible for some), due to the current configuration of providers‘ networks, which does not allow for restriction of data retention to a pre-defined area, while being very costly for service providers. In addition, Member States consider that targeted data retention would be insufficient to achieve a good outcome for the investigations, since law enforcement authorities will not always know in advance by whom, when, and where a crime is going to be committed.
Moreover, retention based on geographical or personal criteria could be easily circumvented e.g. by criminals using other persons‘ identities or shifting their criminal activities to areas not covered by data retention obligations. Targeted data retention limited to data of persons with a criminal history would not account for first-time offenders as well as foreign offenders (not included in national databases). Furthermore, reliance on criminal statistics would risk not accounting for areas where crimes are prepared or concealed or for crimes that cannot easily be linked to a certain location such as financial crimes. As a consequence, such targeted retention would not meet the needs to effectively investigate a number of crimes including organised crime, cybercrimes or terrorism.
For some Member States, targeted retention could also raise constitutional issues because of risks of discrimination and the presumption of innocence. Some Member States also expressed concerns that applying such targeted retention would lead to unequal protection of victims depending on where the crime is committed (e.g. murder in a remote area outside the targeted geographical area) and potentially hamper the early stages of investigations in relation to unknown suspects. In these cases, the lack of data to identify a potential perpetrator could result in delays in time-sensitive investigations where there is a potential risk to life.
Several Member States also point to the high complexity of designing and implementing such a targeted retention regime, which would need to define all relevant criteria capturing future criminal behaviour based on historical data and would need to be constantly updated (creating additional burden for companies).
Instead, several Member States and the EU-CTC recommend working on a system that allows for an adequately graduated and differentiated retention regime, with limitations defined in terms of data categories and retention periods, accompanied by strengthened security requirements and strict access rules and purpose limitations, user information, complaint mechanisms and legal remedies as well as general oversight. Some Member States also point out that the CJEU has not ruled out the use of criteria other than those mentioned (i.e. geographical or personal) to define data retention obligations.
Expedited retention orders (quick freeze)
While Member States recognise expedited retention (known as a ‚quick freeze‘), as a relevant tool allowing for the immediate preservation of data upon notification of a crime, it is considered insufficient to guarantee a good outcome for an investigation. Quick-freeze obligations should therefore complement, but not replace, a data retention regime.
The reasoning behind this is that the tool is reactive, not preventive. The event under investigation would have to have taken place before the quick freeze is utilised. Furthermore, in the absence of a general retention obligation, the risk that the request might arrive when the data has already been deleted increases exponentially.
Some Member States would support the regulation of quick-freeze measures in an EU instrument, with some considering that regulation of quick freeze should cover not only the scope of data to be accessed, but also the conditions imposed on the requesting authority, taking into account the degree of interference with privacy.
Use of traffic and location data retained for marketing and billing purposes
In some Member States, the preservation regime relies on service providers storing data for commercial purposes. In others, law enforcement authorities may only access this type of data from telecommunication providers, and in certain Member States, data retained for marketing and billing purposes serves as the basis for requests directed at providers not subject to the general data retention obligation, such as operators outside the traditional telecom sector. A common feature of these regimes is that the retention period can be very short, typically between a few days or weeks, or three to six months, depending on the Member State, and the data available may be incomplete.
Some Member States indicate that companies either retain a different range of data for their own purposes, or retain data necessary for criminal investigations, but not for a sufficiently long period or of a sufficient quality. Thus, some of the data (e.g. data kept for marketing purposes) have only limited evidential value and may only prove useful in certain categories of offence, such as online or credit fraud. In other cases, service providers do not store relevant data at all since they are not required for billing purposes (e.g. when offering unlimited calls or in relation to pre-paid services). Overall, Member States consider that data held by service providers for purely business purposes are insufficient to enable the effective investigation and prosecution of all types of serious crime. For the purposes of effective criminal investigations, the definition and scope of data to be retained should reflect the investigative needs in terms of identifying the perpetrator and establishing who communicated with whom, when, where and how.
However, several Member States would prefer to keep the possibility to request metadata that has already been retained for commercial purposes or in order to comply with other obligations, such as data retained to fulfil security and quality requirements.
Retention periods
As for the question of how to best determine retention periods in line with the case-law, most Member States advocate for a duration of one year and in any event not shorter than six months. However, some Member States are in favour of longer retention periods for complex investigations or for very serious crimes, linking the retention obligations with strict conditions to access.
According to some Member States and the EU-CTC, retention periods should be designed as a minimum mandatory period, rather than as a maximum limit, thus allowing Member States to maintain longer retention periods where necessary.
Regarding the question of the advantages and disadvantages of one fixed retention period across the EU, allowing for the possibility of renewals at national level, or setting a range within which Member States may set shorter or longer retention periods, Member States generally recognise that uniform retention periods across the EU increase predictability and facilitate cross-border investigations while also ensuring that criminals cannot take advantage of lower retention periods in some Member States. While Member States prefer to maintain some flexibility (in particular to be able to maintain longer retention periods under national law), they recognise that a range may introduce some uncertainty as to what is necessary and proportionate. Other Member States show openness to an interval-based model, under which the EU would set minimum and maximum retention periods, allowing Member States to adjust them according to national needs, taking into account the type of data, their relevance to specific crime areas, the technical capabilities of service providers, and the practical needs of law enforcement.
On the possible differentiation of retention periods according to the type of data, most Member States are generally open to such an approach, while also pointing to an increase in complexity affecting the ability of service providers to implement it.
Scope of crimes
Most Member States stress that metadata could be relevant in relation to the investigation of practically all crimes. For the purposes of an EU data retention regime for traffic and location, they agree that such obligations could be limited to the purposes of combating serious crime. Types of crime mentioned in the contributions include combating fraud and serious economic and financial crimes, cyber-enabled and cyber-dependent crime, child exploitation, terrorism, homicide, human trafficking, cybercrime, corruption, organised crime, all crimes committed in cyberspace or using information and communication technology. Other crimes that were committed with the use of relevant means of communication are also mentioned in some of the contributions, such as offences against life and health and online sexual offences, kidnappings and disappearances, and threats to national security.
In addition, most Member States support the inclusion of crimes committed largely online (stalking, hate crime, etc.) even if the level of sanctions is moderate but the lack of data would practically make the investigation impossible. While most Member States consider that the lack of traffic and location data would risk systemic impunity in particular in relation to cyber-dependent and cyber-enabled crimes, similar risks are also identified in relation to other serious and organised crimes such as drugs trafficking, arms trafficking, human trafficking, terrorism, as well as kidnappings and disappearances and other serious offences against life and health.
On the other hand, some Member States advocate for the broadest catalogue of offences possible based on the list in Article 12(1)(d) of the e-Evidence Regulation (which includes all crimes with a penalty threshold of three years). Member States consider that EU legislation should not define the concept of ’serious crime‘. In this regard, some Member States consider that an offence catalogue would imply an EU-wide definition of ’serious crime‘, interfering with national competences. Some Member States also note that a list of all possible offences would not be sufficient because of the changing modus operandi of criminals. Those Member States see the decisive points as being the specific purpose of the investigation, the degree of interference, and strict, differentiated safeguards.
Access rules and conditions
Some Member States emphasise that EU provisions on access to retained data should be limited to minimum harmonisation in compliance with the principles of subsidiarity and proportionality and with the other requirements set out by the CJEU, while other Member States point out that the system should be based on general retention combined with robust access safeguards.
A large majority of the Member States state the need for robust access safeguards, including prior authorisation by a court or independent administrative body for certain types of data, based on reasoned requests and subject to limitations reflecting the seriousness of the offence. Such access would be granted only for a specific purpose, with strict guarantees also applying to data sharing, and accompanied by strong security and data minimisation measures, in order to avoid, among other risks, the possibility of profiling.
Some Member States mention that access to traffic and location data should be subject to additional criteria in specific cases. These include situations where digital evidence is essential for identifying the perpetrator, where serious harm to life, health, human dignity or major economic damage is involved, where the data is at risk of being lost, where less intrusive measures have failed to elucidate the offence, or where the case has a cross-border dimension that makes it difficult to obtain evidence quickly by other means.
Some Member States pointed out that when designing a new data retention regime in accordance with the case-law of the CJEU, account should be taken of the fact that the CJEU’s judgments were delivered in specific factual contexts. They therefore argue that a new EU data retention regime should not rely on a literal application of those rulings to individual cases, but rather on an assessment of the principle of proportionality in line with the CJEU’s general guidelines as they result from the application of the Charter, combined with appropriate mechanisms for oversight by independent bodies or judicial authorities to ensure full protection of fundamental rights.
On this matter, some Member States also point out that access to communication metadata is subject to the condition of probable cause, reasonable grounds or a criminal context.
Regarding alignment with the e-Evidence Regulation regarding conditions for access, several Member States support mirroring some of its elements, such as standardised formats for access requests, secure communication channels and guarantees of access depending on the type of data at stake, while adapting them to the specific needs of data retention for law enforcement purposes in order to ensure transparency, data protection and more efficient operation. More specifically, some Member States advocate for standards in line with those of the European Telecommunications Standards Institute (ETSI). Such standards would enhance the efficiency of information sharing and provide greater legal certainty for service providers, while also allowing them to contribute to the design so that the standards better reflect their technical needs. The EU-CTC also sees value in defining standardised formats for a harmonised categorisation of data to be retained and accessed, but also for establishing secure channels for the exchange between competent authorities and service providers.
Some Member States explain, however, that the e-Evidence Regulation only standardises to a limited extent, and that new standards of data transmission could potentially incur significant costs. These Member States do not see a need to regulate standardised formats and communication channels. They argue that the main purpose of an EU instrument should be to regulate data retention in situations involving interactions between national authorities and providers established within their territory, i.e. domestic cases, since cross-border cooperation scenarios are already addressed by the e-Evidence Regulation.
Finally, some Member States highlight the fact that it would be important to bear in mind the recommendations of the HLG regarding the enforcement of sanctions against electronic and other communications service providers which do not comply with requirements regarding the retention and provision of data.
On the other hand, some Member States stress that access rules at EU level should not interfere with national rules on the admissibility of data.
4) Conclusion
If a data retention framework were to be defined, a primary hurdle would be reconciling the demands of effective law enforcement, on the one hand, with the protection of fundamental rights, as interpreted by CJEU jurisprudence, on the other. In this regard, most Member States highlight the need for a framework that avoids indiscriminate retention, prioritises judicial oversight based on the sensitivity of the data at stake, and incorporates robust safeguards against abuse. The Commission must navigate this complex legal and political landscape by focusing on differentiated retention obligations, establishing a clear definition of crimes that justify access, and adopting strict rules to regulate such access. It should contain harmonised procedures to ensure compliance with CJEU case-law while providing a practically effective solution. Moreover, it is emphasised that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.
5) Next steps
Taking into account the views of Member States and given the need to respond to law enforcement requirements while fully respecting individuals‘ fundamental rights, the COPEN Working Party will continue to follow up on the specific activities related to data retention in the Roadmap, and when appropriate, with the support of the Commission, the justice and home affairs agencies and other relevant stakeholders. However, at this stage, priority will be given to awaiting the outcome of the impact assessment before considering further steps. The contributions of other Council preparatory bodies to the work on access to data for effective law enforcement within their respective mandates will be coordinated by the Presidency to avoid overlaps.[13]
Footnotes
Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC.
Judgment of 8 April 2014, Digital Rights Ireland, C-293/12 and C-594/12.
Judgment of 6 October 2020, La Quadrature du Net I, C-511/18, C-512/18 and C-520/18, paragraph 168 (conditions for general and indiscriminate retention of traffic and location data). Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraph 67 (conditions for access to civil identity data). Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraphs 101-103 (conditions for access to information on IP addresses). Judgment of 20 September 2022, SpaceNet, C-793/19 and C-794/19, paragraphs 104, 114,119, 120. Judgment of 2 March 2021, Prokuratuur, C-746/18, paragraph 50. Judgment of 2 October 2018, Ministerio Fiscal, C-207/16, paragraphs 52-57. Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraph 97. Judgment of 30 April 2024, Tribunale di Bolzano, C-178/22, paragraphs 19, 22, 38, 49, 58, 62.
15941/2024 REV2.
16448/24.
EUCO 12/25.
10806/25.
BG, CZ, IE, IT, LT, LV, AT, PL, PT, ES, SK, FI, SE, HU, and SI.
Judgment of 6 October 2020, La Quadrature du Net and Others, C-511/18, C-512/18 and C-520/18, paragraphs 153 and 154. Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraphs 73 and 74.
Regulation (EU) 2023/1543 of the European Parliament and of the Council of 12 July 2023 on European Production Orders and European Preservation Orders for electronic evidence in criminal proceedings and for the execution of custodial sentences following criminal proceedings.
Regulation (EU) 2017/2394 on cooperation between national authorities responsible for the enforcement of consumer protection laws, recital 7, Article 9(2), and Article 42.
Roadmap for lawful and effective access to data for law enforcement.
Including CATS, COPEN, DATAPROTECT, FREMP, HWPCI and LEWP, not excluding the possible involvement of other preparatory bodies of the Council.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Kein TikTok, kein YouTube und kein Instagram für Menschen unter 16 Jahren: Mit dem Social-Media-Bann betritt Australien netzpolitisches Neuland mit weltweiter Signalwirkung. Jugendlichen ist damit kein Stück geholfen. Ein Kommentar.
Der Klassiker: Mit dem Smartphone ins Bett – Alle Rechte vorbehalten IMAGO/phototek; Bearbeitung: netzpolitik.org
Am 10. Dezember beginnt das Social-Media-Verbot in Australien. Menschen unter 16 Jahren dürfen Plattformen wie TikTok, Instagram und YouTube nicht mehr nutzen, Hunderttausende Jugendliche verlieren Schätzungen zufolge ihre Accounts. Die australische Regierung hofft damit, junge Menschen vor den Gefahren des Internet zu bewahren.
Der australische Social-Media-Bann ist vor allem Symbolpolitik, und nur aus dieser Perspektive ist er ein Erfolg. Denn weltweit schauen jetzt Konzerne, Politik und Medien nach Australien. Vermutlich klopfen sich die Verantwortlichen allein deshalb schon auf die Schultern. Regierungen anderer Länder könnten sich das australische Modell sogar zum Vorbild nehmen. Hoffentlich tun sie das nicht.
Denn die australische Regierung erweckt nur den Eindruck von Handlungsfähigkeit. Es scheint nur so, als könnte sie harte Kante gegen Tech-Konzerne zeigen, die andere Regulierungsversuche oftmals geschickt umschiffen. In Wahrheit ist den betroffenen Jugendlichen mit dem Social-Media-Bann nicht geholfen. Ihre Bedürfnisse und Probleme spielen keine Rolle; die Regulierung verfehlt ihr Ziel.
Schon wer Social Media mit Alkohol oder Tabak vergleicht, hat das Problem nicht verstanden. Es geht nicht um nachweislich schädliche Substanzen, sondern um vielfältige, digitale Räume. In solchen digitalen Räumen suchen Jugendliche Spaß und soziale Kontakte, Aufklärung und Vorbilder. Das australische Social-Media-Verbot versperrt Jugendlichen lediglich den offiziellen Zugang zu einer Auswahl dieser Räume. (Update, 17:50 Uhr: Auf YouTube sollen sie zumindest ohne Account noch Videos sehen können.)
Was junge Menschen statt plumper Sperren brauchen, sind sichere, digitale Räume. Sie brauchen Kompetenzen, um sich zunehmend eigenständig in diesen digitalen Räumen zu bewegen. Und sie brauchen Vertrauenspersonen, die Zeit haben, sie einfühlsam zu begleiten.
Die Konsequenz des australischen Verbots: Junge Menschen werden ihren Bedürfnissen nach Spaß und Gemeinschaft, ihrer Neugier und ihrem Durst nach neuen Erfahrungen anderswo im Netz weiter nachgehen. Viele werden auf weniger bekannte Websites ausweichen. Und auf Dienste, die nicht vom Verbot betroffen sind, etwa Spiele und Messenger wie WhatsApp. Gerade WhatsApp ist für viele Kinder und Jugendliche selbst ein soziales Netzwerk und Schauplatz für Mobbing. Andere Jugendliche wiederum dürften die Altersschranken mithilfe von VPN-Software oder anderen Tricks digitaler Selbstverteidigung einfach überwinden.
Mutige Netzpolitik sieht anders aus
Das Social-Media-Verbot in Australien führt sogar zu noch mehr Kontrollverlust. Zuvor hatten Regulierungsbehörden klare Ansprechpersonen bei den großen Konzernen. Wenn auch widerspenstig haben sie zunehmend Maßnahmen für mehr Jugendschutz umgesetzt. Künftig müssen sich Plattformen wie TikTok und Instagram nicht einmal mehr darum bemühen, sichere Räume für australische Jugendliche unter 16 Jahren zu schaffen. Weil unter 16-Jährige dort offiziell nicht mehr sein dürfen.
Der Social-Media-Bann in Australien ist nicht mutig oder radikal, er ist eine Scheinlösung. Mutige Netzpolitik würde widerspenstige Tech-Konzerne unter Androhung hoher Geldbußen in die Verantwortung nehmen und sich nicht davor scheuen, das vor Gericht auszufechten. Weg mit manipulativen Designs; weg mit auf Sogwirkung optimierten Feeds, die jüngere und ältere Menschen stundenlang an den Bildschirm fesseln. Her mit sicheren Voreinstellungen, die verhindern, dass Fremde mit krimineller Energie Kontakt zu Minderjährigen anbahnen können. Her mit fair bezahlten und gut ausgestatteten Moderationsteams, die Meldungen von Nutzer*innen sorgfältig bearbeiten.
Das und mehr liefert Australien nicht. Stattdessen lässt der Staat die Jugendlichen mit ihren Problemen und Bedürfnissen allein. Das macht den 10. Dezember zu einem dunklen Tag für Jugendliche in Australien – und auch für Erwachsene.
Denn Millionen Menschen müssen in Australien künftig für ihre digitale Teilhabe den Ausweis zücken, um die Altersschranken zu überwinden. Massenhaft werden dabei sensible Daten bei teils zweifelhaften Drittanbietern landen. Nach diesem Schatz dürften sich sowohl Polizeibehörden als auch Online-Kriminelle schon jetzt die Finger lecken.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Nach Risikoprüfung des Einsatzes von Palantir-Software in der Schweiz bekam der US-Konzern eine Absage, trotz jahrelanger Hofierung von Behörden und Armee. Den Eidgenossen sind die Risiken zu groß. Da drängt sich die Frage auf, warum die Palantir-Software für deutsche Polizeien gut genug sein soll. Innenminister Dobrindt wird sie beantworten müssen.
Der Chef von Palantir, Alex Karp, residiert auch in einem Anwesen in der Schweiz. Der US-Tech-Konzern expandiert sein Geschäft mit Analysesoftware schon mehrere Jahre nach Europa. Was liegt da näher, als auch den Eidgenossen die Palantir-Systeme anzudienen? Genau das versuchte das militärnahe Unternehmen über Jahre – aber biss sich die Zähne aus.
Das berichtet das Magazin „Republik“ aus der Schweiz. Die Journalisten haben mit Hilfe von 59 Anfragen nach dem Öffentlichkeitsgesetz in einer lesenswerten Analyse nachvollzogen, wie sich der Konzern an öffentliche Stellen ranwanzte, um seine Software bei den Schweizer Bundesbehörden und beim Militär an den Mann zu bringen. Der Palantir-CEO und Milliardär Karp gab sich höchstselbst die Ehre und empfing den damaligen Bundeskanzler Walter Thurnherr.
Die Analyse enthält auch einen 20-seitigen internen Evaluationsbericht der Armee. Darin werden Vorzüge, aber auch Risiken eines Palantir-Einsatzes beschrieben, die letztlich zur Ablehnung einer Kooperation mit dem Konzern führten. Die Militärexperten kommen zu dem Schluss, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne.
Das jedoch lässt die von polizeilichen Palantir-Nutzern in Deutschland gebetsmühlenartig wiederholte Behauptung, ein Abfluss der polizeiinternen Daten sei technisch gar nicht möglich, unglaubwürdig erscheinen. Sie dürfte sich eher auf bloße Zusicherungen des US-Konzerns, nicht aber auf technische Fakten stützen. Denn die Software ist proprietär, weswegen technische Einblicke darin nur begrenzt möglich sind.
Die vier deutschen Landespolizeien und deren Innenminister, die Verträge mit Palantir eingegangen sind, wirken einmal mehr ignorant gegenüber diesen ernsten Risiken, die eine Kooperation mit dem Konzern mit sich bringen: Nordrhein-Westfalen, Hessen, Bayern und nun auch Baden-Württemberg.
Palantir
Wir berichten mehr über Palantir als uns lieb wäre. Unterstütze unsere Arbeit!
Daumen runter für Palantir
Palantir-Software, wie sie auch von deutschen Polizeien eingesetzt wird, verbindet heterogene Datenbanken und analysiert Verbindungen von Datenpunkten oder Mustern darin. Zuvor fragmentierte Daten werden also zusammengeführt. Damit werden beispielsweise Verbindungen von Menschen sichtbar oder geographische Bewegungen verfolgbar.
Im Evaluationsbericht heißt es zu den Risiken für die in die Palantir-Systeme eingepflegten Daten:
Palantir ist ein Unternehmen mit Sitz in den USA, bei dem die Möglichkeit besteht, dass sensible Daten durch die amerikanische Regierung und Geheimdienste eingesehen werden können.
Die Risikoeinschätzung der Militärs weist auf weitere Problemfelder, die von den polizeilichen Palantir-Vertragspartnern in Deutschland auch gern wegdiskutiert werden. Die Palantir-Software führe zu einer Abhängigkeit vom US-Anbieter, insbesondere „von externem hochqualifizierten Personal“. Ob „für die Implementierung, den Betrieb und die Wartung der Systeme dauerhaft technisches Fachpersonal von Palantir vor Ort benötigt wird“, sei unklar.
Auch drohe der Verlust der Datenhoheit und der „nationalen Souveränität“. Das Kostenrisiko sei außerdem schwer abzuschätzen, da es keine Preislisten gebe. Das betrifft die Implementierung und Anpassung der Software und die Datenmigration, aber auch Lizenzgebühren und Wartungskosten. Man könne „genaue Beträge nur durch direkte Verhandlungen“ ermitteln.
Zudem werden die starken Eingriffe in die Privatsphäre in dem Bericht problematisiert, die durch die umfassende Datensammlung und -analyse entstehe. Auch die Diskriminierung spielt dabei eine Rolle, denn es könne dazu kommen, „dass bestimmte Personen aufgrund statistischer Zusammenhänge ungewollt ins Visier geraten“.
Das Schweizer Bundesamt für Rüstung prüfte den Einsatz von Palantir-Software für ein bestimmtes Softwaresystem, das „Informatiksystem Militärischer Nachrichtendienst“. Dafür lagen vorgegebene Kriterien der Ausschreibung vor. Eines davon erfüllt das Palantir-Angebot nicht. Das Amt gibt den Journalisten aber keine Auskunft, um welches Kriterium es sich handelte. Das dazu veröffentlichte Schreiben besteht fast nur aus Schwärzungen.
Die Eidgenossen entschieden sich gegen den Einsatz von Palantir-Produkten. Es war ihnen ein zu großes Risiko. Die Empfehlung lautet knapp: „Die Schweizer Armee sollte Alternativen zu Palantir in Betracht ziehen.“
Der Bericht stammt von Anfang Dezember 2024. Seither hat der 2003 gegründete US-Anbieter seine überaus engen Verbindungen zur Trump-Regierung noch intensiviert und durch Karp-Interviews medial begleitet. Die Software wird zwar in Kriegsgebieten von US-Geheimdiensten und -Militärs schon jahrelang intensiv genutzt. Doch seit dem Börsengang im Jahr 2020 wuchs Palantir zu einem der größten US-Tech-Konzerne heran.
Wenn die Risiken der Zusammenarbeit in Fragen der Datenhoheit und gar dauerhaften Abhängigkeit, der digitalen Souveränität, des Datenabflusses und bei den Grundrechtseingriffen von den Schweizern als so erheblich eingeschätzt werden, drängt sich die Frage auf, warum die deutschen Landespolizeien und Landesinnenminister zu einer anderen Einschätzung kommen. Es bleibt ihr Geheimnis.
Der deutsche Bundesinnenminister Alexander Dobrindt (CSU) weigert sich bisher, diese Fakten anzuerkennen. Denn er schließt nicht aus, Palantir-Produkte bei den Polizeien des Bundes einzuführen. Sein geplantes „Sicherheitspaket“ umfasst auch die sog. automatisierte Datenanalyse, so dass auch die Polizeien des Bundes ihre Datenbanken automatisiert erschließen und auswerten könnten.
Wenn er für die polizeiliche Datenanalysesoftware mit dem US-Konzern kooperieren wollte, würden Millionen Datensätze, auch von völlig unverdächtigen Menschen, diesen nun hinlänglich bekannten Risiken ausgesetzt. Aber eigentlich müsste Palantir als möglicher Vertragspartner schon wegfallen, weil er mit der vielgepriesenen „digitalen Souveränität“ nicht kompatibel ist. Denn selbst bei lockerer Auslegung von „digital souverän“ kann die proprietäre Softwarelösung des US-Konzerns nicht akzeptabel sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die EU-Kommission hat gegen die Plattform X, vormals Twitter, wegen Verstößen gegen den Digital Services Act eine Geldstrafe verhängt. Der Konzern hat nun 90 Tage Zeit für Anpassungen. Gleichzeitig drohen X weitere Sanktionen.
Kontrolliert X: Elon Musk, hier mit blauem Auge. – Alle Rechte vorbehalten IMAGO / MediaPunch
Erstmals hat die EU-Kommission ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei zu dem Ergebnis, dass die Plattform X gegen den DSA verstößt. Zugleich entschied sie, dass TikTok angemessen auf einen bereits Ende Oktober gerügten Mangel reagiert hat und die Anzeigendatenbank der Videoplattform nun gesetzeskonform sei.
Die Entscheidung gegen X betrifft grundsätzlich die fehlende Transparenz der Plattform. Konkret bemängelt die Kommission dreierlei: Erstens stellten die blauen Haken ein täuschendes Design dar, weil sie den Eindruck erwecken würden, dass die so gekennzeichneten Accounts verifiziert seien. Tatsächlich aber können Nutzende die Haken seit einigen Jahren kaufen. Zweitens stellt X nur eine unzureichend funktionierende Datenbank für Anzeigen nach DSA-Kriterien bereit. Der dritte Kritikpunkt bezieht sich auf den Datenzugang für Forschende. Das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, sei nicht DSA-konform.
120 Millionen Euro Strafe
Aus diesem Grund hat die Kommission heute eine Strafe von 120 Millionen Euro gegen X verhängt. Diese Summe orientiere sich nicht prozentual am Umsatz des Unternehmens, sondern entspreche der Schwere der Verstöße.
Da die Verstöße weitreichende gesellschaftliche Auswirkungen hätten, könne die Strafe nicht durch eine einfache „ökonomische Formel“ berechnet werden, heißt es aus der Kommission. Trotzdem seien bei der Berechnung auch wirtschaftliche Elemente wie die Kosten der blauen Haken und die geschätzten Gewinne für X eingeflossen.
Die Strafzahlung setzt sich aus drei Teilstrafen für die jeweiligen Verstöße zusammen: Für die blauen Haken stellt die Kommission 45 Millionen Euro Strafe in Rechnung, für den Datenzugang 40 Millionen und für die Anzeigendatenbank 35 Millionen Euro.
X hat 90 Tage Zeit für Anpassungen
X wurde über die Entscheidung informiert und kann sich nun verteidigen. Das Unternehmen hat Zugang zu allen Untersuchungsdokumenten der Kommission und kann seine Plattform innerhalb von 90 Werktagen anpassen.
Der Kommissionsbeamte betonte, dass von dem Unternehmen keine „dramatischen Änderungen“ erwartet würden; andere Unternehmen hätten ähnliche Anforderungen erfolgreich umgesetzt. Sollte X seine Dienste allerdings nicht anpassen, könnten in Zukunft weitere Strafen verhängt werden. So sieht es das Gesetz vor.
Bereits im Vorfeld der Kommissionsentscheidung hatte sich der US-amerikanische Vizepräsident J.D. Vance geäußert. „Es kursieren Gerüchte, wonach die EU-Kommission gegen X mehrere hundert Millionen Dollar Strafe verhängen wird, weil die Plattform keine Zensur betreibt“, schrieb Vance am Donnerstag auf X. „Die EU sollte die Meinungsfreiheit unterstützen, anstatt amerikanische Unternehmen wegen Unsinn anzugreifen.“
Weitere Verfahren gegen X in der Schwebe
Derzeit laufen noch weitere DSA-Verfahren gegen X. So untersucht die Kommission, ob der Mechanismus zur Meldung von illegalen Inhalten auf X gegen bestehende Regeln verstößt. Diesbezüglich hat die Kommission erst kürzlich einen vorläufigen Verstoß bei Instagram und Facebook festgestellt.
Die Kommission will zudem die Funktionsweise des Algorithmus auf der Plattform X verstehen und hat die Plattform angewiesen, entsprechende Dokumente aufzubewahren. Außerdem geht die Kommission der Frage nach, wie X Desinformation bekämpft und wie erfolgreich die Plattform dabei ist, die Risiken auf den gesellschaftlichen Diskurs und Wahlen zu verringern.
DSA-Umsetzung soll nun schneller vorangehen
Der Jurist Jürgen Bering leitet bei der Gesellschaft für Freiheitsrechte das Center for User Rights und sieht die Strafe als wichtigen Schritt bei der DSA-Durchsetzung. Er kommentiert: „Die Entscheidung zeigt: Die EU meint es ernst mit dem Schutz demokratischer Diskurse und der Plattformverantwortung. Jetzt braucht es ebenso konsequente Durchsetzung bei allen großen Anbietern. Der DSA ist kein Wertebekenntnis, sondern geltendes Recht – und es ist entscheidend, dass er spürbare Verbesserungen für Nutzer*innen in Europa bringt.“
Die Kommission geht davon aus, dass die DSA-Umsetzung jetzt schneller vorangehen wird, wie Digitalkommissarin Henna Virkkunen bereits vor wenigen Wochen in einer Pressekonferenz sagte.
In den vergangenen Jahren habe die Kommission zunächst eine interne Regulierungsstruktur aufbauen müssen, ergänzte ein EU-Beamter heute. Das Verfahren gegen X wurde bereits vor zwei Jahren eröffnet. Die Hoffnung der Kommission ist, dass auch die Unternehmen nun schneller darin werden, die Regeln zu befolgen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Streit um die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur irischen Datenschutzbeauftragten erreicht Brüssel. Doch auch nach einer formalen Beschwerde des Irish Council for Civil Liberties will die EU-Kommission offenbar nicht in das Verfahren eingreifen.
Die EU-Kommission sei nicht zuständig, sagt die Kommission. – Alle Rechte vorbehalten IMAGO / Michael Kneffel
Das Irish Council for Civil Liberties (ICCL) hat am 28. Oktober eine formale Beschwerde bei der EU-Kommission eingereicht. Darin kritisiert die Menschenrechtsorganisation die Ernennung von Niamh Sweeney zur Leiterin der irischen Data Protection Commission (DPC). Die Berufung stelle die Unabhängigkeit der Datenschutzbehörde infrage.
Bereits vergangene Woche hatten mehrere Nichtregierungsorganisationen der irischen Regierung einen Beschwerdebrief übergeben, in dem sie die Ernennung Sweeneys kritisieren. Als Grund führen sie zum einen an, dass diese mehr als sechs Jahre als Lobbyistin für den Tech-Konzern Meta tätig war. Meta ist eines der Unternehmen, das die DPC überwacht.
Zum anderen kritisieren die NGOs das Auswahlverfahren selbst. Dafür stellte das Unternehmen publicjobs ein Gremium aus fünf Personen zusammen. Darunter war auch Leo Moore. Der Anwalt der Kanzlei William Fry hat mit mehreren Big-Tech-Unternehmen zusammengearbeitet. Neben Moore gehörte außerdem ein Vertreter des irischen Justizministeriums dem Auswahlgremium an: Deputy Secretary General Doncha O’Sullivan.
Irland: Liebling der Tech-Branche
In seiner Beschwerde betont das ICCL, dass die DPC eine Schlüsselposition bei der Durchsetzung der europäischen Datenschutzgrundverordnung (DSGVO) einnehme. Außerdem müsse die irische Datenschutzkommission laut EU-Recht vollkommen unabhängig gegenüber jeglichen Weisungen von außen agieren – auch gegenüber möglicher Einflussnahme der irischen Regierung.
Viele Technologiekonzerne haben ihren europäischen Hauptsitz in Irland, darunter Meta, Google, Apple, Microsoft und TikTok. Die Unternehmen tragen einen erheblichen Teil zu Irlands Wirtschaft bei. Und Meta allein zahlte im Jahr 2023 mehr als 280 Millionen Euro Steuern an die irischen Behörden.
Derweil geriet die Durchsetzung der DSGVO in Irland den vergangenen Jahren immer wieder ins Stocken. Im Jahr 2022 klagte die DPC sogar gegen eine Entscheidung des ihr übergeordneten European Data Protection Board, um keine weitergehenden Ermittlungen zu Metas Datenverarbeitung aufnehmen zu müssen.
Die Berufung Sweeneys zur dritten Datenschutzkommissarin lässt den ICCL an der Unabhängigkeit der Datenschutzbehörde zweifeln. In ihrer Beschwerde an die EU Kommission schreibt die Organisation:
„Angesichts der bisherigen Bilanz der irischen Datenschutzkommission und der begründeten Zweifel an ihr hätte Irland sich über jeden Vorwurf [der Parteilichkeit] erheben müssen, unter anderem durch die Einführung von Verfahrensgarantien für die Ernennung der Mitglieder seiner Behörde.“
EU-Kommission will offenbar nicht eingreifen
Bei einer Pressekonferenz der EU-Kommission am 29. Oktober erkundigte sich eine Journalistin bei einem Kommissionssprecher, ob die Kommission die Beschwerde des ICCL annehmen werde. Der Sprecher antwortete, dass die europäischen Mitgliedstaaten für die Besetzung ihrer jeweiligen Datenschutzbehörde zuständig seien.
Die Kommission sei nicht in das Auswahlverfahren involviert gewesen und habe auch keine Kompetenzen einzuschreiten. Zugleich versuche die Kommission „immer sicherzustellen […], dass alle europäischen Datenschutzbehörden die Mittel und Unabhängigkeit haben, um ihrer Arbeit nachzugehen“.
Die Reaktion der EU-Kommission kritisiert Itxaso Domínguez de Olazábal vom Verband europäischer Digitalorganisationen European Digital Rights (EDRi): „Die Kommission kann nicht weiter wegschauen, während eine nationale Regulierungsbehörde die Grundsätze der Union untergräbt“, sagt de Olazábal gegenüber netzpolitik.org. „Der Schutz personenbezogener Daten und Grundrechte ist Teil dessen, wofür die EU steht – und die Kommission muss entsprechend handeln.“
Domínguez betont, dass die Beschwerde des ICCL nicht nur auf das Auswahlverfahren, sondern auch auf die Unabhängigkeit der DPC beziehe. Daher liege das Verfahren durchaus im Zuständigkeitsbereich der Kommission. „Die Kommission konzentriert sich offenbar auf das Auswahlverfahren und übersieht dabei das tieferliegende Problem: die anhaltende mangelnde Unabhängigkeit der irischen Datenschutzbehörde, die durch diese Ernennung offengelegt wird“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Manipulatives Design im Netz ist seit langer Zeit ein Problem. Mit dem geplanten Digital Fairness Act will die EU-Kommission gegen solche Tricks vorgehen. Verbraucherschützer:innen, Forscher:innen und Regulierungsbehörden fordern einen grundlegenden Ansatz.
Manipulation im Internet ist weit verbreitet – und ein einträgliches Geschäft. – Alle Rechte vorbehalten IMAGO / Zoonar
Weite Teile des Internets, insbesondere wenn es um Geld geht, sind fein säuberlich gestaltet. Nicht nur von Techniker:innen oder Grafiker:innen, sondern vor allem von Psycholog:innen. Die Tech-Branche beschäftigt Heerschaaren speziell ausgebildeter Leute, die genau wissen, wie das menschliche Unterbewusstsein tickt – und wie es sich in Geld verwandeln lässt.
Oft setzen sie dabei auf manipulatives Design, auch bekannt als Dark Patterns. Sie sind seit langem Methode, durchziehen viele Online-Dienste und sollen Nutzer:innen beeinflussen: Der Zähler, der zum schnellen Kauf eines angeblich billigeren Flugtickets animieren soll; die verwirrend gestaltete Cookie-Abfrage, die im frustrierten Akzeptieren aller Partnerangebote endet; endloses Scrollen und automatisch abspielende Videos, um Nutzer:innen möglichst lange auf der Plattform zu halten.
Verantwortung nicht auf Nutzer:innen abwälzen
Solchen systemischen Problem will die EU im kommenden Jahr mit einem eigenen Gesetz begegnen, dem Digital Fairness Act. Es soll die Lücken schließen, die andere Gesetze offenlassen, etwa das Gesetz über digitale Dienste (DSA) oder sonstige Regeln zum Verbraucherschutz.
Über 4.000 Stellungnahmen sind dabei bei der EU-Kommission eingegangen. Einer der Ausgangspunkte war ein „Fitness Check“ der Kommission aus dem Vorjahr. In dem Bericht hat sie potenzielle Lücken bestehender Gesetze im Digitalbereich untersucht und dabei Nachholbedarf festgestellt. Sonst drohe, dass die digitale Wirtschaft das EU-Verbraucherschutzrecht aushöhlt. Bereits jetzt soll sich der Schaden auf mindestens acht Milliarden Euro pro Jahr belaufen, schätzt die Kommission.
„Grundlegende Neujustierung“ gefordert
Mit der Materie vertraute Organisationen teilen diese Sicht. So stelle die zunehmende Digitalisierung sowohl die Wirksamkeit des europäischen Verbraucherrechts als auch das Vertrauen, das für ein faires Miteinander auf Märkten notwendig sei, auf eine „harte Probe“. Das schreibt der Verbraucherzentrale Bundesverband (vzbv) in einem ausführlichen Positionspapier zum geplanten Digitalgesetz. Entsprechend sei es mit kleinen Anpassungen nicht getan. Nötig sei eine „grundlegende Neujustierung des europäischen Verbraucherrechts“, mahnt der vzbv.
Zum einen soll das mit dem Verbot oder der Einschränkung einzelner manipulativer Praktiken gelingen, etwa mit einem Verbot von „domain- und geräteübergreifendem Tracking“. Auch das „Zusammenführen gesammelter Daten in Profilen zu Werbezwecken“ solle verboten werden. Bei personalisierten Angeboten oder Preisen sei mindestens mehr Transparenz notwendig, so die Verbraucherschützer:innen.
Darüber hinaus brauche es aber eine „Generalklausel für digitale Fairness by Design und by Default auf allen verbraucherrelevanten Online-Schnittstellen wie Webseiten oder Apps“, argumentiert der Verband. Vor allem im digitalen Bereich seien Unternehmen gegenüber Nutzer:innen „ganz überwiegend im Vorteil“. Mit Hilfe von Tracking und Big Data könnten Algorithmen unser Verhalten analysieren, unsere Vorlieben berechnen und Kaufimpulse anreizen, die gegen die eigenen Interessen gehen können, heißt es im Positionspapier.
Betrugsversuche im Netz steigen an
Für einen „holistischen Ansatz“ wirbt auch BEREC, der Dachverband europäischer Regulierungsstellen für Telekommunikation. Die Behörde hat in den vergangenen Jahren diverse Aspekte der digitalen Ökonomie untersucht. Neben der zunehmenden Nachfrage nach breitbandigen und vor allem mobilen Internetverbindungen sei demnach ein „signifikanter Anstieg betrügerischen Datenverkehrs und Betrugsversuche“ zu beobachten, schreibt BEREC über die aus seiner Sicht wichtigsten Entwicklungen der jüngeren Vergangenheit.
Dieser Trend dürfte sich fortsetzen. Bei der Behebung von Schutzlücken müsse die EU jedoch sorgsam vorgehen, fordert der Dachverband. Neben horizontalen, für alle Anbieter geltenden Regeln zum Verbraucherschutz stünden sektorspezifische Vorschriften, die weiter ihre Berechtigung hätten. Neue Regeln müssten deshalb „komplementär“ ausgestaltet sein und eine Doppelung oder gar Konflikte mit bestehenden Gesetzen vermeiden.
Dies dürfte im Interesse der EU-Kommission sein. Die hat sich für die laufende Regierungsperiode einen drastischen Abbau von Bürokratie und generell Deregulierung vorgenommen, um die europäische Wirtschaft anzukurbeln. Eine florierende Ökonomie und Verbraucherschutz gehen aus Sicht von BEREC allerdings Hand in Hand. Demnach könnten auf Online-Dienste ausgerichtete, „klare, vorhersehbare und durchsetzbare Rechte“ Vertrauen fördern, und damit auch „Wettbewerb und Innovation“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
TikTok, Instagram und Facebook lassen Forschende nicht ausreichend an ihre Daten heran. Und bei Instagram und Facebook ist das Melden von Inhalten zu schwer. Das hat die EU-Kommission festgestellt und fordert Nachbesserungen – sonst drohen Geldstrafen.
Schnell und einfach sollen Instagram-Nutzende in der EU Inhalte melden können. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Claudio Schwarz
Im Frühjahr 2024 hat die EU-Kommission die jeweils ersten Verfahren nach dem Gesetz über digitale Dienste (DSA) für Meta (Instagram, Facebook) und für TikTok eröffnet. Seitdem hat die Behörde vorläufig mehrere Verstöße festgestellt, etwa im Bereich des Jugendschutzes und der Desinformation vor Wahlen. Heute hat sie weitere Untersuchungsergebnisse geteilt.
Alle drei Plattformen – also TikTok, Instagram und Facebook – setzen demnach den Zugang zu Daten für Forschende nicht ausreichend um. Es sei sehr umständlich, die Daten zu beantragen und es gebe Probleme im Überprüfungsprozess der Forschenden. Und auch wenn die Daten bereitgestellt würden, seien diese oft unvollständig und nicht zuverlässig. Ähnliche Punkte hatte die Kommission bereits vor einem Jahr bei X bemängelt. Laut DSA ist die Kommission die zuständige Aufsichtsbehörde für „sehr große Plattformen“ (VLOPs).
Die weiteren der heute vorgestellten Ergebnisse betreffen nur Instagram und Facebook. Die Meldewege seien zu kompliziert, sagte eine Kommissionsbeamtin heute in einem Pressebriefing. Wenn Nutzende auf den Plattformen auf illegale Inhalte stoßen, etwa die Darstellung von Missbrauch oder Betrugsmaschen, sollen sie diese selbst möglichst einfach bei den Plattformen melden können. Der DSA will so die Nutzendenrechte stärken und ein System schaffen, das sich quasi “selbst reinigt”.
Manipulative Designs beim Meldeweg
Doch in der Realität sei der Weg so anspruchsvoll und lang, dass viele Nutzende die Meldungen abbrechen würden, heißt es aus der Kommission. Außerdem kämen hier manipulative Designs zum Einsatz. Das bedeutet, dass Meldewege etwa irreführend oder kompliziert gestaltet sind, zum Beispiel über schwer auffindbare Buttons oder unnötig viele Klicks.
In der Folge würden Inhalte nicht gemeldet, Plattformen also nicht darauf aufmerksam gemacht, und es könnten entsprechend auch keine Maßnahmen ergriffen werden, um die Inhalte zu entfernen. Hierzu hätten die Kommission viele Beschwerden erreicht. Es sei klar, dass Meta hier nachbessern müsse.
Darüber hinaus kritisiert die Kommission den Mechanismus zum Umgang mit Beschwerden zur Inhaltsmoderation. Wenn Plattformen Inhalte oder Accounts sperren, können sich betroffene Nutzende an die Plattformen wenden und Beschwerde einreichen. Allerdings laufe auch das bei Meta nicht zufriedenstellend ab, so die Kommission. Zum Beispiel sei es nicht möglich, in der Kommunikation mit den Plattformen Dokumente anzuhängen, um etwa zu beweisen, dass eine Facebook-Seite einem selbst gehöre. In der Konsequenz würden Beschwerden nicht beantwortet.
So geht es jetzt weiter
Meta und TikTok können nun die Dokumente der Kommission einsehen und schriftlich auf die Kritikpunkte antworten – etwas, das nach Einschätzung der Kommissionsbeamtin zwei bis drei Monate in Anspruch nehmen könne. Im nächsten Schritt soll es weitere Gespräche zwischen Kommission und betroffenen Unternehmen geben. Die Hoffnung der Kommission dabei ist, dass die Plattformen ihre Mechanismen anpassen und damit die Vorgaben des DSA erfüllen.
Sollte dies nicht passieren, könnte die Kommission abschließend feststellen, dass sich die Plattformen nicht an den DSA halten und eine Geldstrafe verhängen – in Höhe von bis zu sechs Prozent des jährlichen weltweiten Umsatzes. Auch dann hätten die Plattformen noch die Möglichkeit, diese Entscheidung vor Gericht anzufechten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn in Kürze die Entscheidung fällt, ob Europa eine verpflichtende Chatkontrolle bekommt, ist auch die Haltung der Bundesregierung maßgeblich. Doch der Digitalminister mag sich lieber nicht positionieren. Digitale Weichenstellungen und gefährliche Formen technisierter Massenüberwachung sieht er offenbar nicht als sein Metier. Eine Einordnung.
In wenigen Tagen steht die Entscheidung an, ob es in Europa eine verpflichtende Chatkontrolle geben wird oder ob sich erneut keine ausreichende Mehrheit im Rat der EU-Länder dafür findet. Die deutsche Haltung wird maßgeblich dafür sein, ob die Front der ablehnenden EU-Staaten gegen den Vorschlag der EU-Präsidentschaft Dänemarks stehenbleibt.
Hintergrund ist ein jahrelanger Streit über einen Entwurf der EU-Kommission für eine Verordnung zur massenhaften Chat-Überwachung, die dem Kampf gegen digitale Gewaltdarstellungen von Kindern dienen soll. Die geplante Chatkontrolle würde alle Anbieter von Messenger- und weiterer Kommunikationsdienste, auch solche mit Ende-zu-Ende-Verschlüsselung, zum Scannen nach Missbrauchsfotos und -videos verpflichten. Betroffen wären auch Signal, Threema oder WhatsApp, die von vielen Millionen Menschen genutzt werden.
In den vergangenen Jahren hat sich Deutschland ablehnend gezeigt und sich gegen das automatisierte Scannen verschlüsselter Kommunikation, aber auch gegen die Umgehung von Ende-zu-Ende-Verschlüsselung und das Client-Side-Scanning positioniert. Ob die neue Bundesregierung das genauso hält, ist noch offen. Wir haben daher die Bundesregierung zu der Haltung befragt, die sie bei der anstehenden Entscheidung einnehmen wird.
Das Bundesjustizministerium (BMJ) will sich gegenüber netzpolitik.org nicht in die Karten schauen lassen und antwortet auf die Frage nach der Chatkontrolle-Position nur: „Die Federführung“ liege „innerhalb der Bundesregierung beim Bundesministerium des Innern“. Da sollten wir uns doch hinwenden, meint das BMJ.
Das Bundesinnenministerium (BMI) hat jedoch auch nichts zu sagen: „Wir bitten um Verständnis, dass wir uns zu laufenden Abstimmungen innerhalb der Bundesregierung grundsätzlich nicht äußern.“
„Von der Seitenlinie“
Fragen wir doch die Digitalexperten in der Bundesregierung. Die schwarz-schwarz-rote Koalition hatte schließlich ein neues Ministerium aus der Taufe gehoben, das sich hauptsächlich mit Digitalisierung, digitaler Infrastruktur und Staatsmodernisierung befassen soll. Ein Sprecher des Digitalministeriums (BMDS) antwortet auf Fragen von netzpolitik.org nach der Position des Ministers zur geplanten verpflichtenden Chatkontrolle allerdings nur mit nur zwei Sätzen.
„Wir brauchen Maßnahmen, die wirksam und zugleich angemessen sind. Zu den derzeit auf EU-Ebene vorliegenden Vorschlägen erfolgt eine Positionierung der Bundesregierung unter Federführung des Bundesinnenministeriums.“
Auf weitere Fragen, etwa wie Minister Karsten Wildberger (CDU) zum Aufbrechen von Verschlüsselung oder zum Client-Side-Scanning im Rahmen einer Chatkontrolle steht, wird nicht geantwortet. Der seit Mai amtierende Digitalminister hat außerdem auch keine Position zur freiwilligen EU-Chatkontrolle und den damit verbundenen Risiken für die Privatsphäre.
Das Ministerium verweist stattdessen auf ein Gespräch mit Wildberger vom 11. September. Dort auf die Chatkontrolle angesprochen, äußert sich der Bundesminister folgendermaßen: Er wolle sich in diesen „politischen Prozess“ nicht „von der Seitenlinie“ einbringen. Er werde deswegen seine Meinung nicht dazugeben, da das „nicht hilfreich“ sei, denn dafür „gibt es jetzt einen Prozess“.
Das kann man natürlich anders sehen, ob es für die Diskussionen um eine europaweit verpflichtende Chatkontrolle „hilfreich“ wäre, wenn sich der amtierende Digitalminister von Deutschland nicht an die „Seitenlinie“ stellen, sondern dazu positionieren würde. Allerdings machen seine Äußerungen direkt im Anschluss klar, warum er vielleicht ganz richtig liegt.
Ein Offenbarungseid technischer und politischer Inkompetenz
Wildberger fügt hinzu: „Kinderpornographie“ in Chats, „das geht überhaupt nicht“, das seien Straftatbestände. Davon müsse man aber das Thema der Privatsphäre „säuberlich trennen“. Doch ein zentraler Streitpunkt in der langjährigen Debatte ist es gerade, wie weit man in die Privatsphäre und sogar Intimsphäre von Menschen eingreifen darf, um auf solche Inhalte in ihren Chats zu scannen.
Der Minister postuliert dann, dass er „persönlich eine klare Meinung“ dazu hätte. Die sagt er aber nicht sofort, sondern stellt erstmal folgende Frage in den Raum: „Wie stellen wir sicher, dass wir Rechtsordnung auch in diesem Rahmen sicherstellen?“ Den Versuch einer Antwort auf die wirre Frage macht er nicht. Stattdessen sagt Wildberger: „Wo es um Kinderpornographie geht, am Ende des Tages muss man auch über Deep Fakes reden, da hört bei mir der Spaß auf.“
CSAM
Wir berichten seit Jahren unter dem Stichwort CSAM (Child Sexual Abuse Material) über politische Vorhaben im Kampf gegen Missbrauchsdarstellungen von Kindern. Unterstütze unsere Arbeit!
Kein Mensch mit Herz und Hirn würde die digitalen Darstellungen von Gewalt gegen Kinder in die Kategorie Spaß einsortieren. Die Debatte um die Chatkontrolle dreht sich vielmehr um die Frage, zu welchen technischen Maßnahmen die Anbieter von Messenger-Diensten verpflichtet werden sollten, um solche Inhalte massenhaft zu scannen. Dass diese Inhalte verabscheuungswürdig und strafbar sind, stellt niemand in Abrede.
Auf die Nachfrage, ob Anbieter zur Chatkontrolle verpflichtet werden sollen, bemerkt Wildberger, dass seine Antwort darauf eine „nicht politisch gemeinte Formulierung“ sei: „Da muss es eine Lösung für geben.“ Die Luft brennt förmlich vor Spannung, welche technische Idee der Digitalminister nun favorisieren wird. Doch der oberste Digitalisierer murmelt: „Wie die Lösung jetzt hier genau aussieht, das sollen …“ Da endet sein Satz im Ungewissen. Vielleicht sollen es die Experten richten, vielleicht gibt es einen Prozess.
Zuletzt endet die kurze Passage in dem Gespräch mit dem Versprechen, er werde sich „in die Debatte natürlich“ einbringen, wenn es hilfreich und erforderlich wäre. Aber das Thema sei „ein bisschen komplex“, aber „von der Richtung her“ sei er „klar justiert“.
Dass seine Pressestelle auf die Fragen von netzpolitik.org danach, ob angesichts der gesellschaftlichen und auch wirtschaftspolitischen Bedeutung von sicheren Verschlüsselungsmethoden ein Aufbrechen der Verschlüsselung oder ein Client-Side-Scanning im Rahmen einer Chatkontrolle als probate Mittel gelten können, nicht nur keine Antworten gibt, sondern stattdessen einen Hinweis auf diesen Offenbarungseid technischer und politischer Inkompetenz sendet, spricht Bände über den Minister und die Bedeutung seines Hauses innerhalb der Bundesregierung. Das ist nicht mal „Seitenlinie“, das ist eher die Tribüne hinten oben.
Der falsche Weg
Man fragt sich, unter welchem Stein der Bundesdigitalminister in den letzten Jahren gelebt hat und ob es niemanden in seinem Haus gibt, der ihn dazu briefen konnte, worum es im Streit über die Chatkontrolle geht: um das absichtliche Unterminieren von IT-Sicherheitsmaßnahmen für massenhafte Chat-Scans und um fundamentale Grundrechte.
Wenn in Schutzmaßnahmen wie Verschlüsselung verpflichtende Hintertüren eingebaut werden müssen, tangiert das die Privatsphäre und den Kernbereich privater Lebensgestaltung von Millionen Menschen und unterminiert zudem auf gefährliche Weise die IT-Sicherheit. Darauf weisen seit Jahren alle hin, die beruflich und wissenschaftlich mit IT-Sicherheit zu tun haben. Chatkontrolle ist technisch gesehen schlicht der falsche Weg.
Aber juristisch ist er es auch. Denn dass eine massenhafte anlasslose Überwachung von individueller Kommunikation mit den europäischen Grundrechten konform geht, wird mit guten Argumenten bezweifelt: Der Juristische Dienst des EU-Rats schätzt den aktuellen Vorschlag als rechtswidrig ein. Die Rechtsexperten stützen sich auch auf ein Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR) aus dem Jahr 2024. Darin heißt es unzweideutig, dass „eine Schwächung der Ende-zu-Ende-Verschlüsselung, die alle Nutzer beträfe,“ gegen die Europäische Menschenrechtskonvention verstößt.
Dass der Digitalminister innerhalb und außerhalb der Bundesregierung zu so wichtigen Fragen in unser digitalisierten Welt keine Position einnimmt, macht ihn zum Komplizen der Befürworter der Chatkontrolle. Gleiches gilt übrigens für die Justizministerin Stefanie Hubig (SPD), deren Nicht-Positionierung angesichts der zweifellos erheblichen Grundrechtseingriffe ebenso blamabel ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die „ePA für alle“ wird nun für Praxen und Co. verpflichtend, trotz fortbestehender Sicherheitsbedenken und anhaltender technischer Probleme. Die Misere ist hausgemacht und geht zulasten der Versicherten. Ein Kommentar.
Einst galt das Versprechen, die ePA werde eine patientengeführte Akte sein. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Maran Bashir
Als „größtes Digitalisierungsprojekt“ der bundesdeutschen Geschichte hatte Karl Lauterbach (SPD) sein Herzensprojekt beworben. Die elektronische Patientenakte (ePA) werde den Versicherten viele Vorteile bringen, versprach der ehemalige Bundesgesundheitsminister.
Inzwischen ist klar: Die ePA ist ein weiterer großer Fehlstart in der deutschen Digitalisierungsgeschichte. Es krankt bei der Sicherheit, die technische Implementierung in den Praxen und Krankenhäusern verläuft schleppend und nur ein Bruchteil der Versicherten nutzt die Patientenakte aktiv.
Die Misere kommt wenig überraschend – und sie ist hausgemacht. Von Anfang an stand bei der ePA Schnelligkeit statt Gründlichkeit im Mittelpunkt. Die Sicherheit geriet zur Nebensache, Datenschutz und Datensicherheit sollten beim Heben des „Datenschatzes“ nicht im Wege stehen. Das Nachsehen haben die Versicherten: Sie verlieren zunehmend die Kontrolle über ihre eigenen Gesundheitsdaten.
Politische Verantwortung? Fehlanzeige.
Das überstürzte Tempo gab der ehemalige Bundesgesundheitsminister Lauterbach vor. Offenkundig wollte er die ePA um jeden Preis in seiner Amtszeit einführen.
Obwohl Gesundheitsdaten zu den besonders sensiblen Daten zählen, wurden begründete Sicherheitsbedenken offenbar mehrfach nicht ernst genug genommen. Bereits vor der Pilotphase zeigten Sicherheitsforschende des Chaos Computer Clubs, dass die ePA löchrig war wie ein Schweizer Käse. Lauterbach versprach daraufhin einen bundesweiten Start „ohne Restrisiko“. Doch pünktlich zum Rollout im Mai wiederholte sich das Spiel.
Statt Verantwortung für dieses Desaster zu übernehmen, tauchte der Minister ab. Und die Gematik, die für die technische Umsetzung der ePA zuständig ist, verharmlost die Risiken bis heute: Die Angriffsszenarien seien theoretischer Natur und hundertprozentige Sicherheit gebe es ohnehin nicht. Mit dieser Strategie kann es kein Vertrauen geben.
Vielerorts herrscht Chaos
Der immense Zeitdruck stellt auch die Praxen vor hohe Hürden. Wie schon bei der Einführung des E-Rezepts häuften sich in den vergangenen Monaten die Stör- und Ausfälle. Selbst die amtierende Bundesgesundheitsministerin Nina Warken (CDU) räumt ein, dass es mehr Stabilität brauche, „keine Frage“.
Weil unter anderem Software-Updates fehlen, kann ein Fünftel der Arztpraxen noch nicht mit der ePA arbeiten. Bei den Krankenhäusern ist es noch dramatischer: Nur ein Fünftel von ihnen wird die ePA wohl bis zum Jahresende einsetzen können. Sie fordern mehr Zeit für die anstehende „Herkulesaufgabe“.
Ein längerer Vorlauf und eine bessere Kommunikation der Verantwortlichen untereinander hätten dieses Chaos verhindern können. Nina Warken lässt sich indes nicht beirren, sie setzt den Kurs ihres Amtsvorgängers fort.
Widerspruchsmöglichkeiten wurden ausgehebelt
Und die Versicherten? 70 Millionen Menschen haben nun eine ePA. Doch gerade einmal drei Prozent von ihnen nutzen sie aktiv. Für die übergroße Mehrheit ist sie kein Thema. Damit ist die ePA meilenweit davon entfernt, eine versichertengeführte Akte zu sein.
Zumal die Kontrollmöglichkeiten der Versicherten zunehmend eingeschränkt wurden – ungeachtet der massiven Kritik von Patient:innenverbänden, Verbraucher- und Datenschützer:innen. Sämtliche Informationen, die in der ePA hinterlegt sind, können alle Behandelnden nun standardmäßig einsehen: von der Psychotherapeutin und dem Physiotherapeuten, vom Hausarzt über die Zahnärztin bis zum Kleinstadtapotheker.
Wer den Zugriff für bestimmte Behandelnde einschränken möchte, braucht sehr viel Geduld und darf keine Einstellung übersehen. Denn auch die Medikationsliste und die Abrechnungsdaten fließen automatisiert in die ePA und geben Sensibles preis.
Für die Wirtschaft, nicht für die Patient:innen
Damit zeigt sich immer deutlicher, wozu die ePA künftig vor allem dienen soll: als Datensilo für die Pharma-Forschung und -Industrie.
In der EU laufen derweil die Vorbereitungen für den Europäischen Gesundheitsdatenraum (EHDS). Hier sollen in den kommenden Jahren die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen gesammelt und grenzüberschreitend ausgetauscht werden. Auch die Daten aus der ePA sollen dort hinein fließen.
Den Bürger:innen verspricht die EU-Kommission strengen Datenschutz, Datensicherheit und Kontrolle über die eigenen Gesundheitsdaten. Die zugrundeliegende Verordnung sieht jedoch etliche Ausnahmen bei deren Widerspruchsmöglichkeiten vor. Kritiker:innen warnen schon jetzt, dass der EHDS vor allem ein Datenraum für die Wirtschaft sein werde, nicht aber für die Patient:innen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Donald Trump gibt TikTok in die Hände seiner treuen Milliardärs-Fans. Ellison, Murdoch & Co. bekommen so Zugang zu 170 Millionen US-Handys. Für die US-Öffentlichkeit heißt das: noch mehr Propaganda, noch weniger Vielfalt. Ein Kommentar.
Der US-Präsident bei einer seiner Lieblingstätigkeiten: dem Unterzeichnen von Dekreten. – Alle Rechte vorbehalten IMAGO / MediaPunch
Was der US-Präsident am Morgen sagt, kann er am Abend schon wieder leugnen. Aber nur einmal angenommen, was Donald Trump am Donnerstag über den Verkauf von TikTok an US-Investoren gesagt hat, stimmt tatsächlich und der Deal wird in den kommenden Tagen unterzeichnet: Wer hätte damit eigentlich etwas gewonnen?
Auf der Gewinnerseite stehen sicher die Tech-Milliardäre, die Trump schon im Wahlkampf finanzkräftig unterstützt haben und nun laut des US-Präsidenten zum Investorenkreis gehören werden. Larry Ellison, Gründer des Software-Unternehmens Oracle, und der Star-Investor Mark Andreesen mit seiner Investmentfirma Andreesen Horowitz sind beide Teil von Trumps engsten Zirkeln und begeisterte Pro-Trumper mit MAGA-treuen Ansichten.
Zu den „amerikanischen Patrioten“, die TikTok laut Trump übernehmen sollen, gehören außerdem Rupert Murdoch und dessen Sohn Lachlan Murdoch, Chef des US-Medienunternehmens Fox Corp. sowie der Chef von Dell, Michael Dell, der sich Trump direkt nach der Wahl zu Füßen warf.
Diese Getreuen werden vom Präsidenten nun für ihre Loyalität belohnt und dürfen sich einkaufen in die App, die die Hälfte der US-Bevölkerung auf ihrem Smartphone hat. Als Teil des Deals sollen sie auch den berüchtigten Algorithmus lizenzieren, der darüber bestimmt, was Nutzer*innen zu sehen bekommen. Diesen sollen sie „neu trainieren“ dürfen für die US-amerikanischen Sicherheitsbedürfnisse, heißt aus dem Weißen Haus. Wie das genau funktionieren soll, ist, wie so viele Details dieses Deals, noch komplett unklar. Klar ist aber: Die Regler der Informationskontrolle auf TikTok liegen künftig in den Händen der MAGA-Milliardäre.
Der Algorithmus landet bei den MAGA-Oligarchen
Für die vielen Millionen Nutzer*innen von TikTok in den USA bringt der Deal hingegen keinen Vorteil. Dass die App, wie eigentlich per Gesetz vorgesehen, in den USA tatsächlich aus dem Markt fliegen würde, daran hatte zuletzt wohl niemand mehr ernsthaft geglaubt. Zu oft hatte Trump die Frist für das Ende verschoben, auch wenn das Gesetz das überhaupt nicht hergab.
Die Nutzer*innen werden eine neue App herunterladen können, für deren Updates fortan ebenfalls Oracle zuständig sein soll. Ihre Daten werden, wie bereits bisher, auf Servern von Oracle in den USA gespeichert. Alles beim Alten also.
Doch was die Einflussnahme auf die Inhalte angeht, kommen Nutzer*innen maximal vom chinesischen Regen in die braune Traufe. Was sie serviert bekommen, wird in Zukunft nicht mehr aus Beijing kontrolliert, wo ByteDance und somit im Zweifel auch die chinesische Regierung an den Informationsreglern saß. Stattdessen wird ihr Medienmenü künftig von Trump-getreuen Tech-Milliardären bestimmt.
Wie das ausgehen kann, sieht man etwa an der Entwicklung der Plattform X, die bereits ein anderer Tech-Milliardär, Elon Musk, nach der Übernahme weitgehend zur rechtsradikalen Propagandaschleuder umgebaut hat. Musk brüstete sich nach der Wahl 2024 offen damit, Trump mit X den Weg ins Weiße Hause geebnet zu haben. Nun droht also der noch populäreren Plattform TikTok ein ähnliches Schicksal.
Eine solche Medienmacht ist ungesund für die Demokratie
Für die Medienkonzentration in den USA ist dieser Deal ein Albtraum. Mit den Murdochs bekommen der Verleger und der Chef des Medienunternehmens hinter dem rechtskonservativen Sender Fox jetzt noch die Möglichkeit, weitere 170 Millionen Menschen mit Inhalten auf autoritärer Regierungslinie zu versorgen.
Der Sohn von Larry Ellison wiederum, David Ellison, kontrolliert als Chef des Medienunternehmens Paramount Skydance bereits den Sender CBS. Zugleich arbeitet er an einer Übernahme von Warner Bros., was ihm zusätzlich noch die Kontrolle über CNN geben würde – einem der verbleibenden medialen Widersacher von Trump. In den USA rechnen sie schon aus, wie schlimm es wird, sollte der Deal durchgehen. Ellison würde dann Streaming-Anbieter mit zusammengenommen mehr als 200 Millionen Abonnent*innen kontrollieren. Dazu kämen noch die 170 Millionen Nutzer*innen von TikTok.
Der Deal wird nicht reparieren, was an TikTok kaputt ist
Die Chefs von Meta, Amazon, Apple, Google und OpenAI haben alle schon freiwillig den Kniefall vor Trump gemacht. TikTok, das bisher als einzige verbleibende große Plattform nicht ganz auf Trumps Linie ausgerichtet war, hat er nun erfolgreich den nächsten willigen Oligarchen vermacht.
Nein, TikTok war nie ein Garant für Demokratie, Vielfalt und den gepflegten öffentlichen Austausch. Die Plattform verbreitete in der Vergangenheit Desinformation und rechtsextreme Propaganda, sie lässt ihre Inhaltemoderator*innen von KI ersetzen und tut nicht genug, um ihre Nutzer*innen vor Gewalt und Belästigung zu schützen. Doch die Übernahme durch rechte US-Investoren wird keines dieser Probleme lösen. Im Gegenteil.
Der größte Gewinner von allen ist damit Trump selbst, der seine Macht weiter ausbaut. Sein Einflussbereich ist nun nicht nur bei klassischen Medien im Aufwind, auch bei den sozialen Medien kann er auf noch mehr algorithmische Rückendeckung setzen. Für die in den USA einst so hochgehaltene Meinungsfreiheit und die Medienvielfalt verheißt das nichts Gutes. Der TikTok-Deal ist damit vor allem ein Geschenk von Trump an sich selbst.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Mit dem geplanten Digital Networks Act könnte sich der europäische Telekommarkt verändern – und die Wahlfreiheit für Verbraucher:innen stark schrumpfen. Vor allem kleine Netzbetreiber fürchten, dass manche in den Raum gestellte Regeln die Monopole stärken könnten.
Wo und zu welchen Bedingungen kommt das Internet her? Diese Frage will der DNA beantworten. – Alle Rechte vorbehalten IMAGO / Zoonar
Für kleinere Netzbetreiber in der EU und ihre Kund:innen steht diesen Herbst viel auf dem Spiel. Wer derzeit einen Internetanschluss braucht, kann in der Regel zwischen mehreren Anbietern auswählen. Umgekehrt müssen Netzbetreiber nicht zwangsläufig eigene Infrastruktur besitzen, um Kund:innen mit konkurrenzfähigen Angeboten zu locken. Dieses Gefüge könnte mit dem geplanten Digital Networks Act (DNA) ins Wanken geraten, dessen Entwurf die EU-Kommission in den kommenden Monaten vorstellen will.
Der Dienstleister Transatel bringt die Sorgen weiter Teile der Branche auf den Punkt. In einer Stellungnahme an die EU-Kommission mahnt der zum japanischen Telekom-Riesen NTT Group gehörende Anbieter: „Ohne Auflagen für Anbieter mit signifikanter Marktmacht könnten marktbeherrschende Festnetz- und Mobilfunkbetreiber den Zugang zu ihren Netzen einschränken und kleinere sowie virtuelle Anbieter aus dem Markt drängen. Dies würde die Monopolverhältnisse wiederherstellen, die die Liberalisierung eigentlich beseitigen sollte, und den Wettbewerb, die Innovation und die Wahlfreiheit der Verbraucher:innen einschränken.“
Historisch gewachsener Regulierungsrahmen
Seit der Abschaffung der staatlichen Monopole in den 1990er-Jahren ist die europäische Regulierung von Telekommunikation auf Wettbewerb und damit zu weiten Teilen auf die Bedürfnisse kleinerer oder zumindest nicht marktdominanter Anbieter ausgerichtet. Sie erhalten zu streng regulierten Konditionen Zugang zu den Netzen der ehemaligen Staatsbetriebe, um ihnen auch ohne eigene Leitungen Konkurrenz machen zu können. Zugleich soll das Modell des Infrastrukturwettbewerbs Anreize dafür schaffen, dass sich moderne Technik, beispielsweise Glasfaser, gegen zunehmend obsolete Lösungen wie Kupferleitungen durchsetzen kann.
Perfekt war dieser marktgetriebene Ansatz zwar nie. Immerhin hat er jedoch verkrustete Strukturen aufgebrochen und einen Markt mit einer Angebotsvielfalt geschaffen, die zuvor kaum vorstellbar war. In die Kritik ist das Modell mit der Zeit von unterschiedlichen Seiten aus geraten: Inzwischen subventionieren etwa viele EU-Länder, darunter Deutschland, den Netzausbau in ländlichen Regionen, in denen sich das teure Verbuddeln von Leitungen für die Betreiber finanziell nicht rechnet.
An anderer Stelle zeigt das sogenannte Überbau-Phänomen die Grenzen des Marktes auf, indem volkswirtschaftlich fragwürdig wiederholt Straßen aufgerissen werden, um neue Leitungen zu verlegen, anstatt kooperativ bereits vorhandene zu nutzen. Auf EU-Ebene wiederum wollen die Stimmen nicht verhallen, die sich „europäische Champions“ wünschen – also möglichst große Netzbetreiber, die auf einem harmonisierten EU-Markt und letztlich auf dem Weltmarkt mitmischen können. Was sich die ehemaligen Monopolisten vom DNA erwarten, haben wir hier zusammengefasst.
Ambitionierte Ausbauziele der EU
Über all dem steht das Ziel der Kommission, bis Ende des Jahrzehnts ganz Europa auf moderne Gigabit- und Mobilfunk-Verbindungen aufzurüsten. Ein Selbstzweck ist das nicht: Ohne schnelle und flächendeckend verfügbare Internetverbindungen ist ein modernes Leben kaum vorstellbar. Außerdem steigert eine bessere Breitbandversorgung das Wirtschaftswachstum, wie Studien immer wieder belegen. Letzteres hat die Kommission zu einer ihrer Prioritäten für die laufende Legislaturperiode erklärt.
Regulatorisch hat die Politik in den vergangenen Jahren bereits an einigen Stellschrauben gedreht: Seit der letzten Überarbeitung der EU-Regeln durch den sogenannten TK-Kodex sind selbst marktdominante Betreiber von besonders strenger Vorab-Regulierung befreit, solange sie in Zusammenarbeit mit anderen Anbietern oder Investoren moderne Netze neu bauen.
Noch weiter gingen manche EU-Länder, Frankreich etwa. Diese schwenken immer mehr auf sogenannte symmetrische Regulierung um, bei der alle Marktakteure, unabhängig von ihrer Größe, gleich behandelt werden. Auch die Strategie Deutschlands, den Ausbau mit öffentlichen Mitteln zu unterstützen, war alles andere als eine Selbstverständlichkeit: Ihr waren zähe Verhandlungen mit der EU-Kommission vorangegangen, die Sorge vor Marktverzerrungen hatte.
Bretons Weißbuch gibt Richtung vor
In dieses Umfeld platzte der inzwischen aus der Kommission ausgeschiedene Thierry Breton. Im Vorjahr stellte der damalige EU-Binnenmarktkommissar ein Weißbuch mit teils detaillierten Visionen zur Zukunft digitaler Infrastrukturen in Europa vor. Darin enthalten und potenziell wegweisend für den DNA: Vorschläge einer umfassenden Deregulierung und Konsolidierung des Marktes, einer Abschwächung der Netzneutralität unter dem Schlagwort „Fair Share“ sowie die Vorhersage eines weiteren Zusammenwachsens von Netz- und Diensteebene, was sich entsprechend in der Regulierung des Bereichs widerspiegeln müsse.
Schon damals musste Breton saftige Kritik für seine großindustrie-freundliche Sicht einstecken, sowohl aus der Zivilgesellschaft als auch von EU-Ländern. Künftige Regulierungspolitik müsse den Wettbewerb fördern und den Verbraucherschutz hochhalten, zudem müsse in bestimmten Zugangsmärkten die bewährte Vorab-Regulierung nicht leichtfertig aufgehoben werden, hieß es etwa in einer Erklärung des EU-Rats zu seinem Weißbuch.
Hinzu kommt die Sorge vor allzu harmonisierten Vorschriften, die der zersplitterten Betreiberlandschaft in der EU kaum gerecht werden könnten. So gibt sich der deutsche Glasfaser-Verband BUGLAS, der rund 180 deutsche Anbieter vertritt, überzeugt davon, dass „einheitliche Regelungen angesichts der Heterogenität der Märkte in den Mitgliedsstaaten nicht zielführend sind“.
Tatsächlich bringt jedes EU-Land unterschiedliche politische, regulatorische und wirtschaftliche Voraussetzungen mit: Der Ausbau verhält sich in Flächenländern anders als in gebirgigen Gegenden. In manchen Ländern ist die Marktkonsolidierung weiter fortgeschritten als in anderen, und einige Länder haben etwa den Zwischenschritt Vectoring übersprungen und gleich auf Glasfaser gesetzt, weil es keine dicht verlegte Kupferinfrastruktur gab, die sich wie in Deutschland hätte aufmöbeln lassen.
EU-Länder sind nicht gleich
Wie teils fundamental unterschiedlich die Ausgangslagen und Bedürfnisse innerhalb der EU sind, zeigt beispielsweise die Stellungnahme von Epic Communications, eines kleinen Anbieters aus Malta. Generell sei das Land in vielen Bereichen dysfunktional, erklärt der Anbieter: Bis heute seien schon vor Jahren verabschiedete EU-Gesetze wie die Kostensenkungsrichtlinie oder der Gigabit Infrastructure Act nicht umgesetzt. Außerdem sei die Wettbewerbsbehörde des Landes seit über einem Jahr nicht mehr handlungsfähig.
Eine Abschaffung der Vorab-Regulierung und Umstellung auf nachträgliche Kontrolle würde schnell an ihre Grenzen stoßen und wohl zu einer Remonopolisierung des Sektors führen, warnt der Anbieter: „Malta ist als kleiner Inselstaat mit erheblichen Hindernissen konfrontiert, darunter eine schwache Durchsetzungskapazität, begrenzte institutionelle Ressourcen, dominante Marktakteure und im Verhältnis zu seiner Wirtschaftsgröße unverhältnismäßig hohe Kapitalausgaben.“
Ganz anders die Situation in Schweden, das zumindest in Ballungsgebieten, wo der überwiegende Teil der Bevölkerung lebt, schon früh auf Glasfaser gesetzt hatte und heute über eine entsprechend gute und über dem EU-Schnitt liegende Versorgung verfügt. Basierend auf eigenen Erfahrungen dämpft etwa der schwedische Anbieter Stokab die Erwartungen der EU-Kommission, dass eine Konsolidierung des Marktes und Reduzierung des Wettbewerbs große Effekte hätte.
Infrastruktur und Netzwerke wie Glasfasernetze hätten den „gleichen lokalen Charakter“ wie Wasserleitungen und Straßen, führt Stokab in seiner Stellungnahme aus. Dies gelte für das Verlegen neuer Leitungen sowie für den Betrieb und Wartung. „Der landesweite oder multinationale Ausbau und die Bereitstellung solcher Infrastrukturen und Netzwerke bieten grundsätzlich keine Skalenvorteile – die Hauptkosten (Erdarbeiten) bleiben die gleichen.“
Lob für TK-Kodex
Demnach würde eine Abkehr vom bisherigen Regulierungsrahmen kaum den Ausbau beschleunigen oder billiger machen. Der Ansatz sei „weder passend noch angebracht“, so Stokab, zumal die im TK-Kodex enthaltenen Regulierungserleichterungen für Wholesale-Anbieter wie Stokab „positive Auswirkungen auf Investitionen und die Marktentwicklung“ gehabt haben sollen. Solche Wholesale-Unternehmen bieten ihre Dienste üblicherweise nicht Endkund:innen an, sondern Netzanbietern ohne eigene Infrastruktur. Gleichwohl würden diese Einwände nicht bei der grenzüberschreitenden Bereitstellung von Diensten gelten, wo sich die erwünschten Skaleneffekte mittels harmonisierter Regeln vermutlich umsetzen ließen, so der Netzbetreiber.
In eine ähnliche Kerbe schlägt der französische Wholesale-Anbieter Altitude. Der gegenwärtige Regulierungsrahmen samt der im TK-Kodex enthaltenen Anreize zur Kooperation habe das Ausrollen von Glasfasernetzen begünstigt und sollte schon allein aus Gründen der Rechtssicherheit beibehalten werden, schreibt Altitude. Und der Anbieter erinnert daran, wer eigentlich den initialen Ausbau bezahlt hat – bevor der einstige Monopolist France Télécom teilprivatisiert und zu Orange umbenannt wurde: „Die Leitungen und Schächte von Orange, die größtenteils von der öffentlichen Hand für den Bau des Kupfernetzes finanziert werden, umfassen das gesamte Gebiet und sind nicht replizierbar. Sie sind die Hauptstütze für die Netze der nächsten Generation, und daher ist es notwendig, die asymmetrische Regulierung dieser Infrastruktur aufrechtzuerhalten.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Dänemark will die Chatkontrolle in drei Wochen durchdrücken. Am Gesetz ändert die Ratspräsidentschaft nichts, stattdessen sollen Staaten ihre Meinung ändern. Die Position Deutschlands ist maßgeblich. Darüber entscheidet Innenminister Dobrindt. Wir veröffentlichen das eingestufte Verhandlungsprotokoll.
Seit Juli hat Dänemark die Ratspräsidentschaft inne. Die sozialdemokratisch geführte Regierung befürwortet die verpflichtende Chatkontrolle und Client-Side-Scanning. Dänemark will, dass die Justiz- und Innenminister den Gesetzentwurf am 14. Oktober annehmen.
Die vorherige Ratspräsidentschaft hatte vorgeschlagen, die Chatkontrolle freiwillig statt verpflichtend zu machen und verschlüsselte Kommunikation auszunehmen. Dänemark hat diese Abschwächungen wieder rückgängig gemacht.
Dänemark sagt ganz offen: „Es dürfte sehr schwierig sein, neue Ansätze zu finden, die bei den Mitgliedstaaten auf Zustimmung stoßen. Uns gehen die realisierbaren Optionen aus.“ Deshalb legt Dänemark im Prinzip einfach den alten Gesetzentwurf nochmal vor – und hofft auf ein anderes Ergebnis.
Optionen gehen aus
In der Arbeitsgruppe war Dänemark damit nicht sofort erfolgreich. Die meisten EU-Staaten „wiederholten im Wesentlichen die bereits bekannten Positionen“. Viele Staaten wollen eine weitreichende Chatkontrolle, eine Sperrminorität der Staaten lehnt das ab.
Kommission und Ratspräsidentschaft nutzen das als Druckmittel. Dänemark ist „sich des Zeitdrucks sehr bewusst“. Die Ratspräsidentschaft ist „in engem Austausch mit der Kommission und dem Parlament“. Es brauche „deutliche Fortschritte“, damit sich der Rat auf eine gemeinsame Position einigt.
Befürworter machen Druck
Auch zahlreiche EU-Staaten „betonten die dringende Notwendigkeit, im Lichte der auslaufenden Interims-Verordnung zu einer Einigung zu kommen“. Sowohl Gegner als auch Befürworter der Chatkontrolle fordern eine zeitnahe Einigung.
Zehn Staaten unterstützen den dänischen Vorschlag für eine verpflichtende Chatkontrolle. Darunter sind langjährige Befürworter wie Spanien, Rumänien und Ungarn.
Frankreich war lange skeptisch und wartete „auf eine Entscheidung auf allerhöchster Ebene“. Jetzt ist Paris „im Großen und Ganzen“ einverstanden mit dem Entwurf. Frankreich begrüßt sowohl verpflichtende Chatkontrolle als auch Client-Side-Scanning. „Die Verhältnismäßigkeit sei gewahrt.“
Weiterhin keine Zustimmung
Fünf Staaten lehnen den dänischen Vorschlag ab. Polen unterstützt den Kampf gegen sexuellen Kindesmissbrauch, dafür muss Prävention verstärkt werden. Einer Chatkontrolle kann Warschau „weiterhin nicht zustimmen“, sie stelle „Datenschutz und Privatsphäre“ in Frage.
Die Niederlande und Luxemburg unterstützen ebenfalls das Ziel, sexuellen Kindesmissbrauch besser zu bekämpfen. Doch mit der verpflichtenden Chatkontrolle sind sie „nicht einverstanden“. Auch Tschechien lehnt den Vorschlag ab. Die Chatkontrolle ist nicht verhältnismäßig.
Österreich verweist ebenfalls auf seine „bereits bekannte und unveränderte Position“. Der Nationalrat hat eine Chatkontrolle vor drei Jahren abgelehnt. Die österreichische Bundesregierung ist an diesen Beschluss gebunden.
Mehr politische Aufmerksamkeit
Andere Staaten positionieren sich nicht eindeutig. Schweden prüft den Vorschlag noch und arbeitet an einer Position. Finnland sieht den Vorschlag „ambivalent“, er enthalte gute und „problematische Bestimmungen“. Die Slowakei prüft ebenfalls weiter, dabei stehen „Cybersicherheit und Grundrechte im Fokus“.
Lettland bewertet „den Text positiv“. Es sei aber noch unklar, „ob dieser auch politische Unterstützung finde“. Grund sei, dass „der Vorschlag über die Sommerpause vermehrt politische Aufmerksamkeit erhalten habe“. Das dürfte an der Kampagne Fight Chat Control liegen, die nicht sehr genau und transparent ist, aber einige Reichweite erreicht.
Das entscheidende Land bleibt Deutschland. Bisher war die Bundesregierung gegen Client-Side-Scanning und Scannen verschlüsselter Kommunikation. Das Innenministerium unter CSU-Minister Alexander Dobrindt will diese Position aufweichen. Die deutsche Delegation „verwies auf die noch andauernde Meinungsbildung innerhalb der Bundesregierung“. Wenn Deutschland kippt, kommt die Chatkontrolle.
Hunderte Wissenschaftler kritisieren „inakzeptabel hohe Raten an Fehlalarmen und Fehldetektionen“. In der Arbeitsgruppe gesteht auch die Kommission, „dass es realistischerweise keine Technologie gäbe, die fehlerfrei funktioniere“. Trotzdem gehen die Beamten davon aus, dass Unternehmen „zu viele False Positives“ irgendwie verhindern können.
Die Kommission ist gesetzlich verpflichtet, einen Bericht über die freiwillige Chatkontrolle vorzulegen. Anhand von Statistiken soll sie Verhältnismäßigkeit und technischen Fortschritt bewerten. Die Frist war am 4. September. Bis heute gibt es diesen Bericht nicht. Damit bricht die Kommission ihr eigenes Gesetz. Bereits vor zwei Jahren hat die Kommission die gesetzliche Frist gerissen und konnte die Verhältnismäßigkeit der Chatkontrolle nicht belegen.
Deutschland entscheidet
Unter dem Strich hat auch die neueste Verhandlungsrunde keine Einigung gebracht. Ratspräsidentschaft und Kommission haben keine Mehrheit für eine verpflichtende Chatkontrolle. Doch sie sind nicht bereit, die Chatkontrolle fallenzulassen oder abzuschwächen.
Stattdessen schlagen sie immer wieder das Gleiche vor. Sie hoffen, dass manche EU-Staaten ihre Position ändern. Wenn die deutsche Bundesregierung ihre Meinung ändert, könnten sie damit Erfolg haben.
Dänemark will eine Entscheidung innerhalb der nächsten drei Wochen. Letzte Woche sollten die EU-Staaten schriftliche Kommentare und Anmerkungen einreichen. Am 9. Oktober tagt die Arbeitsgruppe erneut. Am 14. Oktober treffen sich die Justiz- und Innenminister. Wenn es nach Dänemark geht, bringen sie dort das Chatkontrolle-Gesetz auf den Weg.
Hier das Protokoll in Volltext:
Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
Sitzung der RAG Strafverfolgung am 12. September 2025
I. Zusammenfassung und Wertung
TOP 3: Grundlage der Aussprache bildete der am 24. Juli von der DNK Präsidentschaft übermittelte überarbeitete Kompromisstext. Vor dem Hintergrund, dass das EP eine Verlängerung der Interims-VO nur in Aussicht gestellt hat, sofern eine Einigung im Rat erreicht wird, kündigte Vorsitz an, auch weiterhin im JI-Rat am 14. Oktober 2025 eine teilweise Allgemeine Ausrichtung anzustreben.
Zahlreiche wortnehmenden MS wiederholten im Wesentlichen die bereits bekannten Positionen und kündigten schriftliche Ergänzungen im Nachgang an.
Vorsitz bat um Übermittlung der schriftlichen Kommentare und Anmerkungen bis 19.09.2025 und kündigte weitere RAGS-Polizei Sitzungstermine für den 09. Oktober, 10. November und 03. Dezember, ohne inhaltliche Konkretisierung, an.
Bei TOP 5 unterstrichen die MS die Bedeutung der Bekämpfung von Online-Betrug. Neben dem immensen wirtschaftlichen Schaden sei auch der Vertrauensverlust der Bevölkerung zu bedenken. Die Strafverfolgung sei insbesondere mit Drittstaaten schwierig und Informationsaustausch sowie Rechtshilfeverfahren könnten mit der Schnelligkeit der Kriminellen bei diesem Phänomen nicht mithalten. KOM solle auch dies bei der Erarbeitung eines Aktionsplans berücksichtigen. MS könnten bis zum 17. Oktober schriftliche Kommentare einreichen.
II. Im Einzelnen
TOP 1: Tagesordnung wurde mit Ergänzungen unter AOB angenommen.
TOP 2: Information from the Presidency
VO Schleuserkriminalität: Es gab zwei technische Triloge, die insgesamt sehr konstruktiv verlaufen seien. Vorsitz werde das 4-Spalten Dokument in Vorbereitung der Sitzung der JI-Referent*innen am 17. September übermitteln (mittlerweile erfolgt)
EU Roadmap Drogen- und OK-Bekämpfung: Vorsitz wolle sich auf die Umsetzung von einzelnen Themenbereichen konzentrieren (u.a. Mobilisierung Zoll/Grenzschutz/Sondereinheiten, Rekrutierung von Kindern und Jugendlichen, Synthetische Drogen, Justizielle Zusammenarbeit). Die Diskussionen hierzu würden in der HDG geführt.
Temporary Core Group RAGS Netzwerke: Die erste Sitzung habe stattgefunden. Kernaufgabe sei die Erarbeitung einer Priorisierung der RAGS Netzwerke. Zudem solle eine einheitliche governance Struktur entwickelt werden. Die erste Sitzung habe gezeigt, dass insbesondere die Erarbeitung von validen Kriterien zur Priorisierung schwierig werden könnte. Zur nächsten Sitzung der Core Group mit Vertretern der Netzwerke (29. September, virtuell) solle ein Fragenkatalog beantwortet werden, um die Arbeit der Netzwerke und deren Struktur besser zu verstehen. Eine weitere Sitzung der Kerngruppe sei am 1. Oktober vorgesehen, um die Kriterien für eine Priorisierung zu diskutieren. Vorsitz hoffe zur Vorbereitung auf schriftliche Kommentare der MS und der KOM. Die RAGS werde sich am 9. Oktober wieder mit dem Thema befassen.
EU Abkommen mit Lateinamerikanischen Ländern: EP habe der Unterzeichnung des Abkommens mit BRA zugestimmt. Die Unterzeichnung ECU solle am Rande der UN-Vollversammlung am 23. September stattfinden.
Die nächsten Sitzungen der RAGS finden am 9. Oktober (NICHT 7. Oktober), am 10. November (NICHT 14. November) sowie am 3. Dezember (Vormittags gemeinsame Sitzung mit RAGS-C) statt.
TOP 3: Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (11596/25)
Vorsitz eröffnete die Sitzung mit einer kurzen Zusammenfassung der am Kompromisstext vorgenommenen inhaltlichen und technischen Veränderungen. Ergänzend verwies Vorsitz auf die Ausführungen dazu im Presidency Flash.
Zahlreiche wortnehmende MS (ESP, DEU, POL, AUT, HUN, ROU, SWE, IRL, CYP) betonten die dringende Notwendigkeit, im Lichte der auslaufenden Interims-VO zu einer Einigung zu kommen und kündigten die Übermittlung schriftlicher Kommentare an (AUT, POL, EST, ITA, FIN, HRV, PRT).
BEL teilte mit, den aktuellen Kompromissvorschlag im Prinzip mittragen zu können. Der Text sei in dieser Form nützlich und effizient. Eine Anpassung wird in Bezug auf die Zugänglichkeit von Treffern bei Aufdeckungen angeregt: Treffer könnten beim jeweiligen Diensteanbieter vorgehalten und erst bei Zustimmung durch die zuständige Behörde bzw. ein Gericht übermittelt werden, z.B. bei anhängigen Ermittlungsverfahren oder Anzeigen. Dann könne die Detektion auch in verschlüsseltem Umfeld erfolgen. BEL werde hierzu Textvorschläge übermitteln.
ITA äußerte Zweifel in Bezug auf die Einbeziehung von neuem CSAM in den Anwendungsbereich, zudem solle Audiokommunikation umfassender definiert werden.
Für LTU stehe die Wahrung der Grundrechte im Fokus, gleichzeitig solle der Kompromissvorschlag aber auch so ambitioniert wie möglich sein. LTU unterstütze den Vorschlag weiterhin.
EST merkte an, der Text solle in Bezug auf Altersverifikation (Art. 28 DSA) an den DSA angeglichen werden. DSA und DSGVO sollten im Text ausdrücklich genannt und darauf Bezug genommen werden. Im Übrigen könne EST die Änderungen in Art. 10 nicht mittragen. Der Zugang zu Verschlüsselung müsse an einer einheitlichen Stelle behandelt werden.
LVA bewertet den Text positiv, ob dieser auch politische Unterstützung finde, sei aber noch unklar, da der Vorschlag über die Sommerpause vermehrt politische Aufmerksamkeit erhalten habe.
ESP unterstrich deutlich, den Vorschlag weiterhin vollumfänglich zu unterstützen und machte klar, dass die Signale aus dem EP zur möglichen Verlängerung der Interims-VO nicht gut seien.
Vorsitz bestätigt, dass man sich des Zeitdrucks sehr bewusst sei und sich diesbezüglich in engem Austausch mit der KOM und dem EP befinde. Um mit den Trilogverhandlungen zu beginnen, brauche es deutliche Fortschritte im Rat.
SVK gab an, den Vorschlag weiterhin zu prüfen. Hierbei stünden Cybersicherheit und die Grundrechte im Fokus. Ein nicht-selektives Scannen von Kommunikation sei problematisch, daher könne man derzeit noch keine positive Rückmeldung geben.
CZE äußerte Zweifel an der Verhältnismäßigkeit des Vorschlages und kündigte an, diesen im Falle einer Abstimmung abzulehnen.
POL teilte mit, dem Vorschlag weiterhin nicht zustimmen zu können und legte Prüfvorbehalt ein. Man unterstütze das Ziel der CSA–VO aber nicht so, wie im aktuellen Kompromissvorschlag. Prävention müsse verstärkt werden. Generell sei man gegen alles, was Datenschutz und den Schutz der Privatsphäre in Frage stelle.
FIN sah den Vorschlag ambivalent; er enthalte Regelungen, die einen stärkeren Schutz böten, aber eben auch problematische Bestimmungen.
BGR unterstützte ausdrücklich den Vorschlag, auch in Bezug auf Altersverifikation.
AUT verweist auf die bereits bekannte und unveränderte Position und kündigte schriftliche Kommentare mit weiteren technischen Anmerkungen an. Vorsitz verwies auf AUT Nachfrage zum Zeitplan und weiteren Vorgehen auf den Presidency Flash und bekräftigt das Vorhaben, am 14. Oktober zu einer Allgemeinen Ausrichtung zu kommen.
DEU trug weißungsgemäß vor, legte weiterhin Prüfvorbehalt ein und verwies auf die noch andauernde Meinungsbildung innerhalb der Bundesregierung und die Notwendigkeit einer regierungsabgestimmten Position.
PRT sah den Text als in die richtige Richtung gehend an. Est müsse nochmal geprüft werden, ob die im Flash angekündigten Änderungen bereits alle in den Text übernommen seien. PRT gab weiterhin zu bedenken, dass der Erfolg des EU-Zentrum wesentlich davon abhinge, wie gut die Regelungen zu den nationalen Strukturen der MS passten.
HUN hielt seinen Prüfvorbehalt aufrecht, dieser sei aber positiv und nur aus technischen Gründen notwendig. Angemerkt wurde weiterhin, dass die in Art. 24 Abs. 6 genannte Frist von 3 Monaten zu lang sei, HUN schlage unverzüglich bis max. 8 Tage vor (auch FRA). Vorsitz erwiderte, man habe sich in Bezug auf die Frist von 3 Monaten an der NIS–RL orientiert und diese von dort übernommen.
IRL unterstützt den Kompromissvorschlag, dieser biete einen deutlichen Mehrwert. Die zusätzlichen Safeguards gewährleisten eine gute Balance zwischen Datenschutz und Kinderschutz.
FRA zeigte im Großen und Ganzen Einverständnis mit dem vorliegenden Text. Es sei gut, dass die Aufdeckungsanordnungen wieder enthalten seien. Ebenso sei es zu begrüßen, dass die Risikoklassifizierung und Client-Side-Scanning enthalten seien. Die Verhältnismäßigkeit sei gewahrt. Wichtig sei, die Humankontrolle bei Treffern zu gewährleisten. FRA hätte daher gerne das Hit-System wieder im Text, um die Zahl der False Positives zu verringern. Zudem müsse es die Möglichkeit geben, Dienste bei entsprechenden Erkenntnissen schnell zu „Hochrisikodienst“ hochstufen zu können. Da Sextortion ein großes Problem in FRA sei, plädiere FRA für eine kürzere Review Frist beim Grooming (18 Monate anstatt 3 Jahre). FRA begrüßte zudem die Zertifizierung von Aufdeckungstechnologien, sowie die vorgesehene Verlängerung der Interims-VO um 72 Monate.
Vorsitz erläuterte, dass das Hit-System von zahlreichen MS als kritisch bewertet wurde und man es daher herausgenommen habe.
ROU unterstützte den Text, würde die Risikokategorisierung aber lieber auf 2 anstatt 3 Kategorien beschränken.
NLD und LUX unterstützen das Ziel des VO-Entwurfes, zeigten sich aber mit dem Kompromisstext nicht einverstanden und verwiesen auf die bekannten Positionen. Kritisch bewerte NLD zudem auch Ausgestaltung der Zustimmung durch den Nutzer.
SWE gab sich insgesamt positiv und begrüßte, dass die Aufdeckungsanordnung und die Verschlüsselung wieder aufgenommen wurden. Man prüfe den Kompromisstext jedoch noch und arbeite an einer Position. SWE frage sich aber, ob die aktuelle Formulierung in Bezug auf E2EE eine Beschränkung im Hinblick auf künftige Technologien darstellen könnte.
Vorsitz verwies in Bezug auf die Formulierung von Art. 1 Abs. 5 auf die Arbeit unter den vorangegangenen Ratspräsidentschaften, darauf basiere die Formulierung. Man sähe darin das notwendige Gleichgewicht zwischen Kinderschutz und Schutz von Privatsphäre und Cybersicherheit.
HRV begrüße die letzten Änderungen im Text. Man wünsche sich aber eine klarere Begriffsbestimmung in Bezug auf die Client-Side-Scanning-Technologie und visuelle Inhalte.
CYP stimmt dem Kompromissvorschlag zu und gab an, alles zu unterstützen, was dafür sorge, dass die Bürger sicherer seien. Der Text ginge in die richtige Richtung. Der VO-Entwurf habe höchste Priorität.
KOM berichtete auf Nachfrage BEL, dass der Evaluierungsbericht zur Umsetzung der Interims-VO in Arbeit sei und schnellstmöglich vorgelegt werde. Die Datensammlung sei schwierig gewesen und zahlreiche Nachfragen erforderlich gewesen, was die Verzögerung erkläre.
KOM führte weiterhin aus, dass sich nach Auskunft von NCMEC die Anzahl der Fälle von Sextortion um das 12-fache erhöht habe. Die Zahlen von Grooming und finanzieller Erpressung seien extrem gestiegen. Z.B. in Südafrika und auf den Philippinen hätten sich OK-Gruppierungen hierauf spezialisiert. Nach NCMEC Zahlen müsse man davon ausgehen, dass dieses Phänomen bereits zu 3.000 Selbstmorden von Kindern geführt haben.
Insgesamt sei die Anzahl an NCMEC-Meldungen seit Einführung der E2EE im Facebook Messenger um 7 Mio. gesunken. Insgesamt seien aber bei Anbietern ohne E2EE die Meldungen gestiegen. Das zeige deutlich, dass verschlüsselte Kommunikation im Anwendungsbereich der CSA–VO verbleiben müsse.
Zum Thema False Positives müsse klar kein, dass es realistischerweise keine Technologie gäbe, die fehlerfrei funktioniere. Unternehmen würden aber nie eine Technologie verwenden, die zu viele False Positives erzeugt. Und auch das EU-Zentrum würde eine solche nicht akzeptieren oder gar zertifizieren, um eine Überflutung mit Falschmeldungen zu verhindern.
Zu dem von BEL vorgeschlagenen Verfahren führte KOM aus, dass es praktisch nicht zu handhaben wäre, die Treffer zunächst ausschließlich beim Anbieter zu speichern. Wie solle die Strafverfolgung Kenntnis davon erlangen? Man könne nicht akzeptieren, dass Kinder missbraucht würden, Anbieter auch entsprechende Hinweise dazu hätten, diese aber erst ans Licht kämen für den Fall, dass es bereits ein Ermittlungsverfahren gäbe. Das sei absolut inakzeptabel.
Vorsitz bat abschließend um Übermittlung der schriftlichen Kommentare und Anmerkungen bis 19.09.2025 zur Vorbereitung der (teilweisen) Allgemeinen Ausrichtung im Rahmen des JI-Rates am 14. Oktober 2025.
TOP 4: Network for the Prevention of Child Sexual Abuse
KOM informierte kurz über die Pläne für ein Netzwerk zur Prävention von sexuellem Kindesmissbrauch. Einladungen zur Nominierung von Expert*innen seien versandt worden, zuletzt mit Schreiben/Email an die StäVen vom 11.9.2025. Die Nominierten sollten in der öffentlichen Verwaltung arbeiten und einen entsprechenden professionellen Hintergrund haben. Nominierungen müssten bis 30. September erfolgen.
TOP 5: Online fraud: Stepping up the fight against online fraud in the EU (12499/25)
FIN präsentierte die nationalen Plattformen für die Kommunikationsmit dem Privatsektor (Bank Inquiry System, LEA Warrant Management and lawfull interception, Phenomen-level exchange of information). Diese diene insbesondere auch der Prävention. Präventionskosten seien insgesamt steigend und man wolle mit passenden Instrumenten diese Kosten senken. Die Plattformen würden auch bei der Nachverfolgbarkeit von kriminellen Gewinnen helfen.
Europol präsentierte die Erkenntnisse der Bereiche EFECC und EC3 und kündigte eine Veröffentlichung zu spoofing an.
Auf Basis der im Bezugsdokument übermittelten Fragen fand eine umfassende Aussprache statt. Die Bedeutung des Themas wurde von allen wortnehmenden MS (EST, BGR, POL, CZE, FRA, DEU, BEL, SWE, SVN, NLD, GRC, LVA, CYP, LTU, SVK, ESP, FIN, AUT, PRT, DNK, ROU, HRV) betont. Viele MS nannten Investitionsbetrug sowie fake shops/Banken als häufigste Form des online Betruges (DEU, BGR, LTU, FIN, HRV, SVK, PRT, AUT, SVN, BEL, FRA, CZE). Als weitere Bedrohungen wurden Schockanrufe/falsche Polizei- oder Behördenmitarbeiter*innen (DEU, BEL, EST, CZE, LVA, LTU, SVK) und Kontaktbetrug u.a. romantic scam (SWE, FRAU, DEU, POL). Neben dem wirtschaftlichen Schaden sei auch der Vertrauensverlust der Bevölkerung bzw. ein entsprechendes Unsicherheitsgefühl zu beachten (NLD, LVA, PRT). Die Problematik werde durch die Einsatzmöglichkeiten von KI noch verstärkt (DEU, ROU, POL, CZE, HRV). Als besondere Herausforderung sahen die meisten Staaten die grenzüberschreitende Zusammenarbeit an. Gewinnes seien immens und würden schnell auf ausländische Konten verschoben. Auch säßen die Tätergruppierungen meist im Ausland (DEU, HRV). Ein möglicher künftiger Rechtsrahmen müsse dies berücksichtigen; aktuell sei die grenzüberschreitende Zusammenarbeit, insbesondere mit Drittstaaten viel zu langsam oder gar unmöglich. Der Informationsaustausch müsse deutlich schneller werden (DEU, EST, POL, FRA, SWE, NLD, LTU, SVK, PRT), hierbei könnten öffentlich-private Partnerschaften hilfreich sein. Man müsse die Privatwirtschaft stärker in die Pflicht nehmen. Zudem seien verstärkte Sensibilisierungskampagnen und weitere Präventionsmaßnahmen sinnvoll (DEU, EST, BGR, SVK, ROU, CZE, FRA, SWE, GRC, NLD, PRT). Neben uns erwähnten auch NLD, FIN, FRA und KOM Europol als wichtigen Partner bzw. erwähnten EMPACT als Möglichkeit der Zusammenarbeit.
KOM dankte für die Diskussion und sagte zu, die Beiträge bei der Erarbeitung eines Aktionsplans zu berücksichtigen. Man werde sicherlich die Problematik der verbesserten Kooperation und Koordination aufgreifen und versuchen, einen automatisieren Informationsaustausch zu fördern. Wichtig sei ein ganzheitlicher und multidisziplinärer Ansatz. So habe es schon vereinzelt Kooperationen zwischen Strafverfolgung und Verbraucherschutz gegeben. Beim EMPACT habe man eine einsprechende OA vorgeschlagen. Es habe sich aber kein Action Leader hierfür gefunden.
Vorsitz sagte zu, die Diskussion weiter zu verfolgen und bat um schriftliche Kommentare bis zum 17. Oktober.
TOP 6: AOB
KOM berichtete kurz über die fortlaufenden Arbeiten zur Zukunft von Europol. Es habe in den letzten Monaten neben dem Kick-off Treffen auch Diskussionen im COSI sowie beim Europol Verwaltungsrat gegeben. Man befinde sich zudem im engen Austausch mit Europol. KOM habe zusätzliches Personal gewonnen und einen beträchtlichen Anstieg der Mittel für den nächsten MFR angemeldet. KOM plane nun die angekündigten technischen Workshops (6./7. November, 18/19. Dezember). Einladungen mit weiteren Informationen würden in Kürze übersandt. Der Evaluierungsbericht gemäß Art. 68 werde demnächst abgeschlossen. Zudem bereite ein Vertragsnehmer derzeit eine Studie durch, die in ein staff working document einfließen solle. KOM appeliere an de MS, den Vertragsnehmer hierbei zu unterstützen.
KOM berichtete zudem über eine Machbarkeitsstudie zum Thema Polizeiausbildung. Ziel sei eine Verbesserung des Ausbildungsniveaus insbesondere im Bereich der internationalen Zusammenarbeit. Auch hierbei werde es umfangreiche Konsultationen geben. CEPOL sei eingebunden. Ein „Validierungsworkshop“ sei am 17. Dezember geplant.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Mit Hilfe von Einschüchterung, Zensur, Tech-Bros und neuen Medienmogulen gewinnt US-Präsident Trump immer mehr Einfluss auf Medien und soziale Netzwerke. Geradezu bilderbuchmäßig kommen dabei Werkzeuge für einen autoritären Umbau zum Einsatz. Ähnliche Muster sind auch schon bei uns zu erkennen. Ein Kommentar.
Donald Trump und seine MAGA-Bewegung bauen die mediale Vorherrschaft aus. – Alle Rechte vorbehalten IMAGO / ABACAPRESS
Geradezu erdrutschartig verändert sich der Zustand der Meinungsfreiheit in den USA zum Schlechten. Vor zwei Tagen hat der Fernsehsender ABC auf Zuruf der US-Medienaufsichtsbehörde FCC die Late Night Show von Jimmy Kimmel abgesetzt. Der mutmaßliche Grund: Kimmel hatte im Zusammenhang mit Charlie Kirk kritische Comedy gesendet. Vergleiche zu Putins Russland machen bereits die Runde.
Im Hintergrund läuft derweil die wirtschaftliche Übernahme von Medienkonzernen und sozialen Netzwerken. Nachdem die Tech-Oligarchen schon unmittelbar nach dem Amtsantritt Trumps gebuckelt haben, greift nun die superreiche Ellison-Familie nach Warner Bros und TikTok. Auch das wird die Trumpsche Mediendominanz bei Fernsehsendern und sozialen Medien weiter verstärken – und die Demokratie entscheidend schwächen.
Larry Ellison ist Mitgründer und Großaktionär von Tech-Gigant Oracle, er liefert sich gerade mit Elon Musk ein Kopf-an-Kopf-Rennen, wer der reichste Mann der Welt ist. Ellison ist Republikaner, gilt als Freund von US-Präsident Donald Trump (€) – und ist Geschäftspartner von Musk, dem er finanziell bei der Twitter-Übernahme half und in dessen Konzern Tesla er wichtige Vorstandsposten innehatte. Außerdem mischt Ellison zusammen mit OpenAI beim „Project Stargate“ mit, das gerade Oracles Geschäfte beflügelt.
Larry Ellisons Sohn David wurde lange als „rich kid“ belächelt. Sein Unternehmen Skydance hat sich aber unlängst den Medienkonzern Paramount einverleibt. Zu Paramount gehören nicht nur die Filmstudios, sondern auch Fernsehsender wie CBS, MTV und Nickelodeon. Trump hält David Ellison für einen „fantastischen jungen Mann“.
Aufstieg der neuen Medienmogule
Die Einkaufstour durch die Medienwelt soll nun weitergehen: Ellison Junior hat Warner Bros ins Visier genommen. Dem Medienkonzern gehört neben der Filmsparte und zahlreichen weiteren Geschäftsbereichen auch der einflussreiche Nachrichtensender CNN. Schon jetzt gelten die Ellisons als die aufsteigenden Medienmogule der USA(€). Und das mit Trumps Placet und Segen.
TikTok hat in den USA 170 Millionen Nutzer:innen, knapp die Hälfte aller Einwohner der USA kann also über die Algorithmen mit Inhalten bespielt werden. Für viele ist TikTok die wichtigste Nachrichtenquelle, keine andere Plattform eignet sich so gut zur Informations- und Desinformationskontrolle. In zahlreichen Ländern spielt sie eine überragende Rolle bei der Verbreitung rechtsradikaler Erzählungen.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Die Dominanz von Trump und seinen Freunden aus Medien- und Techkonzernen wird zunehmend erdrückend. Wenn man sich den Kotau der Tech-Bros vor dem Trump-Regime anschaut, dann weiß man bereits, wohin die Reise geht. Längst kommen dabei nicht nur warme Worte und schmierige Schmeicheleien zum Einsatz, sondern handfeste redaktionelle Beschränkungen, wie zahlreiche Entwicklungen in jüngster Vergangenheit zeigen:
Twitter hat sich seit dem Kauf durch Elon Musk zur Propagandaschleuder X entwickelt. Der Milliardär hat das einstige globale Informationsnetzwerk auf die Dominanz rechter Accounts getrimmt, unterstützt offen rechtsradikale Parteien und Gruppierungen und ruft dabei auch zu Gewalt auf.
Paramount hatte im Juli bekanntgegeben, die Sendung „The Late Show With Stephen Colbert“ im kommenden Mai einzustellen. Der Showmaster hatte zuvor die Millionenzahlung seines Arbeitgebers an Trump als „große fette Schmiergeldzahlung“ bezeichnet.
In der Summe sehen wir so einerseits eine mediale Gleichschaltung durch Oligarchen und andererseits offene Einschüchterung und Zensur. Im Zusammenspiel schränkt das die Vielfalt der Meinungen und die Pressefreiheit in einem so atemberaubenden Tempo ein, dass man sich kaum mehr vorstellen mag, wie die politische Lage in die USA morgen, übermorgen oder in vier Wochen aussieht. Klar ist: Die amerikanische Demokratie steht am Abgrund.
Die rechte Lüge von der Meinungsfreiheit
In Deutschland sollten wir aus der Entwicklung in den USA lernen. Sie zeigt uns, wie entfesselte Konservative und Rechtsradikale selbst gefestigt geglaubte Demokratien in Windeseile niederreißen können. Geradezu bilderbuchmäßig kommen hier wie dort die Werkzeuge für den autoritären Umbau nach und nach zum Einsatz. Die Strategien und Taktiken setzen auf die Demontage von unabhängigen Medien, wie die aktuelle Debatte um den NDR oder orchestrierte Angriffe auf Journalist:innen wie Dunja Hayali auch in Deutschland zeigen.
Dabei wird klar, was wir alle bereits wissen, viele im Diskurs aber nach wie vor sträflich ignorieren: Wenn Rechte und Rechtsradikale Meinungsfreiheit fordern, geht es ihnen nicht um die Meinungsfreiheit aller. Stattdessen wollen sie die Grenzen des Sagbaren verschieben. Die Meinungsfreiheit nutzen sie nur als Blendgranate, damit am Ende alle anderen nur noch das sagen dürfen, was sie zulassen. Ob in den USA, in Ungarn oder auch bei uns geht es Rechtsradikalen immer nur um eines: das Grundrecht auf Meinungsfreiheit abzuschaffen.
Es ist höchste Zeit, dass wir noch deutlicher und lauter dagegen aufbegehren.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Elon Musk hat am Samstag als Sprecher einer Großdemonstration zu Gewalt aufgerufen. Doch die Bundesregierung und viele Medien sind weiterhin auf seiner Plattform X. Was muss eigentlich noch passieren, bis sie diesem gewaltbereiten Rechtsradikalen den Rücken kehren? Ein Kommentar.
Elon Musk (rechts) in einer Liveschaltung mit dem britischen Neonazi Tommy Robinson. – Screenshot: Hindustan Times
Gestern hat Elon Musk per Liveschaltung auf der Großdemo des bekanntesten britischen Neonazis – Tommy Robinson – unverhohlen zu Gewalt aufgerufen. Elon Musk ist der reichste Mann der Welt, er besitzt, kontrolliert und steuert die Plattform X, er macht sie zum Werkzeug für eine rechtsradikale Revolution. Musk unterstützt international rechtsextreme Parteien wie die AfD in Wahlkämpfen, er zeigt den Hitlergruß, verbreitet Desinformation. Und jetzt also der nur noch dürftig verklausulierte Aufruf zur Gewalt.
Was muss eigentlich noch passieren, damit die Bundesregierung, der Bundeskanzler, das Außenministerium, die Tagesschau, die ZEIT, der Spiegel oder der Zentralrat der Juden dieser Plattform eines zu allem entschlossenen gewaltbereiten Rechtsradikalen den Rücken kehren? Wann kapieren die Verantwortlichen dieser Accounts, dass sie mit ihrer Anwesenheit bei einem derartig mit dem Eigentümer verbundenen Dienst eben jenem Eigentümer mit ihrem guten Namen Relevanz und Reputation verleihen? Wann kapieren sie, dass ihre Anwesenheit der Propagandabude X Seriosität verleiht und dass sie sich letztlich gemein machen mit der Sache von Elon Musk?
Kommt mir nicht mit Reichweite und den wohlfeilen Argumenten, dass man die demokratische Diskussion dorthin tragen müsse, wo es wehtut. Dieses ganze rechtfertigende Gelaber, ich bin es satt: Irgendwann muss auch mal Schluss sein, wenn man noch ein Fünkchen Moral in der Tasche hat und als Demokrat:innen einen Rest Glaubwürdigkeit behalten will.
Sonst immer Neutralität, aber der Aufruf zu Gewalt ist OK?
Stellen wir uns einmal vor, dass Musk ein Linker wäre, der permanent für eine friedliche Revolution zum Sozialismus werben würde. Das wäre doch schon zuviel. Ihr wärt doch schon lange gegangen, denn die heilige Neutralität ist ja so wichtig und das wäre alles ganz schlimme Propaganda, die dem Eigentümer einer so wichtigen Nachrichten- und Informationsplattform nicht zusteht. Was wäre das Gezeter groß…
Aber Aufrufe zu Gewalt und Bürgerkrieg und Hitlergrüße und Antisemitismus und Desinformation und Drehen an den Algorithmen, damit die Nazis mehr Reichweite erhalten, das alles nehmt Ihr achselzuckend hin. Weil es der Zeitgeist ist? Traut Ihr Euch nicht mehr, weil die Rechten so stark sind? Was ist eigentlich los bei Euch?
Vielleicht deswegen nochmal zur Erinnerung, welchen Appell Musk am Samstag im Rahmen der Demonstration gegen Einwanderung an die britische Bevölkerung richtete. Ihr sitzt mit Euren Accounts quasi im Funkhaus dieses Typen.
Dies ist eine Botschaft an die vernünftige Mitte, an die Menschen, die sich normalerweise nicht in die Politik einmischen, die einfach nur ihr Leben leben wollen. Sie wollen das nicht, sie sind still, sie gehen einfach ihren Geschäften nach. Meine Botschaft an sie lautet: Wenn das so weitergeht, wird die Gewalt auch Euch erreichen, Ihr werdet keine Wahl haben. Ihr befindet euch hier in einer grundlegenden Situation. Ob Ihr Euch für Gewalt entscheidet oder nicht, die Gewalt wird Euch einholen. Entweder Ihr wehrt Euch oder Ihr sterbt – das ist die Wahrheit.
Was muss eigentlich noch alles passieren, bis Ihr eure X-Accounts endlich dichtmacht?
Korrekturhinweis 14.9. – 20:30 Uhr:
Wir haben im übersetzten Zitat eine Kleinigkeit korrigiert. Elon Musk sagt in der Videoschalte nicht „das ist meiner Meinung nach die Wahrheit“, sondern „Das ist die Wahrheit“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die EU-Staaten konnten sich auch während der polnischen Ratspräsidentschaft nicht auf eine gemeinsame Position zur Chatkontrolle einigen. Jetzt hat Dänemark übernommen, das die verpflichtende Chatkontrolle befürwortet. Wir veröffentlichen eingestufte Verhandlungsdokumente.
EU-Innenkommissar Brunner und polnischer Innenminister Siemoniak bei Pressekonferenz zum JI-Rat. – Public Domain Europäische Union
Drei Jahre, sechs Ratspräsidentschaften und 35 Sitzungen: Die EU-Staaten können sich weiterhin nicht auf eine gemeinsame Position zur Chatkontrolle einigen. Im ersten Halbjahr übernahm Polen die Ratspräsidentschaft. Die Regierung in Warschau ist wie ihre Vorgänger daran gescheitert, eine Einigung zu organisieren.
Polen gehört zu den Kritikern der Chatkontrolle. Die damalige PiS-Regierung hatte bis 2023 mehrere hundert Menschen mit dem Staatstrojaner NSO Pegasus gehackt und überwacht, darunter prominente Politiker aus Opposition und Regierung. Die polnische Regierung versteht deshalb den Wert vertraulicher Kommunikation für alle.
Die polnische Präsidentschaft hat im Rat einen Kompromiss vorgeschlagen: Die Chatkontrolle soll für Internet-Dienste nicht verpflichtend werden, aber freiwillig möglich sein. Die Arbeitsgruppe Strafverfolgung hatinvierSitzungen darüber verhandelt – ohne Ergebnis.
Zum Abschluss seiner Arbeit hat Polen einen Bericht über die bisherigen Verhandlungen erstellt. Das Fazit: „Trotz aller Bemühungen des Vorsitzes, Unterstützung für einen Kompromissvorschlag einzuholen, bedarf es weiterer Anstrengungen, um eine Einigung über ein Mandat für Verhandlungen mit dem Europäischen Parlament zu erzielen.“
Anfang Juni haben sich die Ständigen Vertreter der EU-Staaten getroffen, um das Treffen der Justiz- und Innenminister vorzubereiten. Dort erklärte Polen ebenfalls, dass eine Einigung „leider ohne Erfolg geblieben sei“ und es deshalb nur den Fortschrittsbericht vorlegt. Die deutsche Delegation nahm das zur Kenntnis.
Die Zukunft des Gesetzes könnte von Deutschland abhängen. Vor zwei Jahren hat sich die Bundesregierung auf eine gemeinsame Position geeinigt. Deutschland lehnt das „Scannen privater verschlüsselter Kommunikation“, eine „Schwächung, Modifikation oder einer Umgehung von Ende-zu-Ende-Verschlüsselung“ und „Client-Side-Scanning“ ab.
Sitzung der JI-Referent*innen RAGS–P (CSA) am 27. Mai 2025
I. Zusammenfassung und Wertung
Vertreterin INHOPE (von der POL nationalen Meldestelle dyzurnet.pl) sowie Vertreter INTERPOL präsentieren anhand WK 7057/25 ihre Arbeit sowie die Gründe für die Entwicklung des Universal Classification Schema für CSAM. Dieses solle insbesondere die Identifizierung von Inhalten erleichtern und die grenzüberschreitende Zusammenarbeit verbessern. Auch rechtliche Unterschiede in der nationalen Gesetzgebung könnten hierbei berücksichtigt werden. Beide Vortragenden unterstrichen die Notwendigkeit, anhand drastisch steigender Zahlen einen proaktiven Ansatz zu wählen. Zudem sei grooming ein stark zunehmendes Problem.
Bei der kurzen Aussprache gaben nur wenige MS an, bereits mit dem Universal Classification Scheme zu arbeiten (MLT, HUN, AUT, SWE). Weitere MS betonten, eine Klassifizierung auf Basis des geltenden Rechts jeweils im Einzelfall durchzuführen (FRA, NLD, SVN, HRV, CZE, ESP, LVA). IRL gab an, ein eigenes Klassfizierungsschema zu nuzten. Die Idee eines solchen Schemas für die EU-Zusammenarbeit wurde überwiegend positiv gesehen.
Auf BEL Nachfrage, inwiefern das Schema in Bezug auf grooming genutzt werden könne, stellte Vertreter Interpol klar, dass hierbei auch illegale Inhalte produziert würden.
Vorsitz bat abschließend um Beantwortung der Fragen in Dok. 6661/25 bis 6. Juni 2025. Vorsitz werde die Antworten zusammenfassen und den MS zur Verfügung stellen.
Weitere Sitzungen zur CSA–VO werde es unter POL Vorsitz nicht geben. Vorsitz werde einen Fortschrittsbericht vorlegen.
II. Im Einzelnen
entfällt
Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
Von: BMI, Referat CI 6 – Grundsatz Cyberfähigkeiten der Sicherheitsbehörden
Vorsitz verhandelt mit Ziel einer Allgemeine Ausrichtung. Aktueller Vorschlag des Vorsitz sieht ggü. dem KOM-Vorschlag und der letzten RP eine wesentliche Reduzierung des Anwendungsbereiches der CSA–VO vor. Dazu zählt insb. die Streichung der verpflichtenden Aufdeckungsanordnungen, zugleich Verstetigung freiwilliger Aufdeckungen gem. Interims-VO, Reduzierung des Risikomanagements, Anpassung bzw. Reduzierung der Aufgaben der Koordinierungsbehörden und des EU-Zentrums. Prüfung innerhalb der BReg dauert an. In einer ersten Befassung wurde der Vorschlag des Vorsitz von 16 MS abgelehnt.
HUN–RP befasste am 12.12.2024 den JI-Rat mit dem Vorschlag einer Allgemeine Ausrichtung, der keine Zustimmung unter den MS fand. DEU hatte sich wie neun weitere MS enthalten und eine Protokollerklärung abgegeben.
Am 13.04.2023 hat DEU eine erste grundsätzliche Stellungnahme vorgelegt und wesentliche Änderungen gefordert.
Hintergrund: KOM-Vorschlag für VO zur wirksameren Bekämpfung des sexuellen Missbrauchs von Kindern zielt auf die Bekämpfung der Verbreitung von bereits bekannten und neuen Missbrauchsdarstellungen sowie die Verhinderung von Kontaktaufnahmen zu Kindern zu Missbrauchszwecken, sog. „Grooming“ (zusammengefasst: „CSAM“), im digitalen Raum. Entwurf verfolgt zwei wesentliche Regelungsbereiche:
1) Abgestufte Verpflichtungen für Anbieter von Online-Diensten: Anbieter sollen zu einem Risikomanagement verpflichtet werden. Wird dabei ein „signifikantes“ Risiko festgestellt, können gezielte Aufdeckungsanordnungen erlassen werden. Erlangen Anbieter Kenntnis von CSAM auf ihren Diensten, muss dieses umgehend an das EU-Zentrum gemeldet werden. Anbieter sollen zur Entfernung einzelner oder mehrerer konkreter Inhalte verpflichtet werden können. Daneben ist Verpflichtung für App-Stores vorgesehen, Kinder am Herunterladen von Apps zu hindern, die ein hohes Risiko für Grooming darstellen. Internetdiensteanbieter sollen zur Sperrung von URLs verpflichtet werden können.
2) Errichtung eines EU-Zentrums: Gründung dezentraler Agentur mit Sitz in Den Haag und enger Angliederung an Europol. Aufgaben: Verwaltung von Datenbank mit Indikatoren, die bei der Aufdeckung von CSAM verwendet werden müssen; (kostenlose) Zurverfügungstellung von Aufdeckungstechnologien, zentrale Meldestelle, Betroffenenunterstützung. Auf Grundlage der am 14.06.2022 veröffentlichten EuGH-Entscheidung ist die Beteiligung der MS bei Sitzfragen mit KOM neu auszugestalten. Die durch KOM ursprünglich vorgesehene Governance-Struktur wurde im Laufe der Verhandlungen an etablierte Strukturen angeglichen.
Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
Hier: Vorbereitung JI-Rat: Innenteil und Sonstiges
Zweck: Zur Unterrichtung
Geschäftszeichen: 421.30
2988. AStV-2 am 4. Juni 2025
I. Zusammenfassung und Wertung
Der AStV setzte in seiner heutigen Sitzung die Vorbereitung des JI-Rats am 12./13. Juni 2025 in Luxemburg fort. Für den Innenteil wurden dabei folgenden Themen behandelt:
Regulation to prevent and combat child sexual abuse
Vorsitz hob die Bemühungen der vergangenen Monate hervor, um einen Kompromiss in diesem Dossier zu erzielen, was leider ohne Erfolg geblieben sei. Daher sei lediglich ein Fortschrittsbericht beim Rat vorgesehen (vgl. Dok. 9277/25 (liegt in Berlin vor)), der nunmehr als A.-Punkt vorgelegt werden solle.
Gleichzeitig verwies Vorsitz darauf, dass die derzeit gültige Übergangsverordnung bald ausliefe. KOM müsse daher schnellstmöglich einen Entwurf zur Verlängerung vorlegen, auch wenn das EP dies bisher ablehne. KOM machte deutlich, dass sich EP sehr klar gegen eine abermalige Verlängerung positioniert habe. Vielmehr müsse sich der Rat endlich auf eine Position verständigen, um die interinstitutionellen Verhandlungen zu beginnen. FRA bezweifelte, dass hierfür die Zeit reiche. Es brauche nunmehr eine „Notfalllösung“ (unterstützt von IRL und HUN).
ProtectEU
Vorsitz verwies auf Dok. 9267/25 (liegt in Berlin vor). Beim JI-Rat sei der erste Austausch auf Ministerebene zur europäischen Strategie für die innere Sicherheit entlang der formulierten diskussionsleitenden Fragen vorgesehen.
Einfluss der aktuellen geopolitischen Lage auf die innere Sicherheit
Vorsitz verwies erneut auf das Arbeitsfrühstück der Minister, dass die Möglichkeit geben solle, sich zur Lage in MDA und UKR sowie der Auswirkungen auf die innere Sicherheit in der EU auszutauschen. Zur Lage in Syrien sei ein Sachstandbericht vorgesehen. Dabei ginge es nicht um Rückführungsfragen, sondern insb. um die Lage im Nord-Osten des Landes und Implikationen für die innere Sicherheit in der EU.
Sonstiges
Vorsitz informierte, dass es unter AOB einen Bericht zur Bekämpfung des Drogenschmuggels und der organisierten Kriminalität sowie eine kurze Information zu den Ergebnissen des High-Level Ministerial Meetings EU-CELAC geben werde. SVN kündigte zudem einen AOB zum Brdo-Prozess an.
ITA bat ferner darum, dass sich der Rat mit der Lage in LBY befassen müsse, und zwar aus zwei Perspektiven: zum einen mit Blick auf Migrationsflüsse in die EU und zum anderen mit Blick auf die Sicherheit und Stabilität in der Region. Vorsitz sagte zu, dass es einen Sachstandsbericht hierzu geben werde.
Abschließend informierte Vorsitz darüber, dass der TOP zur Insolvenzrichtlinie wie geplant auf der Tagesordnung des Justizteils verbleibe.
II. Handlungsempfehlungen
Kenntnisnahme.
III. Im Einzelnen
Entfällt.
Datum: 19. Juni 2025
Von: Bundesministerium des Innern
An: Deutscher Bundestag
Bundesregierung-Dokument: 226/2025
Nachbericht zum formellen Rat der EU-Innenministerinnen und Innenminister am 13. Juni 2025 in Luxemburg
Am 12. und 13. Juni 2025 fand in Luxemburg der zweite und letzte formelle Rat für Justiz und Inneres unter polnischer EU-Ratspräsidentschaft statt. Die Innenministerinnen und Innenminister tagten am 13. Juni. Für Deutschland nahm Frau Parlamentarische Staatssekretärin Daniela Ludwig an der Sitzung teil.
Im Rahmen der diesjährigen Feierlichkeiten zum 40-jährigen Jubiläum des Schengen-Raums haben der Polnische EU-Ratsvorsitz Tomasz Siemoniak und der Luxemburgische Innenminister Léon Gloden ihre Amtskolleginnen und Amtskollegen am Vorabend des Rates zu einem Abendessen nach Schengen eingeladen. Flankiert wurden die Feierlichkeiten mit der Unterzeichnung der Schengen-Erklärung „Bekenntnis zu Freiheit, Sicherheit und Recht“. Die Erklärung dient der Erneuerung des Bekenntnisses zu Schengen und wurde im Justizteil des Rates als Punkt ohne Aussprache (sogenannter „A-Punkt“) angenommen.
Vorab der Ratstagung tauschten sich die Ministerinnen und Minister zur Lage in der Ukraine und in der Republik Moldau aus. Die Innenministerin der Republik Moldau, Daniella Misail-Nichitin, und der Ukrainische Vize-Premierminister, Oleksiy Chernyshov, waren beim Frühstück zugegen.
Zu Beginn der Ratstagung wurden die Ministerinnen und Minister über die geopolitische Lage in Syrien unterrichtet. Sollte es zu einem Machtvakuum kommen, seien Folgen auf die innere Sicherheit in der Europäischen Union nicht auszuschließen. Die Lage sei weiterhin volatil. Für die Stabilisierung sei es zentral, ausländische terroristische Kämpfer (Foreign terrorist fighters, „FTF“) im Schengener Informationssystem zu erfassen und die Außengrenzen gewissenhaft zu kontrollieren, die Camps im Nord-Osten des Landes weiter zu finanzieren, die Wirtschaft zu stärken und eng mit den Staaten in der Region zu kooperieren.
Anschließend kamen die Ministerinnen und Minister zu einer politischen Einigung über den Durchführungsbeschluss des Rates für eine Verlängerung des vorübergehenden Schutzes. Damit verlängert sich der vorübergehende Schutz für Flüchtlinge aus der Ukraine um ein weiteres Jahr bis zum 4. März 2027. Frau Parlamentarische Staatssekretärin Ludwig stimmte der Verlängerung zu und begrüßte, angesichts der teilweise stark belasteten Aufnahmekapazitäten in deutschen Kommunen, die im Beschluss aufgenommene klare Aussage zum Umgang mit Mehrfachanträgen auf vorübergehenden Schutz in verschiedenen Mitgliedstaaten. Im Anschluss haben die Ministerinnen und Minister über eine Empfehlung für einen gemeinsamen und koordinierten Übergang aus dem vorübergehenden Schutz beraten. Zahlreiche Ministerinnen und Minister waren sich darin einig, dass eine enge Koordinierung zwischen den Mitgliedsstaaten wichtig sei, um einen Übergang in die Asylsysteme und Sekundärbewegungen zu vermeiden. Frau Parlamentarische Staatssekretärin Ludwig betonte, dass die Themen Rückkehr und Reintegration besondere Berücksichtigung finden müssten. Der Polnische Vorsitz schloss mit dem Hinweis, dass die Ausarbeitung der Ratsempfehlung auf Arbeitsebene fortgesetzt werde.
Auf Wunsch von Italien wurden die Ratsmitglieder über die Entwicklung der Migrationslage in Libyen unterrichtet. Sorge bestünde, da die irreguläre Migration mit Abfahrten aus Libyen seit diesem Jahr wieder deutlich ansteige.
Im weiteren Verlauf der Sitzung nahmen die Ministerinnen und Minister Ratsschlussfolgerung zu den Prioritäten des kommenden EMPACT-Zyklus 2026-2029 an; auch Frau Parlamentarische Staatssekretärin Ludwig stimmte für Deutschland den Schlussfolgerungen zu. EMPACT steht für „European Multidisciplinary Platform Against Criminal Threats“ und ist ein Format, in dem die Mitgliedsstaaten bestimmte Deliktsbereiche der Organisierten Kriminalität bekämpfen.
Im Anschluss haben die Ministerinnen und Minister über den Zugang zu Daten für eine wirksame Strafverfolgung beraten. Die Schaffung einer EU-weiten Regelung zur Vorratsdatenspeicherung fand eine breite Unterstützung. Wortnehmende Ministerinnen und Minister betonten auch eine grundsätzliche Notwendigkeit für Strafverfolgungsbehörden, auf verschlüsselte Kommunikation zugreifen zu können. Die Ministerinnen und Minister waren sich darin einig, dass es besondere Maßnahmen und einen EU-weit einheitlichen Rechtsrahmen brauche, um schwere und organisierte Kriminalität sowie den Terrorismus im digitalen Zeitalter bekämpfen zu können. Der dänische Minister kündigte für die kommende Dänische EU-Ratspräsidentschaft an, das Thema prioritär weiter zu verfolgen.
Anschließend tauschten sich die Ministerinnen und Minister zur europäischen Strategie für die innere Sicherheit (ProtectEU) aus. Die Strategie wurde von den Ratsmitgliedern begrüßt; insbesondere wurde der ganzheitliche, sektorübergreifende und gesamtgesellschaftliche Ansatz hervorgehoben. Die Umsetzung der einzelnen Maßnahmen rücke damit in den Vordergrund.
Bei einem Arbeitsmittagessen diskutierten die Ministerinnen und Minister die Verbesserung der Rückführung durch effektivere Rückübernahme-Kooperation von Drittstaaten. Im Fokus stand dabei der Zeitplan für die Verhandlungen zur Rückführungsverordnung und der Einsatz von Hebeln gegenüber Drittstaaten zur Verbesserung der Rückübernahme-Kooperation. Mehrheitlich haben die Ministerinnen und Minister vor einer übereilten Verabschiedung der Allgemeinen Ausrichtung abgeraten und sich eher dafür ausgesprochen, auf die Robustheit der neuen Regelungen zu achten. Mit Blick auf den Einsatz von Hebeln waren sich die Ministerinnen und Minister darin einig, auch andere als den bereits bestehenden Visahebel stärker gegenüber Drittstaaten zur Verbesserung der Rückübernahme-Kooperation zu nutzen.
Im Anschluss haben die Ministerinnen und Minister über die Lage im Schengenraum beraten. Im Fokus standen dabei die Prioritäten für den jährlichen Schengen-Ratszyklus 2025¬2026 sowie die am Vortag verabschiedete Schengen-Erklärung. Die Bedeutung von nationalen Koordinierungsstrukturen, einem effektiven Monitoring und eine sichere Finanzierung der Maßnahmen wurden von den Ministerinnen und Ministern besonders betont. Weitere Schwerpunkte waren temporäre Binnengrenzkontrollen auch im Zusammenhang mit einem funktionierendem Außengrenzschutz und der geopolitischen Lage sowie die Themen Digitalisierung und Interoperabilität. Deutschland informierte die Ministerinnen und Minister, dass am Vortag der Ratstagung die Bereitschaftserklärung für das Einreise-/Ausreisesystem (EES) abgegeben wurde.
Abschließend folgten eine Reihe an Informationspunkten ohne Aussprache:
In Bezug auf die Umsetzung der Reform des Gemeinsamen Europäischen Asylsystems wurden die Ministerinnen und Minister zum laufenden Prozess sowie zu aktuellen Vorschlägen der EU-Kommission zur Überarbeitung der Reform (Sicherer-Staaten-Konzepte) unterrichtet.
Der Polnische Vorsitz berichtete, dass es eine Einigung über die Verordnung über die schrittweise Inbetriebnahme des Einreise/Ausreisesystems (EES) mit dem EP gegeben habe.
Der Vorsitz informierte ferner über die Fortschritte bei der Bekämpfung des Drogenhandels und der organisierten Kriminalität und betonte insbesondere den Ausbau der Zusammenarbeit zwischen Zoll und Polizei, die Schaffung einer Zollallianz, die Sitzung der Hafenallianz in Danzig und das geplante Ministertreffen der Hafenallianz am 21. Juli in Kopenhagen.
Der Dänische Minister stellte die Prioritäten der im Juli beginnenden EU-Ratspräsidentschaft für den Bereich Inneres vor. „A strong Europe that takes responsibility for its own security and strengthens its competitiveness while ensuring its green transiton” sei die Leitlinie für die gesamte Dänische Ratspräsidentschaft, deren vollständiges Programm im Juni vorgestellt werde. Ein Fokus werde auf der Migrationspolitik liegen: Unter Dänischer Präsidentschaft sollen konkrete Ergebnisse hinsichtlich innovativer Lösungen erreicht und mit Nachdruck daran gearbeitet werden, Rückführungen zu erleichtern. Im Bereich Sicherheit werde ein Schwerpunkt auf dem Thema Drogenbekämpfung liegen. Der kommende informelle JI-Rat werde am 22./23. Juli in Kopenhagen stattfinden. Der JI-Rat werde am 13./14. Oktober in Luxemburg und am 8./9. Dezember in Brüssel tagen.
Schließlich wurden die Ministerinnen und Minister über die Ergebnisse der folgenden Tagungen unterrichtet:
Hochrangige Tagung des EU-CELAC-Mechanismus zur Koordinierung und Zusammenarbeit im Bereich der Drogenbekämpfung in Warschau am 8. Mai 2025. Das nächste Treffen sei im ersten Halbjahr 2026 in der Dominikanischen Republik geplant.
Das erste Ministertreffen zwischen den Vereinigten Staaten und der Europäischen Union zum Thema Justiz und Inneres in Warschau am 2./3. Juni 2025 mit der neuen US-Regierung habe in einer guten und konstruktiven Atmosphäre stattgefunden.
Ministertagung im Rahmen des Brdo-Prozesses in Brdo pri Kranju am 27./28. März 2025
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Aus vielen Tracking-Firmen sticht eine heraus: Utiq. Das Unternehmen arbeitet mit Internetzugangsanbietern zusammen. Damit kann Utiq Internetanschlüsse auf eine besondere Art verfolgen. Anfangs war die Technologie auf Mobilfunk beschränkt, doch mittlerweile trackt Utiq auch Festnetzanschlüsse.
Werbetracker nehmen Dein Surfverhalten genau unter die Lupe – und Dein Internetanbieter hilft dabei? (Symbolbild) – Alle Rechte vorbehalten IMAGO / Zoonar
Gegenüber Internetnutzern spricht Utiq von seiner „sozialen Verantwortung, die Daten der Menschen zu schützen und ihre Privatsphäre zu erhalten“. An mögliche Kunden gerichtet wirbt die Tracking-Firma dagegen damit, auch „Zielgruppen in schwer zu trackenden Umgebungen zu erreichen, ohne auf 3rd-Party-Cookies zu setzen“. Immer mehr Internetnutzer blockieren die kleinen Dateien zum Tracking von Drittanbietern, die Anbieterfirma von Utiq positioniert sich als Alternative.
Das Unternehmen Utiq gibt es seit etwa zwei Jahren – ursprünglich war die Trackingtechnologie für Mobilfunkanschlüsse vorgesehen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sieht das Verfahren „zwiespältig“. Den Internetanbietern – ohne deren Zusammenarbeit Utiq nicht funktionieren würde – komme ein besondere Vertrauensstellung zu. Dies sei mit dem Utiq-Tracking nur schwer vereinbar. Doch neben Mobilfunkanschlüssen trackt Utiq mittlerweile auch Breitband-Festnetzanschlüsse der Deutschen Telekom. Das zeigt eine Liste von teilnehmenden Telekommunikationsanbietern, die Utiq im Netz veröffentlicht.
Der digitalpolitische Verein D64 veröffentlichte letztes Jahr eine Recherche zu der Trackingtechnologie, die der Verein mit „Big Brother made in Germany“ betitelt hat. Gegenüber netzpolitik.org erneuert D64 diese Kritik: „Ausleitung von Informationen der Telekommunikationsunternehmen zu Werbezwecken sehen wir nach wie vor kritisch.“ Grundsätzlich lehne D64 jegliches Tracking zu Werbezwecken ab.
Was ist an Utiq besonders?
Utiq arbeitet mit Internetanbietern zusammen. Deshalb kann das Unternehmen Surfverhalten über den Internetanschluss wiedererkennen, selbst nachdem Nutzer Cookies gelöscht, den Browser gewechselt oder gar ein neues Gerät genutzt haben. Mehrere Geräte in einem WLAN kann Utiq jedoch nicht auseinanderhalten.
Für die Nachverfolgung erhält die Firma von den teilnehmenden Anbietern keine persönlichen Daten wie die Mobilfunknummer oder Vertragsnummer, sondern eine einzigartige, pseudonyme Kennung. Utiq selbst erstellt kein Nutzerprofil, gibt an seine Kunden wie zum Beispiel bild.de oder die Hamburger Morgenpost Tracking-Cookies weiter, den Utiq dann mit dem Pseudonym verknüpfen kann. Die Utiq-Tracking-Cookies sind auf jeder Website unterschiedlich und bis zu 90 Tage lang gültig. In der kurzen Gültigkeit sieht Utiq einen besonderen Schutz der Websitenbesucher.
D64 meint hingegen, dass Utiq eine Ergänzung zu herkömmlichen Tracking-Mechanismen mit längeren Laufzeiten sei – und keine Alternative. Das Utiq-Pseudonym ließe sich potenziell mit Informationen aus anderen Trackern kombinieren, meint D64 auf Anfrage von netzpolitik.org. Unseren Recherchen nach arbeitet beispielsweise bild.de aktuell neben Utiq mit 271 anderen Drittanbietern zusammen und der Cookie-Banner der Hamburger Morgenpost listet derzeit 275 weitere Partner auf.
Damit das Tracking aktiviert wird, muss zunächst dein Telekommunikationsanbieter mit Utiq zusammenarbeiten. Zweitens sollte sich Utiq erst dann aktivieren, wenn du dem Tracking zustimmst. Dafür sollten Website-Betreiber deine Einwilligung registrieren – meist passiert das mit einem Cookie-Banner und einem Utiq-Pop-Up. Auf dem Cookie-Banner kannst du aus der Liste von oft hunderten Trackern und Cookies explizit dem Utiq-Verfahren oder direkt allen Trackern widersprechen. Solltest du hingegen einwilligen, öffnet sich ein weiteres Utiq-Pop-Up. Hier kannst du erneut explizit dem Utiq-Verfahren widersprechen.
Die „Allen Trackern widersprechen“- oder „Alles ablehnen“-Knöpfe verstecken Website-Anbieter gerne mit sogenannten manipulativen Designs, die dich vom Widerspruch abbringen sollen. Zudem gibt es Pay-or-Okay-Modelle, bei denen Tracking nur gegen Bezahlung deaktiviert wird.
Wie kann ich widersprechen?
Ein permanentes Opt-Out bei deinem Internetanbieter sei nicht vorgesehen und notwendig, erklärt die Deutsche Telekom auf Anfrage von netzpolitik.org. Nach Ansicht des Unternehmens willigen Kunden der Datenübertragung auf denjenigen Webseiten ein, auf denen Utiq verwendet wird. Also kannst du dem Tracking erstmal nur auf dem Cookie-Banner und dem Utiq-Pop-Up jeder entsprechenden Website widersprechen.
Du willst lieber, dass Utiq niemanden über deinen Internetanschluss trackt, selbst wenn dem jemand zustimmt? Dazu bietet Utiq ein „globales Opt-Out“ in seinem „consenthub“ an. Das lässt sich über den entsprechenden Internetanschluss besuchen. Der Widerspruch dort gilt ein Jahr lang, was D64 als „willkürlich“ bezeichnet. Selbst ein aktiver „globaler Opt-Out“ erfordert zur Verifikation einen gewissen Datenaustausch zwischen Utiq und dem Internetanbieter. Damit Utiq und dein Internetanbieter gar nicht miteinander reden, müssten alle Nutzenden also auf jeder Website dem Tracking widersprechen.
Zudem helfen beispielsweise das im Brave-Browser integrierte „Shield“ und die „strenge“ Variante der Aktivitätenverfolgung im Firefox-Browser. Wenn diese Funktionen aktiviert sind, kann Utiq die notwendigen Skripte nicht mehr einbetten. Für technisch Versierte verschaffen Browser-Erweiterungen wie beispielsweise uBlock Origin Abhilfe. Auch ein Netzwerk-weiter Ad-Blocker wie etwa Pi-hole sollte Utiq unterbinden. Diese Werkzeuge blockieren übrigens neben Utiq auch viele weitere Tracker.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
