Zwei Forschende haben verschiedene Wege genutzt, um an die Daten großer Plattformen zu kommen. In einem Vortrag auf dem 39. Chaos Communication Congress berichten sie von Hindernissen, aber auch davon, wie wertvoll das Recht auf Datenzugang ist.

Daten sind das Herzstück von Plattformen wie YouTube, TikTok und Instagram. Dabei geht es nicht nur um die Inhalte wie Videos oder Fotos, sondern vor allem auch um die Daten der Nutzer:innen: Was klicken sie an? Mit welchen Inhalten interagieren sie? Was läuft in Dauerschleife?

Wie ihre Empfehlungssysteme horten Google, ByteDance, Meta und Co. diese Daten und geben sie nur ungern preis. Doch es ist möglich, an sie heranzukommen – für Forschende und auch Nutzer:innen selbst. Wie das funktioniert und welche Hürden auf dem Weg liegen, haben David Wegmann und LK Seiling auf dem 39. Chaos Communication Congress präsentiert.

Die Datenschutzgrundverordnung verhilft zum persönlichen Datensatz

Das wohl bekannteste Werkzeug, um an die eigenen Daten heranzukommen, ist die Datenschutzgrundverordnung (DSGVO). Gemäß Artikel 15 hat eine Person das Recht, über sie verarbeitete Daten, Verarbeitungszwecke und andere Informationen von einem Datenverarbeiter zu erhalten.

Wegmann nutzte dieses Recht für seine Forschung zur Rolle von YouTube im demokratischen Diskurs. Dabei griff er auf Datenspenden von 1.064 Dän:innen zurück, die ihm ihre YouTube-Daten zur Verfügung stellten. Die Daten erhielt er, nachdem er 40.000 Personen um eine Datenspende gebeten hatte, berichtete er in dem Vortrag.

Dabei wurden auch die Probleme mit dem Datenzugang klar: Der Weg, die eigenen Daten herunterzuladen, ist nicht immer leicht. Bei großen Anbietern wie Google gibt es meist Möglichkeiten, über die Plattform direkt die Daten anzufordern. Bei anderen Diensten bekommen Nutzende teils erst auf mehrmalige Nachfrage Auskünfte auf Papier.

Doch selbst wenn die Daten wie bei YouTube digital über ein Online-Interface zur Verfügung stehen, bleibt es oft kompliziert: Unübersichtliche Dateien, Tabellen mit unklaren Spaltenbezeichnungen und die generelle Menge an Daten führen schnell zu Überforderung. Teils sind nicht alle Informationen enthalten, bei YouTube etwa, wie lange ein bestimmtes Video abgespielt wurde.

Ein weniger bekannter Weg für Nutzende, die eigenen Daten zu erhalten, geht über den Digital Markets Act, der besonders sogenannte Gatekeeper-Unternehmen im Blick hat. Er begründet für Nutzende das Recht auf Datenportabilität, damit es ihnen möglich ist, Anbieter zu wechseln, ohne ihre gesamten Daten bei einem anderen Dienst zu verlieren.

Datenauskünfte nach dem Digital Services Act geben andere Informationen

Nicht Betroffene selbst, aber Forschende können über den Digital Services Act (DSA) Daten von sehr großen Online-Plattformen anfordern. Seiling unterstützte Wegmann dabei, einen Antrag bei Google zu stellen.

Seiling sagt gegenüber netzpolitik.org: „Grundsätzlich gibt es im DSA zwei Arten von Forschungsdatenzugang. Einmal für öffentlich verfügbare Daten in Artikel 40 (12) und für allgemeine Daten in Artikel 40 (4).“ Bei Ersterem sollen Plattform-Anbieter Forschenden Zugang zu öffentlich zugänglichen Daten ihrer Dienste geben, um systemische Risiken zu erforschen. Bei Letzterem geht es um privilegierten Zugang zu Daten, die teilweise nicht öffentlich sind und die ebenfalls zur Risikoerforschung genutzt werden sollen. Das können beispielsweise Informationen zu Moderationsentscheidungen sein. Dafür sind die Hürden höher, der Antrag auf Zugang zu diesen Daten läuft nicht über die Plattformen direkt, sondern über den jeweils zuständigen nationalen Koordinator für Digitale Dienste.

Da der DSA und das darin verbriefte Recht auf Datenzugang noch vergleichsweise neu sind, gibt es teilweise noch Unklarheiten, was Antragsprozesse oder den Umfang der entsprechenden Daten angeht.

„Der DSA spezifiziert nicht genau, was mit öffentlich verfügbaren Daten gemeint ist“, sagt Seiling gegenüber netzpolitik.org. „Meiner Auffassung nach müsste das auch Informationen zum Plattformdesign oder Inhaltsdaten etwa von Videos betreffen. Aber es ist noch nicht klar, wo genau da die Grenze verläuft.“

Für Wegmann waren die Hürden des Antragsprozesses zu den öffentlich verfügbaren Daten ein Problem. „Google verlangt, dass man beweist, dass man die Daten supersicher aufbewahren kann, und will technische Details zur Speicherung wissen. Wir speichern die nun mit den gleichen Vorkehrungen wie die Patient:innendaten der medizinischen Fakultät“, so der Forscher.

Dass im Vorfeld nicht klar sei, welche Bedingungen man für den Datenzugang erfüllen müsse, sei ein Problem für Wissenschaftler:innen. „Das hat mich Wochen an Arbeit gekostet, all diese Informationen herauszubekommen“, berichtet Wegmann.

Was ist Forschung?

Eine weitere Hürde liegt in der Frage, wer überhaupt laut dem Gesetz als „Forscher“ gilt. Für den Zugang zu öffentlichen Daten muss man nicht an eine Forschungseinrichtung angeschlossen sein. Aber dennoch muss der Antragstellende neben den technischen Voraussetzungen nachweisen, dass die Forschung „unabhängig von kommerziellen Interessen“ ist, und seine Finanzierung offenlegen.

Gerade derartig aufwendige Nachweisprozesse dürften für zivilgesellschaftliche Forschung eine Hürde darstellen, insbesondere dann, wenn sie sich über lange Zeiträume hinziehen.

Trotz der bestehenden Hindernisse sehen Wegmann und Seiling in den Datenzugangsrechten wichtige Werkzeuge. „Mir ist wichtig, dass die Hackercommunity versteht, dass wir das Recht auf unserer Seite haben“, sagt Seiling. „Das ist nicht zu unterschätzen.“ Indem über den Datenzugang Probleme identifiziert werden, ließen sich vielleicht auch Plattformen dazu bringen, Umbauten vorzunehmen. Und so steht auch auf ihrer Schlussfolie zum Vortrag die Aufforderung: „Du kannst [die Datenauskunftsrechte] nutzen, um Tech-Plattformen zur Verantwortung zu ziehen.“

Gerade weil diese Rechte ein mächtiges Werkzeug sind, ist es wichtig, sie aktiv zu nutzen und zu verteidigen. Auch gegen Bestrebungen der EU-Kommission, etwa im Digitalen Omnibus die Selbstauskünfte nach der DSGVO einzuschränken. Und so warnt Wegmann davor, dass Datenauskunftsrechte und andere Rechte zur Verhandlungsmasse gemacht werden, auch auf Druck der USA, die sich gegen europäische Tech-Regulierung stemmen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat gegen die Plattform X, vormals Twitter, wegen Verstößen gegen den Digital Services Act eine Geldstrafe verhängt. Der Konzern hat nun 90 Tage Zeit für Anpassungen. Gleichzeitig drohen X weitere Sanktionen.

Erstmals hat die EU-Kommission ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei zu dem Ergebnis, dass die Plattform X gegen den DSA verstößt. Zugleich entschied sie, dass TikTok angemessen auf einen bereits Ende Oktober gerügten Mangel reagiert hat und die Anzeigendatenbank der Videoplattform nun gesetzeskonform sei.

Die Entscheidung gegen X betrifft grundsätzlich die fehlende Transparenz der Plattform. Konkret bemängelt die Kommission dreierlei: Erstens stellten die blauen Haken ein täuschendes Design dar, weil sie den Eindruck erwecken würden, dass die so gekennzeichneten Accounts verifiziert seien. Tatsächlich aber können Nutzende die Haken seit einigen Jahren kaufen. Zweitens stellt X nur eine unzureichend funktionierende Datenbank für Anzeigen nach DSA-Kriterien bereit. Der dritte Kritikpunkt bezieht sich auf den Datenzugang für Forschende. Das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, sei nicht DSA-konform.

120 Millionen Euro Strafe

Aus diesem Grund hat die Kommission heute eine Strafe von 120 Millionen Euro gegen X verhängt. Diese Summe orientiere sich nicht prozentual am Umsatz des Unternehmens, sondern entspreche der Schwere der Verstöße.

Da die Verstöße weitreichende gesellschaftliche Auswirkungen hätten, könne die Strafe nicht durch eine einfache „ökonomische Formel“ berechnet werden, heißt es aus der Kommission. Trotzdem seien bei der Berechnung auch wirtschaftliche Elemente wie die Kosten der blauen Haken und die geschätzten Gewinne für X eingeflossen.

Die Strafzahlung setzt sich aus drei Teilstrafen für die jeweiligen Verstöße zusammen: Für die blauen Haken stellt die Kommission 45 Millionen Euro Strafe in Rechnung, für den Datenzugang 40 Millionen und für die Anzeigendatenbank 35 Millionen Euro.

X hat 90 Tage Zeit für Anpassungen

X wurde über die Entscheidung informiert und kann sich nun verteidigen. Das Unternehmen hat Zugang zu allen Untersuchungsdokumenten der Kommission und kann seine Plattform innerhalb von 90 Werktagen anpassen.

Der Kommissionsbeamte betonte, dass von dem Unternehmen keine „dramatischen Änderungen“ erwartet würden; andere Unternehmen hätten ähnliche Anforderungen erfolgreich umgesetzt. Sollte X seine Dienste allerdings nicht anpassen, könnten in Zukunft weitere Strafen verhängt werden. So sieht es das Gesetz vor.

Bereits im Vorfeld der Kommissionsentscheidung hatte sich der US-amerikanische Vizepräsident J.D. Vance geäußert. „Es kursieren Gerüchte, wonach die EU-Kommission gegen X mehrere hundert Millionen Dollar Strafe verhängen wird, weil die Plattform keine Zensur betreibt“, schrieb Vance am Donnerstag auf X. „Die EU sollte die Meinungsfreiheit unterstützen, anstatt amerikanische Unternehmen wegen Unsinn anzugreifen.“

Weitere Verfahren gegen X in der Schwebe

Derzeit laufen noch weitere DSA-Verfahren gegen X. So untersucht die Kommission, ob der Mechanismus zur Meldung von illegalen Inhalten auf X gegen bestehende Regeln verstößt. Diesbezüglich hat die Kommission erst kürzlich einen vorläufigen Verstoß bei Instagram und Facebook festgestellt.

Die Kommission will zudem die Funktionsweise des Algorithmus auf der Plattform X verstehen und hat die Plattform angewiesen, entsprechende Dokumente aufzubewahren. Außerdem geht die Kommission der Frage nach, wie X Desinformation bekämpft und wie erfolgreich die Plattform dabei ist, die Risiken auf den gesellschaftlichen Diskurs und Wahlen zu verringern.

DSA-Umsetzung soll nun schneller vorangehen

Der Jurist Jürgen Bering leitet bei der Gesellschaft für Freiheitsrechte das Center for User Rights und sieht die Strafe als wichtigen Schritt bei der DSA-Durchsetzung. Er kommentiert: „Die Entscheidung zeigt: Die EU meint es ernst mit dem Schutz demokratischer Diskurse und der Plattformverantwortung. Jetzt braucht es ebenso konsequente Durchsetzung bei allen großen Anbietern. Der DSA ist kein Wertebekenntnis, sondern geltendes Recht – und es ist entscheidend, dass er spürbare Verbesserungen für Nutzer*innen in Europa bringt.“

Die Kommission geht davon aus, dass die DSA-Umsetzung jetzt schneller vorangehen wird, wie Digitalkommissarin Henna Virkkunen bereits vor wenigen Wochen in einer Pressekonferenz sagte.

In den vergangenen Jahren habe die Kommission zunächst eine interne Regulierungsstruktur aufbauen müssen, ergänzte ein EU-Beamter heute. Das Verfahren gegen X wurde bereits vor zwei Jahren eröffnet. Die Hoffnung der Kommission ist, dass auch die Unternehmen nun schneller darin werden, die Regeln zu befolgen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Zwar hat ein deutsches Verwaltungsgericht die verhängten Netzsperren gegen Pornhub gekippt. Dennoch will die Plattform anscheinend Alterskontrollen in der EU einführen, wie der Konzern auf Anfrage von netzpolitik.org mitteilt. Hinter dem möglichen Kurswechsel steckt eine Strategie.

Lange hat sich Pornhub in Deutschland dagegen gewehrt, das Alter seiner Nutzer*innen zu kontrollieren. Pornhub ist eine der weltgrößten Pornoseiten und zugleich eine der meistbesuchten Websites. Im Namen des Jugendschutzes soll Pornhub etwa die Ausweise aller Besucher*innen prüfen, um Minderjährige fernzuhalten. In Deutschland setzt sich die Medienaufsicht dafür ein. Während sich die Pornoseite seit Jahren vor deutschen Gerichten gegen die Regulierungsbehörde stemmt, kündigt Mutterkonzern Aylo nun einen Kurswechsel an.

„Aylo ist einer der ersten Teilnehmer am Pilotprogramm der Europäischen Kommission zur Einführung der Altersverifikation über die europäische Altersverifikations-App“, schreibt ein Sprecher auf Anfrage von netzpolitik.org.

Die EU ist ein weiterer Player bei der Durchsetzung von Jugendschutz im Netz – und ein größerer als die deutsche Medienaufsicht. Aktuell arbeitet die EU-Kommission an einer App zur Alterskontrolle. Diese App können altersbeschränkte Dienste wie etwa Pornoseiten vorschieben, um ihre Besucher*innen zu filtern. Schon jetzt testen das fünf Mitgliedstaten. Künftig sollen die Funktionen der App in der digitalen Brieftasche (European Identity Wallet, EUDI) aufgehen, die laut Plan im Jahr 2026 kommen soll.

Widersprüchliche Signale von Pornhub-Mutter Aylo

Warum bekennt sich Pornhub plötzlich zum Einsatz dieser Alterskontroll-App – sogar als einer der ersten? Auf Anfrage teilt der Konzern mit, sich schon seit Jahren für effektive und durchsetzbare Alterskontrollen eingesetzt zu haben. „Wir alle wollen die Sicherheit von Minderjährigen im Internet gewährleisten, und wir alle tragen gemeinsam die Verantwortung dafür“, so ein Sprecher auf Englisch.

Noch vor einem Jahr führte die Argumentation von Pornhub allerdings in eine andere Richtung. In ihrem ersten Interview mit einem deutschsprachigen Medium sagte Alex Kekesi, Leiterin für Community- und Markenmanagement bei Pornhub, damals gegenüber netzpolitik.org: Wenn Websites des Alter von Nutzer*innen kontrollieren, berge das „reale Gefahren“. Konkret sagte sie:

Wie viele Websites für Erwachsene gibt es weltweit? Vermutlich Hunderttausende, wenn nicht Millionen. Wie soll eine Regierung all diese Seiten überwachen können? Es ist schlicht unmöglich, überall das Alter zu kontrollieren. Bei Kontrollen auf Website-Ebene werden gerade große Plattformen zur Zielscheibe, weil sie dann gesperrt werden oder schwerer zugänglich sind. Das treibt das Publikum zu kleineren Websites, die oft nicht einmal ihre Inhalte prüfen und sich an keine Altersvorgaben halten.

Stattdessen plädierte die Pornhub-Managerin für Kontrollen auf Ebene von Betriebssystemen. Demnach sollte das Alter direkt bei der Einrichtung eines Geräts geprüft werden. Nun scheint es, dass Pornhub doch klein beigibt und sich den Anforderungen der EU-Kommission beugen will.

Mit Sicherheit sagen lässt sich das derzeit aber nicht. Denn auf konkrete Rückfragen zu den geplanten Alterskontrollen reagierten sowohl die EU-Kommission als auch Aylo nebulös.

„Es gab Aufrufe, Pornos zu verbieten“

Die Pressestelle der EU-Kommission konnte auf Anfrage von netzpolitik.org zunächst nichts Näheres dazu sagen, ob Pornhub überhaupt Teil eines „Pilotprogramms“ ist. Wenn wir eine weitere Antwort erhalten, werden wir den Artikel ergänzen.

Alyo wiederum möchte auf Nachfrage nicht näher benennen, wann genau Pornhub die Alterskontroll-App für EU-Nutzer*innen einführen will. Einerseits schreibt der Sprecher: „Wir sind entschlossen, in allen Ländern, in denen wir geschäftlich tätig sind, stets die gesetzlichen Vorgaben einzuhalten.“ Das deutet auf eine zeitnahe Einführung der Alterskontrollen hin.

Andererseits schreibt der Sprecher: „Wir glauben, dass eine solche Lösung wirksam sein kann, wenn sie branchenweit eingesetzt wird.“ Zudem müsse die Abwanderung von Nutzer*innen zu anderen Websites verhindert werden. Das deutet darauf hin, dass Pornhub den Einsatz der App an Bedingungen knüpft – die auf absehbare Zeit nicht eintreten. Denn technisch lässt sich nicht zuverlässig verhindern, dass Menschen genervt eine Seite ohne Alterskontrollen ansteuern.

Strategie: Testballon

Die Widersprüche ergeben mehr Sinn, wenn man die zugrundeliegende Strategie der Plattform betrachtet. Während Regierungen weltweit den Druck auf Pornoseiten erhöhen, erprobt Pornhub je nach Land verschiedene Reaktionen – wohl um herauszufinden, was dem Konzern am meisten nutzt. Pornhubs Reaktionen lassen sich mit Testballons vergleichen.

• In einigen Bundesstaaten der USA hat Pornhub selbst den Zugriff auf die Seite blockiert. Statt sich den dortigen Gesetzen für Alterskontrollen zu beugen, hat Pornhub den Einbruch von Klicks in Kauf genommen.
• Im Juni 2025 hat Pornhub dasselbe in Frankreich getan und den Zugang für dortige Nutzer*innen blockiert. „Website-basierte Altersüberprüfung funktioniert nicht. Es schützt keine Kinder und setzt die Daten von Millionen Franzosen Datenschutzverletzungen und Hacking aus“, warnte der Konzern auf Englisch und plädierte einmal mehr für Alterskontrollen auf Ebene von Betriebssystemen. „Ihre Regierung wird Ihnen diesbezüglich nicht die Wahrheit sagen, aber wir werden es tun.“
• In Großbritannien wiederum hat Pornhub im Sommer 2025 Alterskontrollen eingeführt, wie es der dortige Online Safety Act verlangt.

Warum also zeigt sich Pornhub neuerdings offen für Alterskontrollen in der EU? Ein Faktor könnte sein, dass Brüssel ein weiteres Druckmittel in der Hand hat. Dort hat die EU-Kommission Pornhub nämlich als „sehr große Plattform“ (VLOP) nach dem Gesetz über digitale Dienste (DSA) eingestuft. Diesen Status haben nur die größten Online-Dienste in der EU. Er geht mit erweiterten Pflichten einher. Betroffene Dienste müssen besonders transparent sein und verstärkt Risiken eindämmen, auch für Minderjährige. Andernfalls drohen Geldbußen. Pornhub wehrt sich gegen die Einstufung als VLOP und beruft sich auf angeblich gesunkene Nutzungszahlen.

Ein weiterer Faktor dürfte sein, dass die geplante Alterskontroll-App der EU zumindest ein Stück weit den Anforderungen von Pornhub entgegenkommt. Zwar bringt die App keine Alterskontrolle auf Ebene des Betriebssystems, wie es der Konzern oftmals gefordert hat. Aber die App verspricht – je nach konkreter Ausgestaltung – Datensparsamkeit. Das könnte verhindern, dass zahlreiche externe Anbieter sensible Ausweisdaten horten, wie es Gutachter*innen jüngst in Australien beobachtet haben.

EU-Kommission gibt klares Jein zu Alterskontrollen

Verwaltungsgericht Düsseldorf kippt Netzsperren

Im Ringen zwischen Pornhub und EU-Kommission ist das letzte Wort also noch lange nicht gesprochen. Zumindest in Deutschland hat die Plattform jüngst einen Etappensieg erzielt. Am 19. November hat das Verwaltungsgericht Düsseldorf die gegen Pornhub und die Schwesterseite YouPorn verhängten Netzsperren wieder gekippt.

Angeordnet wurden die Netzsperren von der Landesanstalt für Medien Nordrhein-Westfalen, nachdem Pornhub in Deutschland keine Alterskontrollen einführen wollte. Sowohl Pornhub als auch betroffene Provider sind deshalb vor Gericht gezogen. Auch wenn sich Netzsperren kinderleicht umgehen lassen, gelten sie als besonders gravierende Maßnahme, das vor allem autoritäre Staaten gerne einsetzen.

Der Rechtsstreit auf Deutschland-Ebene macht anschaulich, wie unterschiedlich Pornhub gemäß seiner Testballon-Strategie handelt. In den USA und Frankreich hatte Pornhub den Zugang zur Website freiwillig blockiert. In Deutschland wiederum ging die Plattform vor Gericht, um nicht blockiert zu werden.

Der Grund für Pornhubs jüngsten Etappensieg in Düsseldorf liegt im Wandel der Zuständigkeiten auf nationaler und EU-Ebene. Die Plattform konnte mit Blick auf die verhängten Netzsperren erfolgreich argumentieren, dass nicht etwa die Anordnungen der deutschen Medienaufsicht Vorrang haben, sondern EU-Recht. Deshalb durften die betroffenen Internet-Provider die Netzsperren wieder aufheben.

Medienaufsicht kämpft um Zuständigkeit

All das ist aber nicht endgültig. Die deutsche Medienaufsicht will die Einschränkung ihrer Kompetenzen nicht hinnehmen und hat bereits Beschwerde gegen die Beschlüsse aus Düsseldorf eingelegt. Das bestätigt die Behörde auf Anfrage von netzpolitik.org. Darüber entscheiden wird das Oberverwaltungsgericht in Münster. Auch das Hauptsacheverfahren läuft weiter. In diesem Verfahren geht es ebenso darum, ob für Pornhub der europäische oder der nationale Rechtsrahmen Vorrang hat.

Vor den deutschen Verwaltungsgerichten werden also noch zwei Konflikte ausgetragen. Für Pornhub geht es darum, mit welcher Regulierungsbehörde sich die Plattform künftig herumschlagen muss. Für die deutsche Medienaufsicht geht es darum, ob sie nach jahrelangem Kampf gegen frei verfügbare Pornografie in Deutschland ihre Zuständigkeit gegenüber Brüssel einbüßt.

„Den betroffenen Kindern ist es vermutlich ziemlich egal, wer sie schützt, nur passieren müsste es“, kommentiert Tobias Schmid, Direktor der Landesanstalt für Medien NRW. Ganz so entspannt, wie das Zitat es nahelegt, dürfte die Haltung seiner Behörde jedoch nicht sein. Denn mit ihrem Vorgehen gegen Pornoseiten konnte die Landesanstalt für Medien über viele Jahre lang öffentliche Aufmerksamkeit für ihre Arbeit gewinnen und sogar ihre Instrumente erweitern.

Jüngst hat die Novelle des Staatsvertrags für Jugendmedienschutz (JMStV) der Medienaufsicht zwei neue mächtige Werkzeuge beschert. Diese Machterweiterung geht direkt auf das Engagement der Behörde gegen Pornoseiten zurück. So soll die Medienaufsicht künftig einfacher Netzsperren anordnen können und widerspenstigen Diensten über Zahlungsdienstleister den Geldhahn abdrehen dürfen. Selbst wenn die Medienaufsicht bald einen Teil ihrer Zuständigkeit für Pornoseiten verlieren sollte – diese Instrumente bleiben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der chinesische KI-Chatbot DeepSeek übermittelt Nutzer*innendaten nach China. Die Berliner Datenschutzbehörde geht jetzt gegen den Anbieter vor. Apple und Google sollen DeepSeek aus ihren Stores entfernen.

Der KI-Chatbot DeepSeek wird in Deutschland verboten. Die Berliner Datenschutzaufsicht hat die chinesische App als rechtswidrig bewertet, weil sie Daten ihrer Nutzer*innen nach China übermittelt. Damit verstößt sie gegen die Datenschutzregeln der EU (DSGVO). Apple und Google sollen die Anwendung nun aus ihren App-Marktplätzen entfernen. Auf anderen Wegen, etwa über den Browser oder heruntergeladen über die Seite des Unternehmens, ließe sich der Chatbot allerdings weiterhin nutzen.

DeepSeek habe gegenüber ihrer Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer*innen in China auf einem der EU gleichwertigen Niveau geschützt sind, sagt die Berliner Datenschutzbeauftragte Meike Kamp.

In China haben Behörden weitreichende Zugriffsrechte auf personenbezogene Daten, die auf den Servern chinesischer Unternehmen lagern.

Ehemals Chartspitze, jetzt auf Verbotsliste

DeepSeek hatte nach der Vorstellung Anfang des Jahres für Furore gesorgt, weil die Leistungen des Modells hinter dem Chatbot an die von Marktführern wie ChatGPT von OpenAI heranreichten – für viele Beobachter*innen kam das überraschend. Zugleich soll das Training des Modells vergleichsweise günstig und mit weniger Rechenleistung stattgefunden haben, berichtete etwa die New York Times. Das brachte die Börsen durcheinander.

Die App gehört zu den beliebtesten KI-Anwendungen weltweit. Auch in Deutschland trendete sie zwischenzeitlich weit oben in den Download-Charts von Apple und Google. Nutzer*innen können mit der kostenlosen App chatten, Bilder hochladen oder sie für die Suche im Netz einsetzen.

Behörden warnten vor der App

Bedenken zum Umgang mit Nutzer*innendaten gab es von Anfang an. Denn alle gesammelten Daten – von Texteingaben und hochgeladenen Dateien bis zu den Informationen zum Standort und dem benutzten Gerät – übermittelt das Unternehmen nach China.

„Auch Tastatureingaben innerhalb der App können womöglich mitgelesen werden, bevor sie abgeschickt werden“, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem werde die Art der Tastatureingaben gespeichert, heißt es. Anhand der Art, wie Menschen tippen, lassen sich Nutzer*innen wiedererkennen.

Auch die Aufsichtsbehörden für Datenschutz hatten DeepSeek im Blick. Mehrere Landesbehörden gingen parallel gegen das Unternehmen vor. Die Gründe: Weitergabe der Daten und andere mutmaßliche Verstöße gegen die DSGVO. Das Unternehmen hatte etwa keinen gesetzlichen Vertreter in der EU benannt. In Abstimmung mit anderen Aufsichtsbehörden ist es jetzt die Behörde aus Berlin, die Maßnahmen ergreift.

Erst Aufforderung, dann Verbot

Die Behörde hatte nach eigenen Angaben DeepSeek Anfang Mai zunächst aufgefordert, die Übermittlung der Daten nach China einzustellen – oder die App eigenständig aus den Stores zu entfernen. Nachdem das Unternehmen nicht reagierte, folgte demnach heute die Meldung an Apple und Google. Dabei machte die Behörde von einer Regelung im Gesetz über digitale Dienste (Digital Services Act, DSA) Gebrauch, die Betreiber*innen von Plattformen dazu verpflichtet, Meldewege für illegale Inhalte zur Verfügung zu stellen.

Apple und Google müssen die Meldung laut DSA nun prüfen und über die Umsetzung entscheiden. Sie gelten in der EU als „sehr große Online-Plattformen“ und unterliegen damit besonders strikten Auflagen. So müssen sie ihnen gemeldete rechtswidrige Inhalte zügig entfernen, sonst drohen ihnen selbst Strafen in der EU.

Die Behörde hätte gegen DeepSeek auch ein Bußgeld verhängen können. Das lasse sich gegen Unternehmen aus Drittstaaten allerdings nicht vollstrecken, sagt Datenschutzbeauftragte Meike Kamp. Auch gegen die Webseite des Unternehmens könne die Behörde nicht vorgehen, weil der Host-Anbieter nicht bekannt sei.

In Italien ist DeepSeek bereits aus den App Stores verschwunden, nachdem die italienische Datenschutzaufsicht GPDP die App ins Visier genommen hatte. Australien hat die Nutzung der App auf Geräten der Regierung untersagt. In Südkorea wiederum ist die App nach einer zeitweisen Sperre wieder verfügbar, nachdem die Betreiber nachgebessert hatten.

Auch andere chinesische Apps haben Nutzer*innendaten an Server in China übermittelt, darunter die erfolgreichste: TikTok. Das Unternehmen hat jedoch im Gegensatz zu DeepSeek einen Sitz in der EU und fällt in die Zuständigkeit der irischen Datenschutzaufsicht, die jüngst gegen TikTok eine Millionenstrafe veranlasst hat.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission könnte einem Medienbericht zufolge die Durchsetzung europäischer Digitalgesetze vorerst aussetzen, um Donald Trump im Handelskrieg zu besänftigen. Das stößt im EU-Parlament auf starken Widerstand.

Im vom US-Präsidenten Donald Trump angezettelten Handelsstreit könnte die Durchsetzung des Digital Markets Act (DMA) für US-Unternehmen wie Alphabet, Meta oder Apple auf Eis gelegt werden, berichtet das Wall Street Journal (€). Dem Exklusiv-Bericht zufolge zirkuliert im Büro des US-Handelsbeauftragten der Entwurf eines „Abkommens über gegenseitigen Handel“ zwischen den USA und der EU. Ob die EU-Verhandler:innen dem Abkommen in dieser Form zustimmen werden, bleibt vorerst unklar.

Laut WSJ erfasst das geplante Abkommen eine ganze Reihe von Handelsbereichen, neben dem Digitalsektor unter anderem CO2-Grenzabgaben, Schiffbau oder die Beschaffung von Rüstungsgütern. Weiter ausgesetzt werden könnte demnach auch eine EU-Verordnung über entwaldungsfreie Lieferketten, die Ende des Jahres in Kraft treten soll. Dem Bericht zufolge könnten die USA und die EU in einen „Dialog“ über die Implementation des DMA treten. Zwischenzeitlich sollte die Durchsetzung ruhen, so das WSJ.

Tauziehen im Handelsstreit

Die heiklen Verhandlungen zwischen den USA und der EU laufen überwiegend hinter verschlossenen Türen, seit Donald Trump im April die Einfuhren praktisch aller Länder der Welt mit Strafzollen belegt hatte. Für Importe aus der EU sah die ursprüngliche US-Ankündigung einen pauschalen Zollsatz von 20 Prozent vor. Später polterte Trump in sozialen Medien und erhöhte die Drohung mit Verweis auf „unfaire und ungerechtfertigte Klagen gegen US-amerikanische Unternehmen“ auf 50 Prozent.

Bislang sind die angedrohten Zölle weitgehend ausgesetzt. In Kraft sind jedoch etwa Abgaben auf Stahl- und Aluminiumimporte in Höhe von 50 Prozent sowie pauschale Aufschläge von 25 Prozent auf Autoimporte. Außerdem gilt ein Mindestzollsatz von 10 Prozent, der sich der Nachrichtenagentur Reuters zufolge kaum wegverhandeln lassen wird. Die zuletzt genannte Frist für einen Abschluss der Verhandlungen ist der 9. Juli.

Strafen und Auflagen gegen US-Digitalriesen

Ein besonderer Dorn im Auge der „America First“-Administration sind die relativ jungen EU-Digitalgesetze, der Digital Services Act (DSA) und der Digital Markets Act (DMA). Beide Gesetze sollen die Rechte von Nutzer:innen im Internet stärken und die Übermacht insbesondere großer Digital-Konzerne abschwächen. Viele dieser Unternehmen stammen aus den USA und sind davon entsprechend stärker betroffen als kleinere Wettbewerber, etwa aus der EU.

Zuletzt hat die EU-Kommission erstmals millionenschwere Wettbewerbsstrafen sowie Auflagen für Apple und Meta verhängt, denen sie Verstöße gegen den DMA vorwirft. Für Unverständnis auf der anderen Seite des Atlantiks sorgen zudem regelmäßige Auseinandersetzungen rund um die Datenschutz-Grundverordnung (DSGVO).

Derweil sehen US-Republikaner die im DSA verankerten Mindestvorgaben zu Inhaltemoderation durch die Bank als unzulässige Einschränkung der Meinungsfreiheit. Für weitere Verstimmung könnten außerdem nationale Vorstöße einzelner EU-Länder in puncto Digitalsteuer sorgen, darunter der jüngste Vorschlag des deutschen Kulturstaatsministers Wolfram Weimer.

EU-Parlament stellt sich gegen Aufweichung von Gesetzen

Ein in den Raum gestelltes Einknicken der EU-Kommission kommt beim EU-Parlament nicht gut an. „Bei aller Flexibilität und Verhandlungsbereitschaft seitens der EU muss weiterhin klipp und klar sein, dass unsere Gesetze oder eine Aufweichung unserer Regeln nicht Teil des Warenkorbes für die Verhandlungen sein dürfen“, sagt der SPD-Europaabgeordnete Bernd Lange, Vorsitzender des Handelsausschusses im EU-Parlament, in einer Pressemitteilung.

Dies gelte für den DMA genauso wie für andere Regelungen, betont Lange. „Hier darf nicht einmal mit dem Feuer gespielt werden. Da darf es keine Abstriche geben“, so der niedersächsische Abgeordnete. Es stehe nicht zur Disposition, „unsere EU-Gesetze und unsere Autonomie und Recht zu regulieren“.

In einer heutigen Anhörung habe die EU-Kommission die „Rolle, Einbindung und Bedeutung des Europäischen Parlaments bei den transatlantischen Handelsbeziehungen“ noch einmal bekräftigt. „Wenn es zu einem Abkommen kommt, dann haben wir im Europäischen Parlament das letzte Wort. Ob das Herrn Trump passt oder nicht“, gibt sich Lange kämpferisch.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.