Fedora 44 liefert als erste Version seine KDE-Varianten mit KDEs neuem Plasma Login Manager anstelle von SDDM aus, der mit Plasma 6.6 im Februar veröffentlicht wird.

Zwei Forschende haben verschiedene Wege genutzt, um an die Daten großer Plattformen zu kommen. In einem Vortrag auf dem 39. Chaos Communication Congress berichten sie von Hindernissen, aber auch davon, wie wertvoll das Recht auf Datenzugang ist.

Daten sind das Herzstück von Plattformen wie YouTube, TikTok und Instagram. Dabei geht es nicht nur um die Inhalte wie Videos oder Fotos, sondern vor allem auch um die Daten der Nutzer:innen: Was klicken sie an? Mit welchen Inhalten interagieren sie? Was läuft in Dauerschleife?

Wie ihre Empfehlungssysteme horten Google, ByteDance, Meta und Co. diese Daten und geben sie nur ungern preis. Doch es ist möglich, an sie heranzukommen – für Forschende und auch Nutzer:innen selbst. Wie das funktioniert und welche Hürden auf dem Weg liegen, haben David Wegmann und LK Seiling auf dem 39. Chaos Communication Congress präsentiert.

Die Datenschutzgrundverordnung verhilft zum persönlichen Datensatz

Das wohl bekannteste Werkzeug, um an die eigenen Daten heranzukommen, ist die Datenschutzgrundverordnung (DSGVO). Gemäß Artikel 15 hat eine Person das Recht, über sie verarbeitete Daten, Verarbeitungszwecke und andere Informationen von einem Datenverarbeiter zu erhalten.

Wegmann nutzte dieses Recht für seine Forschung zur Rolle von YouTube im demokratischen Diskurs. Dabei griff er auf Datenspenden von 1.064 Dän:innen zurück, die ihm ihre YouTube-Daten zur Verfügung stellten. Die Daten erhielt er, nachdem er 40.000 Personen um eine Datenspende gebeten hatte, berichtete er in dem Vortrag.

Dabei wurden auch die Probleme mit dem Datenzugang klar: Der Weg, die eigenen Daten herunterzuladen, ist nicht immer leicht. Bei großen Anbietern wie Google gibt es meist Möglichkeiten, über die Plattform direkt die Daten anzufordern. Bei anderen Diensten bekommen Nutzende teils erst auf mehrmalige Nachfrage Auskünfte auf Papier.

Doch selbst wenn die Daten wie bei YouTube digital über ein Online-Interface zur Verfügung stehen, bleibt es oft kompliziert: Unübersichtliche Dateien, Tabellen mit unklaren Spaltenbezeichnungen und die generelle Menge an Daten führen schnell zu Überforderung. Teils sind nicht alle Informationen enthalten, bei YouTube etwa, wie lange ein bestimmtes Video abgespielt wurde.

Ein weniger bekannter Weg für Nutzende, die eigenen Daten zu erhalten, geht über den Digital Markets Act, der besonders sogenannte Gatekeeper-Unternehmen im Blick hat. Er begründet für Nutzende das Recht auf Datenportabilität, damit es ihnen möglich ist, Anbieter zu wechseln, ohne ihre gesamten Daten bei einem anderen Dienst zu verlieren.

Datenauskünfte nach dem Digital Services Act geben andere Informationen

Nicht Betroffene selbst, aber Forschende können über den Digital Services Act (DSA) Daten von sehr großen Online-Plattformen anfordern. Seiling unterstützte Wegmann dabei, einen Antrag bei Google zu stellen.

Seiling sagt gegenüber netzpolitik.org: „Grundsätzlich gibt es im DSA zwei Arten von Forschungsdatenzugang. Einmal für öffentlich verfügbare Daten in Artikel 40 (12) und für allgemeine Daten in Artikel 40 (4).“ Bei Ersterem sollen Plattform-Anbieter Forschenden Zugang zu öffentlich zugänglichen Daten ihrer Dienste geben, um systemische Risiken zu erforschen. Bei Letzterem geht es um privilegierten Zugang zu Daten, die teilweise nicht öffentlich sind und die ebenfalls zur Risikoerforschung genutzt werden sollen. Das können beispielsweise Informationen zu Moderationsentscheidungen sein. Dafür sind die Hürden höher, der Antrag auf Zugang zu diesen Daten läuft nicht über die Plattformen direkt, sondern über den jeweils zuständigen nationalen Koordinator für Digitale Dienste.

Da der DSA und das darin verbriefte Recht auf Datenzugang noch vergleichsweise neu sind, gibt es teilweise noch Unklarheiten, was Antragsprozesse oder den Umfang der entsprechenden Daten angeht.

„Der DSA spezifiziert nicht genau, was mit öffentlich verfügbaren Daten gemeint ist“, sagt Seiling gegenüber netzpolitik.org. „Meiner Auffassung nach müsste das auch Informationen zum Plattformdesign oder Inhaltsdaten etwa von Videos betreffen. Aber es ist noch nicht klar, wo genau da die Grenze verläuft.“

Für Wegmann waren die Hürden des Antragsprozesses zu den öffentlich verfügbaren Daten ein Problem. „Google verlangt, dass man beweist, dass man die Daten supersicher aufbewahren kann, und will technische Details zur Speicherung wissen. Wir speichern die nun mit den gleichen Vorkehrungen wie die Patient:innendaten der medizinischen Fakultät“, so der Forscher.

Dass im Vorfeld nicht klar sei, welche Bedingungen man für den Datenzugang erfüllen müsse, sei ein Problem für Wissenschaftler:innen. „Das hat mich Wochen an Arbeit gekostet, all diese Informationen herauszubekommen“, berichtet Wegmann.

Was ist Forschung?

Eine weitere Hürde liegt in der Frage, wer überhaupt laut dem Gesetz als „Forscher“ gilt. Für den Zugang zu öffentlichen Daten muss man nicht an eine Forschungseinrichtung angeschlossen sein. Aber dennoch muss der Antragstellende neben den technischen Voraussetzungen nachweisen, dass die Forschung „unabhängig von kommerziellen Interessen“ ist, und seine Finanzierung offenlegen.

Gerade derartig aufwendige Nachweisprozesse dürften für zivilgesellschaftliche Forschung eine Hürde darstellen, insbesondere dann, wenn sie sich über lange Zeiträume hinziehen.

Trotz der bestehenden Hindernisse sehen Wegmann und Seiling in den Datenzugangsrechten wichtige Werkzeuge. „Mir ist wichtig, dass die Hackercommunity versteht, dass wir das Recht auf unserer Seite haben“, sagt Seiling. „Das ist nicht zu unterschätzen.“ Indem über den Datenzugang Probleme identifiziert werden, ließen sich vielleicht auch Plattformen dazu bringen, Umbauten vorzunehmen. Und so steht auch auf ihrer Schlussfolie zum Vortrag die Aufforderung: „Du kannst [die Datenauskunftsrechte] nutzen, um Tech-Plattformen zur Verantwortung zu ziehen.“

Gerade weil diese Rechte ein mächtiges Werkzeug sind, ist es wichtig, sie aktiv zu nutzen und zu verteidigen. Auch gegen Bestrebungen der EU-Kommission, etwa im Digitalen Omnibus die Selbstauskünfte nach der DSGVO einzuschränken. Und so warnt Wegmann davor, dass Datenauskunftsrechte und andere Rechte zur Verhandlungsmasse gemacht werden, auch auf Druck der USA, die sich gegen europäische Tech-Regulierung stemmen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet!

Wir waren live, das erste Mal seit fünf Jahren: Auf der Bühne des 39C3-Sendezentrums habe ich mit meinen Kolleg:innen Esther, Markus und Chris geplaudert. Wie war ihr Chaos Communication Congress bislang? Was hat in den letzten Wochen super geklappt und was weniger gut? Und vor allem: Wie liefen ihre Lieblingsrecherchen des Jahres ab?

Chris erzählt vom mSpy-Leak, für den wir 3,6 Millionen Nachrichten an den Support einer Überwachungs-App ausgewertet haben. Markus spricht über eine außergewöhnliche Crowd-Recherche zwischen Berlin und Belgrad. Und Esther berichtet von den Mühen der Berichterstattung über Verwaltungsdigitalisierung.

Außerdem beantworten wir Hörer:innenfragen: Welche Recherchen sind so richtig schief gelaufen? Wie viele Admins arbeiten bei netzpolitik.org? Und welche Drähte haben wir ins Parlament?

---

In dieser Folge: Chris Köver, Esther Menhard, Ingo Dachwitz und Markus Reuter.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

---

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

---

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

---

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.

---

Links und Infos

Blattkritik

• Der Congress-Talk von Chris darüber, wie Ausländerbehörden Handys durchsuchen
• Esthers Artikel zum Datenatlas der Bundesregierung
• Der Beitrag von Markus: „netzpolitik.org wirkt“
• Ingos und Sebastians Artikel zu möglichen Datenkäufen durch deutsche Sicherheitsbehörden

Hausmitteilungen

• Jahresrückblick: Unser Jahr in Zahlen
• Ausgezeichnet: Daniel Leisegang und Anna Biselli als drittbeste „Chefredaktion des Jahres“
• Unsere Spendenkampagne zum Jahresende: Videos, Merch und mehr

Aus dem Maschinenraum/Thema des Monats

• Chris‘ und Martins Recherche zu einer Stalking-App: Der mSpy-Leak
• Markus‘ Recherche zu einer neuartigen Bedrohung für die Versammlungsfreiheit: Was wir über die mysteriöse Waffe wissen, die in Belgrad gegen friedliche Proteste eingesetzt wurde
• Esthers Recherche zur Planlosigkeit bei digitaler Souveränität: Keine Strategie für Umstieg auf Windows 11

Kapitel

00:00:00 Begrüßung
00:03:32 Blattkritik
00:07:44 Hausmitteilungen
00:09:18 Thema des Jahres
00:37:57 Postfach
00:44:52 Credits

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn ein IT-System veraltet oder kaputt ist und jemand darauf hinweist, verursacht das erstmal Stress. Aber den Status um jeden Preis aufrechtzuerhalten ist nicht der beste Umgang, findet unsere Kolumnistin. Sie schlägt einen anderen Weg für ein stressfreies digitales Zusammenleben vor.

In der heutigen Degitalisierung geht es um Stress. Aber eigentlich auch wieder nicht. Das mag paradox klingen, hat aber mit einer ganz besonderen Art von Stress zu tun, dem Statusstress. Statusstress ist nicht nur ein wunderschönes Bild von einem Wort, sondern leider auch eine allzu treffende Bezeichnung des Umgangs mit dem Status der Digitalisierung in Deutschland und möglicher Kritik daran.

Besonders häufig zu finden ist der Statusstress in der Verwaltung, zum Teil aber auch im Gesundheitswesen oder bei Unternehmen, die in den beiden Branchen Dienstleistungen erbringen. Um Statusstress genauer zu verstehen, bedarf es einiger prägnanter Beispiele. Aus nicht ganz erfindlichen Gründen kommen ein paar der aktuellen Beispiele für diese Kolumne schwerpunktmäßig aus Berlin.

Das heißt aber nicht, dass Statusstress nicht auch in anderen Regionen in Deutschland, speziell im Kontext der Digitalisierung, vorkommt, es ist eher eine besondere Häufung der Nachrichten der letzten Tage.

Versuch einer Definition

Normalerweise ist Stress eine natürliche Alarmreaktion des menschlichen Körpers auf Belastungen, auf Stressoren. Die Auslöser von Stress können Umstände wie Zeitdruck, Lampenfieber oder lebensverändernde kritische Ereignisse sein, etwa ein möglicher Jobverlust. Kurzfristig setzt der menschliche Körper dann Stresshormone wie Adrenalin frei, um mit der kurzfristigen Belastung besser umgehen zu können – in Vorbereitung auf eine kurzfristige Fight-or-Flight-Situation: entweder der Situation stellen oder fliehen.

Stress ist also eigentlich auch ein Mittel, um mit schwierigen Situationen besser umgehen zu können. Ein Mittel, um sich einer gewissen anstrengenden und schwierigen Situation besser stellen zu können. Meist ist eine Situation dann zwar stressig, wir haben höheren Puls und Blutdruck, aber nach dem Ablassen des Stresses haben wir oftmals eine unangenehme Situation erfolgreich gemeistert und mehr erreicht, als wir vorher gedacht hätten.

Nun gibt es solche Stresssituationen auch für die Politik oder der Politik nahestehende Organisationen, für die Verwaltung oder der Verwaltung nahestehende Unternehmen etwa. Stressig kann es oftmals werden, wenn das jeweilige Handeln kritisiert wird, wenn Fehler offensichtlich werden. Auch hier gibt es dann eine Vorbereitung auf eine Fight-or-Flight-Situation. Fehler zugeben, beheben oder doch lieber erst mal kleinreden? Häufig fällt die Entscheidung auf die Aufrechterhaltung des Status Quo, auch wenn es durchweg sehr anstrengend und – titelgebend – stressig sein kann, den Status Quo als richtig darzustellen.

Nur ist die ohnehin schon stressige Aufrechterhaltung des ungenügenden Status Quo auf lange Sicht gar nicht mal so sinnvoll oder gesund, wie ein paar Beispiele aus der Digitalisierung der letzten Tage zeigen.

Stand der Technik

„Stand der Technik“ ist eine wiederkehrende Formulierung im Gutachten von David Zellhöfer zum Datenatlas der Bundesdruckerei. Zellhöfer ist seines Zeichens Professor an der Hochschule für Wirtschaft und Recht Berlin.

Im Gutachten geht es aber nicht um die Beschreibung, dass der Datenatlas der Bundesdruckerei den Stand der Technik auch erreiche. Es geht wissenschaftlich aufbereitet darum, dass der Datenatlas eben nicht mal den Stand der Technik erreiche. Schlimmer noch, es sei dabei nicht mal der Stand der Technik von heute, sondern der Stand der Technik von vor knapp 40 Jahren.

Eine durchaus harte Kritik, beim genaueren Lesen des Gutachtens finden sich aber viele Anhaltspunkte, wie es besser ginge. Es wird umfangreich aufbereitet, an welchen Stellen Details der Umsetzung des Datenatlas diesen Stand der Technik unterschreiten und welche Umsetzungsalternativen es geben würde. Mit etwas Abstand betrachtet mag das Gutachten zwar nicht nett klingen – es liefert aber zahlreiche Verbesserungsvorschläge, um einen möglichen besseren Datenatlas schaffen zu können. Eigentlich.

Das Gutachten von Zellhöfer mag bei den Beteiligten zu sofortigem Statusstress geführt haben, anders wäre die Prüfung rechtlicher Mittel gegen das Gutachten nicht erklären zu gewesen. Fehler zugeben und diese ausmerzen – oder eben mit viel Aufwand jegliche Kritik am zweifelhaften Status abschmettern. Fight or flight. Statusstress.

Im Falle des Datenatlas und der Bundesdruckerei lässt sich aber nicht genau ermessen, wie viel mehr Aufwand dieser Statusstress am Ende ausmachen wird. Anders ist das bei der zweifelhaften Aufrechterhaltung veralteter IT-Systeme.

415 Prozent

In der letzten Woche wurde bekannt, dass der IT-Dienstleister des Landes Berlin, das IT-Dienstleistungszentrum (ITDZ) Berlin, stark unterfinanziert ist. Zwei Kredite in Höhe von 40 Millionen Euro sind nötig gewesen, um den laufenden Betrieb aufrechtzuerhalten. Bemerkenswert daran ist auch, dass die Behörden, die beim Dienstleister Auftragsverhältnisse haben, mit 16,8 Millionen in der Miese stehen. Die finanzielle Lage des Kommunaldienstleisters ist also eigentlich düster, aber als Anstalt öffentlichen Rechts kann das ITDZ nicht so einfach pleitegehen wie normale kommerzielle Unternehmen.

Woher kommt das finanzielle Problem? Einerseits aus der schlechten Finanzlage von Kommunen und Ländern. Andererseits auch vom Statusstress, diesmal in Bezug auf IT-Systeme.

In der Verwaltung werden oftmals sehr viele unterschiedliche Fachverfahren betrieben, spezialisierte Programme für bestimmte Verwaltungstätigkeiten. Programme für das Meldewesen etwa oder Programme zur Verwaltung kommunaler Aufgaben wie der Abfallentsorgung. Beim ITDZ sammeln sich ganz schön viele unterschiedliche Fachverfahren, der Tagesspiegel [€] schreibt von 415 unterschiedlichen Fachverfahren, die Berliner Behörden laut Senatskanzlei nutzen würden.

Auffällig dabei: Das ITDZ gibt einen mittleren zweistelligen Millionenbetrag im Jahr dafür aus, um die Risiken des Weiterbetriebs der Programme zu reduzieren, so ein Bericht der Chief Digital Officer (CDO) Martina Klement an das Berliner Abgeordnetenhaus. Die Kosten für die Risikoreduzierung des Betriebs liegen Klement zufolge bei durchschnittlich 415 Prozent der ursprünglichen Betriebskosten des jeweiligen Verfahrens. Statusstress. Die Aufrechterhaltung des Status Quo wird irgendwann wirtschaftlich so stressig, dass Weglaufen finanziell eigentlich gar nicht mehr funktioniert.

Bei der Beschönigung des nicht mehr funktionierenden Status Quo hilft dann auch keine kreative Antwortfindung seitens der Verwaltung auf Anfragen mehr. Kreativ hervorgetan hat sich etwa das Bezirksamt Charlottenburg-Wilmersdorf bei der Definition von Mehrfaktor-Authentifizierung. Neben einem ersten Faktor „Wissen“, einem Passwort, sei in der Verwaltung ja auch ein zweiter Faktor „Besitz“ vorhanden, weil Computersysteme „nur in Dienstzimmern zu benutzen“ seien, die mit einem Schließsystem gesichert seien. Schwammig wird die Definition dann dadurch, dass dazu auch Privatwohnungen für die „Telearbeit“ gehören sollen.

Mit anerkannten Regeln der Informationssicherheit hat das zwar nichts zu tun, aber irgendwie muss der Status Quo aufrechterhalten werden können. Die Informationssicherheit ist dabei aber zumindest gedanklich in der Überwindung von Statusstress bereits einen Schritt weiter, in Teilen jedenfalls.

Novellierung des Computerstrafrechts

In der Informationssicherheit gibt es in Deutschland schon länger immer wieder Beispiele von Statusstress auf Basis des Computerstrafrechts. Nach der Gesetzgebung um den sogenannten Hackerparagrafen kann seit 2007 das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe gestellt werden. Auch wenn das erst einmal logisch klingt, führt dies in der Praxis von gutartigen, ethischen Hacker*innen immer wieder zu Problemen. Menschen also, die auf Sicherheitslücken hinweisen, ohne diese bösartig auszunutzen, damit diese geschlossen werden können und somit die Sicherheit steigt.

Da bereits die Vorbereitung von Hacks zu Strafen führen kann, kommt es durch den Hackerparagrafen zu absonderlichen Verurteilungen. Im Fall Modern Solutions etwa wurde ein gutartiger Hacker rechtskräftig verurteilt, weil er die entsprechende Firma darauf hinwies, dass ein Passwort unverschlüsselt in einer ausführbaren Datei einer Middleware-Software gespeichert war. Daraus erwuchs ein erhebliches Sicherheitsrisiko, weil mit diesem einen Passwort ein Zugriff auf die Daten aller Modern-Solutions-Kunden möglich war.

Statt eines Dankes für den Hinweis gab es eine Hausdurchsuchung sowie ein Strafverfahren. Die Verfassungsbeschwerde im Kontext des Falls wurde vor dem Bundesverfassungsgericht abgewiesen.

Eine weitere Form von Statusstress: Durch Strafverfolgung von gutartigen Hacker*innen werden Systeme keinen Deut sicherer, vielmehr werden Sicherheitshinweise im Rahmen von Coordinated Vulnerability Disclosure-Verfahren, wie etwa solchen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), erschwert. Der Status Quo wird auch hier mit viel Stress aufrechterhalten, sicherer werden Systeme dadurch nicht.

Allerdings findet im Kontext des Hackerparagrafen inzwischen ein Umdenken nach. In der letzten Legislatur wurde eine Novellierung des Computerstrafrechts im parlamentarischen Prozess zumindest begonnen, BSI-Präsidentin Claudia Plattner forderte im November eine rechtliche Absicherung von gutartigen Hacker*innen.

Wege zu einem stressfreien Leben

Es gibt also bereits erste Ansätze, besser mit Statusstress zurechtzukommen. Nur wird es in vielen Bereichen der Digitalisierung noch viele Anläufe eines besseren Umgangs mit Kritik und einer offenen Fehlerkultur brauchen, um im Moment der Kritik oder Fehlermeldung richtig mit dem aufkommenden Stress umzugehen. Oftmals ist es in den Momenten, in denen Statusstress entsteht, nämlich gar nicht so düster, wie Menschen oftmals meinen, die einen mangelhaften Status Quo verteidigen wollen.

Professoren wie David Zellhöfer schreiben keine mehr als 100-seitigen Gutachten, nur um stumpfe Kritik an Vorhaben wie dem Datenatlas zu äußern. Es geht auch in als harsch wahrgenommener Kritik um Impulse, Dinge besser zu machen. Das Infragestellen veralteter IT-Systeme in der Verwaltung und kritische Fragen zur IT-Sicherheit sind, auch wenn sie als hart empfunden werden, Fragen danach, wie unsere gemeinsame digitale öffentliche Daseinsvorsorge besser werden kann. Ethischen Hacker*innen, die sich Tage und Nächte Zeit nehmen, Sicherheitslücken in fremden Systemen zu finden und zu dokumentieren, geht es nicht ums Kaputtmachen, es geht darum, dass Systeme nicht von anderen, bösartigen Mächten angegriffen werden können.

Diese Erkenntnis ist oftmals nicht so einfach, sie ist aber der erste Schritt zu einem stressfreien digitalen Zusammenleben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Staaten fordern ein neues Gesetz zur Vorratsdatenspeicherung, das weit über die alten Gesetze hinausgeht. Das geht aus einem EU-Dokument hervor, das wir veröffentlichen. Praktisch alle Internet-Dienste sollen Daten ihrer Nutzer anlasslos speichern, auch Messenger wie WhatsApp und Signal.

Die anlasslose Vorratsdatenspeicherung ist unverhältnismäßig und rechtswidrig. Mit dieser Begründung haben das Bundesverfassungsgericht und der Europäische Gerichtshof entsprechende Gesetze gekippt.

In Deutschland arbeitet die Bundesregierung an einer neuen Vorratsdatenspeicherung. Laut Koalitionsvertrag sollen Internet-Zugangs-Anbieter „IP-Adressen und Portnummern“ drei Monate lang speichern, „um diese einem Anschlussinhaber zuordnen zu können“.

Die EU-Institutionen arbeiten an einer noch umfassenderen Vorratsdatenspeicherung. Geht es nach den EU-Staaten, sollen alle möglichen Internet-Dienste eine Vielzahl an Daten ein Jahr lang speichern.

Das geht aus einem Papier der Ratspräsidentschaft hervor, über das zuerst Falk Steiner bei heise berichtete. Wir veröffentlichen das Dokument im Volltext: Künftige Vorschriften zur Vorratsdatenspeicherung in der Europäischen Union.

Vielzahl von Internet-Diensten

Deutsche Befürworter der Vorratsdatenspeicherung fordern, dass Internet-Zugangs-Anbieter IP-Adressen ihrer Kunden speichern müssen. Wenn Ermittler auf eine IP-Adresse stoßen, sollen sie damit den Inhaber des entsprechenden Internet-Anschlusses identifizieren.

Die EU-Staaten gehen weit über Internet-Zugangs-Anbieter hinaus. Die meisten Staaten fordern „einen möglichst breiten Geltungsbereich“ für Internet-Dienste. Einige EU-Staaten fordern explizit eine Vorratsdatenspeicherung für „Over-the-Top-Dienste“. Die Begründung: Nur noch drei Prozent mobiler Nachrichten werden über SMS verschickt, die restlichen 97 Prozent über Messenger wie WhatsApp und Signal. Also sollen auch diese Messenger Daten speichern müssen.

Die EU-Staaten nennen „eine Vielzahl von Dienstleistern“, für die ein neues Gesetz zur Vorratsdatenspeicherung gelten soll. Sie erwähnen explizit „Domain-Registrare, Hosting-Anbieter, Filesharing- und Cloud-Speicherdienste, Zahlungsdienstleister, Anbieter von VPN-Diensten, Kryptowährungshändler, Vermittler von E-Commerce- und Finanzplattformen, Taxi- und Lebensmittellieferdienste und Gaming-Plattformen sowie Automobilhersteller“.

Die meisten dieser Dienste fallen bereits in den Anwendungsbereich der E-Evidence-Verordnung. Die regelt jedoch den anlassbezogenen Zugriff auf bereits vorhandene Daten. Die Vorratsdatenspeicherung verpflichtet zur anlasslosen Speicherung neuer Daten.

Wer, wann, wo, wie, mit wem?

Deutsche Befürworter der Vorratsdatenspeicherung betonen immer wieder, dass es nur um IP-Adressen geht. Schon das deutsche Gesetz soll auch Portnummern umfassen.

Die EU-Staaten finden, dass „Daten zur Identifizierung eines Nutzers“ wie „Teilnehmerdaten und IP-Adressen“ nur die „Mindestdatenkategorie sein sollten“. Einige Staaten wollen auch Seriennummern von Internet-Geräten speichern.

Manche Staaten wollen auch Kommunikations-Verbindungs-Daten speichern. Ermittler sollen in den Daten erkennen, „wer wann, wo und wie mit wem kommuniziert hat“. Das erinnert an die EU-Richtlinie von 2006. Damals mussten Anbieter für jeden Anruf, jede SMS, jede E-Mail und jedes Internet-Telefonat speichern, „wer wann, wo und wie mit wem kommuniziert hat“.

Einige EU-Staaten fordern auch „eine allgemeine und unterschiedslose Vorratsspeicherung“ von Standortdaten. Mobilfunk-Netze wissen immer, wo ein Smartphone ist. Diese Daten sind extrem aussagekräftig und sensibel. Manche EU-Staaten wollen mit diesen Daten vermisste Personen suchen. Andere Staaten betonen, dass „nicht alle Fälle von vermissten Personen eine potenzielle Straftat darstellen“.

Mindestens ein Jahr Speicherfrist

Die alten Gesetze von EU und Deutschland hatten eine Speicherdauer von sechs Monaten. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“. Trotzdem soll das neue neue deutsche Gesetz eine Frist von drei Monaten vorschreiben.

Die EU-Staaten wollen deutlich längere Speicherfristen. Die meisten Staaten fordern „eine Dauer von einem Jahr und in jedem Fall nicht weniger als sechs Monate“. Einige Staaten befürworten noch „längere Aufbewahrungsfristen für komplexe Ermittlungen oder sehr schwere Straftaten“.

Einige Staaten wollen, dass die EU die Aufbewahrungsfristen nur „als Mindestfrist und nicht als Höchstfrist festlegt, damit die Mitgliedstaaten bei Bedarf längere Aufbewahrungsfristen beibehalten können“.

Nicht nur schwere Straftaten

Die Vorratsdatenspeicherung wurde ursprünglich nach den Terroranschlägen am 11. September 2001 eingeführt und mit dem Kampf gegen internationalen Terrorismus begründet. Mittlerweile wird die Vorratsdatenspeicherung oft mit sexuellem Missbrauch von Kindern und Jugendlichen begründet.

Die EU-Staaten betonen jedoch, „dass Metadaten für die Ermittlung praktisch aller Straftaten relevant sein könnten“. Ermittler sollen Vorratsdaten vor allem bei schweren Straftaten nutzen. Was als „schwere Straftat“ gilt, sollen jedoch die Nationalstaaten definieren. Auch „Aspekte der nationalen Sicherheit“ sollen die Staaten ohne EU regeln.

Neben schweren Straftaten fordern die Staaten die Nutzung von Vorratsdaten gegen „alle Straftaten, die im Cyberspace oder unter Verwendung von Informations- und Kommunikationstechnologie begangen werden“.

Die meisten Staaten befürworten „die Einbeziehung von Straftaten, die überwiegend online begangen werden (Stalking, Hassverbrechen usw.), auch wenn das Strafmaß moderat ist, aber der Mangel an Daten die Ermittlungen praktisch unmöglich machen würde“.

Verhältnismäßigkeit neu bewerten

Das Rats-Dokument fasst zusammen, warum die alte Vorratsdatenspeicherung rechtswidrig war: „Sie hat die Verhältnismäßigkeitsprüfung nicht bestanden, da sie pauschal alle Personen und alle elektronischen Kommunikationsmittel sowie alle Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahme erfasst hat.“

Mit der neuen Vorratsdatenspeicherung sollen mehr Anbieter mehr Daten länger speichern, die Ermittler für mehr Zwecke verwenden dürfen. Wie das rechtskonform gehen soll, bleibt offen.

Einige Staaten fordern, die Rechtsprechung der Gerichte neu zu interpretieren. Sie wollen „die Notwendigkeit und Verhältnismäßigkeit angesichts der technologischen Entwicklungen und der sich wandelnden Begehungsweisen von Straftaten neu bewerten“.

Gesetzesvorschlag 2026

Die meisten EU-Staaten fordern ein neues EU-Gesetz zur Vorratsdatenspeicherung. Die EU-Kommission arbeitet bereits daran.

In einem ersten Schritt hat sie bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Die Kommission plant, im ersten Quartal 2026 eine Folgenabschätzung abzuschließen.

Nach Angaben der Kommission könnte sie „Ende des ersten Halbjahres 2026“ einen Gesetzesvorschlag präsentieren.

---

Hier das Dokument in Volltext:

---

• Classification: Limite
• Date: 27 November 2025
• Place: Brussels
• From: Presidency
• To: Delegations
• Document: WK 16133/2025 INIT

Presidency Outcome Paper – Future rules on data retention in the European Union

1) Introduction

On 25 September 2025, the Danish Presidency organised a meeting of the Working Party on Judicial Cooperation in Criminal Matters (COPEN). The purpose of the meeting was to continue discussions on a possible design for a future EU legal framework on data retention and to contribute to the Commission’s impact assessment, by identifying the main priorities of the Member States in this area, in particular in light of the requirements laid down in the case-law of the Court of Justice of the European Union (CJEU).

During the meeting, the Commission provided an update on their work on the impact assessment, including a presentation of the preliminary results of the call for evidence and the public consultation. The Commission reported that the response rate to the general open consultation had been very high and thus a big success. On the targeted consultation, the Commission summarised the input received from Member States and asked for it to be supplemented by more information regarding electronic data used for criminal investigations. The Commission is planning to finalise the impact assessment in the first quarter of 2026. If the result of the impact assessment pointed in the direction of a legislative proposal, that proposal could, according to the Commission, be presented at the end of the first semester of 2026.

During the exchange of views, most Member States reiterated their support for future EU legislation in this area. In this regard, most Member States referred to the need to remain within the limits defined by the CJEU, while some stressed the need to go beyond mere codification of the case-law and thought that necessity and proportionality should be re-assessed in the light of evolving technologies and developments in the way crimes are committed. Many considered that the overall proportionality of the retention regime could only usefully be ensured through access level and through additional safeguards. Moreover, Member States emphasised that certain elements should remain within their national competence, such as the definition of what constitutes ’serious crime‘. Also, aspects related to national security should be exempt from the scope of any future EU legislation on data retention. This would mean that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security would have to be exempt from future EU legislation, regardless of which national authority requested access.

At the end of the meeting, the Presidency invited Member States to send their contributions in writing based on the guiding questions outlined in the Presidency’s discussion paper, WK 11640/2025.

2) Background and context

For more than a decade, the European Union has not had a common set of rules regulating the retention of personal data for the purpose of the investigation, detection and prosecution of serious crime. On 8 April 2014, the Data Retention Directive in force at the time (Directive 2006/24/EC)^[1] was declared invalid ab initio by the CJEU in the landmark judgment in joined cases C-293/12 and C-594/12, Digital Rights Ireland and Others.^[2] In that judgment, the CJEU found that the Directive violated Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, i.e. the right to respect for private and family life and the right to the protection of personal data. Even though the CJEU found that the Directive had a legitimate aim, it did not pass the proportionality test, given that it covered in a generalised manner all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation, or exception being made in the light of the necessary objective of fighting serious crime.

Since the Directive was declared invalid, the CJEU has developed and further refined its case-law on Member States‘ access to retained and stored data for the purpose of fighting serious crime.^[3] In the absence of a harmonised EU legal framework, Member States have had to navigate complex legal terrain to ensure that their national laws align with the CJEU’s standards on necessity and proportionality, as well as privacy and data protection safeguards. In the Council, discussions of the consequences of the jurisprudence have taken place since 2014 in various fora, i.e. JHA Council meetings, but also in more detail in the COPEN Working Party.

In June 2023, the Swedish Presidency, together with the European Commission, launched a High-Level Group on access to data for effective law enforcement (HLG), aiming to stimulate the discussion and open it to other relevant stakeholders. The HLG issued its concluding report in November 2024^[4], in which the HLG confirmed that one of the main areas of access to data for law enforcement purposes is data retention. This was reiterated by the Council conclusions of 12 December 2024 on access to data for effective law enforcement, which invited the Commission to present a roadmap for the implementation of relevant measures to ensure the lawful and effective access to data for law enforcement.^[5] Furthermore, in its conclusions of 26 June 2025, the European Council invited the EU Institutions and the Member States to take further action to strengthen law enforcement and judicial cooperation, including on effective access to data for law enforcement purposes.^[6]

On 24 June 2025, the Commission presented a roadmap for lawful and effective access to data for law enforcement (‚the Roadmap‘).^[7] It is in the context of the implementation of this Roadmap that the Commission is carrying out an impact assessment on data retention.

During the discussions at the informal delegates‘ meeting of the Coordinating Committee in the area of police and judicial cooperation in criminal matters (CATS) in Copenhagen on 1-2 September 2025, many delegates stressed the importance of a timely Commission proposal for a harmonised set of rules on data retention in order to ensure that law enforcement authorities across the EU have effective access to data when investigating and prosecuting organised crime.

Within this context, the work done in the COPEN Working Party during the Danish Presidency has focused on contributing to this goal, by ensuring that the Member States‘ approaches and priorities are identified and taken into account in the Commission’s impact assessment, following up on the work done by the Polish Presidency and in full coordination with the other communities concerned by the topic of access to data for law enforcement (i.e. the Standing Committee on operational cooperation on internal security (COSI) and the Horizontal Working Party on Cyber Issues (HWPCIs)).

3) Summary of the Member States‘ remarks

Following the COPEN Working Party meeting on 25 September 2025, the Danish Presidency has received written contributions from fifteen Member States^[8] and the EU Counter-Terrorism Coordinator (EU-CTC) with reference to the questions outlined in the Presidency discussion paper prepared for that meeting (WK 11640/2025). The contributions have been compiled in their full length in document WK 13500/25 and were distributed to Member States on 31 October 2025. In the following, the Presidency seeks to summarise both the written contributions and the oral comments made during the meeting in order to provide an overview of the Member States‘ main positions in this area. Hence, the summary reflects the Presidency’s reading of and selection from the inputs provided and does not in any way prejudge the official or final position of Member States.

Support for a new legislative framework

Member States highlight that stored traffic and location data are particularly relevant for the effective investigation and prosecution of criminal offences that leave few traces other than such data (e.g. cases regarding the acquisition, dissemination, transmission or making available online of child sexual abuse material^[9]), and thereby minimise the risk of systemic impunity. With relevant data, investigators can get a clear picture of the criminal offences committed. They emphasise that evidence is not always incriminating, but in many cases, it is exculpatory and can lead to an acquittal. For this reason, some Member States believe it is appropriate to provide for new rules which include general data retention and which are accepted by the CJEU.

Most Member States express support for a new legislative framework at EU level, highlighting the need for harmonised rules to address the fragmentation after the 2006 Directive was declared invalid in 2014. However, this support is expressed with cautionary remarks concerning the need to incorporate elements to guarantee proportionality and necessity as well as robust safeguards against abuse. Some Member States emphasise the limitations imposed in particular by the Digital Rights Ireland judgment and the need to avoid indiscriminate retention, while a few Member States explain that they do not have a formal position yet on the need for new legislation on data retention at EU level. The EU-CTC is in favour of establishing a harmonised EU regime on data retention that is technology-neutral and future-proof and advocates for the use of standardised formats for data retention.

Most Member States recall that safeguarding national security falls within the remit of their competence and this area should therefore be excluded from the scope of any future EU legal framework on data retention. According to certain Member States, the framework should be defined in such a way as not to impede the exercise of their competence in the area of national security. This implies that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

In addition, some Member States also mention the importance of aligning future data retention rules with existing EU regulations which provide law enforcement authorities access to retained data, mainly the e-Evidence Regulation^[10], but also others, such as regulation in the field of consumer protection.^[11]

Scope of service providers

Regarding the service providers that should be covered by the obligation to retain data, most Member States express general support for future legislation to have the broadest possible scope of application, including the possibility of adapting the list to future technological and market developments.

More concretely, some Member States and the EU-CTC agree that over-the-top (OTT) services should be subject to retention obligations due to their dominance in communications (approximately 97% of mobile messages are currently sent via OTTs, with traditional SMS and MMS making up only about 3% of messages^[12]). Nevertheless, some Member States mentioned that the impact which such an extension would have on OTT business models and that the related costs should be taken into account. Further to the general reference to OTTs, Member States provided detail on a wide range of service providers to be included in a future legal framework, such as domain name registries, hosting providers, file sharing and cloud storage services, payment service providers, providers of VPN services, cryptocurrency traders, e-commerce and financial platforms intermediaries, taxi and food delivery services and gaming platforms, as well as car manufacturers, most of which are already included in the scope of the e-Evidence Regulation.

Regarding alignment of services with the e-Evidence Regulation, several Member States point out that it would be useful to include at least the same scope of services in a future legal framework on data retention to ensure the full effectiveness of access rules under the e-Evidence Regulation.

Data to be retained

Regarding the data to be retained, most Member States mention that data to identify a user should be the minimum data category to be included in future legislation, such as subscriber data and IP addresses. Furthermore, metadata associated with communications (traffic and location data) should be included, with content data clearly excluded. Some Member States also mention data to identify the destination and service recipient’s communication equipment in order to determine the location of mobile communication equipment.

As regards the possibility of imposing a general and indiscriminate data retention obligation on telecommunication providers in order to locate missing persons, most Member States consider that location data is crucial in such cases, with some expressing support for including a general and indiscriminate retention of such data for the purposes of conducting search operations and rescuing people, given how highly effective this is, while others consider that such a retention obligation would need to be finely tuned since not all cases of missing persons involve a potential criminal offence.

Targeted retention

On the benefits of targeted data retention for traffic and location data, Member States noted that the aim of targeting measures would be to provide proportionality and to limit interference with individuals‘ privacy, as data should only be retained according to clearly defined criteria, in line with the CJEU’s case-law.

On the shortcomings, Member States generally agree that targeted data retention based on geographical criteria would be technically challenging to implement (and even impossible for some), due to the current configuration of providers‘ networks, which does not allow for restriction of data retention to a pre-defined area, while being very costly for service providers. In addition, Member States consider that targeted data retention would be insufficient to achieve a good outcome for the investigations, since law enforcement authorities will not always know in advance by whom, when, and where a crime is going to be committed.

Moreover, retention based on geographical or personal criteria could be easily circumvented e.g. by criminals using other persons‘ identities or shifting their criminal activities to areas not covered by data retention obligations. Targeted data retention limited to data of persons with a criminal history would not account for first-time offenders as well as foreign offenders (not included in national databases). Furthermore, reliance on criminal statistics would risk not accounting for areas where crimes are prepared or concealed or for crimes that cannot easily be linked to a certain location such as financial crimes. As a consequence, such targeted retention would not meet the needs to effectively investigate a number of crimes including organised crime, cybercrimes or terrorism.

For some Member States, targeted retention could also raise constitutional issues because of risks of discrimination and the presumption of innocence. Some Member States also expressed concerns that applying such targeted retention would lead to unequal protection of victims depending on where the crime is committed (e.g. murder in a remote area outside the targeted geographical area) and potentially hamper the early stages of investigations in relation to unknown suspects. In these cases, the lack of data to identify a potential perpetrator could result in delays in time-sensitive investigations where there is a potential risk to life.

Several Member States also point to the high complexity of designing and implementing such a targeted retention regime, which would need to define all relevant criteria capturing future criminal behaviour based on historical data and would need to be constantly updated (creating additional burden for companies).

Instead, several Member States and the EU-CTC recommend working on a system that allows for an adequately graduated and differentiated retention regime, with limitations defined in terms of data categories and retention periods, accompanied by strengthened security requirements and strict access rules and purpose limitations, user information, complaint mechanisms and legal remedies as well as general oversight. Some Member States also point out that the CJEU has not ruled out the use of criteria other than those mentioned (i.e. geographical or personal) to define data retention obligations.

Expedited retention orders (quick freeze)

While Member States recognise expedited retention (known as a ‚quick freeze‘), as a relevant tool allowing for the immediate preservation of data upon notification of a crime, it is considered insufficient to guarantee a good outcome for an investigation. Quick-freeze obligations should therefore complement, but not replace, a data retention regime.

The reasoning behind this is that the tool is reactive, not preventive. The event under investigation would have to have taken place before the quick freeze is utilised. Furthermore, in the absence of a general retention obligation, the risk that the request might arrive when the data has already been deleted increases exponentially.

Some Member States would support the regulation of quick-freeze measures in an EU instrument, with some considering that regulation of quick freeze should cover not only the scope of data to be accessed, but also the conditions imposed on the requesting authority, taking into account the degree of interference with privacy.

Use of traffic and location data retained for marketing and billing purposes

In some Member States, the preservation regime relies on service providers storing data for commercial purposes. In others, law enforcement authorities may only access this type of data from telecommunication providers, and in certain Member States, data retained for marketing and billing purposes serves as the basis for requests directed at providers not subject to the general data retention obligation, such as operators outside the traditional telecom sector. A common feature of these regimes is that the retention period can be very short, typically between a few days or weeks, or three to six months, depending on the Member State, and the data available may be incomplete.

Some Member States indicate that companies either retain a different range of data for their own purposes, or retain data necessary for criminal investigations, but not for a sufficiently long period or of a sufficient quality. Thus, some of the data (e.g. data kept for marketing purposes) have only limited evidential value and may only prove useful in certain categories of offence, such as online or credit fraud. In other cases, service providers do not store relevant data at all since they are not required for billing purposes (e.g. when offering unlimited calls or in relation to pre-paid services). Overall, Member States consider that data held by service providers for purely business purposes are insufficient to enable the effective investigation and prosecution of all types of serious crime. For the purposes of effective criminal investigations, the definition and scope of data to be retained should reflect the investigative needs in terms of identifying the perpetrator and establishing who communicated with whom, when, where and how.

However, several Member States would prefer to keep the possibility to request metadata that has already been retained for commercial purposes or in order to comply with other obligations, such as data retained to fulfil security and quality requirements.

Retention periods

As for the question of how to best determine retention periods in line with the case-law, most Member States advocate for a duration of one year and in any event not shorter than six months. However, some Member States are in favour of longer retention periods for complex investigations or for very serious crimes, linking the retention obligations with strict conditions to access.

According to some Member States and the EU-CTC, retention periods should be designed as a minimum mandatory period, rather than as a maximum limit, thus allowing Member States to maintain longer retention periods where necessary.

Regarding the question of the advantages and disadvantages of one fixed retention period across the EU, allowing for the possibility of renewals at national level, or setting a range within which Member States may set shorter or longer retention periods, Member States generally recognise that uniform retention periods across the EU increase predictability and facilitate cross-border investigations while also ensuring that criminals cannot take advantage of lower retention periods in some Member States. While Member States prefer to maintain some flexibility (in particular to be able to maintain longer retention periods under national law), they recognise that a range may introduce some uncertainty as to what is necessary and proportionate. Other Member States show openness to an interval-based model, under which the EU would set minimum and maximum retention periods, allowing Member States to adjust them according to national needs, taking into account the type of data, their relevance to specific crime areas, the technical capabilities of service providers, and the practical needs of law enforcement.

On the possible differentiation of retention periods according to the type of data, most Member States are generally open to such an approach, while also pointing to an increase in complexity affecting the ability of service providers to implement it.

Scope of crimes

Most Member States stress that metadata could be relevant in relation to the investigation of practically all crimes. For the purposes of an EU data retention regime for traffic and location, they agree that such obligations could be limited to the purposes of combating serious crime. Types of crime mentioned in the contributions include combating fraud and serious economic and financial crimes, cyber-enabled and cyber-dependent crime, child exploitation, terrorism, homicide, human trafficking, cybercrime, corruption, organised crime, all crimes committed in cyberspace or using information and communication technology. Other crimes that were committed with the use of relevant means of communication are also mentioned in some of the contributions, such as offences against life and health and online sexual offences, kidnappings and disappearances, and threats to national security.

In addition, most Member States support the inclusion of crimes committed largely online (stalking, hate crime, etc.) even if the level of sanctions is moderate but the lack of data would practically make the investigation impossible. While most Member States consider that the lack of traffic and location data would risk systemic impunity in particular in relation to cyber-dependent and cyber-enabled crimes, similar risks are also identified in relation to other serious and organised crimes such as drugs trafficking, arms trafficking, human trafficking, terrorism, as well as kidnappings and disappearances and other serious offences against life and health.

On the other hand, some Member States advocate for the broadest catalogue of offences possible based on the list in Article 12(1)(d) of the e-Evidence Regulation (which includes all crimes with a penalty threshold of three years). Member States consider that EU legislation should not define the concept of ’serious crime‘. In this regard, some Member States consider that an offence catalogue would imply an EU-wide definition of ’serious crime‘, interfering with national competences. Some Member States also note that a list of all possible offences would not be sufficient because of the changing modus operandi of criminals. Those Member States see the decisive points as being the specific purpose of the investigation, the degree of interference, and strict, differentiated safeguards.

Access rules and conditions

Some Member States emphasise that EU provisions on access to retained data should be limited to minimum harmonisation in compliance with the principles of subsidiarity and proportionality and with the other requirements set out by the CJEU, while other Member States point out that the system should be based on general retention combined with robust access safeguards.

A large majority of the Member States state the need for robust access safeguards, including prior authorisation by a court or independent administrative body for certain types of data, based on reasoned requests and subject to limitations reflecting the seriousness of the offence. Such access would be granted only for a specific purpose, with strict guarantees also applying to data sharing, and accompanied by strong security and data minimisation measures, in order to avoid, among other risks, the possibility of profiling.

Some Member States mention that access to traffic and location data should be subject to additional criteria in specific cases. These include situations where digital evidence is essential for identifying the perpetrator, where serious harm to life, health, human dignity or major economic damage is involved, where the data is at risk of being lost, where less intrusive measures have failed to elucidate the offence, or where the case has a cross-border dimension that makes it difficult to obtain evidence quickly by other means.

Some Member States pointed out that when designing a new data retention regime in accordance with the case-law of the CJEU, account should be taken of the fact that the CJEU’s judgments were delivered in specific factual contexts. They therefore argue that a new EU data retention regime should not rely on a literal application of those rulings to individual cases, but rather on an assessment of the principle of proportionality in line with the CJEU’s general guidelines as they result from the application of the Charter, combined with appropriate mechanisms for oversight by independent bodies or judicial authorities to ensure full protection of fundamental rights.

On this matter, some Member States also point out that access to communication metadata is subject to the condition of probable cause, reasonable grounds or a criminal context.

Regarding alignment with the e-Evidence Regulation regarding conditions for access, several Member States support mirroring some of its elements, such as standardised formats for access requests, secure communication channels and guarantees of access depending on the type of data at stake, while adapting them to the specific needs of data retention for law enforcement purposes in order to ensure transparency, data protection and more efficient operation. More specifically, some Member States advocate for standards in line with those of the European Telecommunications Standards Institute (ETSI). Such standards would enhance the efficiency of information sharing and provide greater legal certainty for service providers, while also allowing them to contribute to the design so that the standards better reflect their technical needs. The EU-CTC also sees value in defining standardised formats for a harmonised categorisation of data to be retained and accessed, but also for establishing secure channels for the exchange between competent authorities and service providers.

Some Member States explain, however, that the e-Evidence Regulation only standardises to a limited extent, and that new standards of data transmission could potentially incur significant costs. These Member States do not see a need to regulate standardised formats and communication channels. They argue that the main purpose of an EU instrument should be to regulate data retention in situations involving interactions between national authorities and providers established within their territory, i.e. domestic cases, since cross-border cooperation scenarios are already addressed by the e-Evidence Regulation.

Finally, some Member States highlight the fact that it would be important to bear in mind the recommendations of the HLG regarding the enforcement of sanctions against electronic and other communications service providers which do not comply with requirements regarding the retention and provision of data.

On the other hand, some Member States stress that access rules at EU level should not interfere with national rules on the admissibility of data.

4) Conclusion

If a data retention framework were to be defined, a primary hurdle would be reconciling the demands of effective law enforcement, on the one hand, with the protection of fundamental rights, as interpreted by CJEU jurisprudence, on the other. In this regard, most Member States highlight the need for a framework that avoids indiscriminate retention, prioritises judicial oversight based on the sensitivity of the data at stake, and incorporates robust safeguards against abuse. The Commission must navigate this complex legal and political landscape by focusing on differentiated retention obligations, establishing a clear definition of crimes that justify access, and adopting strict rules to regulate such access. It should contain harmonised procedures to ensure compliance with CJEU case-law while providing a practically effective solution. Moreover, it is emphasised that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

5) Next steps

Taking into account the views of Member States and given the need to respond to law enforcement requirements while fully respecting individuals‘ fundamental rights, the COPEN Working Party will continue to follow up on the specific activities related to data retention in the Roadmap, and when appropriate, with the support of the Commission, the justice and home affairs agencies and other relevant stakeholders. However, at this stage, priority will be given to awaiting the outcome of the impact assessment before considering further steps. The contributions of other Council preparatory bodies to the work on access to data for effective law enforcement within their respective mandates will be coordinated by the Presidency to avoid overlaps.^[13]

Footnotes

1. Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC.
2. Judgment of 8 April 2014, Digital Rights Ireland, C-293/12 and C-594/12.
3. Judgment of 6 October 2020, La Quadrature du Net I, C-511/18, C-512/18 and C-520/18, paragraph 168 (conditions for general and indiscriminate retention of traffic and location data). Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraph 67 (conditions for access to civil identity data). Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraphs 101-103 (conditions for access to information on IP addresses). Judgment of 20 September 2022, SpaceNet, C-793/19 and C-794/19, paragraphs 104, 114,119, 120. Judgment of 2 March 2021, Prokuratuur, C-746/18, paragraph 50. Judgment of 2 October 2018, Ministerio Fiscal, C-207/16, paragraphs 52-57. Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraph 97. Judgment of 30 April 2024, Tribunale di Bolzano, C-178/22, paragraphs 19, 22, 38, 49, 58, 62.
4. 15941/2024 REV2.
5. 16448/24.
6. EUCO 12/25.
7. 10806/25.
8. BG, CZ, IE, IT, LT, LV, AT, PL, PT, ES, SK, FI, SE, HU, and SI.
9. Judgment of 6 October 2020, La Quadrature du Net and Others, C-511/18, C-512/18 and C-520/18, paragraphs 153 and 154. Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraphs 73 and 74.
10. Regulation (EU) 2023/1543 of the European Parliament and of the Council of 12 July 2023 on European Production Orders and European Preservation Orders for electronic evidence in criminal proceedings and for the execution of custodial sentences following criminal proceedings.
11. Regulation (EU) 2017/2394 on cooperation between national authorities responsible for the enforcement of consumer protection laws, recital 7, Article 9(2), and Article 42.
12. Roadmap for lawful and effective access to data for law enforcement.
13. Including CATS, COPEN, DATAPROTECT, FREMP, HWPCI and LEWP, not excluding the possible involvement of other preparatory bodies of the Council.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Datenatlas soll die Bundesverwaltung effizienter machen. Ein wissenschaftliches Gutachten zeigt nun jedoch, dass er mitunter nicht einmal dem Stand der Technik aus dem Jahr 1986 entspricht. Anstatt den Gutachter zu konsultieren, erwägt die zuständige Bundesdruckerei „rechtliche Schritte“ gegen ihn.

Die Verwaltung sollte wissen, was die Verwaltung weiß. Doch Informationen liegen mal diesem Ministerium, mal jener Behörde vor. Damit interne Daten innerhalb der Bundesverwaltung besser aufgefunden werden können, setzt die Bundesdruckerei seit dem Jahr 2022 das Projekt Datenatlas Bund um.

Der „souveräne Datenkatalog für die Bundesverwaltung“ soll erstmals ressortübergreifend Metadaten bereitstellen. Metadaten sind Daten über Daten, also Zusatzinformationen wie etwa das Erstellungsdatum, der Dateityp oder der Speicherort. Die Federführung für das Projekt hat das Bundesfinanzministerium, in den jeweiligen Ministerien sind die Datenlabore für den Atlas zuständig. Grundlage dafür bildet die Bundesdatenstrategie aus dem Jahr 2021.

Modern, digital souverän und KI-fähig soll der Datenatlas sein, schreibt die Bundesdruckerei auf ihrer Website. Doch diese Versprechen kann sie nicht einlösen, wie David Zellhöfer in einem wissenschaftlichen Gutachten schreibt, das er pro bono – also eigeninitiativ und unentgeltlich – verfasst hat. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zu Digitale Innovation in der öffentlichen Verwaltung.

Das Projekt basiert laut Gutachten auf proprietärer Software, greift wahrscheinlich nicht auf übliche Standards zurück und auch für die Einbindung von KI-Anwendungen sei es ungeeignet. Denn die Daten seien weder von verlässlicher Qualität noch maschinenlesbar. Damit falle der Datenatlas teilweise hinter den Stand der Technik von 1986 zurück, so Zellhöfers Resümee. „Aufgrund der eklatanten Mängel ist das Software-Entwicklungsprojekt Datenatlas mit sofortiger Wirkung zu stoppen“, so seine Empfehlung, „um nicht weitere Mittel in eine technisch und konzeptionell wenig überzeugende Lösung zu investieren, welche kaum den Stand der Technik erreicht.“

Die Reaktion der Bundesdruckerei auf das Gutachten fällt deutlich aus. Sie zieht die Seriosität Zellhöfers in Zweifel und erwägt, „nach eingehender Prüfung des Gutachtens“ rechtliche Schritte einzuleiten. Als wir David Zellhöfer davon in Kenntnis setzen, nimmt er das Gutachten vorübergehend offline, um die Vorwürfe selbst rechtlich prüfen zu lassen. Inzwischen ist das Gutachten wieder online abrufbar.

Großprojekt für datengetriebene Verwaltung

Der Titan Atlas schultert in der griechischen Mythologie den gesamten Kosmos. Der Datenatlas soll „nur“ die internen Daten der Bundesverwaltung schultern und es der öffentlichen Verwaltung erlauben, ressort- und behördenübergreifend Daten auszutauschen. Dafür nutzt und ergänzt das Projekt bestehende Verwaltungsdatenübersichten wie die Verwaltungsdaten-Informationsplattform (VIP) des Statistischen Bundesamtes, die Registerlandkarte des Bundesverwaltungsamtes oder das Metadatenportal GovData zu offenen Daten von Bund, Ländern und Kommunen.

Auf den Datenatlas kann standardmäßig nur die Bundesverwaltung zugreifen. Laut Bundesdruckerei seien inzwischen die Ressorts des Bundesfinanzministerium, des Bundesinnenministeriums und weitere an den Datenatlas angeschlossen. Nutzen können sie ihn im Intranet des Bundes. Dafür müssen sich die einzelnen Mitarbeiter:innen registrieren. Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft haben damit keinen Einblick in den Datenatlas, wie der Pressesprecher der Bundesdruckerei auf Anfrage unterstreicht.

Bislang hat der Datenatlas laut Zellhöfers Grobschätzung mindestens 2,3 Millionen Euro gekostet. Allerdings lägen die Kosten mutmaßlich deutlich darüber, wie anonyme Quellen Zellhöfer gegenüber sagten. Die tatsächlichen Kosten legt die Bundesdruckerei auf Anfrage von netzpolitik.org nicht offen.

Wie Technik aus dem vergangenen Jahrtausend

Das Stichwort „Stand der Technik“ taucht im Gutachten gut einhundert Mal auf. Ausführlich zeichnet Zellhöfer nach, welche Funktionen der Datenatlas aus informationswissenschaftlicher Sicht im Jahr 2025 haben sollte. Zellhöfer zufolge bleibt der Datenatlas weit hinter den Erwartungen zurück.

Besonders deutliche Defizite weisen demnach die Anfragemöglichkeiten auf. So sollen Beschäftigte der Bundesverwaltung in der Datenbank gezielt Metadaten recherchieren können. Für diese Suche sind andernorts verschiedene Hilfsmittel üblich, etwa das Suchen mittels Boolscher Operatoren wie „UND“, „ODER“ oder „NICHT“. Ebenso gängig sind sogenannte Wildcards, Sonderzeichen wie das Sternchen- oder Fragezeichen-Symbol, die als Platzhalter für eine beliebige Zahl an Zeichen dienen.

Nutzer:innen kennen solche Möglichkeiten der gezielten Suche etwa von gewöhnlichen Internetsuchmaschinen. Der Datenatlas verfügt über diese Funktionen allerdings nicht. Damit biete er erheblich weniger Funktionen als vergleichbare Datenbanksysteme aus dem Jahr 1986, konstatiert Zellhöfer.

Gefangen in proprietärer Software

Auch dem Ziel der Bundesdatenstrategie werde der Datenatlas nicht gerecht, nämlich einen „Beitrag zur digitalen Souveränität Europas“ zu leisten.

Vielmehr mache sich die Bundesverwaltung vom IT-Dienstleister abhängig, den die Bundesdruckerei mit dem Projekt des Datenatlas beauftragt hat. Denn der Datenatlas baue auf proprietärer Software auf, obwohl verfügbare Open-Source-Lösungen nach informationswissenschaftlicher Expertise teilweise ausgereifter seien. Als Beispiele nennt Zellhöfer die Open-Source-Lösungen Fedora und Piveau.

Der Bundesdruckerei verpasse damit die Chance, verlässlicher zu wirtschaften. Denn die laufenden Kosten ließen sich mit einer Open-Source-Lösung besser kalkulieren. Auch die Gefahr eines sogenannten Vendor Lock-in ließen sich so vermeiden. Vendor Lock-in bezeichnet die starke Abhängigkeit von einem bestimmten Anbieter, bei der ein Wechsel zu einem anderen Anbieter nur mit unverhältnismäßig hohem Aufwand oder zu hohen Kosten möglich ist.

Es drohen weitere Datensilos

Die Gefahr der Abhängigkeit steige zusätzlich, wenn der Datenatlas keine gebrauchsüblichen Datenstandards oder Schnittstellen nutze. Stattdessen habe der beauftragte IT-Dienstleister auf eigene Entwicklungen zurückgegriffen.

Das aber erschwert es Nutzer:innen aus der Verwaltung, ihre eigenen Datensätze in den Datenatlas zu überführen, weil sie diese zuvor noch anpassen müssen. Und auch der Datenexport wird unnötig behindert, etwa für den Fall, dass Nutzer:innen das System wechseln wollen.

Würde der Einsatz des Datenatlas verpflichtend, „führte dies unmittelbar zu der Bildung eines weiteren, wenig interoperablen Datensilos“, warnt Zellhöfer in seinem Gutachten. Obendrein ein Silo mit Daten von minderer Qualität. Denn die Nutzer:innen können die Metadaten-Felder mit frei wählbaren Beschreibungen belegen. Das mache es zusätzlich kompliziert, einzelne Datensätze wiederzufinden, etwa wenn sich Rechtschreibfehler einschleichen.

Bundesdruckerei erwägt rechtliche Schritte

Auf unsere Anfrage an die Bundesdruckerei, wie sie die Ergebnisse des Gutachtens bewerte, ging die bundeseigene GmbH nicht ein. Stattdessen zweifelt sie in ihrer Antwort die Neutralität des Gutachters an. „Wir können aktuell nur mutmaßen, dass der Autor für sein Werk womöglich unseriöse Quellen benutzt haben könnte“, schreibt die Bundesdruckerei an netzpolitik.org, „und zudem einen unlauteren Zweck verfolgt: die Reputation unseres Unternehmens zu schädigen.“ Und sie kündigt an, gegebenenfalls rechtlich gegen das Gutachten vorzugehen: „Sollten sich nach eingehender Prüfung dieses ‚Gutachtens‘ unsere Mutmaßungen erhärten, werden wir die Einleitung rechtlicher Schritte erwägen“.

Als wir Zellhöfer über die Reaktion der Bundesdruckerei informierten, nimmt er sein Gutachten vorübergehend offline. „Ich war unmittelbar eingeschüchtert“, sagt er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“ Die Reaktion kann er sich nicht erklären. „Der Datenatlas ist ein Nischenthema“, sagt er, „das hätten sie auch einfach aussitzen können.“

„Wenn man es positiv sehen will, könnte der Datenatlas als Projekt eines Retro-Computing-Enthusiasten durchgehen“, sagt Zellhöfer. Aber vermutlich müsse man den Datenatlas in seiner jetzigen Form vielmehr als „einen zynischen Kommentar zur Verwaltungsmodernisierung“ sehen. „Super ist, dass sie methodisch sinnvoll eine Dateninventur gemacht haben.“

Weder das BMF noch das Bundesministerium für Digitales und Staatsmodernisierung wollten das Gutachten auf Anfrage bewerten. Das Bundesdigitalministerium soll die Federführung für den Datenatlas übernehmen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die sächsische Regierung möchte das Polizeigesetz deutlich verschärfen und der Polizei KI-Videoüberwachung, biometrische Internetsuche und staatliches Hacken erlauben. Kritik daran kommt aus Zivilgesellschaft und Opposition. Doch gerade letztere braucht die Regierung, um ihren autoritären Entwurf zum Gesetz zu machen.

Die sächsische Polizei soll in Zukunft möglichst viele neue Befugnisse bekommen. So lautet die kürzestmögliche Zusammenfassung des Entwurfs für das neue Sächsische Polizeivollzugsdienstgesetz, kurz SächsPVDG. Was will der Entwurf konkret? Was sagen Opposition und Zivilgesellschaft? Und warum könnte es ausgerechnet auf das Bündnis Sahra Wagenknecht ankommen?

Anfang Oktober stellte der sächsische Innenminister Armin Schuster (CDU) den Entwurf des SächsPVDG vor. Im Fokus der Berichterstattung stehen seitdem vor allem Drohnen, Taser und die elektronische Fußfessel. Doch der Entwurf sieht auch die Ausweitung und Einführung von weiteren Überwachungsmaßnahmen vor, darunter der Staatstrojaner „Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung), die automatisierte Kennzeichenerfassung, „KI“-Videoüberwachung, Echtzeit-Gesichtserkennung, der biometrische Datenabgleich und eine automatisierte Datenanalyse von Polizeidaten nach Art von Palantir. Doch mehr zu den einzelnen Punkten weiter unten.

Warum die Uhr für das Gesetzes-Update läuft

Der Hauptgrund für die jetzige Gesetzesnovelle ist ein Urteil des sächsischen Verfassungsgerichtshofs. Die Landtagsabgeordneten aus den Fraktionen der Grünen und Linken hatten gegen die letzte Änderung des Polizeigesetzes erfolgreich geklagt. Der Verfassungsgerichtshof sah einige der neuen Vorschriften als unvereinbar mit der sächsischen Verfassung an, lies sie aber mit Einschränkungen bis zu einer Neuregelung weitergelten. Doch diese Frist läuft am 30. Juni 2026 ab, so steht es in dem Urteil.

Innenminister Schuster betont, aktuell würden insgesamt elf Bundesländer ihre Polizeigesetze überarbeiten. „Bei der Gestaltung der Kompetenzen und Befugnisse bewegen wir uns auf Augenhöhe“, sagte er in einer Pressemitteilung.

Während sich die mitregierende SPD im Landtag zu dem Entwurf eher bedeckt hält, feiert die CDU den Vorstoß. „Dieser Entwurf ist ein Sicherheitsgewinn für Sachsen!“, lässt sich der innenpolitische Sprecher der CDU-Fraktion, Ronny Wähner, in einer Pressemeldung zitieren.

„Chinesische Verhältnisse“ mit „endloser Polizei-Wunschliste“

Grüne und Linke, beide in Sachsen in der Opposition, kritisieren den Gesetzesentwurf mit scharfen Worten. Valentin Lippmann von den Grünen sieht einen massiven Eingriff in die Bürgerrechte. „Insbesondere die KI-gesteuerte Datenanalyse, die Möglichkeit des Abgleichs von Bildern mit öffentlich zugänglichen Quellen im Internet und die umfassende biometrische Videoüberwachung bilden ein Gift der Überwachung“, teilte Lippmann mit. Mit dem Entwurf sei Schuster „näher an der Praxis in China als auf dem Boden unserer Verfassung“.

Rico Gebhardt von der Fraktion Die Linke schreibt auf Anfrage von netzpolitk.org, dass der Gesetzesentwurf auch einige positive Dinge enthalte, etwa Umsetzungen des Gerichtsurteils sowie Maßnahmen zum Schutz vor häuslicher Gewalt. Insgesamt sieht er aber „eine endlose Polizei-Wunschliste“ und einen „rechts-autoritären Entwurf“.

„Überwachungsdruck steht in keinem angemessenen Verhältnis zum Ergebnis“

Auch außerhalb des Landtags hagelt es Kritik. Die sächsische Datenschutzbeauftragte Juliane Hundert nimmt seit Jahren eine Verschärfungsspirale in der Sicherheitsgesetzgebung wahr. „Jede neu geschaffene Maßnahme im Bereich der Gefahrenabwehr erhöht den Überwachungsdruck auf die Bürgerinnen und Bürger allgemein, auch wenn sie nicht straffällig werden, und das kann ich nicht gutheißen“, sagt sie auf eine Anfrage von netzpolitik.org zu dem Entwurf.

„Die zunehmende polizeiliche Erfassung des öffentlichen und virtuellen Raums und der damit einhergehenden Überwachungsdruck scheinen in keinem angemessenen Verhältnis zu den Ergebnissen der Maßnahmen zu stehen.“ Hundert sieht in diesem Kontext vor allem die Maßnahmen kritisch, von denen viele Bürger:innen betroffen sind, etwa die Maßnahmen zur „KI“-Videoüberwachung und zum Filmen in Autos zur Verkehrsüberwachung: „Obwohl sie keinen Anlass dafür gegeben haben und in keiner Weise eine Gefahr für die öffentliche Sicherheit oder Ordnung darstellen, werden ihre Daten polizeilich verarbeitet“, kritisiert Hundert.

Kritik von netzpolitischer Szene bis Fußballfans

Stephanie Henkel, die sich beim Dresdener CCC, aber auch der Piratenpartei sowie den Datenpunks engagiert, sieht es ähnlich wie Hundert, sagt aber: „Man kann kaum sagen, was die schlimmste Anpassung ist.“ Ein Grundproblem sei, dass der Verfassungsgerichtshof in seinem Urteil zu viel durchgewunken habe. Nun gehe das Innenministerium mit diesem Entwurf nochmal deutlich über das Urteil hinaus, so Henkel. „Der jetzige Entwurf stellt unterm Strich einen massiven Ausbau der Überwachung in Sachsen dar, gegen den wir uns als Zivilgesellschaft laut und sichtbar stellen müssen.“

Auch aus der Fußballszene kommt Gegenwind zum Gesetzesentwurf. In einem gemeinsamen Statement schreiben die Fanhilfen von Chemie Leipzig, Dynamo Dresden und dem FSV Zwickau: „Mit diesem vorgelegten Gesetzesentwurf zur Regelung der Befugnisse der sächsischen Polizei begeht der sächsische Innenminister Armin Schuster erneut einen bewussten Verfassungsbruch.“ Anstatt die verfassungsgemäße Ordnung des sächsischen Polizeirechts herzustellen, erweitere man dieses um Dutzende weitere verfassungswidrige Punkte, so ein Fanhilfe-Sprecher.

Besonders kritisch sehen die Fan-Anwält:innen die Kombination der verschiedenen Befugnisse, etwa wenn automatisierte Datenanalysen mit Software von Palantir und neue Formen der Videoüberwachungsauswertung zusammenkämen: „Im Zusammenspiel [von Palantir, Anm. d. Red.] mit der nach Gesetzesentwurf geplanten verdeckten automatisierten Kennzeichenerkennung und dem Einsatz intelligenter Videoüberwachung wäre der gläserne sächsische Bürger dann wohl perfekt.“

Doch wie weit gehen die geplanten Befugnisse wirklich?

Jetzt auch Staatstrojaner für die Prävention

In der Strafverfolgung ist der Staatstrojaner zum Anzapfen der laufenden Telekommunikation schon mehrere Jahre lang erlaubt. Das regelt die bundesweit geltende Strafprozessordnung. In Sachsen gilt seit der letzten Novelle des SächsPVDG, dass die Polizei zur Gefahrenabwehr auch die Kommunikation abhören darf. Nun aber steht das erste Mal explizit im Gesetz, dass die sächsische Polizei dafür auch „in von der betroffenen Person genutzte informationstechnische Systeme“ eingreifen darf. Sie darf also hacken. Darauf hatten sich Union und SPD im sächsischen Koalitionsvertrag geeinigt.

Zu den Voraussetzungen gehört nach dem Entwurf selbstverständlich eine richterliche Anordnung. Zudem ist die Maßnahme nur zulässig, „wenn die Abwehr der Gefahr oder die Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre“. Laut Entwurf geht es um die Verhinderung bestimmter schwerer Straftaten, die sich gegen den „Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“ richten.

Dass dabei auch Dritte mitüberwacht werden, ist allerdings kein Hinderungsgrund. Zuletzt hatte etwa die bayerische Polizei das Pressetelefon der Letzten Generation – und damit wenig überraschend auch die Gespräche mit Journalist:innen – abgehört. Zwei Journalisten ziehen deshalb zusammen mit der Gesellschaft für Freiheitsrechte vor das Bundesverfassungsgericht.

Kommt Palantir auch nach Sachsen?

Das neue SächsPVDG ebnet den Weg auch für Palantir oder andere Analyseplattformen. Die Polizei soll „zur Gewinnung neuer Erkenntnisse gespeicherte personenbezogene Daten anlassbezogen automatisiert zusammenführen und mit weiteren nach diesem Gesetz oder anderen Rechtsgrundlagen gespeicherten personenbezogenen Daten automatisiert verknüpfen, aufbereiten und auswerten“ können. Die Polizei darf diese Datenanalyse zur Verhinderung einer langen Liste von Straftaten einsetzen, darunter schwere Straftaten, besonders schwere Straftaten, aber auch „zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“.

Dabei soll die Polizei fast alle Daten zusammenführen können, über die sie potenziell verfügt: von Daten aus Polizeidatenbanken wie „Gewalttäter Sport“ über Falldaten bis zu Datensätzen „aus gezielten Abfragen in gesondert geführten staatlichen Registern sowie einzelne gesondert gespeicherte Datensätze aus Internetquellen“. Datenschutzbeauftragte Hundert stellt klar: „Dabei werden tausende Datensätze auch von Personen ausgewertet, die nicht Gegenstand polizeilicher Ermittlungen waren.“ Lediglich Daten aus Wohnraumüberwachung und Online-Durchsuchung sollen laut Entwurf nicht miteinbezogen werden.

Näheres soll eine Verwaltungsvorschrift regeln, die dann auch „Kennzeichnungen“ zur Einhaltung der Zweckbindung sowie ein Rechte- und Rollenkonzept beinhalten soll. Rico Gebhardt von den Linken kritisiert das. „Das Parlament wird dann nicht mehr mitreden können. Auch damit werden wirklich alle roten Linien überschritten.“

Gebhardt sieht in dem Entwurf einen „Blankoscheck“, um sich bei „rechtsstaatlich desinteressierten Tech-Oligarchen“ einzukaufen – auch wenn der Name „Palantir“ im Gesetzentwurf nicht explizit falle. Es gebe keine Vorfestlegung auf Palantir, sagte Innenminister Schuster laut Sächsischer Zeitung. Auch die sächsische SPD hatte sich noch vor ein paar Monaten gegen Palantir ausgesprochen.

Stephanie Henkel ist skeptisch, ob es nicht docch auf Palantir hinausläuft: „Ich wüsste nicht, was sie sonst nehmen.“ Henkel erinnert auch an den bereits existierenden Rahmenvertrag, den Bayern mit Palantir ausgehandelt hat. Aktuell setzen Bayern, Hessen und Nordrhein-Westfalen Palantir-Software ein, in Baden-Württemberg soll die Software ab 2026 zum Einsatz kommen.

Videoüberwachung, jetzt mit „Künstlicher Intelligenz“

Neu im Polizeigesetz ist auch der Paragraf zur „KI“-Videoüberwachung. Die Polizei will damit zum einen von einer Software automatisiert erkennen lassen, wenn sich im Bereich der Kameras eine Straftat anbahnt. Konkret soll die Software Waffen und gefährliche Gegenstände erkennen sowie Bewegungsmuster, „die auf die Begehung einer Straftat hindeuten“. Vorbild ist ein Projekt in Mannheim.

Zum anderen soll eine Software auch Personen nachverfolgen können, deren Bewegungsmuster auffällig waren, sofern ein Polizist das bestätigt. Mit richterlicher Anordnung oder bei Gefahr im Verzug darf die Polizei auch einen Abgleich der gefilmten Gesichter mit den eigenen Auskunfts- und Fahndungssystemen durchführen („Fernidentifizierung“).

Diese Gesichtserkennung ist in Sachsen bisher schon erlaubt, allerdings nur an Orten, die wichtig für die grenzüberschreitende Kriminalität sind. Der neue Entwurf ermöglicht nun die „KI“-Videoüberwachung und Fernidentifizierung an Kriminalitätsschwerpunkten sowie bestimmten Veranstaltungen unter freiem Himmel.

Gesichtserkennung mit Daten aus dem Internet

Ebenfalls künftig erlaubt sein soll der Abgleich mit biometrischen Daten aus dem Internet. Konkret nennt der Gesetzesentwurf Gesichter und Stimmen, die die Polizei zum Zwecke der Gefahrenabwehr abgleichen dürfe. Hier braucht es ebenfalls eine richterliche Anordnung. Außerdem soll die Datenschutzbeauftragte nachträglich informiert werden.

Sollte es dieser Paragraf in das finale Gesetz schaffen, wird er wahrscheinlich ein Fall für die Gerichte. Linken-Politiker Gebhardt hat nach eigener Aussage erhebliche Zweifel, „ob so eine biometrische Rasterfahndung, auf die es ja hinauslaufen würde, überhaupt legal betrieben werden kann – oder ihre Anwendung nicht eher dazu führt, das Gesetz erneut in den verfassungswidrigen Bereich zu steuern“.

Laut einem Gutachten von AlgorithmWatch ist es technisch nicht umsetzbar, frei verfügbare Bilder aus dem Internet für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank dieser Bilder zu erstellen. Dies wiederum verbietet die KI-Verordnung der EU. Auf die Anfrage von netzpolitik.org, wie dieser Teil des Entwurfs rechtssicher umgesetzt werden soll, hat das sächsische Innenministerium nicht geantwortet.

Noch mehr Abbau von Datenschutz

Insgesamt bedeutet der Entwurf fast überall einen Rückschritt beim Datenschutz. So ist der Polizei künftig eine Weiterverarbeitung von personenbezogenen Daten auch für Aus- und Fortbildungen erlaubt. Auch zum „KI“-Training dürfen personenbezogene Daten verwendet werden. Das gilt selbst dann, wenn man die Daten nicht anonymisieren oder pseudonymisieren kann.

Zu diesem Zweck darf die Polizei die Daten auch an Dritte weitergeben. Rico Gebhardt befürchtet in diesem Zusammenhang einen Tabubruch: „Das erweckt den bösen Anschein, als wäre das Innenministerium bereit, einen Anbieter mit hochsensiblen Daten der Bürgerinnen und Bürger zu ,bezahlen‘.“

Die bisher dargestellten Neuerungen sind nur eine kleine Auswahl aus dem Entwurf. Künftig soll zudem das automatisierte Scannen von Autokennzeichen auch verdeckt erfolgen können – und das pauschal in allen Orten mit einer Grenznähe von unter dreißig Kilometern sowie an Kriminalitätsschwerpunkten. Das ist etwa die Hälfte der Fläche Sachsens. Die Polizei soll außerdem künftig an bestimmten Kreuzungen auch in Autos filmen dürfen, um zu verhindern, dass Fahrer:innen dort das Handy benutzen. Und Bodycams sollen nun auch in Wohnungen filmen dürfen.

Sächsische Koalition muss erst eine Mehrheit suchen

Dass der Gesetzesentwurf in dieser Form überhaupt zum Gesetz wird, ist alles andere als klar. Denn in Sachsen regieren CDU und SPD in einer Minderheitskoalition – also ohne eigene Mehrheit im Parlament. Die Regierung muss also auf die Opposition zugehen, wie zuletzt beim Haushalt, als Grüne und Linke dem Entwurf nach langen Verhandlungen zustimmten.

Das läuft in Sachsen über den sogenannten Konsultationsmechanismus. Nachdem die Regierung einen Entwurf veröffentlicht, können die Fraktionen Stellungnahmen abgeben, ebenso wie Verbände, Kommunen oder Einzelpersonen. Diese Frist läuft für die Zivilgesellschaft noch bis zum 30. Oktober. Laut Rico Gebhardt, haben die Fraktionen bis zum 10. Dezember Zeit, Stellungnahmen abzugeben.

Die Staatsregierung arbeitet dann Änderungsvorschläge ein und stellt den Entwurf schließlich dem Parlament vor. Politisch bedeutet das, dass die Regierung auf Vorschläge der Opposition wird eingehen müssen, wenn sie einen mehrheitsfähigen Entwurf im Landtag einbringen will.

Wer verschafft dem Polizeigesetz die Mehrheit?

Auch wenn beide Fraktionen Stellungnahmen einreichen werden: Grüne und Linke sorgen vermutlich nicht für eine Mehrheit. Beide hatten gegen das aktuelle Gesetz geklagt und positionieren sich auch deutlich gegen die geplante Novelle. So sagt der innenpolitische Sprecher der Grünen, Valentin Lippmann: „Wir Bündnisgrüne werden in unserer Stellungnahme deutlich machen, dass wir für einen solchen freiheitsfeindlichen Gesetzentwurf nicht zur Verfügung stehen.“ Zudem müsste die sächsische Regierung aufgrund der Sitzverteilung sowohl Grüne als auch Linke ins Boot holen, um eine Mehrheit zu erreichen.

Aktivistin Henkel hält es für möglich, dass auch die AfD für die Mehrheit sorgen könnte. „Ich vertraue der CDU nicht. Für die AfD wäre der Entwurf ein Gewinn“, meint Henkel. „Alles was da drin steht, ist für die Gold wert, wenn die einmal an der Macht sind.“ Doch eine Zusammenarbeit mit der AfD würde vermutlich die SPD vor den Kopf stoßen – und den Koalitionsvertrag brechen. Dort heißt es: „Eine Zusammenarbeit oder eine Suche nach parlamentarischen Mehrheiten mit der AfD als gesichert rechtsextrem eingestufter Partei wird es durch die neue Regierung und die Koalitionsfraktionen nicht geben.“

Deshalb rückt das Bündnis Sahra Wagenknecht in den Fokus. Mit seinen 15 Abgeordneten könnte das BSW dem Gesetzesentwurf eine Mehrheit verschaffen. Doch wie sich das BSW positioniert, ist alles andere als klar.

BSW berät sich intern noch

Dem MDR teilte das BSW Anfang des Monats mit: „Die BSW-Fraktion steht für ein modernes Polizeivollzugsdienstgesetz mit dem Stand der Technik entsprechenden Befugnissen. Gleichzeitig treten wir für eine Balance von Freiheit und Sicherheit ein. Deshalb wollen wir den Gesetzesentwurf gründlich prüfen und in der Fraktion beraten.“ Diese fraktionsinterne Abstimmung dauere an, teilte der innenpolitische Sprecher der BSW-Fraktion, Bernd Rudolph, auf Anfrage von netzpolitik.org mit.

Im Programm des BSW zur sächsischen Landtagswahl hieß es zum Thema innere Sicherheit: „Einen übergriffigen Staat lehnen wir ab, weshalb immer die Verhältnismäßigkeit der Mittel und die universelle Unschuldsvermutung gelten müssen. Jedermann soll sich in der Öffentlichkeit frei entfalten können, ohne Angst vor Beobachtung und Überwachung. Mehr Polizisten auf der Straße und in Problemvierteln sind im Bedarfsfall eine größere Hilfe als mehr Videokameras.“

Inwiefern das BSW diese Position in den Verhandlungen durchsetzen kann, werden die nächsten Monate zeigen.

Wie laut wird die Straße sein?

Einige wollen das nicht passiv abwarten. Grünen-Politiker Lippmann rät den Sächs:innen, das Beteiligungsportal zu nutzen und die eigene Meinung zum Gesetz zu hinterlegen. Bis zum 30. Oktober können Bürger:innen und Verbände noch Stellungnahmen einreichen. Auch Henkel ruft dazu auf.

Trotz der vielen Verschärfungen im Gesetz hat Henkel Hoffnung – auch dank der Proteste gegen Palantir und die Chatkontrolle. „Endlich ist mal wieder ein Bewusstsein da, dass Massenüberwachung böse ist.“ Das habe sie noch vor einem Jahr anders erlebt. „Ich hoffe, dass sich jetzt mehr Leute finden, die gegen das neue SächsPVDG in Sachen protestieren werden.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Linux kernel 6.17 is released with Intel Xe3 graphics, SmartMux support for AMD hybrid GPUs, Legion Go S drivers, SSD write improvements – and a lot more!

You're reading Linux Kernel 6.17 Released, This is What’s New, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.

If you're looking to add an SSD to your Raspberry Pi 5, the new $15 M.2 HAT+ Compact is a solid and smaller option to other add-ons on the market.

You're reading Raspberry Pi’s New M.2 HAT+ Compact is an SSD Space Saver, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.

Die EU-Staaten konnten sich auch während der polnischen Ratspräsidentschaft nicht auf eine gemeinsame Position zur Chatkontrolle einigen. Jetzt hat Dänemark übernommen, das die verpflichtende Chatkontrolle befürwortet. Wir veröffentlichen eingestufte Verhandlungsdokumente.

Drei Jahre, sechs Ratspräsidentschaften und 35 Sitzungen: Die EU-Staaten können sich weiterhin nicht auf eine gemeinsame Position zur Chatkontrolle einigen. Im ersten Halbjahr übernahm Polen die Ratspräsidentschaft. Die Regierung in Warschau ist wie ihre Vorgänger daran gescheitert, eine Einigung zu organisieren.

Die EU-Kommission will Internet-Dienste verpflichten, auf Anordnung die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen. Der Rat ist gespalten: Einige Staaten fordern verpflichtende Chatkontrolle, andere Staaten sind dagegen.

Rat lehnt Kompromiss ab

Polen gehört zu den Kritikern der Chatkontrolle. Die damalige PiS-Regierung hatte bis 2023 mehrere hundert Menschen mit dem Staatstrojaner NSO Pegasus gehackt und überwacht, darunter prominente Politiker aus Opposition und Regierung. Die polnische Regierung versteht deshalb den Wert vertraulicher Kommunikation für alle.

Die polnische Präsidentschaft hat im Rat einen Kompromiss vorgeschlagen: Die Chatkontrolle soll für Internet-Dienste nicht verpflichtend werden, aber freiwillig möglich sein. Die Arbeitsgruppe Strafverfolgung hat in vier Sitzungen darüber verhandelt – ohne Ergebnis.

Im letzten Monat verhandelten die Referenten für Justiz und Inneres, die Ständigen Vertreter und die Justiz- und Innenminister den Gesetzentwurf. Wir veröffentlichen die Protokolle und Berichte diesen Sitzungen.

Alle Gesetze weltweit

Mitte Mai hatte Polen den letzten offiziellen Kompromissvorschlag vorgelegt. Damals war bereits absehbar, dass dieser keine Mehrheit finden wird. Die JI-Referenten haben deshalb auf ihrer Sitzung gar nicht über den Gesetzentwurf geredet. Stattdessen stellten Interpol und der Meldestellen-Verband INHOPE ein einheitliches Klassifikationsschema für Missbrauchsmaterial vor.

Laut INHOPE haben Staaten „sehr unterschiedliche Definitionen“ von Kinderpornografie und Missbrauchsmaterial. Das entwickelte Klassifikationsschema soll „Bezeichnungen und Definitionen“ enthalten, die sich „auf alle gesetzlichen Kriterien weltweit übertragen lassen“. Wir haben dieses Klassifikationsschema mehrmals bei INHOPE beantragt – leider ohne Antwort.

Bedarf weiterer Anstrengungen

Zum Abschluss seiner Arbeit hat Polen einen Bericht über die bisherigen Verhandlungen erstellt. Das Fazit: „Trotz aller Bemühungen des Vorsitzes, Unterstützung für einen Kompromissvorschlag einzuholen, bedarf es weiterer Anstrengungen, um eine Einigung über ein Mandat für Verhandlungen mit dem Europäischen Parlament zu erzielen.“

Anfang Juni haben sich die Ständigen Vertreter der EU-Staaten getroffen, um das Treffen der Justiz- und Innenminister vorzubereiten. Dort erklärte Polen ebenfalls, dass eine Einigung „leider ohne Erfolg geblieben sei“ und es deshalb nur den Fortschrittsbericht vorlegt. Die deutsche Delegation nahm das zur Kenntnis.

Unterstützung für Vorratsdatenspeicherung

Mitte Juni tagte der Rat der EU-Justiz- und Innenminister. Für Deutschland nahm die Parlamentarische Staatssekretärin des Innenministeriums Daniela Ludwig (CSU) teil. Die Chatkontrolle kam auf dem Gipfel nur am Rande vor, der polnische Fortschrittsbericht wurde ohne Aussprache angenommen.

Stattdessen diskutierten die Minister über die Strategie für die innere Sicherheit „ProtectEU“ und den „Zugang zu Daten für eine wirksame Strafverfolgung“. Die Minister äußerten „breite Unterstützung“ für die „Schaffung einer EU-weiten Regelung zur Vorratsdatenspeicherung“. Einige „betonten auch eine grundsätzliche Notwendigkeit für Strafverfolgungsbehörden, auf verschlüsselte Kommunikation zugreifen zu können“.

Hohe Priorität für Dänemark

Gestern hat Dänemark die Ratspräsidentschaft übernommen. In seinem Programm hat das Land angekündigt, der Chatkontrolle-Verordnung „hohe Priorität einzuräumen“. Dänemark ist vehementer Befürworter der verpflichtenden Chatkontrolle.

Dänemark hat bereits einen Vorschlag vorgelegt. Nächste Woche verhandelt die Arbeitsgruppe Strafverfolgung darüber.

Deutsche Position relevant

Die Zukunft des Gesetzes könnte von Deutschland abhängen. Vor zwei Jahren hat sich die Bundesregierung auf eine gemeinsame Position geeinigt. Deutschland lehnt das „Scannen privater verschlüsselter Kommunikation“, eine „Schwächung, Modifikation oder einer Umgehung von Ende-zu-Ende-Verschlüsselung“ und „Client-Side-Scanning“ ab.

Die Zivilgesellschaft fordert Innenminister Alexander Dobrindt auf, bei dieser Position zu bleiben. Die Innenministerkonferenz bittet das Innenministerium, sich für verpflichtende Chatkontrolle „als ultima ratio“ einzusetzen. Anfang Juni schrieb das Innenministerium in einer Weisung: „Die Prüfung innerhalb der Bundesregierung dauert an.“

---

Hier die Dokumente in Volltext:

• 2025-05-27: JI-Referent*innen – Protokoll
• 2025-06-04: Ständige Vertreter – Weisung
• 2025-06-04: Ständige Vertreter – Protokoll
• 2025-06-19: Rat für Justiz und Inneres – Nachbericht

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 3. Juni 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMF, BKAmt, BMFSFJ, BMWK, BMJV, BMDV, BMWE
• Betreff: Sitzung der JI-Referent*innen RAGS–P (CSA) am 27. Mai 2025
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der JI-Referent*innen RAGS–P (CSA) am 27. Mai 2025

I. Zusammenfassung und Wertung

Vertreterin INHOPE (von der POL nationalen Meldestelle dyzurnet.pl) sowie Vertreter INTERPOL präsentieren anhand WK 7057/25 ihre Arbeit sowie die Gründe für die Entwicklung des Universal Classification Schema für CSAM. Dieses solle insbesondere die Identifizierung von Inhalten erleichtern und die grenzüberschreitende Zusammenarbeit verbessern. Auch rechtliche Unterschiede in der nationalen Gesetzgebung könnten hierbei berücksichtigt werden. Beide Vortragenden unterstrichen die Notwendigkeit, anhand drastisch steigender Zahlen einen proaktiven Ansatz zu wählen. Zudem sei grooming ein stark zunehmendes Problem.

Bei der kurzen Aussprache gaben nur wenige MS an, bereits mit dem Universal Classification Scheme zu arbeiten (MLT, HUN, AUT, SWE). Weitere MS betonten, eine Klassifizierung auf Basis des geltenden Rechts jeweils im Einzelfall durchzuführen (FRA, NLD, SVN, HRV, CZE, ESP, LVA). IRL gab an, ein eigenes Klassfizierungsschema zu nuzten. Die Idee eines solchen Schemas für die EU-Zusammenarbeit wurde überwiegend positiv gesehen.

Auf BEL Nachfrage, inwiefern das Schema in Bezug auf grooming genutzt werden könne, stellte Vertreter Interpol klar, dass hierbei auch illegale Inhalte produziert würden.

Vorsitz bat abschließend um Beantwortung der Fragen in Dok. 6661/25 bis 6. Juni 2025. Vorsitz werde die Antworten zusammenfassen und den MS zur Verfügung stellen.

Weitere Sitzungen zur CSA–VO werde es unter POL Vorsitz nicht geben. Vorsitz werde einen Fortschrittsbericht vorlegen.

II. Im Einzelnen

entfällt

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Von: BMI, Referat CI 6 – Grundsatz Cyberfähigkeiten der Sicherheitsbehörden
• An: Auswärtiges Amt – EU-Koordinierungsgruppe
• Beteiligte Referate: BMI (CI 8, ÖSI1, ÖSI4, PKI3, E2), BMJV, BMDS, BMBFSFJ, AA, BMF, BMWE, BKAmt
• Betreff 2988. AStV-2 am 4. Juni 2025
• TOP: Tagung des Rates (Justiz und Inneres) am 12./13. Juni 2025: Vorbereitung
• Hier: Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern – Fortschrittsbericht
• Dokument.: ST-9277-2025

2988. AStV-2 am 4. Juni 2025: Weisung

1. Ziel des Vorsitzes

Vorbereitung der Befassung des JI-Rates.

2. Deutsches Verhandlungsziel/ Weisungstenor

Kenntnisnahme

3. Sachstand

Vorsitz verhandelt mit Ziel einer Allgemeine Ausrichtung. Aktueller Vorschlag des Vorsitz sieht ggü. dem KOM-Vorschlag und der letzten RP eine wesentliche Reduzierung des Anwendungsbereiches der CSA–VO vor. Dazu zählt insb. die Streichung der verpflichtenden Aufdeckungsanordnungen, zugleich Verstetigung freiwilliger Aufdeckungen gem. Interims-VO, Reduzierung des Risikomanagements, Anpassung bzw. Reduzierung der Aufgaben der Koordinierungsbehörden und des EU-Zentrums. Prüfung innerhalb der BReg dauert an. In einer ersten Befassung wurde der Vorschlag des Vorsitz von 16 MS abgelehnt.

HUN–RP befasste am 12.12.2024 den JI-Rat mit dem Vorschlag einer Allgemeine Ausrichtung, der keine Zustimmung unter den MS fand. DEU hatte sich wie neun weitere MS enthalten und eine Protokollerklärung abgegeben.

Am 13.04.2023 hat DEU eine erste grundsätzliche Stellungnahme vorgelegt und wesentliche Änderungen gefordert.

Hintergrund: KOM-Vorschlag für VO zur wirksameren Bekämpfung des sexuellen Missbrauchs von Kindern zielt auf die Bekämpfung der Verbreitung von bereits bekannten und neuen Missbrauchsdarstellungen sowie die Verhinderung von Kontaktaufnahmen zu Kindern zu Missbrauchszwecken, sog. „Grooming“ (zusammengefasst: „CSAM“), im digitalen Raum. Entwurf verfolgt zwei wesentliche Regelungsbereiche:

1) Abgestufte Verpflichtungen für Anbieter von Online-Diensten: Anbieter sollen zu einem Risikomanagement verpflichtet werden. Wird dabei ein „signifikantes“ Risiko festgestellt, können gezielte Aufdeckungsanordnungen erlassen werden. Erlangen Anbieter Kenntnis von CSAM auf ihren Diensten, muss dieses umgehend an das EU-Zentrum gemeldet werden. Anbieter sollen zur Entfernung einzelner oder mehrerer konkreter Inhalte verpflichtet werden können. Daneben ist Verpflichtung für App-Stores vorgesehen, Kinder am Herunterladen von Apps zu hindern, die ein hohes Risiko für Grooming darstellen. Internetdiensteanbieter sollen zur Sperrung von URLs verpflichtet werden können.

2) Errichtung eines EU-Zentrums: Gründung dezentraler Agentur mit Sitz in Den Haag und enger Angliederung an Europol. Aufgaben: Verwaltung von Datenbank mit Indikatoren, die bei der Aufdeckung von CSAM verwendet werden müssen; (kostenlose) Zurverfügungstellung von Aufdeckungstechnologien, zentrale Meldestelle, Betroffenenunterstützung. Auf Grundlage der am 14.06.2022 veröffentlichten EuGH-Entscheidung ist die Beteiligung der MS bei Sitzfragen mit KOM neu auszugestalten. Die durch KOM ursprünglich vorgesehene Governance-Struktur wurde im Laufe der Verhandlungen an etablierte Strukturen angeglichen.

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 4. Juni 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BKAmt, BKM, BMAS, BMBF, BMDV, BMEL, BMF, BMFSFJ, BMG, BMI, BMJ, BMUV, BMVg, BMWK, BMZ
• Betreff: 2988. AStV-2 am 4. Juni 2025
• Hier: Vorbereitung JI-Rat: Innenteil und Sonstiges
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 421.30

2988. AStV-2 am 4. Juni 2025

I. Zusammenfassung und Wertung

Der AStV setzte in seiner heutigen Sitzung die Vorbereitung des JI-Rats am 12./13. Juni 2025 in Luxemburg fort. Für den Innenteil wurden dabei folgenden Themen behandelt:

Regulation to prevent and combat child sexual abuse

Vorsitz hob die Bemühungen der vergangenen Monate hervor, um einen Kompromiss in diesem Dossier zu erzielen, was leider ohne Erfolg geblieben sei. Daher sei lediglich ein Fortschrittsbericht beim Rat vorgesehen (vgl. Dok. 9277/25 (liegt in Berlin vor)), der nunmehr als A.-Punkt vorgelegt werden solle.

Gleichzeitig verwies Vorsitz darauf, dass die derzeit gültige Übergangsverordnung bald ausliefe. KOM müsse daher schnellstmöglich einen Entwurf zur Verlängerung vorlegen, auch wenn das EP dies bisher ablehne. KOM machte deutlich, dass sich EP sehr klar gegen eine abermalige Verlängerung positioniert habe. Vielmehr müsse sich der Rat endlich auf eine Position verständigen, um die interinstitutionellen Verhandlungen zu beginnen. FRA bezweifelte, dass hierfür die Zeit reiche. Es brauche nunmehr eine „Notfalllösung“ (unterstützt von IRL und HUN).

ProtectEU

Vorsitz verwies auf Dok. 9267/25 (liegt in Berlin vor). Beim JI-Rat sei der erste Austausch auf Ministerebene zur europäischen Strategie für die innere Sicherheit entlang der formulierten diskussionsleitenden Fragen vorgesehen.

Einfluss der aktuellen geopolitischen Lage auf die innere Sicherheit

Vorsitz verwies erneut auf das Arbeitsfrühstück der Minister, dass die Möglichkeit geben solle, sich zur Lage in MDA und UKR sowie der Auswirkungen auf die innere Sicherheit in der EU auszutauschen. Zur Lage in Syrien sei ein Sachstandbericht vorgesehen. Dabei ginge es nicht um Rückführungsfragen, sondern insb. um die Lage im Nord-Osten des Landes und Implikationen für die innere Sicherheit in der EU.

Sonstiges

Vorsitz informierte, dass es unter AOB einen Bericht zur Bekämpfung des Drogenschmuggels und der organisierten Kriminalität sowie eine kurze Information zu den Ergebnissen des High-Level Ministerial Meetings EU-CELAC geben werde. SVN kündigte zudem einen AOB zum Brdo-Prozess an.

ITA bat ferner darum, dass sich der Rat mit der Lage in LBY befassen müsse, und zwar aus zwei Perspektiven: zum einen mit Blick auf Migrationsflüsse in die EU und zum anderen mit Blick auf die Sicherheit und Stabilität in der Region. Vorsitz sagte zu, dass es einen Sachstandsbericht hierzu geben werde.

Abschließend informierte Vorsitz darüber, dass der TOP zur Insolvenzrichtlinie wie geplant auf der Tagesordnung des Justizteils verbleibe.

II. Handlungsempfehlungen

Kenntnisnahme.

III. Im Einzelnen

Entfällt.

---

• Datum: 19. Juni 2025
• Von: Bundesministerium des Innern
• An: Deutscher Bundestag
• Bundesregierung-Dokument: 226/2025

Nachbericht zum formellen Rat der EU-Innenministerinnen und Innenminister am 13. Juni 2025 in Luxemburg

Am 12. und 13. Juni 2025 fand in Luxemburg der zweite und letzte formelle Rat für Justiz und Inneres unter polnischer EU-Ratspräsidentschaft statt. Die Innenministerinnen und Innenminister tagten am 13. Juni. Für Deutschland nahm Frau Parlamentarische Staatssekretärin Daniela Ludwig an der Sitzung teil.

Im Rahmen der diesjährigen Feierlichkeiten zum 40-jährigen Jubiläum des Schengen-Raums haben der Polnische EU-Ratsvorsitz Tomasz Siemoniak und der Luxemburgische Innenminister Léon Gloden ihre Amtskolleginnen und Amtskollegen am Vorabend des Rates zu einem Abendessen nach Schengen eingeladen. Flankiert wurden die Feierlichkeiten mit der Unterzeichnung der Schengen-Erklärung „Bekenntnis zu Freiheit, Sicherheit und Recht“. Die Erklärung dient der Erneuerung des Bekenntnisses zu Schengen und wurde im Justizteil des Rates als Punkt ohne Aussprache (sogenannter „A-Punkt“) angenommen.

Vorab der Ratstagung tauschten sich die Ministerinnen und Minister zur Lage in der Ukraine und in der Republik Moldau aus. Die Innenministerin der Republik Moldau, Daniella Misail-Nichitin, und der Ukrainische Vize-Premierminister, Oleksiy Chernyshov, waren beim Frühstück zugegen.

Zu Beginn der Ratstagung wurden die Ministerinnen und Minister über die geopolitische Lage in Syrien unterrichtet. Sollte es zu einem Machtvakuum kommen, seien Folgen auf die innere Sicherheit in der Europäischen Union nicht auszuschließen. Die Lage sei weiterhin volatil. Für die Stabilisierung sei es zentral, ausländische terroristische Kämpfer (Foreign terrorist fighters, „FTF“) im Schengener Informationssystem zu erfassen und die Außengrenzen gewissenhaft zu kontrollieren, die Camps im Nord-Osten des Landes weiter zu finanzieren, die Wirtschaft zu stärken und eng mit den Staaten in der Region zu kooperieren.

Anschließend kamen die Ministerinnen und Minister zu einer politischen Einigung über den Durchführungsbeschluss des Rates für eine Verlängerung des vorübergehenden Schutzes. Damit verlängert sich der vorübergehende Schutz für Flüchtlinge aus der Ukraine um ein weiteres Jahr bis zum 4. März 2027. Frau Parlamentarische Staatssekretärin Ludwig stimmte der Verlängerung zu und begrüßte, angesichts der teilweise stark belasteten Aufnahmekapazitäten in deutschen Kommunen, die im Beschluss aufgenommene klare Aussage zum Umgang mit Mehrfachanträgen auf vorübergehenden Schutz in verschiedenen Mitgliedstaaten. Im Anschluss haben die Ministerinnen und Minister über eine Empfehlung für einen gemeinsamen und koordinierten Übergang aus dem vorübergehenden Schutz beraten. Zahlreiche Ministerinnen und Minister waren sich darin einig, dass eine enge Koordinierung zwischen den Mitgliedsstaaten wichtig sei, um einen Übergang in die Asylsysteme und Sekundärbewegungen zu vermeiden. Frau Parlamentarische Staatssekretärin Ludwig betonte, dass die Themen Rückkehr und Reintegration besondere Berücksichtigung finden müssten. Der Polnische Vorsitz schloss mit dem Hinweis, dass die Ausarbeitung der Ratsempfehlung auf Arbeitsebene fortgesetzt werde.

Auf Wunsch von Italien wurden die Ratsmitglieder über die Entwicklung der Migrationslage in Libyen unterrichtet. Sorge bestünde, da die irreguläre Migration mit Abfahrten aus Libyen seit diesem Jahr wieder deutlich ansteige.

Im weiteren Verlauf der Sitzung nahmen die Ministerinnen und Minister Ratsschlussfolgerung zu den Prioritäten des kommenden EMPACT-Zyklus 2026-2029 an; auch Frau Parlamentarische Staatssekretärin Ludwig stimmte für Deutschland den Schlussfolgerungen zu. EMPACT steht für „European Multidisciplinary Platform Against Criminal Threats“ und ist ein Format, in dem die Mitgliedsstaaten bestimmte Deliktsbereiche der Organisierten Kriminalität bekämpfen.

Im Anschluss haben die Ministerinnen und Minister über den Zugang zu Daten für eine wirksame Strafverfolgung beraten. Die Schaffung einer EU-weiten Regelung zur Vorratsdatenspeicherung fand eine breite Unterstützung. Wortnehmende Ministerinnen und Minister betonten auch eine grundsätzliche Notwendigkeit für Strafverfolgungsbehörden, auf verschlüsselte Kommunikation zugreifen zu können. Die Ministerinnen und Minister waren sich darin einig, dass es besondere Maßnahmen und einen EU-weit einheitlichen Rechtsrahmen brauche, um schwere und organisierte Kriminalität sowie den Terrorismus im digitalen Zeitalter bekämpfen zu können. Der dänische Minister kündigte für die kommende Dänische EU-Ratspräsidentschaft an, das Thema prioritär weiter zu verfolgen.

Anschließend tauschten sich die Ministerinnen und Minister zur europäischen Strategie für die innere Sicherheit (ProtectEU) aus. Die Strategie wurde von den Ratsmitgliedern begrüßt; insbesondere wurde der ganzheitliche, sektorübergreifende und gesamtgesellschaftliche Ansatz hervorgehoben. Die Umsetzung der einzelnen Maßnahmen rücke damit in den Vordergrund.

Bei einem Arbeitsmittagessen diskutierten die Ministerinnen und Minister die Verbesserung der Rückführung durch effektivere Rückübernahme-Kooperation von Drittstaaten. Im Fokus stand dabei der Zeitplan für die Verhandlungen zur Rückführungsverordnung und der Einsatz von Hebeln gegenüber Drittstaaten zur Verbesserung der Rückübernahme-Kooperation. Mehrheitlich haben die Ministerinnen und Minister vor einer übereilten Verabschiedung der Allgemeinen Ausrichtung abgeraten und sich eher dafür ausgesprochen, auf die Robustheit der neuen Regelungen zu achten. Mit Blick auf den Einsatz von Hebeln waren sich die Ministerinnen und Minister darin einig, auch andere als den bereits bestehenden Visahebel stärker gegenüber Drittstaaten zur Verbesserung der Rückübernahme-Kooperation zu nutzen.

Im Anschluss haben die Ministerinnen und Minister über die Lage im Schengenraum beraten. Im Fokus standen dabei die Prioritäten für den jährlichen Schengen-Ratszyklus 2025¬2026 sowie die am Vortag verabschiedete Schengen-Erklärung. Die Bedeutung von nationalen Koordinierungsstrukturen, einem effektiven Monitoring und eine sichere Finanzierung der Maßnahmen wurden von den Ministerinnen und Ministern besonders betont. Weitere Schwerpunkte waren temporäre Binnengrenzkontrollen auch im Zusammenhang mit einem funktionierendem Außengrenzschutz und der geopolitischen Lage sowie die Themen Digitalisierung und Interoperabilität. Deutschland informierte die Ministerinnen und Minister, dass am Vortag der Ratstagung die Bereitschaftserklärung für das Einreise-/Ausreisesystem (EES) abgegeben wurde.

Abschließend folgten eine Reihe an Informationspunkten ohne Aussprache:

• In Bezug auf die Umsetzung der Reform des Gemeinsamen Europäischen Asylsystems wurden die Ministerinnen und Minister zum laufenden Prozess sowie zu aktuellen Vorschlägen der EU-Kommission zur Überarbeitung der Reform (Sicherer-Staaten-Konzepte) unterrichtet.
• Der Polnische Vorsitz berichtete, dass es eine Einigung über die Verordnung über die schrittweise Inbetriebnahme des Einreise/Ausreisesystems (EES) mit dem EP gegeben habe.
• Der Vorsitz informierte ferner über die Fortschritte bei der Bekämpfung des Drogenhandels und der organisierten Kriminalität und betonte insbesondere den Ausbau der Zusammenarbeit zwischen Zoll und Polizei, die Schaffung einer Zollallianz, die Sitzung der Hafenallianz in Danzig und das geplante Ministertreffen der Hafenallianz am 21. Juli in Kopenhagen.
• Der Dänische Minister stellte die Prioritäten der im Juli beginnenden EU-Ratspräsidentschaft für den Bereich Inneres vor. „A strong Europe that takes responsibility for its own security and strengthens its competitiveness while ensuring its green transiton” sei die Leitlinie für die gesamte Dänische Ratspräsidentschaft, deren vollständiges Programm im Juni vorgestellt werde. Ein Fokus werde auf der Migrationspolitik liegen: Unter Dänischer Präsidentschaft sollen konkrete Ergebnisse hinsichtlich innovativer Lösungen erreicht und mit Nachdruck daran gearbeitet werden, Rückführungen zu erleichtern. Im Bereich Sicherheit werde ein Schwerpunkt auf dem Thema Drogenbekämpfung liegen. Der kommende informelle JI-Rat werde am 22./23. Juli in Kopenhagen stattfinden. Der JI-Rat werde am 13./14. Oktober in Luxemburg und am 8./9. Dezember in Brüssel tagen.

Schließlich wurden die Ministerinnen und Minister über die Ergebnisse der folgenden Tagungen unterrichtet:

• Hochrangige Tagung des EU-CELAC-Mechanismus zur Koordinierung und Zusammenarbeit im Bereich der Drogenbekämpfung in Warschau am 8. Mai 2025. Das nächste Treffen sei im ersten Halbjahr 2026 in der Dominikanischen Republik geplant.
• Das erste Ministertreffen zwischen den Vereinigten Staaten und der Europäischen Union zum Thema Justiz und Inneres in Warschau am 2./3. Juni 2025 mit der neuen US-Regierung habe in einer guten und konstruktiven Atmosphäre stattgefunden.
• Ministertagung im Rahmen des Brdo-Prozesses in Brdo pri Kranju am 27./28. März 2025

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Online-Kommunikation mit Behörden ist für Bürger*innen und Unternehmen kompliziert, für Verwaltungen oft teuer und aufwendig. Das soll sich ändern: Eine Arbeitsgruppe von IT-Architekten aus Bund und Ländern schlägt vor, wie alle von einer gemeinsamen Infrastruktur profitieren, und empfehlen das offene Kommunikationsprotokoll Matrix.

Zentrales Bürgerpostfach, BundID, OZG-PLUS-Postfach, MeinJustizpostfach und Elster – um mit Behörden zu kommunizieren, richten sich Bürger*innen, Unternehmen und Organisationen verschiedene Postfächer ein. Denn verschiedene Verwaltungen unterhalten jeweils eigene Kommunikationslösungen.

Die stehen derzeit für sich und sind kaum interoperabel. Denn ob Gerichte, Finanzämter, Gesundheitsämter oder Ausländerbehörden: Alle haben eine eigene IT und IT-Architektur, historisch gewachsen und mit unterschiedlichen technischen und rechtlichen Voraussetzungen.

Das soll sich ändern. Bund und Länder wollen eine „moderne und vertrauenswürdige Kommunikationsinfrastruktur im öffentlichen Sektor, die die bislang isolierten Lösungen schrittweise bündelt und die Interoperabilität stärkt“, so André Göbel, Präsident der Föderalen IT-Kooperation (FITKO).

Die Basiskomponente für die Kommunikation ist Teil der geplanten Deutschland-Architektur (PDF), mit der das Bund-Länder-Gremium IT-Planungsrat neuen Schwung in die Digitalisierung der öffentlichen Verwaltung bringen will. Neben der Basiskomponente Postfächer stehen unter anderem auch Komponenten für Bezahlvorgänge und Authentifizierung an.

Vorteile einer gemeinsamen Infrastruktur

Der Flickenteppich aus verschiedenen Postfach-Lösungen sei sowohl für Bürger*innen und Unternehmen als auch für die Verwaltung selbst unübersichtlich, sagt Dominik Braun gegenüber netzpolitik.org. Er ist Referent für IT-Architekturmanagement bei der FITKO und arbeitet mit Vertreter*innen der Länder Hamburg und Sachsen-Anhalt an der Zielarchitektur für Postfach- und Kommunikationslösungen, kurz ZaPuK.

Das Ziel sei, dass sich die einen besser orientieren können, wo sie welche Post vom Staat bekommen; und die anderen müssten ihre Postfächer nicht getrennt voneinander anbinden und unterschiedliche Schnittstellen, Protokolle und Verschlüsselungsverfahren nutzen.

Das könne finanzielle und personelle Ressourcen einsparen und langfristig auch Vorteile im Bereich IT-Sicherheit bieten. Das sagt Andreas Altmann, Projektmanager beim Ministerium für Infrastruktur und Digitales des Landes Sachsen-Anhalt, und Teil von ZaPuK. Mit einem neuen Beschluss des IT-Planungsrats hat das Team nun das Go für die nächste Phase.

Matrix-Protokoll könnte sich durchsetzen

Die klare Empfehlung der Arbeitsgruppe ist das Matrix-Protokoll. Matrix ist ein Protokoll für die Echtzeitkommunikation, dahinter ein offener Standard für dezentralisierte und interoperable Kommunikation. Damit können Nutzer*innen chatten oder telefonieren, ohne von einem spezifischen Diensteanbieter abhängig zu sein.

Matrix soll den Standard Online Services Computer Interface, kurz OSCI, ablösen, so Altmann gegenüber netzpolitik.org. OSCI gibt es seit dem Jahr 2000. Die „Protokollstandards für den sicheren elektronischen Nachrichtenaustausch über das Internet und andere Netze“ wurden speziell für die öffentliche Verwaltung in Deutschland entwickelt.

Kommunen können entsprechende Standards über das ITZBund beziehen, beispielsweise XMeld für das Ummelden der Wohnungsadresse oder XAusländer für Ausländerbehörden. Laut Bundesmeldedatendigitalisierungs- oder Bundesmeldedatenabruf-Verordnung und Gesetz über das Ausländerzentralregister sind sie sogar dazu verpflichtet, OSCI zu nutzen.

IT-Sicherheit im Vordergrund

Gegenüber Alternativen wie dem international genutzten Matrix-Protokoll wirkt OSCI etwas verstaubt. Derzeit setzt beispielsweise der elektronische Rechtsverkehr für den Transport und die Zwischenspeicherung von Nachrichten auf OSCI auf. Wesentliche Nachteile des Standards: Er sei nicht auf Echtzeitkommunikation ausgelegt und OSCI basiere auf Technologien, die auf dem Markt und in der öffentlichen Verwaltung zunehmend weniger verbreitet sind, so die IT-Architekten von ZaPuK auf OpenCode. Vor allem aber unterstütze die eingesetzte XML-Encryption „keine modernen kryptografischen Anforderungen“.

Zur Ende-zu-Ende-Verschlüsselung empfiehlt die Gruppe die Sicherheitsschicht Messaging Layer Security, kurz MLS. Das sei besonders wichtig, so Dominik Braun gegenüber netzpolitik.org. „Als Bürger will ich nicht, dass jede Behörde nachvollziehen kann, was ich mit einer anderen Behörde kommuniziere.“ Dabei spielten verfassungsrechtliche und Privatsphäreaspekte eine Rolle. „Einzelne Behörden sollen über mich nicht Informationen bei sich bündeln können.“

In Sachen IT-Sicherheit sei laut Braun zudem eine Zero-Trust-Betriebsumgebung geplant. Das entspricht auch der Föderalen Digitalstrategie des IT-Planungsrats (PDF). Danach soll jede technische Instanz „nur die minimalen, absolut notwendigen Rechte bekommen“, um bei einem Angriff die Risiken eines Datenabflusses zu reduzieren.

Eine Lösung für alles wäre schön

Ideal wäre: Bürger*innen, Unternehmen, Organisationen und Behörden nutzen eine Postfach- und Kommunikations-Lösung für alles, so Braun. Daher ist die Empfehlung „die Frontends der bestehenden Lösungen wie MeinJustizpostfach, BundID und OZG-PLUS-Konto in einen Client zusammenzuziehen, der als ein Produkt weiterentwickelt wird“.

Ob es dazu kommt, hänge aber von weiteren Entscheidungen ab, zum Beispiel davon, ob es ein zentrales Verwaltungsportal geben soll. Technisch seien verschiedene Anwendungen denkbar.

Ein paar Designziele stehen jedoch fest: Ende-zu-Ende-Verschlüsselung, Echtzeitverhalten, Mobilfähigkeit und Standards aus offenen und wachsenden Ökosystemen wie Matrix. Außerdem ein Anspruch und rechtliche Vorgabe: Die Kommunikation muss bidirektional verlaufen können – „alles von der Zustellung von Bescheiden bis zu Rückfragen an Behörden über Chat“.

Wichtig sei, dass es im Backend ein koordiniertes einheitliches Produktmanagement gibt, so Braun.

Eine lange Liste von Anforderungen

Das ZaPuK-Team nahm im September seine Arbeit auf. Seither „haben wir alle Postfächer beleuchtet: elektronisches Gerichts- und Verwaltungspostfach, Telematik-Infrastruktur aus dem öffentlichen Gesundheitswesen, zentrales Bürgerkonto, OZG-Plus, De-Mail. Dabei haben wir rund 900 Anforderungen ermittelt und auf 160 konsolidiert“, so Andreas Altmann gegenüber netzpolitik.org. Eine entsprechende Liste ist auf OpenCode öffentlich einsehbar wie auch eine weitere Dokumentation des Vorhabens.

Dort können Interessierte technische Überlegungen des Teams nachvollziehen, bewerten, kommentieren und diskutieren. „Wir sind da für jede Meinung, für jeden konstruktiven Beitrag echt dankbar“, so Altmann.

Teil der Auswertung waren zudem Best-Practice-Beispiele, Dokumente und Interviews mit den Betreibern der bestehenden Postfach-Lösungen. Was sind Gemeinsamkeiten, wo unterscheiden sich die Ansprüche? Organisationskonten müssen andere Anforderungen erfüllen als Privatkonten. „Zeitstempel sind zum Beispiel für den elektronischen Rechtsverkehr wichtig, aber nicht per se in anderen Verwaltungskontexten“, erklärt Braun.

Auch gut 60 Gesetze und Verordnungen bezog das Team für die Zielarchitektur ein, so Altmann, vor allem die Datenschutzgrundverordnung, die Single-Digital-Gateway-Verordnung, eIDAS unter anderem. Die Idee sei, dass die Anforderungen langfristig als MUSS zu lesen sind, erklärt Braun. Für die nächste Phase sei ein juristisches Gutachten zur Frage angedacht, was möglich ist und was verändert werden müsste.

Viele Akteure, viele Gespräche

Dafür hat das Team Zeit bis zur 50. Sitzung des IT-Planungsrats im Sommer 2026. Und auch weitere Fragen soll es bis dahin klären: Wie wird das Vorhaben finanziert? Welche Standardisierungsbedarfe gibt es? Wie wird der Weg für bestehende Lösungen in die gemeinsame Infrastruktur geebnet?

Es gebe riesige IT-Infrastrukturen, so Braun. Da könne man nicht einfach unbedarft an den einzelnen Schrauben drehen. „Unser Ansatz ist maximal konstruktiv. In vielen Domänen funktioniert schon vieles sehr gut.“

Jetzt gelte es, mit den Verantwortlichen der jeweiligen Lösungen zu klären, auszuhandeln, teilweise neu zu erarbeiten, was realistisch möglich sei. Neben vielen anderen sind Gesprächspartner die Betreiber von KONSENS-Verbund (koordinierte neue Softwareentwicklung der Steuerverwaltung), Unternehmenskonto, BundID-Konto, Telematik sowie elektronischem Gerichts- und Verwaltungspostfach.

Braun ist zuversichtlich: „Wir haben mitgedacht, dass die verschiedenen Verwaltungsbereiche ihre eigene Backend-Infrastruktur betreiben können, wenn sie das wollen. Sofern Verwaltungen die Anschlussbedingungen an diese Kommunikations-Infrastruktur erfüllen, kann Behörde X im Land Y sich theoretisch dazu entscheiden, die selbst zu implementieren und sich damit an die Architektur anzuschließen.“

Die Verantwortung für den Betrieb hätten Verwaltungen demnach im eigenen Haus. Für diese dezentral organisierte Infrastruktur seien Matrix, aber auch Mastodon Vorbilder gewesen. Die Hypothese sei: „Wenn jeder für das eigene Backend verantwortlich ist, ist es auch einfacher, diversen rechtlichen Auflagen gerecht zu werden.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Viele EU-Länder wollen der Polizei mehr Zugang zu privaten Daten verschaffen. Neben der Vorratsdatenspeicherung steht auch der Zugriff auf verschlüsselte Inhalte zur Debatte. In einem Fahrplan skizziert die EU-Kommission ihre nächsten Schritte.

Die EU-Kommission hat am Dienstag einen Fahrplan für den Zugang zu Daten für Polizeibehörden vorgestellt. Demnach liegt der Fokus auf sechs Schlüsselbereichen. Er umfasst etwa die weiteren Schritte in Richtung EU-weiter Vorratsdatenspeicherung, mehr Einsatz sogenannter Künstlicher Intelligenz bei Ermittlungen und einen für das Jahr 2026 geplanten Ansatz, um an verschlüsselte Daten zu kommen. Mit diesen Vorhaben drohen Einschränkungen bei Datenschutz, Privatsphäre und Vertraulichkeit der Kommunikation.

Umrissen hatte die Kommission ihre Prioritäten bereits in ihrer „ProtectEU“ genannten Strategie zur inneren Sicherheit im April. Entsprechend betont sie nun auch im aktuellen Fahrplan, dass rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhten. Zwischen den Jahren 2017 und 2022 hätten sich die Datenanfragen an Online-Dienste verdreifacht, und der Bedarf an diesen Daten steige weiter an.

Zugleich gebe es jedoch Probleme dabei, schnell an die Daten zu kommen. In manchen Fällen hätten die Anbieter sie bereits gelöscht, in anderen hapere es bei der grenzüberschreitenden Zusammenarbeit; bisweilen seien Daten verschlüsselt und nicht ohne Weiteres zugänglich. All diese Hürden müssten abgebaut werden, um „effektiv und rechtmäßig“ Ermittlungen im digitalen Raum durchführen zu können, heißt es in der Mitteilung. Federführend sind hierbei Digitalkommissarin Henna Virkkunen und Innenkommissar Magnus Brunner.

Vorratsdatenspeicherung: Mehr als 5.000 Stellungnahmen

Bereits letzte Woche ging die erste Etappe zu Ende. In einer öffentlichen Konsultation holte die Kommission Meinungen zum Dauerbrenner Vorratsdatenspeicherung ein, nun wird sie die über 5.000 Stellungnahmen aus ganz Europa auswerten müssen. Die sollen in eine Folgenabschätzung über diese Form der anlasslosen Massenüberwachung einfließen, ein notwendiger Schritt vor einem möglichen Gesetz. Mit einem erneuten Anlauf für eine EU-weite Regelung wird allgemein gerechnet, nicht zuletzt drängen EU-Innen- und Justizminister:innen im Rat auf einen einheitlichen Rechtsrahmen.

In der Vergangenheit hatten Gerichte, darunter der Europäische Gerichtshof (EuGH), nationale Anläufe sowie eine frühere EU-Richtlinie unter Verweis auf die tiefen Grundrechtseingriffe kassiert. Im Vorjahr hat der EuGH jedoch die Tür ein Stück weit geöffnet und die verdachtslose Speicherung von mindestens IP-Adressen unter bestimmten Bedingungen für zulässig erklärt.

„Rechtsmäßiger Zugang“ gefährdet alle

Auf dem Arbeitsprogramm der Kommission steht zudem eine Verbesserung des grenzüberschreitenden Datenaustauschs zwischen Ermittlungsbehörden. Dabei will sie offenbar nicht abwarten, bis alle EU-Länder das E-Evidence-Paket umgesetzt haben. Optimierungsbedarf gebe es auch bei der Europäischen Ermittlungsanordnung; die Instrumente sollen im kommenden Jahr überprüft werden.

In Zusammenarbeit mit der EU-Polizeibehörde Europol will die Kommission Ermittlungsbehörden im Bereich der digitalen Forensik besser aufstellen. Dabei sollen auch öffentlich-private Partnerschaften zum Zug kommen. Um mit der zu erwartenden Materialfülle zurechtzukommen, will die Kommission bis zum Jahr 2028 die Entwicklung und den Einsatz von KI-Tools fördern. Mehr einbringen will sich Brüssel auch bei der Standardisierung neuer Technologien, etwa, um gleich von Beginn an Überwachungsschnittstellen nach dem Prinzip des „rechtmäßigen Zugangs durch Design (‚lawful access by design‘)“ einzubauen.

Das Konzept steht im Widerspruch zu Privatsphäre durch Design (‚privacy by design‘), das Daten und Privatsphäre von Menschen nicht nur gegenüber ihrem eigenen Staat schützt, sondern auch gegenüber anderen Staaten und Kriminellen. Denn einmal geschaffene Wege zum Zugriff auf geschützte Inhalte lassen sich nicht nur durch autorisierte Akteure ausnutzen, sondern auch durch andere. Auf diese Weise kann das Konzept „lawful access by design“ sowohl einzelne Nutzer:innen als auch die IT-Sicherheit insgesamt gefährden.

Debatte unter Ausschluss der Öffentlichkeit

Für das Jahr 2026 ist ein weiterer brisanter Fahrplan angekündigt. Darin will die Kommission Ansätze „identifizieren und evaluieren“, um Polizeien womöglich Zugang zu verschlüsselten Daten zu geben. Ob sich dabei auch gefährliche Methoden wie Hintertüren wiederfinden werden, bleibt vorerst offen. Auch eine eigens einberufene Arbeitsgruppe, die sich in den vergangenen Jahren vertieft mit dem sogenannten „Going Dark“-Phänomen beschäftigt hatte und auf deren Vorschlägen das Vorgehen der Kommission beruht, ist solche Details schuldig geblieben.

Die bisherigen Schritte der Kommission sind auf vehemente Kritik seitens Grundrechteorganisationen gestoßen, die sich übergangen sehen und mehr Mitsprache fordern. In einem Brief forderten dutzende Nichtregierungsorganisationen im vergangenen Mai, dass die Debatte über Hintertüren nicht unter Ausschluss der Öffentlichkeit stattfinden dürfe. Unter anderem sei die EU-Arbeitsgruppe „undurchsichtig“ gewesen; es müssten nun mehr Stimmen aus Zivilgesellschaft und Wissenschaft gehört werden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Staatliche Stellen haben letztes Jahr fast 27 Millionen Mal abgefragt, wem eine Telefonnummer gehört. Das ist ein neuer Rekordwert. Auch Inhaber von IP-Adressen werden abgefragt, laut Telekom vor allem wegen Urheberrechtsverletzungen.

Wem gehört eine Telefonnummer? Das können 138 staatliche Stellen von 130 Telekommunikations-Unternehmen erfahren, ohne dass die betroffenen Firmen oder Kund:innen davon etwas mitbekommen. Dieses automatisierte Auskunftsverfahren wird von der Bundesnetzagentur betrieben und ist auch als „Behördentelefonbuch“ oder Bestandsdatenauskunft bekannt.

Die Bundesnetzagentur veröffentlicht darüber jährliche Statistiken, neben einem Absatz im aktuellen Jahresbericht auch auf der Webseite:

Mit bis zu 188.627 Ersuchen pro Tag zu Namen oder Rufnummern wurden im Jahr 2024 insgesamt ca. 26,9 Mio. Ersuchen durch die Systeme der Bundesnetzagentur beantwortet.

Wir haben die Zahlen wie jedes Jahr aufbereitet und visualisiert.

26 Millionen Abfragen: Wem gehört diese Telefonnummer?

Deutsche Behörden haben im letzten Jahr 26,55 Millionen Mal gefragt, wer eine Telefonnummer registriert hat. Staatliche Stellen wie Polizei, Geheimdienste und Zoll haben also im Schnitt fast jede Sekunde einen Datensatz mit Name, Anschrift und weiteren Bestandsdaten erhalten. Das ist ein neuer Rekord.

Diese nummernbasierten Ersuchen haben sich innerhalb von sieben Jahren mehr als verdoppelt.

Welche Telefonnummern gehören dieser Person?

Die Auskunft geht auch anders herum: Welche Telefonnummern gehören einer Person? Diese personenbasierten Ersuchen wurden 280.570 Mal gestellt, etwa alle zwei Minuten eine. Diese Abfragen nahmen wieder leicht zu:

Registrierungspflicht für SIM-Karten

In vielen Staaten der Welt kann man Internet per WLAN und Mobilfunk auch ohne Identifizierung nutzen, darunter USA und Kanada, Großbritannien und Niederlande. Das Bundesamt für Sicherheit in der Informationstechnik hat jahrelang die „Verwendung von Prepaid-Karten zur Anonymisierung“ empfohlen.

Seit einem Anti-Terror-Gesetz von 2016 müssen Prepaid-SIM-Karten in Deutschland mit einem amtlichen Ausweisdokument registriert werden. Das sind genau die Daten, die jede Sekunde abgefragt werden. Damals sagte uns das CDU-geführte Innenministerium, dass es „keine allgemeine Pflicht zur nachträglichen Überprüfung bereits erhobener Bestandsdaten“ gibt.

Bundesnetzagentur kontrolliert Daten

Diese Zusage gilt jetzt nicht mehr. Sicherheitsbehörden beklagen, dass manche Daten eine „mangelhafte Datenqualität“ haben, also Anschlüsse auf ein Pseudonym registriert sind. Deshalb hat die Bundesnetzagentur Auslegungshinweise zum Gesetz „erweitert und fortentwickelt“. Auf einem „Compliance Gipfel“ diskutieren Branchenvertreter und berechtigte Stellen „Lösungsansätze zur Verbesserung der Datenqualität“.

Dieses Jahr will die Bundesnetzagentur die „Vorgaben für Identifizierungsverfahren im Prepaid-Mobilfunksektor“ überarbeiten. Das passiert mit der „Novellierung des Telekommunikationsgesetzes im Rahmen des TK-Netzausbau-Beschleunigungs-Gesetzes“. Danach will die Bundesnetzagentur die Kundendatenauskunftsverordnung und die Technische Richtlinie für das Auskunftsverfahren überarbeiten.

Keine Transparenz zu IP-Adressen

Seit 2013 können Behörden neben Telefonnummern auch Internetdaten wie IP-Adressen und E-Mail-Postfächer als Bestandsdaten abfragen. Damit erfahren sie, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt – ebenfalls ohne Richterbeschluss.

Zu diesen Abfragen gibt es leider keine Statistiken, weil die Behörden direkt bei den Internet-Zugangs-Anbietern anfragen. Die Bundesnetzagentur könnte diese Statistiken erheben und veröffentlichen. Doch dazu fehlt der politische Wille – aller Bundesregierungen.

Die Deutsche Telekom veröffentlicht freiwillig einige Zahlen in ihrem Transparenzbericht. Demnach haben Behörden in 53.978 Fällen Bestandsdaten durch manuelle Abfragen erhalten. Dazu kommen 289.893 Abfragen zu Inhabern von IP-Adressen bei mutmaßlichen Urheberrechtsverletzungen im Internet.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ab Ende Februar will der IT-Dienstleister Doctolib die Daten seiner Nutzer:innen für das Training sogenannter Künstlicher Intelligenz einsetzen. Wenn sie einwilligen, sollen auch ihre Gesundheitsdaten dafür genutzt werden. Das geht aus den aktualisierten Datenschutzhinweisen hervor.

Der IT-Dienstleister Doctolib will künftig Daten seiner Nutzer:innen für das Trainieren von KI-Modellen verwenden. So steht es in den aktualisierten Datenschutzhinweisen des Anbieters, die ab dem 22. Februar wirksam werden. Doctolib beruft sich auf sein berechtigtes Interesse bei Daten wie Geschlecht, Geburtmonat und -jahr oder Antworten auf freiwillige Umfragen. Ob auch Gesundheitsdaten verwendet werden, dürfen die Nutzer:innen entscheiden.

Laut einer E-Mail, die an Account-Inhaber:innen verschickt wurde, entwickle Doctolib „fortlaufend neue daten- und KI-gestützte Produkte“. Als Beispiele nennt das Unternehmen „Erinnerungen an erforderliche Rezepterneuerungen und neue Funktionen bei den Patientennachrichten“. Nutzer:innen sollen zeitnah weitere Informationen in ihren Accounts angezeigt bekommen. „Dort haben Sie auch die Möglichkeit, Ihre Einwilligung zu erteilen. Selbstverständlich entscheiden Sie frei, ob Sie uns Ihre Einwilligung geben möchten. Diese können Sie jederzeit in Ihren Einstellungen anpassen.“

In den künftigen Datenschutzhinweisen wird klarer, um welche Art von Gesundheitsdaten es gehen könnte. In einer Liste sind etwa „Suchdaten, Terminhistorie, Dokumente, medizinische Notizen, vom Nutzer auf der Plattform eingegebene medizinische Informationen“ angeführt. Aber auch Informationen, die von den Praxen erhoben und bei Doctolib eingespeist werden, sollen dazuzählen.

Doctolibs KI-Strategie

Doctolib hatte im vergangenen Jahr einen immer größeren Fokus auf KI-Entwicklung gelegt. Im Mai verkündete das Unternehmen die Übernahme von Aaron.ai, einem KI-gestützten Telefonassistenten und bietet seitdem eine automatisierte Anrufentgegennahme als Produkt an. Nur einen Monat später übernahm Doctolib auch Typeless, das auf Spracherkennung im medizinischen Kontext spezialisiert ist. Bis Ende 2024 wollte Doctolib dann eigentlich einen „medizinischen Assistenten“ vorstellen.

Das aus Frankreich stammende Start-up Doctolib gilt als sogenanntes „Unicorn“ und ist die weitverbreiteteste Plattform für Online-Arzttermine in Deutschland. Laut eigener Aussage nutzen hierzulande 20 Millionen Patient:innen den Dienst, zudem bediene es über 100.000 Gesundheitsfachkräfte.

Doctolib war in der Vergangenheit wiederholt in die Kritik geraten. So hatte es laut einer Recherche von mobilsicher.de zeitweise sensible Gesundheitsdaten an Facebook und die Werbeplattform Outbrain übertragen. Auch sammelte es bei der Vermittlung von Arztterminen unnötig viele Daten und nutzte sie für Marketingzwecke.

Ein weiteres Problem kommt durch die Praxen, die Doctolib nutzen: Es gibt immer wieder Beschwerden von Patient:innen über Praxen, die eine Terminbuchung via Doctolib voraussetzen. In diesen Fällen werden diese praktisch von einer Behandlung ausgeschlossen, wenn sie das Portal nicht nutzen wollen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bei der Wahlsoftware gibt es in Deutschland einen relevanten Hersteller: die votegroup GmbH. Ihre Eigentümerstruktur offenbart ein Geflecht aus Kommunen, kommunalen Beteiligungen und regionalen IT-Dienstleistern.

Deutschland wählt analog. Das gilt auch für die Bundestagswahl am 23. Februar. Doch neben Stift, Papier und Briefumschlägen kommt in Deutschland auch Software zum Einsatz. Am Wahltag selbst werden damit etwa sogenannte Schnellmeldungen erstellt, diese bilden die Basis des vorläufigen Ergebnisses für einzelne Wahlkreise, Bundesländer und die Bundesrepublik als Ganzes.

Doch wem gehören diese Softwareprodukte eigentlich? Warum ist der Quellcode nicht öffentlich? Und was hat das alles mit Aachen zu tun?

Qualitätsmängel und Fehler in der Vergangenheit

An den eingesetzten Software-Produkten gibt es immer wieder Kritik. Im September berechnete die Wahlsoftware in Sachsen die Sitzverteilung des vorläufigen Ergebnisses zunächst falsch. Dadurch sah es so aus, als würde die AfD eine Sperrminorität im Landtag bekommen. Das musste später korrigiert werden. Auch wenn die Korrektheit des eigentlichen Wahlergebnisses dadurch nie gefährdet war: Demokratiefeinde nutzten die Panne für Verschwörungserzählungen. Welche Software von welchem Hersteller in Sachsen eingesetzt wurde, hält der Landeswahlleiter aus „Sicherheitsgründen“ geheim.

Sicherheitsforschende innerhalb und außerhalb des CCC fanden zudem immer wieder Sicherheitsmängel. Zuletzt zeigten Linus Neumann und Thorsten Schröder auf dem 38. Chaos Communication Congress, dass auch eine aktuelle Wahlsoftware-Anwendung Qualitätslücken hat. Der zentrale Vorwurf: Die Software signiere die übermittelten Ergebnisse nicht nach gängigen und etablierten BSI-Anforderungen.

Wer stellt die Wahlsoftware her?

Der Hersteller der im Vortrag kritisierten Wahlsoftware, die votegroup GmbH, schreibt dazu auf Anfrage von netzpolitik.org: Die im Vortrag dargestellte Software habe keinerlei Bezüge zur Bundestagswahl. „Dieses Softwaremodul wird ausschließlich in Rheinland-Pfalz zu den Kommunalwahlen verwendet, um die Stimmen einzelner Stimmzettel zu erfassen. Die angesprochene Signierung der Konfiguration, Transportmedien und Ergebnisse können verbessert werden. Auch könnten sicherere (digitale) Transportwege eingerichtet werden.“ Dies scheitere aber oft an dem Nichtvorhandensein einer dafür notwendigen Infrastruktur und sicherer Netzanbindungen.

Die votegroup GmbH ist nicht nur Herstellerin dieser einen Software. Sie ist der Platzhirsch unter den Wahlsoftware-Herstellern in Deutschland. Seinen Sitz hat das Unternehmen in Aachen, entwickelt wird an den Standorten in Berlin und Gütersloh. Die votegroup GmbH ist der Nachfolger der vote iT GmbH. Nach den Angaben von Geschäftsführer Dieter Rehfeld setzen über 90 Prozent der Kommunen Wahlsoftware der votegroup ein, ebenso die Bundeswahlleiterin und sieben Landeswahlleitungen.

Wir haben alle Landeswahlleiter:innen angefragt, welche Software sie verwenden und welche die Kommunen in ihrem Land. Das Ergebnis: Entweder verwenden sie selbst-entwickelte Lösungen – oder Produkte der votegroup. Keine einzige Landeswahlleitung nannte Produkte eines anderen Herstellers. Eine Online-Übersicht der votegroup nennt alleine für die Software „votemanager“ 3.161 Gemeinden, Städte und Verwaltungsgemeinschaften.

Diese marktbeherrschende Stellung hat sich die heutige votegroup in den letzten Jahren durch mehrere Übernahmen erarbeitet. Ihr Mutterkonzern kaufte 2016 den Hersteller von PC-Wahl. 2020 übernahm die votegroup (damals noch vote iT) IVU.elect. Auch die WRS Softwareentwicklung GmbH ist seit Dezember 2019 vollständig im Besitz der votegroup, das zeigen Dokumente aus dem Handelsregister.

Diese Unternehmensgeschichte erklärt auch, warum so viele unterschiedliche Softwareprodukte in Deutschland eingesetzt werden, obwohl sie zum gleichen Hersteller gehören. Auf netzpolitik.org-Anfrage erklärt die votegroup, dass „elect“, „Elect-WAS“, „IVU-elect“, „votemanager“, „Wahlabwicklungssystem (WAS)“ und „Wahlmanager“ eigenständige Produkte sind. Aktuell bestehe das Produktportfolio aus den Softwareprodukten votemanager und elect, schreibt die votegroup.

Wem gehört die votegroup GmbH?

Die votegroup ist vollständig in der Hand kommunaler IT-Dienstleister. 70 Prozent der Anteile hält die regio iT, ein kommunaler IT-Dienstleister für Aachen und die Region. Die Anstalt für Kommunale Datenverarbeitung Bayern (AKDB) hält weitere 20 Prozent der Anteile. Der Rest verteilt sich auf unterschiedliche kommunale IT-Dienstleister sowie den Wahlsoftware-Anwender-Verein.

Die kommunalen IT-Dienstleister wiederum sind mehr oder weniger direkt in der Hand der Kommunen. So ist das auch im Gesellschaftsvertrag der votegroup vorgesehen.

Dabei ist die Beteiligung der Kommunen durchaus unterschiedlich ausgeprägt. An der Regio iT ist beispielsweise die Stadt Aachen stark beteiligt, mit mindestens 47 Prozent. 10 Prozent der Anteile hält sie direkt, den Rest über die Energieversorgungs- und Verkehrsgesellschaft, welcher der Stadt zu 99,99 Prozent gehört.

Die AKDB wiederum wird getragen von den vier kommunalen Spitzenverbänden in Bayern, also den Interessenvertretungen der Kommunen.

Sind dann die Kunden nicht auch gleichzeitig die Eigentümer?

Dass die Kunden mittelbar auch gleichzeitig die Eigentümer der votegroup sind, ist auch im Gesellschaftervertrag geregelt. In diesem heißt es in §3: „Abnehmer der Leistungen können ausschließlich Gesellschafter bzw. die Mitglieder von Gesellschaftern sein. [..]“

Zum Teil kaufen die Kommunen die Software selbst, zum Teil kaufen zuerst die IT-Dienstleister die Software – um sie dann an Kommunen weiterzuverkaufen. Die AKDB beispielsweise bezeichnet sich als „Vertriebspartner“ der votegroup für Bayern. Sie sieht in dieser Doppelrolle keinen Interessenskonflikt. Es ermögliche der AKDB „vielmehr im Sinne ihrer Rolle für die bayerischen Kommunen auch deren Anforderungen an das Wahlprodukt mit in den Entwicklungsprozess einfließen lassen zu können.“

Auch die votegroup sieht in dieser Doppelrolle ihrer Gesellschafter/Kunden keinen Widerspruch: „Im Rahmen der interkommunalen Zusammenarbeit haben sich Kommunen und kommunale Unternehmen zusammengeschlossen, um Wahlsoftware in öffentlicher Hand sicher zu entwickeln und zu betreiben.“

Die Konstruktion mit den IT-Dienstleistern hat für die Kommunen weitere Vorteile: Laut dem Wissenschaftlichen Institut für Infrastruktur und Kommunikationsdienste können die IT-Dienstleister in der Regel „Inhouse-Geschäfte“ mit den Kommunen, die Träger, Mitglieder oder Gesellschafter der Unternehmen sind, abschließen. „Das bedeutet, dass die Kommunen Aufträge an sie direkt vergeben können. Die Aufträge sind mehrwertsteuerfrei und verursachen einen geringeren organisatorischen Aufwand, da keine Vergabeverfahren durchgeführt werden muss.“ Das betrifft nicht nur Wahlsoftware, sondern alle möglichen Arten von Software.

Trotz der Tatsache, dass die (End-)Kunden zumindest zum Teil gleichzeitig die Eigentümer sind, ist das Geschäft der votegroup profitabel. Laut ihren Jahresabschlussberichten erzielte die votegroup GmbH (damals noch unter dem Namen „vote iT“) in den Jahren 2021 und 2022 zusammengerechnet einen Gewinn von etwa 2 Millionen Euro.

Was passiert mit dem Gewinn?

Die votegroup schreibt dazu auf Anfrage: „Die votegroup GmbH muss für die sichere Weiterentwicklung der Software, für die wirtschaftliche Stabilität der Gesellschaft und für das Investment (Zinsen und Tilgung) ihrer Gesellschafter eine auskömmliche Rendite erwirtschaften.“

Wie die votegroup auf Anfrage bestätigt, floss der Gewinn in der Vergangenheit an die Gesellschafter zurück. In wie vielen Jahren das geschah und um welche Summen es insgesamt geht, ist unklar. Allerdings bleibt das Geld nicht nur bei den IT-Dienstleistern, also vor allem der regio iT und der AKDB. Die regio iT schüttet Ihren Gewinn zum Teil auch an ihre Gesellschafter aus.

So steht im Haushaltsplan der Stadt Aachen (2024, S. 3666), dass die Stadt „für Ihren direkten Anteil für das Geschäftsjahr 2022“ eine Nettogewinnausschüttung von 713.000 Euro erhielt. Im Vergleich zur Gesamtgröße des Haushaltsplans ist das ein sehr geringer Posten. Der Haushalt der Stadt Aachen umfasst zwischen 1,2 und 1,3 Milliarden Euro. Auf eine Anfrage von netzpolitik.org reagierte die Stadt Aachen nicht.

Die AKDB wiederum teilt mit, dass sie „als sogenannte ‚Selbsthilfeeinrichtung der Kommunen‘ und als Anstalt des öffentlichen Rechts“ nicht gewinnorientiert arbeite. „Alle Erlöse bleiben im Unternehmen und dienen nicht nur zur Deckung des laufenden Aufwands, sondern insbesondere auch der Neu- und Weiterentwicklung unserer Lösungsangebote.“

Unabhängig der konkreten Gewinnsummen bleibt die Frage: Wie sinnvoll ist die aktuelle Struktur, bei der eine Gesellschaft mit großem Aachener Anteil fast alle Kommunen in Deutschland mit Wahlsoftware beliefert?

Public Money – Secret Code?

So ist fraglich, warum die von der Öffentlichkeit bezahlte und im Besitz staatlicher Unternehmen befindliche Software nicht auch der Öffentlichkeit zur Verfügung steht – getreu dem Grundsatz: „Public Money – Public Code“. Jutta Horstmann, Geschäftsführerin des Zentrums für Digitale Souveränität in der öffentlichen Verwaltung (ZenDis), erklärt auf Anfrage, es gehe um mehr „Public Money – Public Code“. „Bei allen kritischen Systemen muss der Staat höchste Anforderungen an Digitale Souveränität und Transparenz anlegen.“

Im Fall von Wahlsoftware komme verschärfend hinzu, dass eine Wahl nicht einfach ein administrativer Prozess ist, sondern „konstituierend für die Demokratie“. Bürger:innen müssen den Wahlen und den Wahlergebnissen vertrauen. „Das geht nur, wenn der Code der verwendeten Software quelloffen und damit transparent ist“, bekräftigt Horstmann.

Mehrere Landeswahlleiter:innen verweisen darauf, dass das amtliche Endergebnis nicht von Software, sondern den gedruckten Stimmzetteln abhängt. „Alle Wahlunterlagen können und werden im Falle ihrer Entscheidungserheblichkeit bei Anfechtungs- und Wahlprüfungsverfahren auch zur Überprüfung herangezogen“, sagt etwa die Landeswahlleiterin des Saarlands.

Gegen die Veröffentlichung von Wahlsoftware führen Teile der Verwaltung Sicherheitsbedenken an. „Eine Veröffentlichung des Quellcode erfolgt insbesondere nicht, um die Sicherheit des Verfahrens zu gewährleisten“, schreibt etwa die Landeswahlleitung aus Rheinland-Pfalz, die gemeinsam mit Hessen eine Eigenentwicklung nutzt. Der CCC und andere argumentieren hingegen: Sicherheit durch Geheimhaltung funktioniere nicht, stattdessen würden Schwachstellen durch eine Offenlegung schneller bekannt – und die Software somit sicherer.

Wer steht in der Verantwortung?

Aus Sicht der Geschäftsführerin von ZenDis zeigt sich in der Debatte um Wahlsoftware auch ein generelles Problem: „Wir brauchen endlich einen Vorrang für Open-Source-Software im Vergaberecht. Verbunden mit dem klaren Ziel, die Beschaffung bis 2035 vollständig auf Open-Source-Software umzustellen und bis dahin einen schrittweise steigenden Open-Source-Mindestanteil bei Beschaffungsvorgängen und in Rahmenverträgen verpflichtend zu machen“, sagt Horstmann.

Auch viele Wahlleiter:innen aus Bund und Ländern verweisen auf eine fehlende Rechtsgrundlage und sehen keine Notwendigkeit einer Veröffentlichung.

Zudem schreibt uns die Landeswahlleiterin des Saarlands: „Eine Veröffentlichung des Quellcodes einer (Wahl)Software bedürfte der Einwilligung des jeweiligen Softwareherstellers.“ Die votegroup wiederum spielt den Ball zu den Kunden zurück: „Die Software kann nur in Abstimmung mit den jeweiligen Kunden veröffentlicht werden.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Western Digital hat auf der NAB 2024 einige neue und spannende Technologien sowie Storage-Lösungen angekündigt. Ziemlich beeindruckend finde ich die Ankündigungen von microSD-Karten mit 2 TByte Speicher und SD-Karten mit 4 TByte Platz. Ein Raspberry Pi 5 mit so viel Speicherplatz ist fast schon ein vollwertiger Computer. Wobei man hier anmerken muss, dass es microSD-Karten mit 1,5 TByte bereits gibt und das ebenfalls ordentlich viel Platz ist. Genügend Platz kann man allerdings nie haben und daher ist die Ankündigung von […]

Der Beitrag SD-Karten mit 4 TByte Speicher angekündigt ist von bitblokes.de.

Digitalisierungslösungen im Gesundheitsbereich sind entscheidende Technologien für eine moderne Gesundheitsversorgung. Sie unterstützen Forschende, Krankheiten besser und schneller zu verstehen und zu behandeln. Gleichzeitig werden im Gesundheitsbereich die sensibelsten personenbezogenen Daten verarbeitet.

Die heutige Degitalisierung möchte ich einleiten mit den Worten der aktuellen Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI), Louisa Specht-Riemenschneider. Aus ihrer Vorstellung in der Bundespressekonferenz ist bei mir vor allem der Gedanke der Gleichzeitigkeit hängen geblieben, der uns in der durchaus turbulenten Zeit für die Digitalisierung des Gesundheitswesens helfen kann.

Nach dem Talk zur elektronischen Patientenakte auf dem 38C3, dem letzten Chaos Communication Congress, wurden meinem „Partner in Crime“ Martin Tschirsich und mir durchaus viele Fragen gestellt, speziell zur Informationssicherheit des Konstrukts der sogenannten ePA für alle. Es gibt gerade viel Berichterstattung, das Narrativ der sicheren Patientenakte wird zumindest stark infrage gestellt.

Nicht selten folgt darauf immer wieder die Frage: Wenn jetzt beispielsweise die gematik gewisse Maßnahmen umsetzt, sind wir dann sicher? Ich glaube nicht, dass sich diese Frage mit Ja oder Nein beantworten lässt. Die Frage nach Informationssicherheit lässt sich aber auch nicht mit einem „hundertprozentige Sicherheit gibt es eh nicht“ wegwischen. Das ist oftmals eine faule Ausrede, technischen, organisatorischen und tiefergehenden strukturellen Murks durchgehen zu lassen, was uns am Ende nur allen gemeinsam schadet.

Weil es so scheint, dass Informationssicherheit in diesen Tagen, speziell im Kontext des digitalen Gesundheitswesens in Deutschland, immer noch in den Kinderschuhen steckt, muss ich dazu heute wieder auf diesen Aspekt der Gleichzeitigkeit hinweisen. Bisher scheinen wir nicht wirklich von einer Gleichzeitigkeit von erwünschten Vorteilen und damit unweigerlich verbundenen Nachteilen auszugehen, das aber nicht nur im digitalen Gesundheitswesen.

16.000 bis 58.000

In den letzten Tagen wird Gesundheitsminister Karl Lauterbach nicht müde zu erwähnen, dass wir jetzt die Digitalisierung des Gesundheitswesens brauchen. Weil dadurch zum Beispiel zehntausende Todesfälle wegen Medikamentenunverträglichkeiten vermieden werden könnten. Anfang Januar sprach er von Zehntausenden vermeidbaren Todesfällen in den Tagesthemen und wird nicht müde, dies immer wieder zu wiederholen.

Eine mögliche Vermeidung von Todesfällen durch Medikamentenunverträglichkeit, sei es durch Doppelverschreibungen oder Verschreibung von Medikamenten mit Wechselwirkungen, ist nicht unrealistisch, wenn es gut läuft. Das kann daher als großer Nutzen der Funktion der elektronischen Medikationsliste der ePA gesehen werden.

Aber: Bereits die konkrete Zahl, wie viele Todesfälle durch Medikamentenunverträglichkeit genau jährlich in Deutschland auftreten und damit anteilig vermieden werden könnten, ist nicht genau belegbar. Laut Auswertungen der Wissenschaftlichen Dienste des Bundestages von 2020 liegt die Zahl der Todesfälle durch Medikamentenunverträglichkeit zwischen 16.000 und 58.000, die Wissenschaftlichen Dienste attestierten auch, dass genaue Daten diesbezüglich nicht existieren.

Es gibt hier also ein digitales Präventionsparadox: Die Größe des zu lösenden Problems, das durch Digitalisierung reduziert werden soll, kann mangels Digitalisierung nicht genau bestimmt werden. Gleichzeitig können wir wohl aber alle darin übereinstimmen, dass es sinnvoll ist, Digitalisierung dazu sinnstiftend nutzen zu wollen, um die Zahl von Todesfällen durch Medikamentenunverträglichkeit mittels Digitalisierung senken zu wollen.

70.000.000

Kurz vor Einführung der ePA für alle zeigt das Dashboard der gematik die ziemlich genaue Zahl von bisher 1.907.784 ePAs in der bisher laufenden Form der ePA als Opt-in. Eine Form der ePA, die sich also immerhin etwa 1,9 Millionen Menschen aktiv beschafft haben.

Die genaue Anzahl der möglicherweise bald entstehenden ePa für alle ist nicht ganz so einfach zu bestimmen. Aber irgendwie brauchen Menschen im Bereich von Sicherheitslücken ja immer eine Orientierung, wie groß ein digitales Problem überhaupt ist. Wie groß die Gleichzeitigkeit des Problems also ist, denn das ist das besondere bei digitalen Sicherheitslücken: Es sind oftmals die Daten vieler Menschen gleichzeitig betroffen.

Für unseren Talk haben wir versucht, in etwa zu schätzen, wie viele Menschen wohl zum Start der ePA für alle, der Opt-out-ePA, aktiv zum Start widersprechen würden. Also mal angenommen, wir hätten jetzt nicht ein paar größere bis massive Mängel vorher transparent gemacht.

Aus den Kreisen der Krankenkassen wurde Ende Oktober eine eher niedrige Widerspruchsrate von wenigen Prozent vermeldet. Das Bundesgesundheitsministerium vermeldet Stand Februar 2024 etwa 74,3 Millionen Versicherte. Mit ein paar Prozent weniger sind wir dann bei gerundet 70 Millionen ePAs für alle, die ein mögliches Ziel darstellen. Gleichzeitig können wir also wohl darin übereinstimmen, dass der Missbrauch von Gesundheitsdaten bereits durch technische Maßnahmen bestmöglich verhindert werden muss. Nicht nur für „große“ Hackerangriffe auf Millionen auf einmal, wie Lauterbach immerhin inzwischen selbst postuliert, sondern auch für jeden kleinen Angriff auf einzelne Akten.

Es wäre zu vermuten, dass ein technisches Risiko für 70 Millionen Menschen gleichzeitig relativ schnell beseitigt werden würde, wenn es bekannt würde. Nun, massive Sicherheitsmängel im Versichertenstammdatendienst (VSDM), die wir im August an die gematik gemeldet haben, wurden erst dann begonnen zu beheben, als wir mehr Fakten für einen möglichen erfolgreichen Angriff geschaffen haben. Denn erst mit dem praktischen Nachweis wird hektisch gehandelt, um es mit den Worten von Martin in der taz zu sagen. Anders leider nicht. Es ist auch egal, wenn gerade in diesem Moment der Fachdienst zum E-Rezept von der Lücke in VSDM ebenfalls betroffen ist, was jüngst von Seiten der BfDI bestätigt wurde.

In einer Studie zum Opt-out einer elektronischen Patientenakte der Bertelsmann-Stiftung von 2023 wird in Aussagen von Experteninterviews darauf hingewiesen, dass „polarisierende Berichterstattung über angebliche Datenlecks (CCC) kontraproduktiv“ sei. Mit Verlaub, alle anderen Möglichkeiten, um massive Sicherheitslücken zu schließen, waren nicht produktiv. Lediglich die Veröffentlichung und deutliche Illustration der Sicherheitsprobleme mit konkreten Zahlen zum Schaden und Aufwand hat zu einem Handeln geführt.

Eine Sicherheitskultur, die solche Probleme stillschweigend im Hintergrund gelöst hätte, ganz ohne medialen Aufschrei, war leider nicht vorhanden – wieder einmal. Gleichzeitig können wir polarisierende Berichterstattung kontraproduktiv finden, aber auch anerkennen, dass sich ohne eben diese Polarisierung nichts Produktives an der Sicherheit der ePA für alle getan hätte.

Von der gleichzeitigen Gefahr der Anklage nach Hackerparagrafen wollen wir mal gar nicht reden. Diese Gefahr für Hacker*innen, die sich klar ethisch verhalten, steht nach wie vor im Raum, Gesetzentwürfe zur Verbesserung dieser Situation hängen weiter fest.

35 Prozent

Die ePA für alle wurde ganz bewusst als eher sehr zentrale Architektur geplant. Aktensysteme, die auf Servern von Krankenkassen Gesundheitsdaten von Millionen Versicherten zentral speichern, gleichzeitig. Ein Forschungsdatenzentrum Gesundheit, in dem die Daten aller 70 Millionen Versicherten zentral pseudonym abgespeichert werden sollen, um dort gleichzeitig beforscht werden zu können. Pseudonym heißt, dass an den Daten nicht mehr der Klarname hängen wird, die individuellen Datenwerte und ihre möglichen Verkettungen aber erhalten bleiben. Wegen der Einzigartigkeit der eigenen individuellen medizinischen Daten ist ein Risiko einer Reidentifikation technisch gesehen sehr hoch – diese Reidentifikation ist zumindest nach Gesundheitsdatennutzungsgesetz strafbewehrt.

Aber sehr wichtig seien ja die Chancen: Es werde sehr wichtig sein, dass „mit Künstlicher Intelligenz dieser Datensatz nutzbar“ werde, so Karl Lauterbach auf der Digital Health Conference im November letzten Jahres. Gleichzeitig können wir wohl darin übereinstimmen, dass der aktuelle Status Quo der Sicherheitskultur im deutschen digitalen Gesundheitswesen ein Konzept eines zentralen Forschungsdatenzentrums mit pseudonymen Daten der ganzen Bevölkerung zu einem Alptraum macht.

Am Ende fehlt aber vielleicht das Bewusstsein, inwieweit wir, wenn wir Digitalisierung im Gesundheitswesen wollen, auch selbst einen Anteil leisten müssen. Inwiefern wir möglicherweise selbst einer von vielen Einfallsvektoren in einem großen vernetzten digitalen Gesundheitswesen sind. Wir betonen nach dem Vortrag zur ePA auf dem Congress immer wieder, dass wir von Mediziner*innen nicht erwarten können, dass sie eine Praxis mit topsicherer IT selbst ausstatten können. Allerdings ist es wichtig, sich die eigene verbleibende Rolle in einem vernetzten Gesundheitssystem bewusst zu machen.

Anfang Oktober 2023 wurden am Universitätsklinikum Frankfurt am Main Vorbereitungen für einen möglichen Hacker-Angriff entdeckt. Das ist eigentlich gut. Denn nach Auswertungen von Semperis im letzten Jahr sind 35 Prozent aller Gesundheitseinrichtungen mehreren stattfindenden Ransomware-Attacken gleichzeitig ausgesetzt – und merken das gleichzeitig selten selbst.

Leider folgte auf den erfolgreich vermiedenen Angriff an der Uniklinik Frankfurt aber eine Verklärung der eigenen Bedeutung für die IT-Sicherheit im digitalen Gesundheitswesen. „Wenn wir in einer idealen Welt leben würden, dann hätten wir eine elektronische Patientenakte, und es gäbe keine dezentralen Patientendaten, so wie wir es haben. Dann wären 1.900 Krankenhäuser ein weniger attraktives Ziel für Hacker“, sagte der ärztliche Direktor Jürgen Graf der FAZ (€).

Vorbedingung für den unberechtigten Zugriff auf die 70 Millionen ePAs für alle etwa ist der Zugang über eine Leistungserbringerinstitution, etwa ein ahnungsloses Krankenhaus. Ganz egal, wie sich die die Datenhaltung in einer ePA zukünftig gestalten wird, können wir nicht beides haben: Immer schön Zugriff auf Daten aller Versicherten, aber keine Verantwortung für die eigenen Zugangsmöglichkeiten dazu übernehmen. Gleichzeitig können wir also anerkennen, dass wir alle eine gemeinsame Verantwortung für die Digitalisierung im Gesundheitswesen und ihre Sicherheit tragen. Gleichzeitig können wir aber auch anerkennen, dass ein Sicherheitskonzept eines digitalen Gesundheitswesens auch mit immer wieder kompromittierten Praxen oder Krankenhäusern umgehen können werden muss.

Diese Verantwortung für unser aller Sicherheit ist durch die ePA für alle an einigen Stellen größer geworden. Manche haben das vielleicht noch nicht realisiert. Es bleibt viel zu tun. Manchmal alles gleichzeitig.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die elektronische Patientenakte kommt – und die Verunsicherung ist groß. Wie kann ich der Einrichtung einer ePA widersprechen? Und erfahre ich dadurch Nachteile? Wir beantworten die wichtigsten Fragen zum Widerspruch.

Am 15. Januar 2025 legen die gesetzlichen Krankenversicherungen für all ihre Versicherten automatisch eine elektronische Patientenakte (ePA) an. Wer das nicht möchte, muss aktiv widersprechen. In der digitalen Akte sollen langfristig die Gesundheitsinformationen aller rund 74 Millionen gesetzlich Versicherten jeweils zusammenfließen.

Aus Sicht vieler Datenschützer:innen und Bürgerrechtler:innen orientiert sich die ePA weder am Gemeinwohl noch an den Interessen der Patient:innen. Und auf dem 38. Chaos Communication Congress haben Sicherheitsforschende kürzlich aufgezeigt, dass die ePA noch eklatante Sicherheitsmängel aufweist.

Die Verunsicherung ist groß: Wie sicher ist die ePA? Was passiert, wenn ich ihr widerspreche? Erfahre ich dann Nachteile bei der medizinischen Behandlung? Und kann ich mich später noch umentscheiden?

Ob eine Person eine ePA haben möchte oder nicht, ist eine Entscheidung, die viele Faktoren beinhalten kann. Für alle, die sich für eine Ablehnung entschieden haben, beantworten wir im Folgenden die wichtigsten Fragen zum Widerspruch.

Wie kann ich widersprechen?

Wer sich für einen Widerspruch entscheidet, legt diesen am besten vor dem Start der Pilotphase am 15. Januar 2025 ein. So können Versicherte ausschließen, dass es bereits während der Testphase zu einem Sicherheitsvorfall mit den eigenen Daten kommt. Ihren Widerspruch müssen Versicherte nicht begründen.

Der Widerspruch muss gegenüber der eigenen Krankenkasse erfolgen:

• vor Ort in der Filiale der Versicherung,
• über die Ombudsstelle oder -personen der Krankenkasse,
• per Post oder
• auf digitalem Wege, etwa über die Krankenkassen-Apps oder mittels eines Widerspruchsformulars auf der Webseite der Krankenkasse.

Auf heise.de finden Versicherte eine Liste mit den Widerspruchsmöglichkeiten vieler Krankenkassen.

Die Krankenkassen sind dazu verpflichtet, den Widerspruch auf einfachem Weg zu ermöglichen. Grundsätzlich sollte der Widerspruch auch telefonisch möglich sein. Tatsächlich unterscheiden sich die konkreten Formalien abhängig von der jeweiligen Versicherung.

Wie muss der Widerspruch aussehen?

In der Regel sollte es ausreichen, wenn Versicherte ihren vollständigen Namen, ihre Versichertennummer und eine klare Formulierung des Widerspruchs angeben.

Für einen schriftlichen Widerspruch genügt ein formloser Text. Der Patientenrechte und Datenschutz e.V. hat im Auftrag des „Opt-Out Bündnisses“ einen Widerspruchsgenerator erstellt. Damit können Versicherte einen personalisierten Widerspruch erstellen. Wer den Widerspruch per Briefpost oder gar Fax einlegen möchte, findet auf der gleichen Website auch entsprechende Textvorlagen.

Wer das 15. Lebensjahr noch nicht vollendet hat, benötigt für den Widerspruch die Unterschrift einer erziehungsberechtigten Person.

Bis wann kann ich der ePA widersprechen?

Es gibt keine Frist, bis wann Versicherte der ePA widersprechen müssen. Ein Widerspruch ist jederzeit möglich – sowohl vor als auch nach dem bundesweiten Start der ePA für alle.

Ein Widerspruch ist auch dann noch möglich, wenn die ePA bereits angelegt ist. Zudem können Versicherte jederzeit einen Widerspruch wieder aufheben.

Welche Folgen hat ein Widerspruch, wenn ich schon eine ePA für alle habe?

Eine bereits angelegte Akte wird nach Eingang des Widerspruchs gelöscht. Allerdings können Versicherte jederzeit eine neue ePA anlegen, die dann wieder befüllt wird.

Habe ich durch den Widerspruch einen Nachteil?

Wer sich gegen die ePA für alle entscheidet, darf laut Gesetz dadurch grundsätzlich keine Nachteile in der Qualität der medizinischen Versorgung erfahren.

Die Krankenversicherungen weisen zwar darauf hin, dass Informationen über frühere Behandlungen, Diagnosen oder mögliche Allergien ohne eine persönliche ePA nicht so schnell verfügbar sein könnten. Gerade zu Anfang ist die ePA aber nur begrenzt einsatzfähig, daher sind dies nicht die gravierenden Nachteile der ePA für alle.

Kann ich mich später umentscheiden?

Wer sich jetzt gegen die ePA für alle entscheidet, kann sie auch später noch jederzeit beantragen.

Bei der Anlage ist eine elektronische Patientenakte zunächst immer leer. Eine neue ePA müssen Versicherte, Ärzt:innen und Krankenversicherungen nach und nach befüllen.

Wird eine ePA später erneut eingerichtet, werden medizinische Dokumente aus der Vergangenheit nicht automatisch übertragen.

Können Kinder und Jugendliche der ePA-Einrichtung auch widersprechen?

Auch Kinder und Jugendliche erhalten automatisch die ePA für alle, unabhängig von ihrem Alter. Sind die Kinder jünger als 15 Jahre, widersprechen die Eltern bei der Krankenkasse, dass sie eine elektronische Patientenakte erhalten. Ist die versicherte Person zwischen 15 und 17 Jahre alt, kann sie nach Rücksprache mit ihren Eltern selbst darüber entscheiden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Lange Wartezeiten und hohe Gebühren durch private Dienstleister stellen seit Jahren Hindernisse bei der Visumsvergabe für Deutschland dar. Das Auslandsportal des Auswärtigen Amtes soll eigentlich die Situation durch Digitalisierung verbessern, löst aber die Kernprobleme nicht.

Es gibt Schengen-Visa für kurze Aufenthalte in Deutschland, Studien- und Arbeitsvisa oder Visa für Angehörige von in Deutschland lebenden Familienmitgliedern. Wer aus einem Land nach Deutschland kommen will, mit dem es keine Vereinbarung für visumfreies Reisen gibt, braucht zur Einreise auf jeden Fall eine passende Erlaubnis für seinen Aufenthalt.

Die damit verbundenen Anträge machen Arbeit für die Botschaften und Auslandsvertretungen, Deutschland hat daher in den vergangenen Jahren in immer mehr Ländern die Antragsentgegennahme an private Dienstleister outgesourct. Begonnen hatte diese Entwicklung mit einer Weisung des damaligen FDP-Außenministers Guido Westerwelle im Jahr 2012. In den vergangenen Jahren arbeitete das Außenministerium außerdem daran, die Antragstellung für nationale Visa zu digitalisieren. Am 1. Januar verkündete Ministerin Annalena Baerbock einen Erfolg: Alle 167 Visastellen weltweit seien an das sogenannte Auslandsportal angeschlossen. Doch Probleme aus der Vergangenheit wird das absehbar nicht lösen.

Warten, warten, warten

Bei der Beantragung an den deutschen Botschaften und Auslandsvertretungen gab es immer wieder Berichte über Missstände: Menschen müssen monatelang auf Termine warten, um ihren Antrag überhaupt stellen zu können. Auf der Seite der deutschen Botschaft in Algerien ist derzeit die Wartezeit für einen Termin zur Visumsbeantragung für Studium oder Sprachkurs mit „mehr als 12 Monate“ angegeben. An manchen Orten machen Betrüger ein Geschäft aus einer derart schwierigen Terminsuche und versprechen Antragstellenden für hohe Preise einen reservierten Zeitslot.

Ist der Termin gemacht, folgt die Bearbeitung der Anträge. Die darf nicht ausgelagert werden. Deutsche Unternehmen schickten im September eine Beschwerde an Außenministerin Annalena Baerbock, weil die Bearbeitungsdauer etwa im Gebiet von Shanghai drei Monate betrage und sie so chinesische Mitarbeitende nicht zügig nach Deutschland holen können.

Ein weiteres Problem gibt es bei den Kosten für die Antragstellenden: Für ein Schengenvisum etwa fällt eine Gebühr von 90 Euro an, das ist im Visakodex der EU geregelt. Bei diesen offiziell festgelegten Beträgen bleibt es jedoch nicht immer. Die privaten Dienstleister erheben vielerorts zusätzliche Kosten und versuchen, teure Extra-Leistungen zu verkaufen: So erhob ein Dienstleister im Kosovo Gebühren für einen verpflichtenden Rückversand von Pässen, bis diese Praxis von einem Gericht für illegal erklärt wurde.

Weiterhin zulässig sind offenbar „Prime-Time-Termine“ außerhalb der regulären Öffnungszeiten. In Serbien kostet diese Vorzugsbehandlung beispielsweise umgerechnet 130 Euro extra. Für weitere 15 Euro darf man sich an einem Extra-Schalter ohne Wartezeit melden. Erinnerungen an die Upselling-Praxis von Fluglinien werden dabei wach.

Privatisierung ist ein Trend

Die Privatisierung der Visaverfahren ist ein weltweiter Trend. Im Jahr 2017 hatte das deutsche Außenministerium in 18 Ländern Dienstleister mit der Antragsentgegennahme beauftragt. Laut einer aktuellen Antwort auf eine Kleine Anfrage der Linken im Bundestag sind es mittlerweile 56 Länder, bald sollen noch Kamerun, Nigeria und Zypern dazukommen.

Den Markt teilt eine überschaubare Anzahl von Anbietern unter sich auf. Deutschland etwa arbeitet mit vier Dienstleistern zusammen: den Unternehmen VisaMetric, VF Worldwide Holdings, TLS Group und BLS International Services. Zumindest in ihren Dienstleistungen für Deutschland lässt sich eine geografische Aufteilung erkennnen. So deckt TLS vor allem Länder auf dem afrikanischen Kontinent ab, während etwa VF besonders in Südostasien präsent ist.

Die Dienstleister vergeben Termine, prüfen die Vollständigkeit der Anträge und nehmen sie entgegen. Außerdem erfassen sie biometrische Daten. „Die Visumbearbeitung erfolgt weiterhin in der Visastelle“, schreibt die Bundesregierung. Hoheitliche Aufgaben würden die Dienstleister nicht übernehmen, das dürfen sie auch nicht. Sie sind demnach auch nicht an den Entscheidungen über die Anträge beteiligt.

Die Kritik am Outsourcing der Antragsprozesse ist so alt wie das Outsourcing selbst. „Mit der Auslagerung entledigt sich der Staat komplett der Kontrolle über einen Bereich, der für Bestechungen zutiefst anfällig ist“, sagte der Grünen-Abgeordnete Omid Nouripour im Jahr 2017 der taz.

Bedenken zu Datenschutz und Korruption

Außerdem gab es immer wieder Bedenken bezüglich des Datenschutzes, da durch die Antragstellung viele sensible Daten bei den Privatunternehmen anfallen. Die Bundesregierung schreibt, alle Daten würden „beim Dienstleister nach Rückgabe der Reisepässe an die Antragstellenden unverzüglich gelöscht“. Die Einhaltung der Vorschriften werde regelmäßig kontrolliert. Drei Mal im Jahr gebe es unangekündigte Vor-Ort-Besuche, außerdem werde per Video aufgezeichnet, wie biometrische Daten in den Visazentren erfasst werden. „Die Videoaufzeichnungen werden den Auslandsvertretungen zusammen mit den Antragsunterlagen weitergeleitet und stichprobenartig überprüft.“

Fragestellerin Clara Bünger kommentiert gegenüber netzpolitik.org zu der aktuellen Antwort der Bundesregierung: „Es ist ein Unding, dass private Dienstleister weltweit mit der Entgegennahme von Visaanträgen Profite machen.“ Das belaste besonders Personen mit geringen finanziellen Mitteln, so Bünger. „Auf ihrem Rücken bereichern sich Unternehmen wie VFS oder Visametric. Hinzu kommen Risiken beim Datenschutz, Korruptionsgefahr und andere Regelverstöße durch die privaten Dienstleister.“

Bünger fordert: „Die Visabearbeitung ist eine staatliche Aufgabe und gehört in die öffentliche Hand. Das Outsourcing in diesem Bereich muss rückgängig gemacht werden.“

Ein PDF-Generator als Leuchtturmprojekt

Könnte das als Leuchtturmprojekt auserkorene Auslandsportal die privaten Dienstleister vielleicht überflüssig und damit die Probleme obsolet machen? Wohl kaum. Denn das Auslandsportal ermöglicht vor allem, ein Online-Formular auszufüllen, das eine PDF-Datei erzeugt. Mit dieser Datei und entsprechenden Ausweispapieren sowie eventuell weiteren Unterlagen müssen die Visumssuchenden weiterhin vor Ort bei einer Visastelle vorsprechen. Außerdem, so schreibt das Auswärtige Amt auf unsere Presseanfrage: „Das Aufenthaltsgesetz sieht zur Feststellung und Sicherung der Identität die Erfassung von Biometriedaten vor. Dies kann nur bei persönlicher Vorsprache in einem vor Ort Termin erfolgen.“

Die Online-Antragstellung über das 13,6 Millionen teure „Portal“ ermöglicht vor allem zu prüfen, ob Angaben vollständig sind. Digitalisiert ist der Prozess damit bei weitem nicht, auch die Probleme bei der Terminvergabe kann er nicht beheben.

Doch auch der weltweite Anschluss der Visastellen an das System bedeutet offenkundig nicht, dass die Ausfüll-Funktion überall genutzt werden kann, wie stichprobenartige Tests zeigen. Bei einigen der 167 Visastellen ist die Online-Antragstellung noch nicht möglich. Wer etwa ein Ausbildungsvisum in Algerien auswählt, bekommt im Auslandsportal den Hinweis: „Online-Antrag derzeit nicht verfügbar.“ Woran liegt das?

Zum Teil sind noch nicht alle Kategorien von Visumsanträgen möglich, gestartet wird mit denen für Erwerbstätige. Das Auswärtige Amt schreibt dazu: „Die nationalen Visumanträge in den anderen Kategorien sind ebenso vollständig digitalisiert und werden derzeit z. B. von Amman, Sao Paulo oder Kanton (Familienzusammenführung) oder Manila, Belgrad und Sao Paulo (Studien- und Auszubildendenvisa) pilotiert“.

Andernorts hätten sich Visastellen dazu entschieden, zunächst die bestehenden Wartelisten abzubauen, bevor sie das Online-Verfahren freischalten. Laut einem Bericht von Business Insider gebe es hinter den Kulissen aber noch andere Probleme: Bei Antragstellenden mit eher geringen digitalen Kompetenzen käme es zu Mehrarbeit für die Visastellen. Manche von diesen würden das System deswegen als Ganzes in Frage stellen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.