Die elektronische Patientenakte sei sicher, versichert die Bundesregierung. Doch ihre Antworten auf eine Kleine Anfrage lassen die Zweifel an diesem Versprechen wachsen. Versicherte sollen der ePA offenbar blind vertrauen – selbst wenn ihre Gesundheitsdaten bei US-Behörden landen könnten.

Die meisten von uns besitzen einen Haustürschlüssel. Und die meisten von uns wissen, wer sonst noch Zugang zu unserer Wohnung hat. Bei den Gesundheitsdaten, die in der elektronischen Patientenakte hinterlegt sind, ist das offenkundig nicht so klar. Das zeigen die Antworten der Bundesregierung auf eine Kleine Anfrage der Bundestagsfraktion „Die Linke“.

Die Abgeordneten haben die Regierung unter anderem gefragt, welche Vorkehrungen verhindern sollen, dass etwa die US-Regierung an sensible Gesundheitsdaten von deutschen Versicherten gelangt. Die Antworten der Bundesregierung sind mitunter missverständlich, in Teilen unvollständig und fehlerhaft.

Nachfragen bei dem zuständigen Gesundheitsministerium, verschiedenen Krankenkassen und der Gematik haben nur wenig Licht ins Dunkel gebracht. Offenkundig sollen die Versicherten weitgehend bedingungslos darauf vertrauen, dass ihre sensiblen Daten in der ePA sicher sind.

Krankenkassen verweigern Auskunft

Anlass der Kleinen Anfrage war eine Aussage des Chefjustiziars von Microsoft Frankreich im Juni dieses Jahres. Er hatte in einer öffentlichen Anhörung vor dem französischen Senat nicht ausschließen können, dass der Tech-Konzern Microsoft auf Anordnung US-amerikanischer Behörden auch Daten europäischer Bürger:innen weitergeben müsse.

Hintergrund ist unter anderem der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden – auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden.

Die Abgeordneten der Linksfraktion fragten die Bundesregierung, ob sie ein ähnliches Szenario bei den in der ePA hinterlegten Gesundheitsdaten ausschließen könne. Die Regierung erwidert, dass sie nichts über die Verträge zwischen den Betreibern der ePA und den Krankenkassen wisse. Sie kenne daher die Regelungen nicht, mit denen die Daten der Versicherten geschützt würden. Betreiber von ePA-Infrastrukturen sind spezialisierte IT-Dienstleister wie IBM Deutschland und das österreichische Unternehmen RISE.

Wir haben uns bei den drei größten gesetzlichen Krankenkassen in Deutschland erkundigt, welche vertraglichen Vereinbarungen sie mit ihren externen Anbietern getroffen haben. Weder die Techniker Krankenkasse noch die Barmer oder die DAK wollten unsere Frage beantworten. Sie verweisen auf die Gematik, die als Nationale Agentur für Digitale Medizin für die Spezifikationen zur technischen Ausgestaltung der ePA zuständig sei. Der Barmer-Sprecher bittet zudem um Verständnis, dass er sich „aus Wettbewerbsgründen“ nicht weiter zu den Vertragsbedingungen äußern könne.

Es ist also unklar, ob es entsprechende Regelungen zum Schutz der Versichertendaten gibt, von denen die Bundesregierung spricht.

Der Schlüssel liegt bei den Betreibern

Desweiteren verweist die Bundesregierung auf „umfangreiche technische und organisatorische Sicherheitsmaßnahmen“, die zum Schutz der Gesundheitsdaten umgesetzt worden seien. So dürften die in der ePA hinterlegten Daten nur verschlüsselt bei den Betreibern gespeichert werden. Ohne „den Schlüssel der Versicherten“ könnten Unbefugte die Daten nicht lesen, betont die Regierung.

Diese Antwort ist mindestens missverständlich formuliert. Tatsächlich verfügt die ePA derzeit über keine patientenindividuelle Verschlüsselung, bei der jede:r Versicherte die eigene Patientenakte mit einem persönlichen Schlüssel absichert. Ältere Versionen der ePA sahen noch eine Ende-zu-Ende-Verschlüsselung der in der Patientenakte hinterlegten Daten vor; die aktuelle „ePA für alle“ bietet dieses Mehr an Sicherheit allerdings nicht mehr.

Außerdem sind die Schlüssel nicht, wie noch bei früheren ePA-Versionen, auf der elektronischen Gesundheitskarte der Versicherten hinterlegt, sondern sie liegen auf den Servern des ePA-Betreibers. Sogenannte Hardware Security Modules in einer „vertrauenswürdigen Ausführungsumgebung“ würden gewährleisten, dass die Betreiber keinen direkten Zugriff auf diese Schlüssel haben, schreibt das Gesundheitsministerium auf Nachfrage von netzpolitik.org.

„Diese speziell abgesicherten Komponenten sind dafür ausgelegt, kryptografische Schlüssel sicher zu verwalten und sensible Daten vor unbefugtem Zugriff zu schützen“, sagt eine Gematik-Sprecherin auf Anfrage. Ein direkter Zugriff auf die Schlüssel, auch durch die Betreiber der ePA, sei technisch ausgeschlossen. Die Schlüssel werden etwa dann zur Entschlüsselung der Gesundheitsdaten verwendet, wenn die Versicherten ihre elektronische Gesundheitskarte beim Besuch einer Praxis oder einer Apotheke in ein Lesegerät schieben.

Offene Eingangstüren

Zwei Aspekte lassen das Gesundheitsministerium und die Gematik bei ihren Ausführungen jedoch unter den Tisch fallen.

Zum einen ist den Sicherheitsfachleuten des Chaos Computer Clubs Bianca Kastl und Martin Tschirsich in den vergangenen Monaten wiederholt gelungen, die Zugriffskontrolle der ePA zu überwinden.

Bei den von ihnen beschriebenen Angriffsszenarien hilft Verschlüsselung nicht mehr viel. „Es ist vollkommen egal, dass das irgendwie verschlüsselt gespeichert wird, wenn an der Eingangstür ein paar Wissensfaktoren reichen, um jede ePA in Zugriff zu bekommen“, sagt Bianca Kastl, die auch Kolumnistin bei netzpolitik.org ist.

Die von ihr und Tschirsich aufgezeigten Sicherheitslücken bestehen teilweise noch immer fort. Eine „endgültige technische Lösung“ will das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst im kommenden Jahr implementieren.

Trügerische Sicherheit

Zum anderen behauptet die Bundesregierung, dass die bestehenden Sicherheitsvorkehrungen einen „technischen Betreiberausschluss“ gewährleisten, „sodass selbst ein fremdbestimmter Betreiber keinen Zugriff auf die Daten der ePA erlangen würde“.

Hauptbetreiber von elektronischen Patientenakten ist die IBM Deutschland GmbH. Unter anderem die Techniker Krankenkasse, die Barmer Ersatzkasse und die AOK haben das Unternehmen damit beauftragt, die ePA und die dazugehörigen Aktensysteme gemäß der von der Gematik gemachten Spezifikationen umzusetzen. Mehr als zwei Drittel aller digitalen Patientenakten laufen auf IBM-Systemen, aus Sicherheitsgründen seien die Daten „über zahlreiche, geographisch voneinander getrennte Rechenzentrums-Standorte in der IBM Cloud in Deutschland verteilt“, so das Unternehmen.

Dieses Sicherheitsversprechen ist jedoch trügerisch. Denn die IBM Deutschland GmbH ist eine Tochter der US-amerikanischen IBM Corp. – und damit potenziell ein „fremdbestimmter Betreiber“. Gemäß CLOUD Act können US-Behörden IBM dazu zwingen, die Daten von deutschen Versicherten an sie auszuleiten.

Gefahr erkannt, Gefahr gebannt?

Welche Risiken der CLOUD Act birgt, hat etwa das baden-württembergische Innenministerium erkannt. Im Juli räumte es in einer Stellungnahme ein, dass US-Behörden theoretisch auf Daten zugreifen könnten, die in der Verwaltungscloud Delos gespeichert sind. Delos Cloud ist ein Tochterunternehmen von SAP und fußt auf Microsoft Azure und Microsoft 365. Dem Ministerium zufolge könnten US-Behörden den Tech-Konzern anweisen, „einen Datenabfluss in seine Software zu integrieren, ohne dass der Kunde darüber in Kenntnis gesetzt wird.“

Dennoch plant die Bundesregierung nach eigenem Bekunden nicht, die technologische Abhängigkeit von nicht-europäischen ePA-Betreibern zu prüfen – obwohl sie die digitale Patientenakte explizit als eine kritische Infrastruktur einstuft.

Anne Mieke-Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, kritisiert diese Weigerung der Regierung. „Statt klare Prüfpflichten festzuschreiben, versteckt sie sich hinter lückenhaften Vorgaben“, so Mieke-Bremer. „Und sie gibt sich damit zufrieden, dass die Verträge zwischen Betreibern und Kassen eine Blackbox bleiben.“

Die ePA wirke „zunehmend wie ein mangelhaftes und fahrlässiges Prestigeprojekt“, das voller Lücken und Risiken ist, sagt Stella Merendino, Sprecherin der Linken für Digitalisierung im Gesundheitswesen. „Was mit unseren sensibelsten Gesundheitsdaten passiert, bleibt dabei im Dunkeln.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundes- und Landesdatenschützer üben Kritik am Palantir-Einsatz und den Gesetzen, die automatisierte Polizeidatenanalysen erlauben. Sie verlangen eine verfassungskonforme Neuausrichtung. Jetzt sei der Moment gekommen, einen digital souveränen Weg einzuschlagen.

Im Streit um die Nutzung von Palantir hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu Wort gemeldet: In einer Entschließung (pdf) fordert sie bei der massenhaften automatisierten Datenanalyse durch die Polizei die Einhaltung rechtlicher Anforderungen und mahnt besonders an, dass die notwendige gesetzliche Grundlage den verfassungsrechtlichen Maßstäben genügen soll.

Aktuell erwägt Bundesinnenminister Alexander Dobrindt (CSU), für die Polizeien des Bundes die gesetzliche Voraussetzung zu schaffen, um Software des US-Konzerns Palantir oder von Konkurrenten zur automatisierten polizeilichen Rasterfahndung einsetzen zu dürfen. Im Rahmen eines Gesetzespakets soll das Vorhaben in Kürze umgesetzt werden. SPD-Justizministerin Stefanie Hubig hat allerdings noch Bedenken und fordert die Einhaltung rechtsstaatlicher Grundsätze.

Die DSK betont, dass die Erlaubnis zu solchen Analysen nur bei sehr schwerwiegenden Rechtsgutsverletzungen überhaupt denkbar sei. Sie könnten auch nur „im Rahmen sehr enger Verfahrensbestimmungen“ eingesetzt werden.

Detaillierte Vorgaben aus Karlsruhe

Die Datenschützer verweisen insbesondere auf ein Urteil des Bundesverfassungsgerichts zur automatisierten Datenanalyse aus dem Jahr 2023, das detaillierte Vorgaben macht. Demnach haben die Gesetzgeber von Polizeigesetzen, die solche Analysen erlauben, explizite Einschränkungen vorzunehmen, was die Art der einbezogenen Daten und deren Umfang betrifft, aber auch welcher Art die angewandten Analysemethoden und die Eingriffsschwellen sein dürfen. Sie müssen zudem Regelungen in die Polizeigesetze einbauen, die für diese starken Grundrechtseingriffe abmildernd wirken und auch deren Folgen berücksichtigen.

Nordrhein-Westfalen, Hessen und Bayern setzen Software von Palantir aktuell ein. Baden-Württemberg hat kürzlich ebenfalls eine gesetzliche Grundlage für die automatisierte Datenanalyse durch die Polizei in die Wege geleitet. Die dortige Polizei hatte den Vertrag mit Palantir aber bereits geschlossen, bevor eine Rechtsgrundlage für den Einsatz überhaupt bestand.

Die derzeitige DSK-Vorsitzende und Berliner Datenschutzbeauftragte Meike Kamp sieht in all diesen Bundesländern die gegebenen Voraussetzungen aus Karlsruhe nicht genügend berücksichtigt: „Bisher tragen die rechtlichen Vorschriften diesen Voraussetzungen nicht ausreichend Rechnung. Für Bund und Länder gilt es, sich an die Vorgaben des Bundesverfas­sungsgerichts zu halten und den Einsatz von automatisierten Datenanalysen durch die Polizeibehörden verfassungskonform auszugestalten.“

Das sieht auch Franziska Görlitz von der Gesellschaft für Freiheitsrechte (GFF) so, die gegen die Polizeigesetze in allen drei Bundesländern Verfassungsbeschwerde erhoben hat. Die Juristin fasst in einem Interview zusammen, warum keines der Landesgesetze verfassungskonform ist: „Die bisherigen Gesetze erlauben, dass zu viele Daten unter zu laschen Voraussetzungen in die Analyse einbezogen werden und dabei zu mächtige Instrumente zum Einsatz kommen. Gleichzeitig fehlen wirksame Schutzmechanismen gegen Fehler und Diskriminierung.“

Nicht „digital souverän“, sondern vollständig abhängig

Für eines der drei unionsgeführten Bundesländer, die Palantir aktuell nutzen, nennt die DSK für das polizeiliche Analyseverfahren eine Hausnummer, welche die erhebliche Breite der Datenrasterung klarmacht: Etwa 39 Millionen Personendatensätze durchkämmt die bayerische Polizei mit Palantir. Die Datenschützer zeigen damit, dass praktisch jeder Mensch betroffen sein kann, eben nicht nur „Straftäterinnen und -täter, sondern etwa auch Geschädigte, Zeuginnen und Zeugen, Sachverständige oder Personen, die den Polizeinotruf genutzt haben“.

Zudem ist die Art der Daten höchst sensibel. In Polizeidatenbanken können beispielsweise auch Informationen über Menschen abgelegt werden, die eine „Volkszugehörigkeit“, einen „Phänotyp“ oder die „äußere Erscheinung“ beschreiben. Auch die Religionszugehörigkeit, verwendete Sprachen, Dialekte oder Mundarten dürfen festgehalten werden. Entsprechend besteht ein sehr hohes Diskriminierungspotential.

Die hohe Zahl von Betroffenen und die Art der gespeicherten Daten sind aber nicht etwa die einzigen Probleme. Das Problem heißt auch Palantir, ein 2003 gegründeter US-Anbieter, der heute am Aktienmarkt gehandelt wird und nach Marktkapitalisierung zu den dreißig wertvollsten Konzernen der Welt zählt. Die deutsche Tochter ist Vertragspartner der Polizei in vier Bundesländern. Die DSK pocht bei der Polizeidatenanalyse auf die Wahrung der „digitalen Souveränität“. Denn damit können ungewollte Abhängigkeiten oder Kostenfallen vermieden werden, in die Polizeien geraten können. Die DSK fordert hier „sicherzustellen, dass die eingesetzten Systeme hinreichend offen sind, um nötigenfalls einen Wechsel auf ein geeigneteres System zu ermöglichen“.

Das widerspricht den praktischen Gegebenheiten bei der Nutzung von Palantir fundamental: Der US-Konzern bietet ein geschlossenes und proprietäres System an, das mit denen anderer Anbieter nicht kompatibel ist. Die polizeilichen Nutzer sind genau das Gegenteil von „digital souverän“ oder selbstbestimmungsfähig, nämlich vollständig abhängig. Die DSK präferiert hingegen „Lösungen auf Open-Source-Basis“ und bietet für verfassungskonforme und praxistaugliche Lösungen auch „konstruktive Beratung“ an.

Die Datenschützer fordern zudem, dass polizeiliche Datenbestände nicht in Drittländer übermittelt werden dürften, „die hinter dem europäischen Rechtsstaatsniveau zurückbleiben“. Polizeidatenverarbeitung soll erst gar nicht von Softwaresystemen abhängen, die Zugriffe dieser Drittstaaten zulassen.

Diese Forderung dürfte der Tatsache Rechnung tragen, dass für den ohnehin zwielichtigen US-Konzern Palantir der US CLOUD Act aus dem Jahr 2018 einschlägig ist. Das Gesetz bestimmt, dass US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden verpflichtet werden können, auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden. Die Befürchtung besteht also, dass selbst bei der Verarbeitung und Speicherung von Daten in einem polizeilichen Rechenzentrum unter bestimmten Umständen US-Behörden Zugriff erlangen könnten.

Es formiert sich Widerstand

In Baden-Württemberg, dem jüngsten Palantir-Clubmitglied, formiert sich bereits Widerstand gegen das geplante Polizeigesetz: Ein parteiunabhängiges Protest-Bündnis mit dem Namen Kein Palantir in Baden-Württemberg plant eine Kundgebung am 4. Oktober auf dem Schlossplatz der Landeshauptstadt und fordert dazu auf, den Landtagsabgeordneten schriftlich mitzuteilen, was man von der Idee hält.

Das geplante Gesetz soll in Kürze durch den Landtag gehen und beschlossen werden. Das Bündnis könnte mit dem Protest also wegen des beginnenden Wahlkampfs in Baden-Württemberg ein politisches Debattenthema setzen. Auch der bundesweite Campact-Appell „Trump-Software Palantir: Über­wa­chungs­pläne stoppen“ hat große Unterstützung gefunden und wurde von mehr als 430.000 Menschen unterzeichnet.

Der Landesdatenschutzbeauftragte im Ländle, Tobias Keber, betont anlässlich der DSK-Entschließung, dass die Anforderungen an das Polizeigesetz „enorm hoch“ seien, sowohl rechtlich als auch technisch. Automatisierte Grundrechtseingriffe würden auch die Anforderungen an den Nachweis erhöhen, dass durch diese Datenanalyse relevante Erkenntnisse erschlossen werden können, die anders nicht in gleicher Weise zu gewinnen wären. Seine Behörde hatte in einer Stellungnahme zum Landespolizeigesetz (pdf) im Juni bereits Änderungen angemahnt und festgestellt, dass einige der darin getroffenen Regelungen „verfassungsrechtlichen Anforderungen nicht gerecht“ würden.

Die DSK-Vorsitzende Kamp betont, dass alle polizeilichen Datenanalysen rechtskonform, nachvollziehbar und beherrschbar sein müssten. Und sie fügt hinzu: „Jetzt ist der Moment gekommen, einen digital souveränen Weg einzuschlagen.“ Dass ein solcher Weg mit Palantir-Software nicht möglich ist, versteht sich von selbst.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Nextcloud 24 erfüllt mit der einfachen Migration der Benutzerdaten auf andere Instanzen eine Forderung der Datenschutzbestimmungen für Unternehmen.

Quelle

Erst in einer der letzteren 3.4.x-Varianten von Nextcloud wurde unter Linux ein Bug ausgebessert und in Nextcloud Client 3.5 ist er wieder da. Die Funktion ist nicht essenziell, aber nervig ist der Bug schon. Klickst Du unter Linux mit der linken Maustaste auf das Nextcloud-Symbol in der Taskleiste, öffnet sich leider das Hauptfenster nicht. Ob das unter Windows und macOS auch so ist, kann ich nicht sagen. Bei Linux weiß ich es sicher. Ich benutze den Client aus den Ubuntu-PPAs. […]

Der Beitrag Nextcloud Client 3.5 (Desktop) & 3.20 (Android) – neue Version, alter Bug ist von bitblokes.de.

OK, Nextcloud 24 ist da und es gibt interessante Neuerungen. Die aktuelle Version wurde mit dem Fokus entwickelt, mehr Druck auf große Firmen auf technischer Ebene auszuüben. Nutzerinnen und Nutzer bekommen mehr Kontrolle und der digitale Arbeitsplatz wird weiter dezentralisiert. Hier eine kurze Zusammenfassung der prominentesten Neuerungen und Änderungen. Nextcloud 24 mit Datenmigration Eine neue Funktion bei Nextcloud 24 ist eine Datenmigration. Anwenderinnen und Anwender können ihre Daten exportieren. Das ist aus Compliance-Gründen wichtig. Allerdings lässt sich der Export auch […]

Der Beitrag Nextcloud 24 mit Datenmigration – neue Funktionen kurz angesehen ist von bitblokes.de.

Ab dem ersten Februar müssen große Anbieter sozialer Netzwerk potenziell strafrechtlich relevante Inhalte an das BKA melden. Das entstammt einer Neuregelung des Netzwerkdurchsetzungsgesetzes durch das Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität, das bereits Mitte 2020 im Bundestag beschlossen wurde. Ab Februar 2022 gilt nun die Meldepflicht.

In der Praxis verläuft der Start jedoch überaus holprig. Wir haben daher eine Übersicht erstellt: Was gilt (eigentlich)? Wer ist zur Meldung verpflichtet? Wer meldet wirklich? Und was ändert sich jetzt?

Die Rolle des BKA als Zentralstelle

Das BKA nimmt bei den Meldungen die Funktion einer Zentralstelle ein. Das bedeutet: Erfahren die Online-Anbieter von möglicherweise illegalen Inhalten auf ihrem Dienst, müssen sie diese an das BKA weiterleiten, mitsamt der IP-Adresse, von der diese gepostet wurden. Es geht dabei um vermutete Straftaten wie das Verwenden von Kennzeichen verfassungswidriger Organisationen, Gewaltdarstellungen oder bestimmte Bedrohungen.

Das BKA prüft die Inhalte und kann bei den Internetanbietern wie Telekom oder Vodafone die Bestandsdaten zu der übermittelten IP-Adresse abfragen – also herausfinden, wer hinter einem Anschluss steckt. Soll ein Verfahren eingeleitet werden, gibt das BKA dieses an die entsprechenden Staatsanwaltschaften und Länderpolizeien weiter.

Das BKA rechne mit 250.000 solcher Meldungen pro Jahr, sagte ein Sprecher der Behörde dem Redaktionsnetzwerk Deutschland. Man erwarte daraus rund 150.000 Strafverfahren. Um dieses Aufkommen zu bearbeiten, sollen in der Zentralen Meldestelle für strafbare Inhalte im Internet (ZMI) künftig etwa 200 BKA-Beamt:innen arbeiten.

Für wen gilt die neue Meldepflicht?

Die Regelung gilt für soziale Netzwerke mit mehr als zwei Millionen registrierten Nutzer:innen in Deutschland. Welche das konkret sind? Das für die Durchsetzung des NetzDG zuständige Bundesamt für Justiz (BfJ) führe keine abschließende Liste, heißt es in der Antwort auf eine parlamentarische Anfrage aus dem Februar 2021.

Transparenzberichte nach NetzDG hätten jedoch folgende Plattformen veröffentlicht, heißt es dort: Facebook, Twitter, Google+ (wurde 2019 eingestellt), YouTube, Instagram, Reddit, TikTok, Change.org und SoundCloud. Laut Ansicht des BfJ fallen auch Teile des Messengers Telegram unter die Regelung, aber der Betreiber kooperiert nicht. Deshalb laufen Bußgeldverfahren. Wir haben beim BfJ nochmals nachgefragt, welche Plattformen aktuell unter das NetzDG fallen und werden dies nachtragen, sobald wir eine Antwort erhalten.

Wer meldet ab 1. Februar wirklich?

Längst nicht alle Anbieter, die derzeit sonstigen Regeln aus dem NetzDG nachkommen, werden auch ab Februar Inhalte an das BKA melden. Denn es laufen mehrere Klagen gegen die Regelung. Den Anfang machte die Google-Tochter YouTube, bereits im vergangenen Juli reichte die Videoplattform eine Feststellungsklage vor dem Verwaltungsgericht Köln ein, gemeinsam mit einem Eilantrag. Facebook schloss sich YouTube an. In der vergangenen Woche zog TikTok nach, nun gab auch Twitter seine Klage bekannt. Wann das Verwaltungsgericht Köln in den Verfahren entscheidet, ist derzeit nicht absehbar.

Eine aufschiebende Wirkung haben die Verfahren zwar nicht, das Justizministerium sicherte jedoch im August zu, dass man Facebook und Google vorerst nicht zur Meldung zwingen würde, solange es keine Entscheidung in den Eilverfahren gebe.

Start mit „Alternativszenario“

Wie das BKA gegenüber dem Spiegel sagte, habe sich bisher keine der großen Plattformen „technisch“ an die Schnittstelle des BKA angebunden. Was passiert also am 1. Februar überhaupt?

Laut Recherchen des Spiegel startet zunächst ein „Alternativszenario“. Die Meldungen an die ZMI kommen dann noch nicht von den großen Plattformen, sondern aus anderen Projekten, etwa aus der Meldestelle von Hessen gegen Hetze. Dort können Nutzer:innen Hassrede melden. Die IP-Adressen der Inhalteerstellenden bekommen die BKA-Beamt:innen dadurch aber nicht. Sie müssen also selbst ermitteln, wer hinter einem Posting steckt, wenn es sich tatsächlich als strafbar herausstellt. Oder auf die Kooperation der Anbieter hoffen.

Die Kritik an der Meldepflicht

Streit um die Meldepflicht gab es bereits während des Gesetzgebungsverfahrens. Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte damals, dass Daten wie die IP-Adresse erhoben und gespeichert werden sollen, bevor ein Anfangsverdacht überhaupt geprüft wurde. Darin liegt die Sorge, dass die Daten vieler Menschen beim BKA landen, auch wenn sich herausstellt, dass sie nichts Illegales getan haben.

Ähnlich argumentieren die Plattformen in ihren Klagen. Dem Spiegel sagte ein Vertreter von Twitter, dass die Weitergabe „private Unternehmen in die Rolle von Staatsanwälten zwingt, indem sie Nutzer auch dann an die Strafverfolgungsbehörden melden, wenn kein illegales Verhalten vorliegt.“

Kritik gibt es nicht nur an den rechtlichen Bedingungen, sondern auch bei der praktischen Umsetzbarkeit. Denn die 150.000 vermuteten Strafverfahren betreffen nicht nur das BKA, dafür braucht es auch Länderpolizeien, Staatsanwaltschaften und Gerichte – und die könnte die Menge der Verfahren quantitativ überfordern. Der Deutsche Richterbund fordert daher neue Stellen – und zwar viele. Gegenüber dem Redaktionsnetzwerk Deutschland sagte Bundesgeschäftsführer Sven Rebehn: „Um den Verfolgungsdruck bei Straftaten im Netz flächendeckend zu erhöhen, braucht es bundesweit sicher einige hundert zusätzliche Staatsanwälte und Strafrichter.“

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Digitale Souveränität ist zu einem Schlagwort der Digitalpolitik geworden. Es fällt häufig, wenn es um europäische IT-Infrastruktur geht. Die einen begrüßen die Idee und sehen sie als Emanzipation aus der Abhängigkeit von großen Tech-Konzernen. Andere sehen darin die Gefahr, dass sie für Nationalismus und gegen die Interessen der Nutzer:innen missbraucht werden könne. Doch wie genau definiert die Regierung eigentlich „Digitale Souveränität“?

Anke Domscheit-Berg, digitalpolitische Sprecherin für die Bundestagsfraktion der Linken, hat nachgefragt. Als Antwort bekam sie eine Basis-Definition aus der Datenstrategie der Bundesregierung. Dort heißt es: „Digitale Souveränität beschreibt die Fähigkeit sowohl von Individuen als auch der Gesellschaft, die digitale Transformation – mit Blick auf Hardware, Software, Services, sowie Kompetenzen – selbstbestimmt zu gestalten. Digital souverän zu sein bedeutet im Rahmen des geltenden Rechtes, souverän zu entscheiden, in welchen Bereichen Unabhängigkeit erwünscht oder notwendig ist.“

Nationalstaaterei oder individuelle Unabhängigkeit?

Nach Nationalstaaterei klingt diese Antwort mit ihrer Betonung von Individuen und Gesellschaft erstmal nicht. Blickt man jedoch auf die sechs in der Antwort genannten Vorzeigeprojekte der Bundesregierung zu digitaler Souveränität, wird ein anderer Fokus gelegt. Da nennt die Regierung etwa Gaia-X, das „die europäische digitale Souveränität und den Wettbewerb im Bereich Daten und Cloud“ stärken soll. Dafür sollen gemeinsame Anforderungen an eine europäische Dateninfrastruktur entwickelt werden, mit offenen Schnittstellen und Standards. Große US-Datenkonzerne sind zwar an Gaia-X beteiligt, gleichzeitig soll Gaia-X aber auch für mehr Unabhängigkeit von ihnen sorgen.

Als anderes wichtiges Projekt für digitale Souveränität nennt die Regierung die „Deutsche Verwaltungs-Cloud-Strategie“. Mit dem Vorhaben soll ein Problem angegangen werden: Föderale Systeme sind nur begrenzt kompatibel, Anwendungen können kaum von mehreren Stellen aus Bund, Länder und Kommunen genutzt werden. Das soll sich etwa durch Standardisierung ändern. Außerdem sollen so „kritische Abhängigkeiten von Anbietern durch standardisierte, modulare IT-Architekturen“ reduziert werden.

Bereits in der Liste, aber noch in Planung, ist das „Zentrum für Digitale Souveränität der Öffentlichen Verwaltung“. Dessen Ziel: „Europäische Lösungen und Open-Source-Software-Ansätze“ sollen Abhängigkeiten in der Verwaltung auflösen. Das geplante Zentrum soll ein „Bindeglied“ zwischen Verwaltung und Open-Source-Akteur:innen sein.

Viel Wirtschaft, wenig Nutzer:innen

Um einzelne souveräne Nutzer:innen geht es in den Projekten kaum. Im Vordergrund stehen Wirtschaft, Verwaltung und Wissenschaft. Domscheit-Berg kritisiert das: „Es ist gut, dass sich die Bundesregierung auch die Förderung von Open Source auf die Fahnen geschrieben hat, aber vor allem scheint sie das Thema Digitale Souveränität mit einer Förderung von Cloud-Infrastrukturen zu verbinden, denn drei der sechs genannten Projekte befassen sich damit“, so die Digitalpolitikerin. Das geplante Zentrum zur Digitalen Souveränität begrüßt sie, wünscht sich aber auch „eine allgemeine Förderung von Open-Source-Entwicklungen“. Diese könnten Nutzer:innen auch außerhalb der öffentlichen Verwaltung mehr Unabhängigkeit von dominanten Plattformen und mehr Selbstbestimmung bringen.

Zwischen der Definition der Bundesregierung und den priorisierten Projekten sieht Domscheit-Berg einen Widerspruch. Die Definition umfasse zu Recht die digitale Befähigung und Selbstbestimmung von Individuen und der Gesellschaft. Aber die genannten größten Maßnahmen und Projekte „fokussieren auf eine wirtschaftliche und/oder staatliche Unabhängigkeit, etwa von dominanten Cloud-Anbietern aus den USA.“ Ihr fehlt die Perspektive der Zivilgesellschaft und der Nutzer:innen. „Mit dieser Sichtweise der Bundesregierung sehe ich nicht, wie das in der Definition beschriebene Ideal der Digitalen Souveränität für Individuen und Gesellschaft erreicht werden soll.“

Domscheit-Berg will nun noch einmal nachfassen, denn nicht all ihre Fragen wurden beantwortet, etwa zur Förderhöhe und zum Förderzeitraum der Projekte. Eine Fortsetzung folgt.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.