Beim Forschungsdatenzentrum Gesundheit sollen die Gesundheitsdaten aller gesetzlich Versicherten zusammenlaufen. Ein Gerichtsverfahren dagegen wird nun fortgesetzt. Dessen Ausgang könnte Pläne von Gesundheitsministerin Nina Warken durchkreuzen.
Karl Broich und Nina Warken auf der Pressekonferenz zur Eröffnung des Forschungsdatenzentrums Gesundheit im Oktober 2025. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Drei Jahre lang herrschte Stillstand. Nun geht ein Gerichtsverfahren weiter, das sich gegen die zentrale Speicherung von Gesundheitsdaten aller gesetzlich Versicherten im Forschungsdatenzentrum Gesundheit (FDZ) richtet.
Die Klage hatte die Gesellschaft für Freiheitsrechte (GFF) gemeinsam mit Constanze Kurz, netzpolitik.org-Redakteurin und Sprecherin des Chaos Computer Club (CCC), sowie einem weiteren anonymen Kläger im Mai 2022 eingereicht. Weil das FDZ aber jahrelang nicht arbeitsfähig war und kein IT-Sicherheitskonzept vorlegen konnte, ruhte das Verfahren seit Februar 2023. Im vergangenem Herbst wurde das FDZ offiziell eröffnet, weshalb die GFF das Verfahren nun nach eigenen Angaben fortsetzt und weitere Schriftsätze eingereicht hat.
Der Ausgang der Klage könnte weitreichende Folgen haben. Denn es geht um die Forschung mit Gesundheitsdaten, eine zentrale Säule der erst vor wenigen Wochen vorgestellten Digitalisierungsstrategie von Bundesgesundheitsministerin Nina Warken (CDU). Sollte das Gericht zugunsten der Klagenden entscheiden, könnten wichtige Vorhaben ihres Ministeriums ins Wanken geraten.
Kläger:innen fordern effektiven Widerspruch und besseren Schutz
Die Klagenden werden von dem Rechtswissenschaftler Matthias Bäcker vor dem Sozialgericht Berlin und dem Sozialgericht Frankfurt vertreten. Aus ihrer Sicht verstößt die zentrale Sammlung hochsensibler Gesundheitsinformationen beim FDZ zum einen gegen das Grundrecht der Versicherten, selbst über die eigenen Daten zu bestimmen, sowie gegen das Datenschutzrecht der Europäischen Union.
Zum anderen seien die gespeicherten Daten nicht ausreichend geschützt. Für deren Übermittlung werden nur Namen, Geburtstag und -monat der Versicherten entfernt. Ein von der GFF in Auftrag gegebenes Gutachten des Kryptographie-Professors Dominique Schröder kommt zu dem Schluss, dass eine solche Pseudonymisierung die Versicherten nicht ausreichend schützt. Durch den Abgleich mit anderen Datensätzen ließen sich Betroffene ohne großen Aufwand re-identifizieren.
Die GFF fordert daher für alle Versicherten ein „voraussetzungsloses Widerspruchsrecht“, dass ihre eigenen Gesundheitsdaten für Forschung und andere Zwecke weitergenutzt werden. „Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und sind ein lukratives Ziel für Kriminelle“, sagt Jürgen Bering, Jurist bei der GFF. „Forschung darf daher nur unter ausreichenden Schutzmaßnahmen stattfinden.“
Auf dem Weg zu „einem der größten Daten-Hubs“
Gesundheitsministerin Warken sieht das Forschungsdatenzentrum als „Innovationsmotor“ der Gesundheitsforschung. Die Einrichtung ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Seit 2022 werden dort Gesundheitsdaten zu allen gesetzlich Versicherten in einer zentralen Datenbank zusammengeführt und für die Dauer von bis zu 100 Jahren gespeichert. Forschende müssen sich bei diesem Zentrum registrieren, um mit den Daten arbeiten zu können.
Bislang übermitteln die gesetzlichen Krankenkassen nur die Abrechnungsdaten all ihrer Versicherten an das FDZ. Diese Daten geben Auskunft darüber, welche Leistungen die Versicherungen in Rechnung gestellt bekommen haben und mit welchen Diagnosen diese versehen sind.
Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der elektronischen Patientenakte hinzukommen. BfArM-Chef Karl Broich geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist.
Sollte die GFF mit ihrer Klage Erfolg haben, könnte dieses Ziel verfehlt werden. Denn bislang ist vorgesehen, dass die ePA-Daten automatisch an das FDZ gehen – sofern Versicherte dem nicht aktiv widersprechen. Dieser Automatismus müsste dann möglicherweise einer aktiven Einwilligung der Versicherten weichen.
Aus Sicht der Klagenden wäre dies zu begrüßen. „Es wird höchste Zeit, dass das Verfahren fortgeführt wird“, sagt Constanze Kurz. „Denn es braucht Klarheit zur Sicherheit und zum Widerspruchsrecht, schon weil inzwischen der Kreis der nutzungsberechtigten Stellen ganz erheblich erweitert wurde.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der US-Satiriker Stephen Colbert darf ein Interview nicht ausstrahlen, während die CBS-News-Redaktion kaum noch frei von politischem Druck arbeiten kann. Was ist da los in der US-Fernsehlandschaft?
Der US-Satiriker Stephen Colbert durfte ein Interview nicht ausstrahlen, Hintergrund war politischer Druck der Trump-Administration. – Alle Rechte vorbehalten IMAGO / Newscom / AdMedia
Über 7 Millionen Mal wurde inzwischen ein Interview angesehen, das nicht ausgestrahlt werden durfte. Statt wie geplant am Montag im US-Fernsehen zu laufen, ist es nun auf dem YouTube-Kanal des Satirikers Stephen Colbert zu finden. Einmal mehr hat der Streisand-Effekt zugeschlagen: Schuld an den ungewöhnlich hohen Zugriffszahlen, auch abseits von YouTube, ist weniger das Interview mit einem texanischen Politiker, sondern das politisch motivierte Sendeverbot.
Vor der Sendung hatte die Rechtsabteilung des Senders, CBS, laut Colbert „unmissverständlich“ klar gemacht, dass das Interview nicht ausgestrahlt werden könne. Es bestehe die Gefahr, gegen eine Regel der Federal Communications Commission (FCC) zu verstoßen („equal time rules“). Demnach muss in Wahlkämpfen anderen Kandidat:innen die gleiche Sendezeit eingeräumt werden. Neben James Talarico, der sich derzeit um die demokratische Kandidatur für den US-Senat bewirbt, hätte die Talkshow also auch seine Mitbewerberin, die Abgeordnete Jasmine Crockett, und vermutlich auch Ahmad Hassan einladen müssen.
Allein: Besagte FCC-Regeln, die für terrestrisches Fernsehen, aber nicht für Kabel-TV oder das Internet gelten, enthalten Ausnahmen für Interviews in Nachrichten- oder Unterhaltungssendungen. US-Medien zufolge ist es das erste Mal, dass eine Talkshow derart zensiert wurde. Schlimmer noch, offenkundig war vorauseilender Gehorsam im Spiel. CBS wollte vermeiden, noch stärker ins Visier des ultrakonservativen FCC-Chefs Brendan Carr zu gelangen.
Trump-kritische Sendungen unter der Lupe
Carr hatte im Januar neue FCC-Leitlinien vorgestellt, um ebenjene Ausnahmen abzuschaffen. Wen er dabei besonders im Blick hat, ist kein Geheimnis. Populäre Talkshow-Hosts wie Stephen Colbert (CBS), Seth Meyers (NBC) und Jimmy Kimmel (ABC) lassen kaum eine Gelegenheit aus, sich über den orangenen Man im Weißen Haus lustig zu machen.
Das treibt nicht nur Trump, der Colbert als „erbärmlichen Versager“ bezeichnete und ihn am liebsten „einschläfern“ würde, auf die Palme. Selbst wenn Republikaner alle wichtigen US-Institutionen im Griff haben, fühlen sie sich benachteiligt. Im Sommer klagte etwa das konservative Media Research Center darüber, wie linkslastig die Talkshow-Landschaft doch wäre.
Regelmäßig droht Trump TV-Sendern damit, ihre Sendelizenz zu entziehen, wenn sie sich kritisch über ihn oder seine Mitstreiter:innen äußern. Immer wieder zeigt dies Wirkung, ganz ohne offizielle Anweisung. Jimmy Kimmel verschwand etwa im Herbst für eine Woche von der TV-Bildfläche, nachdem er die Ermordung des Rechtsaußen-Aktivisten Charlie Kirk und die folgende gesellschaftliche Debatte thematisierte. Wer nicht spurt, muss Konsequenzen fürchten. Die Talkshow „The View“, die ebenfalls auf ABC läuft, muss sich nun einer FCC-Untersuchung zu den „equal time rules“ stellen, wie Carr am Mittwoch auf Fox News bestätigte.
Journalismus im Visier
Der steigende politische Druck auf TV-Sender macht bei Talkshows nicht Halt. Den bekommen auch renommierte Nachrichtensendungen wie „60 Minutes“ von CBS News zu spüren. Als Folge der Übernahme des CBS-Eigners Paramount im Vorjahr begann David Ellison, Sohn des Tech-Oligarchen Larry Ellison, umgehend mit dem Umbau zu einem Trump-freundlichen Medienunternehmen. Für rund 150 Millionen US-Dollar kaufte er das Start-up „The Free Press“ auf und installierte die Gründerin und umstrittene Kommentatorin Bari Weiss als Chefredakteurin von CBS News.
Weiss, die sich zuvor einen Namen als vermeintliche Hüterin der Meinungsfreiheit gemacht hatte, ließ gleich ihre Muskeln spielen. Rund 100 Mitarbeiter:innen verloren ihren Job, betroffen waren laut Medienberichten vor allem Minderheiten und Frauen. Im Dezember verhinderte Weiss die Austrahlung des Nachrichtensegments „Inside CECOT“, das über die unmenschlichen Bedingungen des Hochsicherheitsgefängnisses in El Salvador berichtete. Dort leiden aus den USA abgeschobene Migrant:innen unter Folter und Misshandlungen.
Weiss zufolge hatte der Bericht die Perspektive der Trump-Regierung nicht ausreichend berücksichtigt. Der Bericht wurde zwar später mit nur minimalen Änderungen offiziell ausgestrahlt – zuvor drehte die ungeschnittene Fassung eines kanadischen Senders eine virale Runde durchs Internet -, aber der Schaden war bereits angerichtet. Es kam zu tumultartigen Szenen in der CBS-News-Redaktion, die weitgehend geschlossen hinter der verantwortlichen Investigativjournalistin Sharyn Alfonsi stand. In einem internen Memo sprach Alfonsi von einer politischen, nicht journalistischen Entscheidung, die Weiss getroffen habe.
Zerfallende Redaktion
Das Nachbeben ist immer noch zu spüren, zuletzt verließ der prominente Moderator Anderson Cooper das Unternehmen. Und es erfasste auch weitere CBS-Abteilungen. Letzte Woche nahmen elf Mitarbeiter:innen von CBS Evening News ihren Hut. Dort firmiert inzwischen der Moderator Tony Dokoupil als neues Gesicht der Nachrichtensendung. Aufgefallen ist er bislang vor allem durch seine Trump-freundliche Perspektive statt kritischer Berichterstattung, was sich in sinkenden Einschaltquoten widerspiegelt.
Unabhängiges journalistisches Arbeiten sei bei CBS kaum noch möglich, kritisierte die Produzentin Alicia Hastey in einem Abschiedsschreiben: „Geschichten werden nicht nach ihrem journalistischen Wert, sondern danach beurteilt, ob sie bestimmten ideologischen Erwartungen entsprechen – eine Dynamik, die Produzenten und Reporter unter Druck setzt, sich selbst zu zensieren oder herausfordernde Narrative zu vermeiden, die Gegenreaktionen oder unangenehme Schlagzeilen auslösen könnten.“
Politische Abhängigkeiten
Dabei spielt auch die geplante Expansion des Medienimperiums von Ellison eine Rolle. Paramount will sich den Hollywood-Riesen Warner Bros. einverleiben, zu dem traditionelle Filmstudios, aber auch der Nachrichtensender CNN gehören. Absegnen müssten einen potenziellen Deal jedoch Regulierungsbehörden, die allesamt in republikanischer Hand sind.
Um den Wink mit dem Zaunpfahl zu verstehen, braucht es keinen Trump-Vertrauten wie Ellison an der Unternehmensspitze. Unmittelbar vor der Übernahme von Paramount einigte sich das Unternehmen auf einen Vergleich mit Trump. Dieser hatte 60 Minutes vorgeworfen, ein Interview mit der damaligen demokratischen Präsidentschaftskandidatin Kamala Harris unzulässig editiert zu haben und verlangte Schadensersatz in der Höhe von 10 Milliarden US-Dollar. Medienexpert:innen räumten der Klage zwar keine realistischen Chancen ein, am Ende knickte das Unternehmen jedoch ein und zahlte 16 Millionen US-Dollar an Trump. Kurz danach winkte die FCC die Fusion von Paramount mit Skydance Media von Ellison durch.
Ein weiteres Opfer der Übernahme wurde ausgerechnet Stephen Colbert. Seine Talkshow, die er im Jahr 2015 von David Letterman übernommen hatte, läuft nur mehr bis zum Mai. Danach ist Schluss. Es habe sich um eine „rein finanzielle Entscheidung“ gehandelt, beteuerte CBS im Sommer. Sie stehe „in keinerlei Zusammenhang mit der Leistung, dem Inhalt oder anderen Angelegenheiten der Sendung“ – etwa der Kritik, die Colbert an dem millionenschweren Vergleich geübt hatte.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Bundesgesundheitsministerin Nina Warken hat ihre Digitalisierungsstrategie vorgelegt. Darin betont die CDU-Ministerin, die Patient:innensouveränität stärken zu wollen. Tatsächlich aber will sie eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufbauen. Nutznießer sind Forschung und Pharma-Unternehmen. Die Rechte der Patient:innen bleiben auf der Strecke.
Ganz auf die Vernetzung von Gesundheitsdaten fokussiert: Gesundheitsministerin Nina Warken (CDU). – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).
Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.
Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.
Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.
Die ePA soll zur „Gesundheits(daten)plattform“ werden
Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.
Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.
Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.
„Künstliche Intelligenz“ soll Symptome auswerten
Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.
Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.
Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.
Forschungsdatenzentrum soll als „Innovationsmotor“ wirken
Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.
Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.
Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.
Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.
Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.
„Real-World-Überwachung“ ermöglichen
Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.
Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.
Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.
Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.
Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.
Warken will Medizinregister miteinander verknüpfen
Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.
Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.
Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.
Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.
Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.
Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.
Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an
Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.
Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.
Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.
Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.
Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.
Gesundheitsministerium schafft Schnittstellen in die EU
Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.
Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.
Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.
Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Internet shutdowns have become a growing threat to Africa’s democracy. They are an increasingly common part of the authoritarian toolkit used by governments to control information and suppress dissent. Here’s why you should care.
Tanzanian President Samia Suluhu Hassan attends her inauguration ceremony in Dodoma, Tanzania, Nov. 3, 2025. – Alle Rechte vorbehalten IMAGO / Xinhua
As Tanzanians went to the polls in October 2025, the country entered an information blackout. Connectivity began slowing on the eve of the election. By the morning of October 29, all regions reported a full data disruption.
Opposition parties were among the first to raise the alarm. ‘It became impossible to coordinate polling agents or even report irregularities,’ says Asha*, a youth organizer with an opposition party. She explains that with WhatsApp and SMS restricted, their party’s observers could not share photos, results, or evidence of intimidation in real time.
In the East African country, a total of 37 million people were called upon to vote for a new parliament and president. In the run-up to the elections, Samia Suluhu Hassan, the incumbent president and first woman to hold the office, had tightened her grip on the public sphere. Critical journalists and opposition politicians had been kidnapped. The two most promising opposition parties were excluded from the election.
The communications shutdown seemed to confirm fears about the integrity of the most important democratic processes. An election observer described witnessing the ticking of ballot papers and the adding of numbers during the shutdown. ‘The blackout was the final confirmation that this election would not be transparent, and I was among many who were kicked out by the police during counting,’ says Faustine*, an observer during the election.
Days later, protesters in Mwanza and Arusha attempted to demonstrate, but the lack of communication tools made mass mobilization nearly impossible. Any demonstrations that did emerge despite the blackout were brutally suppressed. Tanzania’s sudden disconnection, occurring during the most sensitive democratic moment, illustrates how shutdowns immobilize opposition networks while giving governments near-total narrative control.
High costs to economies and democracies
In 2016, the United Nations Human Rights Council adopted a resolution confirming the importance of internet access for human rights. Internet shutdowns, it says, undermine the expression, assembly, and informational rights of citizens.
Only days after the election in Tanzania, the African Commission on Human and Peoples‘ Rights voiced concern about the digital blackout. The commission issued a press release, reminding everyone that ‘internet shutdowns undoubtedly constitute a violation of Article 9 of the African Charter on Human and Peoples’ Rights, which guarantees individuals the right to receive information, as well as the right to express and disseminate information.’
Tanzania’s blackout, however, is not an isolated case but part of a regional pattern: governments cutting connectivity during moments of political vulnerability. Across the continent, these disruptions occur at predictable moments: elections, anti-government protests, military coups, ethnic conflict, or when investigative journalism threatens state legitimacy. Governments often justify shutdowns using the language of security, stability, and ‚fake news‘, but the purpose is to control information and suppress dissent.
Access Now’s #KeepItOn coalition reported that African states, including Tanzania, accounted for some of the highest global disruptions in recent years. Their latest report shows that 2024 saw the highest number of shutdowns ever recorded in a single year for the region, with 21 documented internet access shutdowns in 15 African countries. Just a few weeks ago, at the same time as the communications blackout in Iran, people in Uganda also had to endure another internet shutdown during elections.
In all cases, the people most affected – activists, journalists, humanitarian responders, opposition politicians, and young voters – are those at the heart of democratic participation. The outcomes extend beyond digital access challenges, including economic paralysis, humanitarian isolation, and the erosion of fundamental rights. The work of journalists becomes impossible, businesses that use online platforms or mobile money to operate lose significant revenue, and hospitals and humanitarian workers lose contact with the outside world during critical moments.
According to the organization NetBlocks Cost of Shutdown Tool (COST), internet shutdowns cost the Tanzanian economy more than US $238 million in 2025. In total, it is estimated that internet shutdowns cost sub-Saharan economies US $1.11 billion that year. But ultimately, the cost to democracy is even greater.
Ethiopia: More than 100 million people offline during civil war
In recent years, one of the worst offenders for intentional internet disruptions in Africa was Ethiopia, with over ten documented shutdowns since 2019. Between 2020 and 2022, Ethiopia’s regions of Tigray and Oromia were plunged into physical and digital isolation. Government-imposed shutdowns during the civil war not only silenced dissent but cut off humanitarian efforts.
The UN reported that over 100 million people were affected during a three-week internet shutdown in July 2020. As reports by the #KeepItOn coalition highlight, each blackout coincided with escalations in violence, a pattern that suggests the intent was not ‘security,’ but strategic invisibility.
The Committee to Protect Journalists (CPJ) was among the organizations to condemn the detention of journalists and the internet blackout. In a country where digital banking, education, and emergency response increasingly rely on connectivity, these shutdowns paralyzed people’s lives.
Sudan: Shutdowns in support of a military coup
Another example is Sudan, where internet shutdowns have marked a history of military rule. From 2019 to 2023, the government repeatedly cut access to the internet to limit the mobilization of protests and responses to coups. For instance, the army detained civilian leadership in October 2021 and cut internet access across the country.
The Sudanese people were left without any way to communicate with people inside or outside the country for almost a month. Protest organizers relied on offline networks and direct contact to pass information across neighborhoods to organize protests. Videos of military violence and mass arrests were delayed for weeks, allowing the army to act with impunity.
Human Rights Watch and other rights organizations labelled these disruptions as intentional hindrances to justice. The cutoff did more than thwart information; it stifled the civic space altogether. According to Human Rights Watch, the presence of military forces at hospitals has undermined or prevented access to medical care for those in need, and „medical professionals said the lack of internet access has only made it more difficult for them to organize ways to provide care.“ The work of emergency responders was also affected by the inability to receive money transfers via mobile banking applications.
A tool for authoritarian forces
While Ethiopia and Sudan differ politically and culturally, their shutdown patterns are similar. Both governments used connectivity restrictions not only as temporary security tools but also as long-term strategies to manage information and public situations.
Beyond the immediate disruption of communication, shutdowns also affect the options of opposition parties and civil society groups. In many African countries, opposition relies mostly on messaging apps, low-cost livestreaming, and citizen-led election monitoring networks.
When these channels go dark, opposition parties cannot coordinate polling agents, collect evidence, or deploy rapid response teams. Civil society watchdogs cannot verify electoral tallies, giving ruling parties space to manipulate results. Furthermore, especially women and youth activists, who organize primarily online, lose their mobilizing power. Grassroots organizers face physical danger, as they must revert to door-to-door communication.
In Tanzania, polling agents and observers reported that the blackout and police harassment created deep psychological fatigue. ‘We felt powerless throughout the process,’ says election observer Faustine*. ‘It wasn’t just technical, it silenced many things that happened in polling stations that are undemocratic.’
How civil society pushes back
Civil society organizations in Africa and elsewhere have made it clear that internet shutdowns are a growing human rights issue and are organizing resistance. For example, the Nigerian Paradigm Initiative as well as Uganda-based CIPESA challenge service suspensions in court. They educate citizens about civil disobedience, digital rights, and how to utilize technology.
Dozens of NGOs have signed onto the African Declaration of Internet Rights and Freedoms, which calls for unrestricted internet access across the region. Unfortunately, this declaration has been ignored by governments. Along with controls, the absence of transparency is a problem. Reports and data are often compiled by global initiatives, such as Access Now’s #KeepItOn coalition.
Civil society’s influence, while often indirect, has increasingly translated into legal and political consequences for governments that impose shutdowns. According to Felicia Anthonio, #KeepItOn Global Campaign Manager at Access Now, sustained advocacy has pushed internet shutdowns onto the global human rights agenda, with regional and international bodies now recognizing them as violations of fundamental rights.
Courts such as the ECOWAS Court have ruled against shutdowns in countries including Togo, Nigeria, Senegal and Guinea, sending what Anthonio describes as a clear message that shutdowns are illegal and those responsible can be held accountable.
Beyond litigation, civil society pressure has also led to public commitments by authorities to keep the internet on during elections in countries like Ghana, Kenya and the Democratic Republic of the Congo, as well as reversals or early terminations of shutdowns in places such as Zambia, South Sudan and Mauritius. While governments still hold the power to disconnect, civil society continues to shape legal norms, public opinion and accountability mechanisms aimed at ending shutdowns altogether.
What the Global North can do
Shutdowns are a ‘local issue’ in the context of authoritarian states; however, the regional and continent-wide normalization of shutdowns can lead to an export of authoritarian behaviors. Each shutdown legitimizes and emboldens further authoritarianism in neighboring countries, so that they are increasingly seen in networks of purportedly democratic states.
Stopping shutdowns requires pressure beyond the continent. Western governments and tech companies often condemn disruptions, but their responses often remain symbolic. There are ways, however, in which countries in the Global North could have a more profound positive influence.
First and foremost, they could stop exporting surveillance and censorship tools that allow shutdowns to be implemented. Furthermore, they could tie development funding to digital rights protections, ensuring governments that receive aid cannot also sabotage communication networks without consequences. Support for local civil society groups is also important, for example through funding digital security training or legal assistance for court challenges.
As Sophia Nabalayo, a Kenyan PR & Communications Specialist, tells netzpolitik.org: ‘African activists can fight shutdowns on the ground, but global actors often control the infrastructure and financing that make shutdowns possible. We need solidarity, not just statements.’
* Names have been changed for safety reasons and are known to the editorial team.
About the author: Derrick Wachaya is a climate communicator and freelance journalist based in Nairobi.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Internetsperren sind ein zunehmend verbreitetes Werkzeug autoritärer Regierungen, um Informationen zu kontrollieren und abweichende Meinungen zu unterdrücken. Damit sind sie zu einer wachsenden Bedrohung für die Demokratie in Afrika geworden. Das sollte auch den Globalen Norden interessieren.
Die tansanische Präsidentin Samia Suluhu Hassan nimmt am 3. November 2025 an ihrer Amtseinführungszeremonie in Dodoma, Tansania, teil. – Alle Rechte vorbehalten IMAGO / Xinhua
Als die Menschen in Tansania im Oktober 2025 an die Wahlurnen gingen, wurde ihr Land von einem Informations-Blackout erfasst. Bereits am Vorabend der Wahlen kam es zu Einschränkungen der Internetverbindung, am Morgen des 29. Oktober meldeten dann alle Regionen einen vollständigen Ausfall der Datenverbindungen.
Oppositionsparteien gehörten zu den ersten, die Alarm schlugen. „Es war unmöglich geworden, Wahlbeobachter:innen zu koordinieren oder Unregelmäßigkeiten zu melden“, sagt Asha*, eine junge Aktivistin einer Oppositionspartei. Sie erklärt, dass die Beobachter:innen ihrer Partei aufgrund der Einschränkungen bei WhatsApp und SMS Fotos, Ergebnisse oder Beweise für Einschüchterungen nicht zeitnah weitergeben konnten.
Insgesamt waren in dem ostafrikanischen Land 37 Millionen Menschen dazu aufgerufen, ein neues Parlament und ein neues Staatsoberhaupt zu wählen. Im Vorfeld der Wahlen hatte Samia Suluhu Hassan, die amtierende Präsidentin und erste Frau in diesem Amt, ihren Griff um den Hals der Öffentlichkeit verstärkt. Kritische Journalisten und Oppositionspolitiker wurden entführt, die beiden aussichtsreichsten Oppositionsparteien von den Wahlen ausgeschlossen.
Der Shutdown schien alle Sorgen um die Integrität der demokratischen Prozesse zu bestätigen. Eine Wahlbeobachterin berichtet, dass sie während der Abschaltung miterlebt habe, wie beim Auszählen der Stimmzettel Zahlen addiert wurden. „Die Abschaltung war die endgültige Bestätigung dafür, dass wir es hier nicht mit transparenten Wahlen zu tun haben würden“, so Faustine*. „Ich gehörte zu den vielen, die während der Auszählung von der Polizei hinausgeworfen wurden.“
In den folgenden Tagen versuchten Aktivist:innen in Orten wie Mwanza und Arusha Menschen für Proteste zu mobilisieren, doch aufgrund fehlender Kommunikationsmittel war eine Massenmobilisierung nahezu unmöglich. Alle Demonstrationen, die trotz der Unterbrechung stattfanden, wurden brutal unterdrückt. Tansanias plötzliche Internetsperre veranschaulicht, wie Shutdowns zum sensibelsten Zeitpunkt demokratischer Prozesse Opposition verhindern und Regierungen nahezu vollständige Kontrolle über die Informationsverbreitung verschaffen können.
Hohe Kosten für Volkswirtschaften und Demokratien
Im Jahr 2016 verabschiedete der Menschenrechtsrat der Vereinten Nationen eine Resolution, die die Bedeutung des Internetzugangs für die Menschenrechte betont. Demnach untergraben Internet-Shutdowns die Meinungs-, Versammlungs- und Informationsrechte der Menschen.
Nur wenige Tage nach der Wahl in Tansania äußerte die Afrikanische Kommission der Menschenrechte und der Rechte der Völker sich besorgt über den digitalen Blackout. In einer Pressemitteilung erinnerte die Kommission daran, dass „Internet-Sperren zweifellos einen Verstoß gegen Artikel 9 der Afrikanischen Charta der Menschenrechte und Rechte der Völker darstellen, der Einzelpersonen das Recht auf Informationsempfang sowie das Recht auf freie Meinungsäußerung und Verbreitung von Informationen garantiert“.
Doch Tansanias Internet-Shutdown ist kein Einzelfall, sondern Teil eines größeren regionalen Musters: Immer wieder schalten afrikanische Regierungen in Zeiten politischer Instabilität die Internetversorgung ab. Auf dem gesamten Kontinent treten diese Störungen zu vorhersehbaren Zeitpunkten auf: bei Wahlen, regierungskritischen Protesten, Militärputschen, ethnischen Konflikten oder wenn journalistische Recherchen die staatliche Autorität gefährden. Regierungen rechtfertigen Sperrungen oft mit Argumenten wie Sicherheit, Stabilität und „Fake News“, doch ihr eigentliches Ziel ist es, Informationen zu kontrollieren und abweichende Meinungen zu unterdrücken.
Jährliche Berichte der von Access Now koordinierten #KeepItOn-Koalition zeigen, dass afrikanische Staaten weltweit zu den Ländern mit den meisten Shutdowns gehörten. Der neueste #KeepItOn-Report belegt, dass 2024 das Jahr mit den meisten Internet-Abschaltungen in der Region war, mit 21 dokumentierten Abschaltungen in 15 afrikanischen Ländern. Erst vor wenigen Wochen, parallel zum Kommunikations-Shutdown im Iran, mussten auch die Menschen in Uganda während der Wahlen eine Internetsperre erdulden.
In allen Fällen sind diejenigen Personen am stärksten betroffen, die im Zentrum der demokratischen Teilhabe stehen: Aktivist:innen, Journalist:innen, humanitäre Helfer:innen, Oppositionelle und junge Wähler:innen. Die Folgen gehen über Zugangsprobleme zur digitalen Welt hinaus und führen zu wirtschaftlicher Lähmung, humanitärer Isolation und zur Aushöhlung grundlegender Rechte. Die Arbeit von Journalist:innen wird unmöglich, Unternehmen, die Online-Plattformen oder mobiles Geld für ihren Betrieb nutzen, erleiden große Verluste; Krankenhäuser und humanitäre Helfer:innen verlieren in kritischen Momenten den Kontakt zur Außenwelt.
Laut dem Cost of Shutdown Tool (COST) der Organisation NetBlocks kosteten Internetabschaltungen allein die tansanische Wirtschaft im Jahr 2025 mehr als 238 Millionen US-Dollar. Insgesamt werden die Kosten von Internetabschaltungen für die Volkswirtschaften südlich der Sahara in diesem Jahr auf 1,11 Milliarden US-Dollar geschätzt. Noch schwerer wiegen jedoch die Kosten für die Demokratie.
Äthiopien: Mehr als 100 Millionen Menschen offline im Bürgerkrieg
In den vergangenen Jahren war Äthiopien mit über zehn dokumentierten Abschaltungen seit 2019 einer der größten Übeltäter für vorsätzliche Internet-Shutdowns in Afrika. Zwischen 2020 und 2022 wurden insbesondere die Regionen Tigray und Oromia in physische und digitale Isolation gestürzt. Während des Bürgerkriegs verhängte die Regierungen mehrere Abschaltungen, die nicht nur Dissidenten zum Schweigen brachten, sondern auch humanitäre Hilfe erschwerten.
Die Vereinten Nationen berichteten, dass von einem dreiwöchigen Shutdown im Juli 2020 mehr als 100 Millionen Menschen betroffen waren. Wie Berichte der #KeepItOn-Koalition hervorheben, fiel jede Abschaltung mit einer Eskalation der Gewalt zusammen. Ein Muster, das darauf hindeutet, dass das Ziel nicht „Sicherheit”, sondern strategische Unsichtbarkeit war.
Das Committee to Protect Journalists (CPJ) gehört zu den Organisationen, die die Inhaftierung von Journalisten und die gezielte Internetabschaltung verurteilten. In einem Land, in dem digitales Banking, Bildung und Katastrophenhilfe zunehmend auf Konnektivität angewiesen sind, lähmten diese Abschaltungen das Leben der Menschen.
Sudan: Shutdowns als Unterstützung für einen Militärputsch
Ein weiteres Beispiel ist der Sudan, wo Internet-Shutdowns die Geschichte der Militärherrschaft geprägt haben. Von 2019 bis 2023 hat die Regierung wiederholt den Zugang zum Internet gesperrt, um die Mobilisierung von Protesten und Reaktionen auf einen Staatsstreich einzuschränken. So zum Beispiel im Oktober 2021, als die Armee die zivile Führung festgenommen und den Internetzugang im gesamten Sudan abgeschaltet hat.
Die sudanesische Bevölkerung konnte fast einen Monat lang nicht mit Menschen innerhalb oder außerhalb des Sudan kommunizieren. Die Organisator:innen von Protesten waren auf Offline-Netzwerke und direkten Kontakt angewiesen, um Informationen in den Stadtvierteln weiterzugeben und Demonstrationen zu organisieren. Videos von militärischer Gewalt und Massenverhaftungen wurden wochenlang nicht hochgeladen, sodass die Armee ungestraft handeln konnte.
Human Rights Watch und andere Menschenrechtsorganisationen bezeichneten diese Störungen als vorsätzliche Behinderung der Justiz. Die Sperrung behinderte nicht nur den Informationsfluss, sondern unterdrückte den gesamten zivilgesellschaftlichen Handlungsspielraum. Laut Human Rights Watch hat die Präsenz von Militärkräften in Krankenhäusern den Zugang zu medizinischer Versorgung für Bedürftige beeinträchtigt oder verhindert, und „Mediziner sagten, dass der fehlende Internetzugang es ihnen noch schwerer gemacht habe, die Versorgung zu organisieren“. Auch die Arbeit von humanitären Helfer:innen wurde dadurch beeinträchtigt, dass sie keine Geldüberweisungen über Mobile-Banking-Apps empfangen konnten.
Ein Werkzeug für autoritäre Kräfte
Äthiopien und Sudan unterscheiden sich zwar politisch und kulturell, doch die zu beobachtende Vorgehensweise bei der Abschaltung von Kommunikationsdiensten ist ähnlich. Beide Regierungen nutzten Einschränkungen der Konnektivität nicht nur als vorübergehende Sicherheitsmaßnahmen, sondern auch als langfristige Strategien, um die öffentliche Debatte und die Verbreitung von Informationen zu kontrollieren.
Darüber hinaus schränken die Abschaltungen auch die Möglichkeiten von Oppositionsparteien und zivilgesellschaftlichen Gruppen ein. In vielen afrikanischen Ländern stützt sich die Opposition hauptsächlich auf Messaging-Apps, kostengünstige Livestreams und von Bürger:innenn geführte Wahlbeobachtungsnetzwerke.
Wenn diese Kanäle nicht mehr funktionieren, können Oppositionsparteien keine Wahlbeobachter:innen koordinieren, keine Beweise sammeln und keine Krisenteams entsenden. Auch zivilgesellschaftliche Kontrollinstanzen können die Wahlergebnisse nicht überprüfen, was den Regierungsparteien Spielraum für Manipulationen lässt. Darüber hinaus verlieren insbesondere Frauen und junge Aktivist:innen, die sich hauptsächlich online organisieren, ihre Mobilisierungsmacht. Organisator:innen an der Basis sind zusätzlich physischen Gefahren ausgesetzt, weil sie auf die Kommunikation von Tür zu Tür zurückgreifen müssen.
In Tansania berichteten Wahlbeobachter:innen, dass die Sperrung und die Schikanen durch die Polizei zu einer tiefen psychischen Erschöpfung geführt hätten. „Wir fühlten uns während des gesamten Prozesses machtlos“, erzählt uns Faustine*. „Es war nicht nur ein technisches Hindernis, sondern führte dazu, dass viele undemokratische Vorgänge in den Wahllokalen verschleiert wurden.“
Wie die Zivilgesellschaft Widerstand leistet
Zivilgesellschaftliche Organisationen in Afrika und anderen Teilen der Welt haben deutlich gemacht, dass Internet-Sperren ein wachsendes Menschenrechtsproblem darstellen, und organisieren Widerstand dagegen. So fechten beispielsweise die nigerianische Paradigm Initiative und die in Uganda ansässige CIPESA die Sperrung von Diensten vor Gericht an. Sie klären die Bürger über zivilen Ungehorsam, digitale Rechte und den Umgang mit Technologie auf.
Dutzende von NGOs haben die Afrikanische Erklärung der Internetrechte und -freiheiten unterzeichnet, die einen uneingeschränkten Internetzugang für die Region fordert. Leider haben die Regierungen diese Erklärung ignoriert. Neben Kontrolle ist auch die mangelnde Transparenz ein Problem. Berichte und Daten werden oft von globalen Initiativen wie der #KeepItOn-Koalition von Access Now zusammengestellt.
Der Einfluss der Zivilgesellschaft ist zwar oft indirekt, hat jedoch zunehmend rechtliche und politische Konsequenzen für Regierungen, die Abschaltungen verhängen. Laut Felicia Anthonio, #KeepItOn Global Campaign Manager bei Access Now, hat anhaltende Lobbyarbeit dazu geführt, dass Internet-Shutdowns überhaupt auf der globalen Menschenrechtsagenda stehen und dass regionale und internationale Gremien sie nun als Verletzung von Grundrechten anerkennen.
Gerichte wie der Gerichtshof der Westafrikanischen Wirtschaftsgemeinschaft ECOWAS haben gegen Abschaltungen in Ländern wie Togo, Nigeria, Senegal und Guinea entschieden und damit, so Anthonio, eine klare Botschaft gesendet, dass Internet-Shutdowns illegal sind und die Verantwortlichen zur Rechenschaft gezogen werden können.
Über Rechtsstreitigkeiten hinaus habe der Druck der Zivilgesellschaft auch dazu geführt, dass Regierungsbehörden in Ländern wie Ghana, Kenia und der Demokratischen Republik Kongo sich öffentlich dazu verpflichtet haben, das Internet während Wahlen aufrechtzuerhalten. Zudem seien Internet-Sperren in Ländern wie Sambia, Südsudan und Mauritius rückgängig gemacht oder vorzeitig beendet worden, erzählt die Aktivistin. Zwar hätten Regierungen nach wie vor die Macht, das Internet abzuschalten. Doch die Zivilgesellschaft arbeite stetig daran, Rechtsnormen, die öffentliche Meinung und Rechenschaftspflichten dahingehend zu anzupassen, damit Internet-Sperren der Vergangenheit angehören.
Was der Globale Norden tun kann
Internet-Shutdowns sind zwar ein „lokales Problem“ im Kontext autoritärer Staaten, doch eine regionale und afrikaweite Normalisierung kann auch zu einem Export autoritärer Methoden führen. Jede Internetsperre legitimiert und stärkt autoritäre Bestrebungen in Nachbarländern, sodass sie inzwischen auch in vermeintlich demokratischen Staaten zu beobachten sind.
Um Shutdowns zu unterbinden, bedarf es deshalb auch Druck von außerhalb des Kontinents. Westliche Regierungen und Technologieunternehmen verurteilen solche Störungen zwar oft, doch ihre Reaktionen bleiben meist symbolisch. Es gibt jedoch Ideen, wie Länder des Globalen Nordens einen tiefergehenden positiven Einfluss ausüben könnten.
Allen voran könnten sie den Export von Überwachungs- und Zensurwerkzeugen einstellen, die Shutdowns ermöglichen. Darüber hinaus könnten sie Gelder der Entwicklungshilfe an den Schutz digitaler Rechte knüpfen und so sicherstellen, dass Regierungen, die Unterstützung erhalten, nicht gleichzeitig Kommunikationsnetzwerke sabotieren können, ohne dass dies Konsequenzen hat. Auch die Unterstützung lokaler zivilgesellschaftlicher Gruppen ist wichtig, beispielsweise durch die Finanzierung von Schulungen zur digitalen Sicherheit oder durch Rechtsbeistand bei Gerichtsverfahren.
Wie Sophia Nabalayo, eine kenianische PR- und Kommunikationsspezialistin, gegenüber netzpolitik.org erklärt: „Afrikanische Aktivist:innen können vor Ort gegen Abschaltungen kämpfen, aber globale Akteure kontrollieren oft die Infrastruktur und die Finanzmittel, die Abschaltungen erst möglich machen. Wir brauchen Solidarität, nicht nur Erklärungen.“
* Die Namen wurden aus Sicherheitsgründen geändert und sind der Redaktion bekannt.
Über den Autor: Derrick Wachaya ist Kommunikationsexperte für Klimaschutz und freiberuflicher Journalist in Nairobi.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Großkonzern Palantir geht presserechtlich gegen das Schweizer Magazin „Republik“ vor. Das hatte in Recherchen nachgezeichnet, warum die Systeme des Unternehmens problematisch für Staaten und deren Souveränität sind. Das Magazin will sich von der Klage nicht einschüchtern lassen.
Palantir Geschäftsführer Alex Karp beim World Economic Forum in Davos. – Alle Rechte vorbehalten IMAGO / Avalon.red
Im Dezember hatte das Magazin berichtet, wie Palantir versuchte, in der Schweiz Fuß zu fassen – und wie das Schweizer Militär eine Zusammenarbeit ablehnte, weil es unter anderem zum Schluss kam, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne.
Wenige andere Medien haben in letzter Zeit so viel und so detailliert über Palantir berichtet wie das kleine leser:innenfinanzierte Schweizer Magazin mit seinen 30.000 Abonnent:innen. Palantir hingegen ist ein milliardenschwerer Überwachungs- und Datenkonzern, dessen Software zahlreiche Polizeibehörden, Militärs und Geheimdienste weltweit verwenden. Auch in Deutschland arbeiten Polizeien mit dem Unternehmen zusammen. Obwohl der Einsatz der Software von Palantir höchst umstritten ist, schaffen hierzulande neue Polizeigesetze gerade die rechtliche Grundlage für den ausgeweiteten Einsatz derartiger Software.
Offenbar macht investigativer Journalismus den Überwachungsriesen nervös: Im Dezember hatte Republik eine zweiteilige Recherche veröffentlicht, in der das Medium nachzeichnete, wie der Überwachungskonzern um unterschiedliche Schweizer Behörden geworben hatte. Grundlage der Recherche waren Dokumente, die das Rechercheteam durch Informationsfreiheitsanfragen erhalten hatte. Trotz sieben Jahren Klinkenputzen gelang es Palantir demnach nicht, einen Vertrag mit Schweizer Institutionen und Behörden abzuschließen.
Die Republik fand dabei etwa heraus, dass der Generalstab der Schweizer Armee die Software evaluiert hatte und zu dem Schluss gekommen war, dass die Armee auf den Einsatz von Palantir-Produkten verzichten sollte. Die Militärexperten fürchteten, dass ein Abfluss von Daten aus den Palantir-Systemen hin zu US-amerikanischen Geheimdiensten wie CIA und NSA technisch nicht verhindert werden könne.
Die Recherche fand international Widerhall, auch der Guardian berichtete. Britische Abgeordnete verwiesen auf die Schweizer Einschätzung. „Ich denke, die Schweizer Armee hat das Recht, misstrauisch zu sein“, sagte etwa der Labour-Abgeordnete Clive Lewis.
Weltpolitik vor dem Handelsgericht
Gegen diese Berichterstattung hatte Palantir laut der verantwortlichen Tech-Reporterin Adrienne Fichter in der Weihnachtszeit einen Blogbeitrag bei LinkedIn in Stellung gebracht, in dem der Palantir-Manager Courtney Bowman der Republik unter anderem Verzerrungen, Andeutungen und grenzwertige Verschwörungstheorien vorwarf. Am 29. Dezember verlangte Palantir Fichter zufolge dann per Anwaltsschreiben eine Gegendarstellung in der Republik. Das lehnte das Magazin nach eigener Aussage ab. Im Januar wiederholte der Konzern demnach seine Forderung. Die Republik lehnte wieder ab. Nun zieht Palantir also vor das Handelsgericht in Zürich um eine Gegendarstellung durchzusetzen.
Adrienne Fichter schreibt, dass der Krieg, den die autoritäre Tech-Oligarchie gegen die Medien führe, mit der Klage eine neue Stufe erreicht habe. Palantir wolle nicht, dass die Republik die Wahrheit schreibe. Die Berichterstattung mache das Unternehmen nervös. „Selbstverständlich haben wir uns stets an die hohen Standards journalistischer Arbeit gehalten. Vor der Veröffentlichung haben wir eine gründliche Faktenprüfung durchgeführt“, so Fichter weiter. Die Recherchen in Bezug auf die Schweiz und Zürich basierten neben den eigenen Erkenntnissen zudem auf der Berichterstattung renommierter Medien.
Laut Fichter hat die Republik eine „umfassende Verteidigungsschrift“ eingereicht. „Alle unsere Feststellungen können wir mit verschiedenen Dokumenten und öffentlich zugänglichen Medienberichten belegen.“ In Zürich werde nun vor dem Gericht bald Weltpolitik verhandelt, so Fichter weiter. Für sie ist klar: „Wir lassen uns nicht einschüchtern.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Internet-Dienste dürfen die Kommunikation ihrer Nutzer scannen, obwohl das eigentlich verboten ist. Die EU-Gesetzgeber wollen eine vorübergehende Ausnahme der Datenschutzrichtlinie zum zweiten Mal verlängern. Grundrechts-Eingriffe müssen verhältnismäßig sein, aber niemand kann die Verhältnismäßigkeit belegen.
Stimmt Chatkontrolle zähneknirschend zu: SPD-Abgeordnete Birgit Sippel. – Alle Rechte vorbehalten Europäisches Parlament
Die EU-Institutionen wollen Internet-Diensten weiterhin erlauben, die Kommunikation ihrer Nutzer freiwillig zu scannen, um sexuellen Missbrauch von Kindern zu suchen.
Seit 2021 gibt es eine „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation. Eine Verordnung erlaubt Internet-Diensten, die Kommunikation ihrer Nutzer zu scannen, um sexuellen Missbrauch von Kindern zu bekämpfen. Diese Übergangsverordnung war eigentlich auf drei Jahre befristet. Im April 2024 wurde die Ausnahme um zwei Jahre verlängert.
Die deutsche Sozialdemokratin Birgit Sippel hat dem Entwurf ein persönliches Statement beigefügt. Sie kritisiert, dass die Ausnahmeregelung eigentlich „streng befristet und außergewöhnlich“ sein sollte. Die CSA-Verordnung soll die Chatkontrolle dauerhaft regeln. Doch das seit 2022 verhandelte Gesetz ist bis heute nicht fertig. Die EU-Staaten haben erst im November ihre Position beschlossen, jetzt läuft der Trilog.
Die Berichterstatterin will die erneute Verlängerung daher auf ein Jahr begrenzen. Kommission und Rat fordern zwei Jahre. Internet-Dienste sollen ausschließlich nach Hash-Werten von bekanntem „Material über sexuellen Missbrauch von Kindern“ suchen. Kommission und Rat wollen auch unbekanntes Material und Grooming suchen. Ein Erwägungsgrund stellt klar, dass die Chatkontrolle Ende-zu-Ende-Verschlüsselung nicht „verbietet, schwächt oder untergräbt“.
Das Parlament kritisiert die Datenbasis, welche die Chatkontrolle begründen soll. Die EU-Kommission hat zweiBerichte zur freiwilligen Chatkontrolle erstellt. Doch die Daten reichen nicht aus, die Frage zu beantworten, ob die Chatkontrolle überhaupt verhältnismäßig ist. Sippel hält fest: „Die Faktenlage reicht nach wie vor nicht aus, um einen breiten Anwendungsbereich zu rechtfertigen.“
Trilog zur dauerhaften Chatkontrolle
Vertrauliche Kommunikation ist ein Grundrecht. Internet-Dienste dürfen in dieses Grundrecht nur eingreifen, wenn ein Gesetz das vorschreibt. Dieses Gesetz gibt es nicht. Der Eingriff muss notwendig und verhältnismäßig sein. Die Kommission kann die Verhältnismäßigkeit nicht belegen. Das hat auch der Europäische Datenschutzbeauftragte immerwieder kritisiert.
Trotzdem soll die „vorübergehende Ausnahme“ jetzt zum zweiten Mal verlängert werden. Als nächstes verhandelt das EU-Parlament den Entwurf. Im März soll das Parlament die Position beschließen.
Parallel dazu verhandeln die Gesetzgeber die CSA-Verordnung mit der dauerhaften Chatkontrolle. Der Trilog behandelt unter anderem die Frage, ob Anbieter auch gegen ihren Willen zur Chatkontrolle verpflichtet werden können.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Im vergangenen Jahr gab es mindestens 55 Angriffe gegen Journalist*innen in Deutschland, berichtet Reporter ohne Grenzen. Weiter warnt die Organisation vor starker psychischer Belastung im Rahmen der Gaza-Berichterstattung und zunehmender Polarisierung.
Jedes Jahr veröffentlichen Reporter ohne Grenzen einen Bericht zur Lage der Pressefreiheit in Deutschland. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Oleg Laptev (@snowshade); Bearbeitung netzpolitik.org
Die erfassten physischen Angriffe auf Journalist*innen in Deutschland sind im Vergleich zum Vorjahr gesunken, die Attacken auf IT-Systeme dafür auf einen neuen Höchstwert gestiegen. Im jährlich erscheinenden RSF-Report informiert die Organisation Reporter ohne Grenzen über die Lage der Pressefreiheit in Deutschland.
Von einer höheren Dunkelziffer sei auszugehen, konstatiert der Bericht bei einem Rückgang der Angriffe auf Medienschaffende von 89 (2024) auf 55 (2025). Konnten Fälle nicht unabhängig überprüft werden, sind sie nicht in die Statistik geflossen. Die Zahl errechne sich aus 46 physischen Angriffen, drei Sachbeschädigungen an Redaktionsgebäuden und sechs „Cyberattacken“.
„Das ist die höchste dokumentierte Zahl von Hackerangriffen seit Beginn des Monitorings im Jahr
2015“, schreibt RSF. Zum Beispiel sei die Website der taz am Tag der Bundestagswahl für zwei Stunden durch eine DDoS-Attacke lahmgelegt worden.
41 der körperlichen Attacken auf Journalist*innen sind laut Bericht auf Demos, Parteiveranstaltungen oder Protestaktionen passiert. Am häufigsten seien Attacken in Form von Tritten und Schlägen gewesen, auch mit Gegenständen. Täter*innen hätten Medienschaffende auch zu Boden gestoßen, die Brille von der Nase geschlagen oder mit einem Stein beworfen.
„Journalist*innen wurden 2025 bei Recherchen im rechtsextremen Umfeld immer wieder bedrängt,
geschubst, bespuckt, körperlich angegriffen oder anderweitig in ihrer Arbeit behindert“, schreibt RSF weiter. Außerdem seien Medienschaffende im Rahmen von Palästina-solidarischen Demos angegriffen worden.
Gerade die Berichterstattung zu Gaza polarisiert die deutsche Medienlandschaft, hält RSF fest. Viele Medienschaffende beklagten sich demnach über „eingeschränkte Themenwahlen, restriktive Sprachvorgaben und Angst vor Antisemitismusvorwürfen“. Die Folge sei „starke psychische Belastung bis hin zur Selbstzensur“. Belastend seien etwa Kämpfe über die Deutungshoheit innerhalb der jeweiligen Redaktionen gewesen, aber auch digitaler Hass und Hetze.
Der Druck von außen lässt sich auch empirisch belegen. RSF verweist auf eine repräsentative Studie der Universität München. Die Forschenden haben untersucht, ob die Menschen die deutsche Berichterstattung seit dem Überfall der Hamas am 7. Oktober 2023 als ausgewogen oder parteiisch wahrnehmen. Das Ergebnis: Nur rund ein Viertel halte die Berichterstattung für ausgewogen. „Etwa 30 Prozent der Befragten erkennt pro-israelische Voreingenommenheit, während neun Prozent pro-palästinensische Befangenheit sehen“, fasst RSF die Studie zusammen.
Exiljournalist*innen erleben Verfolgung
In besondere Gefahr würden immer wieder Exil-Journalist*innen in Deutschland geraten, die im Visier ihrer autoritär regierten Herkunftsstaaten sind. RSF bewertet die Situation für afghanische, russische, belarussische und iranische Journalist*innen als lebensbedrohlich. Die Organisation kritisiert die Bundesregierung für die Aussetzung humanitärer Aufnahmeprogramme.
Betroffene Exil-Journalist*innen in Deutschland berichten von Überwachungs- und Einschüchterungskampagnen. So hätten mehrere iranische Exiljournalist*innen gesagt: „Ich weiß nicht, ob ich nur paranoid bin.“ Zu den mutmaßlichen Attacken gehören demnach Phishing, versuchte Account-Übernahmen oder Beschattung auf der Straße.
Warnung vor Polarisierung
Als weitere Gefahr für die Pressefreiheit benennt RSF Tendenzen zur politischen und medialen Polarisierung. Stabilisierende Faktoren seien das Mehrparteiensystem, starke öffentlich-rechtliche Sender und ein vielfältiges Medienangebot. Dennoch nehme die Polarisierung zu, auch durch ein „neues publizistisches Milieu“ aus dem rechtspopulistischen und rechtsextremen Spektrum. Es sei mittlerweile professioneller und finanziell besser ausgestattet.
Weiter kritisiert der Bericht US-amerikanische soziale Medien. „Ihre Algorithmen favorisieren Desinformation; plattformintegrierte Faktenchecks wurden inzwischen abgeschafft.“ Die Trump-Regierung unterstütze Widerstand gegen Tech-Regulierung.
Manche Forderungen aus dem vorigen Bericht sind auch dieses Jahr aktuell: RSF positioniert sich weiterhin gegen die Einführung der Chatkontrolle, also das Vorhaben der EU-Kommission, Online-Dienste auf Anordnung dazu zu verpflichten, private Kommunikation zu durchleuchten, um Darstellungen von Kindesmissbrauch zu suchen. „Chatkontrolle untergräbt den Quellenschutz; niemand könnte sich mehr der Privatheit der eigenen Kommunikation sicher sein“, warnt RSF.
Auch den Einsatz von Staatstrojanern kritisiert RSF. So nennt man es, wenn Sicherheitsbehörden Geräte von Bürger*innen hacken, um sie zu heimlich überwachen. Auch Journalist*innen können ins Visier geraten.
Die zunehmende Nutzung von sogenannten KI-Modellen bereiten dem Bericht zufolge fast allen Medien „ernsthafte Sorgen“. Gerade Werkzeuge, die Artikel zusammenfassen, würden Traffic und Werbeeinnahmen von originalen journalistischen Inhalten weg leiten und damit „die finanzielle Existenz von Verlagen und Medienschaffenden“ gefährden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die 2. Kalenderwoche geht zu Ende. Wir haben 9 neue Texte mit insgesamt 72.901 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.
– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser*innen,
in der zweiten Woche des Jahres hat uns unter anderem die anhaltende Tatenlosigkeit zum Chatbot Grok beschäftigt. Seit wir am Mittwoch über Musks polemische Reaktion und die leeren Worte der Sprecher*innen von X berichtet haben, geht die Woche ohne nennenswerte Reaktion der dort Verantwortlichen zu Ende.
Dafür hielt der Freitag ein Update des Chatbots bereit: Die Bildgenerierung von Grok ist nun nur noch zahlenden Abonnent*innen vorbehalten und steht nicht mehr allen Menschen auf der Plattform X zur Verfügung. Laut den Medienberichten ist das Tool aber noch über die Grok-App und -Website verfügbar. In Zukunft heißt es dann einfach: Wer in Musks dicke Tasche einzahlt oder einen kleinen Umweg nimmt, kann weiter sexualisierte Deepfakes verbreiten.
Die Frage bleibt, wie lange Regulierungsbehörden noch bei so etwas zusehen oder ob sie doch irgendwann in Aktion treten.
In den vergangenen Tagen war besonders Kritik aus Frankreich und Großbritannien gegenüber X laut zu hören. Der britischen Kommunikationsbehörde Ofcom steht inzwischen frei, Sanktionen gegen xAI und Grok zu verhängen. Laut des britischen Online Safety Act ist als letzter Schritt sogar eine Sperre von X möglich.
Die EU-Kommission geht einen anderen Weg. Sie hat am Donnerstag bei Musks Unternehmen angewiesen, dass dieses interne Dokumente und Daten zu Grok bis Ende 2026 aufbewahren muss. Zu einem späteren Zeitpunkt könnte dann eine Untersuchung beginnen.
Politiker*innen hängen zu sehr an der Plattform
Das eigentlich Verwunderliche an dieser neuen Episode des Absturzes der einstigen Informationsplattform ist jedoch die eher achselzuckende Reaktion von Abgeordneten, Bundesministerien und auch der EU-Kommission. Sie posten einfach weiter auf der Plattform X, als sei in den vergangenen Jahren, Monaten und Wochen nichts passiert.
Sie tun so, als habe Musk nicht X um eine funktionierende Moderation beraubt, als habe es keine Eingriffe des Milliardärs in Wahlkämpfe zu Gunsten rechter Parteien gegeben, als sei X noch eine normale Plattform und nicht ein Instrument zum Pushen rechtsradikaler Narrative geworden. Nun kommt also sexualisierte digitale Gewalt direkt aus Musks Chatbot dazu – und Ministerien und Abgeordnete berufen sich auf eine angebliche Informationspflicht, die sie quasi zum Bleiben auf der Plattform zwinge. Dabei gibt es seit Musks Plattformübernahme zahlreiche bekannte Stimmen und Institutionen, die einfach Schluss mit X gemacht haben.
Wir haben Bundestagsabgeordnete, zwei deutsche Ministerien und die EU-Kommission gefragt, warum sie immer noch auf X aktiv sind: Mehr Lavieren als in diesen Antworten geht kaum.
Euch ein schönes Wochenende mit Schneespaziergängen statt X
Laura
Trugbild: Nur hier für die Kommentare
Rezensions- und Kommentarspalten sind kleine Oasen des Internets. Denn überall dort, wo Menschen ins Netz schreiben können, entsteht Leben. Von Vincent Först – Artikel lesen
Datenzugang für Nutzer:innen und Forschung: „Wir haben das Recht auf unserer Seite“
Zwei Forschende haben verschiedene Wege genutzt, um an die Daten großer Plattformen zu kommen. In einem Vortrag auf dem 39. Chaos Communication Congress berichten sie von Hindernissen, aber auch davon, wie wertvoll das Recht auf Datenzugang ist. Von Anna Biselli – Artikel lesen
Argentinien: Per Dekret in die dunkle Vergangenheit
Der argentinische Präsident Javier Milei baut die Demokratie ab und die Online-Überwachung aus. Jetzt hat die Regierung per Dekret buchstäblich über Nacht den Geheimdienst in eine Super-Überwachungsbehörde umgewandelt. Journalist*innen und Aktivist*innen sind alarmiert. Von Gastbeitrag, Nina Galla – Artikel lesen
Vorhersehbare Forderung: Gegen Stromausfall helfen keine Überwachungskameras
Die Wirtschaftssenatorin Franziska Giffey nutzt die Notfallsituation in Berlin, um sich mit der Forderung nach mehr Videoüberwachung zu profilieren. Sie will auch „Künstliche Intelligenz“ einsetzen. Doch mehr Kameras helfen nicht, wenn es eigentlich andere Maßnahmen braucht. Ein Kommentar. Von Constanze – Artikel lesen
Hacken & Kunst: „Kunst allein reicht nicht aus“
Helena Nikonole hat Kameras in Russland gehackt und Anti-Kriegsbotschaften verbreitet. Nun entwickelt die Künstlerin ein winziges Gerät, um ohne Internet Nachrichten zu verschicken. Mit kreativen und praktischen Lösungen will sich Nikonole einer zusammenbrechenden Welt entgegenstellen. Von Timur Vorkul – Artikel lesen
Hacking & Art: „Art alone is not enough“
Helena Nikonole hacked cameras in Russia and spread anti-war messages. Now the artist is developing a tiny device to send messages without using the internet. With creative and practical solutions, Nikonole aims to confront a collapsing world. Von Timur Vorkul – Artikel lesen
Digitale Gewalt: Musks Chatbot Grok verbreitet weiter sexualisierte Deepfakes
Nachdem sein Chatbot Grok weiterhin sexualisierte Bilder von prominenten Frauen und Minderjährigen erstellt, sieht sich Elon Musk mit möglichen rechtlichen Konsequenzen konfrontiert. Den Trend zu KI-generierten sexuellen Inhalten und digitaler Gewalt gegen weibliche Personen wird das wohl nicht aufhalten. Von Laura Jaruszewski – Artikel lesen
Immer wieder wird Chatbot-Herstellern vorgeworfen, die Sicherheit von Kindern und Jugendlichen zu gefährden. In fünf Fällen wollen Character Industries und Alphabet die Klagen mit Geld aus der Welt schaffen. Damit sorgen die Unternehmen dafür, dass es weiterhin keinen Präzedenzfall gibt, nach dem Techunternehmen für ihre KI-Chatbots rechtliche Konsequenzen tragen müssen. Von Laura Jaruszewski – Artikel lesen
Digitale Gewalt: Abgeordnete, Ministerien und EU-Kommission bleiben auf Deepfake-Plattform X
X hat sich in den letzten Jahren nicht nur zur rechten Propagandaschleuder entwickelt, die Plattform erlaubte seit Ende Dezember auch das Generieren von sexualisierten Deepfake-Bildern. Wir haben Politiker, Ministerien und EU-Kommission gefragt, warum sie trotzdem auf der degenerierten Plattform bleiben. Von Markus Reuter – Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
X hat sich in den letzten Jahren nicht nur zur rechten Propagandaschleuder entwickelt, die Plattform erlaubte seit Ende Dezember auch das Generieren von sexualisierten Deepfake-Bildern. Wir haben Politiker, Ministerien und EU-Kommission gefragt, warum sie trotzdem auf der degenerierten Plattform bleiben.
Auch Bundeskanzler Friedrich Merz postet unbeeindruckt weiter auf der Deepfake-Plattform X, die früher mal Twitter hieß. – Alle Rechte vorbehalten IMAGO / Hanno Bode
Auf der Plattform X war es seit Ende Dezember möglich, mit dem Chatbot Grok sexualisierte Deepfakes von Erwachsenen und Minderjährigen zu erstellen. Eine Deepfake-Forscherin geht laut Bloomberg davon aus, dass stündlich etwa 6.700 sexualisierte Deepfake-Bilder mittels des Chatbots generiert wurden, die meisten davon von Frauen und ohne deren Zustimmung. Laut dem Bericht wurden solche Bilder auch nach einer Beschwerde-Meldung nicht durch die Moderation der Plattform entfernt. Nachdem die EU-Kommission am Donnerstag angewiesen hatte, dass X interne Dokumente zu Grok aufbewahren muss, hat die Plattform heute die Bildgenerierung eingeschränkt.
Eine Sprecherin der Unabhängigen Bundesbeauftragten gegen sexuellen Missbrauch von Kindern und Jugendlichen bewertet das Generieren von Deepfakes auf X kritisch: „Die niedrige Zugangsschwelle verändert das Ausmaß. Was früher technisches Wissen und verdeckte Netzwerke erforderte, ist heute per Texteingabe möglich.“ Dabei seien die Produkte hochrealistisch. Sie ließen sich kaum von echten Aufnahmen unterscheiden.
„Durch KI-generierte Missbrauchsdarstellungen entsteht konkreter Schaden: Sexualisierung kindlicher Körper, Weiterverbreitung von Gewaltbildern und die Normalisierung einer Täterperspektive“, so die Sprecherin weiter.
Wir haben deswegen exemplarisch beim Innen- und Familienministerium sowie zufällig ausgesuchten Bundestagsabgeordneten aller demokratischen Fraktionen, die X für ihre Kommunikation nutzen, angefragt, warum sie weiterhin auf so einer Plattform posten und ob sie nicht befürchten, dass die Plattform ihrer eigenen Reputation schaden könnte. Zudem haben wir in Brüssel die EU-Kommission gefragt, ob sie Konsequenzen aus den jetzigen Deepfakes zieht.
Abgeordnete von Grünen, Linken und Union zögern
Bei der Linken hatten wir die Vorsitzende und Bundestagsabgeordnete Ines Schwerdtner gefragt. Sie sagte, dass in Partei und Fraktion derzeit Gespräche über den weiteren Umgang mit X laufen würden. „Entscheidend ist, dass wir dabei zu einem gemeinsamen Vorgehen kommen.“ Ob und wann mit Ergebnissen in diesem Prozess zu rechnen ist, sagte Schwerdtner nicht.
Bei den Grünen hatten wir Britta Haßelmann, Konstantin von Notz und Agnieszka Brugger angefragt – und bekamen eine Sammelantwort der Pressestelle der Bundestagsfraktion. Die sagt lediglich, dass es für Politiker immer wichtig sei, den Dialog zu suchen und dafür auch Social Media zu nutzen. „Die Vorgänge auf X sind allerdings zweifellos indiskutabel“, heißt es weiter im Statement. Die Bundestagsfraktion beobachte die Entwicklungen der Plattform schon seit einiger Zeit mit Sorge und diskutiere auch die Konsequenzen in der Fraktion. Wann ein Punkt für Konsequenzen erreicht sei und warum man das Indiskutable diskutiere, sagte die Pressestelle nicht.
„Zunehmend eine Gratwanderung“
Bei der Union hat der Außenpolitiker Roderich Kiesewetter geantwortet: „Ich sehe die Nutzung von X zunehmend als Gratwanderung und bin zwiegespalten.“ Zwar sprächen die Veränderung der Diskussionskultur, die mangelnde Durchsetzung von Richtlinien, die Intransparenz der Algorithmen und auch die Ermöglichung von Deepfakes „eher dafür“ die Plattform zu verlassen, vieles davon treffe aber auch auf andere Plattformen zu.
Als Politiker sei es seine Aufgabe mit Argumenten und Inhalten Bürgerinnen und Bürger von politischen Lösungen oder Einschätzungen zu überzeugen und politisch zu kommunizieren. Solange die Abkehr von bestimmten Plattformen aus rechtlichen oder sicherheitsrelevanten Gründen nicht von Deutschland oder der EU empfohlen werde, setze er darauf, dass die EU durch Durchsetzung von Regelungen den Einfluss behalte.
„Die Gefahr, dass die Reputation leidet, gibt es leider bei vielen Internetmedien, insbesondere rechtspopulistischen, die z.B. Aussagen in seriösen Medien aus dem Zusammenhang reißen, verkürzen und zu Desinformationszwecken nutzen, dies halte ich persönlich für nochviel gravierender“, so Kiesewetter weiter.
Innen- und Familienministerium mit Standard-Antwort
Dürr fallen die Antworten der angefragten Ministerien aus. Das Bundesinnenministerium (BMI) antwortet auf die Frage, warum es weiterhin auf einer solchen Plattform poste: „Im Rahmen seiner Presse- und Öffentlichkeitsarbeit informiert das BMI auf vielfältige Weise über seine Arbeit und kommt seinem verfassungsrechtlich gebotenen Auftrag nach, Bürgerinnen und Bürger über Regierungshandeln zu informieren.“ Auf die Frage, ob das Ministerium nicht eine Gefahr für seine Reputation in einem solchen Umfeld sehe, antwortet es lapidar: „Die Fortsetzung unserer Präsenzen auf Social Media Plattformen überprüfen wir fortlaufend.“
Eine ähnliche Antwort gibt auch das Familienministerium (BMBFSFJ). Es gehöre zur Erfüllung des Informationsauftrags, in den sozialen Medien mit verlässlichen Informationen präsent zu sein. „Dabei verstehen wir unsere Aktivitäten nicht als Unterstützung der Plattformen, sondern als Erfüllung unseres Informationsauftrages an den digitalen Orten, an denen Menschen sich informieren und austauschen.“ Das Ministerium beobachte „die aktuellen Entwicklungen auf den verschiedenen Plattformen genau“. Dazu gehöre auch, dass das Ministerium fortlaufend kritisch hinterfrage, auf welchen Plattformen es kommuniziere.
Ähnliche Antworten haben die Ministerien seit Monaten und auch schon unter der Ampel-Regierung gegeben.
EU-Kommission will „diversifizieren“
Kommissionssprecher Thomas Regnier sagte auf einer Pressekonferenz auf Nachfrage von netzpolitik.org: „Wir sind noch immer auf X aktiv, aber wir sind dabei, stark zu diversifizieren“. Man sei auf 14 Social-Media-Plattformen aktiv und überprüfe die Social-Media-Präsenz der EU-Kommission regelmäßig, das gelte auch für X.
Ähnlich wie die deutschen Ministerien argumentierte Kommissionssprecherin Arianna Podestà, dass es wichtig sei das „Publikum mit unseren Botschaften zu erreichen.“ Wenn dieses Publikum auf X sei, werde die EU-Kommission dort mit diesem in Kontakt treten.
Die Sprecherin dementierte den Vorwurf eines Journalisten, dass die EU-Kommission X bevorzuge. Was die Zukunft der EU-Kommission auf der Plattform angehe, wollte sich die Sprecherin nicht festlegen: „Nichts ist in Stein gemeißelt. Wir versuchen immer, unsere Präsenz zu verbessern.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Nachdem sein Chatbot Grok weiterhin sexualisierte Bilder von prominenten Frauen und Minderjährigen erstellt, sieht sich Elon Musk mit möglichen rechtlichen Konsequenzen konfrontiert. Den Trend zu KI-generierten sexuellen Inhalten und digitaler Gewalt gegen weibliche Personen wird das wohl nicht aufhalten.
Der Chatbot Grok erstellt sexualisierte Deepfakes von Minderjährigen – Gemeinfrei-ähnlich freigegeben durch unsplash.com Salvador Rios
Seit Ende Dezember flutet Elon Musks KI-Chatbot Grok die Kurznachrichtenplattform X mit sexualisierten Deepfakes. User*innen haben das Programm aufgefordert, Bilder von bekannten Frauen und Minderjährigen mit nur minimaler Bekleidung und in sexualisierten Posen darzustellen. Inzwischen kursieren auch KI-generierte Bilder von bekannten Frauen in Hakenkreuz-Bikinis.
Auf den weltweiten Aufschrei folgte zunächst nur eine Reaktion des Chatbots selbst, der von „Schwachstellen in den Sicherheitsvorkehrungen“ schrieb, die behoben werden müssten. Elon Musk hatte sich über die Vorwürfe zuerst amüsiert, indem er ein Bild von sich selbst im Bikini postete. Dann kündigte ein Sprecher von X jedoch an, dass das Generieren und Verbreiten „illegaler Inhalte“ die gleichen Konsequenzen für Accounts haben werde, als würden sie die Inhalte selbst hochladen.
Zwar wurden inzwischen einzelne Inhalte gelöscht, weitere Konsequenzen erfolgten bisher jedoch nicht. Entsprechende Bilder kursieren zudem weiter auf der Plattform.
Betroffen sind vor allem Frauen und Kinder
Die Möglichkeit zur Erstellung sexualisierter Fake-Bilder hatte Musks KI-Unternehmen xAI kürzlich mit einem Update für den Chatbot geschaffen. Seit Dezember 2025 kann Grok durch den „Image Generation Release“ auch bestehende Bilder bearbeiten, die Nutzer*innen hochladen. Letzten Sommer hatte das Unternehmen bereits einen „Spicy Mode“ für pornographische Inhalte veröffentlicht, den das neue Feature ergänzt.
Die Bildbearbeitungsfunktion ist auch auf X verfügbar. Wollen User*innen damit Deepfakes erstellen, zum Beispiel von Menschen im Bikini, benötigt der KI-Chatbot dafür weder eine Zustimmung der Urheber*innen, noch erfahren diese von der Manipulation. Opfer der sogenannten Deepnudes sind – nicht nur in diesem Fall digitaler Gewalt – vor allem Frauen und junge Mädchen.
Auch die rechte Influencerin Ashley St. Clair, mit der Elon Musk ein gemeinsames Kind hat, gehört zu den Zielen. Ihre öffentliche Kritik an Musks Chatbot hat den Missbrauch jedoch nur verstärkt. Nutzer*innen hatten unter anderem Bilder von ihr als 14-Jährige, im Bikini und in nach vorne gebeugter Pose erstellen lassen. Wie St. Clair berichtet, habe es nach ihrer Beschwerde bei der Plattform zwölf Stunden gedauert, bis X das gefakte Kinderbild entfernt hat.
Ein Fall für den Digital Services Act
Nach eigenen Angaben will Ashley St. Clair nun ein kürzlich verabschiedetes US-Gesetz nutzen, um sich zu schützen. Der Take it Down Act soll Menschen helfen, gegen die nicht-einvernehmliche Verbreitung sexualisierter Bilder vorzugehen.
Einem Bericht von heise online zufolge prüfen in Frankreich derweil bereits Staatsanwälte, wie man mit dem Digital Services Act der EU auf die Fälle reagieren kann. Auch die Europäische Kommission sieht in den sexualisierten Bildern einen Fall für den Digital Services Act. Das Vorgehen reiht sich in laufende Untersuchungen gegen X wegen Verstößen gegen europäische Plattformgesetze ein.
Auch Meta und OpenAI setzten auf erotische Inhalte
KI-generierte Erotikinhalte sind inzwischen kein Nischenphänomen mehr. Vielmehr setzen KI-Firmen im großen Stil auf romantische und sexuelle Inhalte, um ihre Bots zu vermarkten. So kündigte Sam Altman, Vorstandschef von Open AI, im Oktober 2025 einen Erotik-Modus für ChatGPT an. Das Add-on ist noch nicht verfügbar und soll nach einer Altersprüfung nutzbar sein.
Meta wiederrum stand kürzlich in der Kritik, weil sein Chatbot Meta AI auf Facebook, WhatsApp und Instagram auch Minderjährigen romantische Interaktionen ermöglichte.
Im Fall eines Rentners aus New York führte eine romantische Konversation sogar zu einem tödlichen Unfall. Der 76-Jährige hatte sich in den Meta-Chatbot „Big Sis Billie“ verliebt und wurde von diesem aufgefordert, ihn an einer bestimmten Adresse zu besuchen. Der Chatbot beteuerte mehrmals, wirklich real zu sein. Auf dem Weg zu dem vermeintlichen Date stürzte und verstarb der Rentner.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der argentinische Präsident Javier Milei baut die Demokratie ab und die Online-Überwachung aus. Jetzt hat die Regierung per Dekret buchstäblich über Nacht den Geheimdienst in eine Super-Überwachungsbehörde umgewandelt. Journalist*innen und Aktivist*innen sind alarmiert.
Immer wieder kommt es in Argentinien bei Demonstrationen zu willkürlichen Verhaftungen und Repressionen. – Alle Rechte vorbehalten IMAGO / ZUMA Press Wire
Die Feierstimmung über das neue Jahr hielt in Argentinien gerade einmal einen Tag an. Am 2. Januar wurde bekannt, dass die Regierung Milei zwei Tage zuvor in den letzten Minuten des alten Jahres das Notstandsdekret 941/2025 erlassen hatte. Das Dekret erweitert die Befugnisse des argentinischen Geheimdienst SIDE (Secretaría de Inteligencia del Estado) deutlich.
Demnach können ab sofort alle Aktivitäten des SIDE „verdeckt“ erfolgen. Agent*innen können zudem Verhaftungen ohne Haftbefehl vornehmen, zur Unterstützung kann der SIDE die Armee für Inlandseinsätze anfordern und Personenregister-Behörden müssen Daten an den Geheimdienst herausgeben.
Das Vorgehen weckt Erinnerungen an die argentinische Militärdiktatur. Argentinien hatte sich jahrelang vorbildlich darum bemüht, die Diktatur aufzuarbeiten, Milei dreht das Rad nun wieder zurück. „Dieses Dekret führt zur bisher gravierendsten Veränderung, da den Geheimdiensten seit der zivil-militärischen Diktatur keine derartigen Befugnisse eingeräumt wurden“, zeigt sich Beatriz Busaniche von der Stiftung Vía Libre besorgt.
SIDE verteidigt die Notwendigkeit der Reform auf X mit Verweis auf „die aktuellen globalen Herausforderungen und die neue Rolle, die die Argentinische Republik unter der Führung von Präsident Javier G. Milei auf der Weltbühne einnimmt“. Laut der Stellungnahme des Geheimdienstes, die auch die Tageszeitung Pagina 12 veröffentlichte, streben SIDE und Mileis Regierung „ein modernes, professionelles und effizientes nationales Nachrichtendienstsystem [an], das den höchsten demokratischen und republikanischen Standards entspricht.“
Diesem Ziel seien laut Regierung auch jene Teile der Reform verpflichtet, die den Umbau weiterer Behörden vorsehen. Die Regierung brüstet sich, damit der staatlichen Verfolgung von Journalist*innen und Bürger*innen ein Ende zu setzen.
Die Bürgerrechtsorganisation Centro de Estudios Legales y Sociales (CELS) kritisiert, dass es genau anders herum sei: Durch den Wechsel des Schwerpunkts des SIDE vom Schutz der nationalen Sicherheit auf Spionageabwehr insbesondere im Inland erlaube die Reform die Verfolgung von Aktivist*innen, Journalist*innen, Indigenen und anderen Regierungskritiker*innen überhaupt erst.
Diese Schlussfolgerung zieht auch Via Libre. Zudem erschwere der komplexer werdende Zuschnitt der Behörden und Sekretariate eine Kontrolle des Geheimdienstes, beklagt Busaniche.
Wie Javier Milei die Zivilgesellschaft systematisch schwächt
Die Reform steht für die wachsende Repression und Überwachung durch die argentinische Regierung seit dem Amtsantritt Mileis im Dezember 2023.
Der rechts-libertäre Politiker trat als Außenseiter zu Wahl an und kam nur durch die Unterstützung rechter Parteien an die Macht. Seither hat seine Regierung die Zivilgesellschaft in Argentinien systematisch geschwächt.
So schränkte die Regierung gleich zu Beginn das Recht auf öffentlichen Straßenprotest stark ein („Ley Antipiquetes“, zu Deutsch: Kundgebungsverbot). Es folgten Gesetze, die vordergründig den Drogenhandel bremsen sollen, dabei jedoch auch Aktivisti treffen („Ley Antimafia“) sowie eine Reform der Online-Überwachung („Ley Ciberpatrullaje“). Außerdem erhielt die Polizei eine neue „KI-Einheit“, die Unidad de Inteligencia Artificial Aplicada a la Seguridad, UIAAS.
Zivilgesellschaft ist unvorbereitet
Die Zivilgesellschaft Argentiniens ist insbesondere auf die zunehmende Online-Überwachung nicht ausreichend vorbereitet. Weil es keine Netzneutralität gibt, sind die Meta-Plattformen WhatsApp und Instagram weit verbreitet, Signal ist hingegen kaum bekannt, Mastodon schon gar nicht.
Andere Organisationen wie CELS und Amnesty International Argentina sind zwar größer, haben jedoch alle Hände voll damit zu tun, die fortwährenden Attacken aus der Casa Rosada, dem Regierungssitz in Buenos Aires, gegen die Bevölkerung abzuwehren, Klagen einzureichen und Gerichtsprozesse zu führen. Dabei können sie durchaus Erfolge vorweisen. So erzielten CELS und andere Organisationen im vergangenen Jahr einen juristischen Sieg, als ein Bundesverwaltungsgericht das Kundgebungsverbot nach zwei Jahren für verfassungswidrig erklärte.
Gesichtserkennung wird ausgeweitet
Zivilgesellschaftliche Klagen führten im Jahr 2023 auch zu einem Verbot von Gesichtserkennung im öffentlichen Raum (Sistema de Reconocimiento Facial de Prófugos, SRFP). Allerdings gilt dieses Verbot nur für die damalige Anwendung in der argentinischen Hauptstadt Buenos Aires. In anderen Städten kommt die Gesichtserkennung weitgehend ungehindert zum Einsatz.
Auf der Karte „Surveillance under Surveillance“ vom Chaos Computer Club Hamburg sind die Orte von Kamera-Überwachung weltweit kartografiert, auch argentinische Städte sind darunter. Wie viele Kameras es genau in Argentinien gibt und welche davon Gesichtserkennung einsetzen, ist unbekannt. Verschiedene Organisationen kommen dabei zu unterschiedlichen Einschätzungen.
Und laut der „SurveillanceWatch“ operieren in Argentinien aktuell 25 internationale Unternehmen der Überwachungs-Industrie. Unter ihnen sind Unternehmen wie Cellebrite, Clearview AI und Hikvision, deren Anwendungen in anderen Ländern für massive Kritik sorgen. In Buenos Aires wird die Gesichtserkennung im öffentlichen Raum wahrscheinlich schon bald wieder angewandt, die dortige Staatsanwaltschaft hat im vergangenen Jahr Clearview-Lizenzen eingekauft.
Tausende Opfer durch Polizeigewalt
Die zunehmende Überwachung ist für die meisten Menschen in Argentinien nicht das größte Problem. Sie sind vielmehr damit beschäftigt, gegen die alltägliche Polizeigewalt sowie die Kürzungen im Gesundheits- und Bildungswesen zu kämpfen. Und auch die hohe Arbeitslosigkeit und steigenden Lebenshaltungskosten lassen die staatliche Überwachung und Repression in den Hintergrund rücken. „Sie verhaften uns sowieso, wenn sie wollen“, lautet der Tenor der politisch Aktiven.
Tatsächlich kommt es bei Demonstrationen regelmäßig zu willkürlichen Verhaftungen. Die Personen werden zwar meist schnell wieder freigelassen, harmlos ist der Kontakt zur argentinischen Polizei aber keineswegs.
Immer wieder erschießen Polizist*innen Menschen. Im Sommer 2025 töteten Beamt*innen in Buenos Aires ein siebenjähriges Kind; zuletzt kamen in den Tagen nach Weihnachten zwei Personen ums Leben. CORREPI zählt seit Ende 2023 mehr als 1.000 Tote und 1.500 Verletzte – inklusive Pressevertreter*innen – als Opfer staatlicher Gewalt.
Für 2024 hat CORREPI errechnet, dass die Stadtpolizei von Buenos Aires wegen ihrer Schusswaffeneinsätze zu den tödlichsten in ganz Argentinien zählt. Eine Polizeieinheit, mit der übrigens die Bayerische Landespolizei kooperiert, ohne das verwerflich zu finden.
Opposition will Dekret abwehren
Durch die Reform der Regierung Milei wird die Überwachung, die Repression und die Gewalt im Land weiter zunehmen. Die neue KI-Einheit UIAAS untersteht zwar dem Sicherheitsministerium und die Gesichtserkennung steht auf der Agenda der Staatsanwaltschaft der Hauptstadt. Doch es muss davon ausgegangen werden, dass es auch Verknüpfungen zur SIDE geben wird.
Manuel Tufró, Direktor für Justiz und Sicherheit bei CELS, ist wenig optimistisch, dass Parlament, Justiz und Zivilgesellschaft Transparenz herstellen können: „Es wird äußerst schwierig sein, die eingesetzten Werkzeuge der Gesichtserkennung, Spyware, KI und Techniken wie der Cyber-Patrouille zu ermitteln“, sagt Tufró, „da der Erlass festgelegt hat, dass alle Aktivitäten im Zusammenhang mit der SIDE ‚verdeckt‘ erfolgen müssen.“
Die parlamentarische Opposition will das jüngste Dekret zur Geheimdienst-Reform im Kongress abwehren. Wann und ob ihr das gelingt, ist allerdings offen. Nach der Zwischenwahl im Oktober ist sie geschwächt. Zugleich verfügt aber auch Milei über keine eigene Mehrheit im Kongress. Außerdem ist Sommerpause in Argentinien, der Kongress tagt erst wieder im März.
Am vergangenen Montag haben daher einige Abgeordnete eine gerichtliche Intervention beantragt. Sie fordern, dass das Dekret früher für verfassungswidrig erklärt wird, und ersuchen eine einstweilige Verfügung zu seiner sofortigen Aussetzung.
Internationale Aufmerksamkeit könnte diesem Widerstand guttun, damit dieses Dekret nicht wie das Kundgebungsverbot zwei Jahre in Kraft bleibt, bevor es dann gerichtlich annulliert wird.
Nina Galla ist Pressesprecherin für AlgorithmWatch in Berlin. In ihrer Freizeit beschäftigt sie sich mit den Auswirkungen von KI in der Schule und schreibt seit 2025 über die digital-politische Entwicklung in Argentinien.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.
Kommt es nach der ePA bald zum nächsten Notfall? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Isravel Raj
Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Eine Kaskade an Problemen
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
EUDI-Wallet: Fehler, die sich wiederholen
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Sichere Kanäle versus signierte Daten
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Changes to Ubuntu's telemetry with the new Ubuntu Insights tool include more frequent reporting, more controls and more transparency on what's collected.
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. – Alle Rechte vorbehalten Johanna Wittig
Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.
Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.
Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.
„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“
netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?
Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.
In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.
netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?
Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.
Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.
netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?
Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.
Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.
„Es gibt im Omnibus auch Aspekte, die ich begrüße“
Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.
Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.
netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?
Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.
netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.
Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.
netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?
Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.
Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.
Wo eine Reform ansetzen sollte
netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.
Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.
netzpolitik.org: Was fehlt Ihnen?
Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?
Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.
Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.
netzpolitik.org: Sondern?
Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.
netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?
Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.
Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.
Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.
netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.
Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.
Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.
„Eine Verpflichtung wäre eine großer Schritt“
netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?
Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.
Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.
Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.
„Hundertprozentige Sicherheit gibt es nicht“
netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?
Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.
Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.
Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.
netzpolitik.org: Das war ja mal anders.
Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.
netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?
Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.
Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.
„Für eine patientenztentrierte ePA ist es noch nicht zu spät“
netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?
Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.
Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.
Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.
Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.
„Das würde meine Behörde und mich sehr schmerzen“
netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.
Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.
Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.
netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.
Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.
Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?
netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.
Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.
Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.
Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.
netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?
Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.
Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Mit Blick auf das Reformpaket der EU-Kommission zeigen sich die Mitgliedstaaten gespalten. Einige setzen wie die Kommission auf Deregulierung und wollen so die europäische Digitalwirtschaft ankurbeln. Andere wiederum würden lieber die Umsetzung der bestehenden Regeln verbessern.
Die 27 EU-Staaten müssen sich nun einigen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com FORTYTWO
Vor zwei Wochen hat die Europäische Kommission ein Gesetzespaket unter dem Namen „Digitaler Omnibus“ vorgestellt. Damit sollen mehrere bereits beschlossene Gesetze verändert werden, um Unternehmen zu entlasten und Europas Digitalindustrie zu stärken. An dem Vorhaben gibt es von vielen Seiten massive Kritik.
Doch was halten eigentlich die 27 Mitgliedstaaten von den Plänen der Kommission? Neben dem Parlament müssen auch sie dem Vorhaben zustimmen. Anders als aus einigen Parlamentsfraktionen, die sich wiederholt sehr kritisch äußern, hört man aus den Mitgliedstaaten bislang wenige Reaktionen auf die konkreten Vorschläge. Vor ihrer offiziellen Vorstellung übermittelten die Mitgliedstaaten allerdings ihre Positionen an die Kommission. Manche davon konnten wir einsehen. Daraus lässt sich bereits einiges ablesen.
Viele Mitgliedstaaten forderten etwa, die Fristen für Hochrisiko-KI-Systeme aus der KI-Verordnung um mindestens 12 Monate zu verlängern. So positionierten sich unter anderem Deutschland, Polen, Dänemark und Frankreich. Die Kommission plant in ihrem Vorschlag tatsächlich eine Verschiebung von bis zu 16 Monaten.
Frankreichs Regierung äußerte sich auf dem Souveränitätsgipfel in Berlin klar: Die Digitalregeln sollen unbedingt verändert werden, um europäische Innovation zu unterstützen, vor allem im KI-Bereich. In diese Richtung argumentierte auch das deutsche Bundesdigitalministerium.
Mehr Klarheit statt Verzögerung
In seinem Positionspapier meint Lettland ebenfalls, es brauche „realistische“ Umsetzungsfristen für die KI-Verordnung. Eine Verzögerung forderte der baltische Staat aber nicht explizit. Stattdessen sprach sich Lettland für Ersatzmechanismen aus, die bei der Umsetzung der Vorgaben Rechtssicherheit geben sollten, solange die Standards noch fehlen.
Auch die Niederlande erklärten in ihrem Positionspapier, dass es deutlicher sein müsste, wie die KI-Verordnung erfüllt werden kann. Ziel sei, das Vertrauen zu stärken und einen europäischen Markt für menschenzentrierte KI zu schaffen. Dabei hält das Land mehr Klarheit für eine „bevorzugte Strategie“ im Vergleich zur Verlängerung der Fristen, heißt es im Papier.
Im Bereich des Datenschutzes schlugen die Niederlande praktische Instrumente vor, um insbesondere kleinen Organisationen bei der Umsetzung der Regeln zu helfen. In Bezug auf Cookies wollen sie, dass Nutzende im Browser entscheiden können, welche sie akzeptieren. So sollen ihre Grundrechte und Freiheiten geschützt werden. Im Kommissionsvorschlag findet sich eine solche Regelung. Darüber hinaus forderten die Niederlande aber keine Änderungen an der Datenschutz-Grundverordnung (DSGVO).
Kaum einer will die DSGVO ändern
Im Gegensatz dazu plädierte Dänemark in seinem Papier (PDF) für die Überarbeitung der Datenschutzvorschriften, um die „Belastungen für die Unternehmen zu verringern“ und „innovationsfreundlicher“ zu werden. Hier wird der „KI-Wettlauf“ erwähnt, in dem Europa ansonsten schlechte Chancen hätte.
Der nordische Staat würde im Datenschutz außerdem gerne einen stärker risikobasierten Ansatz verfolgen: Die Regularien sollen in einem „angemessenen Verhältnis“ zu den tatsächlichen Risiken der Datenverarbeitung stehen.
Auch Deutschland (PDF) habe maßgeblich auf die Änderungen der DSGVO hingewirkt, sagt die Nichtregierungsorganisation noyb. Sie hat ein Dokument veröffentlicht, in welchem neun Mitgliedstaaten ihre Meinung zu möglichen Änderungen der DSGVO abgeben. Darin zeigt sich auch Tschechien offen gegenüber Änderungen der Verordnung.
Estland, Österreich und Slowenien sehen hingegen keine Notwendigkeit, die DSGVO zu verändern. Finnland, Polen und Schweden sind offen für kleine, technische Anpassungen. Doch auch sie wollen keine Definitionen verändern, so wie es der Kommissionsvorschlag nun vorsieht. Frankreich will die DSGVO aktuell ebenfalls nicht anfassen, verschließt sich der Möglichkeit aber nicht völlig.
Vereinfachung doch nicht so einfach?
Ein weiterer Diskussionspunkt betrifft die gebündelte Meldung von Cybersicherheitsvorfällen über eine zentrale Plattform. Während viele Staaten diese Zusammenfassung begrüßen, darunter Lettland, sind andere skeptisch, ob dadurch tatsächlich die gewünschte Vereinfachung und Kosteneinsparung erreicht würden.
Die Niederlande weisen darauf hin, dass Meldungen nach der NIS-2-Richtlinie und der Richtlinie zur Resilienz kritischer Einrichtungen (CER) ohne Probleme zusammengefasst werden könnten. Bei Meldungen nach dem Cyber Resilience Act (CRA) und der DSGVO sehen sie hingegen Hürden, da sich hier die Häufigkeit der Meldung, der Zweck und die Zuständigkeiten erheblich unterscheiden würden.
Ähnlich äußerte sich auch das österreichische Innenministerium in der Konsultation zum Omnibus-Paket: Konkrete Maßnahmen hinsichtlich der Meldepflichten müssten „wohlüberlegt und technisch ausgereift“ sein, um tatsächlich einen Mehrwert darzustellen. Änderungen der Zuständigkeiten würden schließlich auch eine Änderung der Verwaltungsorganisation bedeuten und „gravierenden Aufwand und hohe Kosten“ verursachen.
Österreich merkte zudem an, dass die Kommission vor der Vereinfachung erst ein „umfassendes Mapping“ erstellen sollte. Es soll übersichtlich zeigen, welche Vorschriften es im Digitalbereich bereits gibt.
Unterschiedliche Prioritäten
Andere Länder formulieren derzeit noch ihre Haltung zum Kommissionsvorschlag. Zum Teil haben sie zu einzelnen Themen auch keine besonders starke Position. Dazu muss man wissen: Jede Regierung setzt für sich Schwerpunkte in der EU-Politik und widmet sich vor allem jenen Themen, die für sie besonders wichtig sind.
Am Freitag, den 5. Dezember, werden die Digitalminister:innen der 27 Mitgliedstaaten zum ersten Mal zu den geplanten Änderungen beraten. Dann trifft sich der Telekommunikations-Rat in Brüssel.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zehn Jahre nach den Ermittlungen wegen Landesverrats veranstaltet netzpolitik.org zusammen mit der Digitalen Gesellschaft einen Netzpolitischen Abend. Am 4. November werfen drei Vorträge einen kritischen Blick auf die globale Lage der Pressefreiheit. Dabeisein geht in Berlin oder im Stream.
Reporter Ohne Grenzen sieht die Pressefreiheit in Gefahr. – CC-BY-SA 4.0Sebaso
Vor zehn Jahren wurde netzpolitik.org das Ziel eines Angriffs auf die Pressefreiheit. Wegen der Veröffentlichung geheimer Dokumente zettelte der damalige Chef des Verfassungsschutzes ein Ermittlungsverfahren wegen Landesverrats an. Der Generalbundesanwalt ermittelte und die Redaktion musste Überwachungsmaßnahmen fürchten. Nach einer großen Welle der Solidarität wurden die Ermittlungen eingestellt und netzpolitik.org ging gestärkt aus der „Affäre Landesverrat“ hervor.
Das denkwürdige Jubiläum nehmen wir zum Anlass für einen gemeinsamen Netzpolitischen Abend mit der Digitalen Gesellschaft zum Thema Pressefreiheit. Unter der Moderation von Anna Biselli, Co-Chefredakteurin bei netzpolitik.org, tragen fünf Journalist*innen und Menschenrechtsverteidiger*innen ihre Einschätzung zur weltweiten Lage der freien Presse vor. Der 151. Netzpolitische Abend der Digitalen Gesellschaft findet am 4. November in der c-base Berlin oder im Stream statt. Der Eintritt ist kostenlos und alle Interessierten sind herzlich eingeladen!
Das Programm
Alena Struzh und Katharina Viktoria Weiß, Reporter ohne Grenzen: Pressefreiheit weltweit
Von autoritären Regimen und Überwachung: Die Journalistinnen teilen eine Bestandsaufnahme der weltweiten Pressefreiheit und ihrer Herausforderungen.
Philipp Frisch und Lisa-Marie Maier, Human Rights Watch: Pressefreiheit in Afghanistan
Dokumentierte Gewalt und Zensur: Ein Vortrag über die zunehmenden Bedrohungen für afghanische Journalist*innen, darunter auch Abschiebungen.
Kein Wohlfühlklima: Joschka Selinger berichtet über den steigenden Druck auf die deutsche, freie Presse anhand von aktuellen Fällen.
Die c-base befindet sich in der Rungestraße 20, 10179 Berlin. Einlass ist ab 19:15 Uhr, los gehts um 20 Uhr. Für alle, die nicht vor Ort dabei sein können, gibt es einen Live-Stream ab 20:15 auf c-base.org. Der Eintritt ist frei.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte sei sicher, versichert die Bundesregierung. Doch ihre Antworten auf eine Kleine Anfrage lassen die Zweifel an diesem Versprechen wachsen. Versicherte sollen der ePA offenbar blind vertrauen – selbst wenn ihre Gesundheitsdaten bei US-Behörden landen könnten.
Sicherheit ist das A und O bei sensiblen Gesundheitsdaten. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Vladislav K.
Die meisten von uns besitzen einen Haustürschlüssel. Und die meisten von uns wissen, wer sonst noch Zugang zu unserer Wohnung hat. Bei den Gesundheitsdaten, die in der elektronischen Patientenakte hinterlegt sind, ist das offenkundig nicht so klar. Das zeigen die Antworten der Bundesregierung auf eine Kleine Anfrage der Bundestagsfraktion „Die Linke“.
Die Abgeordneten haben die Regierung unter anderem gefragt, welche Vorkehrungen verhindern sollen, dass etwa die US-Regierung an sensible Gesundheitsdaten von deutschen Versicherten gelangt. Die Antworten der Bundesregierung sind mitunter missverständlich, in Teilen unvollständig und fehlerhaft.
Nachfragen bei dem zuständigen Gesundheitsministerium, verschiedenen Krankenkassen und der Gematik haben nur wenig Licht ins Dunkel gebracht. Offenkundig sollen die Versicherten weitgehend bedingungslos darauf vertrauen, dass ihre sensiblen Daten in der ePA sicher sind.
Krankenkassen verweigern Auskunft
Anlass der Kleinen Anfrage war eine Aussage des Chefjustiziars von Microsoft Frankreich im Juni dieses Jahres. Er hatte in einer öffentlichen Anhörung vor dem französischen Senat nicht ausschließen können, dass der Tech-Konzern Microsoft auf Anordnung US-amerikanischer Behörden auch Daten europäischer Bürger:innen weitergeben müsse.
Hintergrund ist unter anderem der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden – auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden.
Die Abgeordneten der Linksfraktion fragten die Bundesregierung, ob sie ein ähnliches Szenario bei den in der ePA hinterlegten Gesundheitsdaten ausschließen könne. Die Regierung erwidert, dass sie nichts über die Verträge zwischen den Betreibern der ePA und den Krankenkassen wisse. Sie kenne daher die Regelungen nicht, mit denen die Daten der Versicherten geschützt würden. Betreiber von ePA-Infrastrukturen sind spezialisierte IT-Dienstleister wie IBM Deutschland und das österreichische Unternehmen RISE.
Wir haben uns bei den drei größten gesetzlichen Krankenkassen in Deutschland erkundigt, welche vertraglichen Vereinbarungen sie mit ihren externen Anbietern getroffen haben. Weder die Techniker Krankenkasse noch die Barmer oder die DAK wollten unsere Frage beantworten. Sie verweisen auf die Gematik, die als Nationale Agentur für Digitale Medizin für die Spezifikationen zur technischen Ausgestaltung der ePA zuständig sei. Der Barmer-Sprecher bittet zudem um Verständnis, dass er sich „aus Wettbewerbsgründen“ nicht weiter zu den Vertragsbedingungen äußern könne.
Es ist also unklar, ob es entsprechende Regelungen zum Schutz der Versichertendaten gibt, von denen die Bundesregierung spricht.
Der Schlüssel liegt bei den Betreibern
Desweiteren verweist die Bundesregierung auf „umfangreiche technische und organisatorische Sicherheitsmaßnahmen“, die zum Schutz der Gesundheitsdaten umgesetzt worden seien. So dürften die in der ePA hinterlegten Daten nur verschlüsselt bei den Betreibern gespeichert werden. Ohne „den Schlüssel der Versicherten“ könnten Unbefugte die Daten nicht lesen, betont die Regierung.
Diese Antwort ist mindestens missverständlich formuliert. Tatsächlich verfügt die ePA derzeit über keine patientenindividuelle Verschlüsselung, bei der jede:r Versicherte die eigene Patientenakte mit einem persönlichen Schlüssel absichert. Ältere Versionen der ePA sahen noch eine Ende-zu-Ende-Verschlüsselung der in der Patientenakte hinterlegten Daten vor; die aktuelle „ePA für alle“ bietet dieses Mehr an Sicherheit allerdings nicht mehr.
Außerdem sind die Schlüssel nicht, wie noch bei früheren ePA-Versionen, auf der elektronischen Gesundheitskarte der Versicherten hinterlegt, sondern sie liegen auf den Servern des ePA-Betreibers. Sogenannte Hardware Security Modules in einer „vertrauenswürdigen Ausführungsumgebung“ würden gewährleisten, dass die Betreiber keinen direkten Zugriff auf diese Schlüssel haben, schreibt das Gesundheitsministerium auf Nachfrage von netzpolitik.org.
„Diese speziell abgesicherten Komponenten sind dafür ausgelegt, kryptografische Schlüssel sicher zu verwalten und sensible Daten vor unbefugtem Zugriff zu schützen“, sagt eine Gematik-Sprecherin auf Anfrage. Ein direkter Zugriff auf die Schlüssel, auch durch die Betreiber der ePA, sei technisch ausgeschlossen. Die Schlüssel werden etwa dann zur Entschlüsselung der Gesundheitsdaten verwendet, wenn die Versicherten ihre elektronische Gesundheitskarte beim Besuch einer Praxis oder einer Apotheke in ein Lesegerät schieben.
Offene Eingangstüren
Zwei Aspekte lassen das Gesundheitsministerium und die Gematik bei ihren Ausführungen jedoch unter den Tisch fallen.
Zum einen ist den Sicherheitsfachleuten des Chaos Computer Clubs Bianca Kastl und Martin Tschirsich in den vergangenen Monaten wiederholtgelungen, die Zugriffskontrolle der ePA zu überwinden.
Bei den von ihnen beschriebenen Angriffsszenarien hilft Verschlüsselung nicht mehr viel. „Es ist vollkommen egal, dass das irgendwie verschlüsselt gespeichert wird, wenn an der Eingangstür ein paar Wissensfaktoren reichen, um jede ePA in Zugriff zu bekommen“, sagt Bianca Kastl, die auch Kolumnistin bei netzpolitik.org ist.
Die von ihr und Tschirsich aufgezeigten Sicherheitslücken bestehen teilweise noch immer fort. Eine „endgültige technische Lösung“ will das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst im kommenden Jahr implementieren.
Trügerische Sicherheit
Zum anderen behauptet die Bundesregierung, dass die bestehenden Sicherheitsvorkehrungen einen „technischen Betreiberausschluss“ gewährleisten, „sodass selbst ein fremdbestimmter Betreiber keinen Zugriff auf die Daten der ePA erlangen würde“.
Hauptbetreiber von elektronischen Patientenakten ist die IBM Deutschland GmbH. Unter anderem die Techniker Krankenkasse, die Barmer Ersatzkasse und die AOK haben das Unternehmen damit beauftragt, die ePA und die dazugehörigen Aktensysteme gemäß der von der Gematik gemachten Spezifikationen umzusetzen. Mehr als zwei Drittel aller digitalen Patientenakten laufen auf IBM-Systemen, aus Sicherheitsgründen seien die Daten „über zahlreiche, geographisch voneinander getrennte Rechenzentrums-Standorte in der IBM Cloud in Deutschland verteilt“, so das Unternehmen.
Dieses Sicherheitsversprechen ist jedoch trügerisch. Denn die IBM Deutschland GmbH ist eine Tochter der US-amerikanischen IBM Corp. – und damit potenziell ein „fremdbestimmter Betreiber“. Gemäß CLOUD Act können US-Behörden IBM dazu zwingen, die Daten von deutschen Versicherten an sie auszuleiten.
Gefahr erkannt, Gefahr gebannt?
Welche Risiken der CLOUD Act birgt, hat etwa das baden-württembergische Innenministerium erkannt. Im Juli räumte es in einer Stellungnahme ein, dass US-Behörden theoretisch auf Daten zugreifen könnten, die in der Verwaltungscloud Delos gespeichert sind. Delos Cloud ist ein Tochterunternehmen von SAP und fußt auf Microsoft Azure und Microsoft 365. Dem Ministerium zufolge könnten US-Behörden den Tech-Konzern anweisen, „einen Datenabfluss in seine Software zu integrieren, ohne dass der Kunde darüber in Kenntnis gesetzt wird.“
Dennoch plant die Bundesregierung nach eigenem Bekunden nicht, die technologische Abhängigkeit von nicht-europäischen ePA-Betreibern zu prüfen – obwohl sie die digitale Patientenakte explizit als eine kritische Infrastruktur einstuft.
Anne Mieke-Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, kritisiert diese Weigerung der Regierung. „Statt klare Prüfpflichten festzuschreiben, versteckt sie sich hinter lückenhaften Vorgaben“, so Mieke-Bremer. „Und sie gibt sich damit zufrieden, dass die Verträge zwischen Betreibern und Kassen eine Blackbox bleiben.“
Die ePA wirke „zunehmend wie ein mangelhaftes und fahrlässiges Prestigeprojekt“, das voller Lücken und Risiken ist, sagt Stella Merendino, Sprecherin der Linken für Digitalisierung im Gesundheitswesen. „Was mit unseren sensibelsten Gesundheitsdaten passiert, bleibt dabei im Dunkeln.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wichtige Stimmen wie Amnesty International, Reporter ohne Grenzen und der Chaos Computer Club appellieren eindringlich an die Bundesregierung, die Chatkontrolle zu verhindern. Sie warnen vor einem Angriff auf die Pressefreiheit, einem IT-Sicherheitsalptraum und einer Gefahr für die Demokratie.
Die Entscheidung um die Chatkontrolle rückt näher. Wenn die Bundesregierung ihre bisher grundrechtsfreundliche Position ändert, könnte die EU das Überwachungsprojekt doch noch beschließen. Bei der so genannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll.
Die EU verhandelt seit drei Jahren kontrovers. Die geplante Verordnung enthält Vorschriften, die Messenger wie WhatsApp, Signal, Threema oder Telegram verpflichten sollen, die Kommunikation aller Nutzer:innen ohne jeden Verdacht zu durchsuchen.
Wir haben uns umgehört, was zivilgesellschaftliche Organisationen von der Bundesregierung erwarten – und warum die Chatkontrolle so gefährlich ist. Die Ablehnung reicht von Digital- und Journalistenverbänden über Menschenrechtsorganisationen bis hin zu Fußballfans.
„Gesamte Bevölkerung unter Generalverdacht“
Die Chatkontrolle würde das „Ende einer breit verfügbaren, vertraulichen und sicher verschlüsselten Kommunikation in Europa“ bedeuten, sagt Tom Jennissen von der Digitalen Gesellschaft. „Die gesamte Bevölkerung würde unter Generalverdacht gestellt und ihre Endgeräte mit staatlich verordneter Spyware infiziert.“ Von der Bundesregierung erwartet Jennissen, dass sie sicherstellt, dass dieser „vollkommen unverhältnismäßige Angriff auf unsere Kommunikationsgrundrechte und die IT-Sicherheit endlich vom Tisch kommt“.
Svea Windwehr vom digitalpolitischen Verein D64 sagt, dass die Chatkontrolle Grundrechte untergrabe, aber ohne den Schutz von Betroffenen zu verbessern. Jede Form der Chatkontrolle zerstöre die Verschlüsselung und die Vertraulichkeit privater Kommunikation, einem Schutz, von dem alle Menschen profitieren. „Anstatt auf vermeintliche technische Lösungen für eine komplexe gesellschaftliche Herausforderung zu setzen, müssen Ansätze gestärkt werden, die Prävention, Care und Unterstützung von Betroffenen in den Fokus rücken“, so Windwehr.
Elina Eickstädt, Sprecherin des Chaos Computer Clubs, nennt die Chatkontrolle und den vorgesehenen Bruch von vertraulicher und verschlüsselter Kommunikation den „Anfang von einem IT-Sicherheitsalptraum“. Hintertüren würden nie nur für Strafverfolgungsbehörden funktionieren, sondern immer auch für andere. „Die Bundesregierung muss sich klar gegen jeden Bruch von vertraulicher und verschlüsselter Kommunikation stellen, sie darf keinen Entwurf annehmen, der diese Prinzipien verletzt“, so Eickstädt weiter.
„Massiver Angriff auf Pressefreiheit“
Arne Semsrott von Frag den Staat sieht in der Chatkontrolle einen „massiven Angriff auf die Pressefreiheit“. Medienschaffende seien darauf angewiesen, vertraulich mit Quellen zu kommunizieren und ihre Arbeit zu schützen. „Wird diese Möglichkeit mit der Chatkotrolle genommen, schadet das der freien Presse enorm“, sagt Semsrott.
Das bestätigt auch Anja Osterhaus von Reporter ohne Grenzen. Sichere Verschlüsselung sei „unverzichtbar für vertrauliche Kommunikation und unabdingbare Voraussetzung für die Pressefreiheit“. Verschlüsselung schütze Journalist:innen und ihre Quellen, das ermögliche investigative Recherchen und erlaube es Whistleblowern, Missstände mitzuteilen. „Chatkontrolle untergräbt nicht nur das Vertrauen in sichere Kommunikation, sie gefährdet auch den Quellenschutz und unterminiert damit das Grundrecht auf Pressefreiheit“, so Osterhaus weiter. Reporter ohne Grenzen fordert deswegen die Bundesregierung dazu auf, sich öffentlich gegen Chatkontrolle zu positionieren.
„Gefährdet die Demokratie“
Lena Rohrbach, Expertin für Menschenrechte im digitalen Zeitalter bei Amnesty International sagt: „Bei der Chatkontrolle stimmt gar nichts: Als anlasslose Massenüberwachung trifft sie alle Menschen in der EU – außer Straftäter:innen, die sie umgehen werden.“ Das Vorhaben der Chatkontrolle „gefährdet die Demokratie, weil sie eine beispiellose Kontrolle unserer Kommunikation ermöglicht, die leicht missbraucht werden kann.“ Auch sie weist darauf hin, dass Kinder „echten Schutz durch Prävention und zielgerichtete Ermittlung“ benötigen würden.
Noa Neumann aus dem Koordinierungskreis von Attac warnt vor einer „anlasslosen, präventiven Massenüberwachung und einer vollständigen Aushöhlung des Datenschutzes“. Die Bundesregierung sei dazu verpflichtet, die Rechte und die Privatsphäre von Menschen aktiv zu schützen. „Deshalb muss sie gegen die Einführung der Chatkontrolle stimmen“, so Neumann weiter.
Linda Röttig vom Dachverband der Fanhilfen erklärt, dass Fußballfans häufig von Überwachung und Datenbanken von Polizeibehörden betroffen und deswegen besonders alarmiert seien, wenn staatliche Überwachung immer weiter ausgebaut werden soll. „Daher erheben auch wir gegen die Chatkontrolle unsere Stimme und warnen gemeinsam mit vielen anderen vor den katastrophalen Folgen dieses Verordnungsentwurfs“, so Röttig weiter. Die Fußballfans fordern die Bundesregierung auf, sich gegen eine Einführung der Chatkontrolle auszusprechen und von dieser Position auch andere Mitgliedsstaaten zu überzeugen.
Druck auf Ministerien nötig
Die Bundesregierung wird sich vermutlich vor dem 14. Oktober auf eine Position einigen, dann wird im EU-Rat abgestimmt. Zur Debatte steht der dänische Vorschlag, der eine verpflichtende Chatkontrolle und Client-Side-Scanning beinhaltet.
Das Bündnis „Chatkontrolle stoppen“ ruft dazu auf, die relevanten Personen und Organisationen zu kontaktieren. Das sind vor allem die beteiligten Bundesministerien (Innen, Justiz, Digital, Familie) sowie die Fraktionen und Abgeordneten der Regierungs-Parteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe, oder auch rechtzeitig ankommende Briefe. Auf der Webseite des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Changes to Ubuntu's telemetry with the new Ubuntu Insights tool include more frequent reporting, more controls and more transparency on what's collected.
