Noch nie gab es so viele Ermittlungsverfahren und Hausdurchsuchungen wegen bloßer Worte. Heute gelten etliche politische Aussagen als strafbar, die noch vor zehn Jahren ganz klar erlaubt waren. Dabei sollten wir gerade in der gegenwärtigen Lage mehr Meinungsfreiheit wagen.

Ronen Steinke ist Leitender Redakteur im Politikressort der Süddeutschen Zeitung und Lehrbeauftragter an der juristischen Fakultät der Goethe-Universität Frankfurt am Main. Heute erscheint sein neues Buch Meinungsfreiheit: Wie Polizei und Justiz unser Grundrecht einschränken – und wie wir es verteidigen im Berlin Verlag. Wir veröffentlichen das Vorwort mit freundlicher Genehmigung von Autor und Verlag. Alle Rechte vorbehalten.

Das zentrale Prinzip, auf dem jede Demokratie beruht, die Meinungsfreiheit, entzweit die Demokratien gerade gewaltig. Die USA auf der einen Seite, Europa auf der anderen.

Im Februar 2025 trat auf der Münchner Sicherheitskonferenz der amerikanische Vizepräsident J. D. Vance in einem Luxushotel auf die Bühne in einem Saal voller europäischer Regierungsvertreterinnen und Regierungsvertreter – und schaltete gleich auf Angriff. Europa würge die Meinungsfreiheit ab, behauptete der Amerikaner, dunkler Anzug, blaue Krawatte, ernster Ton. Die größte Bedrohung für Europa heute komme gar nicht mehr aus Russland oder China, sondern „von innen“. Infolge eines, wie Vance es ausdrückte, „Rückzugs Europas von einigen seiner grundlegenden Werte“. Dann belehrte der US-Vizepräsident seine Zuhörer – und besonders seine deutschen Gastgeber – darüber, dass die „Demokratie auf dem heiligen Prinzip ruht, dass die Stimme der Menschen ein Gewicht hat“.

Mit Blick auf die zahlreichen, immer schärfer werdenden europäischen Gesetze gegen sogenannte Hassrede, also solche Dinge wie die staatlichen „Zensurwünsche“ an die Adresse sozialer Medien wie Facebook oder X, die staatlich verordneten Online-Blocker und -Filter, wie sie vor allem Deutschland in den zurückliegenden zehn Jahren stark forciert hat, formulierte der Gast aus den USA: „Firewalls haben da keinen Platz.“ Das Prinzip der Meinungsfreiheit verlange nämlich eine spezielle Fähigkeit von Regierenden: die Fähigkeit, Kritik zu erdulden. „Entweder man hält dieses Prinzip hoch, oder man hält es nicht hoch.“

Entsetzen und Belustigung

Stille herrschte im Saal, europäische Teilnehmer waren für einen Moment sprachlos, und einige erzählten hinterher, wie sie innerlich geschwankt hätten zwischen Gefühlen des Entsetzens, aber auch der Belustigung. Denn, natürlich: Von Leuten wie J. D. Vance, die in ihrer Heimat kritische Journalisten diffamieren, Universitäten unter Druck setzen und Late-Night-Show-Hosts wegmobben, lässt man sich nicht so gern über demokratische Tugenden belehren. Für deutsche Politiker war es ein Leichtes, darauf hinzuweisen, dass der Amerikaner nicht wirklich gut positioniert sei, um über den Respekt vor abweichenden Meinungen zu dozieren.

Immerhin, gerade hatte die Regierung des US-Präsidenten Donald Trump und seines Vizes Vance die Nachrichtenagentur Associated Press achtkantig aus dem Weißen Haus geworfen, weil die Journalisten sich die Freiheit genommen hatten, den Golf von Mexiko weiterhin als „Golf von Mexiko“ zu bezeichnen, während die Trump-Regierung lieber kindisch von einem „Golf von Amerika“ sprechen wollte. Gleichzeitig hatte in den USA der Kampf gegen unliebsame Stimmen, auch mit drastischen Mitteln wie der Durchsuchung von Handys und sozialen Netzwerken nach kritischen Äußerungen gegen Amerikas Verbündeten Israel, gerade erst begonnen.

Sprachtabus in Deutschland

Aber, schrecklicher Gedanke: Was, wenn der Gast aus Amerika dennoch einen Punkt hatte? Der US-Vizepräsident ist schließlich nicht der Erste, der in Bezug auf Europa etwas bemerkt hat, auch Linksliberale in den USA blicken gegenwärtig mit zunehmend mulmigen Gefühlen auf das, was sich in Europa und besonders in Deutschland vollzieht. Von außen sieht man Dinge vielleicht manchmal klarer als von innen: Schon immer war die Bundesrepublik innerhalb der westlichen Welt das Land mit den meisten Sprachtabus, den schärfsten Strafvorschriften gegen bloße Worte, freedom of speech wird hier traditionell kleiner geschrieben als in den USA. Und: In dem Jahrzehnt zwischen 2015 und 2025, in dem die demokratische Kultur sich beiderseits des Atlantiks als äußerst volatil erwiesen hat und die Demokratie in einen Stresstest geraten ist, hat Deutschland sich entschieden, noch einmal deutlich mehr vom selben zu versuchen.

Das heißt, Deutschland hat darauf gesetzt, noch einmal zusätzliche Gesetze zu schaffen sowie auch alte, schon bestehende Gesetze zu verschärfen, um politische Äußerungen stärker zu regulieren und einzuschränken. Der Bundestag hat Strafparagrafen erweitert und vermehrt, der Tatbestand der Volksverhetzung ist gleich in mehrfacher Hinsicht ausgebaut worden, der Tatbestand der öffentlichen Billigung von Straftaten ist so ausgedehnt worden, dass man jetzt schon dafür bestraft werden kann, wenn man Taten „befürwortet“, die allein in der Fantasie spielen. Viele Staatsanwaltschaften haben die Bekämpfung von Hatespeech zu einer neuen Priorität erhoben, sie haben neue, schlagkräftige Teams gegründet, um zu ermitteln und juristische Spielräume auszuschöpfen.

Noch nie hat es hierzulande so viele Ermittlungen wegen bloßer Worte gegeben. Wegen reiner Äußerungsdelikte, wie Juristinnen und Juristen sagen. Die Zahlen der Ermittlungen haben sich in diesem Jahrzehnt – je nachdem, welchen Tatbestand man ansieht – teils verdreifacht, vervierfacht, verfünffacht, bei manchen, früher völlig unbekannten Delikten wie der öffentlichen Billigung von Straftaten sogar verhundertfacht, von jährlich knapp 20 auf 2000. Selbst wegen des Uraltdelikts der Blasphemie, „Beschimpfen von Bekenntnissen“, gab es im Jahr 2024 plötzlich 125 Ermittlungen – ein Rekord. Das liegt zum einen sicher daran, dass das Internet nichts vergisst und Äußerungen dort technisch leichter zu dokumentieren sind als im analogen Raum. Zum anderen aber auch daran, dass die Bereitschaft des Staates, auf Worte mit Verboten und Strafen zu reagieren, groß ist wie nie.

Vulnerable Gruppen schützen

Anfangs ist dies zweifellos aus besten Absichten geschehen. Als es losging mit der härteren Gangart, etwa 2015/16, lautete die Idee, dass man vor allem vulnerable Gruppen besser davor beschützen müsse, niedergebrüllt zu werden. Das ist richtig – ein wichtiger Gedanke. Als etwa die ZDF-Journalistin Dunja Hayali sich im Sommer 2025 zu einem tödlichen Attentat in den USA äußerte, dem Anschlag auf den Rechtsradikalen Charlie Kirk, da prasselten in den sozialen Medien so viele Kommentare auf sie ein, dass einen der Mut zum offenen Wort schon mal verlassen könnte. Hayali hatte unter anderem gesagt, es sei nicht zu rechtfertigen, dass manche Gruppen Kirks Tod feierten – „auch nicht mit seinen oftmals abscheulichen, rassistischen, sexistischen und menschenfeindlichen Aussagen“. Das genügte schon, um manche zu triggern.

„Sie werden bald für ihre Äußerungen bitter bezahlen“, schrieb @gordons_katzenabenteuer auf Instagram an die Journalistin, „Sie haben nur das allerschlimmste verdient. Schauen sie lieber ab jetzt öfter über ihre Schulter.“ Ein Nutzer namens @nocebo_the_mortem schrieb: „Ich hoffe, sie werden auch vor ihrer Familie erschossen“. @jaroabroad pflichtete bei: „Du bist ein Stück Scheiße sondergleichen und die Drohungen sind völlig gerechtfertigt!“ @juki030 schrieb: „Wir werden dich noch hängen sehen!“ @team.114hrc schrieb: „Heul leise du Dre…… Wirst bald die nächste sein“. @volkersuthoff schrieb: „Hoffentlich erschießt dich einer, du miese dreckslesbe!“

Wenn Täter mit solchen Gewaltdrohungen durchkämen, dann bliebe von der Meinungsfreiheit der Bedrohten nicht viel übrig. Zumal solche Attacken oft strategisch sind. Eine Studie der britischen Zeitung The Guardian ergab, dass von den zehn am häufigsten in Online-Kommentaren beleidigten Autorinnen und Autoren der Zeitung acht Frauen waren, vier von ihnen nicht weiß. Die anderen beiden waren schwarze Männer. In Deutschland sind Menschen mit Migrationshintergrund mehr als doppelt so oft von Online-Beschimpfungen betroffen wie andere. Das sind Menschen, die noch nicht sehr lange eine Stimme im politischen Diskurs haben und die aus Sicht der Pöbler wieder „auf ihre Plätze“ verwiesen werden sollen. Dahinter steckt der Wunsch, diese Gruppen gezielt aus dem Diskurs herauszutreiben.

Über Ziel hinausgeschossen

Das ist reaktionär, es ist antidemokratisch. Dagegen braucht es eine Verteidigung. Auch durch den Staat. Aber: Inzwischen ist der deutsche Strafverfolgungsapparat weit über dieses Ziel hinausgeschossen. Zunehmend geht es nicht erst bei Drohungen los, sondern schon bei viel harmloserem Spott. Wird ein Mensch in Deutschland „dämlich“ oder „Schwachkopf“ genannt, dann ist normalerweise klar, dass das keine Staatsanwaltschaft in Bewegung versetzt. Widerfährt das einem Politiker oder einer Politikerin, dann bilden sich gerade neue Maßstäbe heraus. Ein Bürger in Bayern bekam einen Strafbefehl, weil er die Grünen-Politikerin Annalena Baerbock als die „dümmste Außenpolitikerin der Welt“ bezeichnet hatte. Ein Fall für den neuen Strafparagrafen der „Politikerbeleidigung“.

Seit 2021 werden Beleidigung, üble Nachrede und Verleumdung gegen „Personen des politischen Lebens“ in einem einzigen Paragrafen zusammengefasst. Die Zahl der Ermittlungsverfahren, die der Staat auf dieser Grundlage eingeleitet hat, hat sich seither jährlich verdoppelt. 2021 waren es 748, im Jahr darauf schon 1.404. Im Jahr darauf dann 2.598. Und dann, zuletzt, 4.439 Fälle Fälle. Wohlgemerkt: Um Bedrohungen – oder andere Formen von Gewalt – geht es hier nicht.

Wie weit ist zu weit?

Der neue Wind weht scharf: Bis vor zehn Jahren war es noch undenkbar, dass die Polizei im Morgengrauen zu Razzien in Privatwohnungen anrückt, allein weil jemand das juristische Delikt der Beleidigung begangen haben soll, das in der Regel nur zu sehr geringen Strafen führt. Man hätte es für unverhältnismäßig gehalten. Eine Durchsuchung ist ein schwerer Grundrechtseingriff. Heute geschieht dies dagegen laufend, bei „Aktionstagen“ wird gleich an Dutzenden oder gar Hunderten Türen von Tatverdächtigen parallel geklingelt.

Man liest darüber sogar in der New York Times, in Artikeln, deren Autoren allerdings verwundert klingen über die Entwicklung der Meinungsfreiheit auf dem alten Kontinent. „Wie weit kann man gehen, bevor es zu weit geht?“, schrieben zwei Europa-Korrespondenten der Zeitung in einer langen Reportage im September 2022 über die neue Strenge, mit der Deutschland weiter gehe als „jede westliche Demokratie“. How far is too far?

Razzia wegen „Pimmel“

Hausdurchsuchungen erleben nun zunehmend auch Menschen, die im Netz ihre Meinung zu Ereignissen der internationalen Politik äußern. In den aufwühlenden Debatten zum Nahostkonflikt zum Beispiel war dies der Fall. Als ein Mann in München bei Instagram schrieb, dass das Massaker der palästinensischen Terrormiliz Hamas gegen israelische Zivilistinnen und Zivilisten am 7. Oktober 2023 natürlich entsetzlich sei, andererseits aber ein besetztes Volk das „legitime Recht auf Widerstand mit allen notwendigen Mitteln“ habe, genehmigte das Amtsgericht die Beschlagnahme seines Handys und anderer „internetfähiger Endgeräte“. Das kam unerwartet. Dass Menschen in Diskussionen solche kruden Aussagen einwerfen, die förmlich danach rufen, dass andere Menschen ihnen in der Diskussion widersprechen und mit Kontext oder Differenzierung antworten, ist nicht neu. Dass dies solche strafrechtlichen Interventionen nach sich zieht, ist durchaus neu.

In den Debatten zur innerdeutschen Politik ist dies ebenso zu beobachten. So hat etwa ein altgedienter Lokalpolitiker der Grünen in München erlebt, dass ihm verboten wurde, dem bayerischen Vizeministerpräsidenten Hubert Aiwanger von den Freien Wählern vorzuwerfen, dessen „Hetze“ gegen die Grünen ähnele in ihrer Sündenbock-Struktur der einstigen antisemitischen Agitation der Nazis. Der Grünen-Lokalpolitiker bekam dafür seinerseits ein Strafverfahren wegen Volksverhetzung, worüber er sehr staunte, und 2024 sogar schon Schuldsprüche in nicht nur einer, sondern zwei Gerichtsinstanzen; seine politische Karriere ist erledigt. Anderen zur Warnung.

Als Hamburgs Innensenator während der Corona-Pandemie eine strenge Ermahnung an seine Bürgerinnen und Bürger aussprach, keine Partys zu feiern, dann aber dabei erwischt wurde, wie er selbst eine – illegale – Party mit Dutzenden Gästen zelebrierte, kommentierte der Betreiber einer Punkkneipe aus dem Stadtteil St. Pauli im sozialen Netzwerk X, das damals noch Twitter hieß, diese Heuchelei lakonisch: „Du bist so 1 Pimmel.“ Kurz darauf tauchten vier uniformierte, bewaffnete Beamte vor der Wohnungstür des Gastronomen auf. Sie durchsuchten Räume, beschlagnahmten Geräte. Ein weiteres Verfahren wegen Politikerbeleidigung begann.

Gestern erlaubt, heute verboten

Damit hatte der Hamburger Gastronom nicht gerechnet. Damit hätte aber auch ich, ein ausgebildeter Jurist, der an der juristischen Fakultät der Universität Frankfurt unterrichtet, nicht gerechnet. Selbst wenn man sich sehr anstrengt, im Bilde zu sein, die teils sehr weite neue Interpretation des Strafrechts und von solchen sehr offenen Begriffen wie „Beleidigung“ im Blick zu behalten und politisch informiert zu bleiben, kann man bei diesem Tempo der Entwicklung immer häufiger auch überrascht werden.

Und das ist, meine ich, ein Problem. Damit hat sich in diesem Land etwas verändert. Nicht nur die USA haben ein Problem mit der Meinungsfreiheit, sondern, auf unsere Weise, auch wir. Darum soll es in diesem Buch gehen. Der deutsche Staat definiert heute etliche Aussagen als strafbar, die noch vor zehn Jahren ganz klar unter die Meinungsfreiheit fielen. Die Schwelle, von der an Polizei und Justiz hierzulande von strafbarer „Hetze“ ausgehen, ist an etlichen Stellen rapide abgesenkt worden, teils durch Änderungen der Gesetze, teils durch eine Änderung der Gesetzesinterpretation. Gestern noch erlaubt, heute verboten: Das ist ein juristischer Großtrend, den ich darstellen, analysieren und auf den ich auch eine kritische Antwort zu formulieren versuchen möchte.

UN-Sonderberichterstatter entsetzt

Im Frühjahr 2025, als J. D. Vance in München war, war ich, umgekehrt, in den USA. Ich habe in Kalifornien an Universitäten geforscht, die gerade große Not hatten, sich gegen die autoritären Übergriffe der Trump-Regierung zur Wehr zu setzen. Ich habe mit Rechtswissenschaftlern zusammengesessen, die gerade dabei waren, sich für Proteste gegen diese Trump-Politik zu vernetzen. David Kaye zum Beispiel, der ehemalige UN-Sonderberichterstatter für das Menschenrecht auf Meinungsfreiheit, der mir sein Lieblingscafé in Santa Monica zeigte, vegan und hundefreundlich. Aber so groß ihr Entsetzen über die Trump-Pläne war, so wenig hat das gleichzeitig ihre Sorge über das gemindert, was sie von der anderen Seite des Atlantiks her mitbekamen. „Diese Razzien“, sagte David Kaye.

Als in Kalifornien der Sommer begann, brachte die Sendung 60 Minutes des US-Senders CBS eine Reportage aus – Niedersachsen. Eine amerikanische Reporterin interviewte zwei deutsche Staatsanwälte und eine Staatsanwältin, die auf die Verfolgung von Hatespeech spezialisiert waren. Die Strafverfolger erzählten von den inzwischen üblichen Hausdurchsuchungen wegen Online-Postings und den teils verdutzten Reaktionen der Betroffenen, die oft sagen würden: Sie hätten gar nicht gewusst, dass ihre Äußerungen verboten seien. So erzählte es einer der Staatsanwälte und grinste.

Voraussetzung jeder Freiheit

In Santa Monica sprach mich David Kaye darauf an. Er fand das befremdlich. Staatsanwälte, die sich nichts dabei zu denken schienen, dass sie Menschen überraschten mit der Information, dass etwas neuerdings verboten sei? Was sei das für ein Verständnis von Rechtsstaat? Und er wies mich noch auf einen weiteren Aspekt hin, der ihm Sorgen bereite. „Pimmel“ sei in den USA noch das Mildeste, was man an Spott über den Präsidenten lesen könne. Es geschehe praktisch jeden Tag, dass jemand ihn als „Schwachkopf“ bezeichne, als „dümmsten Präsidenten aller Zeiten“ sowieso. Das ist nach amerikanischem Recht straffrei, zum Glück. Nicht auszudenken, was Donald Trump anstellen könnte, wenn sich die USA mit ihrem Strafrecht ein Beispiel an Deutschland nähmen.

Die Meinungsfreiheit wird in Demokratien traditionell als das wichtigste aller politischen Grundrechte verstanden, weil sie sozusagen die Voraussetzung aller weiteren Freiheiten schafft. Sie ist die Basis, auf der man politisch überhaupt in einen Streit eintreten kann, Forderungen stellen, sich Gehör verschaffen und so weiter. Die Bundesrepublik war noch jung, es war 1952, da schrieben die Richter des Bundesverfassungsgerichts (in diesem Fall waren es sieben Männer und eine Frau) in einem ihrer ersten Urteile, dass die Meinungsfreiheit für eine Demokratie „schlechthin konstituierend“ sei. Sprachlich schöner, auch ein wenig pathetischer: Die Freiheit, seine Meinung zu sagen, sei „die notwendige Voraussetzung beinahe jeder anderen Form der Freiheit“, so lauten die berühmten Worte des einstigen amerikanischen Supreme-Court-Richters Benjamin Cardozo. Und, ja: Es darf auch polemisch sein. Überspitzt. Oder emotional. Jedenfalls bis hin zu einer Grenze.

Was würde Trump damit tun?

Ich frage mich inzwischen, ob wir uns in Deutschland nicht ganz schön schnell gewöhnt haben an die Alltäglichkeit von Hausdurchsuchungen wegen „Politikerbeleidigung“, an die grassierende Verunsicherung, ob man denn noch von einer „dümmsten Außenministerin der Welt“ sprechen darf, an die Tatsache, dass schwierige zivilgesellschaftliche Debatten eingeengt werden – und ich frage mich auch, ob eine offene Gesellschaft ihre Strafjustiz nicht an etlichen Stellen dringend zurückpfeifen müsste, braucht man doch gerade in volatilen Zeiten eher mehr Debatte, nicht weniger. In der amerikanischen Cartoon-Serie „South Park“ taucht derweil der amerikanische Präsident Donald Trump als Sexpartner des Teufels auf, und es werden Zoten gerissen über das kleine Gemächt des Commanders in Chief.

Wenn die USA unter Trump solche Gesetze hätten wie Deutschland, dann würde dies J. D. Vance und Co. noch ganz andere Möglichkeiten bieten, ihre Kritiker einzuschüchtern. Dieses Szenario, in dem ein rechtsautoritärer Regierungschef mit einem fragilen Ego à la Trump oder Vance seine Kritiker wegen krimineller „Beleidigung“ verfolgen lassen könnte: Liberale Amerikaner wie David Kaye sind heilfroh, dass dies gerade nicht ansteht und dass wahrscheinlich auch der amerikanische Supreme Court verhindern würde, dass solche Instrumente diesen Rechtspopulisten in die Hände fielen. In Deutschland, wo die Anklagebehörden in diesem Punkt immer mehr Macht und gesetzlichen Spielraum bekommen haben, ist dieses Szenario vielleicht nur eine Landtagswahl entfernt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Trotz scharfer Kritik hält die sächsische Regierung am ihrem Vorhaben fest, die Polizei mit erheblich erweiterten Überwachungsbefugnissen auszustatten. Den bisherigen Gesetzesentwurf hat sie nach internen Verhandlungen nur kosmetisch angepasst. Kritiker:innen bezweifeln die Vereinbarkeit mit geltendem EU-Recht und warnen vor dystopischen Verhältnissen.

Die sächsische Polizei soll Bilder im Internet biometrisch auswerten dürfen – zumindest wenn es nach dem Willen der sächsischen Regierung geht. Und das ist lange nicht die einzige massive Befugniserweiterung der Polizei, die die Regierung plant. Auch Verhaltensscanner, verdeckte Kennzeichenerkennung und eine automatisierte Datenanalyse sollen kommen. Lediglich bei zwei problematischen Plänen machte das Innenministerium einen Rückzieher. Unter Zeitdruck muss nun der sächsische Landtag entscheiden.

Geringfügige Änderungen für eine „rechtsstaatlich sehr hohe Qualität“

Am Dienstag beschloss das Kabinett den Gesetzentwurf für das Sächsische Polizeivollzugsdienstgesetz (SächsPVDG). Dieser fällt in Teilen weniger scharf aus als die ursprünglich geplante Novelle. Wenn man den sächsischen Innenminister Armin Schuster (CDU) fragt, sogar ein gutes Stück zurückhaltender. Sein Referentenentwurf aus dem Herbst war auf viel Kritik gestoßen, auch die mitregierende SPD kritisierte einige der geplanten Befugniserweiterungen.

Im Vergleich dazu enthielten die neuen Pläne „sehr viele grundrechtssichernde Bestimmungen“, so Schuster. Er verweist auf Richtervorbehalte, Lösch- und Berichtspflichten. „Für Polizisten ist dieses Gesetz eine Herausforde­rung“, sagte der Innenminister auf einer Pressekonferenz am Dienstag nach der Kabinettssitzung. Der Entwurf habe nun eine „rechtsstaat­lich sehr hohe Qualität“, betonte er.

Tatsächlich gibt es bei den meisten Bestimmungen des Entwurfs, wenn überhaupt, geringfügige Änderun­gen und Konkretisierungen. So ist der präventive Staatstrojaner-Einsatz zur Quellen-Telekommuni­kationsüberwachung nach wie vor enthalten, ebenso Verhaltensscanner, die gesetzlichen Grund­lagen für eine Datenanalyse-Plattform sowie der biometrische Abgleich von Gesichtern und Stim­men mit dem Internet.

Kein Palantir, keine Drohnen gegen Handy-Sünder:innen

Gestrichen wurde vor allem das Filmen in Autos, um Handy-Nutzer:innen am Steuer zu erwi­schen. Diese Vorschrift sollte laut dem ursprünglichen Entwurf sogar mit Drohnen umgesetzt wer­den.

Die sächsische Datenschutzbeauftragte Juliane Hundert hielt das für „offensichtlich verfas­sungswidrig“ und sprach von einer „auf der Hand liegenden Unverhältnismäßigkeit“. Ihrer Empfeh­lung nach einer ersatzlosen Streichung folgte die sächsische Regierung offenbar.

Außerdem setzte die SPD durch, dass Palantir keinen sächsischen Auftrag für eine polizeiliche Da­tenanalyse-Plattform bekommt. Der Verzicht wird vom sächsischen Innenminister bedauert: „Der Vorsprung der Firma Palantir ist mit Händen greifbar“, sagte Schuster. Man führe Gespräche mit anderen Anbietern. Laut Kostenplanung im Entwurf rechnet die Staatsregierung mit einer zentralen Bereitstellung durch den Bund, an der man sich dann finanziell beteiligt.

Das 3-Stufen-Modell der polizeilichen Datenanalyse

Weiterhin enthalten ist die Vorschrift, die ermöglichen soll, dass die Polizei eine Plattform zur automatisierten Datenanalyse nutzt. Inzwischen findet sich im Entwurf dafür ein 3-Stufen-Modell.

Auf der ersten Stufe steht ein einfacher Datenabgleich, bei dem jede:r Polizist:in personenbezogene Daten in den Beständen der Polizei Sachsen suchen kann. Ausgenommen sind Biometrie-Daten, personenbezogene Da­ten von Unbeteiligten aus der Vorgangsbearbeitung sowie Daten aus der Wohnraumüberwachung.

Auf der nächsten Stufe folgt die Befugnis, Daten zur Gewinnung neuer Erkenntnisse automatisiert zusammenzuführen und auszuwerten. Voraussetzung ist ein drohender erheblicher Angriff auf den Staat oder Leib, Leben oder Freiheit einer Person. Für drohende terroristische Straftaten liegt die Gefahrenschwelle niedriger. Anordnen dürfen diese Art der Datenanalyse nur hochrangige Polizist:innen, wie etwa die Präsidentin einer Polizeidi­rektion.

Polizeidaten fürs KI-Training – auch ohne Pseudonymisierung

Nur bei der dritten und letzten Stufe muss die Polizei eine richterliche Erlaubnis einholen. Diese Stufe umfasst den Einsatz von „selbstler­nender KI“ sowie die Bildung von Verhaltensprofilen.

Nach wie vor plant die Staatsregierung, der Polizei auch das Training und Testen von eigenen KI-Anwen­dungen mit echten Polizeidaten zu erlauben. Erlaubt ist außerdem die Weiter­gabe personenbezogener Daten an Drittanbieter, die mit der Polizei zusammenarbeiten.

Vorausset­zung dafür ist, dass die Anonymisierung und Pseudonymisierung sowie die Verarbeitung bei der Polizei „nur mit unverhältnismäßigen Aufwand möglich“ ist. Auch diese Vorschrift wurde, trotz Kritik von der SPD-Fraktion und der Opposition, im Vergleich zum letzten Entwurf aus dem Herbst kaum angepasst.

Gesichtersuche im Netz – im Einklang mit der KI-Verordnung?

Auch der „Klette-Paragraf“, wie ihn Armin Schuster nennt, hat im Gesetzesentwurf weiterhin Bestand. Die RAF-Terro­ristin Daniela Klette war bis zu ihrer Festnahme 2024 mehrere Jahrzehnte untergetaucht. Den­noch fanden zwei Journalisten im Dezember 2023 Hinweise auf Klettes Aufenthaltsort über die Ge­sichtersuchmaschine PimEyes. „Diese Blamage darf so nie wieder passieren“, betonte Schuster in der Pressekonferenz.

Dieser biometrische Abgleich von Gesichtern und Stimmen mit Internetdaten wurde trotz viel Kritik kaum angepasst. Die Polizei soll nun lediglich nach Opfern und potenziellen Täter:innen suchen dürfen.

Doch es gibt Zweifel, ob die von Innenminister Armin Schuster als „Klette-Paragraf“ bezeichnete Vorschrift grundsätzlich mit der KI-Verordung der EU in Einklang zu bringen ist.

Laut einem Gutachten von AlgorithmWatch ist es technisch nicht umsetzbar, frei verfügbare Bilder aus dem Internet für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank die­ser Bilder zu erstellen. Das verbietet die KI-Verordnung.

Das sächsische Innenministerium rechtfertigt die Pläne auf Anfrage von netzpolitik.org damit, dass das Gutachten auf die Erstellung einer anlassunabhängigen Datenbank abziele, das vorgeschlagene Gesetz aber „auf den anlassbezogenen Auftragsbereich der Gefahrenabwehr“ fokussiere.

Das Innenministerium schreibt weiter:

Zu OSINT-Recherchen werden sowohl Sachbearbeiter als auch Tools eingesetzt, die sich der grundsätzlichen Datenbankstruktur des Internets bedienen und keine polizeieigene Datenbank für alle Informationen des Internets erstellen. Die Methodik hält sich an die von den Informationsan­bietern gesetzten Grenzen. OSINT-Recherchen sind für einen anlassbe­zogenen Lichtbildvergleich mit Bildern aus dem Internet rechtmäßig unter Wahrung der DSGVO sowie europäischen Datenschutzrichtlinien.

Tatsächlich aber ist es laut KI-Verordnung unerheblich, ob die Polizei selbst eine anlassunabhängige Datenbank mit allen Bildern erstellt oder eine von Drittanbietern nutzt. Konkret verbietet die Verordnung in Ar­tikel 5 (1e) „das Inverkehrbringen, die Inbetriebnahme […] oder die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“.

Videoüberwachung mit Mustererkennung

Auch Verhaltensscanner und Gesichtserkennung in der Videoüberwachung sind weiterhin vorge­sehen. Die Verhaltensscanner sollen Beamt:innen alarmieren, wenn die Software auf den Kamerabildern Bewegungsmuster erkennt, die auf Waffen, gefährliche Gegenstände oder die Begehung einer Straftat hindeuten. Die Beamt:innen sollen dann überprüfen, ob die Software zurecht angeschlagen hat. Sie können daraufhin auch eine auto­matisierte Nachverfolgung des vermeintlich gefährlichen Menschen durch die verschiedenen Kame­ras in die Wege leiten.

Diese Form der Überwachung soll prinzipiell nicht nur an allen Kriminalitätsschwerpunkten möglich sein, sondern etwa auch in Straßenbahnen und Bus­sen, wenn die Polizei annimmt, dass dort künftig Straftaten begangen werden.

Obwohl die SPD-Fraktion sich explizit gegen diese Vorschrift aussprach, ist auch die Möglichkeit eines Live-Gesichtsscans im Gesetzentwurf enthalten. Eingeschränkt wurde hier nur die Menge an Menschen, nach denen die Po­lizei suchen darf, nämlich nach Terrorverdächtigen sowie vermissten Menschen und Opfern von Entführungen und Menschenhandel.

Diese „Echtzeit-biometrische Fernidentifizierung“ muss von Richter:innen angeordnet werden, die auch Umfang und Dauer der Maßnahme absegnen müssen. Obwohl also prinzipiell alle gescannt werden, die durch das Kamerabild laufen, soll die Software nur nach einzelnen Menschen suchen.

Völlig unverändert: Staatstrojaner, Kennzeichenscan und Bodycams

Bei anderen Befugniserweiterungen hat sich nichts verändert.

Der Bodycam-Einsatz in Wohnungen soll weiterhin erlaubt werden. Auch der Einsatz von Staats­trojanern zur Gefahrenabwehr im Rahmen der Quellen-TKÜ soll möglich sein. Der Innenminister wollte zudem die verdeckte Online-Durchsuchung von Computern einführen, hat das aber nicht „durchgekriegt“, wie er bei der Presse­konferenz freimütig zugab. Auch die CDU-Fraktion macht Druck.

Nach wie vor ist das verdeckte automatisierte Scannen von Auto-Kennzeichen geplant. Diese Überwachungsmaßnahme soll in grenznahen Regionen erfolgen. Das Innenministerium begründet die Maßnahme explizit mit der Su­che nach Autodieben und gestohlenen Fahrzeugen. Der verdeckte Scan ist bis zu 30 Kilometer vor der Grenze zu Tschechien oder Polen erlaubt. Das entspricht etwa der Hälfte der Fläche Sach­sens.

Bei den Tasern gibt es einen Kompromiss. SPD- und BSW-Fraktion plädierten auf eine gestaffelte Einführung. Die Staatsregierung schafft nun zwar die Rechts­grundlage, um alle Polizist:innen damit auszustatten. Über die nächsten drei Jahre sollen allerdings nur 120 Stück angeschafft werden. Außerdem ist eine verpflichtende Evaluation im Jahr 2029 vorgesehen.

Minority Report und chinesische Verhältnisse

Auch wenn die Minderheitskoalition den Entwurf im Vergleich zur vorherigen Version in Details verändert hat, bleibt es bei einer massiven Erweiterung der Polizeibefugnisse. Der Dresdener Chaos Computer Club (C3D2) kriti­siert das: „Die Landesregierung will klassische Mittel der Strafverfolgung auf Landesebene einfüh­ren und verschiebt damit die rechtliche Grenze der behördlichen Befugnisse: Gefahrenabwehr ist Sache des Landes, Strafverfolgung des Bundes.“ Als Beispiel nennen sie die Staatstrojaner, deren Einsatz bundesweit durch die Strafprozessordnung geregelt ist.

Der Verein erinnert in seiner Mitteilung an dystopische Welten wie „Minority Report“, in denen Predictive-Policing die Unschuldsvermutung ersetzt. „Sicherheitsbehörden bauen derzeit solche Systeme aus, ungeachtet der juristischen Grenzen und gesellschaftlichen Folgen für die Demokratie und individuelle Freiheiten.“

Der C3D2 warnt insbesondere vor der Einführung ei­ner Plattform zur automatischen Datenanalyse. Diese sei „moderne Rasterfahndung mit Vorhersage­funktion“, so die Sprecherin weiter. „Ob es Palantir wird oder eine andere vergleichbare Lösung, ist letztendlich egal. Solche Systeme funktionieren in der Regel nur, wenn sie an möglichst viele Sensoren und Datenbanken an­geschlossen sind“, heißt es in der Mitteilung. Die Einführung einer solchen Software öffne die Büchse der Pandora.

„Der Chaos Computer Club sieht die Novelle des Sächsischen Polizeigesetzes als einen erneuten Angriff auf die informationelle Selbstbestimmung, die rechtsstaatlich gebotene Gewaltenteilung sowie als Gefahr für eine offene und demokratische Gesellschaft.“

Aus dem Landtag kommt die schärfste Reaktion von der Fraktion Bündnis 90/Die Grünen: „Der massive Einsatz von KI zu Überwachungszwecken, die intelligente Videoüberwachung und die Möglichkeit des Daten­abgriffs aus dem Internet sind keine Lappalien, sondern schwerwiegende Eingriffe in die Bürger­rechte aller Menschen in Sachsen“, sagte der innenpolitische Sprecher der Grünen-Fraktion, Va­lentin Lippmann. Er wiederholte seine Kritik aus dem Herbst, wonach sich der Entwurf eher an chinesischen Überwachungsfantasien orientiere als an dem Grundgesetz.

Grüne und Linke scheiden als Mehrheitsbeschaffer aus

Die Linksfraktion äußerte sich in einer ersten Mitteilung zurückhaltender und verwies darauf, den aktuellen Entwurf noch nicht zu kennen. In der Vergangenheit hatte auch sie die geplanten Befugnisse für die automatisierte Datenanalyse, verdeckte Kennzeichenerkennung und biometrische Suche im Internet zurückgewiesen.

Aufgrund der Mehrheitsverhältnisse im Landtag und die klare Ablehnung der Grünen ist die Positi­on der Linken für die Staatsregierung aber nicht entscheidend. Der schwarz-roten Minder­heitskoalition fehlen zehn Stimmen. AfD (40) und Bündnis Sahra Wagenknecht (15) können den Entwurf durch ihre alleinige Zustimmung über die Ziellinie bringen, Grüne (7) und Linke (6) müssten hingegen gemeinsam mit der Minderheitskoalition votieren.

AfD nicht konstruktiv, BSW sieht noch Änderungsbedarf

Eine Zusammenarbeit mit der AfD haben CDU und SPD in ihrem Koalitionsvertrag ausgeschlossen. Die AfD hat keine Stellungnahme im Konsultationsprozess abgegeben. Als einzig verbleibende Option bleibt der Koalition damit das BSW.

Dessen innenpolitischer Sprecher Bernd Rudolph kündigte Anpassungen im parlamentarischen Ver­fahren an. Besonders bei den Themen automatisierte Datenanalyse, Training von KI-Systemen mit Polizeidaten und Tasern sieht die BSW-Fraktion noch Änderungsbedarf. „Der vorliegende Gesetz-Entwurf enthält sinnvolle Modernisierungen, aber auch gefährliche Überdehnungen.“ Man wolle ein Polizeigesetz, das wirksam schützt, aber nicht überwacht.

Die Uhr tickt

Viel Zeit für Änderungen im Parlament bleibt indes nicht mehr. Wegen eines Urteils des Verfassungsge­richtshofs laufen einige Polizeibefugnisse aus dem aktuellen sächsischen Polizeigesetz bald aus. Grüne und Linke hatten gegen das Gesetz geklagt, der sächsische Verfassungsgerichtshof gab ihnen in Teilen recht und setzte für manche Polizeibefugnisse eine Frist: Bis zum 30. Juni braucht es eine neue Regelung, sonst laufen sie aus.

Den Fraktionen verbleiben damit noch gut vier Monate für den ge­samten parlamentarischen Prozess.

Grüne und Linke kritisie­ren die Regierung für den engen Zeitplan. Selbst Innenminister Schuster räumt ein, dass der Land­tag „jetzt nicht komfortabel“, aber ausreichend Zeit habe. Man habe das durchgerechnet, versicherte Schuster.

Geplant ist, das Gesetz am 24. Juni im Plenum zu beschließen. Damit das alles zeitlich klappt, wurde eine Sondersitzung des Innenausschusses angesetzt. Bereits am 27. März steht die Sachver­ständigenanhörung im Landtag an.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Beim Forschungsdatenzentrum Gesundheit sollen die Gesundheitsdaten aller gesetzlich Versicherten zusammenlaufen. Ein Gerichtsverfahren dagegen wird nun fortgesetzt. Dessen Ausgang könnte Pläne von Gesundheitsministerin Nina Warken durchkreuzen.

Drei Jahre lang herrschte Stillstand. Nun geht ein Gerichtsverfahren weiter, das sich gegen die zentrale Speicherung von Gesundheitsdaten aller gesetzlich Versicherten im Forschungsdatenzentrum Gesundheit (FDZ) richtet.

Die Klage hatte die Gesellschaft für Freiheitsrechte (GFF) gemeinsam mit Constanze Kurz, netzpolitik.org-Redakteurin und Sprecherin des Chaos Computer Club (CCC), sowie einem weiteren anonymen Kläger im Mai 2022 eingereicht. Weil das FDZ aber jahrelang nicht arbeitsfähig war und kein IT-Sicherheitskonzept vorlegen konnte, ruhte das Verfahren seit Februar 2023. Im vergangenem Herbst wurde das FDZ offiziell eröffnet, weshalb die GFF das Verfahren nun nach eigenen Angaben fortsetzt und weitere Schriftsätze eingereicht hat.

Der Ausgang der Klage könnte weitreichende Folgen haben. Denn es geht um die Forschung mit Gesundheitsdaten, eine zentrale Säule der erst vor wenigen Wochen vorgestellten Digitalisierungsstrategie von Bundesgesundheitsministerin Nina Warken (CDU). Sollte das Gericht zugunsten der Klagenden entscheiden, könnten wichtige Vorhaben ihres Ministeriums ins Wanken geraten.

Kläger:innen fordern effektiven Widerspruch und besseren Schutz

Die Klagenden werden von dem Rechtswissenschaftler Matthias Bäcker vor dem Sozialgericht Berlin und dem Sozialgericht Frankfurt vertreten. Aus ihrer Sicht verstößt die zentrale Sammlung hochsensibler Gesundheitsinformationen beim FDZ zum einen gegen das Grundrecht der Versicherten, selbst über die eigenen Daten zu bestimmen, sowie gegen das Datenschutzrecht der Europäischen Union.

Zum anderen seien die gespeicherten Daten nicht ausreichend geschützt. Für deren Übermittlung werden nur Namen, Geburtstag und -monat der Versicherten entfernt. Ein von der GFF in Auftrag gegebenes Gutachten des Kryptographie-Professors Dominique Schröder kommt zu dem Schluss, dass eine solche Pseudonymisierung die Versicherten nicht ausreichend schützt. Durch den Abgleich mit anderen Datensätzen ließen sich Betroffene ohne großen Aufwand re-identifizieren.

Die GFF fordert daher für alle Versicherten ein „voraussetzungsloses Widerspruchsrecht“, dass ihre eigenen Gesundheitsdaten für Forschung und andere Zwecke weitergenutzt werden. „Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und sind ein lukratives Ziel für Kriminelle“, sagt Jürgen Bering, Jurist bei der GFF. „Forschung darf daher nur unter ausreichenden Schutzmaßnahmen stattfinden.“

Auf dem Weg zu „einem der größten Daten-Hubs“

Gesundheitsministerin Warken sieht das Forschungsdatenzentrum als „Innovationsmotor“ der Gesundheitsforschung. Die Einrichtung ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Seit 2022 werden dort Gesundheitsdaten zu allen gesetzlich Versicherten in einer zentralen Datenbank zusammengeführt und für die Dauer von bis zu 100 Jahren gespeichert. Forschende müssen sich bei diesem Zentrum registrieren, um mit den Daten arbeiten zu können.

Bislang übermitteln die gesetzlichen Krankenkassen nur die Abrechnungsdaten all ihrer Versicherten an das FDZ. Diese Daten geben Auskunft darüber, welche Leistungen die Versicherungen in Rechnung gestellt bekommen haben und mit welchen Diagnosen diese versehen sind.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der elektronischen Patientenakte hinzukommen. BfArM-Chef Karl Broich geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist.

„Gesundheitsdaten brauchen zwingend angemessene Sicherheitsmaßnahmen“

Sollte die GFF mit ihrer Klage Erfolg haben, könnte dieses Ziel verfehlt werden. Denn bislang ist vorgesehen, dass die ePA-Daten automatisch an das FDZ gehen – sofern Versicherte dem nicht aktiv widersprechen. Dieser Automatismus müsste dann möglicherweise einer aktiven Einwilligung der Versicherten weichen.

Aus Sicht der Klagenden wäre dies zu begrüßen. „Es wird höchste Zeit, dass das Verfahren fortgeführt wird“, sagt Constanze Kurz. „Denn es braucht Klarheit zur Sicherheit und zum Widerspruchsrecht, schon weil inzwischen der Kreis der nutzungsberechtigten Stellen ganz erheblich erweitert wurde.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission wird demnächst neue Überwachungsansätze vorstellen und plant unter dem Deckmantel „rechtmäßiger Zugang“ einen weiteren Angriff auf die verschlüsselte Kommunikation. Europäische Digitalorganisationen machen dagegen jetzt mobil.

Der Dachverband europäischer Digitalorganisationen EDRi hat eine neue Kampagne zum Schutz von Verschlüsselung und privater Kommunikation gestartet. Hintergrund der Kampagne „Keep It Safe and Secure“ (KISS) ist, dass die verschlüsselte Kommunikation in der EU nicht nur durch die Chatkontrolle-Gesetzgebung unter Druck steht, sondern auch durch weitere Projekte.

Staatliche Akteure wie Polizeien und Geheimdienste begehren unter dem Deckmantel des Going-Dark-Narrativs Zugriff auf die Inhalte der Kommunikation. Außerdem beklagt EDRi, dass eine staatlich alimentierte Hacking-Industrie Menschen aus Aktivismus, Politik, Wirtschaft und Journalismus ins Visier nehme und die IT-Sicherheit aller Menschen gefährde.

Die EU hatte im letzten Jahr unter dem Schlagwort ProtectEU einen Fahrplan zum Ausbau der Überwachung vorgestellt. Die Angriffe auf die Verschlüsselung verstecken sich hinter der Formulierung „Rechtmäßiger Zugang zu Daten für Strafverfolgung“. Die Pläne sehen neben einem Angriff auf Verschlüsselung auch den Ausbau der Vorratsdatenspeicherung vor. Die EU-Kommission will noch im ersten Quartal eine Folgenabschätzung dazu veröffentlichen.

Schwachstellen und Hintertüren

Europol und andere Strafverfolgungsbehörden, so heißt es in der Kampagne, drängten unter anderem darauf, Hacking-Methoden zu legalisieren, welche die Verschlüsselung schwächen. Diese Methoden sind immer damit verbunden, Schwachstellen und Hintertüren in Hard- und Software einzubauen oder auszunutzen.

Zu den Methoden gehören wie bei der Chatkontrolle ursprünglich geplant das Client-Side-Scanning, bei dem Inhalte wie Texte, Bilder oder Videos auf einem Gerät oder in einem Kommunikationskanal schon vor der Verschlüsselung gescannt werden. Weitere Ansätze sind unsichere Verschlüsselungsmethoden, bei denen nicht nur die Kommunizierenden Schlüssel haben, sondern Behörden „Nachschlüssel“ zum Entschlüsseln der Kommunikation besitzen. Ein weiterer Ansatz sind Systeme, bei denen Behörden als unsichtbarer „Geist“ an verschlüsselter Kommunikation teilnehmen und die Kommunikation so mitlesen können.

Schutz von Verschlüsselung gefordert

In einer Petition fordern EDRi und die Bündnispartner der Kampagne von den EU-Abgeordneten Schutz von Verschlüsselung und ein Verbot von Staatstrojanern. Die massive Mobilisierung im Rahmen Chatkontrolle sei ein klares Zeichen dafür gewesen, dass den Menschen Verschlüsselung wichtig ist. „Wenn wir die Verschlüsselung verlieren, verlieren wir auch das Vertrauen in alles, was wir online tun, und gefährden damit die Sicherheit unserer demokratischen Gesellschaft, unserer Wirtschaft und unserer Menschenrechte“, heißt es weiter.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Obwohl sich der Gemeinderat dagegen ausgesprochen hat, setzen Tübingens Oberbürgermeister Boris Palmer und das Regierungspräsidium Videoüberwachung durch. Dafür greifen sie auf eine ungewöhnliche Rechtsgrundlage zurück.

Laut Polizeigesetz von Baden-Württemberg ist Videoüberwachung des öffentlichen Raums erlaubt, wenn dort besonders viel Kriminalität stattfindet und das auch in Zukunft zu erwarten ist. Boris Palmer, Ex-Grüner und nun parteiloser Oberbürgermeister von Tübingen, wollte auf Basis dieses Gesetzes Kameras im Bereich vor dem Hauptbahnhof errichten lassen.

Doch der Landesdatenschutzbeauftragte von Baden-Württemberg, Tobias Keber, stellte sich gegen den Plan. In dem Areal finde gar nicht übermäßig viel Kriminalität statt, zuletzt seien die Zahlen sogar gesunken, argumentierte er. „Bei der Videoüberwachung handelt es sich um eine Maßnahme mit hoher Eingriffsintensität, da großflächig Grundrechte von Bürgerinnen und Bürgern eingeschränkt werden, die hierfür keinen Anlass gegeben haben. Ein solcher Grundrechtseingriff kann ausnahmsweise gerechtfertigt sein“, schrieb er. Die Voraussetzungen für diese Ausnahme seien aber nicht erfüllt.

Auch aus Tübingen selbst gab es Widerstand. Der Verwaltungsausschuss der Stadt beschloss: „Die Stadtverwaltung wird aufgefordert, keine Kameras zur Videoüberwachung auf dem Europaplatz zu installieren.“ Der Gemeinderat strich dem Projekt die Finanzierung.

Videoüberwachung nach Datenschutzgesetz

Boris Palmer und das Tübinger Regierungspräsidium, das die Überwachungspläne unterstützt, haben daraufhin die Rechtsgrundlage gewechselt, mit der sie die Videoüberwachung rechtfertigen. Nun soll nicht mehr nach Polizeigesetz, sondern nach Landesdatenschutzgesetz überwacht werden. Demnach ist Videoüberwachung erlaubt, um Personen zu schützen, die sich in öffentlichen Einrichtungen oder deren Nähe bewegen, oder um Kulturgüter, Gebäude und Sachen zu sichern.

Anfang Februar wurde die Novelle des Landesdatenschutzgesetzes vom Landtag beschlossen. Tübingen soll nun zum Vorreiter in der Nutzung dieses Gesetzes zur Videoüberwachung werden.

Ob dessen sehr niedrige Eingriffsschwelle reicht, um die massiven Persönlichkeitsrechtsverletzungen aller Passant*innen an diesem belebten Areal zu rechtfertigen, ist fragwürdig. Gerade prüft der Landesdatenschutzbeauftragte das Vorgehen.

Sechs Kameras geplant

Das Regierungspräsidium teilte dem Reutlinger General-Anzeiger (GEA) mit, „dass die Videoüberwachung am Europaplatz in Tübingen mit den im Landesdatenschutzgesetz genannten Zielen begründet werden kann und es der polizeirechtlichen Begründung nicht mehr bedarf“. Die Überwachung werde deshalb nun eingeführt. Die Stadtverwaltung ließ GEA wissen, dass man bereits Angebote für die Installation von sechs Kameras einhole.

Und auch die Tatsache, dass der Gemeinderat die finanziellen Mittel für die Überwachung gesperrt hat, will die Verwaltung unter Boris Palmer umgehen. Sie verkündete gegenüber dem SWR, dass man ja Mittel umschichten könne, bis zu 70.000 Euro könne Palmer auch freihändig investieren. 20.000 Euro sollen die sechs Kameras kosten.

Dabei gab Palmer in einer Stellungnahme gegenüber dem Jugendgemeindebeirat zu, dass es auch andere Möglichkeiten gäbe, das Sicherheitsgefühl der Bevölkerung vor dem Bahnhof zu steigern, die weniger in das Persönlichkeitsrecht eingreifen: Notrufsäulen, verbesserte Beleuchtung, verstärkte Bestreifung.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat X ein Bußgeld auferlegt, weil der Datenzugang, den die Plattform Forschenden zur Verfügung stellt, nicht DSA-konform ist. Die Urteilsbegründung ist bemerkenswert: Forschung wird darin nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Im Dezember vergangenen Jahres hat die Europäische Kommission erstmals ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei unter anderem zu dem Ergebnis, dass das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, nicht DSA-konform ist. Die Kommission verhängte eine Strafe von 120 Millionen Euro; X hat bis Anfang März Zeit, seine Plattform anzupassen. Der DSA ist das zentrale EU-Gesetz zur Regulierung großer Online-Plattformen und soll unter anderem Transparenz schaffen, Risiken für die öffentliche Meinungsbildung begrenzen und Forschung zu diesen Risiken ermöglichen.

Inzwischen liegt die Begründung der Kommissionsentscheidung vor. Am 28. Januar veröffentlichte der von Republikanern geführte Justizausschuss des US-Repräsentantenhauses ein Dokument der Europäischen Kommission, das die Gründe für ihre Entscheidung gegen X im Dezember darlegt. Es zeigt, wie die EU den DSA konkret durchsetzen will – und welche Rolle Datenzugang und wissenschaftliche Evidenz dabei spielen.

Die politisch motivierte Veröffentlichung und Einordnung durch den Justizausschuss, der im DSA vor allem europäische Zensurabsichten sieht, sind zwar fragwürdig. Sie ändern aber nichts an der inhaltlichen Bedeutung der Begründung selbst. Ein zentraler Bestandteil der Begründung betrifft Versäumnisse beim Gewähren von Datenzugang für Forschende nach Artikel 40(12) DSA. Dieser Datenzugang soll es ermöglichen, systemische Risiken für die EU zu erforschen – etwa Desinformation oder süchtigmachende Plattform-Designs.

Dass Plattformen diesen Zugang bislang häufig nicht freiwillig gewährten, war einer der Gründe für die Einführung des DSA. Aus dem Urteil liest sich, dass X nur knapp fünf Prozent der Anfragen von Wissenschaftler:innen genehmigt hat. Es handelt sich hier also um ein strukturelles Problem.

Enge Auslegung und Verzögerungstaktiken sind unzulässig

Die EU-Kommission stellt unmissverständlich klar, dass Plattformen das gesetzlich verankerte Recht auf Datenzugang nicht in ein von ihnen kontrolliertes Privileg umdeuten dürfen. X hatte Anträge systematisch abgelehnt, wenn Forschende nicht zweifelsfrei nachweisen konnten, dass die beantragten Daten ausschließlich der Erforschung systemischer Risiken dienen. Diese enge Auslegung widerspricht laut Kommission dem Zweck des Gesetzes. Forschende müssen nicht beweisen, dass man aus „Mehl, Butter und Eiern nur einen einzigen Kuchen backen kann“.

Erstmals wird zudem konkretisiert, was als unzulässige Verzögerung gilt: Eine Bearbeitungszeit von mehr als zwei Monaten ordnet die Kommission ausdrücklich als „undue delay“ ein – also als unerlaubteVerzögerung. Damit erhalten Forschende erstmals eine belastbare rechtliche Orientierung. Auch der Versuch, Datenzugang an Kosten, institutionelle Zugehörigkeit oder einen EU-Standort zu knüpfen, weist die Europäische Kommission zurück.

Scraping ist zulässig – auch ohne Plattformgenehmigung

Eine weitere wegweisende Klarstellung betrifft das Scraping, also das automatisierte Auslesen öffentlich zugänglicher Inhalte. Diese Zugangsform ist zentral, um Plattformdaten auch ohne Mitwirkung der Anbieter zu erheben und von Plattformen bereitgestellte Daten überprüfen zu können.

Die Kommission stellt klar, dass Forschenden dieses Recht zusteht, sofern sie die Kriterien aus Artikel 40(12) und 40(8) DSA erfüllen: Forschung zu systemischen Risiken, kein kommerzielles Interesse, transparenter Umgang mit Finanzierung und nachweisbare Datenschutz- sowie Sicherheitsmaßnahmen.

Plattformen dürfen Scraping nicht pauschal über ihre Nutzungsbedingungen untersagen, und eine vorherige Genehmigung ist nicht erforderlich – gerade weil hier die Gefahr eines „undue delay“ besteht.

Evidenz aus der Forschung hat Beweiswert

Besonders bemerkenswert ist, wie die Kommission mit der Frage der Evidenz umgeht. Sie weist die Vorstellung zurück, der Beweiswert müsse an akademische Seniorität, große Stichproben oder klassische Peer-Review-Formate gebunden sein. Entscheidend seien stattdessen methodische Sorgfalt und faktische Relevanz für den konkreten Fall.

In diesem Zusammenhang verweist die Begründung mehrfach auf den vom DSA40 Data Access Collaboratory am Weizenbaum-Institut betriebenen Data Access Tracker. Obwohl die Daten aus der wissenschaftlichen Community gesammelt wurden und keine Zufallsstichprobe darstellen, attestiert die Kommission der Erhebung ausdrücklich Beweiswert im juristischen Sinne. Auch ein von X kritisierter Preprint – ein noch nicht begutachteter Forschungsartikel – wird als relevante Evidenz anerkannt, nicht zuletzt, weil er später peer-reviewed veröffentlicht wurde.

Methodisch nachvollziehbare Forschung wird hier selbst zur Grundlage regulatorischer Durchsetzung.

Relevanz nicht nur für X

Politisch ist die Begründung der Kommission damit weit mehr als eine Einzelfallentscheidung gegen X. Sie markiert einen Meilenstein in der Durchsetzung des Digital Services Act: Forschung wird nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Indem die Kommission methodisch nachvollziehbare Forschung ausdrücklich als rechtlich relevante Evidenz anerkennt und Plattformen klare Grenzen bei Verzögerung, Kosten und Zugangsbeschränkungen setzt, verschiebt sich das Machtgefüge zugunsten von Öffentlichkeit und Wissenschaft. Ob diese Standards künftig konsequent durchgesetzt werden und möglichen Klagen der Plattformen standhalten, wird entscheidend dafür sein, ob der DSA sein zentrales Versprechen einlösen kann: Plattformregulierung nicht nur auf dem Papier, sondern auf Basis überprüfbarer Beweise.

Dass diese Prinzipien nicht nur abstrakt gelten, sondern praktisch durchsetzbar sind, zeigt der jüngste Erfolg von Democracy Reporting International gegen X. Gerichte bestätigen zunehmend, dass Forschende ihren Anspruch auf Datenzugang aktiv einklagen können – und damit eine zentrale Rolle bei der demokratischen Kontrolle von Plattformen einnehmen.

Dr. Jakob Ohme leitet die Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und untersucht dort die Rolle des digitalen Journalismus im Spannungsfeld von Influencern und Künstlicher Intelligenz. Er ist zudem Co-Principal Investigator im #DSA40 Collaboratory und arbeitet dort an kooperativen Modellen für den Zugang zu Plattformdaten im Rahmen des Digital Services Act der EU. LK Seiling ist Plattformforscher in der Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und koordiniert die Arbeit des #DSA40 Collaboratory als Experte für Forschungsdatenzugang.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundesgesundheitsministerin Nina Warken hat ihre Digitalisierungsstrategie vorgelegt. Darin betont die CDU-Ministerin, die Patient:innensouveränität stärken zu wollen. Tatsächlich aber will sie eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufbauen. Nutznießer sind Forschung und Pharma-Unternehmen. Die Rechte der Patient:innen bleiben auf der Strecke.

Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).

Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.

Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.

Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.

Die ePA soll zur „Gesundheits(daten)plattform“ werden

Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.

Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.

Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.

„Künstliche Intelligenz“ soll Symptome auswerten

Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.

Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.

Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.

Forschungsdatenzentrum soll als „Innovationsmotor“ wirken

Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.

Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.

Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.

Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.

Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.

„Real-World-Überwachung“ ermöglichen

Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.

Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.

Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.

Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.

Wie „Künstliche Intelligenz“ unser Gesundheitswesen verändern soll – und welche Fragen das aufwirft

Warken will Medizinregister miteinander verknüpfen

Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.

Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.

Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.

Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.

Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.

Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.

Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an

Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.

Zu diesem Zweck sollen Betreiber von Medizinregistern und die meldenden Gesundheitseinrichtungen registerübergreifende Pseudonyme erstellen dürfen. Als Grundlage dafür soll der unveränderbare Teil der Krankenversichertennummer von Versicherten (KVNR) dienen.

Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.

Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.

Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.

Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.

Gesundheitsministerium schafft Schnittstellen in die EU

Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.

Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.

Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Meta, der Anbieter von Instagram und Facebook, schneidet über „Business Tools“ mit, was Nutzer*innen auf Drittwebsites treiben. Jetzt hat ein Dresdener Gericht vier Betroffenen je 1.500 Euro Schadenersatz zugesprochen. Einer entsprechenden Sammelklage kann man sich weiterhin anschließen.

Wer einen Instagram- oder Facebook-Account besitzt und Nachrichten auf tagesschau.de liest, Unterkünfte über AirBnB bucht, Medikamente bei DocMorris.de bestellt, Partner über parship.de sucht oder Unterstützung auf krebshilfe.de oder nie-wieder-alkohol.de, der wird vermutlich von Meta dabei ausspioniert, sagt eine Liste des Mainzer Landgerichts. Der Konzern trackt nämlich das Verhalten seiner Nutzer*innen auch auf diesen und vielen weiteren Seiten. Wenn Websites „Business Tools“ von Meta einsetzen, fließen Daten an den Konzern ab – ohne Zustimmung der Website-Besucher*innen.

Das ist illegal. Vier Betroffene haben deswegen gerade je 1.500 Euro Entschädigung vom Oberlandesgericht (OLG) Dresden zugesprochen bekommen. Interessant an dem Urteil: Die Betroffenen müssen nicht nachweisen, dass sie auf bestimmten Seiten ausspioniert wurden. Es reicht, dass sie einen Facebook- oder Instagram-Account haben und dass Meta diese extreme Form der Datensammlung tatsächlich praktiziert.

Tausende solcher Klagen gegen Meta sind aktuell anhängig. Menschen, die keine Rechtsschutzversicherung besitzen und trotzdem kostenfrei an eine Entschädigung von Meta kommen wollen, können sich einer Sammelklage anschließen.

Ein Urteil mit Strahlkraft

Das OLG Dresden hat keine Revision zum Bundesgerichtshof (BGH) zugelassen. Das Urteil ist damit rechtskräftig. Es ist allerdings möglich, dass Meta eine Nichtzulassungsbeschwerde beim BGH einreicht. Wegen des geringen Streitwerts der vier Fälle wäre eine solche allerdings wohl relativ aussichtslos.

Das Urteil ist ein Leuchtturm, den andere Gerichte auf dem Schirm haben werden, wenn sie Entscheidungen zur Meta-Überwachung zu fällen haben. Demnächst werden zum Beispiel Urteile vom OLG Naumburg in Sachsen-Anhalt und einem Münchner OLG-Senat erwartet.

Das Landgericht Leipzig hatte Meta-Nutzer*innen zuvor sogar 5.000 Euro zugesprochen. Hingegen sah der 14. Senat des OLG München nur 750 Euro Entschädigung als angebracht.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Im Dezember hat das Justizministerium einen ersten Entwurf für die Neuauflage der Vorratsdatenspeicherung vorgelegt. Dieser stößt bei zivilgesellschaftlichen Gruppen auf Kritik, die vor anlassloser Überwachung warnen.

Der jüngste Anlauf, eine Vorratsdatenspeicherung in Deutschland einzuführen, könnte womöglich gegen EU-Recht verstoßen. So lautet der Tenor aus vielen zivilgesellschaftlichen Organisationen, die in den letzten Wochen Stellung zum Gesetzentwurf bezogen haben.

Diesen hatte das Bundesjustizministerium (BMJV) im Dezember vorgestellt. Demnach sollen Netzbetreiber die IP-Adressen und Port-Nummern ihrer Nutzer:innen anlasslos drei Monate lang speichern. Außerdem sollen sich mit einer Sicherungsanordnung auch weitere Verkehrsdaten von Nutzer:innen einfrieren lassen, wenn ein Verdacht von Straftaten mit erheblicher Bedeutung vorliegt.

Die Tür für den erneuten Anlauf hat der Europäische Gerichtshof (EuGH) geöffnet. Im Jahr 2024 hatten die Richter:innen entschieden, die verdachtsunabhängige Speicherung von IP-Adressen unter bestimmten Bedingungen zuzulassen. Zuvor hatte sich der EuGH in mehreren Urteilen stets gegen diese Form anlassloser Massenüberwachung gestellt. Diese Kehrtwende hat in vielen EU-Ländern, aber auch auf EU-Ebene, neue Diskussionen um Vorratsdatenspeicherung ausgelöst.

EU-weite Lösung bevorzugt

Schon allein deshalb sei ein nationaler Alleingang fragwürdig, schreibt die Digital-NGO Digitale Gesellschaft in ihrer Stellungnahme. „Der Vorschlag läuft quer zu einem gerade angelaufenen Gesetzgebungsverfahren von der EU-Kommission zur Harmonisierung europäischer Regeln zur Vorratsdatenspeicherung“, so die Bürgerrechtler. Lieber sollte sich die Bundesregierung „auf europäischer Ebene für zielgerichtete Maßnahmen statt Massenüberwachung“ einsetzen, empfiehlt die NGO.

Auch inhaltlich spart die Digitale Gesellschaft nicht mit Kritik. In Bezug auf ein älteres EuGH-Urteil würde die vorgeschlagene Speicherfrist von drei Monaten den Maßstäben des Gerichtshofs nicht entsprechen. In seinem letzten Urteil hatte der EuGH keine Zeitspanne benannt. Er führte aus, dass das nun erlaubte Vorhalten von IP-Adressen zeitlich auf das absolut Notwendige begrenzt werden müsse sowie keine detaillierten Einblicke in das Privatleben betroffener Personen erlauben dürfe.

Aufgeweichtes „Quick Freeze“

Dem Deutschen Anwaltverein (DAV) zufolge habe das BMJV die Öffnung für die Speicherung von IP-Adressen „in einem Maße überdehnt, die nicht mehr mit den grundrechtsschützenden Intentionen des Gerichtshofs in Einklang steht“. Da jegliche wirksame Begrenzung der Verwendungszwecke fehle, sei „jedenfalls die vorgeschlagene Vorratsdatenspeicherung europarechtswidrig“.

Neben der anlasslosen Speicherung von IP-Adressen, mit denen sich die Anschlussinhaber:innen herausfinden lassen, will das BMJV mit der Sicherungsanordnung eine Form von „Quick Freeze“ einführen. Hierbei werden nach einer Anordnung auch sogenannte Verkehrsdaten wie eine Liste abgehender Anrufe oder verschickter SMS-Nachrichten eingefroren. Betroffen wären auch Standortdaten, mit denen sich Bewegungsprofile erstellen lassen. Das entspricht grob dem gescheiterten Ansatz der Ampelregierung, die in der vergangenen Legislaturperiode eine grundrechtsschonendere Alternative zur Vorratsdatenspeicherung etablieren wollte.

Doch im aktuellen Entwurf schleift das nun SPD-geführte Justizministerium einige Schutzvorkehrungen. So soll für das Einfrieren der Daten eine simple Anordnung von Ermittlungsbehörden reichen. Erst beim zweiten Schritt, wenn es um das „Auftauen“ der Daten für weitere Ermittlungen geht, wäre eine unabhängige gerichtliche Prüfung notwendig.

Zudem plant das BMJV, die Eingriffsschwelle abzusenken, womit mehr einzufrierende Daten erfasst würden. Damit würde den Ermittlungsbehörden ermöglicht, schreibt der DAV, „genau wie bei der Vorratsdatenspeicherung, für einen Zeitraum von bis zu sechs Monaten retrograde Standortdaten zu erheben und detaillierte Bewegungsprofile zu erstellen“.

Andere Ansätze existieren

Aus Sicht der Gesellschaft für Informatik (GI) ist die flächendeckende, anlasslose Einführung einer IP-Adressenspeicherung vollständig auszuschließen, da sonst jede Person unter Generalverdacht gestellt würde. Zudem müsse grundsätzlich gefragt werden, ob „eine zusätzliche Form der staatlichen Überwachung durch eine Speicherung von Verkehrsdaten überhaupt erforderlich ist“. Aktivitäten ließen sich „bereits durch private Datenabflüsse im Alltag zum Teil rekonstruieren“, so die GI.

Für andere Ansätze plädiert der Digitalverband D64. Als „grundrechtsschonende und zielgerichtete Ermittlungsinstrumente“ schlägt der Verband eine sauber geregelte „Quick Freeze“-Lösung oder eine Login-Falle vor. Auch die Digital-NGO Digitalcourage verweist auf das Quick-Freeze-Verfahren, welches „rechtsstaatlich, verhältnismäßig und bereits heute möglich“ sei.

Kritik am Vorstoß des BMJV übt auch die Wirtschaft. So weist etwa eco, der Verband der Internetwirtschaft, auf potenzielle neue Speicherpflichten für bislang datensparsame Messenger wie Signal hin. „Mit dem geänderten § 100g der Strafprozessordnung (StPO) wird neben den bereits verpflichteten Anbietern bei der Erhebung von Verkehrsdaten klargestellt, dass dieser zusätzlich auch für Anbieter von nummernunabhängigen interpersonellen Kommunikationsdiensten (NI-ICS) gilt“, heißt es in der Stellungnahme des Verbands.

Dem Entwurf deutlich wohlgesonnener sind die von den Speicherpflichten besonders betroffenen Netzbetreiber. Allerdings warnt etwa VATM, der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten, vor Unschärfen im derzeitigen Referentenentwurf. „Wird – wie im Entwurf vorgesehen – der Startpunkt einer Session gespeichert, ist eine Zuordnung einer IP-Adresse zu einem Endkunden nicht nur für drei Monate möglich, sondern faktisch für die gesetzliche Speicherfrist zuzüglich der Dauer der Session“, führt der Verband aus. Demnach könnten in der Praxis auch nach fünf oder sechs Monaten noch Zuordnungen vorgenommen werden. „Dies widerspricht dem Ziel einer strikt zeitlich begrenzten Speicherung.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Anfang 2027 soll in Deutschland eine staatliche EUDI-Wallet bereitstehen. In einer Testumgebung können Behörden und Unternehmen deren Funktionen nun testen. Parallel dazu läuft ein Pilotprojekt in Sachsen.

Im eigenen Portemonnaie haben die meisten von uns nicht nur Bargeld, sondern auch etliche Plastikkarten von Banken, der Krankenkasse oder der städtischen Bibliothek. Das Bundesdigitalministerium (BMDS) arbeitet daran, diese Karten nach und nach um digitale Nachweise zu ergänzen.

Im Januar 2027 soll bundesweit eine digitale Brieftasche an den Start gehen. Die sogenannte EUDI-Wallet wird dann allen Bürger:innen kostenlos zur Verfügung stehen, ihre Nutzung ist freiwillig.

Zum Start der Wallet braucht es nicht nur eine Smartphone-App, sondern auch eine digitale Infrastruktur. Vor wenigen Tagen hat das BMDS gemeinsam mit der Agentur für Sprunginnovationen (Sprind) eine Testumgebung gestartet. Unternehmen und Behörden können hier Anwendungen der geplanten Wallet testen. Digitalminister Karsten Wildberger (CDU) spricht von einem „Meilenstein“.

Staatliche Wallet zuerst

Zum Start der Wallet im Januar sollen sich Bürger:innen zunächst gegenüber der Verwaltung und Unternehmen digital ausweisen können. Erst später sollen dann weitere Nachweise wie Führerschein und Versicherungskarten hinzukommen.

Damit Unternehmen, Behörden und Organisationen die geplanten Funktionen in der sogenannten Sandbox testen können, müssen sie sich zunächst als Relying Party registrieren. Als solche werden Einrichtungen bezeichnet, die digitale Berechtigungsnachweise prüfen, die Nutzende in ihrer EUDI-Wallet haben.

Die Ergebnisse der Testläufe sollen dann in die weitere Entwicklung der staatlichen Wallet einfließen. Voraussichtlich 12 Monate nach deren Start können auch private Anbieter eigene Wallets anbieten, die sie dann mit eigenen Zusatzdiensten anreichern können.

Pilotprojekt in Sachsen

Bereits im Oktober vergangenen Jahres startete das Bundesdigitalministerium zusammen mit der Sächsischen Staatskanzlei und der Landeshauptstadt Dresden ein größeres Pilotprojekt in Sachsen.

Ab Mitte 2026 sollen Dresdner:innen den Dresden-Pass und die Sächsische Ehrenamtskarte in der Wallet hinterlegen können. Beide Nachweise berechtigen unter anderem zu ermäßigten Preisen für Kultur- und Freizeitangebote. Dresden testet damit als erste Kommune Deutschlands die Wallet.

Außerdem wird das zentrale digitale Bürgerkonto, die Bund-ID, in die Wallet eingebunden. Bürger:innen können die Wallet dann dazu nutzen, um sich gegenüber Behörden auszuweisen, etwa wenn sie online Bescheide abrufen möchten. In Kooperation mit der Hochschule für Technik und Wirtschaft Dresden wird zudem ein konkreter Anwendungsfall entwickelt, bei dem Studierende einen Bafög-Antrag mit der Wallet vollständig digital beantragen und den Bescheid dann in der Wallet hinterlegen können.

Viele EU-Staaten liegen hinter dem Zeitplan

Die EUDI-Wallet basiert auf einem EU-Gesetz, das im Mai 2024 in Kraft trat. Die EU-Mitgliedstaaten müssen die Verordnung in nationale Gesetze gießen. Außerdem müssen sie bis Ende Dezember 2026 eigene Wallets anbieten.

Ob dies EU-weit gelingt, ist allerdings fraglich. Der norwegische Identifizierungsdienstleister Signicat hat im vergangenen Dezember ermittelt, dass die Mehrheit der EU-Staaten hinter dem Zeitplan liegt. Nur zwölf Staaten werden demnach bis Ende 2026 wahrscheinlich eine fertige Wallet anbieten können, darunter Frankreich, Deutschland, Österreich, Griechenland und Italien.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

CDU und SPD wollen in Berlin eine zentrale Gesundheitsdatenbank an der Charité aufbauen. Doch die Berliner Datenschutzbeauftragte kritisierte das Vorhaben der Koalition scharf und fordert Nachbesserungen. Wir veröffentlichen ihren Brandbrief.

Die rot-schwarze Koalition in Berlin wollte die Charité dazu befähigen, auf Basis eines reformierten Universitätsmedizingesetzes eine neue Gesundheitsdatenbank aufzubauen. Ziel ist es, den Standort Berlin als Zentrum für Wissenschaft, Forschung, Lehre und Innovation zwischen Hochschulen und Instituten zu fördern. Wie sensible personenbezogene Daten geschützt werden, bleibt in dem Vorhaben jedoch unklar, kritisiert die Berliner Datenschutzbeauftragte Meike Kamp.

Als dringliche Beschlussempfehlung hatten CDU und SPD am 15. Januar eine Änderungsvorlage ins Abgeordnetenhaus eingebracht, bevor sich Kamp am 20. Januar einschaltete. Nach scharfer Kritik in einem Brandbrief, den wir veröffentlichen, teilte der Sprecher für Inneres der SPD-Fraktion, Martin Matz, nun die vorläufige Verfahrenseinstellung mit.

Matz zeigte sich Kamps Kritik gegenüber offen. Die Datenbank-Pläne erachte er aber weiterhin als wichtig und will das Vorhaben bis 2029 verwirklichen. Wie es mit dem Vorhaben weitergeht, ist derzeit allerdings offen: In der heutigen Plenarsitzung stand das Thema auf der Tagesordnung, wurde dann aber kurzfristig vertagt.

Senat verstößt gegen Berliner Datenschutzgesetz

Betreffen neue Gesetzesvorhaben den sensiblen Bereich der personenbezogenen Datenverarbeitung – wie in diesem Fall von Gesundheitsdaten – schreibt das Berliner Datenschutzgesetz vor, die Datenschutzbeauftragte verpflichtend zu konsultieren.

Den Kontakt hatten in diesem Fall aber weder Senat noch Abgeordnetenhaus gesucht. Laut des Brandbriefs hatte die Koalition das vor dem parlamentarischen Beschluss auch nicht mehr vor. Schließlich hatten offenbar Teile der Opposition die Datenschutzbehörde auf den Änderungsentwurf hingewiesen.

Unklar ist bisher auch, warum die Charité als weitere betroffene Partei nicht in das Vorhaben einbezogen wurde. Schließlich wäre sie das ausführende Organ gewesen. Nach Angaben eines Sprechers der Charité war sie weder Initiator noch auf andere Weise in die Formulierung des Änderungsentwurfs eingebunden.

Zweck der Datenbank nicht ersichtlich

Kritisch beurteilte Kamp den Änderungsentwurf außerdem hinsichtlich unklarer und unverständlicher Inhalte. Die Datenbank soll mit nicht personenbezogenen Daten gefüttert werden, heißt es im ersten Absatz des neuen Paragraphen. Jedoch würden die folgenden Absätze dann nur Regelungen für den Umgang mit personenbezogenen Daten behandeln.

Es sei daher anzunehmen, dass an der Charité erhobene personenbezogene Daten in nicht personenbezogene Daten umgewandelt werden. Dafür wären dann Vorgaben für Anonymisierungsverfahren notwendig. Angaben, um welche Daten es konkret gehe, wer sie erheben soll und wie sie anonymisiert und in die Datenbank eingespeist werden sollen, fehlen jedoch.

Die jetzige Fassung sehe außerdem eine „staatenübergreifende Nutzung“ vor. Daten könnten somit auch an Dritte außerhalb der EU übermittelt werden. Handele es sich dann doch um personenbezogene Daten, greifen für diesen Fall bestehende Regelungen, unter anderem die Datenschutzgrundverordnung.

Die Notwendigkeit einer neuen Vorschrift bleibt unklar, urteilt Kamp. Erst einmal müsse der Zweck einer neuen Gesundheitsdatenbank verdeutlicht werden. Dann könne geprüft werden, ob dafür eine Erweiterung der bestehenden Gesetzeslage nötig wäre.

Datenschutz zuerst

Tobias Schulze, Fraktionsvorsitzender für die Linke im Berliner Abgeordnetenhaus, schließt sich der geäußerten Kritik an: „Solche Nachlässigkeiten können wir uns besonders in dem sensiblen Bereich von Gesundheitsdaten nicht leisten. Forschung mit Gesundheitsdaten kann sinnvolle Dienste leisten. Gerade damit dieser Mehrwert nicht delegitimiert wird, ist wirkungsvoller Datenschutz besonders wichtig.“

Anonymisierung und Pseudonymisierung sind entscheidende Schritte auf dem Weg dahin, da sie „wichtige Maßnahmen für eine datenschutzkonforme und datensparsame Datenverarbeitung“ darstellen, betont Simon Rebiger, Pressesprecher der Berliner Datenschutzbeauftragten gegenüber netzpolitik.org.

Anonymisierte Daten dürfen nicht mit verfügbaren Zusatzinformationen auf eine betroffene Person zurückzuführen sein, betont Rebiger. Bei vielen Methoden verbleiben jedoch Restrisiken. Schätzen Verantwortliche diese nach allgemeinem Ermessen als unbeachtlich ein, gelten Daten als anonym und unterliegen nicht mehr dem Datenschutzrecht.

Im Unterschied dazu müsse bei der Pseudonymisierung nur sichergestellt sein, dass eine bestimmte Personengruppe, der die Daten zugänglich gemacht wird, Betroffene in keinem Fall identifizieren kann, so Rebiger. In solchen Fällen können pseudonymisierte Daten unter bestimmten Umständen als anonym gelten. Ansonsten bleiben die Daten personenbezogen und sind datenschutzrechtlich beschränkt.

Derzeit erarbeitet die Datenschutzkonferenz praktische Hilfestellungen für auf Einzelfälle zugeschnittene Verfahren. Sensible Gesundheitsdaten werden zum Beispiel bei der Übermittlung von Daten aus dem Krebsregister erfasst oder wenn KI-Modelle mit radiometrischen Aufnahmen trainiert werden.

---

Hier das Dokument in Volltext:

---

Viertes Gesetz zur Änderung des Berliner Universitätsmedizingesetzes (Drucksache 19/2763)

Änderungsantrag der Fraktion der CDU und der Fraktion der SPD
Dringliche Beschlussempfehlung des Ausschusses für Wissenschaft und Forschung vom 12. Januar 2026
Hier: § 38 Zentrale Gesundheitsdatenbank

Sehr geehrte Frau Präsidentin,
sehr geehrte Vorsitzende der Ausschüsse des Abgeordnetenhauses von Berlin,

ich nehme Bezug auf einen Änderungsantrag zum Vierten Gesetz zur Änderung des Berliner Universitätsmedizingesetzes der Fraktion der CDU und der Fraktion der SPD, der im Ausschuss für Wissenschaft und Forschung am 12. Januar 2026 angenommen und zur dringlichen Beschlussfassung in die 78. Plenarsitzung am 15. Januar 2026 eingebracht wurde.

Die dringliche Beschlussempfehlung sieht durch Einfügung eines neuen § 38 in das Berliner Universitätsmedizingesetz die Errichtung einer zentralen Gesundheitsdatenbank durch die Charité vor, die entsprechend mit Verarbeitungen von Gesundheitsdaten einhergeht. Ich bin entgegen der Vorgaben aus § 11 Abs. 2 Satz 2 Berliner Datenschutzgesetz bisher nicht zu diesem Gesetzesentwurf beteiligt bzw. angehört worden, obwohl die mit der Vorschrift vorgesehenen Errichtung einer zentralen Gesundheitsdatenbank auch die Verarbeitung von personenbezogenen Gesundheitsdaten und damit besonders sensible Bereiche der personenbezogenen Datenverarbeitung betrifft. Irritierend ist insbesondere, dass – wie die Erörterung in der Sitzung des Ausschusses für Wissenschaft und Forschung zeigte – die Beteiligung meiner Behörde auch vor Beschlussfassung im Parlament bewusst nicht mehr vorgesehen ist.

Auch inhaltlich ist die vorgeschlagene Regelung zu kritisieren: Abgesehen davon, dass die Beschlussempfehlung und der Änderungsantrag keine Begründung enthalten, aus welchen Grün- den aus Sicht des Gesetzgebers die Errichtung einer Gesundheitsdatenbank notwendig erscheint, ist der Gesetzesentwurf in seiner derzeitigen Form unklar und unverständlich. Meinen für den Bereich Wissenschaft und Forschung zuständigen Mitarbeiter:innen, die eine besondere Expertise in Bezug auf die Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Gesundheitsdaten haben, erschließt sich der konkrete Regelungsgehalt des § 38 des Entwurfs nicht. Ich habe daher erhebliche Zweifel, ob den Rechtsanwender:innen, insbesondere in der Charité und unter den Forschenden, die Voraussetzungen der Norm in der derzeitigen Fassung verständlich werden wird.

Dies möchte ich im Einzelnen erläutern:

• Nach Abs. 1 soll eine zentrale Datenbank mit „nicht personenbezogenen Gesundheitsdaten“ errichtet werden. Aus der Vorschrift wird nicht klar, was hierunter zu verstehen ist und woher diese Daten stammen. Es ist davon auszugehen, dass es sich um die Gesundheitsdaten handelt, die die Charité im Rahmen der Behandlung und Versorgung ihrer Patient:innen erhoben hat. Damit diese personenbezogenen Daten nicht mehr personenbezogen sind, muss zunächst eine Anonymisierung durch die Charité erfolgen. Dies setzt eine Regelung voraus, die die Verarbeitung der Daten zum Zweck der Anonymisierung zum Gegenstand hat. Eine solche enthält die Vorschrift jedoch nicht.
• Abs. 3 legt fest, dass eine „staatenübergreifende Nutzung“ der Datenbank zulässig sein soll, sofern die „Vorgaben des Datenschutzes“ eingehalten werden. Fragen wirft an dieser Stelle bereits auf, dass in Absatz 1 der Vorschrift von einer Datenbank mit nicht personenbezogenen Daten die Rede ist, hier jedoch auf die Vor- gaben des Datenschutzes hingewiesen wird. Zudem ist die Vorschrift unbestimmt und zeigt keinen klaren Regelungsinhalt auf. Eine „staatenübergreifende Nutzung“ ist nichts anderes als eine Übermittlung oder eine Offenlegung der entsprechenden Daten an Dritte außerhalb Deutschlands oder der EU. Entsprechende Regelungen finden sich bereits in § 25 LKG bzw. in § 6 Abs. 3 GDNG sowie bei möglicher Drittstaatenübermittlung in Kapitel V der DSGVO.
• Abs. 4 S. 1 regelt sodann, dass auch personenbezogene Daten „im Rahmen einer Nutzungsvereinbarung“ zu erheben sind. Gänzlich unklar bleibt, was unter einer solchen Nutzungsvereinbarung verstanden und zwischen wem eine solche Nutzungsvereinbarung geschlossen werden soll. Ferner bleibt unklar, durch wen hier- bei welche Stellen personenbezogenen Daten erhoben werden sollen, und ob und inwieweit diese in die Gesundheitsdatenbank aufzunehmen sind
• Ferner sind nach Abs. 4 S. 2 „anderweitig erhobene und für Forschung und Lehre relevante Daten unter den Voraussetzungen des § 17 BlnDSG […] in die Gesundheitsdatenbank aufzunehmen“. Diese Vorschrift ist ebenfalls unbestimmt und erfüllt den verfassungsgemäßen Grundsatz der Bestimmtheit des Gesetzes nicht. Zunächst ist unklar, welche Daten in die Gesundheitsdatenbank aufgenommen werden sollen. Aus der Formulierung „anderweitig erhoben“ wird nicht deutlich, wer diese Daten erhoben haben soll (ggf. die Charité). Ferner ist unklar, in welchen Kontexten die Daten erhoben worden sein sollen. Darüber hinaus ist nicht klar, ob es sich um Gesundheitsdaten handeln soll, was ausdrücklich im Gesetzestext zu benennen wäre. Um dem verfassungsrechtlichen Bestimmtheitsgebot gerecht zu werden, müsste explizit beschrieben werden, in welchem Zusammenhang von wem welche personenbezogenen Daten erhoben worden sind.
• Die Formulierung, dass „für Forschung Lehre relevante Daten“ aufzunehmen sind, ist ebenfalls zu unbestimmt. Unklar bleibt, was unter „Relevanz“ zu verstehen ist und wer über diese Relevanz entscheidet.
• Auch der Verweis auf § 17 BlnDSG ist nicht verständlich. Zunächst ist anzumerken, dass das BlnDSG nach § 2 Abs. 1 BlnDSG für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes Berlin gilt. Sollte hiermit die Charité angesprochen werden, ist § 25 LKG eine speziellere Norm, die vorrangig anzuwenden wäre. Für Forschende, Studierende oder sonstige Nutzende kann § 17 BlnDSG keine Anwendung finden, weil es sich bei diesem Personenkreis um keine öffentlichen Stellen des Landes Berlin handelt, für die das BlnDSG ausschließlich Anwendung findet (§ 2 Abs. 1 BlnDSG).
• Ferner enthält Abs. 4 S. 2 eigene Voraussetzungen, die vor Aufnahme der Daten in die Gesundheitsdatenbank zu beachten sind. Gänzlich unklar bleibt das Verhältnis dieser Voraussetzungen zu den in § 17 BlnDSG und § 25 LKG formulierten Voraussetzungen, die die Verarbeitung von (Gesundheits-)Daten zu wissenschaftlichen Forschungszwecken zum Gegenstand haben. Es wird nicht deutlich, welche Regelungen des § 17 BlnDSG und § 25 LKG entsprechend gelten sollen und in welchem Verhältnis diese Rechtsgrundlagen zur Verarbeitung der Daten in der Gesundheitsdatenbank stehen. Hierbei ist ebenfalls nicht nachvollziehbar, wie diese Voraussetzungen erfüllt werden können oder welche Voraussetzungen konkret zu erfüllen sind.
• Abs. 4 S. 2 regelt ausdrücklich die Aufnahme der Daten in die Gesundheitsdatenbank, nicht die erst nachgelagerte Nutzung durch Forschende oder Studierende. Abs. 4 S. 2 Nr. 2 regelt jedoch beispielsweise als Voraussetzung, dass „der Forschungszweck die Möglichkeit der Zuordnung erfordert, die betroffene Person zu diesem Zweck eingewilligt hat“. Diese Voraussetzung kann jedoch erst dann geprüft werden und erfüllt sein, wenn eine Nutzung der Datenbank für ein Forschungsvorhaben erfolgen soll. Der Forschungszweck ergibt sich nämlich erst aus einem konkreten Forschungsvorhaben, für das eine Nutzung der in der Gesundheitsdatenbank aufgenommenen Daten beantragt wird. Für die vorgelagerte und hier ausschließlich geregelte Aufnahme der Daten in die Gesundheitsdatenbank kann die Voraussetzung des Nr. 2 daher nicht geprüft werden. Dasselbe gilt für die Voraussetzung Nr. 3, nach der das öffentliche Interesse an der Durchführung eines konkreten Forschungsvorhabens überwiegen muss und der konkrete Forschungszweck nicht auf andere Weise zu erreichen ist.
• Gänzlich unbeachtet bleibt bei Abs. 4 S. 2 auch, dass die Datenbank nach Abs. 2 nicht nur zu wissenschaftlichen und forschungsbezogenen, sondern auch zu lehrbezogenen und innovationsorientierten Zwecken genutzt werden soll, über die Nutzung zu (wissenschaftlichen) Forschungszwecken also hinausgeht.
• Ferner enthält Abs. 4 S. 3 die Regelung, dass personenbezogene Daten, soweit dies nach dem Forschungszweck erforderlich ist, zu anonymisieren sind. Auch hier stellt sich das Problem, dass auf einen konkreten Forschungszweck abgestellt wird, und nicht auf die grundsätzliche Aufnahme / Verarbeitung der personenbezogenen Daten in der Datenbank.
• Schließlich sei insgesamt anzumerken, dass zwar Abs. 1 ausdrücklich regelt, dass eine zentrale Datenbank mit nicht personenbezogenen Daten errichtet werden soll, die weiteren Absätze jedoch nur Regelungen zu personenbezogenen Daten enthalten. Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.

Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine Fachkommission der Bundesregierung hat Empfehlungen vorgelegt, die den Sozialstaat bürgernäher und digitaler machen sollen. Dafür will sie den Datenschutz aufweichen und Verfahren mit Hilfe sogenannter Künstlicher Intelligenz automatisieren. Wohlfahrtsverbände warnen vor zusätzlicher Diskriminierung.

Der Sozialstaat stehe vor einem „digitalen Neustart“. Das verkündete Bundesarbeitsministerin Bärbel Bas (SPD), als sie am Dienstag den Abschlussbericht der „Kommission zur Sozialstaatsreform“ entgegennahm.

Die Kommission empfiehlt insgesamt 26 Maßnahmen, um den Sozialstaat zu „modernisieren“. Sie sollen das Sozialleistungssystem vereinheitlichen, mehr „Erwerbsanreize“ für Leistungsbeziehende schaffen und rechtliche Vorgaben vereinfachen.

Das Schutzniveau des Sozialstaats werde dadurch nicht gesenkt, betonte Bas. Stattdessen zielten die Empfehlungen darauf ab, den Leistungsvollzug effizienter zu machen. Vor allem die Empfehlungen zur Verwaltungsdigitalisierung wertet die Ministerin dahingehend als „Quantensprung“.

Tatsächlich droht aber gerade hier ein Abbau elementarer Schutzvorkehrungen. Denn die Kommission will unter anderem den Datenschutz aufweichen und Verfahren weitgehend automatisiert „auch unter Nutzung von Künstlicher Intelligenz“ beschleunigen. Wohlfahrtsverbände befürchten, dass ohnehin benachteiligte Menschengruppen zusätzlich diskriminiert werden.

Plattformbasierte Modernisierung mit Sozialportal

Der Kommission gehörten Vertreter:innen des Bundes, der Länder und der Kommunen an. Vertreter:innen aus der Wissenschaft oder der Zivilgesellschaft waren in dem Gremium nicht vertreten. Es führte aber Gespräche mit insgesamt 90 Expert:innen und Interessenvertreter:innen unterschiedlicher Verbände und Sozialpartner.

Für eine „konsequente Ende-zu-Ende-Digitalisierung“ strebt die Kommission quasi im Backend eine „technisch sichere und souveräne Technologieplattform für Bund, Länder und Kommunen“ mit einheitlichen Standards und Schnittstellen an. Die Basiskomponenten dafür soll der Deutschland-Stack liefern, das Prestigeprojekt des Bundesdigitalministeriums.

Im Frontend sollen Bürger:innen alle Leistungen gebündelt über ein zentrales „Sozialportal“ einsehen sowie Anträge stellen und Bescheide abrufen können. Der Sozialstaat soll für sie so „transparenter und leichter zugänglich“ werden.

Behördenübergreifender Datenaustausch

Damit Verwaltungen leichter untereinander Daten austauschen können, sollen sie behördenübergreifend die steuerliche Identifikationsnummer nutzen. Diese lebenslang gültige Personenkennziffer erhalten alle Bürger:innen vom Bundeszentralamt für Steuern bei Geburt.

Schon die Ampel-Regierung hatte geplant, die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Jurist:innen und Datenschützer:innen kritisieren die Einführung einer solchen Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteils des Bundesverfassungsgerichts als verfassungswidrig.

Darüber hinaus spricht sich die Kommission dafür aus, das sogenannte Once-Only-Prinzip konsequent umzusetzen. Es sieht vor, dass Bürger:innen ihre Antragsdaten nur noch einer Behörde mitteilen, die diese dann an andere Behörden weitergeben kann.

Der „komplexe“ Sozialdatenschutz

Dafür müsse der Gesetzgeber aber zum einen den „komplexen Sozialdatenschutz“ aufweichen. Konkret empfiehlt die Kommission, entsprechende Regelungen im Ersten und im Zehnten Buch Sozialgesetzbuch zusammenzuführen. Zum anderen müsse dafür der Ersterhebungsgrundsatz reformiert oder gar gestrichen werden – sofern dies „mit dem verfassungsrechtlich verankerten Recht auf informationelle Selbstbestimmung vereinbar wäre“.

Der Ersterhebungsgrundsatz sieht vor, dass personenbezogene Sozialdaten grundsätzlich direkt bei der betroffenen Person selbst erhoben werden müssen und nicht etwa beim Arbeitgeber. Betroffene Person können so derzeit selbst darüber entscheiden, ob und wie ihre Daten preis- und weitergegeben werden.

Mehr KI, weniger Kontrolle

Darüber hinaus will die Kommission Verwaltungsverfahren mit dem Einsatz sogenannter Künstlicher Intelligenz beschleunigen. Auf diese Weise will sie auch den „sich verschärfenden Fachkräfteengpässen“ begegnen.

So sollen „rein regelgebundene Prozesse ohne Ermessens- und Beurteilungsspielraum“ künftig „weitgehend automatisiert ablaufen“. Damit sind Verwaltungsprozesse gemeint, bei denen ein Sachverhalt formal auf klare Voraussetzungen geprüft wird – also etwa ob eine Frist eingehalten wurde oder ein:e Antragssteller:in ein bestimmtes Alter erreicht hat.

Aber auch bei Ermessensentscheidungen soll KI verstärkt zum Einsatz kommen – allerdings nur „unterstützend“, wie der Bericht betont. Die Entscheidungen müssten „in menschlicher Hand“ verbleiben. Zugleich spricht sich die Kommission dafür aus, das sogenannte Vier-Augen-Prinzip einzuschränken. Es sieht vor, dass mindestens zwei Behördenmitarbeitende gemeinsam einen Sachverhalt prüfen.

Wohlfahrtsverbände warnen vor KI-Einsatz

Der Paritätische Wohlfahrtsverband sieht diese Empfehlungen „überaus kritisch“. „Auch ‚unterstützende‘ KI kann systematische Benachteiligung verstärken“, schreibt der Verband auf Anfrage von netzpolitik.org. „Besonders gravierend ist die fehlende Transparenz vieler KI‑Modelle und die Gefahr, soziale Feinheiten auszublenden.“ Das Vier-Augen-Prinzip sei „ein unverzichtbarer Schutzmechanismus im Sozialstaat“ und insbesondere bei KI-gestützten Verfahren wichtig. „Hier brauchen wir mehr Kontrolle, nicht weniger“, so der Verband.

„Nachvollziehbarkeit und Transparenz müssen zu jeder Zeit gewährleistet sein“, mahnt auch der Arbeiterwohlfahrt Bundesverband. Er verweist auf Forschungsergebnisse, wonach Algorithmen dazu neigen, ohnehin benachteiligte Menschengruppen weiter zu diskriminieren. „Sofern der Ermessensspielraum nicht zugunsten der Bürgerinnen und Bürger genutzt wird, muss deshalb immer durch eine qualifizierte Person entschieden werden“, schreibt die Arbeiterwohlfahrt.

Selbst dann seien die Risiken aber noch immer hoch, sagt die Bundestagsabgeordnete Sonja Lemke (Die Linke). Diverse Studien und Umfragen hätten gezeigt, dass Menschen KI-Ergebnissen recht blind vertrauten. „Daher besteht die Gefahr, dass Ermessensentscheidungen, die von der KI unterstützt werden, am Ende faktisch allein von der KI getroffen werden – mit allem Bias, rassistischen und sexistischen Vorurteilen, die in ihr stecken“, so Lemke gegenüber netzpolitik.org. „Das ist Politik auf Kosten derjenigen, die existenziell von Sozialleistungen abhängig sind.“

„Commitment“ oder Grundgesetzänderung

Die Kommission drängt auf eine rasche und einheitliche Umsetzung ihrer Empfehlungen. Bund, Länder und Kommunen müssten bundesweit geltende Vorgaben festlegen. Dazu zählen einheitliche Datenformate, Schnittstellen und IT-Dienste.

Dafür brauche es insbesondere ein „Commitment“ der Kommunen, betonte die Arbeitsministerin am Dienstag im ARD-Morgenmagazin. Nicht jede Kommune könne künftig ihre eigene Software behalten, so Bas.

Gelingt eine solche Einigung nicht, spricht sich die Kommission dafür aus, Artikel 91c des Grundgesetzes so anzupassen, dass „durch zustimmungspflichtige Bundesgesetze Standards, Sicherheitsanforderungen und Komponenten verbindlich festgelegt werden können“. Dafür braucht die schwarz-rote Koalition allerdings mindestens eine Zwei-Drittel-Mehrheit im Bundestag – und damit die Unterstützung der Linkspartei oder der AfD.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Fedora 44 liefert als erste Version seine KDE-Varianten mit KDEs neuem Plasma Login Manager anstelle von SDDM aus, der mit Plasma 6.6 im Februar veröffentlicht wird.

Zwei Forschende haben verschiedene Wege genutzt, um an die Daten großer Plattformen zu kommen. In einem Vortrag auf dem 39. Chaos Communication Congress berichten sie von Hindernissen, aber auch davon, wie wertvoll das Recht auf Datenzugang ist.

Daten sind das Herzstück von Plattformen wie YouTube, TikTok und Instagram. Dabei geht es nicht nur um die Inhalte wie Videos oder Fotos, sondern vor allem auch um die Daten der Nutzer:innen: Was klicken sie an? Mit welchen Inhalten interagieren sie? Was läuft in Dauerschleife?

Wie ihre Empfehlungssysteme horten Google, ByteDance, Meta und Co. diese Daten und geben sie nur ungern preis. Doch es ist möglich, an sie heranzukommen – für Forschende und auch Nutzer:innen selbst. Wie das funktioniert und welche Hürden auf dem Weg liegen, haben David Wegmann und LK Seiling auf dem 39. Chaos Communication Congress präsentiert.

Die Datenschutzgrundverordnung verhilft zum persönlichen Datensatz

Das wohl bekannteste Werkzeug, um an die eigenen Daten heranzukommen, ist die Datenschutzgrundverordnung (DSGVO). Gemäß Artikel 15 hat eine Person das Recht, über sie verarbeitete Daten, Verarbeitungszwecke und andere Informationen von einem Datenverarbeiter zu erhalten.

Wegmann nutzte dieses Recht für seine Forschung zur Rolle von YouTube im demokratischen Diskurs. Dabei griff er auf Datenspenden von 1.064 Dän:innen zurück, die ihm ihre YouTube-Daten zur Verfügung stellten. Die Daten erhielt er, nachdem er 40.000 Personen um eine Datenspende gebeten hatte, berichtete er in dem Vortrag.

Dabei wurden auch die Probleme mit dem Datenzugang klar: Der Weg, die eigenen Daten herunterzuladen, ist nicht immer leicht. Bei großen Anbietern wie Google gibt es meist Möglichkeiten, über die Plattform direkt die Daten anzufordern. Bei anderen Diensten bekommen Nutzende teils erst auf mehrmalige Nachfrage Auskünfte auf Papier.

Doch selbst wenn die Daten wie bei YouTube digital über ein Online-Interface zur Verfügung stehen, bleibt es oft kompliziert: Unübersichtliche Dateien, Tabellen mit unklaren Spaltenbezeichnungen und die generelle Menge an Daten führen schnell zu Überforderung. Teils sind nicht alle Informationen enthalten, bei YouTube etwa, wie lange ein bestimmtes Video abgespielt wurde.

Ein weniger bekannter Weg für Nutzende, die eigenen Daten zu erhalten, geht über den Digital Markets Act, der besonders sogenannte Gatekeeper-Unternehmen im Blick hat. Er begründet für Nutzende das Recht auf Datenportabilität, damit es ihnen möglich ist, Anbieter zu wechseln, ohne ihre gesamten Daten bei einem anderen Dienst zu verlieren.

Datenauskünfte nach dem Digital Services Act geben andere Informationen

Nicht Betroffene selbst, aber Forschende können über den Digital Services Act (DSA) Daten von sehr großen Online-Plattformen anfordern. Seiling unterstützte Wegmann dabei, einen Antrag bei Google zu stellen.

Seiling sagt gegenüber netzpolitik.org: „Grundsätzlich gibt es im DSA zwei Arten von Forschungsdatenzugang. Einmal für öffentlich verfügbare Daten in Artikel 40 (12) und für allgemeine Daten in Artikel 40 (4).“ Bei Ersterem sollen Plattform-Anbieter Forschenden Zugang zu öffentlich zugänglichen Daten ihrer Dienste geben, um systemische Risiken zu erforschen. Bei Letzterem geht es um privilegierten Zugang zu Daten, die teilweise nicht öffentlich sind und die ebenfalls zur Risikoerforschung genutzt werden sollen. Das können beispielsweise Informationen zu Moderationsentscheidungen sein. Dafür sind die Hürden höher, der Antrag auf Zugang zu diesen Daten läuft nicht über die Plattformen direkt, sondern über den jeweils zuständigen nationalen Koordinator für Digitale Dienste.

Da der DSA und das darin verbriefte Recht auf Datenzugang noch vergleichsweise neu sind, gibt es teilweise noch Unklarheiten, was Antragsprozesse oder den Umfang der entsprechenden Daten angeht.

„Der DSA spezifiziert nicht genau, was mit öffentlich verfügbaren Daten gemeint ist“, sagt Seiling gegenüber netzpolitik.org. „Meiner Auffassung nach müsste das auch Informationen zum Plattformdesign oder Inhaltsdaten etwa von Videos betreffen. Aber es ist noch nicht klar, wo genau da die Grenze verläuft.“

Für Wegmann waren die Hürden des Antragsprozesses zu den öffentlich verfügbaren Daten ein Problem. „Google verlangt, dass man beweist, dass man die Daten supersicher aufbewahren kann, und will technische Details zur Speicherung wissen. Wir speichern die nun mit den gleichen Vorkehrungen wie die Patient:innendaten der medizinischen Fakultät“, so der Forscher.

Dass im Vorfeld nicht klar sei, welche Bedingungen man für den Datenzugang erfüllen müsse, sei ein Problem für Wissenschaftler:innen. „Das hat mich Wochen an Arbeit gekostet, all diese Informationen herauszubekommen“, berichtet Wegmann.

Was ist Forschung?

Eine weitere Hürde liegt in der Frage, wer überhaupt laut dem Gesetz als „Forscher“ gilt. Für den Zugang zu öffentlichen Daten muss man nicht an eine Forschungseinrichtung angeschlossen sein. Aber dennoch muss der Antragstellende neben den technischen Voraussetzungen nachweisen, dass die Forschung „unabhängig von kommerziellen Interessen“ ist, und seine Finanzierung offenlegen.

Gerade derartig aufwendige Nachweisprozesse dürften für zivilgesellschaftliche Forschung eine Hürde darstellen, insbesondere dann, wenn sie sich über lange Zeiträume hinziehen.

Trotz der bestehenden Hindernisse sehen Wegmann und Seiling in den Datenzugangsrechten wichtige Werkzeuge. „Mir ist wichtig, dass die Hackercommunity versteht, dass wir das Recht auf unserer Seite haben“, sagt Seiling. „Das ist nicht zu unterschätzen.“ Indem über den Datenzugang Probleme identifiziert werden, ließen sich vielleicht auch Plattformen dazu bringen, Umbauten vorzunehmen. Und so steht auch auf ihrer Schlussfolie zum Vortrag die Aufforderung: „Du kannst [die Datenauskunftsrechte] nutzen, um Tech-Plattformen zur Verantwortung zu ziehen.“

Gerade weil diese Rechte ein mächtiges Werkzeug sind, ist es wichtig, sie aktiv zu nutzen und zu verteidigen. Auch gegen Bestrebungen der EU-Kommission, etwa im Digitalen Omnibus die Selbstauskünfte nach der DSGVO einzuschränken. Und so warnt Wegmann davor, dass Datenauskunftsrechte und andere Rechte zur Verhandlungsmasse gemacht werden, auch auf Druck der USA, die sich gegen europäische Tech-Regulierung stemmen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet!

Wir waren live, das erste Mal seit fünf Jahren: Auf der Bühne des 39C3-Sendezentrums habe ich mit meinen Kolleg:innen Esther, Markus und Chris geplaudert. Wie war ihr Chaos Communication Congress bislang? Was hat in den letzten Wochen super geklappt und was weniger gut? Und vor allem: Wie liefen ihre Lieblingsrecherchen des Jahres ab?

Chris erzählt vom mSpy-Leak, für den wir 3,6 Millionen Nachrichten an den Support einer Überwachungs-App ausgewertet haben. Markus spricht über eine außergewöhnliche Crowd-Recherche zwischen Berlin und Belgrad. Und Esther berichtet von den Mühen der Berichterstattung über Verwaltungsdigitalisierung.

Außerdem beantworten wir Hörer:innenfragen: Welche Recherchen sind so richtig schief gelaufen? Wie viele Admins arbeiten bei netzpolitik.org? Und welche Drähte haben wir ins Parlament?

---

In dieser Folge: Chris Köver, Esther Menhard, Ingo Dachwitz und Markus Reuter.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

---

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

---

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

---

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.

---

Links und Infos

Blattkritik

• Der Congress-Talk von Chris darüber, wie Ausländerbehörden Handys durchsuchen
• Esthers Artikel zum Datenatlas der Bundesregierung
• Der Beitrag von Markus: „netzpolitik.org wirkt“
• Ingos und Sebastians Artikel zu möglichen Datenkäufen durch deutsche Sicherheitsbehörden

Hausmitteilungen

• Jahresrückblick: Unser Jahr in Zahlen
• Ausgezeichnet: Daniel Leisegang und Anna Biselli als drittbeste „Chefredaktion des Jahres“
• Unsere Spendenkampagne zum Jahresende: Videos, Merch und mehr

Aus dem Maschinenraum/Thema des Monats

• Chris‘ und Martins Recherche zu einer Stalking-App: Der mSpy-Leak
• Markus‘ Recherche zu einer neuartigen Bedrohung für die Versammlungsfreiheit: Was wir über die mysteriöse Waffe wissen, die in Belgrad gegen friedliche Proteste eingesetzt wurde
• Esthers Recherche zur Planlosigkeit bei digitaler Souveränität: Keine Strategie für Umstieg auf Windows 11

Kapitel

00:00:00 Begrüßung
00:03:32 Blattkritik
00:07:44 Hausmitteilungen
00:09:18 Thema des Jahres
00:37:57 Postfach
00:44:52 Credits

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn ein IT-System veraltet oder kaputt ist und jemand darauf hinweist, verursacht das erstmal Stress. Aber den Status um jeden Preis aufrechtzuerhalten ist nicht der beste Umgang, findet unsere Kolumnistin. Sie schlägt einen anderen Weg für ein stressfreies digitales Zusammenleben vor.

In der heutigen Degitalisierung geht es um Stress. Aber eigentlich auch wieder nicht. Das mag paradox klingen, hat aber mit einer ganz besonderen Art von Stress zu tun, dem Statusstress. Statusstress ist nicht nur ein wunderschönes Bild von einem Wort, sondern leider auch eine allzu treffende Bezeichnung des Umgangs mit dem Status der Digitalisierung in Deutschland und möglicher Kritik daran.

Besonders häufig zu finden ist der Statusstress in der Verwaltung, zum Teil aber auch im Gesundheitswesen oder bei Unternehmen, die in den beiden Branchen Dienstleistungen erbringen. Um Statusstress genauer zu verstehen, bedarf es einiger prägnanter Beispiele. Aus nicht ganz erfindlichen Gründen kommen ein paar der aktuellen Beispiele für diese Kolumne schwerpunktmäßig aus Berlin.

Das heißt aber nicht, dass Statusstress nicht auch in anderen Regionen in Deutschland, speziell im Kontext der Digitalisierung, vorkommt, es ist eher eine besondere Häufung der Nachrichten der letzten Tage.

Versuch einer Definition

Normalerweise ist Stress eine natürliche Alarmreaktion des menschlichen Körpers auf Belastungen, auf Stressoren. Die Auslöser von Stress können Umstände wie Zeitdruck, Lampenfieber oder lebensverändernde kritische Ereignisse sein, etwa ein möglicher Jobverlust. Kurzfristig setzt der menschliche Körper dann Stresshormone wie Adrenalin frei, um mit der kurzfristigen Belastung besser umgehen zu können – in Vorbereitung auf eine kurzfristige Fight-or-Flight-Situation: entweder der Situation stellen oder fliehen.

Stress ist also eigentlich auch ein Mittel, um mit schwierigen Situationen besser umgehen zu können. Ein Mittel, um sich einer gewissen anstrengenden und schwierigen Situation besser stellen zu können. Meist ist eine Situation dann zwar stressig, wir haben höheren Puls und Blutdruck, aber nach dem Ablassen des Stresses haben wir oftmals eine unangenehme Situation erfolgreich gemeistert und mehr erreicht, als wir vorher gedacht hätten.

Nun gibt es solche Stresssituationen auch für die Politik oder der Politik nahestehende Organisationen, für die Verwaltung oder der Verwaltung nahestehende Unternehmen etwa. Stressig kann es oftmals werden, wenn das jeweilige Handeln kritisiert wird, wenn Fehler offensichtlich werden. Auch hier gibt es dann eine Vorbereitung auf eine Fight-or-Flight-Situation. Fehler zugeben, beheben oder doch lieber erst mal kleinreden? Häufig fällt die Entscheidung auf die Aufrechterhaltung des Status Quo, auch wenn es durchweg sehr anstrengend und – titelgebend – stressig sein kann, den Status Quo als richtig darzustellen.

Nur ist die ohnehin schon stressige Aufrechterhaltung des ungenügenden Status Quo auf lange Sicht gar nicht mal so sinnvoll oder gesund, wie ein paar Beispiele aus der Digitalisierung der letzten Tage zeigen.

Stand der Technik

„Stand der Technik“ ist eine wiederkehrende Formulierung im Gutachten von David Zellhöfer zum Datenatlas der Bundesdruckerei. Zellhöfer ist seines Zeichens Professor an der Hochschule für Wirtschaft und Recht Berlin.

Im Gutachten geht es aber nicht um die Beschreibung, dass der Datenatlas der Bundesdruckerei den Stand der Technik auch erreiche. Es geht wissenschaftlich aufbereitet darum, dass der Datenatlas eben nicht mal den Stand der Technik erreiche. Schlimmer noch, es sei dabei nicht mal der Stand der Technik von heute, sondern der Stand der Technik von vor knapp 40 Jahren.

Eine durchaus harte Kritik, beim genaueren Lesen des Gutachtens finden sich aber viele Anhaltspunkte, wie es besser ginge. Es wird umfangreich aufbereitet, an welchen Stellen Details der Umsetzung des Datenatlas diesen Stand der Technik unterschreiten und welche Umsetzungsalternativen es geben würde. Mit etwas Abstand betrachtet mag das Gutachten zwar nicht nett klingen – es liefert aber zahlreiche Verbesserungsvorschläge, um einen möglichen besseren Datenatlas schaffen zu können. Eigentlich.

Das Gutachten von Zellhöfer mag bei den Beteiligten zu sofortigem Statusstress geführt haben, anders wäre die Prüfung rechtlicher Mittel gegen das Gutachten nicht erklären zu gewesen. Fehler zugeben und diese ausmerzen – oder eben mit viel Aufwand jegliche Kritik am zweifelhaften Status abschmettern. Fight or flight. Statusstress.

Im Falle des Datenatlas und der Bundesdruckerei lässt sich aber nicht genau ermessen, wie viel mehr Aufwand dieser Statusstress am Ende ausmachen wird. Anders ist das bei der zweifelhaften Aufrechterhaltung veralteter IT-Systeme.

415 Prozent

In der letzten Woche wurde bekannt, dass der IT-Dienstleister des Landes Berlin, das IT-Dienstleistungszentrum (ITDZ) Berlin, stark unterfinanziert ist. Zwei Kredite in Höhe von 40 Millionen Euro sind nötig gewesen, um den laufenden Betrieb aufrechtzuerhalten. Bemerkenswert daran ist auch, dass die Behörden, die beim Dienstleister Auftragsverhältnisse haben, mit 16,8 Millionen in der Miese stehen. Die finanzielle Lage des Kommunaldienstleisters ist also eigentlich düster, aber als Anstalt öffentlichen Rechts kann das ITDZ nicht so einfach pleitegehen wie normale kommerzielle Unternehmen.

Woher kommt das finanzielle Problem? Einerseits aus der schlechten Finanzlage von Kommunen und Ländern. Andererseits auch vom Statusstress, diesmal in Bezug auf IT-Systeme.

In der Verwaltung werden oftmals sehr viele unterschiedliche Fachverfahren betrieben, spezialisierte Programme für bestimmte Verwaltungstätigkeiten. Programme für das Meldewesen etwa oder Programme zur Verwaltung kommunaler Aufgaben wie der Abfallentsorgung. Beim ITDZ sammeln sich ganz schön viele unterschiedliche Fachverfahren, der Tagesspiegel [€] schreibt von 415 unterschiedlichen Fachverfahren, die Berliner Behörden laut Senatskanzlei nutzen würden.

Auffällig dabei: Das ITDZ gibt einen mittleren zweistelligen Millionenbetrag im Jahr dafür aus, um die Risiken des Weiterbetriebs der Programme zu reduzieren, so ein Bericht der Chief Digital Officer (CDO) Martina Klement an das Berliner Abgeordnetenhaus. Die Kosten für die Risikoreduzierung des Betriebs liegen Klement zufolge bei durchschnittlich 415 Prozent der ursprünglichen Betriebskosten des jeweiligen Verfahrens. Statusstress. Die Aufrechterhaltung des Status Quo wird irgendwann wirtschaftlich so stressig, dass Weglaufen finanziell eigentlich gar nicht mehr funktioniert.

Bei der Beschönigung des nicht mehr funktionierenden Status Quo hilft dann auch keine kreative Antwortfindung seitens der Verwaltung auf Anfragen mehr. Kreativ hervorgetan hat sich etwa das Bezirksamt Charlottenburg-Wilmersdorf bei der Definition von Mehrfaktor-Authentifizierung. Neben einem ersten Faktor „Wissen“, einem Passwort, sei in der Verwaltung ja auch ein zweiter Faktor „Besitz“ vorhanden, weil Computersysteme „nur in Dienstzimmern zu benutzen“ seien, die mit einem Schließsystem gesichert seien. Schwammig wird die Definition dann dadurch, dass dazu auch Privatwohnungen für die „Telearbeit“ gehören sollen.

Mit anerkannten Regeln der Informationssicherheit hat das zwar nichts zu tun, aber irgendwie muss der Status Quo aufrechterhalten werden können. Die Informationssicherheit ist dabei aber zumindest gedanklich in der Überwindung von Statusstress bereits einen Schritt weiter, in Teilen jedenfalls.

Novellierung des Computerstrafrechts

In der Informationssicherheit gibt es in Deutschland schon länger immer wieder Beispiele von Statusstress auf Basis des Computerstrafrechts. Nach der Gesetzgebung um den sogenannten Hackerparagrafen kann seit 2007 das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe gestellt werden. Auch wenn das erst einmal logisch klingt, führt dies in der Praxis von gutartigen, ethischen Hacker*innen immer wieder zu Problemen. Menschen also, die auf Sicherheitslücken hinweisen, ohne diese bösartig auszunutzen, damit diese geschlossen werden können und somit die Sicherheit steigt.

Da bereits die Vorbereitung von Hacks zu Strafen führen kann, kommt es durch den Hackerparagrafen zu absonderlichen Verurteilungen. Im Fall Modern Solutions etwa wurde ein gutartiger Hacker rechtskräftig verurteilt, weil er die entsprechende Firma darauf hinwies, dass ein Passwort unverschlüsselt in einer ausführbaren Datei einer Middleware-Software gespeichert war. Daraus erwuchs ein erhebliches Sicherheitsrisiko, weil mit diesem einen Passwort ein Zugriff auf die Daten aller Modern-Solutions-Kunden möglich war.

Statt eines Dankes für den Hinweis gab es eine Hausdurchsuchung sowie ein Strafverfahren. Die Verfassungsbeschwerde im Kontext des Falls wurde vor dem Bundesverfassungsgericht abgewiesen.

Eine weitere Form von Statusstress: Durch Strafverfolgung von gutartigen Hacker*innen werden Systeme keinen Deut sicherer, vielmehr werden Sicherheitshinweise im Rahmen von Coordinated Vulnerability Disclosure-Verfahren, wie etwa solchen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), erschwert. Der Status Quo wird auch hier mit viel Stress aufrechterhalten, sicherer werden Systeme dadurch nicht.

Allerdings findet im Kontext des Hackerparagrafen inzwischen ein Umdenken nach. In der letzten Legislatur wurde eine Novellierung des Computerstrafrechts im parlamentarischen Prozess zumindest begonnen, BSI-Präsidentin Claudia Plattner forderte im November eine rechtliche Absicherung von gutartigen Hacker*innen.

Wege zu einem stressfreien Leben

Es gibt also bereits erste Ansätze, besser mit Statusstress zurechtzukommen. Nur wird es in vielen Bereichen der Digitalisierung noch viele Anläufe eines besseren Umgangs mit Kritik und einer offenen Fehlerkultur brauchen, um im Moment der Kritik oder Fehlermeldung richtig mit dem aufkommenden Stress umzugehen. Oftmals ist es in den Momenten, in denen Statusstress entsteht, nämlich gar nicht so düster, wie Menschen oftmals meinen, die einen mangelhaften Status Quo verteidigen wollen.

Professoren wie David Zellhöfer schreiben keine mehr als 100-seitigen Gutachten, nur um stumpfe Kritik an Vorhaben wie dem Datenatlas zu äußern. Es geht auch in als harsch wahrgenommener Kritik um Impulse, Dinge besser zu machen. Das Infragestellen veralteter IT-Systeme in der Verwaltung und kritische Fragen zur IT-Sicherheit sind, auch wenn sie als hart empfunden werden, Fragen danach, wie unsere gemeinsame digitale öffentliche Daseinsvorsorge besser werden kann. Ethischen Hacker*innen, die sich Tage und Nächte Zeit nehmen, Sicherheitslücken in fremden Systemen zu finden und zu dokumentieren, geht es nicht ums Kaputtmachen, es geht darum, dass Systeme nicht von anderen, bösartigen Mächten angegriffen werden können.

Diese Erkenntnis ist oftmals nicht so einfach, sie ist aber der erste Schritt zu einem stressfreien digitalen Zusammenleben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Staaten fordern ein neues Gesetz zur Vorratsdatenspeicherung, das weit über die alten Gesetze hinausgeht. Das geht aus einem EU-Dokument hervor, das wir veröffentlichen. Praktisch alle Internet-Dienste sollen Daten ihrer Nutzer anlasslos speichern, auch Messenger wie WhatsApp und Signal.

Die anlasslose Vorratsdatenspeicherung ist unverhältnismäßig und rechtswidrig. Mit dieser Begründung haben das Bundesverfassungsgericht und der Europäische Gerichtshof entsprechende Gesetze gekippt.

In Deutschland arbeitet die Bundesregierung an einer neuen Vorratsdatenspeicherung. Laut Koalitionsvertrag sollen Internet-Zugangs-Anbieter „IP-Adressen und Portnummern“ drei Monate lang speichern, „um diese einem Anschlussinhaber zuordnen zu können“.

Die EU-Institutionen arbeiten an einer noch umfassenderen Vorratsdatenspeicherung. Geht es nach den EU-Staaten, sollen alle möglichen Internet-Dienste eine Vielzahl an Daten ein Jahr lang speichern.

Das geht aus einem Papier der Ratspräsidentschaft hervor, über das zuerst Falk Steiner bei heise berichtete. Wir veröffentlichen das Dokument im Volltext: Künftige Vorschriften zur Vorratsdatenspeicherung in der Europäischen Union.

Vielzahl von Internet-Diensten

Deutsche Befürworter der Vorratsdatenspeicherung fordern, dass Internet-Zugangs-Anbieter IP-Adressen ihrer Kunden speichern müssen. Wenn Ermittler auf eine IP-Adresse stoßen, sollen sie damit den Inhaber des entsprechenden Internet-Anschlusses identifizieren.

Die EU-Staaten gehen weit über Internet-Zugangs-Anbieter hinaus. Die meisten Staaten fordern „einen möglichst breiten Geltungsbereich“ für Internet-Dienste. Einige EU-Staaten fordern explizit eine Vorratsdatenspeicherung für „Over-the-Top-Dienste“. Die Begründung: Nur noch drei Prozent mobiler Nachrichten werden über SMS verschickt, die restlichen 97 Prozent über Messenger wie WhatsApp und Signal. Also sollen auch diese Messenger Daten speichern müssen.

Die EU-Staaten nennen „eine Vielzahl von Dienstleistern“, für die ein neues Gesetz zur Vorratsdatenspeicherung gelten soll. Sie erwähnen explizit „Domain-Registrare, Hosting-Anbieter, Filesharing- und Cloud-Speicherdienste, Zahlungsdienstleister, Anbieter von VPN-Diensten, Kryptowährungshändler, Vermittler von E-Commerce- und Finanzplattformen, Taxi- und Lebensmittellieferdienste und Gaming-Plattformen sowie Automobilhersteller“.

Die meisten dieser Dienste fallen bereits in den Anwendungsbereich der E-Evidence-Verordnung. Die regelt jedoch den anlassbezogenen Zugriff auf bereits vorhandene Daten. Die Vorratsdatenspeicherung verpflichtet zur anlasslosen Speicherung neuer Daten.

Wer, wann, wo, wie, mit wem?

Deutsche Befürworter der Vorratsdatenspeicherung betonen immer wieder, dass es nur um IP-Adressen geht. Schon das deutsche Gesetz soll auch Portnummern umfassen.

Die EU-Staaten finden, dass „Daten zur Identifizierung eines Nutzers“ wie „Teilnehmerdaten und IP-Adressen“ nur die „Mindestdatenkategorie sein sollten“. Einige Staaten wollen auch Seriennummern von Internet-Geräten speichern.

Manche Staaten wollen auch Kommunikations-Verbindungs-Daten speichern. Ermittler sollen in den Daten erkennen, „wer wann, wo und wie mit wem kommuniziert hat“. Das erinnert an die EU-Richtlinie von 2006. Damals mussten Anbieter für jeden Anruf, jede SMS, jede E-Mail und jedes Internet-Telefonat speichern, „wer wann, wo und wie mit wem kommuniziert hat“.

Einige EU-Staaten fordern auch „eine allgemeine und unterschiedslose Vorratsspeicherung“ von Standortdaten. Mobilfunk-Netze wissen immer, wo ein Smartphone ist. Diese Daten sind extrem aussagekräftig und sensibel. Manche EU-Staaten wollen mit diesen Daten vermisste Personen suchen. Andere Staaten betonen, dass „nicht alle Fälle von vermissten Personen eine potenzielle Straftat darstellen“.

Mindestens ein Jahr Speicherfrist

Die alten Gesetze von EU und Deutschland hatten eine Speicherdauer von sechs Monaten. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“. Trotzdem soll das neue neue deutsche Gesetz eine Frist von drei Monaten vorschreiben.

Die EU-Staaten wollen deutlich längere Speicherfristen. Die meisten Staaten fordern „eine Dauer von einem Jahr und in jedem Fall nicht weniger als sechs Monate“. Einige Staaten befürworten noch „längere Aufbewahrungsfristen für komplexe Ermittlungen oder sehr schwere Straftaten“.

Einige Staaten wollen, dass die EU die Aufbewahrungsfristen nur „als Mindestfrist und nicht als Höchstfrist festlegt, damit die Mitgliedstaaten bei Bedarf längere Aufbewahrungsfristen beibehalten können“.

Nicht nur schwere Straftaten

Die Vorratsdatenspeicherung wurde ursprünglich nach den Terroranschlägen am 11. September 2001 eingeführt und mit dem Kampf gegen internationalen Terrorismus begründet. Mittlerweile wird die Vorratsdatenspeicherung oft mit sexuellem Missbrauch von Kindern und Jugendlichen begründet.

Die EU-Staaten betonen jedoch, „dass Metadaten für die Ermittlung praktisch aller Straftaten relevant sein könnten“. Ermittler sollen Vorratsdaten vor allem bei schweren Straftaten nutzen. Was als „schwere Straftat“ gilt, sollen jedoch die Nationalstaaten definieren. Auch „Aspekte der nationalen Sicherheit“ sollen die Staaten ohne EU regeln.

Neben schweren Straftaten fordern die Staaten die Nutzung von Vorratsdaten gegen „alle Straftaten, die im Cyberspace oder unter Verwendung von Informations- und Kommunikationstechnologie begangen werden“.

Die meisten Staaten befürworten „die Einbeziehung von Straftaten, die überwiegend online begangen werden (Stalking, Hassverbrechen usw.), auch wenn das Strafmaß moderat ist, aber der Mangel an Daten die Ermittlungen praktisch unmöglich machen würde“.

Verhältnismäßigkeit neu bewerten

Das Rats-Dokument fasst zusammen, warum die alte Vorratsdatenspeicherung rechtswidrig war: „Sie hat die Verhältnismäßigkeitsprüfung nicht bestanden, da sie pauschal alle Personen und alle elektronischen Kommunikationsmittel sowie alle Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahme erfasst hat.“

Mit der neuen Vorratsdatenspeicherung sollen mehr Anbieter mehr Daten länger speichern, die Ermittler für mehr Zwecke verwenden dürfen. Wie das rechtskonform gehen soll, bleibt offen.

Einige Staaten fordern, die Rechtsprechung der Gerichte neu zu interpretieren. Sie wollen „die Notwendigkeit und Verhältnismäßigkeit angesichts der technologischen Entwicklungen und der sich wandelnden Begehungsweisen von Straftaten neu bewerten“.

Gesetzesvorschlag 2026

Die meisten EU-Staaten fordern ein neues EU-Gesetz zur Vorratsdatenspeicherung. Die EU-Kommission arbeitet bereits daran.

In einem ersten Schritt hat sie bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Die Kommission plant, im ersten Quartal 2026 eine Folgenabschätzung abzuschließen.

Nach Angaben der Kommission könnte sie „Ende des ersten Halbjahres 2026“ einen Gesetzesvorschlag präsentieren.

---

Hier das Dokument in Volltext:

---

• Classification: Limite
• Date: 27 November 2025
• Place: Brussels
• From: Presidency
• To: Delegations
• Document: WK 16133/2025 INIT

Presidency Outcome Paper – Future rules on data retention in the European Union

1) Introduction

On 25 September 2025, the Danish Presidency organised a meeting of the Working Party on Judicial Cooperation in Criminal Matters (COPEN). The purpose of the meeting was to continue discussions on a possible design for a future EU legal framework on data retention and to contribute to the Commission’s impact assessment, by identifying the main priorities of the Member States in this area, in particular in light of the requirements laid down in the case-law of the Court of Justice of the European Union (CJEU).

During the meeting, the Commission provided an update on their work on the impact assessment, including a presentation of the preliminary results of the call for evidence and the public consultation. The Commission reported that the response rate to the general open consultation had been very high and thus a big success. On the targeted consultation, the Commission summarised the input received from Member States and asked for it to be supplemented by more information regarding electronic data used for criminal investigations. The Commission is planning to finalise the impact assessment in the first quarter of 2026. If the result of the impact assessment pointed in the direction of a legislative proposal, that proposal could, according to the Commission, be presented at the end of the first semester of 2026.

During the exchange of views, most Member States reiterated their support for future EU legislation in this area. In this regard, most Member States referred to the need to remain within the limits defined by the CJEU, while some stressed the need to go beyond mere codification of the case-law and thought that necessity and proportionality should be re-assessed in the light of evolving technologies and developments in the way crimes are committed. Many considered that the overall proportionality of the retention regime could only usefully be ensured through access level and through additional safeguards. Moreover, Member States emphasised that certain elements should remain within their national competence, such as the definition of what constitutes ’serious crime‘. Also, aspects related to national security should be exempt from the scope of any future EU legislation on data retention. This would mean that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security would have to be exempt from future EU legislation, regardless of which national authority requested access.

At the end of the meeting, the Presidency invited Member States to send their contributions in writing based on the guiding questions outlined in the Presidency’s discussion paper, WK 11640/2025.

2) Background and context

For more than a decade, the European Union has not had a common set of rules regulating the retention of personal data for the purpose of the investigation, detection and prosecution of serious crime. On 8 April 2014, the Data Retention Directive in force at the time (Directive 2006/24/EC)^[1] was declared invalid ab initio by the CJEU in the landmark judgment in joined cases C-293/12 and C-594/12, Digital Rights Ireland and Others.^[2] In that judgment, the CJEU found that the Directive violated Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, i.e. the right to respect for private and family life and the right to the protection of personal data. Even though the CJEU found that the Directive had a legitimate aim, it did not pass the proportionality test, given that it covered in a generalised manner all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation, or exception being made in the light of the necessary objective of fighting serious crime.

Since the Directive was declared invalid, the CJEU has developed and further refined its case-law on Member States‘ access to retained and stored data for the purpose of fighting serious crime.^[3] In the absence of a harmonised EU legal framework, Member States have had to navigate complex legal terrain to ensure that their national laws align with the CJEU’s standards on necessity and proportionality, as well as privacy and data protection safeguards. In the Council, discussions of the consequences of the jurisprudence have taken place since 2014 in various fora, i.e. JHA Council meetings, but also in more detail in the COPEN Working Party.

In June 2023, the Swedish Presidency, together with the European Commission, launched a High-Level Group on access to data for effective law enforcement (HLG), aiming to stimulate the discussion and open it to other relevant stakeholders. The HLG issued its concluding report in November 2024^[4], in which the HLG confirmed that one of the main areas of access to data for law enforcement purposes is data retention. This was reiterated by the Council conclusions of 12 December 2024 on access to data for effective law enforcement, which invited the Commission to present a roadmap for the implementation of relevant measures to ensure the lawful and effective access to data for law enforcement.^[5] Furthermore, in its conclusions of 26 June 2025, the European Council invited the EU Institutions and the Member States to take further action to strengthen law enforcement and judicial cooperation, including on effective access to data for law enforcement purposes.^[6]

On 24 June 2025, the Commission presented a roadmap for lawful and effective access to data for law enforcement (‚the Roadmap‘).^[7] It is in the context of the implementation of this Roadmap that the Commission is carrying out an impact assessment on data retention.

During the discussions at the informal delegates‘ meeting of the Coordinating Committee in the area of police and judicial cooperation in criminal matters (CATS) in Copenhagen on 1-2 September 2025, many delegates stressed the importance of a timely Commission proposal for a harmonised set of rules on data retention in order to ensure that law enforcement authorities across the EU have effective access to data when investigating and prosecuting organised crime.

Within this context, the work done in the COPEN Working Party during the Danish Presidency has focused on contributing to this goal, by ensuring that the Member States‘ approaches and priorities are identified and taken into account in the Commission’s impact assessment, following up on the work done by the Polish Presidency and in full coordination with the other communities concerned by the topic of access to data for law enforcement (i.e. the Standing Committee on operational cooperation on internal security (COSI) and the Horizontal Working Party on Cyber Issues (HWPCIs)).

3) Summary of the Member States‘ remarks

Following the COPEN Working Party meeting on 25 September 2025, the Danish Presidency has received written contributions from fifteen Member States^[8] and the EU Counter-Terrorism Coordinator (EU-CTC) with reference to the questions outlined in the Presidency discussion paper prepared for that meeting (WK 11640/2025). The contributions have been compiled in their full length in document WK 13500/25 and were distributed to Member States on 31 October 2025. In the following, the Presidency seeks to summarise both the written contributions and the oral comments made during the meeting in order to provide an overview of the Member States‘ main positions in this area. Hence, the summary reflects the Presidency’s reading of and selection from the inputs provided and does not in any way prejudge the official or final position of Member States.

Support for a new legislative framework

Member States highlight that stored traffic and location data are particularly relevant for the effective investigation and prosecution of criminal offences that leave few traces other than such data (e.g. cases regarding the acquisition, dissemination, transmission or making available online of child sexual abuse material^[9]), and thereby minimise the risk of systemic impunity. With relevant data, investigators can get a clear picture of the criminal offences committed. They emphasise that evidence is not always incriminating, but in many cases, it is exculpatory and can lead to an acquittal. For this reason, some Member States believe it is appropriate to provide for new rules which include general data retention and which are accepted by the CJEU.

Most Member States express support for a new legislative framework at EU level, highlighting the need for harmonised rules to address the fragmentation after the 2006 Directive was declared invalid in 2014. However, this support is expressed with cautionary remarks concerning the need to incorporate elements to guarantee proportionality and necessity as well as robust safeguards against abuse. Some Member States emphasise the limitations imposed in particular by the Digital Rights Ireland judgment and the need to avoid indiscriminate retention, while a few Member States explain that they do not have a formal position yet on the need for new legislation on data retention at EU level. The EU-CTC is in favour of establishing a harmonised EU regime on data retention that is technology-neutral and future-proof and advocates for the use of standardised formats for data retention.

Most Member States recall that safeguarding national security falls within the remit of their competence and this area should therefore be excluded from the scope of any future EU legal framework on data retention. According to certain Member States, the framework should be defined in such a way as not to impede the exercise of their competence in the area of national security. This implies that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

In addition, some Member States also mention the importance of aligning future data retention rules with existing EU regulations which provide law enforcement authorities access to retained data, mainly the e-Evidence Regulation^[10], but also others, such as regulation in the field of consumer protection.^[11]

Scope of service providers

Regarding the service providers that should be covered by the obligation to retain data, most Member States express general support for future legislation to have the broadest possible scope of application, including the possibility of adapting the list to future technological and market developments.

More concretely, some Member States and the EU-CTC agree that over-the-top (OTT) services should be subject to retention obligations due to their dominance in communications (approximately 97% of mobile messages are currently sent via OTTs, with traditional SMS and MMS making up only about 3% of messages^[12]). Nevertheless, some Member States mentioned that the impact which such an extension would have on OTT business models and that the related costs should be taken into account. Further to the general reference to OTTs, Member States provided detail on a wide range of service providers to be included in a future legal framework, such as domain name registries, hosting providers, file sharing and cloud storage services, payment service providers, providers of VPN services, cryptocurrency traders, e-commerce and financial platforms intermediaries, taxi and food delivery services and gaming platforms, as well as car manufacturers, most of which are already included in the scope of the e-Evidence Regulation.

Regarding alignment of services with the e-Evidence Regulation, several Member States point out that it would be useful to include at least the same scope of services in a future legal framework on data retention to ensure the full effectiveness of access rules under the e-Evidence Regulation.

Data to be retained

Regarding the data to be retained, most Member States mention that data to identify a user should be the minimum data category to be included in future legislation, such as subscriber data and IP addresses. Furthermore, metadata associated with communications (traffic and location data) should be included, with content data clearly excluded. Some Member States also mention data to identify the destination and service recipient’s communication equipment in order to determine the location of mobile communication equipment.

As regards the possibility of imposing a general and indiscriminate data retention obligation on telecommunication providers in order to locate missing persons, most Member States consider that location data is crucial in such cases, with some expressing support for including a general and indiscriminate retention of such data for the purposes of conducting search operations and rescuing people, given how highly effective this is, while others consider that such a retention obligation would need to be finely tuned since not all cases of missing persons involve a potential criminal offence.

Targeted retention

On the benefits of targeted data retention for traffic and location data, Member States noted that the aim of targeting measures would be to provide proportionality and to limit interference with individuals‘ privacy, as data should only be retained according to clearly defined criteria, in line with the CJEU’s case-law.

On the shortcomings, Member States generally agree that targeted data retention based on geographical criteria would be technically challenging to implement (and even impossible for some), due to the current configuration of providers‘ networks, which does not allow for restriction of data retention to a pre-defined area, while being very costly for service providers. In addition, Member States consider that targeted data retention would be insufficient to achieve a good outcome for the investigations, since law enforcement authorities will not always know in advance by whom, when, and where a crime is going to be committed.

Moreover, retention based on geographical or personal criteria could be easily circumvented e.g. by criminals using other persons‘ identities or shifting their criminal activities to areas not covered by data retention obligations. Targeted data retention limited to data of persons with a criminal history would not account for first-time offenders as well as foreign offenders (not included in national databases). Furthermore, reliance on criminal statistics would risk not accounting for areas where crimes are prepared or concealed or for crimes that cannot easily be linked to a certain location such as financial crimes. As a consequence, such targeted retention would not meet the needs to effectively investigate a number of crimes including organised crime, cybercrimes or terrorism.

For some Member States, targeted retention could also raise constitutional issues because of risks of discrimination and the presumption of innocence. Some Member States also expressed concerns that applying such targeted retention would lead to unequal protection of victims depending on where the crime is committed (e.g. murder in a remote area outside the targeted geographical area) and potentially hamper the early stages of investigations in relation to unknown suspects. In these cases, the lack of data to identify a potential perpetrator could result in delays in time-sensitive investigations where there is a potential risk to life.

Several Member States also point to the high complexity of designing and implementing such a targeted retention regime, which would need to define all relevant criteria capturing future criminal behaviour based on historical data and would need to be constantly updated (creating additional burden for companies).

Instead, several Member States and the EU-CTC recommend working on a system that allows for an adequately graduated and differentiated retention regime, with limitations defined in terms of data categories and retention periods, accompanied by strengthened security requirements and strict access rules and purpose limitations, user information, complaint mechanisms and legal remedies as well as general oversight. Some Member States also point out that the CJEU has not ruled out the use of criteria other than those mentioned (i.e. geographical or personal) to define data retention obligations.

Expedited retention orders (quick freeze)

While Member States recognise expedited retention (known as a ‚quick freeze‘), as a relevant tool allowing for the immediate preservation of data upon notification of a crime, it is considered insufficient to guarantee a good outcome for an investigation. Quick-freeze obligations should therefore complement, but not replace, a data retention regime.

The reasoning behind this is that the tool is reactive, not preventive. The event under investigation would have to have taken place before the quick freeze is utilised. Furthermore, in the absence of a general retention obligation, the risk that the request might arrive when the data has already been deleted increases exponentially.

Some Member States would support the regulation of quick-freeze measures in an EU instrument, with some considering that regulation of quick freeze should cover not only the scope of data to be accessed, but also the conditions imposed on the requesting authority, taking into account the degree of interference with privacy.

Use of traffic and location data retained for marketing and billing purposes

In some Member States, the preservation regime relies on service providers storing data for commercial purposes. In others, law enforcement authorities may only access this type of data from telecommunication providers, and in certain Member States, data retained for marketing and billing purposes serves as the basis for requests directed at providers not subject to the general data retention obligation, such as operators outside the traditional telecom sector. A common feature of these regimes is that the retention period can be very short, typically between a few days or weeks, or three to six months, depending on the Member State, and the data available may be incomplete.

Some Member States indicate that companies either retain a different range of data for their own purposes, or retain data necessary for criminal investigations, but not for a sufficiently long period or of a sufficient quality. Thus, some of the data (e.g. data kept for marketing purposes) have only limited evidential value and may only prove useful in certain categories of offence, such as online or credit fraud. In other cases, service providers do not store relevant data at all since they are not required for billing purposes (e.g. when offering unlimited calls or in relation to pre-paid services). Overall, Member States consider that data held by service providers for purely business purposes are insufficient to enable the effective investigation and prosecution of all types of serious crime. For the purposes of effective criminal investigations, the definition and scope of data to be retained should reflect the investigative needs in terms of identifying the perpetrator and establishing who communicated with whom, when, where and how.

However, several Member States would prefer to keep the possibility to request metadata that has already been retained for commercial purposes or in order to comply with other obligations, such as data retained to fulfil security and quality requirements.

Retention periods

As for the question of how to best determine retention periods in line with the case-law, most Member States advocate for a duration of one year and in any event not shorter than six months. However, some Member States are in favour of longer retention periods for complex investigations or for very serious crimes, linking the retention obligations with strict conditions to access.

According to some Member States and the EU-CTC, retention periods should be designed as a minimum mandatory period, rather than as a maximum limit, thus allowing Member States to maintain longer retention periods where necessary.

Regarding the question of the advantages and disadvantages of one fixed retention period across the EU, allowing for the possibility of renewals at national level, or setting a range within which Member States may set shorter or longer retention periods, Member States generally recognise that uniform retention periods across the EU increase predictability and facilitate cross-border investigations while also ensuring that criminals cannot take advantage of lower retention periods in some Member States. While Member States prefer to maintain some flexibility (in particular to be able to maintain longer retention periods under national law), they recognise that a range may introduce some uncertainty as to what is necessary and proportionate. Other Member States show openness to an interval-based model, under which the EU would set minimum and maximum retention periods, allowing Member States to adjust them according to national needs, taking into account the type of data, their relevance to specific crime areas, the technical capabilities of service providers, and the practical needs of law enforcement.

On the possible differentiation of retention periods according to the type of data, most Member States are generally open to such an approach, while also pointing to an increase in complexity affecting the ability of service providers to implement it.

Scope of crimes

Most Member States stress that metadata could be relevant in relation to the investigation of practically all crimes. For the purposes of an EU data retention regime for traffic and location, they agree that such obligations could be limited to the purposes of combating serious crime. Types of crime mentioned in the contributions include combating fraud and serious economic and financial crimes, cyber-enabled and cyber-dependent crime, child exploitation, terrorism, homicide, human trafficking, cybercrime, corruption, organised crime, all crimes committed in cyberspace or using information and communication technology. Other crimes that were committed with the use of relevant means of communication are also mentioned in some of the contributions, such as offences against life and health and online sexual offences, kidnappings and disappearances, and threats to national security.

In addition, most Member States support the inclusion of crimes committed largely online (stalking, hate crime, etc.) even if the level of sanctions is moderate but the lack of data would practically make the investigation impossible. While most Member States consider that the lack of traffic and location data would risk systemic impunity in particular in relation to cyber-dependent and cyber-enabled crimes, similar risks are also identified in relation to other serious and organised crimes such as drugs trafficking, arms trafficking, human trafficking, terrorism, as well as kidnappings and disappearances and other serious offences against life and health.

On the other hand, some Member States advocate for the broadest catalogue of offences possible based on the list in Article 12(1)(d) of the e-Evidence Regulation (which includes all crimes with a penalty threshold of three years). Member States consider that EU legislation should not define the concept of ’serious crime‘. In this regard, some Member States consider that an offence catalogue would imply an EU-wide definition of ’serious crime‘, interfering with national competences. Some Member States also note that a list of all possible offences would not be sufficient because of the changing modus operandi of criminals. Those Member States see the decisive points as being the specific purpose of the investigation, the degree of interference, and strict, differentiated safeguards.

Access rules and conditions

Some Member States emphasise that EU provisions on access to retained data should be limited to minimum harmonisation in compliance with the principles of subsidiarity and proportionality and with the other requirements set out by the CJEU, while other Member States point out that the system should be based on general retention combined with robust access safeguards.

A large majority of the Member States state the need for robust access safeguards, including prior authorisation by a court or independent administrative body for certain types of data, based on reasoned requests and subject to limitations reflecting the seriousness of the offence. Such access would be granted only for a specific purpose, with strict guarantees also applying to data sharing, and accompanied by strong security and data minimisation measures, in order to avoid, among other risks, the possibility of profiling.

Some Member States mention that access to traffic and location data should be subject to additional criteria in specific cases. These include situations where digital evidence is essential for identifying the perpetrator, where serious harm to life, health, human dignity or major economic damage is involved, where the data is at risk of being lost, where less intrusive measures have failed to elucidate the offence, or where the case has a cross-border dimension that makes it difficult to obtain evidence quickly by other means.

Some Member States pointed out that when designing a new data retention regime in accordance with the case-law of the CJEU, account should be taken of the fact that the CJEU’s judgments were delivered in specific factual contexts. They therefore argue that a new EU data retention regime should not rely on a literal application of those rulings to individual cases, but rather on an assessment of the principle of proportionality in line with the CJEU’s general guidelines as they result from the application of the Charter, combined with appropriate mechanisms for oversight by independent bodies or judicial authorities to ensure full protection of fundamental rights.

On this matter, some Member States also point out that access to communication metadata is subject to the condition of probable cause, reasonable grounds or a criminal context.

Regarding alignment with the e-Evidence Regulation regarding conditions for access, several Member States support mirroring some of its elements, such as standardised formats for access requests, secure communication channels and guarantees of access depending on the type of data at stake, while adapting them to the specific needs of data retention for law enforcement purposes in order to ensure transparency, data protection and more efficient operation. More specifically, some Member States advocate for standards in line with those of the European Telecommunications Standards Institute (ETSI). Such standards would enhance the efficiency of information sharing and provide greater legal certainty for service providers, while also allowing them to contribute to the design so that the standards better reflect their technical needs. The EU-CTC also sees value in defining standardised formats for a harmonised categorisation of data to be retained and accessed, but also for establishing secure channels for the exchange between competent authorities and service providers.

Some Member States explain, however, that the e-Evidence Regulation only standardises to a limited extent, and that new standards of data transmission could potentially incur significant costs. These Member States do not see a need to regulate standardised formats and communication channels. They argue that the main purpose of an EU instrument should be to regulate data retention in situations involving interactions between national authorities and providers established within their territory, i.e. domestic cases, since cross-border cooperation scenarios are already addressed by the e-Evidence Regulation.

Finally, some Member States highlight the fact that it would be important to bear in mind the recommendations of the HLG regarding the enforcement of sanctions against electronic and other communications service providers which do not comply with requirements regarding the retention and provision of data.

On the other hand, some Member States stress that access rules at EU level should not interfere with national rules on the admissibility of data.

4) Conclusion

If a data retention framework were to be defined, a primary hurdle would be reconciling the demands of effective law enforcement, on the one hand, with the protection of fundamental rights, as interpreted by CJEU jurisprudence, on the other. In this regard, most Member States highlight the need for a framework that avoids indiscriminate retention, prioritises judicial oversight based on the sensitivity of the data at stake, and incorporates robust safeguards against abuse. The Commission must navigate this complex legal and political landscape by focusing on differentiated retention obligations, establishing a clear definition of crimes that justify access, and adopting strict rules to regulate such access. It should contain harmonised procedures to ensure compliance with CJEU case-law while providing a practically effective solution. Moreover, it is emphasised that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

5) Next steps

Taking into account the views of Member States and given the need to respond to law enforcement requirements while fully respecting individuals‘ fundamental rights, the COPEN Working Party will continue to follow up on the specific activities related to data retention in the Roadmap, and when appropriate, with the support of the Commission, the justice and home affairs agencies and other relevant stakeholders. However, at this stage, priority will be given to awaiting the outcome of the impact assessment before considering further steps. The contributions of other Council preparatory bodies to the work on access to data for effective law enforcement within their respective mandates will be coordinated by the Presidency to avoid overlaps.^[13]

Footnotes

1. Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC.
2. Judgment of 8 April 2014, Digital Rights Ireland, C-293/12 and C-594/12.
3. Judgment of 6 October 2020, La Quadrature du Net I, C-511/18, C-512/18 and C-520/18, paragraph 168 (conditions for general and indiscriminate retention of traffic and location data). Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraph 67 (conditions for access to civil identity data). Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraphs 101-103 (conditions for access to information on IP addresses). Judgment of 20 September 2022, SpaceNet, C-793/19 and C-794/19, paragraphs 104, 114,119, 120. Judgment of 2 March 2021, Prokuratuur, C-746/18, paragraph 50. Judgment of 2 October 2018, Ministerio Fiscal, C-207/16, paragraphs 52-57. Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraph 97. Judgment of 30 April 2024, Tribunale di Bolzano, C-178/22, paragraphs 19, 22, 38, 49, 58, 62.
4. 15941/2024 REV2.
5. 16448/24.
6. EUCO 12/25.
7. 10806/25.
8. BG, CZ, IE, IT, LT, LV, AT, PL, PT, ES, SK, FI, SE, HU, and SI.
9. Judgment of 6 October 2020, La Quadrature du Net and Others, C-511/18, C-512/18 and C-520/18, paragraphs 153 and 154. Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraphs 73 and 74.
10. Regulation (EU) 2023/1543 of the European Parliament and of the Council of 12 July 2023 on European Production Orders and European Preservation Orders for electronic evidence in criminal proceedings and for the execution of custodial sentences following criminal proceedings.
11. Regulation (EU) 2017/2394 on cooperation between national authorities responsible for the enforcement of consumer protection laws, recital 7, Article 9(2), and Article 42.
12. Roadmap for lawful and effective access to data for law enforcement.
13. Including CATS, COPEN, DATAPROTECT, FREMP, HWPCI and LEWP, not excluding the possible involvement of other preparatory bodies of the Council.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Datenatlas soll die Bundesverwaltung effizienter machen. Ein wissenschaftliches Gutachten zeigt nun jedoch, dass er mitunter nicht einmal dem Stand der Technik aus dem Jahr 1986 entspricht. Anstatt den Gutachter zu konsultieren, erwägt die zuständige Bundesdruckerei „rechtliche Schritte“ gegen ihn.

Die Verwaltung sollte wissen, was die Verwaltung weiß. Doch Informationen liegen mal diesem Ministerium, mal jener Behörde vor. Damit interne Daten innerhalb der Bundesverwaltung besser aufgefunden werden können, setzt die Bundesdruckerei seit dem Jahr 2022 das Projekt Datenatlas Bund um.

Der „souveräne Datenkatalog für die Bundesverwaltung“ soll erstmals ressortübergreifend Metadaten bereitstellen. Metadaten sind Daten über Daten, also Zusatzinformationen wie etwa das Erstellungsdatum, der Dateityp oder der Speicherort. Die Federführung für das Projekt hat das Bundesfinanzministerium, in den jeweiligen Ministerien sind die Datenlabore für den Atlas zuständig. Grundlage dafür bildet die Bundesdatenstrategie aus dem Jahr 2021.

Modern, digital souverän und KI-fähig soll der Datenatlas sein, schreibt die Bundesdruckerei auf ihrer Website. Doch diese Versprechen kann sie nicht einlösen, wie David Zellhöfer in einem wissenschaftlichen Gutachten schreibt, das er pro bono – also eigeninitiativ und unentgeltlich – verfasst hat. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zu Digitale Innovation in der öffentlichen Verwaltung.

Das Projekt basiert laut Gutachten auf proprietärer Software, greift wahrscheinlich nicht auf übliche Standards zurück und auch für die Einbindung von KI-Anwendungen sei es ungeeignet. Denn die Daten seien weder von verlässlicher Qualität noch maschinenlesbar. Damit falle der Datenatlas teilweise hinter den Stand der Technik von 1986 zurück, so Zellhöfers Resümee. „Aufgrund der eklatanten Mängel ist das Software-Entwicklungsprojekt Datenatlas mit sofortiger Wirkung zu stoppen“, so seine Empfehlung, „um nicht weitere Mittel in eine technisch und konzeptionell wenig überzeugende Lösung zu investieren, welche kaum den Stand der Technik erreicht.“

Die Reaktion der Bundesdruckerei auf das Gutachten fällt deutlich aus. Sie zieht die Seriosität Zellhöfers in Zweifel und erwägt, „nach eingehender Prüfung des Gutachtens“ rechtliche Schritte einzuleiten. Als wir David Zellhöfer davon in Kenntnis setzen, nimmt er das Gutachten vorübergehend offline, um die Vorwürfe selbst rechtlich prüfen zu lassen. Inzwischen ist das Gutachten wieder online abrufbar.

Großprojekt für datengetriebene Verwaltung

Der Titan Atlas schultert in der griechischen Mythologie den gesamten Kosmos. Der Datenatlas soll „nur“ die internen Daten der Bundesverwaltung schultern und es der öffentlichen Verwaltung erlauben, ressort- und behördenübergreifend Daten auszutauschen. Dafür nutzt und ergänzt das Projekt bestehende Verwaltungsdatenübersichten wie die Verwaltungsdaten-Informationsplattform (VIP) des Statistischen Bundesamtes, die Registerlandkarte des Bundesverwaltungsamtes oder das Metadatenportal GovData zu offenen Daten von Bund, Ländern und Kommunen.

Auf den Datenatlas kann standardmäßig nur die Bundesverwaltung zugreifen. Laut Bundesdruckerei seien inzwischen die Ressorts des Bundesfinanzministerium, des Bundesinnenministeriums und weitere an den Datenatlas angeschlossen. Nutzen können sie ihn im Intranet des Bundes. Dafür müssen sich die einzelnen Mitarbeiter:innen registrieren. Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft haben damit keinen Einblick in den Datenatlas, wie der Pressesprecher der Bundesdruckerei auf Anfrage unterstreicht.

Bislang hat der Datenatlas laut Zellhöfers Grobschätzung mindestens 2,3 Millionen Euro gekostet. Allerdings lägen die Kosten mutmaßlich deutlich darüber, wie anonyme Quellen Zellhöfer gegenüber sagten. Die tatsächlichen Kosten legt die Bundesdruckerei auf Anfrage von netzpolitik.org nicht offen.

Wie Technik aus dem vergangenen Jahrtausend

Das Stichwort „Stand der Technik“ taucht im Gutachten gut einhundert Mal auf. Ausführlich zeichnet Zellhöfer nach, welche Funktionen der Datenatlas aus informationswissenschaftlicher Sicht im Jahr 2025 haben sollte. Zellhöfer zufolge bleibt der Datenatlas weit hinter den Erwartungen zurück.

Besonders deutliche Defizite weisen demnach die Anfragemöglichkeiten auf. So sollen Beschäftigte der Bundesverwaltung in der Datenbank gezielt Metadaten recherchieren können. Für diese Suche sind andernorts verschiedene Hilfsmittel üblich, etwa das Suchen mittels Boolscher Operatoren wie „UND“, „ODER“ oder „NICHT“. Ebenso gängig sind sogenannte Wildcards, Sonderzeichen wie das Sternchen- oder Fragezeichen-Symbol, die als Platzhalter für eine beliebige Zahl an Zeichen dienen.

Nutzer:innen kennen solche Möglichkeiten der gezielten Suche etwa von gewöhnlichen Internetsuchmaschinen. Der Datenatlas verfügt über diese Funktionen allerdings nicht. Damit biete er erheblich weniger Funktionen als vergleichbare Datenbanksysteme aus dem Jahr 1986, konstatiert Zellhöfer.

Gefangen in proprietärer Software

Auch dem Ziel der Bundesdatenstrategie werde der Datenatlas nicht gerecht, nämlich einen „Beitrag zur digitalen Souveränität Europas“ zu leisten.

Vielmehr mache sich die Bundesverwaltung vom IT-Dienstleister abhängig, den die Bundesdruckerei mit dem Projekt des Datenatlas beauftragt hat. Denn der Datenatlas baue auf proprietärer Software auf, obwohl verfügbare Open-Source-Lösungen nach informationswissenschaftlicher Expertise teilweise ausgereifter seien. Als Beispiele nennt Zellhöfer die Open-Source-Lösungen Fedora und Piveau.

Der Bundesdruckerei verpasse damit die Chance, verlässlicher zu wirtschaften. Denn die laufenden Kosten ließen sich mit einer Open-Source-Lösung besser kalkulieren. Auch die Gefahr eines sogenannten Vendor Lock-in ließen sich so vermeiden. Vendor Lock-in bezeichnet die starke Abhängigkeit von einem bestimmten Anbieter, bei der ein Wechsel zu einem anderen Anbieter nur mit unverhältnismäßig hohem Aufwand oder zu hohen Kosten möglich ist.

Es drohen weitere Datensilos

Die Gefahr der Abhängigkeit steige zusätzlich, wenn der Datenatlas keine gebrauchsüblichen Datenstandards oder Schnittstellen nutze. Stattdessen habe der beauftragte IT-Dienstleister auf eigene Entwicklungen zurückgegriffen.

Das aber erschwert es Nutzer:innen aus der Verwaltung, ihre eigenen Datensätze in den Datenatlas zu überführen, weil sie diese zuvor noch anpassen müssen. Und auch der Datenexport wird unnötig behindert, etwa für den Fall, dass Nutzer:innen das System wechseln wollen.

Würde der Einsatz des Datenatlas verpflichtend, „führte dies unmittelbar zu der Bildung eines weiteren, wenig interoperablen Datensilos“, warnt Zellhöfer in seinem Gutachten. Obendrein ein Silo mit Daten von minderer Qualität. Denn die Nutzer:innen können die Metadaten-Felder mit frei wählbaren Beschreibungen belegen. Das mache es zusätzlich kompliziert, einzelne Datensätze wiederzufinden, etwa wenn sich Rechtschreibfehler einschleichen.

Bundesdruckerei erwägt rechtliche Schritte

Auf unsere Anfrage an die Bundesdruckerei, wie sie die Ergebnisse des Gutachtens bewerte, ging die bundeseigene GmbH nicht ein. Stattdessen zweifelt sie in ihrer Antwort die Neutralität des Gutachters an. „Wir können aktuell nur mutmaßen, dass der Autor für sein Werk womöglich unseriöse Quellen benutzt haben könnte“, schreibt die Bundesdruckerei an netzpolitik.org, „und zudem einen unlauteren Zweck verfolgt: die Reputation unseres Unternehmens zu schädigen.“ Und sie kündigt an, gegebenenfalls rechtlich gegen das Gutachten vorzugehen: „Sollten sich nach eingehender Prüfung dieses ‚Gutachtens‘ unsere Mutmaßungen erhärten, werden wir die Einleitung rechtlicher Schritte erwägen“.

Als wir Zellhöfer über die Reaktion der Bundesdruckerei informierten, nimmt er sein Gutachten vorübergehend offline. „Ich war unmittelbar eingeschüchtert“, sagt er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“ Die Reaktion kann er sich nicht erklären. „Der Datenatlas ist ein Nischenthema“, sagt er, „das hätten sie auch einfach aussitzen können.“

„Wenn man es positiv sehen will, könnte der Datenatlas als Projekt eines Retro-Computing-Enthusiasten durchgehen“, sagt Zellhöfer. Aber vermutlich müsse man den Datenatlas in seiner jetzigen Form vielmehr als „einen zynischen Kommentar zur Verwaltungsmodernisierung“ sehen. „Super ist, dass sie methodisch sinnvoll eine Dateninventur gemacht haben.“

Weder das BMF noch das Bundesministerium für Digitales und Staatsmodernisierung wollten das Gutachten auf Anfrage bewerten. Das Bundesdigitalministerium soll die Federführung für den Datenatlas übernehmen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die sächsische Regierung möchte das Polizeigesetz deutlich verschärfen und der Polizei KI-Videoüberwachung, biometrische Internetsuche und staatliches Hacken erlauben. Kritik daran kommt aus Zivilgesellschaft und Opposition. Doch gerade letztere braucht die Regierung, um ihren autoritären Entwurf zum Gesetz zu machen.

Die sächsische Polizei soll in Zukunft möglichst viele neue Befugnisse bekommen. So lautet die kürzestmögliche Zusammenfassung des Entwurfs für das neue Sächsische Polizeivollzugsdienstgesetz, kurz SächsPVDG. Was will der Entwurf konkret? Was sagen Opposition und Zivilgesellschaft? Und warum könnte es ausgerechnet auf das Bündnis Sahra Wagenknecht ankommen?

Anfang Oktober stellte der sächsische Innenminister Armin Schuster (CDU) den Entwurf des SächsPVDG vor. Im Fokus der Berichterstattung stehen seitdem vor allem Drohnen, Taser und die elektronische Fußfessel. Doch der Entwurf sieht auch die Ausweitung und Einführung von weiteren Überwachungsmaßnahmen vor, darunter der Staatstrojaner „Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung), die automatisierte Kennzeichenerfassung, „KI“-Videoüberwachung, Echtzeit-Gesichtserkennung, der biometrische Datenabgleich und eine automatisierte Datenanalyse von Polizeidaten nach Art von Palantir. Doch mehr zu den einzelnen Punkten weiter unten.

Warum die Uhr für das Gesetzes-Update läuft

Der Hauptgrund für die jetzige Gesetzesnovelle ist ein Urteil des sächsischen Verfassungsgerichtshofs. Die Landtagsabgeordneten aus den Fraktionen der Grünen und Linken hatten gegen die letzte Änderung des Polizeigesetzes erfolgreich geklagt. Der Verfassungsgerichtshof sah einige der neuen Vorschriften als unvereinbar mit der sächsischen Verfassung an, lies sie aber mit Einschränkungen bis zu einer Neuregelung weitergelten. Doch diese Frist läuft am 30. Juni 2026 ab, so steht es in dem Urteil.

Innenminister Schuster betont, aktuell würden insgesamt elf Bundesländer ihre Polizeigesetze überarbeiten. „Bei der Gestaltung der Kompetenzen und Befugnisse bewegen wir uns auf Augenhöhe“, sagte er in einer Pressemitteilung.

Während sich die mitregierende SPD im Landtag zu dem Entwurf eher bedeckt hält, feiert die CDU den Vorstoß. „Dieser Entwurf ist ein Sicherheitsgewinn für Sachsen!“, lässt sich der innenpolitische Sprecher der CDU-Fraktion, Ronny Wähner, in einer Pressemeldung zitieren.

„Chinesische Verhältnisse“ mit „endloser Polizei-Wunschliste“

Grüne und Linke, beide in Sachsen in der Opposition, kritisieren den Gesetzesentwurf mit scharfen Worten. Valentin Lippmann von den Grünen sieht einen massiven Eingriff in die Bürgerrechte. „Insbesondere die KI-gesteuerte Datenanalyse, die Möglichkeit des Abgleichs von Bildern mit öffentlich zugänglichen Quellen im Internet und die umfassende biometrische Videoüberwachung bilden ein Gift der Überwachung“, teilte Lippmann mit. Mit dem Entwurf sei Schuster „näher an der Praxis in China als auf dem Boden unserer Verfassung“.

Rico Gebhardt von der Fraktion Die Linke schreibt auf Anfrage von netzpolitk.org, dass der Gesetzesentwurf auch einige positive Dinge enthalte, etwa Umsetzungen des Gerichtsurteils sowie Maßnahmen zum Schutz vor häuslicher Gewalt. Insgesamt sieht er aber „eine endlose Polizei-Wunschliste“ und einen „rechts-autoritären Entwurf“.

„Überwachungsdruck steht in keinem angemessenen Verhältnis zum Ergebnis“

Auch außerhalb des Landtags hagelt es Kritik. Die sächsische Datenschutzbeauftragte Juliane Hundert nimmt seit Jahren eine Verschärfungsspirale in der Sicherheitsgesetzgebung wahr. „Jede neu geschaffene Maßnahme im Bereich der Gefahrenabwehr erhöht den Überwachungsdruck auf die Bürgerinnen und Bürger allgemein, auch wenn sie nicht straffällig werden, und das kann ich nicht gutheißen“, sagt sie auf eine Anfrage von netzpolitik.org zu dem Entwurf.

„Die zunehmende polizeiliche Erfassung des öffentlichen und virtuellen Raums und der damit einhergehenden Überwachungsdruck scheinen in keinem angemessenen Verhältnis zu den Ergebnissen der Maßnahmen zu stehen.“ Hundert sieht in diesem Kontext vor allem die Maßnahmen kritisch, von denen viele Bürger:innen betroffen sind, etwa die Maßnahmen zur „KI“-Videoüberwachung und zum Filmen in Autos zur Verkehrsüberwachung: „Obwohl sie keinen Anlass dafür gegeben haben und in keiner Weise eine Gefahr für die öffentliche Sicherheit oder Ordnung darstellen, werden ihre Daten polizeilich verarbeitet“, kritisiert Hundert.

Kritik von netzpolitischer Szene bis Fußballfans

Stephanie Henkel, die sich beim Dresdener CCC, aber auch der Piratenpartei sowie den Datenpunks engagiert, sieht es ähnlich wie Hundert, sagt aber: „Man kann kaum sagen, was die schlimmste Anpassung ist.“ Ein Grundproblem sei, dass der Verfassungsgerichtshof in seinem Urteil zu viel durchgewunken habe. Nun gehe das Innenministerium mit diesem Entwurf nochmal deutlich über das Urteil hinaus, so Henkel. „Der jetzige Entwurf stellt unterm Strich einen massiven Ausbau der Überwachung in Sachsen dar, gegen den wir uns als Zivilgesellschaft laut und sichtbar stellen müssen.“

Auch aus der Fußballszene kommt Gegenwind zum Gesetzesentwurf. In einem gemeinsamen Statement schreiben die Fanhilfen von Chemie Leipzig, Dynamo Dresden und dem FSV Zwickau: „Mit diesem vorgelegten Gesetzesentwurf zur Regelung der Befugnisse der sächsischen Polizei begeht der sächsische Innenminister Armin Schuster erneut einen bewussten Verfassungsbruch.“ Anstatt die verfassungsgemäße Ordnung des sächsischen Polizeirechts herzustellen, erweitere man dieses um Dutzende weitere verfassungswidrige Punkte, so ein Fanhilfe-Sprecher.

Besonders kritisch sehen die Fan-Anwält:innen die Kombination der verschiedenen Befugnisse, etwa wenn automatisierte Datenanalysen mit Software von Palantir und neue Formen der Videoüberwachungsauswertung zusammenkämen: „Im Zusammenspiel [von Palantir, Anm. d. Red.] mit der nach Gesetzesentwurf geplanten verdeckten automatisierten Kennzeichenerkennung und dem Einsatz intelligenter Videoüberwachung wäre der gläserne sächsische Bürger dann wohl perfekt.“

Doch wie weit gehen die geplanten Befugnisse wirklich?

Jetzt auch Staatstrojaner für die Prävention

In der Strafverfolgung ist der Staatstrojaner zum Anzapfen der laufenden Telekommunikation schon mehrere Jahre lang erlaubt. Das regelt die bundesweit geltende Strafprozessordnung. In Sachsen gilt seit der letzten Novelle des SächsPVDG, dass die Polizei zur Gefahrenabwehr auch die Kommunikation abhören darf. Nun aber steht das erste Mal explizit im Gesetz, dass die sächsische Polizei dafür auch „in von der betroffenen Person genutzte informationstechnische Systeme“ eingreifen darf. Sie darf also hacken. Darauf hatten sich Union und SPD im sächsischen Koalitionsvertrag geeinigt.

Zu den Voraussetzungen gehört nach dem Entwurf selbstverständlich eine richterliche Anordnung. Zudem ist die Maßnahme nur zulässig, „wenn die Abwehr der Gefahr oder die Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre“. Laut Entwurf geht es um die Verhinderung bestimmter schwerer Straftaten, die sich gegen den „Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“ richten.

Dass dabei auch Dritte mitüberwacht werden, ist allerdings kein Hinderungsgrund. Zuletzt hatte etwa die bayerische Polizei das Pressetelefon der Letzten Generation – und damit wenig überraschend auch die Gespräche mit Journalist:innen – abgehört. Zwei Journalisten ziehen deshalb zusammen mit der Gesellschaft für Freiheitsrechte vor das Bundesverfassungsgericht.

Kommt Palantir auch nach Sachsen?

Das neue SächsPVDG ebnet den Weg auch für Palantir oder andere Analyseplattformen. Die Polizei soll „zur Gewinnung neuer Erkenntnisse gespeicherte personenbezogene Daten anlassbezogen automatisiert zusammenführen und mit weiteren nach diesem Gesetz oder anderen Rechtsgrundlagen gespeicherten personenbezogenen Daten automatisiert verknüpfen, aufbereiten und auswerten“ können. Die Polizei darf diese Datenanalyse zur Verhinderung einer langen Liste von Straftaten einsetzen, darunter schwere Straftaten, besonders schwere Straftaten, aber auch „zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“.

Dabei soll die Polizei fast alle Daten zusammenführen können, über die sie potenziell verfügt: von Daten aus Polizeidatenbanken wie „Gewalttäter Sport“ über Falldaten bis zu Datensätzen „aus gezielten Abfragen in gesondert geführten staatlichen Registern sowie einzelne gesondert gespeicherte Datensätze aus Internetquellen“. Datenschutzbeauftragte Hundert stellt klar: „Dabei werden tausende Datensätze auch von Personen ausgewertet, die nicht Gegenstand polizeilicher Ermittlungen waren.“ Lediglich Daten aus Wohnraumüberwachung und Online-Durchsuchung sollen laut Entwurf nicht miteinbezogen werden.

Näheres soll eine Verwaltungsvorschrift regeln, die dann auch „Kennzeichnungen“ zur Einhaltung der Zweckbindung sowie ein Rechte- und Rollenkonzept beinhalten soll. Rico Gebhardt von den Linken kritisiert das. „Das Parlament wird dann nicht mehr mitreden können. Auch damit werden wirklich alle roten Linien überschritten.“

Gebhardt sieht in dem Entwurf einen „Blankoscheck“, um sich bei „rechtsstaatlich desinteressierten Tech-Oligarchen“ einzukaufen – auch wenn der Name „Palantir“ im Gesetzentwurf nicht explizit falle. Es gebe keine Vorfestlegung auf Palantir, sagte Innenminister Schuster laut Sächsischer Zeitung. Auch die sächsische SPD hatte sich noch vor ein paar Monaten gegen Palantir ausgesprochen.

Stephanie Henkel ist skeptisch, ob es nicht docch auf Palantir hinausläuft: „Ich wüsste nicht, was sie sonst nehmen.“ Henkel erinnert auch an den bereits existierenden Rahmenvertrag, den Bayern mit Palantir ausgehandelt hat. Aktuell setzen Bayern, Hessen und Nordrhein-Westfalen Palantir-Software ein, in Baden-Württemberg soll die Software ab 2026 zum Einsatz kommen.

Videoüberwachung, jetzt mit „Künstlicher Intelligenz“

Neu im Polizeigesetz ist auch der Paragraf zur „KI“-Videoüberwachung. Die Polizei will damit zum einen von einer Software automatisiert erkennen lassen, wenn sich im Bereich der Kameras eine Straftat anbahnt. Konkret soll die Software Waffen und gefährliche Gegenstände erkennen sowie Bewegungsmuster, „die auf die Begehung einer Straftat hindeuten“. Vorbild ist ein Projekt in Mannheim.

Zum anderen soll eine Software auch Personen nachverfolgen können, deren Bewegungsmuster auffällig waren, sofern ein Polizist das bestätigt. Mit richterlicher Anordnung oder bei Gefahr im Verzug darf die Polizei auch einen Abgleich der gefilmten Gesichter mit den eigenen Auskunfts- und Fahndungssystemen durchführen („Fernidentifizierung“).

Diese Gesichtserkennung ist in Sachsen bisher schon erlaubt, allerdings nur an Orten, die wichtig für die grenzüberschreitende Kriminalität sind. Der neue Entwurf ermöglicht nun die „KI“-Videoüberwachung und Fernidentifizierung an Kriminalitätsschwerpunkten sowie bestimmten Veranstaltungen unter freiem Himmel.

Gesichtserkennung mit Daten aus dem Internet

Ebenfalls künftig erlaubt sein soll der Abgleich mit biometrischen Daten aus dem Internet. Konkret nennt der Gesetzesentwurf Gesichter und Stimmen, die die Polizei zum Zwecke der Gefahrenabwehr abgleichen dürfe. Hier braucht es ebenfalls eine richterliche Anordnung. Außerdem soll die Datenschutzbeauftragte nachträglich informiert werden.

Sollte es dieser Paragraf in das finale Gesetz schaffen, wird er wahrscheinlich ein Fall für die Gerichte. Linken-Politiker Gebhardt hat nach eigener Aussage erhebliche Zweifel, „ob so eine biometrische Rasterfahndung, auf die es ja hinauslaufen würde, überhaupt legal betrieben werden kann – oder ihre Anwendung nicht eher dazu führt, das Gesetz erneut in den verfassungswidrigen Bereich zu steuern“.

Laut einem Gutachten von AlgorithmWatch ist es technisch nicht umsetzbar, frei verfügbare Bilder aus dem Internet für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank dieser Bilder zu erstellen. Dies wiederum verbietet die KI-Verordnung der EU. Auf die Anfrage von netzpolitik.org, wie dieser Teil des Entwurfs rechtssicher umgesetzt werden soll, hat das sächsische Innenministerium nicht geantwortet.

Noch mehr Abbau von Datenschutz

Insgesamt bedeutet der Entwurf fast überall einen Rückschritt beim Datenschutz. So ist der Polizei künftig eine Weiterverarbeitung von personenbezogenen Daten auch für Aus- und Fortbildungen erlaubt. Auch zum „KI“-Training dürfen personenbezogene Daten verwendet werden. Das gilt selbst dann, wenn man die Daten nicht anonymisieren oder pseudonymisieren kann.

Zu diesem Zweck darf die Polizei die Daten auch an Dritte weitergeben. Rico Gebhardt befürchtet in diesem Zusammenhang einen Tabubruch: „Das erweckt den bösen Anschein, als wäre das Innenministerium bereit, einen Anbieter mit hochsensiblen Daten der Bürgerinnen und Bürger zu ,bezahlen‘.“

Die bisher dargestellten Neuerungen sind nur eine kleine Auswahl aus dem Entwurf. Künftig soll zudem das automatisierte Scannen von Autokennzeichen auch verdeckt erfolgen können – und das pauschal in allen Orten mit einer Grenznähe von unter dreißig Kilometern sowie an Kriminalitätsschwerpunkten. Das ist etwa die Hälfte der Fläche Sachsens. Die Polizei soll außerdem künftig an bestimmten Kreuzungen auch in Autos filmen dürfen, um zu verhindern, dass Fahrer:innen dort das Handy benutzen. Und Bodycams sollen nun auch in Wohnungen filmen dürfen.

Sächsische Koalition muss erst eine Mehrheit suchen

Dass der Gesetzesentwurf in dieser Form überhaupt zum Gesetz wird, ist alles andere als klar. Denn in Sachsen regieren CDU und SPD in einer Minderheitskoalition – also ohne eigene Mehrheit im Parlament. Die Regierung muss also auf die Opposition zugehen, wie zuletzt beim Haushalt, als Grüne und Linke dem Entwurf nach langen Verhandlungen zustimmten.

Das läuft in Sachsen über den sogenannten Konsultationsmechanismus. Nachdem die Regierung einen Entwurf veröffentlicht, können die Fraktionen Stellungnahmen abgeben, ebenso wie Verbände, Kommunen oder Einzelpersonen. Diese Frist läuft für die Zivilgesellschaft noch bis zum 30. Oktober. Laut Rico Gebhardt, haben die Fraktionen bis zum 10. Dezember Zeit, Stellungnahmen abzugeben.

Die Staatsregierung arbeitet dann Änderungsvorschläge ein und stellt den Entwurf schließlich dem Parlament vor. Politisch bedeutet das, dass die Regierung auf Vorschläge der Opposition wird eingehen müssen, wenn sie einen mehrheitsfähigen Entwurf im Landtag einbringen will.

Wer verschafft dem Polizeigesetz die Mehrheit?

Auch wenn beide Fraktionen Stellungnahmen einreichen werden: Grüne und Linke sorgen vermutlich nicht für eine Mehrheit. Beide hatten gegen das aktuelle Gesetz geklagt und positionieren sich auch deutlich gegen die geplante Novelle. So sagt der innenpolitische Sprecher der Grünen, Valentin Lippmann: „Wir Bündnisgrüne werden in unserer Stellungnahme deutlich machen, dass wir für einen solchen freiheitsfeindlichen Gesetzentwurf nicht zur Verfügung stehen.“ Zudem müsste die sächsische Regierung aufgrund der Sitzverteilung sowohl Grüne als auch Linke ins Boot holen, um eine Mehrheit zu erreichen.

Aktivistin Henkel hält es für möglich, dass auch die AfD für die Mehrheit sorgen könnte. „Ich vertraue der CDU nicht. Für die AfD wäre der Entwurf ein Gewinn“, meint Henkel. „Alles was da drin steht, ist für die Gold wert, wenn die einmal an der Macht sind.“ Doch eine Zusammenarbeit mit der AfD würde vermutlich die SPD vor den Kopf stoßen – und den Koalitionsvertrag brechen. Dort heißt es: „Eine Zusammenarbeit oder eine Suche nach parlamentarischen Mehrheiten mit der AfD als gesichert rechtsextrem eingestufter Partei wird es durch die neue Regierung und die Koalitionsfraktionen nicht geben.“

Deshalb rückt das Bündnis Sahra Wagenknecht in den Fokus. Mit seinen 15 Abgeordneten könnte das BSW dem Gesetzesentwurf eine Mehrheit verschaffen. Doch wie sich das BSW positioniert, ist alles andere als klar.

BSW berät sich intern noch

Dem MDR teilte das BSW Anfang des Monats mit: „Die BSW-Fraktion steht für ein modernes Polizeivollzugsdienstgesetz mit dem Stand der Technik entsprechenden Befugnissen. Gleichzeitig treten wir für eine Balance von Freiheit und Sicherheit ein. Deshalb wollen wir den Gesetzesentwurf gründlich prüfen und in der Fraktion beraten.“ Diese fraktionsinterne Abstimmung dauere an, teilte der innenpolitische Sprecher der BSW-Fraktion, Bernd Rudolph, auf Anfrage von netzpolitik.org mit.

Im Programm des BSW zur sächsischen Landtagswahl hieß es zum Thema innere Sicherheit: „Einen übergriffigen Staat lehnen wir ab, weshalb immer die Verhältnismäßigkeit der Mittel und die universelle Unschuldsvermutung gelten müssen. Jedermann soll sich in der Öffentlichkeit frei entfalten können, ohne Angst vor Beobachtung und Überwachung. Mehr Polizisten auf der Straße und in Problemvierteln sind im Bedarfsfall eine größere Hilfe als mehr Videokameras.“

Inwiefern das BSW diese Position in den Verhandlungen durchsetzen kann, werden die nächsten Monate zeigen.

Wie laut wird die Straße sein?

Einige wollen das nicht passiv abwarten. Grünen-Politiker Lippmann rät den Sächs:innen, das Beteiligungsportal zu nutzen und die eigene Meinung zum Gesetz zu hinterlegen. Bis zum 30. Oktober können Bürger:innen und Verbände noch Stellungnahmen einreichen. Auch Henkel ruft dazu auf.

Trotz der vielen Verschärfungen im Gesetz hat Henkel Hoffnung – auch dank der Proteste gegen Palantir und die Chatkontrolle. „Endlich ist mal wieder ein Bewusstsein da, dass Massenüberwachung böse ist.“ Das habe sie noch vor einem Jahr anders erlebt. „Ich hoffe, dass sich jetzt mehr Leute finden, die gegen das neue SächsPVDG in Sachen protestieren werden.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.