Die EU-Kommission will pseudonymisierte Daten teilweise von der Datenschutzgrundverordnung ausnehmen. Jetzt äußert sich erstmals eine deutsche Datenschutzbeauftragte. Meike Kamp übt deutliche Kritik an den Plänen und glaubt, die Kommission habe ein Urteil des Europäischen Gerichtshofes missverstanden.
Wenn die Person dahinter nicht mehr erkannt werden kann, sollen Daten künftig nicht mehr von der DSGVO geschützt sein – Gemeinfrei-ähnlich freigegeben durch unsplash.com Oscar Keys
Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.
Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.
Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.
Wann gelten pseudonymisierte Daten als personenbezogen?
In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen. Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.
Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.
Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.
Ringen um EuGH-Urteil
Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.
Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.
Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.
Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.
Auch Alexander Roßnagel übt Kritik
Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.
Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.
Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.
Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.
Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen
Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.
Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.
Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
CDU und SPD wollen in Berlin eine zentrale Gesundheitsdatenbank an der Charité aufbauen. Doch die Berliner Datenschutzbeauftragte kritisierte das Vorhaben der Koalition scharf und fordert Nachbesserungen. Wir veröffentlichen ihren Brandbrief.
Die Berliner Datenschutzbeauftragte Meike Kamp übt Kritik an der geplanten Gesundheitsdatenbank. – Alle Rechte vorbehalten IMAGO / Funke Foto Services; Bearbeitung: netzpolitik.org
Die rot-schwarze Koalition in Berlin wollte die Charité dazu befähigen, auf Basis eines reformierten Universitätsmedizingesetzes eine neue Gesundheitsdatenbank aufzubauen. Ziel ist es, den Standort Berlin als Zentrum für Wissenschaft, Forschung, Lehre und Innovation zwischen Hochschulen und Instituten zu fördern. Wie sensible personenbezogene Daten geschützt werden, bleibt in dem Vorhaben jedoch unklar, kritisiert die Berliner Datenschutzbeauftragte Meike Kamp.
Als dringliche Beschlussempfehlung hatten CDU und SPD am 15. Januar eine Änderungsvorlage ins Abgeordnetenhaus eingebracht, bevor sich Kamp am 20. Januar einschaltete. Nach scharfer Kritik in einem Brandbrief, den wir veröffentlichen, teilte der Sprecher für Inneres der SPD-Fraktion, Martin Matz, nun die vorläufige Verfahrenseinstellung mit.
Matz zeigte sich Kamps Kritik gegenüber offen. Die Datenbank-Pläne erachte er aber weiterhin als wichtig und will das Vorhaben bis 2029 verwirklichen. Wie es mit dem Vorhaben weitergeht, ist derzeit allerdings offen: In der heutigen Plenarsitzung stand das Thema auf der Tagesordnung, wurde dann aber kurzfristig vertagt.
Senat verstößt gegen Berliner Datenschutzgesetz
Betreffen neue Gesetzesvorhaben den sensiblen Bereich der personenbezogenen Datenverarbeitung – wie in diesem Fall von Gesundheitsdaten – schreibt das Berliner Datenschutzgesetz vor, die Datenschutzbeauftragte verpflichtend zu konsultieren.
Den Kontakt hatten in diesem Fall aber weder Senat noch Abgeordnetenhaus gesucht. Laut des Brandbriefs hatte die Koalition das vor dem parlamentarischen Beschluss auch nicht mehr vor. Schließlich hatten offenbar Teile der Opposition die Datenschutzbehörde auf den Änderungsentwurf hingewiesen.
Unklar ist bisher auch, warum die Charité als weitere betroffene Partei nicht in das Vorhaben einbezogen wurde. Schließlich wäre sie das ausführende Organ gewesen. Nach Angaben eines Sprechers der Charité war sie weder Initiator noch auf andere Weise in die Formulierung des Änderungsentwurfs eingebunden.
Zweck der Datenbank nicht ersichtlich
Kritisch beurteilte Kamp den Änderungsentwurf außerdem hinsichtlich unklarer und unverständlicher Inhalte. Die Datenbank soll mit nicht personenbezogenen Daten gefüttert werden, heißt es im ersten Absatz des neuen Paragraphen. Jedoch würden die folgenden Absätze dann nur Regelungen für den Umgang mit personenbezogenen Daten behandeln.
Es sei daher anzunehmen, dass an der Charité erhobene personenbezogene Daten in nicht personenbezogene Daten umgewandelt werden. Dafür wären dann Vorgaben für Anonymisierungsverfahren notwendig. Angaben, um welche Daten es konkret gehe, wer sie erheben soll und wie sie anonymisiert und in die Datenbank eingespeist werden sollen, fehlen jedoch.
Die jetzige Fassung sehe außerdem eine „staatenübergreifende Nutzung“ vor. Daten könnten somit auch an Dritte außerhalb der EU übermittelt werden. Handele es sich dann doch um personenbezogene Daten, greifen für diesen Fall bestehende Regelungen, unter anderem die Datenschutzgrundverordnung.
Die Notwendigkeit einer neuen Vorschrift bleibt unklar, urteilt Kamp. Erst einmal müsse der Zweck einer neuen Gesundheitsdatenbank verdeutlicht werden. Dann könne geprüft werden, ob dafür eine Erweiterung der bestehenden Gesetzeslage nötig wäre.
Datenschutz zuerst
Tobias Schulze, Fraktionsvorsitzender für die Linke im Berliner Abgeordnetenhaus, schließt sich der geäußerten Kritik an: „Solche Nachlässigkeiten können wir uns besonders in dem sensiblen Bereich von Gesundheitsdaten nicht leisten. Forschung mit Gesundheitsdaten kann sinnvolle Dienste leisten. Gerade damit dieser Mehrwert nicht delegitimiert wird, ist wirkungsvoller Datenschutz besonders wichtig.“
Anonymisierung und Pseudonymisierung sind entscheidende Schritte auf dem Weg dahin, da sie „wichtige Maßnahmen für eine datenschutzkonforme und datensparsame Datenverarbeitung“ darstellen, betont Simon Rebiger, Pressesprecher der Berliner Datenschutzbeauftragten gegenüber netzpolitik.org.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Anonymisierte Daten dürfen nicht mit verfügbaren Zusatzinformationen auf eine betroffene Person zurückzuführen sein, betont Rebiger. Bei vielen Methoden verbleiben jedoch Restrisiken. Schätzen Verantwortliche diese nach allgemeinem Ermessen als unbeachtlich ein, gelten Daten als anonym und unterliegen nicht mehr dem Datenschutzrecht.
Im Unterschied dazu müsse bei der Pseudonymisierung nur sichergestellt sein, dass eine bestimmte Personengruppe, der die Daten zugänglich gemacht wird, Betroffene in keinem Fall identifizieren kann, so Rebiger. In solchen Fällen können pseudonymisierte Daten unter bestimmten Umständen als anonym gelten. Ansonsten bleiben die Daten personenbezogen und sind datenschutzrechtlich beschränkt.
Derzeit erarbeitet die Datenschutzkonferenz praktische Hilfestellungen für auf Einzelfälle zugeschnittene Verfahren. Sensible Gesundheitsdaten werden zum Beispiel bei der Übermittlung von Daten aus dem Krebsregister erfasst oder wenn KI-Modelle mit radiometrischen Aufnahmen trainiert werden.
Hier das Dokument in Volltext:
Viertes Gesetz zur Änderung des Berliner Universitätsmedizingesetzes (Drucksache 19/2763)
Änderungsantrag der Fraktion der CDU und der Fraktion der SPD
Dringliche Beschlussempfehlung des Ausschusses für Wissenschaft und Forschung vom 12. Januar 2026
Hier: § 38 Zentrale Gesundheitsdatenbank
Sehr geehrte Frau Präsidentin,
sehr geehrte Vorsitzende der Ausschüsse des Abgeordnetenhauses von Berlin,
ich nehme Bezug auf einen Änderungsantrag zum Vierten Gesetz zur Änderung des Berliner Universitätsmedizingesetzes der Fraktion der CDU und der Fraktion der SPD, der im Ausschuss für Wissenschaft und Forschung am 12. Januar 2026 angenommen und zur dringlichen Beschlussfassung in die 78. Plenarsitzung am 15. Januar 2026 eingebracht wurde.
Die dringliche Beschlussempfehlung sieht durch Einfügung eines neuen § 38 in das Berliner Universitätsmedizingesetz die Errichtung einer zentralen Gesundheitsdatenbank durch die Charité vor, die entsprechend mit Verarbeitungen von Gesundheitsdaten einhergeht. Ich bin entgegen der Vorgaben aus § 11 Abs. 2 Satz 2 Berliner Datenschutzgesetz bisher nicht zu diesem Gesetzesentwurf beteiligt bzw. angehört worden, obwohl die mit der Vorschrift vorgesehenen Errichtung einer zentralen Gesundheitsdatenbank auch die Verarbeitung von personenbezogenen Gesundheitsdaten und damit besonders sensible Bereiche der personenbezogenen Datenverarbeitung betrifft. Irritierend ist insbesondere, dass – wie die Erörterung in der Sitzung des Ausschusses für Wissenschaft und Forschung zeigte – die Beteiligung meiner Behörde auch vor Beschlussfassung im Parlament bewusst nicht mehr vorgesehen ist.
Auch inhaltlich ist die vorgeschlagene Regelung zu kritisieren: Abgesehen davon, dass die Beschlussempfehlung und der Änderungsantrag keine Begründung enthalten, aus welchen Grün- den aus Sicht des Gesetzgebers die Errichtung einer Gesundheitsdatenbank notwendig erscheint, ist der Gesetzesentwurf in seiner derzeitigen Form unklar und unverständlich. Meinen für den Bereich Wissenschaft und Forschung zuständigen Mitarbeiter:innen, die eine besondere Expertise in Bezug auf die Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Gesundheitsdaten haben, erschließt sich der konkrete Regelungsgehalt des § 38 des Entwurfs nicht. Ich habe daher erhebliche Zweifel, ob den Rechtsanwender:innen, insbesondere in der Charité und unter den Forschenden, die Voraussetzungen der Norm in der derzeitigen Fassung verständlich werden wird.
Dies möchte ich im Einzelnen erläutern:
Nach Abs. 1 soll eine zentrale Datenbank mit „nicht personenbezogenen Gesundheitsdaten“ errichtet werden. Aus der Vorschrift wird nicht klar, was hierunter zu verstehen ist und woher diese Daten stammen. Es ist davon auszugehen, dass es sich um die Gesundheitsdaten handelt, die die Charité im Rahmen der Behandlung und Versorgung ihrer Patient:innen erhoben hat. Damit diese personenbezogenen Daten nicht mehr personenbezogen sind, muss zunächst eine Anonymisierung durch die Charité erfolgen. Dies setzt eine Regelung voraus, die die Verarbeitung der Daten zum Zweck der Anonymisierung zum Gegenstand hat. Eine solche enthält die Vorschrift jedoch nicht.
Abs. 3 legt fest, dass eine „staatenübergreifende Nutzung“ der Datenbank zulässig sein soll, sofern die „Vorgaben des Datenschutzes“ eingehalten werden. Fragen wirft an dieser Stelle bereits auf, dass in Absatz 1 der Vorschrift von einer Datenbank mit nicht personenbezogenen Daten die Rede ist, hier jedoch auf die Vor- gaben des Datenschutzes hingewiesen wird. Zudem ist die Vorschrift unbestimmt und zeigt keinen klaren Regelungsinhalt auf. Eine „staatenübergreifende Nutzung“ ist nichts anderes als eine Übermittlung oder eine Offenlegung der entsprechenden Daten an Dritte außerhalb Deutschlands oder der EU. Entsprechende Regelungen finden sich bereits in § 25 LKG bzw. in § 6 Abs. 3 GDNG sowie bei möglicher Drittstaatenübermittlung in Kapitel V der DSGVO.
Abs. 4 S. 1 regelt sodann, dass auch personenbezogene Daten „im Rahmen einer Nutzungsvereinbarung“ zu erheben sind. Gänzlich unklar bleibt, was unter einer solchen Nutzungsvereinbarung verstanden und zwischen wem eine solche Nutzungsvereinbarung geschlossen werden soll. Ferner bleibt unklar, durch wen hier- bei welche Stellen personenbezogenen Daten erhoben werden sollen, und ob und inwieweit diese in die Gesundheitsdatenbank aufzunehmen sind
Ferner sind nach Abs. 4 S. 2 „anderweitig erhobene und für Forschung und Lehre relevante Daten unter den Voraussetzungen des § 17 BlnDSG […] in die Gesundheitsdatenbank aufzunehmen“. Diese Vorschrift ist ebenfalls unbestimmt und erfüllt den verfassungsgemäßen Grundsatz der Bestimmtheit des Gesetzes nicht. Zunächst ist unklar, welche Daten in die Gesundheitsdatenbank aufgenommen werden sollen. Aus der Formulierung „anderweitig erhoben“ wird nicht deutlich, wer diese Daten erhoben haben soll (ggf. die Charité). Ferner ist unklar, in welchen Kontexten die Daten erhoben worden sein sollen. Darüber hinaus ist nicht klar, ob es sich um Gesundheitsdaten handeln soll, was ausdrücklich im Gesetzestext zu benennen wäre. Um dem verfassungsrechtlichen Bestimmtheitsgebot gerecht zu werden, müsste explizit beschrieben werden, in welchem Zusammenhang von wem welche personenbezogenen Daten erhoben worden sind.
Die Formulierung, dass „für Forschung Lehre relevante Daten“ aufzunehmen sind, ist ebenfalls zu unbestimmt. Unklar bleibt, was unter „Relevanz“ zu verstehen ist und wer über diese Relevanz entscheidet.
Auch der Verweis auf § 17 BlnDSG ist nicht verständlich. Zunächst ist anzumerken, dass das BlnDSG nach § 2 Abs. 1 BlnDSG für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes Berlin gilt. Sollte hiermit die Charité angesprochen werden, ist § 25 LKG eine speziellere Norm, die vorrangig anzuwenden wäre. Für Forschende, Studierende oder sonstige Nutzende kann § 17 BlnDSG keine Anwendung finden, weil es sich bei diesem Personenkreis um keine öffentlichen Stellen des Landes Berlin handelt, für die das BlnDSG ausschließlich Anwendung findet (§ 2 Abs. 1 BlnDSG).
Ferner enthält Abs. 4 S. 2 eigene Voraussetzungen, die vor Aufnahme der Daten in die Gesundheitsdatenbank zu beachten sind. Gänzlich unklar bleibt das Verhältnis dieser Voraussetzungen zu den in § 17 BlnDSG und § 25 LKG formulierten Voraussetzungen, die die Verarbeitung von (Gesundheits-)Daten zu wissenschaftlichen Forschungszwecken zum Gegenstand haben. Es wird nicht deutlich, welche Regelungen des § 17 BlnDSG und § 25 LKG entsprechend gelten sollen und in welchem Verhältnis diese Rechtsgrundlagen zur Verarbeitung der Daten in der Gesundheitsdatenbank stehen. Hierbei ist ebenfalls nicht nachvollziehbar, wie diese Voraussetzungen erfüllt werden können oder welche Voraussetzungen konkret zu erfüllen sind.
Abs. 4 S. 2 regelt ausdrücklich die Aufnahme der Daten in die Gesundheitsdatenbank, nicht die erst nachgelagerte Nutzung durch Forschende oder Studierende. Abs. 4 S. 2 Nr. 2 regelt jedoch beispielsweise als Voraussetzung, dass „der Forschungszweck die Möglichkeit der Zuordnung erfordert, die betroffene Person zu diesem Zweck eingewilligt hat“. Diese Voraussetzung kann jedoch erst dann geprüft werden und erfüllt sein, wenn eine Nutzung der Datenbank für ein Forschungsvorhaben erfolgen soll. Der Forschungszweck ergibt sich nämlich erst aus einem konkreten Forschungsvorhaben, für das eine Nutzung der in der Gesundheitsdatenbank aufgenommenen Daten beantragt wird. Für die vorgelagerte und hier ausschließlich geregelte Aufnahme der Daten in die Gesundheitsdatenbank kann die Voraussetzung des Nr. 2 daher nicht geprüft werden. Dasselbe gilt für die Voraussetzung Nr. 3, nach der das öffentliche Interesse an der Durchführung eines konkreten Forschungsvorhabens überwiegen muss und der konkrete Forschungszweck nicht auf andere Weise zu erreichen ist.
Gänzlich unbeachtet bleibt bei Abs. 4 S. 2 auch, dass die Datenbank nach Abs. 2 nicht nur zu wissenschaftlichen und forschungsbezogenen, sondern auch zu lehrbezogenen und innovationsorientierten Zwecken genutzt werden soll, über die Nutzung zu (wissenschaftlichen) Forschungszwecken also hinausgeht.
Ferner enthält Abs. 4 S. 3 die Regelung, dass personenbezogene Daten, soweit dies nach dem Forschungszweck erforderlich ist, zu anonymisieren sind. Auch hier stellt sich das Problem, dass auf einen konkreten Forschungszweck abgestellt wird, und nicht auf die grundsätzliche Aufnahme / Verarbeitung der personenbezogenen Daten in der Datenbank.
Schließlich sei insgesamt anzumerken, dass zwar Abs. 1 ausdrücklich regelt, dass eine zentrale Datenbank mit nicht personenbezogenen Daten errichtet werden soll, die weiteren Absätze jedoch nur Regelungen zu personenbezogenen Daten enthalten. Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.
Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Berliner Landesregierung bastelt an einem neuen Polizeigesetz, das mehr Videoüberwachung, Staatstrojaner und viele weitere Befugnisse für die Polizei bereit hält. Dafür gab es massive Kritik – sowohl auf der Straße als auch bei der parlamentarischen Anhörung.
Nach dem Willen von CDU und SPD soll die Berliner Polizei massiv mit neuen Befugnissen ausgestattet werden. – Alle Rechte vorbehalten IMAGO / A. Friedrichs
Die Berliner schwarz-rote Koalition will ein neues Polizeigesetz beschließen, das in Berlin unter dem Namen Allgemeines Sicherheits- und Ordnungsgesetz (ASOG) firmiert. Berlin folgt damit einer ganzen Reihe von Bundesländern, die ihre Polizeigesetze in den letzten Jahren verschärft haben. An der Berliner Gesetzesnovelle gibt es breite Kritik sowohl von der demokratischen Opposition im Parlament wie auch von der Berliner Datenschutzbeauftragten und Menschenrechtsorganisationen wie der GFF.
Anlässlich der Sachverständigenanhörung am Montag protestieren vor dem Roten Rathaus Lilly und Kiki. Sie verteilen Flyer mit der Aufschrift „Nein zu Massenüberwachung und der Kriminalisierung von Protesten“. Sie sind Teil eines Bündnisses zivilgesellschaftlicher Gruppen wie Amnesty International oder dem Komitee für Grundrechte und Demokratie.
„Überall werden Gelder gekürzt, aber für Videoüberwachung ist dann plötzlich Geld da. Dabei verhindert die keine Straftaten, sondern kriminalisiert marginalisierte Gruppen und spaltet den öffentlichen Raum“, sagt Lilly. Dass die Unverletzlichkeit der Wohnung durch die Gesetzesnovelle eingeschränkt wird, sehen die beiden ebenso kritisch.
„Abkehr von der grundrechtsfreundlichen Politik“
Auch in der Sachverständigen-Anhörung hagelt es Kritik für den Entwurf. So sieht die Berliner Datenschutzbeauftragte Meike Kamp eine Vielzahl neuer Datenverarbeitungsermächtigungen und eine erhebliche Ausweitung der Befugnisse der Polizei. Aufgrund der Detailtiefe – die Gesetzesnovelle ist 700 Seiten stark – habe ihre Behörde nicht einmal alle Vorschriften analysieren können.
Das Volumen der geplanten Änderungen kritisiert auch Innenpolitiker Niklas Schrader von der Linken. Denn so umfangreich wie der Gesetzentwurf sei auch der Überarbeitungsbedarf: „Ich bin mir nicht sicher, ob das in dem kurzen Zeitplan, den Sie uns gegeben haben, schaffbar ist“, sagt er bei der Anhörung.
Eine „Abkehr von der grundrechtsfreundlichen Politik“ in Berlin beklagte der Jurist David Werdermann von der GFF sowohl in seiner Stellungnahme (PDF) wie auch in der Anhörung. Zwar versuche der Entwurf die Rechtsprechung des Bundesverfassungsgerichts nachzuzeichnen, das gelinge allerdings nicht immer.
Ein Hauptkritikfeld an dem Gesetz ist laut Werdermann das Festhalten am Konstrukt der „krininalitätsbelasteten Orte“. An diesen dürfen in Zukunft nicht nur anlasslose Kontrollen durchgeführt werden, sondern auch Videoüberwachungsmaßnahmen. Das Gesetz erlaube zudem die Videoüberwachung von öffentlichen Veranstaltungen und die Auswertung des Videomaterials mit sogenannter KI. Werdermann warnt hier vor einem höheren Überwachungsdruck auf Menschen mit atypischen Verhalten wie beispielsweise Wohnungslosen oder Personen mit körperlichen Einschränkungen.
Kritik hat die GFF auch am Einsatz von Staatstrojanern und daran, dass die Polizeibehörden in Zukunft heimlich Wohnungen betreten dürfen, um diese zu installieren. „Ich habe da große Bauchschmerzen mit“, sagt Werdermann. Insgesamt wird durch das neue ASOG die Schwelle zum Einsatz der Staatstrojaner und zur Überwachung von Wohnungen deutlich herabgesetzt.
Ebenso kritisch sieht Werdermann den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Daten: „Jedes Foto, das möglicherweise ohne das Wissen und Einverständnis der betroffenen Person ins Netz gestellt wird, kann zu Überwachungszwecken genutzt werden“, sagt Werdermann. Es sei nach der neuen Gesetzeslage nicht mehr möglich, an einer Versammlung teilzunehmen, ohne damit rechnen zu müssen, dass Fotos, die beispielsweise von der Presse veröffentlicht werden, anschließend von der Polizei für einen Abgleich genutzt würden.
„Freifahrtschein für Massenüberwachung“
„Die Vorschrift schließt zudem weder den Aufbau einer biometrischen Referenzdatenbanken auf Vorrat noch die Nutzung von kommerziellen Datenbanken aus“, schreibt Werdermann in seiner Stellungnahme. Beides sei jedoch mit der KI-Verordnung und dem Recht auf informationelle Selbstbestimmung nicht vereinbar.
Werdermann verweist in der Stellungnahme darauf, dass der Aufbau einer umfassenden biometrischen Referenzdatenbank – bestehend aus öffentlich zugänglichen Lichtbildern, Videos und Tonaufnahmen aus dem Internet – unverhältnismäßig in Grundrechte eingreift. Das Bundesverfassungsgericht habe mehrfach herausgestellt, dass biometrische Daten besonders schutzwürdig seien. „Durch den Aufbau einer Datenbank, um biometrische Daten vorzuhalten, wären Grundrechte von Millionen, wenn nicht Milliarden von unbeteiligten Personen betroffen, die keinen Anlass für polizeiliche Überwachung gegeben haben“, so Werdermann weiter.
Statt konsequent gegen rechtswidrige Angebote wie PimEyes vorzugehen, schaffe der Senat mit dem Entwurf eine Grundlage für biometrische Massenüberwachung durch die Berliner Polizei, schreibt Werdermann. Diese kritisiert auch die grüne Innenpolitikerin Gollaleh Ahmadi. Sie sieht in der Gesetzesnovelle einen „Freifahrtschein für Massenüberwachung“.
Berlins Datenschutzbeauftragte Meike Kamp kritisiert auch die Verarbeitung von Daten zum Training von KI-Systemen. Hier dürfe zuviel Material ohne Eingriffsschwelle und Löschfristen genutzt werden, sie gehe zudem davon aus, dass auch nicht-anonymisierte Klardaten verarbeitet würden. Daten, die einmal zum Training von Künstlicher Intelligenz genutzt wurden, ließen sich nicht mehr löschen, betont Kamp. Zudem vermute sie, dass solche Daten auch in automatisierten Analyseplattformen landen, deren Nutzung der Berliner Polizei künftig erlaubt sein soll. Zu solchen Plattformen gehört auch die Software „Gotham“ vom umstrittenen US-Unternehmen Palantir.
Präventive Funkzellenabfrage
Ebenso zu wenig geregelt seien die Funkzellenabfragen, wo die Eingriffsschwellen zu niedrig seien. Hier sei auch davon auszugehen, dass Funkzellendaten für KI-Training genutzt werden. „Durch die Verknüpfung der erhobenen Daten mit automatisierten Analyseplattformen lassen sich detaillierte Bewegungsprofile erstellen. Dies ermöglicht Rückschlüsse auf politische Aktivitäten, soziale Beziehungen und persönliche Gewohnheiten der Betroffenen“, schreibt die Berliner Datenschutzbeauftragte in ihrer Stellungnahme (PDF).
Der grüne Innenpolitiker Vasili Franco kritisiert, dass die Funkzellenabfragen in Zukunft auch gegen Personen gerichtet sein können, die nur vermutlich an einer Straftat teilnehmen werden. Damit verschiebt das neue Polizeigesetz die Funkzellenabfragen von der nachträglichen Ermittlung in den präventiven Raum.
Sowohl Sachverständige wie auch Oppositionspolitiker:innen verwiesen in der Anhörung darauf, dass man das verschärfte Polizeigesetz auch vor dem Hintergrund des Rechtsrucks sehen müsse – und dass man damit einer möglichen autoritären Regierung Werkzeuge in die Hand gebe.
Dokumente
Stellungnahmen von Sachverständigen zur Novelle des Berliner ASOG
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Bundes- und Landesdatenschützer üben Kritik am Palantir-Einsatz und den Gesetzen, die automatisierte Polizeidatenanalysen erlauben. Sie verlangen eine verfassungskonforme Neuausrichtung. Jetzt sei der Moment gekommen, einen digital souveränen Weg einzuschlagen.
Das Wort Palantir geht auf den Schriftsteller J. R. R. Tolkien und sein Werk „Der Herr der Ringe“ zurück, der damit fiktionale „sehende Spionage-Steine“ beschrieb. – CC-BY 2.0Brickset
Im Streit um die Nutzung von Palantir hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu Wort gemeldet: In einer Entschließung (pdf) fordert sie bei der massenhaften automatisierten Datenanalyse durch die Polizei die Einhaltung rechtlicher Anforderungen und mahnt besonders an, dass die notwendige gesetzliche Grundlage den verfassungsrechtlichen Maßstäben genügen soll.
Aktuell erwägt Bundesinnenminister Alexander Dobrindt (CSU), für die Polizeien des Bundes die gesetzliche Voraussetzung zu schaffen, um Software des US-Konzerns Palantir oder von Konkurrenten zur automatisierten polizeilichen Rasterfahndung einsetzen zu dürfen. Im Rahmen eines Gesetzespakets soll das Vorhaben in Kürze umgesetzt werden. SPD-Justizministerin Stefanie Hubig hat allerdings noch Bedenken und fordert die Einhaltung rechtsstaatlicher Grundsätze.
Die DSK betont, dass die Erlaubnis zu solchen Analysen nur bei sehr schwerwiegenden Rechtsgutsverletzungen überhaupt denkbar sei. Sie könnten auch nur „im Rahmen sehr enger Verfahrensbestimmungen“ eingesetzt werden.
Detaillierte Vorgaben aus Karlsruhe
Die Datenschützer verweisen insbesondere auf ein Urteil des Bundesverfassungsgerichts zur automatisierten Datenanalyse aus dem Jahr 2023, das detaillierte Vorgaben macht. Demnach haben die Gesetzgeber von Polizeigesetzen, die solche Analysen erlauben, explizite Einschränkungen vorzunehmen, was die Art der einbezogenen Daten und deren Umfang betrifft, aber auch welcher Art die angewandten Analysemethoden und die Eingriffsschwellen sein dürfen. Sie müssen zudem Regelungen in die Polizeigesetze einbauen, die für diese starken Grundrechtseingriffe abmildernd wirken und auch deren Folgen berücksichtigen.
Nordrhein-Westfalen, Hessen und Bayern setzen Software von Palantir aktuell ein. Baden-Württemberg hat kürzlich ebenfalls eine gesetzliche Grundlage für die automatisierte Datenanalyse durch die Polizei in die Wege geleitet. Die dortige Polizei hatte den Vertrag mit Palantir aber bereits geschlossen, bevor eine Rechtsgrundlage für den Einsatz überhaupt bestand.
Die derzeitige DSK-Vorsitzende und Berliner Datenschutzbeauftragte Meike Kamp sieht in all diesen Bundesländern die gegebenen Voraussetzungen aus Karlsruhe nicht genügend berücksichtigt: „Bisher tragen die rechtlichen Vorschriften diesen Voraussetzungen nicht ausreichend Rechnung. Für Bund und Länder gilt es, sich an die Vorgaben des Bundesverfassungsgerichts zu halten und den Einsatz von automatisierten Datenanalysen durch die Polizeibehörden verfassungskonform auszugestalten.“
Das sieht auch Franziska Görlitz von der Gesellschaft für Freiheitsrechte (GFF) so, die gegen die Polizeigesetze in allen drei Bundesländern Verfassungsbeschwerde erhoben hat. Die Juristin fasst in einem Interview zusammen, warum keines der Landesgesetze verfassungskonform ist: „Die bisherigen Gesetze erlauben, dass zu viele Daten unter zu laschen Voraussetzungen in die Analyse einbezogen werden und dabei zu mächtige Instrumente zum Einsatz kommen. Gleichzeitig fehlen wirksame Schutzmechanismen gegen Fehler und Diskriminierung.“
Nicht „digital souverän“, sondern vollständig abhängig
Für eines der drei unionsgeführten Bundesländer, die Palantir aktuell nutzen, nennt die DSK für das polizeiliche Analyseverfahren eine Hausnummer, welche die erhebliche Breite der Datenrasterung klarmacht: Etwa 39 Millionen Personendatensätze durchkämmt die bayerische Polizei mit Palantir. Die Datenschützer zeigen damit, dass praktisch jeder Mensch betroffen sein kann, eben nicht nur „Straftäterinnen und -täter, sondern etwa auch Geschädigte, Zeuginnen und Zeugen, Sachverständige oder Personen, die den Polizeinotruf genutzt haben“.
Zudem ist die Art der Daten höchst sensibel. In Polizeidatenbanken können beispielsweise auch Informationen über Menschen abgelegt werden, die eine „Volkszugehörigkeit“, einen „Phänotyp“ oder die „äußere Erscheinung“ beschreiben. Auch die Religionszugehörigkeit, verwendete Sprachen, Dialekte oder Mundarten dürfen festgehalten werden. Entsprechend besteht ein sehr hohes Diskriminierungspotential.
Die hohe Zahl von Betroffenen und die Art der gespeicherten Daten sind aber nicht etwa die einzigen Probleme. Das Problem heißt auch Palantir, ein 2003 gegründeter US-Anbieter, der heute am Aktienmarkt gehandelt wird und nach Marktkapitalisierung zu den dreißig wertvollsten Konzernen der Welt zählt. Die deutsche Tochter ist Vertragspartner der Polizei in vier Bundesländern. Die DSK pocht bei der Polizeidatenanalyse auf die Wahrung der „digitalen Souveränität“. Denn damit können ungewollte Abhängigkeiten oder Kostenfallen vermieden werden, in die Polizeien geraten können. Die DSK fordert hier „sicherzustellen, dass die eingesetzten Systeme hinreichend offen sind, um nötigenfalls einen Wechsel auf ein geeigneteres System zu ermöglichen“.
Das widerspricht den praktischen Gegebenheiten bei der Nutzung von Palantir fundamental: Der US-Konzern bietet ein geschlossenes und proprietäres System an, das mit denen anderer Anbieter nicht kompatibel ist. Die polizeilichen Nutzer sind genau das Gegenteil von „digital souverän“ oder selbstbestimmungsfähig, nämlich vollständig abhängig. Die DSK präferiert hingegen „Lösungen auf Open-Source-Basis“ und bietet für verfassungskonforme und praxistaugliche Lösungen auch „konstruktive Beratung“ an.
Palantir
Wir berichten mehr über Palantir als uns lieb wäre. Unterstütze unsere Arbeit!
Die Datenschützer fordern zudem, dass polizeiliche Datenbestände nicht in Drittländer übermittelt werden dürften, „die hinter dem europäischen Rechtsstaatsniveau zurückbleiben“. Polizeidatenverarbeitung soll erst gar nicht von Softwaresystemen abhängen, die Zugriffe dieser Drittstaaten zulassen.
Diese Forderung dürfte der Tatsache Rechnung tragen, dass für den ohnehin zwielichtigen US-Konzern Palantir der US CLOUD Act aus dem Jahr 2018 einschlägig ist. Das Gesetz bestimmt, dass US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden verpflichtet werden können, auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden. Die Befürchtung besteht also, dass selbst bei der Verarbeitung und Speicherung von Daten in einem polizeilichen Rechenzentrum unter bestimmten Umständen US-Behörden Zugriff erlangen könnten.
Es formiert sich Widerstand
In Baden-Württemberg, dem jüngsten Palantir-Clubmitglied, formiert sich bereits Widerstand gegen das geplante Polizeigesetz: Ein parteiunabhängiges Protest-Bündnis mit dem Namen Kein Palantir in Baden-Württemberg plant eine Kundgebung am 4. Oktober auf dem Schlossplatz der Landeshauptstadt und fordert dazu auf, den Landtagsabgeordneten schriftlich mitzuteilen, was man von der Idee hält.
Das geplante Gesetz soll in Kürze durch den Landtag gehen und beschlossen werden. Das Bündnis könnte mit dem Protest also wegen des beginnenden Wahlkampfs in Baden-Württemberg ein politisches Debattenthema setzen. Auch der bundesweite Campact-Appell „Trump-Software Palantir: Überwachungspläne stoppen“ hat große Unterstützung gefunden und wurde von mehr als 430.000 Menschen unterzeichnet.
Der Landesdatenschutzbeauftragte im Ländle, Tobias Keber, betont anlässlich der DSK-Entschließung, dass die Anforderungen an das Polizeigesetz „enorm hoch“ seien, sowohl rechtlich als auch technisch. Automatisierte Grundrechtseingriffe würden auch die Anforderungen an den Nachweis erhöhen, dass durch diese Datenanalyse relevante Erkenntnisse erschlossen werden können, die anders nicht in gleicher Weise zu gewinnen wären. Seine Behörde hatte in einer Stellungnahme zum Landespolizeigesetz (pdf) im Juni bereits Änderungen angemahnt und festgestellt, dass einige der darin getroffenen Regelungen „verfassungsrechtlichen Anforderungen nicht gerecht“ würden.
Die DSK-Vorsitzende Kamp betont, dass alle polizeilichen Datenanalysen rechtskonform, nachvollziehbar und beherrschbar sein müssten. Und sie fügt hinzu: „Jetzt ist der Moment gekommen, einen digital souveränen Weg einzuschlagen.“ Dass ein solcher Weg mit Palantir-Software nicht möglich ist, versteht sich von selbst.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Vor einem Jahr erhielten wir einen Datensatz mit Milliarden Handy-Standortdaten aus Deutschland, vermittelt über einen Berliner Datenmarktplatz. Politiker*innen warnten vor einer Gefahr für die nationale Sicherheit. Neue Recherchen zeigen, wie der Marktplatz dem Geschäft weiter eine Plattform bietet.
Exakte Standortdaten von Millionen Handys weltweit lassen sich einfach online kaufen. Datenhändler verschleudern sie sogar als Gratis-Kostprobe. Bereits diese kostenlosen Datensätze sind so umfangreich, dass sich damit Massenüberwachung betreiben lässt. Das haben unsere bisherigen Recherchen zu den Databroker Files mit dem Bayerischen Rundfunk gezeigt. Aus den Daten lassen sich teils detaillierte Bewegungsprofile ablesen, sogar von Soldat*innen oder Politiker*innen.
Wer Kontakt zu Händlern, also Databrokern sucht, wird auf dem Online-Marktplatz eines Berliner Unternehmens fündig: Datarade.ai. Der Marktplatz verkauft die Daten zwar nicht selbst, verkuppelt aber Anbieter und Interessierte. Das funktioniert ähnlich wie Amazon, nur eben für Datensätze. Für erfolgreiche Deals streicht der Marktplatz eine Provision ein.
Vermittelt über Datarade haben nicht nur wir sensible Handy-Standortdaten von Databrokern erhalten, sondern auch Journalist*innen aus den Niederlanden, der Schweiz und Belgien, und zwar unabhängig voneinander. Das hat im Jahr 2023 geklappt, im Jahr 2024 – und trotz der kritischen Berichterstattung in zahlreichen Medien war es auch noch 2025 möglich.
Das Problem: Der Handel mit derart detaillierten Handy-Standortdaten ist nach Einschätzung von Fachleuten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Zudem haben Bundestagsabgeordnete wie Konstantin von Notz (Grüne) oder Roderich Kiesewetter (CDU) bereits vergangenes Jahr vor einer Gefahr für die nationale Sicherheit gewarnt.
Datarade wollte „alle zumutbaren Anstrengungen“ unternehmen
Und was tut Datarade? Noch vor gut einem Jahr hatte uns der Berliner Marktplatz mitgeteilt, man nehme die von unseren Recherchen ausgelösten, öffentlichen Bedenken „sehr ernst“. Die Angebote auf der Plattform prüfe das Unternehmen zwar nicht einzeln. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten.“ Dennoch unternehme Datarade „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
Ein Jahr später haben wir uns nochmal auf dem Marktplatz umgeschaut. Unsere neue Recherche weckt Zweifel daran, dass Datarade „alle zumutbaren Anstrengungen“ unternimmt. So preiste Datarade in einem eigenen, redaktionellen Beitrag selbst Handy-Standortdaten an, schrieb über die daraus ablesbaren, sehr genauen Bewegungsmuster – und empfahl passende Händler. Als wir per Presseanfrage mehr zu der Seite erfahren wollten, wurde sie offline genommen.
Bereits 2024 warnte die damals kurz vor ihrem Amtsantritt stehende Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, vor einer Regulierungslücke. Auch die zuständige Berliner Datenschutzbeauftragte sah ein Problem: Solange ein Marktplatz die Daten nicht selbst verarbeitet, sondern nur Kontakte zwischen Käufern und Verkäufern herstellt, habe sie keine Handhabe. Verantwortlich nach der DSGVO sei nur jemand, der selbst auch Daten verarbeitet.
Unter Datenschützer*innen gibt es in dieser Frage keine Einigkeit. Das Netzwerk Datenschutzexpertise etwa kam in einem Gutachten aus dem Frühjahr 2025 zu dem Schluss, dass die DSGVO hier sehr wohl anwendbar sei. Um verantwortlich zu sein, müsse ein Datenmarktplatz nicht notwendigerweise selbst in Besitz der Daten sein. Oft sei der Handel mit personenbezogenen Daten sogar strafbar, weshalb nicht nur Datenschutzbehörden, sondern auch Staatsanwaltschaften handeln müssten.
Passiert ist so etwas bisher nicht. Auf Datarade preisen Händler weiterhin ihre Handy-Standortdaten an. In Datarade selbst steckt sogar Geld vom deutschen Staat, und zwar mehr als bisher angenommen. Dazu später mehr.
Auf Anfrage entfernte Datarade Angebote für Handystandortdaten
Nach unseren Veröffentlichungen im Jahr 2024 hatte Datarade ein Angebot für Handystandortdaten des US-Datenhändler Datastream Group offline genommen. Hierzu schrieb das Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“
Davon unberührt waren jedoch ähnliche Angebote von anderen Datenhändlern. Auch nach Veröffentlichung der Recherchen präsentierte Datarade Angebote von ähnlichen Datensätzen. Suchte man etwa Anfang September dieses Jahres auf Datarade nach Angeboten mit Geo-Koordinaten und mobilen Werbe-IDs, erhielt man rund 50 Ergebnisse. Grenzte man die Suche weiter ein auf Daten aus Deutschland, waren es noch 15 Treffer.
Über ein Online-Formular können Nutzer*innen verdächtige Inhalte melden. Genau das haben wir ausprobiert. Für eine solche Meldung müssen Nutzer*innen Namen und E-Mail-Adresse angeben. Um das Ergebnis nicht zu verfälschen, hat ein Kollege ohne erkennbare Verbindung zu netzpolitik.org diese Meldungen vorgenommen. Es handelte sich um insgesamt fünf Angebote von Handystandortdaten aus Deutschland oder der EU. Das Ergebnis: Die Angebote waren weniger als zwei Wochen nach Eingang der Meldungen offline.
Auf Presseanfrage teilt Datarade mit: „Die Produkt-Listungen wurden vorsorglich offline genommen, um den Hinweisen nachzugehen.“ Man gebe den Anbietern nun die Möglichkeit, Stellung zu beziehen.
So preist Datarade selbst Handy-Standortdaten an
Hatte Datarade vor unseren Meldungen wirklich keine Kenntnis über diese Angebote? Zumindest einen Überblick dürfte Datarade gehabt haben. Es gab nämlich die bereits erwähnte von Datarade selbst bereitgestellte Infoseite mit dem Titel „Was sind Handy-Standortdaten“ (im Original: „What is Mobile Location Data?“), die nach unserer Presseanfrage offline genommen wurde.
Auf dieser Seite beschrieb ein Datarade-Mitarbeiter im Detail, wie solche Datensätze aufgebaut sind: mit GPS-Koordinaten und individueller Werbe-ID, der sogenannten MAID („mobile advertising ID“). Vorschaufenster auf der Seite präsentieren mehrere passende Angebote von Datenhändlern, etwa als „Ausgewählte Datensets“. Anhand kleiner Flaggen-Emojis in den Angeboten ließ sich ablesen, woher die Daten kommen, auch mehrere Deutschland-Flaggen waren zu sehen.
Übersetzt aus dem Englischen stand auf der Infoseite, viele Datensätze böten eine hohe GPS-Genauigkeit, „wodurch sichergestellt wird, dass die von Ihnen erhaltenen Daten den realen Standorten und Bewegungsmustern sehr genau entsprechen“. Einige Datensätze würden sogar eine Präzision von unter 19 Metern erreichen, „was besonders nützlich sein kann, wenn Sie sehr detaillierte Einblicke benötigen“.
An einer anderen Stelle der Infoseite hieß es: „Manche Menschen fühlen sich möglicherweise unwohl dabei, wenn ihre Standortdaten gesammelt und für kommerzielle Zwecke verwendet werden.“ Das ist korrekt, wie die Reaktionen auf unsere Recherchen zeigen. Eine Betroffene sagte zum Beispiel im Gespräch mit netzpolitik.org:
Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist.
Und der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte 2024 mit Blick auf den Handel mit Handy-Standortdaten: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden.“ Dass etwas passieren müsse, stehe für ihn völlig außer Frage. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“
Warum Handel mit Standortdaten fast immer DSGVO-widrig ist
Auf potenzielle Bedenken beim Handel von Handy-Standortdaten ging die Datarade-Infoseite selbst ein. Dort hieß es auf Englisch:
Es gibt mehrere verbreitete Missverständnisse über mobile Standortdaten, darunter die Annahme, dass sie immer genau seien und dass man damit Personen ohne deren Wissen oder Zustimmung verfolgen könne. In Wirklichkeit kann die Genauigkeit mobiler Standortdaten je nach Qualität der Datenquelle und der verwendeten Technologie variieren. Darüber hinaus ist das Sammeln und Nutzen von Standortdaten ohne Zustimmung sowohl illegal als auch unethisch.
Drei Aspekte an diesem Zitat verdienen besondere Aufmerksamkeit: Es ist erstens korrekt, dass Handy-Standortdaten nicht immer genau sind. Unsere Recherchen haben gezeigt, dass Händler auch ungenaue Standortdaten verbreiten.
Es ist zweitens allerdings kein „Missverständnis“, dass sich mit diesen Daten „Personen ohne deren Wissen oder Zustimmung verfolgen“ lassen. Gemeinsam mit unseren Recherche-Partnern konnten wir in mehreren Fällen sogar Angehörige von Geheimdiensten und Regierungen vom Arbeitsplatz bis hin zu ihren Privatwohnungen tracken. Die Kolleg*innen aus Norwegen konnten sogar einen verdutzten Grindr-Nutzer zuhause besuchen, der nicht geoutet werden wollte.
Mehrere Betroffene sagten uns im Gespräch, ihnen sei nicht bewusst, einer solchen Art von Tracking zugestimmt zu haben. Zum Beispiel Hedi aus Bayern, die sagte:
Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.
Drittens ist der Handel mit Standortdaten nach Ansicht von Datenschutzbehörden und anderen Fachleuten oftmals selbst mit Einwilligung nicht von der DSGVO gedeckt. So werden die Daten zum einen oft angeblich nur für Werbezwecke erhoben; der Handel stellt also eine verbotene Änderung des Verarbeitungszwecks dar. Zum anderen fehlt es an Transparenz, denn Menschen müssten bei der Einwilligung umfassend informiert werden, an wen Händler Daten weitergeben. Deshalb sind die Einwilligungen oft unwirksam.
Hinzu kommt, dass sich aus Standortdaten oft sensible Informationen ableiten lassen, zum Beispiel über Besuche in spezialisierten Kliniken, bei Parteien und Gewerkschaften oder in religiösen Gebäuden. Solche Informationen sind durch die DSGVO besonders geschützt.
Die Beobachtungen auf dem Marktplatz Datarade werfen Fragen auf. Wieso hat die Plattform auf einer selbst verfassten Infoseite Angebote mit GPS-Daten angepriesen, die realen „Bewegungsmustern sehr genau entsprechen“ – nahm solche Angebote allerdings nach der Meldung durch einen Nutzer wieder offline?
Wir haben Datarade per Presseanfrage auf die Infoseite angesprochen. Wenig später war sie offline. „Wir nehmen Ihren Hinweis zum Anlass, die Kategorie-Seite redaktionell zu überprüfen und vorsorglich offline zu nehmen“, teilt das Unternehmen mit.
Diese Anstrengungen unternimmt Datarade nach eigenen Angaben
Datarade legt Wert darauf, zu betonen, selbst kein Datenanbieter zu sein, „sondern ein Verzeichnis von Datenanbietern und deren Produktkatalogen“. Weiter schreibt die Pressestelle auf unsere Fragen: „Datarade verurteilt jedweden rechtswidrigen Handel mit Daten und setzt sich für einen rechtskonformen Austausch von Daten ein.“
Demnach dürften sich auf Datarade nur registrierte Unternehmen anmelden. Anbieter würden sich vertraglich dazu verpflichten, nur rechtskonforme „Inhalte auf Datarade zu veröffentlichen“. Sie würden „angehalten“, ihre Datenschutz-Richtlinien zu verlinken und die Konformität mit Datenschutzbestimmungen zu bestätigen. Auf jeder Produktseite gebe es einen Link zum Melden von Inhalten; den Meldungen gehe man dem Digitale-Dienste-Gesetz entsprechend nach.
Wir wollten wissen, in welchem Ausmaß Datarade am mutmaßlich illegalen Geschäft mit Handy-Standortdaten mitverdient. Genauer gesagt: Wie viel Provision Datarade in den letzten drei Jahren durch über den Marktplatz vermittelte Deals mit Handy-Standortdaten erhalten hat. Diese Frage hat uns das Unternehmen nicht beantwortet. Stattdessen verwies die Pressestelle auf den allgemein gehaltenen Jahresabschluss, nach dem wir nicht gefragt hatten.
Zum Zeitpunkt der Veröffentlichung dieser Recherche gibt es auf Datarade noch immer mehrereAngebote für Handy-Standortdaten, die mit individuellen Werbe-IDs verknüpft sind. Sie lassen sich kinderleicht über die Suchfunktion auf der Plattform finden. Damit Datarade sie offline nimmt, müsste sie wohl erst jemand von außerhalb aktiv melden – und den Marktplatz regelmäßig auf neue Angebote prüfen.
Wir erinnern uns: Datarade unternimmt nach eigener Aussage „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
So will Datarade neue Händler auf den Marktplatz locken
Im Zuge unserer Recherchen hatten wir uns auch selbst als potenzieller Anbieter für Ortsdaten bei Datarade registriert. Dafür haben wir eine E-Mail-Adresse mit Pseudonym genutzt – und nichts weiter unternommen. Seitdem erhalten wir regelmäßig E-Mails von Datarade. Daraus lässt sich ableiten, welche Mühen die Plattform unternimmt, um aktiv neue Datenhändler für sich zu gewinnen.
Mehrfach versuchte Datarade etwa, ein persönliches Gespräch mit uns – dem vermeintlich neuen Händler – zu vereinbaren. „Lass mich wissen, wenn du Daten zum Verkauf hast, dann können wir darüber nachdenken, sie auf den größten Datenmarktplätzen zu monetarisieren“, hieß es auf Englisch.
Es folgten weitere E-Mails von Datarade. Darunter eine, die versuchte, uns mit der Aussicht auf Umsatz zu locken. Demnach sollten wir lernen, wie ein anderer Anbieter von Standortdaten „Kunden in neuen Märkten erreicht hat“. Das Marktvolumen, also der Umsatz aller Akteur*innen am Markt, liege demnach bei 93 Millionen Euro.
Auch Tutorials erreichten uns. Sie handelten davon, wie wir unser Angebot für Datarade optimieren können. Demnach sollten wir unseren Produktkatalog per ChatGPT ausformulieren lassen. Einen passenden Prompt lieferte die Plattform gleich mit. Auf unserem Anbieterprofil sollte der Hinweis auf DSGVO-Compliance nicht fehlen, riet ein anderes Tutorial.
In den Datenmarktplatz floss mehr Steuergeld als bisher angenommen
Bereits 2024 konnten wir berichten, dass in Datarade auch Steuergeld steckt. Inzwischen wissen wir: Es ist noch mehr Geld als bisher bekannt.
Zunächst hatte der Datenmarktplatz im Jahr 2019 ein Investment in Höhe von einer Million Euro aus dem „High-Tech Gründerfonds“ (HTGF) erhalten. Das ist ein zentrales Instrument der deutschen Start-up-Förderung. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds stammt vom Bundeswirtschaftsministerium, 170 Millionen Euro.
Darüber hinaus schoss der HTGF allerdings vier Jahre später weitere knapp 500.000 Euro in das Unternehmen. Der Anlass war eine Runde zur Anschlussfinanzierung. Das geht aus einer Antwort des Wirtschaftsministeriums auf eine parlamentarische Anfrage der damaligen Linken-Abgeordneten Martina Renner aus dem Jahr 2024 hervor.
Wir haben das Dokument mit einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) erhalten, jedoch zunächst in einer fast vollständig geschwärzten Variante. Das Wirtschaftsministerium hatte die Antwort des damaligen Staatssekretärs als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft. Erst nachdem wir Widerspruch gegen die Entscheidung eingelegt hatten, gab das Ministerium die Antwort für die Öffentlichkeit frei.
Das Ministerium betont darin erneut, dass es „auf die Investmententscheidungen des HTGF keinen Einfluss“ nehme. Jedoch seien „Investitionen in Unternehmen, die Aktivitäten in Verbindung mit Cybercrime verfolgen“, gemäß „der Ausschlussliste des HTGF ausgeschlossen.“ Als solche könne das Geschäftsmodell von Datarade nicht betrachtet werden, da die Plattform lediglich Kontakte zwischen Datenanbietern und Interessierten herstelle. „Das Zustandekommen eines Vertrags und der Austausch von Daten läuft grundsätzlich vollständig außerhalb der Plattform.“
SPD sieht „erheblichen Handlungsbedarf“, CDU bleibt unkonkret
Wie viel Verantwortung sollen Datenmarktplätze dafür tragen, wenn Datenhändler dort die Standortdaten von Millionen Menschen verschleudern? Einen Vorschlag hierzu hatte die heutige Bundesdatenschutzbeauftragte bereits im vergangen Jahr: Der deutsche Gesetzgeber könnte die Reform des Bundesdatenschutzgesetzes nutzen, um das Geschäft von Datenmarktplätzen zu regeln. Die Reform war zunächst für 2024 geplant gewesen, fiel aber dem vorzeitigen Aus der Ampel-Koalition zum Opfer.
Auch die neue Koalition aus Union und SPD will den Datenschutz reformieren. Im Fokus stand zwar bisher ein Rückbau von Regulierung – aber gerade bei Datenmarktplätzen sehen Politiker*innen mehrerer Parteien Probleme.
„Auch wenn im Koalitionsvertrag keine konkrete Aussage dazu vereinbart wurde, so sehen wir mit Blick auf die Databroker-Files-Recherchen nicht allein aus datenschutzrechtlicher Sicht, sondern auch aus sicherheitspolitischer Perspektive erheblichen Handlungsbedarf“, schreibt uns etwa Johannes Schätzl, der digitalpolitische Sprecher der SPD-Fraktion im Bundestag. Er werde „diese Thematik in den anstehenden Verhandlungen selbstverständlich auch ansprechen und konkrete Vorschläge einbringen“. Es sei allerdings noch offen, ob es in der Koalition eine Zustimmung für entsprechende Gesetzesänderungen gibt.
Der Koalitionspartner, die Union, hält sich auf Anfrage von netzpoiltik.org bedeckt. Ralph Brinkhaus, Sprecher für Digitalisierung und Staatsmodernisierung, lässt auf unsere sechs Fragen zur anstehenden Datenschutzreform lediglich verlauten: „Wir arbeiten an den von Ihnen genannten Punkten.“
Grüne und Linke machen Druck
Die Grünen-Digitalpolitiker Lukas Benner und Konstantin von Notz sehen im fehlenden Plan der Regierungskoalition beim Datenhandel ein Beispiel für deren Datenschutzpolitik. Während Union und SPD sich „verfassungsrechtlich hochumstrittene Vorhaben“ wie die Wiedereinführung der Vorratsdatenspeicherung vorgenommen hätten, fehle auf ihrer Agenda die Lösung der „anhaltenden und zunehmenden Problematik der Databroker“.
Die grüne Bundestagsfraktion halte „eine gesetzliche Einschränkung dieser Praktiken für dringend geboten – übrigens auch mit Blick auf den Schutz unserer Sicherheitsbehörden und ihrer Mitarbeiterinnen und Mitarbeiter“. Das Innenministerium müsse sich endlich der Thematik widmen.
Grundsätzlicher wird bei dem Thema Donata Vogtschmidt, digitalpolitische Sprecherin der Linkspartei. Sie wolle „Geschäftsmodellen, die auf personalisierter Onlinewerbung basieren, insgesamt den Kampf ansagen“. Vogtschmidts Vorschlag, um das Problem an der Wurzel zu lösen: Im Gesetz über digitale Dienste (DSA) der Europäischen Union ist bereits ein Verbot personalisierter Werbung für Minderjährige vorgesehen. Dieses Verbot sollte auf alle Nutzenden ausgeweitet werden, denn „so ließe sich kommerzieller Datenhandel wirklich eindämmen“.
Unterdessen könnte auch die EU aktiv werden. Sie will mit dem kommenden Digital Fairness Act Lücken für Verbraucher*innen im Netz schließen. Bis 24. Oktober können Interessierte Ideen einreichen, in welchen Bereichen sie Handlungsbedarf sehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Berliner Verfassungsschutz soll neue Regeln bekommen. Ginge es nach dem schwarz-roten Senat, dürfte er künftig live auf Videoüberwachung von Einkaufszentren oder Krankenhauseingängen zugreifen, um Menschen zu observieren. Fachleute stufen das als verfassungswidrig ein.
Wer sieht, was die Überwachungskamera beim Shopping erfasst? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Kamera: pawel_czerwinski, Einkaufszentrum: Chethan KVS
Umfangreicher Zugriff auf Videoüberwachung, weitreichende Überwachung von Kontaktpersonen und schwache Transparenzpflichten: Der Berliner Verfassungsschutz soll neue Befugnisse bekommen. Einen Gesetzentwurf dazu legte die schwarz-rote Landesregierung im Mai dem Berliner Abgeordnetenhaus vor. Am heutigen Montag waren Sachverständige im Verfassungsschutz-Ausschuss des Landesparlaments und äußerten verfassungsrechtliche Bedenken.
Besonders alarmiert hat die Fachleute offenbar die geplante Neuregelung zur Videoüberwachung. Der neue Paragraf zu Observationen sieht vor, dass Betreiber:innen von Videoüberwachungsanlagen verpflichtet werden können, „die Überwachung auszuleiten und Aufzeichnungen zu übermitteln“. Das beträfe Überwachungskameras an „öffentlich zugänglichen großflächigen Anlagen“ oder in „Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs“.
Videoüberwachung aus Parks, Einkaufszentren, Krankenhäusern
Das bedeutet: Observiert der Verfassungsschutz eine Person, kann er sich dafür im Zweifel Live-Zugang zu den Überwachungskameras eines Einkaufszentrums oder einer S-Bahn geben lassen. Der Jurist David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) stuft das in seiner Stellungnahme als verfassungswidrig ein.
Bei einer solchen Maßnahme sind regelmäßig unzählige Personen betroffen, die nicht im Fokus des Inlandsgeheimdienstes stehen. „Wer sich in Berlin im öffentlichen Raum bewegt, müsste daher künftig permanent damit rechnen, durch den Inlandsgeheimdienst beobachtet zu werden“, schreibt Werdermann. „Die Befugnis ermöglicht eine nahezu durchgängige Rundumüberwachung aus der Ferne.“
Das schreibt auch die Berliner Landesdatenschutzbeauftragte Meike Kamp. Im Gegensatz zu klassischen Observationen gehe es beim Zugriff auf die Videoüberwachungseinrichtungen auch privater Stellen um „deutlich eingriffsintensivere Maßnahmen, für die strengere Maßstäbe und gesetzliche Erfordernisse gelten“. Sie zählt eine ganze Reihe Orte auf, die von der neuen Regelung erfasst wären, „sogar der Besucherbereich einer Arztpraxis oder eines Krankenhauses während der Öffnungs- bzw. Besuchszeiten“.
Kamp kritisiert außerdem, dass im Entwurf nicht eindeutig festgelegt sei, wie lange ein solcher Zugriff stattfinden dürfe. Außerdem fehle eine spezifische Eingriffsschwelle, ihrer Meinung nach bedarf es bei so einer invasiven Maßnahme einer „mindestens erhöhten Beobachtungsbedürftigkeit als Eingriffsvoraussetzung“ und es sollte einen generellen Richtervorbehalt geben.
Umfeldausforschung mit Auskunftsersuchen
Als unverhältnismäßig kritisiert Kamp ebenfalls die geplante Neuregelung zu Auskunftsersuchen zu Bestandsdaten bei Telekommunikationsanbietern. Im Gesetz selbst gibt es keine Beschränkung, „dass das Auskunftsverlangen nur erfolgen darf, wenn die Daten zur Aufklärung tatsächlich erforderlich sind“.
Werdermann bemerkt außerdem, dass die Auskunftsersuchen – auch diejenigen zu Verkehrs- und anderen Daten – nicht im Kapitel für „Nachrichtendienstliche Mittel“ eingegliedert sind. Das habe zur Folge, dass die Ersuchen nicht nur gegen eine bestimmte Zielperson eingesetzt werden könnten, sondern zusätzlich gegen Dritte. „Damit eröffnet der Gesetzgeber eine ins Blaue hineingehende Möglichkeit der Überwachung des gesamten Umfelds einer Zielperson mittels Auskunftsersuchen“, so Werdermann.
Diese Eingruppierung wirkt sich außerdem aus, wenn der Inlandsgeheimdienst entsprechend gewonnene Daten an andere Behörden übermitteln will. Auch hier würden für die Informationen aus Auskunftsersuchen geringere Voraussetzungen gelten, wenn sie nicht als nachrichtendienstliche Mittel gelten.
Keine Selbstauskunft ohne Selbstbezichtigung?
Der Auskunftsanspruch für Betroffene ist im neuen Gesetz sehr restriktiv geregelt. Wer vom Berliner Verfassungsschutz künftig wissen wollen würde, ob Daten zur eigenen Person vorliegen, soll dabei auf „einen konkreten Sachverhalt“ hinweisen und „ein berechtigtes Interesse an der Auskunft“ darlegen. Das heißt, eine Person müsste sich wohl teils selbst bezichtigen, warum sie für den Inlandsgeheimdienst interessant sein könnte.
„Hierdurch wird der Auskunftsanspruch unverhältnismäßig eingeschränkt“, schreibt dazu die Berliner Landesdatenschutzbeauftragte. Kamp gibt zu Bedenken, dass der Verfassungsschutz in der Regel im Geheimen agiert, ohne dass Personen etwas davon mitbekommen. „Wer beispielsweise erfasst ist, weil ein Informant ihn mit einer anderen Person verwechselt hat, wird bei Beantragung einer Auskunft zum konkreten Sachverhalt naturgemäß keine Angaben machen können“, so Kamp.
Staatstrojaner und mangelnde Kontrolle
Neben diesen Punkten enthält das geplante Gesetz eine Vielzahl weiterer grundrechtssensibler Vorschläge. Der Berliner Verfassungsschutz soll künftig Staatstrojaner für die sogenannte Online-Durchsuchung nutzen dürfen, um eine „konkretisierte Gefahr für ein besonders bedeutendes Rechtsgut“ abzuwehren. Das soll dann erlaubt sein, wenn „geeignete polizeiliche Hilfe“ nicht rechtzeitig erlangt werden könne.
Weitaus kürzer als die vorgesehenen Befugnisse reichen die geplanten Berichts- und Rechenschaftspflichten für den Inlandsgeheimdienst. Berichtspflichten gelten zwar für einige Auskunftsersuchen, Werdermann vermisst sie aber für Observationen, verdeckt eingesetzte Dienstkräfte oder Online-Durchsuchungen. Dort, so seine Stellungnahme, „sind keine Berichtspflichten vorgesehen, obwohl hier ein noch viel stärkeres Bedürfnis an einer Kontrolle durch das Parlament besteht“. Ohne verfügbare Zahlen dazu, wie und wie häufig die Behörde ihre Befugnisse einsetzt, ist eine öffentliche Kontrolle nicht möglich.
Nach der Anhörung im Verfassungsschutzausschuss des Parlaments steht bei dem Gesetzentwurf aus dem Senat noch eine letzte Lesung im Plenum an. Vorher kann der Ausschuss nachbessern und die Kritik der Sachverständigen berücksichtigen. Eine Reform des Verfassungsschutzgesetzes war auch wegen Urteilen des Bundesverfassungsgerichts notwendig geworden, die etwa das hessische und das bayerische Verfassungsschutzgesetz rügten.
Nimmt das Abgeordnetenhaus die Kritik der Sachverständigen nicht ernst, könnte erneut ein Ländergesetz zu einem Inlandsgeheimdienst vor Gericht landen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der chinesische KI-Chatbot DeepSeek übermittelt Nutzer*innendaten nach China. Die Berliner Datenschutzbehörde geht jetzt gegen den Anbieter vor. Apple und Google sollen DeepSeek aus ihren Stores entfernen.
Raus aus den App-Stores, aber weiter verfügbar: KI-Chatbot DeepSeek – Alle Rechte vorbehalten IMAGO / Rüdiger Wölk
Der KI-Chatbot DeepSeek wird in Deutschland verboten. Die Berliner Datenschutzaufsicht hat die chinesische App als rechtswidrig bewertet, weil sie Daten ihrer Nutzer*innen nach China übermittelt. Damit verstößt sie gegen die Datenschutzregeln der EU (DSGVO). Apple und Google sollen die Anwendung nun aus ihren App-Marktplätzen entfernen. Auf anderen Wegen, etwa über den Browser oder heruntergeladen über die Seite des Unternehmens, ließe sich der Chatbot allerdings weiterhin nutzen.
DeepSeek habe gegenüber ihrer Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer*innen in China auf einem der EU gleichwertigen Niveau geschützt sind, sagt die Berliner Datenschutzbeauftragte Meike Kamp.
In China haben Behörden weitreichende Zugriffsrechte auf personenbezogene Daten, die auf den Servern chinesischer Unternehmen lagern.
Ehemals Chartspitze, jetzt auf Verbotsliste
DeepSeek hatte nach der Vorstellung Anfang des Jahres für Furore gesorgt, weil die Leistungen des Modells hinter dem Chatbot an die von Marktführern wie ChatGPT von OpenAI heranreichten – für viele Beobachter*innen kam das überraschend. Zugleich soll das Training des Modells vergleichsweise günstig und mit weniger Rechenleistung stattgefunden haben, berichtete etwa die New York Times. Das brachte die Börsen durcheinander.
Die App gehört zu den beliebtesten KI-Anwendungen weltweit. Auch in Deutschland trendete sie zwischenzeitlich weit oben in den Download-Charts von Apple und Google. Nutzer*innen können mit der kostenlosen App chatten, Bilder hochladen oder sie für die Suche im Netz einsetzen.
Behörden warnten vor der App
Bedenken zum Umgang mit Nutzer*innendaten gab es von Anfang an. Denn alle gesammelten Daten – von Texteingaben und hochgeladenen Dateien bis zu den Informationen zum Standort und dem benutzten Gerät – übermittelt das Unternehmen nach China.
„Auch Tastatureingaben innerhalb der App können womöglich mitgelesen werden, bevor sie abgeschickt werden“, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem werde die Art der Tastatureingaben gespeichert, heißt es. Anhand der Art, wie Menschen tippen, lassen sich Nutzer*innen wiedererkennen.
Auch die Aufsichtsbehörden für Datenschutz hatten DeepSeek im Blick. Mehrere Landesbehörden gingen parallel gegen das Unternehmen vor. Die Gründe: Weitergabe der Daten und andere mutmaßliche Verstöße gegen die DSGVO. Das Unternehmen hatte etwa keinen gesetzlichen Vertreter in der EU benannt. In Abstimmung mit anderen Aufsichtsbehörden ist es jetzt die Behörde aus Berlin, die Maßnahmen ergreift.
Erst Aufforderung, dann Verbot
Die Behörde hatte nach eigenen Angaben DeepSeek Anfang Mai zunächst aufgefordert, die Übermittlung der Daten nach China einzustellen – oder die App eigenständig aus den Stores zu entfernen. Nachdem das Unternehmen nicht reagierte, folgte demnach heute die Meldung an Apple und Google. Dabei machte die Behörde von einer Regelung im Gesetz über digitale Dienste (Digital Services Act, DSA) Gebrauch, die Betreiber*innen von Plattformen dazu verpflichtet, Meldewege für illegale Inhalte zur Verfügung zu stellen.
Apple und Google müssen die Meldung laut DSA nun prüfen und über die Umsetzung entscheiden. Sie gelten in der EU als „sehr große Online-Plattformen“ und unterliegen damit besonders strikten Auflagen. So müssen sie ihnen gemeldete rechtswidrige Inhalte zügig entfernen, sonst drohen ihnen selbst Strafen in der EU.
Die Behörde hätte gegen DeepSeek auch ein Bußgeld verhängen können. Das lasse sich gegen Unternehmen aus Drittstaaten allerdings nicht vollstrecken, sagt Datenschutzbeauftragte Meike Kamp. Auch gegen die Webseite des Unternehmens könne die Behörde nicht vorgehen, weil der Host-Anbieter nicht bekannt sei.
Auch andere chinesische Apps haben Nutzer*innendaten an Server in China übermittelt, darunter die erfolgreichste: TikTok. Das Unternehmen hat jedoch im Gegensatz zu DeepSeek einen Sitz in der EU und fällt in die Zuständigkeit der irischen Datenschutzaufsicht, die jüngst gegen TikTok eine Millionenstrafe veranlasst hat.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
