Idris lebt seit mehr als 40 Jahren in Deutschland und soll nach Eritrea abgeschoben werden. Das gilt als praktisch unmöglich. Trotzdem durchsucht das Ausländeramt Köln sein Smartphone, während er im Gefängnis sitzt. Eine Geschichte über einen Kontrollapparat, der sich verselbstständigt hat.

Winter 2024. Idris ist gerade in der JVA Siegburg angekommen. Um seine Cracksucht zu finanzieren, war er in einen Kiosk und mehrere Gaststätten eingestiegen, hatte Parfum in einer Drogerie geklaut, war immer wieder erwischt worden. Weil er die Taten während laufender Bewährungszeiten begangen hatte, muss er jetzt für insgesamt fünf Jahre ins Gefängnis.

Ein Beamter reicht ihm die Gefängniskleidung und einem Umschlag mit seinen Wertsachen. Die Sachen sind aus der Untersuchungshaft überstellt worden, in der er vorher gewesen ist. Idris soll den Inhalt prüfen, bevor der Umschlag wieder verplombt und eingeschlossen wird. Im Umschlag liegt seine Halskette. Aber das Handy, das er beim Antritt der U-Haft Anfang des Jahres ebenfalls abgegeben hatte, fehlt.

Was damit passiert ist, erfährt er erst zwei Monate später, durch einen Brief der für ihn zuständigen Ausländerbehörde Köln. „Anbei übersende ich Ihnen den Datenträger des oben genannten Inhaftierten zurück“, heißt es darin und weiter in bestem redundanten Amtsdeutsch. „Der Datenträger wurde im Zuge einer Datenträgerauswertung ausgewertet“, er könne nun zurück in die Verwahrung.

Seit 40 Jahren geduldet

Idris, der eigentlich anders heißt, lebt seit mehr als 40 Jahren in Deutschland. Er kam als Kind, hat hier die Schule besucht, einen Hauptschulabschluss gemacht, eine Schlosserlehre begonnen. Er hat auch früh eine Karriere als Kleinkrimineller begonnen, wie er selbst sagt. All das erzählt er vom Festnetztelefon des Gefängnisses aus, das er zu vorgeschriebenen Zeiten benutzen darf.

Eine Aufenthaltserlaubnis hat er nicht, sein Antrag auf Asyl wurde bereits 1987 abgelehnt. Seit Jahrzehnten lebt er mit einer Duldung im Land, doch damit ist jetzt Schluss. Nach seiner Entlassung soll er Deutschland verlassen, das hat ihm das Ausländeramt im Herbst mitgeteilt.

Das Problem: Das Land, aus dem er mit seiner Tante einst geflohen ist, der heutige Staat Eritrea, will ihn nicht. Eine Abschiebung dorthin ist ohnehin so gut wie unmöglich. Das Land gilt als eine der brutalsten Diktaturen der Welt, Abgeschobenen drohen Folter und willkürliche Haft. Als Geflüchteter aus der ehemaligen äthiopischen Provinz besaß Idris zudem nie eritreische Papiere, Eritrea erkennt ihn nicht als Staatsbürger an. „Ich bin faktisch staatenlos, seit über vierzig Jahren“, sagt Idris zu seinem Fall.

Den deutschen Verwaltungsapparat interessiert das nicht. Für das Ausländeramt Köln ist Idris ein ausreisepflichtiger Straftäter, in so einem Fall gilt ein besonders schwerwiegendes „Ausweisungsinteresse“. Das Amt muss alles dafür vorbereiten, dass er nach seiner verbüßten Haftstrafe abgeschoben werden kann. Dazu darf es laut Aufenthaltsgesetz auch seine Datenträger durchsuchen.

Vom Gefängnis in die IT-Forensik

Während Idris in einer Zelle sitzt, geht sein Handy deswegen auf Reisen. Aus dem Umschlag mit seinen persönlichen Dingen in der Gefängnisverwahrung gelangt es an das Ausländeramt in Köln, dieses schickt es mit einem Prüfauftrag weiter an die Zentrale Ausländerbehörde in Essen.

Die Behörde ist dafür zuständig, die Ämter in Köln und Düsseldorf bei Abschiebungen zu unterstützen. Dort arbeitet seit Herbst 2023 auch die „Stabsstelle Datenforensik“. Ihre Aufgabe: Die Datenträger von Menschen durchsuchen, die „ausreisepflichtig“ sind, um darauf nach Hinweisen für ihre Herkunft oder Identität zu suchen.

Diese Abteilung eingerichtet hat das von den Grünen geführte Fluchtministerium in Nordrhein-Westfalen. In einem Erlass, der damals an alle Ausländerbehörden im Land ging, heißt es dazu: „Demnach ist ein Ausländer, der keinen Pass oder Passersatz besitzt, verpflichtet, an der Beschaffung eines Identitätspapieres mitzuwirken und alle Dokumente oder Datenträger auf Verlangen der Ausländerbehörde vorzulegen, die für die Feststellung und Geltendmachung einer Rückführungsmöglichkeit in einen anderen Staat von Bedeutung sein können.“ Komme die betroffene Person dieser Mitwirkungspflicht nicht nach, könne die Behörde die Durchsuchung anordnen.

Die Ausländerbehörden werden in dem Schreiben gebeten, „sich bei Bedarf an einer Datenträgerauswertung“ mit der jeweils für ihren Regierungsbezirk zuständigen Zentralen Ausländerbehörde in Verbindung zu setzen. Weitere Informationen dazu finde man unter dem Reiter „Auswertung Datenträger“ im System.

Was ein Handy über Herkunft verraten soll

Was in Essen mit seinem Handy geschieht, erfährt Idris nicht. Die Stadt Köln will dazu keine Auskunft erteilen. Ausgehend von dem, was ein Sprecher der Stadt mitteilt und was aus bisherigen Recherchen von netzpolitik.org bekannt ist, würde die Durchsuchung aber so ablaufen:

Die Abteilung soll auf Idris’ Handy nach Indizien suchen, die auf eine Staatsangehörigkeit hindeuten können. Im besten Fall – aus Sicht der Behörde – wären das Fotos von Papieren oder Passnummern. Im weniger guten Fall geht es um „sachdienliche Hinweise“: Anrufe in ein bestimmtes Land etwa, gespeicherte Kontakte oder Sprachen, die er in Chatnachrichten verwendet hat.

Um die Handys zu durchsuchen, schließen die Forensik-Fachleute die Geräte an einen Computer an, der alle Daten aus dem Gerät ausliest. Idris‘ Fotos, seine Nachrichten, wen er angerufen hat, was er auf Social Media postete – all das liegt nun bei der Behörde offen. Aus den relevanten Hinweisen, die sie in den Daten finden, erstellen Mitarbeiter*innen einen Bericht und schicken ihn zusammen mit dem Handy zurück an die Ausländerbehörde.

Dieser letzte Schritt, die Auswertung und der Bericht, werde von einer Person mit Befähigung zum Richteramt gemacht, schreibt ein Sprecher der Stadt. Letzteres schreibt das Aufenthaltsgesetz vor. Damit soll sichergestellt sein, dass keine Informationen aus dem sogenannten „Kernbereich“ der privaten Lebensgestaltung in den Akten landen.

„Was ist das für eine Verarscherei?“

Formal ist das alles korrekt, rechtlich abgesichert. Ein Paragraf im Aufenthaltsgesetz erlaubt die Handydurchsuchung bereits seit mehr als zehn Jahren, wenn die Identität nicht mit anderen „milderen Mitteln“ geklärt werden kann, etwa durch die Vorlage einer Geburtsurkunde. Die Behörde darf in so einem Fall Datenträger einziehen, auch gegen den Willen der Betroffenen. In vielen Bundesländern ist das inzwischen Standard.

Nur: Was soll das im Fall von Idris bringen? Seine Abschiebung scheitert ja nicht daran, dass seine Identität oder Staatsbürgerschaft nicht bekannt wären. Die deutschen Behörden kennen seinen Namen, sein Geburtsdatum.

Idris kann nicht abgeschoben werden, weil die eritreische Botschaft ihm keine Papiere ausstellt. Das weiß auch die Ausländerbehörde. Was erhofft sie sich von der Durchsuchung? Und warum sammelt ein Staat überhaupt digitale Daten für eine Abschiebung, die diplomatisch unmöglich ist? Einfach, weil er es kann?

„Auf meinem Handy werden sie sicher nichts finden“, sagt Idris. Darauf seien Fotos seiner drei Kinder in Deutschland. Der älteste studiert, der jüngste ist gerade zwölf Jahre alt. Von der Mutter der beiden jüngeren lebt er schon seit Jahren getrennt. „In Eritrea kenne ich niemanden, habe da niemanden.“

Die Abschiebeanordnung im Herbst 2025 kommt trotzdem. „Was ist das für eine Verarscherei?“

Zugriff aus der Haft

Nordrhein-Westfalen wird seit 2022 von einer schwarz-grünen Koalition regiert. Ministerpräsident Hendrik Wüst (CDU) setzt auf eine harte Abschiebepolitik. Seit dem Anschlag von Solingen wurde die Linie noch weiter verschärft. Straftäter*innen sollen noch konsequenter abgeschoben werden. Nur wohin, wenn es keinen Zielstaat gibt? Für die Politik ist Idris ein Problem ohne Lösung.

Liegt es daran, dass die Ausländerbehörden im Land derzeit besonders viele Handys einziehen? Allein in Köln hat das Ausländeramt im vergangenen Jahr mehr als 130 Datenträger eingezogen und durchsuchen lassen, teilt ein Sprecher der Stadt mit.

„Sobald andere Maßnahmen zur Identitätsfeststellung ausgeschöpft oder nicht erfolgversprechend sind, wird der Person bei ihrer Vorsprache angeboten, den Datenträger freiwillig zur Durchsicht vorzulegen“, schreibt er. Weigert sie sich, darf sie auch durchsucht werden.

Bei Ausreisepflichtigen, die wie Idris in Haft sitzen, werde jeweils die zuständige Justizvollzugsanstalt angefragt. Seien dort Handys oder andere Datenträger in der Verwahrung, würden diese eingezogen.

Eigentlich hätte Idris über den Einzug seines Handys informiert werden müssen, die Ausländerbehörde stellt dafür eine Bescheinigung aus. Diese gehe in solchen Fällen an das Gefängnis, schreibt der Sprecher, mit der Bitte, den Gefangenen zu informieren. Ob das jedoch im Einzelfall geschieht, das „entzieht sich des Einflussbereichs der Ausländerbehörde“.

Öffentliche Zahlen, geheime Werkzeuge

Um Smartphones wie das von Idris durchsuchen zu können, hat NRW einigen Aufwand betrieben. Die meisten Geräte sind heute mit Zugangscodes oder per Gesichtserkennung gesichert, nicht alle Betroffenen geben die Daten heraus, auch wenn das Aufenthaltsgesetz das vorschreibt. Die Behörde braucht dann ein Werkzeug, mit dem sie die Sicherungen überwinden und sich Zugang verschaffen kann.

Die „Stabsstelle Datenforensik“, die in Essen auch Idris‘ Handy durchsucht hat, arbeitet deswegen mit einer IT-forensischen Ausstattung, die die Zentrale Ausländerbehörde eigens dafür angeschafft hat. Solche Werkzeuge funktionieren wie ein Dietrich, mit dem sich die meisten Smartphones öffnen lassen, auch ohne Zugangsdaten.

Im Jahr 2024 hat die Stabsstelle auf diesem Weg die Datenträger von 114 Personen durchsucht und 93 Auswertungsberichte erstellt. Nur in zwei Prozent der Fälle scheiterten die Durchsuchungen. Das schreibt die Stadt Essen in ihrem Jahresbericht zur Arbeit der Zentralen Ausländerbehörde. Im Jahr darauf waren es bereits 254 durchsuchte Datenträger und 176 Berichte, teilt das zuständige Fluchtministerium auf Anfrage von netzpolitik.org mit.

Eine weitere solche Stelle arbeitet in der Zentralen Ausländerbehörde Bielefeld. Zusammengenommen hätten beide Stellen im Jahr 2024 205 Datenträger durchsucht. Im Jahr darauf waren es 402.

Bis zur Ausreise verwahrt

Die Kosten dafür trägt das Land NRW. Wie viel das kostet und von welchem Hersteller die Ausstattung stammt, das hält die schwarz-grüne Landesregierung allerdings geheim. „Aus Gründen des Datenschutzes“ will das zuständige Familienministerium auf Nachfrage keine Angaben machen.

In anderen Bundesländern, die vergleichbare Software für die Durchsuchungen nach dem Aufenthaltsgesetz einsetzen, ist hingegen dokumentiert, woher die Produkte stammen: vom Unternehmen Cellebrite. Es verkauft seine IT-forensischen Produkte unter anderem an Polizeibehörden, die damit in den Handys mutmaßlicher Straftäter nach Beweisen suchen, aber auch an Geheimdienste oder das Militär. Seit einigen Jahren gehören auch Ausländerbehörden in Deutschland zum Kundenkreis. (Hier ist eine Karte, die zeigt, wo Cellebrite bereits für die Durchsuchung der Handys von Ausreisepflichtigen eingesetzt wird.)

Stellt Cellebrite auch das Produkt, mit dem die Abteilung in Essen Handys durchsucht? Dafür gibt es keinen Beleg. Im bislang aktuellsten Jahresbericht der Stadt werden jedoch die Namen von zwei weiteren Cellebrite-Produkten genannt, die 2025 eingeführt werden sollten: Sie heißen Collector und Inspector und dienen dazu, die Festplatten von Computern zu durchsuchen. Auch das sind Datenträger und sie dürfen von den Ausländerbehörden ebenfalls eingezogen werden.

Auf die Nachfrage, ob diese Werkzeuge inzwischen im Einsatz sind, antworteten die Zentrale Ausländerbehörde Essen und das Ministerium nicht.

„Strafrechtlich relevante Zufallsfunde“

Das Ministerium sieht in der Geheimhaltung offenbar auch eine Art ermittlungstaktischen Vorteil. „Konkrete Information über die verwendete Soft- und Hardware, die über Presseberichte an eine breite Öffentlichkeit gelangen, könnten den Erfolg zukünftiger digital-forensischer Maßnahmen gefährden“, schreibt es im Ablehnungsbescheid zu einer Anfrage nach dem Informationsfreiheitsgesetz.

Nur: Es handelt sich streng genommen ja um gar keine Ermittlungen. Die Betroffenen sind keiner Straftat verdächtig, die Zentrale Ausländerbehörde ist auch keine Strafverfolgungsbehörde. Sie soll lediglich nach Hinweisen auf eine Nationalität suchen.

Dass die Grenzen zwischen den Aufgaben von Ausländerbehörden und der Strafverfolgung hier zunehmend aufweichen, darauf deutet auch ein weiterer Satz aus dem Jahresbericht der Stadt Essen hin. In einem Abschnitt zu den „hervorragenden Ergebnissen“, die mit der Auswertung der Datenträger hätten erzielt werden können („In 87 Prozent der Fälle zumindest identitätsklärende Hinweise“), heißt es dort auch, „entdeckte und möglicherweise strafrechtlich relevante Zufallsfunde“ seien „an die zuständige Ausländerbehörde bzw. Strafermittlungsbehörde“ gemeldet worden.

Auf Nachfrage, wie häufig es in den vergangenen Jahren zu solchen Zufallsfunden mit entsprechender Meldung kam und auf welcher Rechtsgrundlage das geschieht, antwortet die Behörde nicht.

Eine Maßnahme ohne Ziel

Der Berliner Jurist Davy Wang koordiniert bei der Gesellschaft für Freiheitsrechte Fälle zu eingezogenen Handys von Geflüchteten. Er hält eine solche Weitergabe für rechtswidrig. Das Aufenthaltsgesetz erlaube den Zugriff auf Datenträger ausschließlich, um Identität und Staatsangehörigkeit festzustellen sowie eine Rückführung zu ermöglichen. „Eine Befugnis, dabei gefundenen Daten zu anderen Zwecken – etwa zur Strafverfolgung – an andere Behörden weiterzuleiten, enthält das Gesetz nicht. Eine solche Weitergabe ist damit unzulässig.“

Rechtswidrig sei auch das Vorgehen der Ausländerbehörde im Fall von Idris, sagt Wang. „Der Zugriff auf den gesamten Datenbestand des Handys stellt einen schwerwiegenden Eingriff in die Privatsphäre dar und darf nicht erfolgen, wenn damit der verfolgte Zweck überhaupt nicht erreicht werden kann.“

Das Aufenthaltsgesetz erlaube diesen Eingriff nur unter engen Voraussetzungen. Im Falle von Idris sei klar, dass der Zweck – das Ermöglichen einer Rückführung – nicht erreichbar sei: „Seine Rückführung scheitert an faktischen Hindernissen, die im Verantwortungsbereich der eritreischen Botschaft liegen.“ Durch das Auswerten der Handydaten könnten diese weder beseitigt noch beeinflusst werden.

„Solche Fälle zeigen, dass der Datenzugriff in der Praxis nicht als enges Ausnahmeinstrument gehandhabt wird, sondern als Routinemaßnahme“, sagt Wang, „auch dort, wo sie von vornherein nichts bewirken kann.“ Damit werde die Privatsphäre der betroffenen Personen jedoch strukturell ausgehöhlt. „Die Durchsuchung wird als Druckmittel zur Durchsetzung migrationspolitischer Ziele missbraucht.“

Clara Bünger ist fluchtpolitische Sprecherin der Linken im Bundestag. „Die Regierungen der letzten Jahre haben unter Beweis gestellt, dass sie in der Lage sind, sich immer wieder neue grenzwertige oder sogar offen rechtswidrige Maßnahmen auszudenken, die den alleinigen Zweck haben, ausreisepflichtige Personen unter Druck zu setzen und sie zur Ausreise zu drängen“, sagt sie. Das ändere aber nichts daran, dass manche Menschen nicht abgeschoben werden könnten, weil sie zum Beispiel staatenlos sind.

Auch wenn es am Ende nicht zur Abschiebung komme, hätten die Maßnahmen schwere Konsequenzen. „Häufig werden solche Grundrechtseingriffe zuerst an Geflüchteten oder anderen Gruppen mit geringer Beschwerdemacht getestet“, sagt sie. „Wenn Protest ausbleibt, werden sie später ausgeweitet.“

„Bundesgebiet unverzüglich verlassen“

Idris sitzt weiterhin in Haft, inzwischen in der JVA Aachen. Er hofft darauf, dass er vorzeitig entlassen wird und einen Entzug machen kann, in einer christlichen Einrichtung für Suchthilfe. Dort war er schon einmal, bevor er rückfällig wurde.

Für ihn gilt allerdings weiterhin die Abschiebeanordnung aus Köln: „Sollten Sie aus irgendeinem Grund vorzeitig aus der Haft entlassen werden, haben Sie das Bundesgebiet unverzüglich, spätestens jedoch 14 Tage nach einer eventuellen Haftentlassung zu verlassen“, steht darin. Dass er das ohne Papiere nicht tun kann, ist klar.

Idris hat vor dem Verwaltungsgericht Köln Klage gegen seine Abschiebeanordnung eingereicht und bittet um eine Aufenthaltserlaubnis. Nur damit kann er eine von der Krankenkasse finanzierte Therapie machen. „Nach einer erfolgreichen Drogentherapie würde die Abkehr von meinen kleinkriminellen Aktivitäten wirklich näher rücken, die mir bislang nicht gelungen ist“, schreibt er. „Genau darin setze ich meine Hoffnungen. Diesen Weg möchte ich endlich gehen. Ich bin krank. Und ich möchte meine Krankheit überwinden.“

Das Schreiben hat er selbst mit Unterstützung verfasst, einen Rechtsbeistand hat er derzeit nicht.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Hinter dem Erfolg von Künstlicher Intelligenz und Sozialen Medien stecken ausgebeutete Arbeiter:innen. Bei einem Fachgespräch im Deutschen Bundestag wurde heute diskutiert, wie ihre Lage verbessert werden kann. Die Botschaft der Sachverständigen war klar: Deutschland muss mehr Verantwortung übernehmen.

Im Bundestag wurde heute erstmals über die Arbeitsbedingungen von Datenarbeiter:innen hinter Künstlicher Intelligenz und Sozialen Medien diskutiert. Die Ausschüsse für Digitales und Arbeit hatten zu einem Fachgespräch zum Thema Data Labeling geladen. Die klare Botschaft der drei Sachverständigen: Wenn Deutschland auf KI setzt, dann muss es mehr Verantwortung für die Menschen im Maschinenraum der Technologie übernehmen.

Als Data Labeling oder auch Daten-Annotation bezeichnet man eine Tätigkeit, bei der Menschen zum Beispiel Bildmaterial mit Metadaten versehen, also mit Labels, die den Inhalt beschreiben. Das ist unter anderem für Machine-Learning-Systeme erforderlich, die hinter fast allem stehen, auf dem heute das Label „KI“ klebt. Die Arbeiter:innen sind selten bei den Tech-Konzernen selbst beschäftigt, sondern werden häufig unter ausbeuterischen Bedingungen bei Outsourcing-Firmen oder -Plattformen angestellt.

Seit Jahren bringen Whistleblower:innen, Aktivist:inen, Forscher:innen und Journalist:innen die unsichtbar gemachten Arbeitskräfte in die Öffentlichkeit. Auch wir auf netzpolitik.org berichten kontinuierlich darüber. Die Arbeitsbedingungen in der Branche haben sich aber kaum verbessert, weshalb Erwartungen an die Politik groß sind. Das heutige Fachgespräch, an dem sich Abgeordnete von Union, SPD, Grünen und Linkspartei beteiligten, könnte ein Anfang sein. An konkreten Ideen, wie sich die Lage der Arbeiter:innen verbessern lässt, mangelt es jedenfalls nicht.

„Sie sehen die KI, aber uns sehen Sie nicht“

Die ehemalige Datenarbeiterin Joan Kinyua war virtuell aus der kenianischen Hauptstadt Nairobi zugeschaltet. Sie habe mehr als acht Jahre in der Branche gearbeitet hat, die „Künstlicher Intelligenz dabei hilft, die Welt zu verstehen“. Für unterschiedliche Anbieter habe sie unter anderem Bilder von Straßen mit Metadaten versehen, damit selbstfahrende Autos keine Unfälle bauen. Auch mit Straßenszenen aus Berlin habe sie arbeiten müssen (lest dazu mehr in unserem kürzlich veröffentlichten Interview mit Joan).

Später habe sie auch Bilder mit Gewaltdarstellungen klassifizieren müssen, sogar solche, die Gewalt an Kindern zeigten. Gleichzeitig habe sie selbst Daten für das KI-Training erzeugen sollen, indem sie Bilder ihrer Tochter zur Verfügung stellt.

Ausgeübt habe sie die Tätigkeit meist vom eigenen Computer zuhause, über sogenannte Microwork-Plattformen – „ohne Arbeitsvertrag, Sozialversicherung oder Gesundheitsversorgung“. Oft habe sie stundenlang auf neue Aufträge warten müssen, teilweise bis zu 20 Stunden am Tag auf Stand-By. Immer wieder hätten Auftraggeber:innen ihre Ergebnisse abgelehnt. Den Input hätten sie trotzdem behalten, sie selbst sei leer ausgegangen. So habe es Tage gegeben, an denen sie in fünf Stunden nur zwei Cent verdient habe. Im Schnitt würden Datenarbeiter:innen in Kenia 250 US-Dollar im Monat verdienen, was kaum zum Überleben reiche.

Von ihrer Arbeit habe sie außerdem Panik-Attacken und Angstzustände erhalten. Wie ihr gehe es vielen in der Branche, schildert Kinyua. Als Präsidentin der kenianischen Data Labelers Association vertrete sie inzwischen die Interessen von mehr als tausend Datenarbeiter:innen. Viele von ihnen litten unter posttraumatischen Belastungsstörungen.

„Sie sehen die KI, aber uns sehen Sie nicht“, so beschrieb Joan Kinyua den Abgeordneten ihre Lage. Es sei auch in der Verantwortung des Deutschen Bundestages, das zu ändern und für bessere Bedingungen zu sorgen. Unter anderem schlug die Kenianerin Mindeststandards für Datenarbeiter:innen in Deutschland und weltweit vor. Dazu zählt auch eine Obergrenze für die Arbeit an belastenden Inhalten. Zudem brauche es unabhängige Audits der Anbieter, sowie Register für KI-Arbeiter:innen und ganz grundsätzlich mehr Transparenz über Outsourcing und Lieferketten von Tech-Konzernen.

Milliarden-Profite dank Prekarisierung

Dr. Milagros Miceli von der TU Berlin berichtete von ihren Erkenntnissen aus fast einem Jahrzehnt Forschung zu Datenarbeit. Die von Joan Kinyua geschilderten Arbeitsbedingungen seien „kein Einzelfall, sondern ein konstantes Muster“. Oder genauer gesagt: das Geschäftsmodell einer milliardenschweren Branche.

Der von ihr geprägte Begriff der Datenarbeit umfasse mehr als das Labeling von Daten im engeren Sinne: Auch das Generieren und Sammeln von Daten zähle dazu, in zunehmendem Maße außerdem die Validierung des algorithmischen Outputs und das Korrigieren von Fehlern. Zudem müssten Arbeiter:innen immer wieder so tun, als seien sie eine KI.

Miceli ist eine der Initiator:innen des „Data Workers Inquiry“, in dem Datenarbeiter:innen von ihrer Wirklichkeit berichten. Kürzlich hat das Projekt die Geschichte einer Person veröffentlicht, die sich als AI Girlfriend ausgeben musste, also als Chatbot, der eine Liebesbeziehung mit seinen Nutzer:innen simuliert.

Die unterschiedlichen Formen der Datenarbeit seien essenzieller Bestandteil von KI-Produkten, einer Studie zufolge würde sie 80 Prozent der Entwicklungsarbeit von Künstlicher Intelligenz ausmachen. Miceli ist in ihrer Botschaft deshalb klar: „Ohne Datenarbeit und ohne Menschen wie Joan Kinyua gibt es keine KI“. Tech-Konzerne würden Milliarden damit verdienen „dass sie Arbeiter:innen durch Outsourcing und Plattformisierung prekarisieren und austauschbar machen“. Wenn Deutschland KI fördern wolle, müsse deshalb unbedingt für bessere Arbeitsbedingungen sorgen.

Viele der Arbeiter:inen seien hochqualifiziert, hätten Bachelor-Abschlüsse oder sogar promoviert, berichtet die Forscherin. Dabei sei wichtig, dass die Tätigkeit nicht auf Länder wie Kenia beschränkt ist, sondern auch in Deutschland und Europa viele Menschen in der Branche tätig seien. Wie viele genau, das könne man aufgrund der Intransparenz der Unternehmen nicht sagen.

Probleme bei Gesundheits- und Datenschutz

Bekannt ist, dass mehrere Tech-Konzerne und Outsourcing-Unternehmen in Deutschland große Zentren für die Moderation von Inhalten auf Social-Media-Plattformen unterhalten. Eine Tätigkeit, die die Sachverständigen ebenfalls zum Feld der Datenarbeit zählt und die bereits vor drei Jahren bei einem Fachgespräch im Bundestag Thema war. Julia Kloiber vom Superrr Lab war damals bereits dabei und wies heute erneut darauf hin, dass dabei oft Menschen in vulnerablen Lebenssituationen ausgenutzt würden.

Kloiber empfahl unter anderem besseren Schutz für Menschen, die mit schädlichen Inhalten arbeiten müssen. Bei der Polizei etwa, wo ebenfalls Menschen mit Darstellungen von Kindesmissbrauch arbeiten müssten, gebe es klare Expositionsbegrenzungen. Auch für Datenarbeiter:innen brauche es eine Obergrenze, die die Arbeit mit belastendem Material festlegt. Außerdem brauche es Trauma-Prävention und Zugang zu professioneller psychologischer Unterstützung.

Der fehlende Schutz habe nicht nur schwerwiegende Folgen für die Betroffenen, sondern auch für das Gesundheitssystem, schließlich könnten Menschen ein ganz Leben lang unter posttraumatischen Belastungsstörungen leiden. Manchmal könnten sie deshalb nicht mehr arbeiten. Die dadurch entstehenden Kosten würden von den Tech-Konzernen externalisiert und von der Allgemeinheit aufgefangen.

Kloiber wies zudem auf Datenschutzprobleme beim Outsourcing hin: Nicht nur würden die Datenarbeiter:innen selbst stark überwacht, bei ihnen landeten auch große Mengen personenbezogener Daten und sensibler Inhalte. Erst kürzlich hatten Datenarbeiter:innen als Whistleblower:innen darüber berichtet, dass sie Aufnahmen aus Meta-Brillen bearbeiten müssten und dabei auch Nacktaufnahmen und andere intime Szenen von Nutzer:innen zu Gesicht bekämen.

„Unsere digitale Zukunft darf nicht auf Ausbeutung fußen“

Deutlich wurde bei dem Fachgespräch, dass auch deutsche Firmen davon profitieren, dass sie prekäre Arbeit an Menschen wie Joan Kinyua auslagern. Auch die Auto-Industrie, die Pharma-Branche oder Tech-Unternehmen wie Siemens gehörten zu den Kunden von Outsourcing-Unternehmen im Datenbereich, berichtete etwa Milagros Miceli.

Für Julia Kloiber ist klar, dass Deutschland deshalb auch Verantwortung übernehmen müsse. Eine Untersuchung des Fairwork-Projekt der Universität Oxford und Wissenschaftszentrums Berlin habe die Löhne von vier Outsourcing-Unternehmen untersucht. Nur zwei von ihnen hätten Mindestlohn gezahlt, keines den sogenannten Existenzlohn („Living Wage“), der nicht nur das bloße physische Überleben, sondern auch soziale und kulturelle Teilhabe ermöglicht.

Einen wichtigen Ansatzpunkt sieht die Geschäftsführerin des Superrr Lab deshalb in der Regulierung von Lieferketten. Hier drohe der hohe Standard des erst kürzlich eingeführten und dann schon wieder halb gecancelten deutschen Lieferkettengesetzes abgesenkt zu werden. Die Schwarz-Rote Koalition hatte sich darauf geeinigt, nicht über die – ebenfalls gerade ausgehöhlte – EU-Lieferkettenrichtlinie hinauszugehen.

Bei der Umsetzung der Richtlinie müsse Deutschland sicherzustellen, dass der Geltungsbereich nicht eingeschränkt werde. Die EU-Regeln sollen nur Unternehmen ab 5000 Beschäftigten und einem Umsatz von 1,5 Milliarden Euro gelten. In Deutschland würden dann 95 Prozent der Unternehmen von den Sorgfaltspflichten für ihre Lieferketten entbunden, so Kloiber.

Die Expertin brachte zudem ein Direktanstellungsgebot ins Spiel, wie es erst kürzlich gefeuerte und streikende TikTok-Angestellte in Deutschland gefordert hatten. Ganz grundsätzlich fordert Kloiber eine realistischere Kosten-Nutzen-Rechnung, wenn in Deutschland KI ausgebaut und etwa in der Verwaltung eingesetzt wird. Soziale und auch ökologische Kosten dürften nicht länger ausgeblendet werden: „Unsere digitale Zukunft darf nicht auf Ausbeutung fußen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der legendäre Urheberrechtsfall „Metall auf Metall“ geht in die letzte Runde. Der Europäische Gerichtshof hat gerade nach weitläufiger Auffassung das Recht auf Remix und Sampling gestärkt. Jetzt muss noch der Bundesgerichtshof final entscheiden.

Der Europäische Gerichtshof hat eine Entscheidung präzisiert, die es ermöglicht, urheberrechtlich geschützte Werke ohne Zustimmung ihrer Rechtsinhaber:innen zu verwenden. Demnach müssen bestimmte Voraussetzungen zutreffen, damit ein Sample als erlaubtes „Pastiche“ gilt.

27 Jahre – so lange streiten sich der Musikproduzent Moses Pelham und die Band Kraftwerk bereits vor Gericht. Recht auf Sampling gegen Urheberrecht. Gestritten wird um einen zwei Sekunden langen Musikschnipsel aus dem Kraftwerk-Song „Metall auf Metall“. Der stammt aus 1977. Rund 20 Jahre später schnitt Pelham aus den zwei Sekunden die Dauerschleife für den Song „Nur mir“ von Sabrina Setlur. Kraftwerk klagte 1999 dagegen.

Das Oberlandesgericht Hamburg, der Bundesgerichtshof, das Bundesverfassungsgericht und der Europäische Gerichtshof – sie alle haben sich im letzten Vierteljahrhundert mit dem Fall beschäftigt. Derweil ist das Samplen gängige Kulturpraxis, nicht nur in HipHop und Techno.

Um eine Rechtsgrundlage zu schaffen, führte die EU 2019 eine „Pastiche-Regel“ ein, die 2021 im deutschen Urheberrecht verankert wurde. Dort heißt es in § 51a Karikatur, Parodie und Pastiche: „Zulässig ist die Vervielfältigung, die Verbreitung und die öffentliche Wiedergabe eines veröffentlichten Werkes zum Zweck der Karikatur, der Parodie und des Pastiches. Die Befugnis nach Satz 1 umfasst die Nutzung einer Abbildung oder sonstigen Vervielfältigung des genutzten Werkes, auch wenn diese selbst durch ein Urheberrecht oder ein verwandtes Schutzrecht geschützt ist.“

Wann ist Pastiche Pastiche?

Nun hat der Europäische Gerichtshof sich zur Tragweite der Ausnahme für „Pastiches“ im Zusammenhang mit dem Sampling geäußert. Demnach sei entscheidend, ob die Neuschöpfung im Zuge des Samplings mit den urheberrechtlich geschützten Werken einen „erkennbaren künstlerischen oder kreativen Dialog“ führe, „gleichzeitig aber wahrnehmbare Unterschiede“ aufweise. Beispielsweise in Form einer offenen Nachahmung des Stils oder kritischer Auseinandersetzung. Auf diese Weise solle ein angemessener Rechts- und Interessenausgleich zwischen Rechteinhaber:innen und der Kunstfreiheit gesichert werden. Eine Nachahmung ohne erkennbare Auseinandersetzung mit dem Original sei demnach kein zulässiges Pastiche.

Nach weitläufiger Interpretation hat der Europäische Gerichtshof damit das Recht auf Remix und Sampling gestärkt – und damit geht der Fall „Metall auf Metall“ in die letzte Runde und zurück an den Bundesgerichtshof in Karlsruhe: Dieser muss nun entscheiden, ob Pelham sich in dem Song von 1997 in einem ausreichenden Dialog mit „Metall auf Metall“ befindet und wahrnehmbare Unterschiede bestehen.

Das Oberlandesgericht Hamburg hatte bereits festgestellt, dass die Rhythmussequenz trotz leichter Abwandlung in „Nur mir“ als Anspielung auf das Original erkennbar bleibe – darauf weist der Europäische Gerichtshof hin. Fraglich ist jetzt, ob der Bundesgerichtshof dieser Auffassung folgen wird.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit einer Handy-App für iOS und Android sollen Menschen in der EU künftig ihr Alter gegenüber Plattformen nachweisen. Doch der Nutzen zum Schutz von Kindern und Jugendlichen ist fraglich. Nutzende sollen zudem ihr Gesicht scannen lassen.

EU-Kommissionspräsidentin Ursula von der Leyen (CDU) und Digitalkommissarin Henna Virkkunen haben heute die neue Alterskontroll-App der EU vorgestellt. Mit ihr sollen Menschen in der EU ihr Alter gegenüber altersbeschränkten Online-Diensten nachweisen können.

Von der Leyen zufolge sei die App „technisch fertig“ und funktioniere auf „jedem“ Gerät. Allerdings soll es die App zunächst nur für iOS und Android geben. Auf den üblichen App-Marktplätzen ist sie zudem noch nicht verfügbar. Das heißt, die App ist noch nicht fertig und läuft nicht auf jedem Gerät.

Vielmehr sollen nun Entwickler*innen den Code nutzen, um daraus eigene Versionen der App zu bauen und auf den Markt zu bringen. Die EU-Kommission hofft sogar darauf, dass die App ein weltweiter „Goldstandard“ werde, wie ein Kommissionsbeamter in einem nachgelagerten Pressebriefing erklärte.

Alterskontrollen sind einerseits eine Option, mit der Plattformen Minderjährige schützen sollen; Grundlage ist das Gesetz über digitale Dienste (DSA). Andererseits sind verpflichtende Alterskontrollen eine Kernforderung für die Durchsetzung eines Social-Media-Verbots für Minderjährige, auf das mehrere EU-Mitgliedstaaten derzeit drängen.

Nutzende sollen ihr Gesicht scannen lassen

Bereits vor einem Jahr hatte die EU ein Konzept für die App vorgestellt; wenig später folgte ein Prototyp mit Google-Bindung. In der App sollen Nutzer*innen zunächst ihr Ausweisdokument hinterlegen können. Dann sollen sie per Handy-Kamera ihr Gesicht scannen lassen, wie ein neues Werbevideo der EU-Kommission zeigt.

Die App soll daraufhin prüfen, ob das gescannte Gesicht mit dem Foto auf dem Ausweis übereinstimmt. Dabei kommt offenbar ein biometrischer Vergleich zum Einsatz. Einmal eingerichtet soll die App einem Online-Dienst mitteilen können, ob man bereits 18 Jahre alt ist oder nicht – ein Klarname soll nicht übermittelt werden.

Dass die App auch das Gesicht der Nutzer*innen scannen soll, war zuvor nicht Thema. Selbst in ihrer Rede zur Vorstellung der App betonte von der Leyen: Man wolle nicht, dass Plattformen Gesichter scannen. Ein Scan durch die Alterskontroll-App dagegen ist für die EU-Kommission offenbar in Ordnung.

Für die Akzeptanz in der Bevölkerung könnte das ein Problem sein. Gegenüber netzpolitik.org sagte etwa Anja Treichel, Geschäftsführerin des Vereins „Bundeselternnetzwerk der Migrantenorganisationen für Bildung & Teilhabe“, im März:

Viele Familien – insbesondere solche mit Flucht- oder Migrationserfahrungen und solche, die in Diktaturen/ autoritären Regimen aufgewachsen sind – sind sensibel gegenüber staatlicher oder kommerzieller Datenerfassung. Biometrische Verfahren können Vertrauen in digitale Angebote untergraben. Alterskontrollen sollten daher möglichst datensparsam und freiwillig gestaltet sein.

Von der Leyen nennt irreführende Gründe für Alterskontrollen

Die Rede der Kommissionspräsidentin zur neuen Alterskontroll-App ist an mehreren Stellen lückenhaft oder irreführend. Zunächst listet von der Leyen eine Reihe von Risiken und Gefahren für Minderjährige auf, die sich angeblich mithilfe der Alterskontroll-App bekämpfen lassen sollen:

• Cybermobbing
• suchtfördernde Designs
• personalisierte Inhalte
• Bildschirmzeit
• schädliche und illegale Inhalte
• Grooming, also die sexuelle Anbahnung von Kontakten durch Erwachsene

Für einen Großteil dieser Gefahren erweisen sich Alterskontrollen jedoch als Scheinlösung.

Cybermobbing erleben junge Menschen in großen Teilen im Umfeld aus Gleichaltrigen, oftmals sogar Mitschüler*innen – Alterskontrollen können dagegen nichts ausrichten.

Suchtfördernde Designs und personalisierte Inhalte lassen sich durch das Gesetz über digitale Dienste und möglicherweise den kommenden Digital Fairness Act abmildern oder gänzlich verbieten. Das schützt nicht nur Minderjährige, sondern alle. Es wäre im Vergleich dazu weniger zielführend, lediglich jüngere Menschen von betroffenen Plattformen auszuschließen.

Bei der Bildschirmzeit junger Menschen in Deutschland wiederum spielt laut KIM-Studie 2024 Fernsehen eine dominante Rolle. Alterskontrollen für Online-Dienste dürften daran wenig ändern. Die drei häufigsten Freizeit-Aktivitäten von unter 14-Jährigen in Deutschland sind der Studie zufolge: Freund*innen treffen, Fernsehen, Hausaufgaben. Erst weiter hinten kommen „Videos, Filme und Serien online“ – noch hinter der Aktivität „Draußen spielen“.

Schädliche und illegale Inhalte suchen und finden junge Menschen auch gezielt auf Seiten, die sich nicht an Regeln halten. Eine Rolle spielen dabei unter anderem Neugier und Mutproben. Alterskontrollen dürften den Zugang hierzu nicht stoppen.

Beim Grooming suchen Erwachsene über Chats Kontakt zu Minderjährigen, gerade an digitalen Orten, wo sich viele junge Menschen aufhalten. Hier könnten nach Alter abgestufte Funktionen ein Baustein sein. So lassen sich Accounts von Minderjährigen etwa abhärten, sodass Fremde sie schwerer kontaktieren können. Denkbar wäre auch, Direktnachrichten von Erwachsenen an junge Menschen einzuschränken. Flächendeckende, ausweisbasierte Kontrollen bräuchte es dafür jedoch nicht; eine Alternative sind sichere Voreinstellungen.

Von der Leyen ignoriert Warnungen aus der Wissenschaft

Die zweite Leerstelle in von der Leyens Rede: Sie blendet fundamentale Bedenken an Alterskontrollen aus. Anfang März haben 400 Forscher*innen aus 29 Ländern in einem offenen Brief gefordert: Staaten sollen ihre Pläne für Alterskontrollen stoppen. Es fehle ein klares Verständnis für die Folgen der Technologie in Bezug auf „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen. Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“.

Ein zentraler Kritikpunkt an Alterskontrollen sind Einschnitte in die Grundrechte auf Teilhabe und Information von allen, die die neuen Hürden nicht überwinden können oder wollen. Es geht um allein in Deutschland schätzungsweise Hunderttausende Menschen, die keine Papiere haben – oder zumindest keine, die mit einer Ausweis-App kompatibel wären. Hinzu kommen Menschen, die ihre Ausweispapiere schlicht nicht digital scannen wollen oder kein (geeignetes) Handy haben.

Für sie müsste es also Alternativen geben. Eine bereits verbreitete Methode sind – einmal mehr – KI-basierte Gesichtsscans. Dann würde eine Software das Alter einer Person abschätzen. Die deutsche Medienaufsicht empfiehlt diese Technologie bereits für unter anderem Pornoseiten; in Australien kommt sie für altersbeschränkte Social-Media-Plattformen zum Einsatz. Einerseits ist solche Software fehleranfällig und diskriminierend, andererseits birgt die Technologie Risiken für Datenschutz und Privatsphäre.

Die App soll auf Google, Apple und Pseudonyme setzen

An mindestens zwei Stellen preist von der Leyen Fähigkeiten der App an, die nicht den online beschriebenen Funktionen entsprechen.

Erstens sei die App von der Leyen zufolge „komplett anonym“. Anonym bedeutet ohne Namen. Aktivitäten lassen sich niemandem zuordnen. In den App-Spezifikationen steht jedoch: „Es werden Domain-spezifische Kennungen oder Pseudonyme verwendet“. Das kann bedeuten: Je nach Online-Dienst erhalten Nutzer*innen ein Pseudonym, zum Beispiel für eine bestimmte Videoseite. Folglich wäre es möglich, dass diese Videoseite durchaus mehrere Aktivitäten diesem einen Pseudonym zuordnen kann.

Von einem Pseudonym zum Klarnamen wäre es dann mitunter nicht mehr allzu weit. Denn Website-Betreiber*innen könnten zur Unterscheidung von Nutzer*innen weitere Eckdaten heranziehen, etwa IP-Adresse und Browser-Einstellungen. Eine tatsächlich anonyme Alterskontrolle würde dagegen ohne ein solches Domain-spezifisches Pseudonym arbeiten. Nutzer*innen würden gegenüber Website-Betreibenden bei jeder Session als jemand anderes erscheinen.

Weiter erklärte von der Leyen, die App solle für „jedes“ Gerät verfügbar sein. Die Kommissionspräsidentin zählte daraufhin jedoch keine Betriebssysteme auf, sondern Hardware: „Handy, Tablet, Computer“. Das ist irreführend. Ausdrücklich erwähnt werden in den Spezifikationen der App nur die mobilen Betriebssysteme iOS und Android. Die Veröffentlichung einer Alterskontroll-App für andere Plattformen ist demnach nur optional. Freie und alternative Betriebssysteme wie Linux fallen unter den Tisch.

Auch Nachfrage von netzpolitik.org bestätigt ein EU-Beamter, dass sich die EU-Kommission bei der bisherigen Arbeit an der App auf iOS und Android fokussiert habe. Das heißt: Wer künftig sein Alter nachweisen will, muss ein entsprechend ausgestattetes Handy haben. Allerdings wolle man sicherstellen, dass zumindest in Zukunft „jedes“ andere System abgedeckt werde, so der Beamte. Dabei verwies er auf den „Markt“.

Der Markt dürfte hier allerdings keine große Hilfe sein. Gerade wenn es um nicht-kommerzielle Alternativen geht, die wenig finanzielle Anreize bieten. Bis auf Weiteres setzt die Alterskontroll-App also auf kommerzielle, von US-Konzernen kontrollierte Betriebssysteme – eine schlechte Nachricht für sogenannte technologische Souveränität.

Wer nicht mitmachen will, soll ein VPN nutzen

Wasserdicht sind die mit der App geplanten Alterskontrollen ohnehin nicht, das weiß auch die EU-Kommission. So fragte ein Journalist im Pressebriefing, ob sich auch Tourist*innen, etwa aus den USA, mit der App verifizieren müssten, falls sie ihren Urlaub auf Instagram begleiten wollten. Daraufhin erklärte der EU-Beamte: Ja, das müssten sie – oder aber sie nutzten einen VPN-Dienst.

Mit einem VPN-Dienst können Nutzer*innen gegenüber Online-Diensten einen anderen IP-basierten Standort vortäuschen. So lässt sich der Eindruck erwecken, sie riefen eine Seite nicht etwa aus der EU auf, sondern beispielsweise von einem anderen Kontinent. Die an einen EU-Standort gebundenen Alterskontrollen entfallen.

Der Trick mit dem VPN gilt jedoch nicht nur für US-Tourist*innen, sondern für alle, die Alterskontrollen umgehen möchten. Also auch für Minderjährige, die die EU-Kommission mit ihrer Alterskontroll-App angeblich vor unter anderem Mobbing oder suchtfördernden Designs schützen will.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Soziale Netzwerke und ihre auf Überwachung und Personalisierung basierenden Geschäftsmodelle schaffen Anreize, die letztlich die Demokratie gefährden. Für die EU ist es höchste Zeit, dem etwas entgegenzusetzen, fordert eine umfassende Studie der Forschungsabteilung der EU-Kommission.

Es ist schon eine Ansage: Die EU sollte in ihrem Streben nach digitaler Souveränität neue Geschäftsmodelle im digitalen Raum entwickeln, die besser mit der Demokratie vereinbar sind. Zu diesem Schluss kommt eine neue Studie der Gemeinsamen Forschungsstelle der EU-Kommission.

Der Titel der englischsprachigen Studie ist so alarmierend wie programmatisch: „Fractured reality – How democracy can win the global struggle over the information space“ (auf Deutsch: „Zersplitterte Realität – Wie die Demokratie den globalen Kampf um den Informationsraum gewinnen kann“). Verfasst haben sie ein Dutzend renommierter Forscher:innen zu dem Thema, darunter die Hauptautoren, der Kognitionspsychologe Stephan Lewandowsky und der Verhaltensforscher Mario Scharfbillig.

Aufmerksamkeitsökonomie unter der Lupe

In der heutigen „Aufmerksamkeitsökonomie“ ist die Zeit und Aufnahmefähigkeit von Menschen begrenzt, schreiben die Autor:innen. Viele Online-Dienste, insbesondere soziale Medien, kämpfen geschickt um das kostbare Gut: Sie haben ihre personalisierten Produkte so gestaltet, dass Nutzer:innen möglichst lange auf ihrem Dienst bleiben. Dann können sie ihnen möglichst viele und passgenaue Werbeanzeigen einblenden.

Dies begünstige „strukturell – wenn auch unbeabsichtigt – Inhalte, die die Demokratie bedrohen, da die menschliche Aufmerksamkeit Informationen bevorzugt, die negativ, emotional und konfliktgeladen sind“, heißt es in der Studie. Zudem würden die Dienste den Weg zu Echokammern ebnen. In diesen würden sich Menschen gegenseitig unwidersprochen ihre Ansichten bestätigen.

Grundsätzlich neu sei dieses Phänomen zwar nicht, jedoch ermögliche Technologie eine zuvor ungekannte Vielfalt und Fragmentierung von Wahrnehmungen der Realität. Dies sei ein Problem: „Demokratische Institutionen und die Demokratie selbst können ohne ein gewisses Maß an gemeinsamer Realität nicht überleben.“

Wenn sich soziale Medien nun zunehmend zu einer wichtigen Informationsquelle entwickeln und sich strukturell bedingt Informationen minderwertiger Qualität schneller verbreiten, öffnet das die Tür für Falschnachrichten, ob unbeabsichtigt (Misinformation) oder bewusst gestreut (Desinformation). Inzwischen habe sich das Phänomen jedoch gewandelt: Es gehe nicht mehr darum, konkrete Behauptungen aufzustellen oder anzufechten, sondern darum, den Informationsraum zu überfluten („flooding the zone“).

Dominanter Fantasie-Industrie-Komplex

Während Informationsmanipulation früher auf „systematischen Lügen“ basierte, setze sich die heutige Situation aus einer Mischung aus Desinformation, Täuschung, irreführenden Informationen und wahren Kernen zusammen. Die Autor:innen beschreiben dies als „Fantasie-Industrie-Komplex“, der sich selbst organisiere und lose koordiniert sei.

Ziel der Informationsmanipulation sei es heute oft nicht, Menschen von bestimmten falschen Behauptungen zu überzeugen, sondern „abzulenken, Misstrauen zu schüren und antidemokratische Normen, autoritäre Instinkte und Verhaltensweisen zu aktivieren“. Dies sei ein systemisches Problem, betonen die Autor:innen. „Einzelpersonen für Fehlinformationen verantwortlich zu machen, verkennt die eigentliche Ursache.“

Mit diesem „Fantasie-Industrie-Komplex“ ist eine der Ko-Autor:innen allzu gut vertraut. Als Studentin hatte die heute an der Georgetown University lehrende Desinformationsforscherin Renée DiResta ein Praktikum beim US-Geheimdienst CIA absolviert. Daraus drehten ihr rechte und rechtsextreme US-Influencer:innen einen Strick: Unter anderem Elon Musk nutzte seinen Einfluss sowie die Tatsache, den Kurznachrichtendienst X zu besitzen, um mit vermeintlichen Enthüllungen über einen „Zensur-Industrie-Komplex“ politisch Stimmung zu machen.

Im Zentrum der Auseinandersetzung fand sich DiResta wieder. In einschlägigen Ecken des Internets als „CIA Renee“ verunglimpft, ging es ihren Widersacher:innen vor allem darum, ihre Glaubwürdigkeit und in weiterer Folge die des Stanford Internet Observatory (SIO) zu beschädigen. Zu dieser Zeit forschte DiResta dort zu Desinformation und landete im Visier von US-Republikanern. Denen gefiel nicht, dass das SIO ihre oft auf Lügen basierende Wahlkampftaktik offenlegte.

Republikaner hacken Forschung kurz und klein

Der konzertierte Angriff auf das SIO und eine Reihe anderer vergleichbarer Institute, der auch aus Anhörungen im republikanischen Repräsentantenhaus bestand, hatte schließlich Erfolg. Verträge wurden nicht verlängert, das Budget gekürzt, im Jahr 2024 machte die Stanford University das SIO ganz dicht – gerade noch rechtzeitig vor den US-Präsidentschaftswahlen im Herbst.

Auf den Druck von rechts reagierten neben US-Universitäten auch einige prominente soziale Netzwerke: Meta kündigte etwa öffentlichkeitswirksam an, zeitgleich zum Amtsantritt Donald Trumps seine Moderationsregeln auf Facebook und Instagram zurückzuschrauben. Im Sommer darauf zog auch YouTube still und heimlich nach. Solange Falschinformationen rund um Themen wie Impfungen, Minderheiten oder Wahlbetrug im „öffentlichen Interesse“ stehen, bleiben sie auf dem größten Video-Streamingportal der Welt unmoderiert stehen.

Vor dieser von der Realität weitgehend losgelösten Entwicklung warnen die Autor:innen der EU-Studie. „Demokratie braucht einen gesunden Informationsraum, der ausreichend genaue und überprüfbare Informationen enthält, eine politische Vielfalt an Meinungen und Stimmen zulässt, breit gefächerte Besitzverhältnisse im Medienbereich umfasst sowie ein geringes Maß an schädlichen Inhalten und Fehlinformationen aufweist, wenn wir ein gewisses Realitätsgefühl erhalten wollen“.

Abkehr von der Aufmerksamkeitsökonomie

Um dem etwas entgegenzusetzen, bringen die Autor:innen konkrete Empfehlungen mit. Zuvorderst müssten wir alternative öffentliche Räume schaffen, sowohl online als auch offline, die nicht von der Aufmerksamkeitsökonomie abhängen. Wir sollten uns auch vom Erfolg crowd-basierter und dezentraler Ansätze wie jenem der Online-Enzyklopädie Wikipedia inspirieren lassen.

Nutzer:innen sollten zugleich mehr Autonomie erhalten, etwa mit einer Verbesserung des Plattformdesigns durch Erkenntnisse aus der Verhaltensforschung. Beispielsweise durch Abkühlphasen – etwas, was der anstehende Digital Fairness Act der EU durchaus auf dem Schirm hat.

Verbesserungsmöglichkeiten macht die Studie auch bei Faktenchecks aus. Selbst wenn diese stattfinden, erreichen sie oft ihr Zielpublikum nicht. Das ließe sich durch angepasste Ausspiel-Mechanismen verändern. Zudem sollten ausgewiesene Verbreiter:innen von Falschinformationen demonetarisiert werden: „Solange Desinformation profitabel ist, wird sie nicht verschwinden“.

Indes weisen die Autor:innen darauf hin, dass keine dieser Maßnahmen ausreiche, wenn keine Alternativen zu den derzeitigen Geschäftsmodellen entstehen, die auf „Engagement“ basierten. Als Alternativen stellen sie unter anderem Abo-Modelle in den Raum, eine Besteuerung digitaler Werbeanzeigen, oder auch Gebühren für Online-Dienste, die besonders viel Falschinformationen verbreiten. Helfen könnten auch Auflagen zu Interoperabilität, mit der Nutzer:innen ihre Daten möglichst einfach von einem Anbieter zu einem anderen mitnehmen und umziehen könnten.

Papiertiger ohne europäische Alternativen

Bleibt aber immer noch das Problem, dass die meisten großen Online-Dienste derzeit nicht aus Europa stammen. Forschungsergebnisse deuten der EU-Studie zufolge darauf hin, dass Algorithmen von Plattformbetreibern zu deren Gunsten instrumentalisiert werden – was sich wohl am deutlichsten an dem zur rechten Propagandaplattform umgebauten X ablesen lässt.

„Die Informationsdiät der Europäer liegt somit in den Händen ausländischer Akteure, die möglicherweise nicht die europäischen demokratischen Werte teilen“, warnen die Autor:innen. Trotz der vorangegangenen Empfehlungen lassen sich diese Werte ohne digitale Souveränität und Autonomie der EU nicht vollständig schützen, schreiben sie.

Dabei dürfe die EU jedoch nicht in offenkundige Fallen tappen, warnt die Studie: „Es besteht derzeit die Gefahr, dass ein verstärktes Streben nach digitaler Souveränität auf Technologieebene die Chance auf einen besseren demokratischen Rahmen verspielt und ähnliche Probleme in Europa wiederholt, insbesondere wenn Geschäftsmodelle nicht mit demokratischen Prinzipien vereinbar sind.“

Mit demokratischen Modellen experimentieren

Um die Stellung der EU im digitalen Raum zu stärken, sollte Europa in dezentrale System wie Atmosphere, Fediverse, Mastodon oder Eurosky investieren und zugleich eine europäische Cloud-Infrastruktur samt ausreichender Rechenkapazität schaffen. Damit ließe sich die Macht ausländischer Unternehmen schwächen, während die alternativen Dienste „demokratische Modelle in Echtzeit“ erforschen könnten. Neben finanzieller Förderung solcher Ansätze könnten etwa Verpflichtungen für öffentliche Einrichtungen und Behörden, die entstehenden Online-Dienste zu nutzen, anstatt auf X und Co. zu verharren, deren Attraktivität steigern.

Darüber hinaus sollte die EU bei der Forschung keine Kompromisse machen. „Das rasante Tempo des Wandels stellt die Forschung vor die Herausforderung, Schritt zu halten und Auswirkungen zu untersuchen, zumal Plattformdaten größtenteils privat bleiben“, heißt es in der Studie. Den im Digital Services Act (DSA) enthaltenen Zugang für die Wissenschaft, der bis heute noch nicht so recht vollständig umgesetzt ist, geht den Autor:innen augenscheinlich nicht weit genug.

Angesichts des Bedarfs an schnellerer Forschung und Evaluierung digitaler Strategien sei ein europäisches „CERN für Daten und Demokratie“ erforderlich, um die in Europa fragmentierten Kapazitäten für die kontinuierliche Plattformforschung im industriellen Maßstab zu bündeln. Trotz ihrer globalen Vorreiterrolle bei der Digitalregulierung sollte sich die EU lieber beeilen: „Ein globaler Innovationswettlauf ohne Berücksichtigung seiner gesellschaftlichen Folgen könnte die Fähigkeit der Gesellschaften überfordern, diese Veränderungen friedlich zu bewältigen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Pläne, im Internet mit Biometrie nach jedweder Person zu suchen, verstoßen laut AlgorithmWatch gegen Europarecht und die Verfassung. Sie seien so unverhältnismäßig, dass man sie nicht verbessern, sondern nur zurückziehen könne.

Die Pläne der Bundesregierung, die digitalen Ermittlungsbefugnisse von Sicherheitsbehörden auszuweiten, sind nach Meinung der Organisation AlgorithmWatch europarechtswidrig und stehen im Konflikt mit verfassungsrechtlichen Mindestanforderungen und datenschutzrechtlichen Grundsätzen.

Dabei kommt AlgorithmWatch – wie auch schon zuvor die Gesellschaft für Freiheitsrechte (GFF) – zu dem Schluss, dass man dieses Gesetz nicht mit ein paar Änderungen verbessern könnte. Die verfassungs- und menschenrechtliche Unverhältnismäßigkeit lasse „ausschließlich die Empfehlung zu, die Gesetzentwürfe zurückzuziehen und ein grundsätzliches gesetzliches Verbot des Einsatzes biometrischer Massenerkennungssysteme für öffentliche und private Stellen einzuführen“, so die Zusammenfassung der Stellungnahme zum Gesetz (PDF).

„Flächendeckende Verfolgung aller Menschen im digitalen Raum“

Die schwarz-rote Koalition plant in ihrem „Sicherheitspaket“ einerseits eine biometrische Massenfahndung im Internet zu erlauben sowie andererseits die Zusammenführung und Auswertung polizeilicher Daten mittels automatisierter Datenbankanalyse. Die Stellungnahme der Nichtregierungsorganisation fokussiert sich auf die biometrische Fahndung.

Diese biometrische Internetfahndung sieht die NGO sehr kritisch:

Der biometrische Abgleich ermöglicht die Identifizierung von Personen im öffentlichen Raum und im Internet auf Basis biometrischer Merkmale und schafft somit die technischen Voraussetzungen für eine flächendeckende Verfolgung aller Menschen im (digitalen) öffentlichen Raum.

Laut AlgorithmWatch berührt die Überwachungsmaßnahme zwangsläufig die Grundrechte aller Menschen, sie sei weder erforderlich noch verhältnismäßig. Betroffen seien dabei insbesondere die Grundrechte auf informationelle Selbstbestimmung und freie Meinungsäußerung.

Rückschlüsse auf politische Einstellungen

Die NGO kritisiert, dass die Maßnahme heimlich erfolgt und eine extrem hohe Streubreite hat: Es seien einfach alle Menschen betroffen, deren Gesichtsbilder im Internet zu finden sind. Das ist heute ein großer Teil der Bevölkerung. Zudem gebe es erhebliche Diskriminierungsrisiken, wenn sensible Daten erfasst und verarbeitet werden, wie Aufnahmen von Demonstrationen, Parteiveranstaltungen, Pride-Events, Gewerkschaftskundgebungen oder Gottesdiensten. Solche Aufnahmen lassen Rückschlüsse zu auf politische Haltungen, Parteizugehörigkeit, sexuelle oder religiöse Einstellungen.

Darüber hinaus könnten durch die biometrische Internetfahndung auch Bilder aus dem Kernbereich privater Lebensführung ausgewertet werden wie etwa Kindergeburtstage oder private Familienfeiern. Dieser Kernbereich ist verfassungsrechtlich besonders geschützt. Die öffentliche Verfügbarkeit der Daten, die für einen Abgleich herangezogen werden, ändere nichts daran, dass Schutzbereiche der Grundrechte berührt sind.

In der Stellungnahme verweist AlgorithmWatch darauf, dass das Bundesverfassungsgericht bei Kfz-Kennzeichen, die deutlich weniger sensibel als biometrische Merkmale seien, hohe verfassungsrechtliche Anforderungen aufgestellt habe.

Auch seien die Anforderungen für die geplante massenhafte Verarbeitung biometrischer Daten zu unspezifisch sowie die Einsatzzwecke und Tatbestandsmerkmale zu breit und nicht gewichtig genug, als dass eine grundrechtskonforme Anwendung realistisch erscheine. Hier verweist die Organisation auf den Straftatenkatalog des § 100a Abs. 2 StPO , der regelmäßig erweitert und angepasst werde und sich deshalb nicht zur klaren Begrenzung der Maßnahmen auf schwerwiegende Straftaten eigne. Diese Kritik hatte auch die GFF geäußert.

Technische Ausgestaltung unklar

Der Gesetzentwurf lege außerdem „völlig unzureichend“ dar, wie die Überwachungsmaßnahme technisch vonstattengehen soll. Einerseits sollen die die im Rahmen des biometrischen Abgleichs erhobenen und verarbeiteten Daten nach dessen Durchführung „unverzüglich” gelöscht werden, auf der anderen Seite bleibe der Gesetzentwurf schuldig, wie die Sache technisch funktionieren soll.

Klar ist: Für einen biometrischen Abgleich braucht es eine Datenbank, die mit einem gesuchten Bild verglichen werden muss. Bisherige Systeme von privaten Firmen zur Gesichtssuche im Internet wie beispielsweise PimEyes funktionieren so, dass sie meist illegal alle möglichen Gesichtsbilder aus dem Internet sammeln, auswerten und die biometrischen Merkmale sowie die Fundstellen und Metadaten und Zusatzinformationen dieser Bilder in einer Datenbank hinterlegen. Suche ich nun nach einem Gesicht, werden die biometrischen Merkmale dieses Gesichts mit den in der Datenbank hinterlegten Daten abgeglichen – und die jeweiligen Ergebnisse ausgespuckt.

Bundesregierung will biometrische Fotofahndung im Netz

Ein durch AlgorithmWatch beauftragtes Gutachten hat festgestellt, dass ein biometrischer Abgleich zwischen Bildern gesuchter Personen und im Internet verfügbaren Fotos ohne Verwendung einer Datenbank nicht sinnvoll umsetzbar ist. Für die NGO ist damit klar, dass das Vorhaben verboten ist, weil die KI-Verordnung der EU eine mittels Künstlicher Intelligenz erstellte Gesichterdatenbank verbieten würde.

Ein Gutachten der Wissenschaftlichen Dienste des Deutschen Bundestages kommt allerdings zu einem leicht anderen Schluss. Demnach verbiete die KI-Verordnung nicht den Aufbau einer Datenbank, sondern nur das „ungezielte Auslesen von Gesichtsbildern mittels KI […], da es die Privatsphäre und den Datenschutz der Betroffenen erheblich beeinträchtigt und das Gefühl ständiger Überwachung erzeugt“.

Das in der KI-Verordnung festgelegte Verbot gelte demnach nur dann, wenn die Strafverfolgungsbehörden die Datenbanken mit Hilfe von KI-Systemen erstellen. Werden dafür keine solchen Systeme verwendet, greife die Verordnung nicht. Genau dieses Schlupfloch könnte die Bundesregierung nutzen wollen, sie lässt aber offen, wie das technisch funktionieren soll.

Auslagerung an Private als Schlupfloch?

AlgorithmWatch kritisiert, dass der Gesetzentwurf eine Art Auslagerungsbefugnis enthalte, für den Fall, dass Polizei- und Strafverfolgungsbehörden den Abgleich technisch nicht selbst durchführen können. Sie erlaubt ausdrücklich eine Übermittlung von Daten zum Zweck eines biometrischen Abgleichs an öffentliche Stellen und private Anbieter sowohl im Inland als auch im Ausland sowie innerhalb wie außerhalb der Europäischen Union.

Auch das könnte ein Schlupfloch sein. Die NGO sagt dazu: „Eine Erlaubnis für solch eine Auslagerung des biometrischen Abgleichs ins (Nicht-EU-)Ausland führt sämtliche durch die Gesetzestexte eingeführten Beschränkungen ad absurdum.“ Damit würde  der in den Gesetzentwürfen beschriebene Vorgang des Löschens aller verarbeiteten Daten nach jeder einzelnen Suchanfrage zur theoretischen Fassade, heißt es in der Stellungnahme. „Aus diesem Grund, so die Vermutung, wird auf die Übermittlung von Daten an Dritte verwiesen, welche den Abgleich im Auftrag deutscher Behörden durchführen würden. Ins Spiel kommen könnten dann solche Anbieter wie PimEyes oder Clearview AI.

Der Staat dürfe aber, so die Stellungnahme, selbst keine rechtswidrigen Angebote Dritter nutzen. „Ein Delegieren der Umsetzung ins Ausland stellt entsprechend keine europa- und grundrechtskonforme Lösung dar.“ Dazu komme, dass derart  schwerwiegende Grundrechtseingriffe nicht an private Unternehmen oder öffentliche Stellen in Drittstaaten ausgelagert werden dürften.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

KI-Unternehmen kreieren Mythen um sich und ihre Produkte. So entziehen sie sich der Verantwortung für Probleme, die sie selbst geschaffen haben. Und wir lassen es ihnen durchgehen. Mark Twain wäre das wohl nicht passiert.

Es war einmal ein Junge, der hatte etwas ausgefressen, und als Strafe dafür wies ihm seine Tante eine besonders harte Strafe zu: Samstags, wenn die anderen Jungs im Fluss schwimmen durften, sollte er den riesigen Zaun vor dem Haus seiner Tante Polly streichen. Er hat eben missmutig mit der Arbeit begonnen, als sein Kumpel Ben vorbeikommt. Der verspottet ihn wegen der mühseligen Arbeit. Doch unser Junge ist schlau: „Das macht doch keine Mühe, das ist der reine Spaß! Wann kann man schon mal ganz allein solch einen großen Zaun streichen?!“

Da staunt Ben – denn Spaß will jeder haben. Statt Plackerei die reine Freude? Ben bettelt geradezu, mitmachen zu dürfen. Er zahlt sogar dafür. Einen saftigen Apfel. Und er streicht wie ein Verrückter, während unser Held im Schatten liegt. Nach und nach kommen noch mehr Willige, und sie alle geben einiges dafür, den Zaun Tante Pollys streichen zu dürfen. Abends ist unser Freund reich – seine Taschen sind voller kleiner Schätze.

Dieser Einstieg für die heutige Degitalisierung ist ein abgewandeltes Zitat eines Essays von Wolf Lotter aus einer Brand Eins von 2007 mit dem Titel Elementarteilchen [€]. Damals ging es um die Beschreibung der Funktionsweise des Web 2.0. User würden mehr oder weniger freiwillig sogar dafür bezahlen, die Arbeit anderer Leute machen zu dürfen.

Lotter greift einen Vorgang auf, den Mark Twain „Das ruhmreiche Zaunweißen“ nannte, ein lehrreiches Stück aus seinem Romanepos „Tom Sawyer“. Das war 1876. Heute ist 2026, und diesen Prozess, an dem sich im Wesentlichen nichts geändert hat, nennt man Künstliche Intelligenz.

Im Zeitalter der sogenannten Künstlichen Intelligenz ist das aber alles viel besser, oder? Agentische KI macht ja jetzt die Arbeit und wir können die Füße hochlegen, oder? Natürlich nicht. Die Genese heutiger Systeme künstlicher Intelligenz ist leider wieder nur eine andere Art des ruhmreichen Zaunweißens. Immer wieder. In dieser Episode geht es mehr oder weniger um die Schaffung eines Mythos – oder um den Mythos um Anthropics Mythos aus Anlass aktueller Ereignisse.

Militär und Maven

Die Ereignisse, bei denen Menschen freudig und freiwillig die eigentliche Arbeit anderer machen, beginnen im Kontext Anthropic im Januar 2026 mit einem Streit zwischen Anthropic und dem amerikanischen Verteidigungsministerium. Dem vorausgegangen war eine vertragliche Vereinbarung von Googles Gemini für eine neue militärische KI-Plattform mit dem Titel GenAI.mil im Dezember 2025. Im Januar kam es dann zum Bruch von Anthropic und dem Pentagon, wegen der Weigerung Anthropics, seine Technologien für autonome Waffen oder Massenüberwachung freizugeben. Anthropics Technologien wurden dann zum Lieferkettenrisiko seitens des Pentagons erklärt und OpenAI sprang in die Bresche als neuer Technologielieferant.

Das erste ruhmreiche Zaunstreichen im Sinne Anthropics begann dann in der Folge dieser Ereignisse. Abos von OpenAIs ChatGPT wurden massenhaft gekündigt – Hashtag Cancel ChatGPT – und die Öffentlichkeit und Medien schwangen gleich freudig die Pinsel am Zaun mit. Man müsse jetzt gleich Abos bei OpenAI kündigen, forderte etwa der Guardian. Viele ehemalige OpenAI-Kund*innen wanderten ab zu Anthropic.

Das ist am Ende aber leider nur scheinheiliges Zaunstreichen für ein weiteres Big-Tech-Unternehmen, das nur auf eine andere Art problematisch ist. Kriegsführung ist inzwischen an vielen Fronten von KI-Technologie durchzogen, sei es in Gaza, in der Ukraine oder jetzt im Iran. Die Markierung und Auswahl von militärischen Zielen hat sich durch KI stark beschleunigt, es werden mehr Ziele schneller angegriffen und die Kollateralschäden in der Zivilbevölkerung nehmen damit eher zu.

Anthropic für Verantwortungsbewusstsein zu feiern beim Aufzeigen von Grenzen für die militärische Nutzung ist also etwas arg einfältig. Die militärische Initiative des Pentagons namens Maven, die KI mehr und mehr in militärische Operationen einbinden wird, basiert zwar im Kern auf Software von Palantir – Palantir hat aber Schwierigkeiten, Technologie von Anthropic nach dem Disput mit dem Pentagon wieder aus Maven zu entfernen. Weil Anthropics Claude eben schon sehr lange tief mit militärischen Anwendungsfällen verwoben ist und aktiv genutzt wird, etwa wohl auch bei der US-Militäroperation zur Festnahme des venezolanischen Präsidenten Nicolás Maduro.

Kein amerikanisches Big-Tech-Unternehmen kann also wegen seines Pazifismus gefeiert werden. Sie sind alle ähnlich tief in den Bereich des Militärs oder der Geheimdienste verstrickt, behaupten nur mehr oder weniger lautstark, zu den Guten zu gehören. Öffentlichkeit und Medien haben Anthropic aber aktiv geholfen, den eigenen Zaun weiß zu streichen beziehungsweise sich eine weiße Weste nach außen hin zu geben.

Mythos und Marketing

Inmitten dieser Melange aus Hype und verzerrter Außendarstellung kommt nun ein Mythos um ein neues KI-Modell namens Mythos. Das ist im Wesentlichen erst einmal im Kern ein neues Large-Language-Modell, wie so häufig, besser in diversen synthetischen Benchmarks. Aber besonders viel besser in der Fähigkeit, Sicherheitslücken in Software zu finden. Oder um es mit den Worten von Anthropic zu sagen: „strikingly capable at computer security tasks“.

Das Bemerkenswerte ist jetzt, ohne auf die eigentlichen Fähigkeiten eingehen zu müssen, der Hype um diese Ankündigung. IT-Security ist normalerweise ein Feld, in dem es eine konstante Bedrohungslage mit diversen Sicherheitsrisiken gibt, die im täglichen Arbeiten so negativ aufstoßen können. Datenleaks, DDoS-Angriffe, Zero-Day-Exploits, kann alles täglich passieren.

Daher ist es oftmals sinnvoll, nicht in Alarmismus zu verfallen, weil das Bedrohungen nicht weniger bedrohlich macht, sondern eher den Blick auf das Wesentliche verstellt und passende Gegenhandlungen wegen Hektik und Anspannung verlangsamt. Die Kommunikation um Mythos wird aber selbst zu einer Art Mythos erhoben. Da ist dieses mythische neue Sprachmodell, das ab morgen alle Computersysteme unsicher macht – überspitzt gesagt, aber nicht weit entfernt von der medialen Darstellung.

Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, ließ sich zu einem Endorsement unter öffentlicher Nennung eines noch nicht neutral geprüftem Produkts eines kommerziellen, ausländischen Herstellers hinreißen, das für eine ansonsten eher um Neutralität bemühte Bundesbehörde doch eher selten ist: Das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“. Selbst wenn es so ist, tut das Feld der Informationssicherheit auch hier gut daran, nicht wieder den Zaun für andere zu weißen.

Die Kommunikation um die Security-Fähigkeiten von Mythos ist eher Doomsday-Marketing [€] und führt vor allem bei vielen für die IT-Sicherheit Verantwortlichen zum Kampf gegen FUD – Fear, Uncertainty und Doubt sowie eben Untergangsszenarien. Eigentlich gibt es schon länger entsprechend fähige KI-Modelle, die Lücken wie die von Mythos bisher wohl finden können, eventuell nur mit einem etwas spezifischeren Kontext und einem engeren Scope der automatisierten Analyse.

Und nicht jede der von Anthropic präsentierten Lücken ist gleich ein Riesenproblem, wie etwa Red Hat für den Linux-Kernel erklären muss. Die reißerische und mythische Kommunikation von Anthropic selbst blockiert also erst einmal Kapazitäten bei IT-Security-Expert*innen, die wesentlich besser im Absichern von Software und Prozessen zur Absicherung gebraucht werden können. Aber viele Medien pinseln lieber weiter am Zaun mit.

Gesetzt den Fall, der Hype um Mythos ist, sagen wir mal, auch nur zu einem Zehntel berechtigt, dann ist doch die Frage angebracht, wie wir mit der Situation umgehen sollten, damit kein globales IT-Sicherheitsdesaster droht. Auch hier geht vieles leider in Richtung Zaunweißen, weniger in eine faire Kooperation zur Verbesserung der IT-Sicherheit. Dieser Aspekt ist weniger in Technologie begründet, sondern eher in der soziologischen Wirkung von KI auf IT-Security und Programmierung.

Glasswing und Hollowing

Als besonders – aus Eigensicht – verantwortungsbewusstes KI-Unternehmen geht Anthropic mit Mythos ja sorgsam um. Mythos wird aus Sicherheitsgründen erst einmal nicht öffentlich zur Verfügung gestellt. Mit Project Glasswing wolle man Unternehmen und wichtigen Open-Source-Maintainern dabei helfen, durch geregelten Zugang auf Mythos-Systeme durch automatisierte Analysen auf Lücken prüfen und diese somit besser absichern zu können. Auffällig ist bei der Auswahl der Unternehmen ein gewisser Hang zu „America First“, da es sich hauptsächlich um Unternehmen mit Hauptsitz in den USA handelt wie Apple, Google, Nvidia, Broadcom und Microsoft. Indirekt findet hier durch eine Vorauswahl eines Privatunternehmens und der Regierung in den USA ja auch eine gewisse geopolitische Vorentscheidung statt. Sichere Software gibt es in Zukunft auch „America First“?

Wenn Erkenntnisse aus Glasswing auf eine Open-Source-Community treffen, ist aber nicht unbedingt mit Freudenschreien zu rechnen. Der gesamte KI-Hype in der Softwareentwicklung hat vielen Open-Source-Maintainern eher offensiv in die Fresse geschlagen, um das deutlich zu sagen.

Da ist zum Beispiel ein Stellenabbau von 75 Prozent bei dem Start-up hinter dem CSS-Framework Tailwind, auch wegen immer mehr Sprachmodellen, die bisher auskömmliche Zusatzangebote wie Servicedienstleistungen oder Premium-Abos zu Tailwind immer uninteressanter machen. Bug-Bounty-Programme, die kleine finanzielle Belohnungen für gemeldete Sicherheitslücken zahlen, müssen schließen wegen zu viel AI Slop, also schlechten oder sinnfreien Beiträgen. Beispiele dafür sind etwa das Schließen des Internet Bug Bounty oder des Bug-Bounty-Programms hinter curl, dort als Versuch, das „Terror Reporting“ einzudämmen. Dazu musste das größte Code-Repository der Welt, GitHub, jüngst eingestehen, dass die KI-Welle eine Art „Eternal September“ eingeläutet habe, also einer Menge neuer, aber eher ungeeigneter Beiträge auf der Plattform – nicht zuletzt durch die durch GitHub selbst bereitgestellten KI-Assistenten wie GitHub Copilot.

Dazu werden Open-Source-Lizenzen, im Open-Source-Bereich eine oftmals fast schon unantastbare Vereinbarung von Nutzungsbedingungen, aktiv durch sogenannte „Clean Room“-Neuentwicklungen wie bei chardet unterwandert.

Programmier*innen hingegen beginnen im Job durch wachsenden KI-Einsatz immer mehr auszubrennen, wie sich etwa auf Plattformen wie Reddit zunehmend kundtut. Im Arbeitsmarkt, etwa in der Schweiz, deutet sich bei Software-Entwickler*innen eine steigende Arbeitslosigkeit in bestimmten Altersgruppen an. Programmieren als Job durchläuft eine Phase des Hollowing-out – speziell wegen KI.

Genau in diese schwierige Phase, insbesondere für Open-Source-Maintainer, kommt nun also ein gehyptes Modell, das Hunderte neue Sicherheitslücken androht, die unbedingt ganz schnell gepatcht werden müssen. Sicherheit von Open-Source-Projekten ist schon immer eine undankbare Aufgabe, wie auch die in Project Glasswing eingebundene Linux Foundation schreibt. Soll nun dafür irgendwer dankbar sein, wenn eine Technologie erst die Grundlagen der etablierten Zusammenarbeit angreift und dann auch noch eine Flut von neuer Arbeit beschert?

Das ist in etwa so, als würde Tante Pollys Zaun von Tausenden Freiwilligen überrannt werden, die wild durcheinander versuchen, den Zaun zu weißen. Mit der Entspannung und dem Spaß wäre es dann auch für Tom Sawyer vorbei.

Mögliche Verbesserungen durch von KI generierte Patches sind eher schwierig an Open-Source-Maintainer heranzutragen, solange KI-Unternehmen nicht glaubwürdig mit der Open-Source-Community und deren Werten und Zielen übereinkommen. Bisher ist das gehörig gescheitert.

Dennoch stellt sich Anthropic selbst als besonders verantwortungsbewusstes Unternehmen dar, in etwa so, wie OpenAI das schon seit Jahren immer wieder tut.

Milliarden und Verantwortung

OpenAI hat immer wieder in seiner Geschichte die PR-Strategie verfolgt, wie Anthropic es jetzt tut, und auf die Gefahren seiner neuen Produkte selbst hingewiesen – allerdings oft, um selbst einen Mythos um seine Produkte zu erzeugen.

Bei OpenAI war das beim Modell zum Klonen von Stimmen namens Voice Engine schon 2024 der Fall. Zu gefährlich, um es auf den Markt zu bringen, so die Eigenaussage.

Auch 2019 wurde der Release von GPT-2 von OpenAI mit einer „zu gefährlich“-PR-Strategie begleitet. Bemerkenswert ist dabei aus heutiger Zeit weniger das Kommunikationsmuster, sondern das, was im Juni 2019 im Repräsentantenhaus in einem Ausschuss anlässlich der Gefahr von Fake Media und KI von OpenAI-Vertretern zu den Akten gegeben wurde. Auch damals gab es bereits „staged releases“ in Form von kleineren Modellen, denen dann schrittweise größere Modelle folgten. Die Herangehensweise von Anthropic bei Mythos ist also nicht neu.

Interessant ist aber das damalige Eingeständnis, dass es schwer werden dürfte, KI-Technologie kontrollieren zu können.

In Bezug auf Stimm-Klon-Software etwa stellte OpenAI fest:

Viele der Kontrollmöglichkeiten sind weniger technischer Natur, im Gegensatz zu den Systemen, die die Technologie umgeben. (Eine Möglichkeit, sich zum Beispiel gegen Menschen zu schützen, die bei Telemarketing-Betrug KI-synthetisierte Stimmen einsetzen, besteht darin, es Kriminellen einfach schwerer zu machen, Telefonnummern zu fälschen.)

Stimmsynthesierungssoftware können wir natürlich voll funktionsfähig entwickeln, wir können sie jedoch nicht kontrollieren. Aber vielleicht löst mein Problem ja die Telefongesellschaft? – Wie sehr kann man sich aus der Verantwortung stehlen wollen?

Eigentlich sind aus Sicht von KI-Unternehmen die Kontrollmöglichkeiten somit gar nicht innerhalb der Technologie möglich, die sie mit viel Aufwand erschaffen, also vor allem mit viel, viel Geld. Das ist alles nicht möglich trotz in der Genese von KI bereitwillig ignorierten Problemen, die einer Art von Kontrolle unterliegen hätten können, wie etwa digitalem Kolonialismus, immensem Ressourcen- und Energieverbrauch, hoher Machtkonzentration, ungehemmter Datenkonsum, Wegbereitung des Faschismus, Plagiarismus und Desinformation. Alles Probleme, die bei der Schaffung von KI-Technologie ja bislang schweigend akzeptiert oder sogar erst geschaffen wurden. Alles nicht kontrollierbar? Falls aber mal jemand auf nur eines oder zwei dieser Probleme hinweist, wie etwa die Nutzung urheberrechtlich geschützter Inhalte im Falle der britischen Regierung, ist das dann alles zu teuer.

Das Grundproblem bislang jeglicher Technologie auf Basis von KI ist es immer wieder gewesen, die Technologie und die damit verbundenen Macher*innen selbst als unschuldig zu sehen. CEOs von KI-Unternehmen wie Sam Altman von OpenAI oder Dario Amodei von Anthropic tragen die Verantwortung für Multi-Milliarden-Unternehmen, scheren sich aber einen feuchten Kehricht um die Wirkung ihrer Technologien. Sie externalisieren ihre Probleme, internalisieren aber den Gewinn.

Jegliches Commitment zu „Sicherheit“ und „Verantwortung“ ist nicht mehr als ein PR-Stunt, bei dem viele Externe auch noch fleißig den Pinsel schwingen, um den Zaun zu weißen. Für Unternehmen, denen lange Jahre lang schon viel zu viel durchgehen gelassen wurde. Das ist bei Mythos nicht viel anders als bei all den vermeintlich guten, aber letztlich schädlichen „KI-Innovationen“ der Jahre zuvor.

Denn letztlich geht es KI-Unternehmen oft nur um ihr oftmals fragiles Ego. Wir sollten daher alle damit aufhören, ihnen auch noch freudig den Zaun zu weißen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 15. Kalenderwoche geht zu Ende. Wir haben 17 neue Texte mit insgesamt 159.201 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

es war mal wieder eine „Databroker-Woche“ bei netzpolitik.org – und so langsam nervt mich dieser Satz, der regelmäßig in unserer Redaktion zu hören ist. Und das, obwohl ich selbst ständig über das Thema schreibe. Die ausufernde Tracking-Industrie, der unkontrollierte Handel mit unseren Daten, sie beschäftigen uns seit Jahren. Wir treiben die Debatte dazu voran wie wohl kein anderes deutschsprachiges Medium. Nur langsam frage ich mich: Soll das ewig so weitergehen?

Aber der Reihe nach. Eigentlich waren es ja drei begrüßenswerte Anlässe, aus denen wir diese Woche über das Thema berichtet haben.

Erstens haben unsere Kolleg:innen vom Bayerischen Rundfunk die sehr sehenswerte ARD- und Arte-Doku „Gefährliche Apps: Im Netz der Datenhändler“ veröffentlicht. Mein Kollege Sebastian und ich arbeiten seit mehr als zwei Jahren mit ihnen an den „Databroker Files“. Der Film erzählt von unseren Recherchen und den sehr konkreten Gefahren, die etwa von vermeintlich harmlosen Tracking-Daten ausgehen und unterschiedliche Menschen wie zum Beispiel eine Journalistin oder ukrainische Soldaten betreffen.

Zweitens schreiten Ermittlungen von Datenschutzbehörden gegen zwei deutsche Apps voran, die unsere Databroker-Files-Recherchen ausgelöst haben. Die Behörden sind sich inzwischen sicher, dass eine Wetter-App und eine Dating-App, beide mit Millionen Nutzer:innen, datenschutzwidrig genaue Standortdaten verarbeitet und an Dritte weitergegeben haben. Konsequenzen hat das bislang aber noch nicht, die Verfahren laufen noch.

Drittens haben das Citizen Lab, der Wiener Tracking-Forscher Wolfie Christl und der ungarische Journalist Szabols Panyi eine bemerkenswerte Recherche veröffentlicht. Sie können am Beispiel einer US-Überwachungsfirma detailliert aufzeigen, wie Daten aus dem Ökosystem der Online-Werbung für Geheimdienste und andere Behörden nutzbar gemacht werden. Und sie berichten, dass die Produkte dieser Firma nicht nur von Trumps paramilitärischer Abschiebetruppe ICE genutzt werden, sondern auch von der ungarischen Regierung angeschafft wurden. Dort finden am Sonntag Wahlen statt und Viktor Orbán kämpft mit allen Mitteln um den Machterhalt.

Ein komplettes Versagen von Datenschutz, Politik und Medien

Ich bin angesichts dieser Ereignisse diese Woche hin- und hergerissen. Einerseits freue ich mich über aufklärende Recherchen, Public-Value-Journalismus und konkrete Konsequenzen. Andererseits bin ich frustriert, dass es all das noch immer braucht. Wir haben doch eigentlich bei diesem Thema längst kein Erkenntnis-, sondern ein Umsetzungsdefizit.

Juristisch gibt es – soweit ich weiß – wenig Zweifel daran, dass das umfassende Tracking durch ein riesiges, undurchsichtiges Firmennetzwerk ebenso illegal ist wie der Handel mit den dabei erfassten Daten. Doch die Datenschutzbehörden kommen nicht hinterher.

Die Wissenschaftlichen Dienste des Bundestages haben zudem klargestellt, dass eine Nutzung solcher Daten durch staatliche Stellen im besten Fall auf wackeligen Füßen stünde, wahrscheinlich aber doch eher überwiegend ebenfalls illegal wäre. Doch die Bundesregierung schweigt einfach dazu, ob auch deutsche Sicherheitsbehörden kommerzielle Daten nutzen.

Wir erleben bei diesem Thema ein komplettes Versagen von Datenschutz, Politik und leider auch von vielen Medien.

Also was tun? Digitale Selbstverteidigung geht immer. Aber eigentlich müsste man das Problem ja politisch angehen. Doch Regulierung, womöglich sogar Verbote bestimmter Geschäftspraktiken, das ist momentan einfach nicht angesagt. Als wir im Sommer 2024 die ersten Storys der Databroker Files veröffentlichten, gab es große Bestürzung in allen demokratischen Parteien. Heute haben wir eine Bundesregierung, die sich in Brüssel dafür einsetzt, dass der Datenschutz möglichst mit dem Vorschlaghammer reformiert – also abgebaut – wird. Die Datenindustrie macht derweil munter weiter.

Deshalb machen auch wir weiter, decken auf und erzeugen Druck. Wir lesen uns also sicher bald wieder, wenn es mal erneut heißt: Databroker-Woche bei netzpolitik.org.

Danke für eure Unterstützung bei der journalistischen Sisyphusarbeit!
Euer Ingo

---

Trugbild: Den Teufel mit Beelzebub austreiben

Ein Verbot sozialer Medien löst nicht die fundamentalen Probleme von Jugendlichen. Die Debatte ist vielmehr Ausdruck einer sozio-ökonomischen Krise – und könnte den Befürwortern an der Wahlurne sogar schaden. Von Vincent Först –
Artikel lesen

Frauenhäuser: „Ausklinken darf nicht die Lösung sein“

Versteckte Tracker, geteilte Clouds und überwachte Schul-iPads: Digitale Gewalt ist Alltag in Frauenhäusern. Isa Schaller erklärt, wie Tools missbraucht werden – und was es für einen besseren Schutz der Betroffenen braucht.

 Von Sophie Tiedemann –
Artikel lesen

Große ARD-Doku: Achtung, Datenhandel! Lebensgefahr!

Erhoben zu Werbezwecken, verschleudert im Internet: Standortdaten aus der Werbe-Industrie können Menschen gefährden. Das zeigt die ARD-Doku „Gefährliche Apps“, die nun online ist. Sie beruht auf den Recherchen von netzpolitik.org und Bayerischem Rundfunk zu den Databroker Files. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Wegen Handy-Standortdaten: Wetter Online droht Bußgeld

Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Alterskontrollen: Social-Media-Verbot lässt Bundesregierung ahnungslos zurück

Die Bundesregierung weiß nicht, ob ein Social-Media-Verbot für Minderjährige wissenschaftlich ratsam wäre. Sie weiß auch nicht, ob der Eingriff in Grundrechte verhältnismäßig wäre – oder ob sie das Verbot überhaupt will. Das zeigt die Antwort auf eine Kleine Anfrage der Linken. Von Sebastian Meineck –
Artikel lesen

Freiwillige Chatkontrolle: Big Tech will ohne Rechtsgrundlage weiterscannen

Am Wochenende ist die Ausnahmeregelung für die freiwillige Chatkontrolle ausgelaufen. Doch große Tech-Unternehmen wie Google, Meta oder Microsoft wollen weiter massenhaft die private Kommunikation ihrer Nutzer:innen scannen. Von Markus Reuter –
Artikel lesen

Recht auf Breitband: Lauter Einzelfälle

Bevor das Recht auf einen zeitgemäßen Internetanschluss greift, springt wohl zunehmend der Satellitenanbieter Starlink ein. Doch wie oft das tatsächlich vorkommt, kann die Bundesregierung nicht beantworten. Von Tomas Rudl –
Artikel lesen

Gesetzentwurf: So will Gesundheitsministerin Warken ihre Digitalstrategie umsetzen

Das Bundesgesundheitsministerium will die Digitalisierung im Gesundheitswesen rasch voranbringen. Ein Gesetzentwurf definiert dafür die Rolle der elektronischen Patientenakte um, weitet die Nutzung von Gesundheitsdaten erheblich aus und gibt der Gematik neue weitreichende Befugnisse. Wir veröffentlichen den Gesetzentwurf. Von Daniel Leisegang –
Artikel lesen

Kafka und Künstliche Intelligenz: Die Sehnsucht nach totaler Souveränität

Mit Hilfe von KI-Agenten sollen Einzelpersonen schon bald Unternehmen mit Milliardenbewertung aufbauen. Das klingt verführerisch, weil es einer prometheischen Sehnsucht nach totaler Souveränität schmeichelt. Allerdings wusste schon Franz Kafka, dass Ein-Personen-Unicorns mythische Wesen sind. Von Gastbeitrag, Anselm Küsters –
Artikel lesen

KI-Risiken: Breites Bündnis warnt vor verwässerten KI-Regeln

Die geplante „Vereinfachung“ der europäischen KI-Verordnung könnte den Schutz von Verbraucher:innen vor der Technologie erheblich schwächen. Ein breites Bündnis von 32 Organisationen warnt insbesondere vor Lücken bei Medizingeräten und Spielzeug. Von Anna Ströbele Romero –
Artikel lesen

Grundrechte: Zwei Insider berichten vom Europäischen Datenschutzbeauftragten

Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen. Von Constanze –
Artikel lesen

Digitale Überwachungsbefugnisse: Schwarz-rotes Sicherheitspaket „zum Großteil verfassungswidrig“

Die Kritik am Überwachungspaket der Bundesregierung reißt nicht ab. Die Gesellschaft für Freiheitsrechte warnt vor „Eingriffen in die Grundrechte aller Menschen“ und „mächtigen Überwachungsmaßnahmen“. Von Markus Reuter –
Artikel lesen

Widerstand gegen Big Tech: „KI wollen wir in unserer befreiten Welt nicht haben“

KI sei verfänglich für faschistische Ideologien und gehe mit autoritären Machtzentren einher. Große Plattformen wie ImmobilienScout24 und Doctolib machen Profit mit Grundbedürfnissen der Menschen. Zwei Aktivist*innen schlagen im Interview konkrete Schritte hin zu einer demokratischen digitalen Teilhabe vor. Von Timur Vorkul –
Artikel lesen

Nach unseren Recherchen: Datenschutzbehörde findet gravierende Verstöße bei bekannter Dating-App

Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Vor Schicksalswahl: Orbán-Regierung soll neuartige Überwachungsprogramme angeschafft haben

Die US-Firma Penlink verkauft Überwachungstechnik, die auf Werbe-Tracking basiert. Nach Trumps Abschiebemiliz ICE hat offenbar auch die ungarische Regierung Lizenzen gekauft. Kurz vor der Wahl könnte sie damit gegen Opposition und Medienschaffende vorgehen. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Hype um Prediction Markets : Wetten, dass Jesus vor 2027 zurückkehren wird

Prediction Markets sind in vielen Ländern illegal. Das Wetten auf zukünftige politische und gesellschaftliche Ereignisse wird aber immer populärer. Dabei sind die Wetten manipulationsanfällig und ethisch teilweise höchst fragwürdig. Von Denis Glismann –
Artikel lesen

Studie der Medienanstalten: Debattenkultur im Netz erodiert

Die Bereitschaft, sich an Debatten in Sozialen Medien und in Online-Kommentarbereichen zu beteiligen, sinkt. Ein zentraler Grund dafür ist die Diskursqualität, die zunehmend als negativ wahrgenommen wird, so das Ergebnis einer Studie der Medienanstalten. Von Denis Glismann –
Artikel lesen

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Bereitschaft, sich an Debatten in Sozialen Medien und in Online-Kommentarbereichen zu beteiligen, sinkt. Ein zentraler Grund dafür ist die Diskursqualität, die zunehmend als negativ wahrgenommen wird, so das Ergebnis einer Studie der Medienanstalten.

Plattformen-Nutzer:innen und Social-Media-Redakteur:innen sind sich offenbar gleichermaßen einig: Die Debattenkultur im digitalen Raum verschlechtert sich zunehmend. Zu diesem Ergebnis kommt die „Transparenz-Check“-Studie der Medienanstalten. Konstruktive Debatten seien online demnach „kaum noch möglich“ und würden zum Teil gar als unwillkommen wahrgenommen. Dennoch wünsche sich eine deutliche Mehrheit der Befragten einen konstruktiven Austausch.

Mit der als negativ wahrgenommenen Diskursqualität sinkt offenbar auch die Bereitschaft, in den Kommentarspalten mitzudiskutieren. Der häufigste Grund dafür sei die aggressive Stimmung. Dementsprechend werde der respektvolle Umgang miteinander als zentral dafür angesehen, sich mehr zu beteiligen.

Zur Meinungsfreiheit im digitalen Raum liegen bei den Befragten zwei gegensätzliche Wahrnehmungen vor. Eine Gruppe versteht darunter, ohne Sorge vor Hass und Abwertung sprechen zu können. Die andere Gruppe will dagegen grundsätzlich alles ungehindert sagen dürfen. Besonders Menschen, die der AfD zuneigten, hätten das Gefühl, in ihrer Meinungsäußerung eingeschränkt zu sein. Wähler:innen der Linken oder der Grünen gaben dagegen häufiger an, frei artikulieren zu können.

Vertrauen in Soziale Medien ist sehr gering

Der Studie nach gibt es zwischen den Plattformen große Unterschiede. Im Vergleich zu Instagram würden Facebook und Twitter/X als wesentlich problematischer wahrgenommen – insbesondere von ehemaligen Nutzenden der Plattformen. Die schlechte Diskursqualität dort sei demnach einer der Gründe, warum Nutzende den Plattformen den Rücken kehren.

Facebook sei die Plattform, die am zweithäufigsten genutzt werde. Gleichzeitig ist sie die meistgenutzte Plattform, auf der Nutzende journalistische Beiträge lesen und kommentieren. Trotz Klarnamen werde die Atmosphäre dort aber als „toxisch“ wahrgenommen.

Das Vertrauen in die Sozialen Medien fällt insgesamt sehr gering aus. Dennoch gibt etwa ein Drittel der Befragten an, in den Kommentaren unter journalistischen Beiträgen bei Facebook, Instagram und YouTube mitzulesen.

„Vertrauen und Laune sinken nach dem Lesen von Kommentaren“

Ein Viertel derer, die aktiv kommentieren, wollen zumeist nur ihre Meinung äußern; knapp ein Viertel von ihnen will andere überzeugen und etwa jede achte Person möchte lediglich ihren Ärger kundtun. „Insgesamt überwiegen die negativen Auswirkungen von Diskursen in den Sozialen Medien“, so ein Fazit der Studie. „Extreme Meinungen überwiegen, Vertrauen und Laune sinken nach dem Lesen von Kommentaren.“

Allerdings zeigten die durchgeführten Experimente, dass eine erkennbare Moderation entscheidend dafür sein kann, dass die Diskursqualität positiver wahrgenommen wird. Je strenger moderiert wird und je konstruktiver der Austausch ist, desto respektvoller und ausgewogener wird der Diskurs wahrgenommen. Allerdings sind die Ressourcen für ein konstruktives Community-Management oftmals knapp.

Bei den Befragten bleibt unterm Strich eine Grundskepsis: Sie bezweifeln, dass Online-Diskurse überhaupt funktionieren und Kommentare zu neue Perspektiven führen können. Eine Mehrheit hat laut Studie das Gefühl, dass Online-Diskussionen spalten.

Desinformation und Bots

Die Anforderungen an das Community-Management sind in den vergangenen Jahren gewachsen. Verantwortlich dafür sind die steigende Zahl an Kommentaren und der zunehmend raue Tonfall. Zudem nehme der Anteil an Desinformation und Fake News zu.

Auch die Bedeutung von Bots hat die Studie unter die Lupe genommen. Insgesamt wurden vier Prozent der Kommentare als „wahrscheinliche Bot-Kommentare“ klassifiziert. Bei kontroversen Themen seien deutlich höhere Werte zu verzeichnen.

Eine Mehrheit der Befragten ist der Ansicht, aufgrund der Bot-Aktivität könnten sie sich im Netz inzwischen kaum noch mit echten Menschen austauschen.

Eine noch größere Rolle als die Bots spielen Trolle, Fake-Accounts und koordinierte Kommentar-Ströme. Diese würden laut den befragten Moderator:innen dazu genutzt, um den Verlauf von Diskussionen in Kommentarspalten gezielt zu beeinflussen.

Vorgehen der Studie

Der „Transparenz-Check“ der Medienanstalten ist dreistufig aufgebaut: Inhaltsanalyse, qualitative Tiefeninterviews und quantitative repräsentative Befragung.

Die Inhaltsanalyse zur Ermittlung der Rolle von Bots beruht auf Tausenden von Kommentaren unter insgesamt 39 Beiträgen von Bild, Der Spiegel, Süddeutsche Zeitung, Die Zeit sowie auf den Plattformen Facebook, Instagram und YouTube.

Elf Tiefeninterviews haben die Forschenden mit Personen aus Social-Media-Redaktionen, aus dem Community-Management sowie mit weiteren Expert:innen durchgeführt. Die quantitative repräsentative Befragung fand mit mehr als 3000 Internetnutzenden statt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Prediction Markets sind in vielen Ländern illegal. Das Wetten auf zukünftige politische und gesellschaftliche Ereignisse wird aber immer populärer. Dabei sind die Wetten manipulationsanfällig und ethisch teilweise höchst fragwürdig.

„Die langfristige Vision ist, alles zu finanzialisieren und aus jeder Meinungsverschiedenheit ein Handelsgut zu machen“, sagt Tarek Mansour, Mitbegründer und Geschäftsführer von Kalshi. Plattformen wie Polymarket und Kalshi ermöglichen potenziell das Wetten auf jedes zukünftige Ereignis.

Laut Schätzungen von Similarweb verzeichnete Polymarket im März 2026 etwa 45,3 Millionen Besuche. Die zunehmende Popularität gilt mitunter den Ereigniswetten, also dem Wetten auf den Eintritt oder eben das Ausbleiben jener Ereignisse.

Die Nutzer:innen entscheiden selbst, auf welche Ereignisse sie wetten möchten. „Wird Jesus Christus vor 2027 zurückkehren?“ – die Chance steht laut Polymarket bei vier Prozent.

„Dystopischer Todesmarkt“

In letzter Zeit häufen sich jedoch Berichte über weniger harmlose Wettangebote. Ereigniswetten betreffen beispielsweise auch den Beginn und das Ende von Kriegen – oder sogar den detaillierten Verlauf und konkrete Menschenleben.

„Ekelhaft“ nennt dies Seth Moulton, US-Kongressabgeordneter der Demokratischen Partei: Nachdem Iran ein US-Kampfflugzeug abgeschossen hatte und die Suche nach dem zweiten Piloten anhielt, hatten Nutzer:innen von Polymarket Wetten auf den genauen Tag seiner Bergung abgeschlossen. Polymarket hat das Wettangebot wenig später aufgrund von „Integritätsstandards“ zwar deaktiviert, doch Moulton konterte, es seien auf der Plattform weiterhin Hunderte solcher „Kriegswetten“ aktiv und Polymarket sei ein „dystopischer Todesmarkt“.

Das Wetten auf Raketeneinschläge ist ein Routine-Angebot auf Polymarket. Mitunter geht es um hohe Beträge. Die Wettenden gewinnen oder verlieren, wenn eine Rakete nicht abgefangen wird oder eben trifft. Das ist die definitorische Voraussetzung in der Rubrik „Militärschläge“: Es muss ein Treffer sein. Als Basis der Überprüfung dient, was in der Presse steht.

Emanuel Fabian, Journalist der Times of Israel, erfuhr dies auf unangenehme Weise. Er hatte im Laufe des 10. März 2026 ein „relativ unwichtiges Update“ zu einem bestätigten Raketentreffer veröffentlicht, sagt er dem Guardian. Kurz darauf erhielt er etliche Drohungen: „Dir bleiben noch 90 Minuten die Lüge zu korrigieren.“ Eine andere Person drohte laut dem Bericht: „Nachdem du uns 900.000 Dollar Verlust beschert hast, werden wir mindestens denselben Betrag investieren, um dich fertigzumachen.“

Die Spur der Drohungen führt auf Polymarket: Die Wetteinsätze für Raketeneinschläge, über die Fabian berichtete, beliefen sich am 10. März auf rund 23 Millionen US-Dollar. Drohungen dieser Art lassen laut Fabian die Prognose zu, dass Journalist:innen bald häufiger unter dem Druck stehen könnten, ihre Berichterstattung an das gewünschte Ergebnis von Wetten anzupassen. Denkbar ist, dass eine Beteiligung an Wetten eine falsche oder verzerrende Berichterstattung befördern könnte.

Manipulation und Insiderhandel schwer verhinderbar

„Gesellschaftswetten“ haben analog zum klassischen Finanzmarkt aber nicht nur das Problem ethischer Grundsätze, sondern auch von Insiderhandel. Darunter versteht man, dass Menschen mit Vor- oder Insiderwissen dieses am Markt gezielt ausnutzen, um Gewinne zu machen.

Am Tag vor den ersten Angriffen der USA und Israels auf den Iran platzieren mehr als 150 Polymarket-Accounts hohe Wetten, mit denen sie den Angriff noch wenige Stunden vorher richtig „vorhersagen“. Ein besonders auffälliger Account konnte über den Verlauf mehrerer Wetten 93 Prozent der unangekündigten US-Militärschläge korrekt prognostizieren. Kurz vor Beginn des Waffenstillstandes zwischen den USA und Iran wiederholte sich das Muster: Mindestens 50 neu erstellte Polymarket-Accounts wetteten mit hohen Einsätzen, nur wenige Stunden davor. Ein ähnlicher Vorgang hatte sich bereits im Januar kurz vor der US-Militäraktion in Venezuela zugetragen. Ein Account „antizipierte“ die Gefangennahme Maduros und konnte damit innerhalb weniger Stunden mehr als 400.000 US-Dollar Gewinn einfahren.

In einem anders gelagerten Fall hat ein Account eine Million US-Dollar durch das Wetten auf Googles „Year in Search 2025“ gewonnen. Die Erfolgsrate dabei: 22 von 23 Malen richtig „geraten“. Auf die Wallet dieses Accounts wurden vorher drei Millionen US-Dollar eingezahlt und sofort hohe Wettsummen platziert. Auch Googles Freigabedatum von Gemini 3.0 Flash hatte derselbe Account zuvor richtig prognostiziert.

Wer diese mutmaßlichen Insider:innen sind, ist nur schwer nachverfolgbar. Alle Polymarket-Accounts können anonym betrieben werden. Zudem laufen sämtliche Trades über die Plattform-eigene Kryptowährung. Geldflüsse lassen sich auf diese Weise offenbar leicht verschleiern. Dennoch sah sich die Trump-Regierung dazu genötigt, eigene Mitarbeiter:innen vor Insider Trading zu warnen, berichtet das Wall Street Journal.

Wir haben sowohl Polymarket als auch Kalshi Presseanfragen geschickt, auf die beide Unternehmen allerdings nicht reagiert haben.

In Deutschland verboten, in den USA Graubereich

In Deutschland sind sogenannte Gesellschaftswetten prinzipiell verboten, die Gemeinsame Glückspielbehörde der Länder (GGL) warnt vor der Teilnahme. In einer Mitteilung der Behörde heißt es:

Aufgrund der hohen Manipulationsgefahr sind solche Wetten laut § 3 Abs. 1 Satz 4 in Verbindung mit § 4 Abs. 5 des Glücksspielstaatsvertrags 2021 (GlüStV 2021) nicht genehmigungsfähig.

Wer bei Polymarket oder anderen Plattformen wettet, macht sich somit strafbar. Polymarket bietet ein deutsches User-Interface an, mit einer deutschen IP-Adresse lassen sich dort keine Wetten platzieren. Solches Geoblocking lässt sich allerdings technisch recht einfach umgehen.

In den USA ist die Rechtslage unübersichtlich. Die US-Aufsichtsbehörde „Commodity Futures Trading Commission“ (CFTC) untersagt im Prinzip das Wetten in Bezug auf Krieg, Terror und Attentate. Die US-basierte Plattform Kalshi hält sich daran, bei Polymarket zeigt sich jedoch ein anderes Bild. Die Wetten auf Kriegsereignisse laufen dort nicht über das US-Geschäft, sondern über die internationale Sparte des Anbieters. Sogenanntes „Offshore Trading“ macht es möglich.

Indes haben US-Kongressabgeordnete, darunter Chris Murphy (Demokratische Partei), neue Gesetzesvorschläge eingebracht. Das Wetten auf Regierungshandeln, Krieg, Terror und ähnliche Ereignisse soll demnach auf gesetzlicher Ebene verboten werden. Auch Ereignisse, die sich von Einzelnen leicht manipulieren lassen, sollen darunter fallen – beispielsweise, ob Trump im April das Wort „RINO“ verwenden wird.

Prinzipiell soll das gesetzliche Verbot von Insider Trading auf die Prediction Markets ausgeweitet werden. Eine Abgeordnetengruppe forderte die CFTC zudem dazu auf, bis zum 15. April eine Reihe von Fragen zu ihrer Aufsichtsrolle zu beantworten. Darunter auch, warum die Behörde nicht gegen kriegsbezogene Wetten vorgeht und ob es Interessenkonflikte zwischen Finanzmarkt-Akteuren und hochrangigen Regierungsmitgliedern gibt.

Aktuell ist jedoch mit wenig Gegenwind von US-Behörden zu rechnen. Während die Biden-Administration gerichtlich gegen Prediction Markets vorging, hat die Trump-Regierung die Untersuchungen gegen Polymarket einstellen lassen. Michael Selig, Vorsitzender der CFTC, sagte gar, unter seiner Leitung sei es den Predictions Markets möglich, in den USA „aufzublühen“.

Familie Trump will mitmischen

Indes hat die Familie Trump Pläne für eine eigene Prognoseplattform: „Truth Predict“. Donald Trump Jr. ist zudem nicht nur als Berater für Polymarket und Kalshi tätig, sondern hat mit seiner Investmentfirma 1789 Capital auch direkt in Polymarket investiert.

Da die neuen Online-Plattformen auch im Sportwettengeschäft regulärer Wettanbieter mitmischen und wenig reguliert sind, seien klassische Sportwettenanbieter laut CNN besorgt. Eine anonym bleibende Person aus der Branche sagte demnach, die Beteiligung der Familie Trump an Prognosemärkten sei ein „entscheidender Faktor in dieser politischen Angelegenheit“.

Abgeordnete der Republikanischen Partei zögerten offenbar, sich in Washington in einen Streit einzumischen, der dem Geschäft der Familie Trump schaden könnte.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die US-Firma Penlink verkauft Überwachungstechnik, die auf Werbe-Tracking basiert. Nach Trumps Abschiebemiliz ICE hat offenbar auch die ungarische Regierung Lizenzen gekauft. Kurz vor der Wahl könnte sie damit gegen Opposition und Medienschaffende vorgehen.

Die ungarische Regierung soll kürzlich Lizenzen für ein Überwachungsprogramm erworben haben, das Menschen mithilfe von Daten aus der Online-Werbeindustrie überwachen und verfolgen kann. Das hat am Donnerstag das ungarische Investigativmedium VSquare berichtet. Das Programm Webloc der US-Firma Penlink soll auf Daten von bis zu 500 Millionen Handys beruhen.

VSquare beruft sich auf eingesehene Dokumente und mehrere Quellen mit Verbindung zu ungarischen Geheimdienstkreisen. Die Enthüllung ist Teil eines größeren Berichts zu Penlink und Webloc, den gestern das Citizen Lab der Universität Toronto veröffentlicht hat.

In dem Bericht heißt es auf Englisch:

Unsere Untersuchungen zeigen, dass mittlerweile in mehreren Ländern weltweit Militär-, Geheimdienst- und Strafverfolgungsbehörden – bis hinunter zu lokalen Polizeieinheiten – äußerst invasive und rechtlich fragwürdige, werbebasierte Überwachungstechnik ohne richterliche Anordnung oder angemessene Kontrolle einsetzen.

Zu den bekanntesten Kunden von Penlink gehört die paramilitärische US-Abschiebebehörde ICE, die im Auftrag der Trump-Regierung massenhaft Menschen festnehmen und deportieren soll. Sie soll das werbebasierte Überwachungswerkzeug laut Medienberichten unter anderem nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.

Laut VSquare und Citizen Lab steht Webloc Ungarn mindestens seit 2022 zur Verfügung; zuletzt habe 2026 eine ungarische Sicherheitsbehörde neue Webloc-Lizenzen erworben. Es wäre der erste bestätigte Kauf eines werbebasierten Überwachungstools durch eine europäische Regierung. Auf unsere Presseanfrage hat die ungarische Regierung bis zum Zeitpunkt der Veröffentlichung nicht reagiert.

Standorte und Interessen: Diese Daten soll Webloc nutzen

Das Werkzeug Webloc ist offenbar eine Erweiterung für ein größeres Überwachungsprodukt namens Tangles. Das berichten die Forschenden des Citizen Lab mit Verweis auf gesammelte Dokumente und Verträge. Webloc soll demnach Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem gehören:

• genaue GPS-Standorte,
• die einzigartigen Werbe-Kennungen eines Geräts (mobile advertising IDs, kurz: MAID),
• Eckdaten zum Gerät wie Betriebssystem und weitere installierte Apps,
• Eckdaten zur Person, die das Gerät nutzt, wie Alter, Geschlecht, Sprache sowie
• Interessen der Person, sogenannte Zielgruppen-Segmente aus der Werbe-Industrie, zum Beispiel Vorlieben für Basketball oder Luxusgüter.

Eine Presseanfrage von netzpolitik.org zur Datengrundlage von Webloc hat die US-Betreiberfirma Penlink (früher: Cobweb Technologies) nicht beantwortet. Wir können deshalb nicht mit Sicherheit sagen, ob die beschriebene Datengrundlage zutreffend oder aktuell ist.

Die Liste der verfügbaren Daten ist zumindest plausibel. Denn genau solche Daten lassen sich aus der Online-Werbe-Industrie gewinnen. Das zeigen unsere Recherchen zum Datenmarktplatz Xandr, die von Zielgruppen-Segmenten handeln, und zu den Databroker Files, die den Handel mit Standortdaten in den Fokus nehmen.

Solche Daten werden angeblich nur zu Werbezwecken erhoben, etwa beim Bieten auf digitale Werbeplätze, dem Real-Time-Bidding. Weitere Daten können über sogenannte SDKs abfließen; das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen. Nicht alle Akteur*innen der Werbe-Industrie behandeln die Daten vertraulich.

Auf oftmals verschlungenen Wegen landen sie letztlich als Handelsware bei Databrokern – und von dort potenziell bei Unternehmen, die daraus Überwachungswerkzeuge bauen. Diese Form der Überwachung wird auch ADINT genannt, kurz für advertising-based intelligence, werbebasierte Aufklärung.

Bewegungsprofile: Das soll Webloc mit den Daten machen

Webloc soll die Arbeit mit den Daten mithilfe einer grafischen Oberfläche einfach machen, wie aus dem Bericht der Forschenden hervorgeht. Demnach sollen Kund*innen etwa suchen können, welches Handy in einem bestimmten Gebiet – oder in mehreren Gebieten – unterwegs gewesen ist. Außerdem sollen sich Nutzer*innen das Bewegungsprofil einzelner Handys anzeigen lassen können.

Als Beispiel zeigen die Forschenden den Screenshot aus der Produktpräsentation eines Drittanbieters, der die Fähigkeiten von Webloc darlegen soll. Der Screenshot zeigt die angebliche Route eines Handy-Nutzers auf einer Karte, basierend auf 39 Ortungen: Die Reise soll demnach von Deutschland über Österreich nach Ungarn geführt haben.

Zu den Fähigkeiten der Software hat sich Penlink auf Anfrage nicht geäußert. Grundsätzlich lassen sich Handy-Nutzer*innen jedoch mithilfe von Standortdaten der Werbe-Industrie auf genau diese Weise ausspionieren. Das interne Recherche-Werkzeug, das netzpolitik.org und Bayerischer Rundfunk für die Databroker-Files-Recherchen genutzt hat, hatte im Kern die gleichen Fähigkeiten.

Mit einem Werkzeug wie diesem lassen sich gezielt Personen oder Gruppen ins Visier nehmen, etwa Besucher*innen einer politischen Demo; Menschen, die in bestimmten Grenzregionen unterwegs sind, die bestimmte Parteizentralen oder Redaktionen besuchen und vieles mehr. In einem autoritären Regime ist das eine besondere Gefahr unter anderem für Aktivist*innen, Oppositionelle, Journalist*innen oder Migrant*innen.

Achtung, Datenhandel! Lebensgefahr!

Orbán muss um seine Macht bangen

Den Recherchen von VSquare und dem Citizen Lab zufolge gehörten mindestens drei ungarische Sicherheitsbehörden seit den frühen 2020er-Jahren zu den Kunden von Cobwebs Technologies, das inzwischen unter dem Namen Penlink firmiert: der Inlandsgeheimdienst Constitution Protection Office (AH), das für das Sammeln und Zusammenführen von Geheimdienstdaten zuständige National Information Center (NIC) sowie die Überwachungsbehörde Special Service for National Security (NBSZ).

Zum Portfolio von Cobwebs Technologies / Penlink sollen mehrere Werkzeuge gehören. NBSZ soll zuletzt im März 2026 Lizenzen für das werbebasierte Überwachungswerkzeug Webloc und weitere Programme erworben haben.

Die Enthüllungen kommen zu einem besonderen Zeitpunkt: Am kommenden Sonntag wählt Ungarn ein neues Parlament, und es sieht erstmals seit Langem so aus, als könnten Premier Viktor Orbán und seine Fidesz-Partei die Mehrheit verlieren. Umfragen sehen die TISZA-Partei von Herausforderer Péter Magyar deutlich vorne; nach 16 Jahren droht Orbán der Machtverlust.

Er und seine Fidesz-Partei haben das Land in den vergangenen Jahren zunehmend autoritär regiert. Die Regierung macht unabhängigen Medien und Nichtregierungsorganisationen die Arbeit schwer, hat Veranstaltungen wie die queere Pride-Demonstration in Budapest verbieten lassen und lässt kaum eine Gelegenheit aus, um Hetze zu verbreiten: etwa gegen die EU, die Ukraine, queere Menschen oder den jüdischen Philanthropen George Soros. Im Rahmen der Pegasus-Affäre kam 2021 ans Licht, dass mehrere ungarische Oppositionelle und Medienschaffende mit dem gleichnamigen Staatstrojaner überwacht wurden.

Brisant ist, dass die ungarische Regierung auch gegen den Journalisten Szabols Panyi vorgeht, der für VSquare zusammen mit dem Citizen Lab zu Penlink / Cobwebs Technologies in Ungarn recherchiert. Auch auf seinem Telefon wurde 2021 die Pegasus-Überwachungssoftware entdeckt. Kürzlich berichtete Panyi auf VSquare über zunehmenden russischen Einfluss auf Viktor Orbán – unter anderem soll Moskau ein Team des Militärgeheimdienstes GRU nach Ungarn geschickt haben, um den Wahlkampf mit Desinformation zu beeinflussen. Die Regierung wirft dem Journalisten Spionage für einen ausländischen Staat vor; die Polizei ermittelt gegen ihn.

Ein großes Arsenal digitaler Waffen

Neben ungarischen Behörden soll nach Recherchen des Citizen Lab auch die Polizei in El Salvador Webloc erworben haben, wie der Bericht unter Berufung auf geleakte Dokumente und einen Medienbericht festhält. Das Land wird seit 2019 von Präsident Nayib Bukele regiert, ebenfalls zunehmend autoritär. Eine Presseanfrage von netzpolitik.org ließ die betroffene Polizeibehörde unbeantwortet.

Außerdem listet der Bericht zahlreiche US-Behörden auf, von der lokalen bis zur Bundesebene, die Tangles-Lizenzen erworben haben sollen.

Entwickelt haben soll das werbebasierte Überwachungssystem das israelische Unternehmen Cobwebs Technologies. Es wurde 2023 von der US-Investmentfirma Spire Capital erworben und mit der Überwachungsfirma Penlink fusioniert, unter deren Namen die Geschäfte seitdem weiter laufen.

Neben Webloc sollen Penlink und Cobweb offenbar weitere mächtige Werkzeuge zur digitalen Überwachung im Angebot haben. Das Hauptprodukt heißt dem Bericht des Citizen Lab zufolge Tangles. Es soll etwa Soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kunden können demnach etwa nach Namen, Telefonnummern oder E-Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Dazu zählen auch Posts, Interaktionen mit anderen, besuchte Veranstaltungen oder Beziehungen zu anderen Nutzer*innen. Auch Gesichtserkennung und die automatisierte Analyse von Bildhintergründen, um Orte zu erkennen, sollen zum Produktumfang gehören.

Unsere Presseanfrage zu Tangles und weiteren Produkten ließ Penlink unbeantwortet.

Cobweb soll zumindest bis zur Fusion mit Penlink ein weiteres Produkt namens Trapdoor angeboten haben, berichtet das Citizen Lab. Das Programm wird als „Social-Engeneering-Plattform“ beschrieben, die Kund*innen bei Phishing-Angriffen unterstützen soll. Dem Bericht zufolge könne man mit dem Tool etwa Fake-Websites aufsetzen und Phishing-Links verschicken, um an Informationen und Zugangsdaten von Zielpersonen zu gelangen. Die Forschenden schlussfolgern, mit dem Werkzeug lasse sich die Installation von Malware auf dem Gerät eines Opfers erleichtern.

Das Citizen Lab beschreibt zudem das Cobwebs-Produkt Lynx, mit dem sich digitale Undercover-Operationen und Fake-Accounts in Sozialen Medien managen lassen sollen. Es soll unter anderem genutzt werden können, um sogenannte virtuelle Agenten zu steuern, mit denen Geheimdienste Gruppen im Netz infiltrieren. Auch für Lynx ist ungeklärt, ob es von Penlink übernommen wurde.

Keine Auskunft von der Bundesregierung

Mithilfe von 94 Informationsfreiheitsanfragen wollten die Forscher*innen des Citizen Lab in Erfahrung bringen, welche anderen europäischen Behörden zu den Kunden von Penlink oder Cobwebs gehören. Dabei bissen sie weitgehend auf Granit: „Viele Anfragen wurden abgelehnt oder blieben unbeantwortet“, schreiben die Forschenden. „Europol bestätigte, über Informationen zu Webloc zu verfügen, weigerte sich jedoch, diese offenzulegen.“

In Deutschland hatte zuletzt die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) Ende 2025 im Rahmen einer Kleinen Anfrage von der Bundesregierung unter anderem wissen wollen, ob Bundesbehörden wie das BKA Produkte von Cobwebs oder Penlink nutzen. Die Bundesregierung verweigerte die Auskunft. Ähnlich äußerte sich das Innenministerium nun auf eine aktuelle Presseanfrage von netzpolitik.org:

Die Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern (BMI) arbeiten zur Erfüllung ihrer gesetzlichen Aufträge auch mit kommerziellen Anbietern zusammen. Wir bitten um Verständnis, dass wir Ihnen zu Details der Beschaffung und des Einsatzes von entsprechender Software keine weiteren Auskünfte geben können.

Dass Deutschland für Penlink als Markt relevant sein könnte, darauf deutet ein weiterer Fund der Recherche des Citizen Lab: Seit 2020 unterhält Cobwebs in Deutschland ein Vertriebsbüro, das seit 2025 unter dem Namen Pen-Link GmBH firmiert.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen.

Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.

So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.

Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.

Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.

Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.

Datenschutzbehörde macht „besonders schwerwiegende“ Funde

In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.

Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.

Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.

Kontrollverlust beim Online-Dating

Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.

Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.

Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.

Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“

Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.

Datenhandel gefährdet alle

Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.

Achtung, Datenhandel! Lebensgefahr!

Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.

Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.

---

Hier sind alle Veröffentlichungen von netzpolitik.org zu den Databroker Files und hier die auf Basis der Recherchen entstandene ARD-Doku „Gefährliche Apps – Im Netz der Datenhändler“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

KI sei verfänglich für faschistische Ideologien und gehe mit autoritären Machtzentren einher. Große Plattformen wie ImmobilienScout24 und Doctolib machen Profit mit Grundbedürfnissen der Menschen. Zwei Aktivist*innen schlagen im Interview konkrete Schritte hin zu einer demokratischen digitalen Teilhabe vor.

Künstliche Intelligenz ist in aller Munde. Ihr wird nachgesagt, nicht nur Arbeitsprozesse zu vereinfachen und zu beschleunigen. Sie soll auch der Wirtschaft zu neuem Aufschwung verhelfen. Doch immer mehr kritische Stimmen greifen in die Debatte ein und beziehen eine klare Haltung gegen diese Technologie. Zwei von ihnen sind die Digitalexpert*innen Aline Blankertz und Malte Engeler.

Anlässlich der Konferenz „Cables of Resistance. Bewegungskonferenz gegen Big Tech“, die am Wochenende in Berlin stattfindet und mögliche Widerstandsstrategien gegen KI und große Plattformen ausloten möchte, haben wir mit ihnen gesprochen. Aline Blankertz ist angewandte Ökonomin und setzt sich für die demokratische Ausgestaltung von Wirtschaft ein, unter anderem im digitalpolitischen Kollektiv „Structural Integrity“. Sie ist an der Organisation der Konferenz beteiligt. Malte Engeler ist Jurist und Mitbegründer des digitalpolitischen Kollektivs.

Im Interview erklären sie, warum sogenannte KI besonders gut verfänglich für autoritäre Politiken ist, wie ihre Sabotage aussehen kann und wie die Gesellschaft wieder mehr demokratische Kontrolle über große Plattformen erreichen kann. Sie plädieren für eine politische Organisierung und die Vergesellschaftung von Plattformen, die solch essenzielle Bereiche der Daseinsvorsorge wie Wohnungssuche oder Arztterminbuchungen strukturieren.

„Künstliche Gebärmutter“ und KI haben den gleichen ideologischen Ursprung

netzpolitik.org: Was ist eigentlich eine „künstliche Gebärmutter“? Im Manifest der Konferenz ist die Rede davon.

Aline Blankertz: Die künstliche Gebärmutter ist eine Figur, die immer mal wieder rund um Elon Musk auftaucht. Dieser Idee des selektiven Pronatalismus liegt zugrunde, dass man stärker steuern möchte, wer Kinder bekommen darf. Die künstliche Gebärmutter ist das Mittel, um sich letztlich vom „weiblichen Körper“ lösen zu können. Es geht darum, aus einer weißen cis-männlichen Perspektive technisch steuern zu können, wohin es mit der Menschheit geht. Mein Verständnis ist, dass es diese künstliche Gebärmütter noch nicht technisch ausgereift gibt. Aber es laufen Forschungsprojekte, die das aktiv vorantreiben. Daneben existieren viele andere transhumanistische Projekte, wie zum Beispiel „Neuralink“, um menschliche Gehirne und Maschinen stärker miteinander zu verbinden.

In Europa ist es subtiler, aber viele dieser Entwicklungen hin zu solchen transhumanistischen Ideen ‒ also wie können Menschen mit technischen Upgrades besser gemacht werden ‒ sehen wir auch hier. Die künstliche Gebärmutter und die Brain-Computer-Interfaces unterscheiden sich zwar von KI, weil sie unmittelbarer auf die Ebene von Hardware und menschlichen Körpern setzen. Doch auch der KI-Diskurs hat den gleichen ideologischen Ursprung und wird technisch von denselben Menschen vorangetrieben.

„Diese Infrastrukturen kann niemand bei sich im Keller haben“

netzpolitik.org: Ist das der Grund warum ihr KI fundamental ablehnt? Und was versteht ihr unter KI genau?

Malte Engeler: Wenn wir von KI reden, dann meinen wir die in der Gesellschaft aktuell sehr präsente Form von KI: große Datenmodelle, die aus vorhandenen Datenquellen zukünftige oder neue Ergebnisse berechnen. Wir meinen maschinelles Lernen, das Menschen dazu nutzen, um neue Texte, Bilder, Videos oder Ton zu erstellen. Die Modelle werden auch in sozialen Situationen eingesetzt, um neue Entscheidungspunkte zu generieren. Zum Beispiel in militärischen Aktionen, in Verwaltungsentscheidungen oder zur Benotung im Bildungswesen. Es geht also um eine Technologie, die auf Basis einer immensen Datenmenge Muster erlernt und neue Ergebnisse mit diesen Mustern produziert. Wir reden hier von ganz großen Modellen.

Dieser Technologie ist inhärent, dass sie besonders für autoritäre und faschistische Kräfte anknüpfbar ist. Das ist also kein technischer Fehler, sondern die Technologie ist schlicht und einfach so gebaut. Dazu gehört, dass diese gigantischen Modelle eine große Zentralisierung mit sich bringen. Die Infrastrukturen, die zum Training und Erhalt der Modelle nötig sind, kann niemand bei sich im Keller haben. Diese riesigen Rechenzentren können eigentlich nur zentralisiert betrieben werden. Politisch anknüpfbar für faschistische Politiken sind diese Infrastrukturen deshalb, weil sie autoritäre Machtzentren stark bevorzugen.

Zum anderen ist da diese Mustererkennung, die immer auf Daten aus der Vergangenheit trainiert wird. Sie überträgt deshalb notwendigerweise diese Vergangenheit in die Zukunft und vereinheitlicht diese Zukunft statistisch auf einen weiß-patriarchal geprägten Mittelwert. Laut diversen Theorien steckt im Kern des Faschismus die Idee, dass es eine Wahrheit, eine tiefes völkisches, echtes Leben in der Gesellschaft gibt, das zum Erblühen gebracht werden soll. Und diese Idee von einer Wiedergeburt der nationalen Stärke findet sich im technischen Prinzip wieder, massenhaft Daten zu sammeln und das vermeintlich Wahre aus diesen Daten wieder extrapolieren zu können.

„Wünschenswert, wenn Menschen KI nicht auch noch freiwillig nutzen“

netzpolitik.org: Ist es aus antifaschistischer Sicht ein Problem, wenn Menschen ihre Suchanfragen nicht mehr in eine klassische Suchmaschine eingeben, sondern zum Beispiel in ChatGPT?

Aline Blankertz: Wir beschäftigen uns vor allem mit der kollektiven Dimension. Es ist nicht die einzelne Suchanfrage bei ChatGPT, die uns dem Faschismus näher bringt. Es sind eben die Zwänge, die an vielen Stellen bestehen. Beispielsweise, dass viele Menschen nun Dinge schneller machen müssen und es deswegen mit KI tun. Dass sie im Wettbewerb mit anderen stehen, um bessere Betriebsergebnisse hervorzubringen.

Es ist wünschenswert, wenn Menschen KI nicht auch noch freiwillig nutzen. Wenn sie es nur unterhaltsam finden, könnten sie sich eine andere Beschäftigung suchen, die weniger klimaschädlich ist und den KI-Hype nicht weiter am Leben hält. Aber das ist nicht das, womit wir antifaschistisch wirken können, indem wir einfach keine KI mehr verwenden.

„KI-Unternehmer*innen werden hierzulande glorifiziert“

netzpolitik.org: Welchen konkreten Schaden seht ihr in Europa und in Deutschland durch KI bereits?

Aline Blankertz: Aktuell läuft die Debatte, dass man in der Verwaltung großflächig KI einsetzen möchte, etwa nach dem Vorbild von DOGE aus den USA. Das wird zwangsläufig dazu führen, dass mehr Menschen diskriminiert werden und dafür wiederum weniger Verantwortung übernommen wird. Das kennen wir beispielsweise aus Amsterdam, wo ein Algorithmus zur Folge hatte, dass vor allem sozial schwachen Familien Betrugsvorwürfe gemacht wurden. Oder aus England, wo Abiturergebnisse während der Corona-Pandemie insbesondere von Schüler*innen aus ärmeren Gegenden abgewertet wurden.

Ein anderer Aspekt ist, dass auch hierzulande KI-Unternehmer*innen als Heilsbringende glorifiziert werden. Ein starkes Beispiel hierfür ist Dieter Schwarz, dem die Schwarz-Gruppe mit Lidl und Kaufland gehört. Neben vielen Rechenzentren baut er so etwas wie eine Privatstadt in Baden-Württemberg auf und wird dafür gefeiert. Die CEOs von SAP und Telekom werden ebenfalls häufig gefragt, was für eine Gesellschaft sie sich wünschen. Ganz so, als ob sie gesellschaftliche Interessen im Blick hätten.

Außerdem beschleunigt KI die gesellschaftliche Spaltung nicht nur im Mediendiskurs, indem plausibel klingende Outputs ohne Anspruch auf Wahrheit eine demokratische Diskussionsbasis untergraben. Sie entwertet schon jetzt Arbeit. Menschen haben Angst, von sogenannter KI ersetzt zu werden, die Gewerkschaften fahren ihre Forderungen zurück. Gleichzeitig erwirtschaften diejenigen, die in Aktien investiert haben, umso mehr Gewinne. Die ökonomische Ungleichheit wächst also noch stärker durch KI.

„In den USA zünden Menschen autonom fahrende Autos an“

netzpolitik.org: Was kann man dagegen tun?

Aline Blankertz: Wir können uns gegen KI wenden. Wir können uns verweigern. Wir können Trainingsdaten vergiften. Man kann auch so etwas wie Sabotage nach dem CIA-Sabotage-Manual betreiben. Es enthält einige inspirierende Ideen aus der Zeit des Zweiten Weltkriegs, wie Menschen den Faschismus verlangsamen können. Man kann Abläufe verringern, verlangsamen und weniger effizient machen. Man kann sich gegen Rechenzentren engagieren.

In den USA gibt es noch weitergehende Aktivitäten. Da zünden Menschen autonom fahrende Autos von Waymo an. Dort gibt es Roboter, die die Gehwege von Obdachlosen freihalten sollen. Menschen attackieren auch diese Roboter.

Um wirklich politisch wirksam sein zu können, müssen wir uns aber organisieren. Da führt kein Weg dran vorbei. Die Dienste im Individuellen zu wechseln reicht nicht. Zu sagen, „ich finde KI doof, reicht auch nicht“. Wir müssen uns politisch zusammenfinden und die Auswirkungen solcher digitalen Technologien stärker als Problem verstehen.

„Vergesellschaftung ist die Antwort“

netzpolitik.org: Auf der Konferenz gebt ihr einen Talk darüber, dass Regulierung und Open-Source-Alternativen nicht ausreichen, um gegen die Macht der Tech-Giganten anzukommen. Stattdessen schlagt ihr vor, große Tech-Plattformen zu vergesellschaften.

Malte Engeler: Aktuell erleben wir eine autoritäre Wende. In Zeiten von Kipppunkten wie diesen ist Abwehrkampf ein ganz wesentlicher Teil. Gegen etwas zu kämpfen ist nicht so motivierend wie für etwas. Ich kann das für mich persönlich ganz klar sagen: Mich motiviert nicht der Hass auf Big Tech. Mich motiviert der Wunsch nach einer besseren Welt. Wir brauchen konkrete Vorstellungen einer Realität, in der diese Technologien, die wir gerade bekämpfen, anders funktionieren. Und wie kommen wir dahin? Wie kann man eine Plattform, die uns jetzt ausbeutet und aus unseren Bedürfnissen Profit schlägt, in etwas Besseres verwandeln?

Die Antwort auf diese Fragen ist Vergesellschaftung: also die Überführung einer privatwirtschaftlich betriebenen kommerziellen Plattform in einen Zustand, in dem sie im Sinne des Gemeinwohls und der Bedürfnisbefriedung der Menschen demokratisch verwaltet wird.

„Mit kleineren Plattformen anfangen“

netzpolitik.org: Welche Plattformen würdet ihr gern vergesellschaften?

Malte Engeler: Sich allein diese Frage zu stellen, ist sehr spannend. Das führt dazu, dass auch linke und progressive Kräfte auf einmal anfangen, darüber nachzudenken: Was ist unsere Vision? Was ist unsere Idee von einer digitalen Wohnungsvermittlung oder von einem Portal, auf dem man sich Arzttermine klicken kann? Was würden wir mit diesen Infrastrukturen machen, wenn sie nicht nach kapitalistischen Prinzipien betrieben werden würden?

Auf der „Cables of Resistance“ gibt es auch einen Talk von der Redscout24-Gruppe, in der Aline und ich beteiligt sind. Das ist ein ganz konkreter Versuch zu zeigen, wie ImmobilienScout24 anders aussehen könnte. Aber das ist nur ein Beispiel von vielen. Doctolib wäre ein anderes.

Die Frage der Vergesellschaftung zwingt uns aber auch dazu, uns zu positionieren, welche Plattformen wir vielleicht gar nicht wollen. Man kann vergesellschaften, um dann nur abzuschalten. KI ist ein Beispiel für eine Technologie, die wir in unserer befreiten Welt nicht haben wollen.

Aline Blankertz: Konkret plädieren wir dafür, mit den kleineren Plattformen wie ImmoScout24 und Doctolib anzufangen. Denn über sie läuft aktuell der Zugang zu für alle Menschen wichtigen Bereichen der Daseinsvorsorge wie Wohnungen und Gesundheitsversorgung. So können wir erst einmal lernen, wie die Umstellung auf Bedürfnisorientierung funktioniert. Mittelfristig können wir dann unseren Blick stärker auf digitale Infrastrukturen wie Rechenzentren und globale Plattformen richten.

Was wir durch Vergesellschaftung gewinnen, ist, dass wir überhaupt wieder gesellschaftlich gestalten können. Im Moment läuft es danach, wie am meisten Geld für die Anteilseignenden herausspringt. Wenn wir an Demokratie glauben, müssen wir auch daran glauben, dass wir gesellschaftliche Infrastrukturen danach gestalten können.

Da kann man sich gut bei „Deutsche Wohnen & Co enteignen“ umsehen, die für ihre Anstalt öffentlichen Rechts ‒ so unsexy das auch klingen mag ‒ sehr detailliert ausbuchstabieren, welche Gruppen wie an Entscheidungsprozessen beteiligt werden sollen. Gleichermaßen wäre das auch bei einer digitalen Wohnungsvermittlungsplattform, die auf die Bedürfnisse von Menschen zugeschnitten ist.

„ImmoScout24 vom Markt verdrängen“

netzpolitik.org: Wie kann eine Bewegung oder ein Zusammenschluss von Bewegungen praktisch an ein Unternehmen wie ImmoScout24 herankommen?

Malte Engeler: Wir sollten nicht vergessen, dass es schon viele Strukturen gibt, die so organisiert sind. Man vergisst, dass wir das Rad nicht neu erfinden müssen. Bibliotheken zum Beispiel sind eine gut funktionierende öffentliche Infrastruktur. Sie haben einen gemeinsamen Datenbestand. Beispielsweise kann ich heute in der Staatsbibliothek Berlin ein Buch aus Heidelberg bestellen und es übermorgen abholen. Das sind auch keine privatwirtschaftlich betriebenen Informationszugangssysteme.

Es gibt verschiedene Wege zum Ziel. In einigen Gemeinden existieren noch kommunale Online-Plattformen zur Wohnungsverwaltung, auf denen sie den eigenen Wohnungsbestand anbieten. Sie stellen ihn nicht auf ImmoScout24 ein. Man könnte also festlegen: Wer Wohnraum hat und vermieten will, muss dafür die Plattform der Gemeinde nutzen. Bei einigen Infrastrukturen der Daseinsvorsorge wie Müllabfuhr oder Wasseranschluss gibt es schon ein ähnliches Prinzip, den sogenannten Anschluss- und Benutzungszwang.

Mit Aktivist*innen aus dem Fediverse, die viel Erfahrung mit dezentralen Strukturen haben, und Menschen, die solche Bibliotheken-Systeme bauen, könnte man ausloten, wie ein deutschlandweiter Katalog aussähe, mit dem man in jeder Kommune auf alle Wohnungen in Deutschland zugreifen kann.

Im Grunde verdrängt man ImmoScout24 auf diese Weise vom Markt und vergesellschaftet es gar nicht. Die Plattform wird so immer unwichtiger. Sie kann dann noch Eigentumswohnungen auf dem Land vermitteln, aber ist aus dem Mietraum raus. Das wäre bereits eine Errungenschaft.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Kritik am Überwachungspaket der Bundesregierung reißt nicht ab. Die Gesellschaft für Freiheitsrechte warnt vor „Eingriffen in die Grundrechte aller Menschen“ und „mächtigen Überwachungsmaßnahmen“.

Die Gesellschaft für Freiheitsrechte (GFF) nennt in ihrer aktuellen Stellungnahme zum Sicherheitspaket (PDF) die Gesetzesvorhaben der Bundesregierung zur biometrischen Fahndung im Internet und zur automatisierten Datenanalyse „zum Großteil verfassungswidrig“. Die Bürgerrechtsorganisation lehnt deshalb die Einführung der darin vorgeschlagenen Befugnisse und Änderungen fast rundweg ab.

Es handle sich bei den geplanten Befugnissen nicht nur um Werkzeuge, die zu schwerwiegenden Grundrechtseingriffen führen, sondern um „Instrumente zur potenziellen Massenüberwachung“, weil es sich eben nicht um gezielte Maßnahmen handle. Gleichzeitig würden keinerlei Nachweise vorliegen, dass diese Befugnisse tatsächlich zu einer effektiven Polizeiarbeit beitragen würden, so die GFF.

Staatliche Souveränität vollkommen ausgeblendet

Besonders besorgniserregend sei auch, dass die Referentenentwürfe staatliche digitale Souveränität vollkommen ausblenden würden, heißt es in der Stellungnahme. Das liege daran, dass der Gesetzentwurf vorsieht, dass biometrische Abgleiche im Internet auch von privaten Unternehmen im Ausland durchgeführt werden dürfen. Zu solchen Unternehmen gehört zum Beispiel das umstrittene PimEyes, über das netzpolitik.org oftmals berichtet hat. Solche Unternehmen haben die Gesichtsbiometrie von Millionen Menschen gegen alle Regeln des europäischen Datenschutzes erlangt, indem sie ohne zu fragen Gesichtsbilder im Internet ausgewertet und gespeichert haben.

Darüber hinaus ist laut der GFF auf Grundlage des Entwurfs auch der Einsatz von Softwaretools privater Anbieter für eine Datenanalyse möglich, wie etwa die Software Gotham des US-Unternehmens Palantir. Trotz dieser Möglichkeit sieht der Entwurf laut der GFF keinerlei Vorgaben vor, die sensibelste Polizeidaten vor Fehlern, Datenlecks, unberechtigtem Zugriff, missbräuchlicher Nutzung oder Manipulation schützen. Sogar zum Training von KI-Systemen dürften polizeiliche Daten an private Unternehmen übermittelt werden.

Zivilgesellschaft warnt vor Plänen für KI-Fahndung

„Eingriffe in die Grundrechte aller Menschen“

Der biometrische Abgleich mit Daten aus dem Internet ermögliche „schwerwiegende Eingriffe in das Recht auf informationelle Selbstbestimmung“ – und das bei einer enormen Streubreite. Das ermächtige die Bundespolizei zu Eingriffen in die Grundrechte potenziell aller Menschen, kritisiert die GFF. Denn diese könnten nur begrenzt beeinflussen, ob zum Beispiel Bild- und Videomaterial oder Tonaufnahmen von ihnen gegen ihren Willen im Internet veröffentlicht werden.

Außerdem könnten durch den Abgleich Rückschlüsse auf besonders sensible Daten wie politische Einstellungen und sexuelle oder religiöse Orientierung gezogen werden, z.B. bei Aufnahmen von Demos, Veranstaltungen oder Gottesdiensten.

Das Internet mache mittlerweile einen erheblichen Teil des öffentlichen Raumes aus. Mit den neuen Befugnissen werde die Anonymität in diesem digitalen öffentlichen Raum faktisch unmöglich gemacht. Das sei mit enormen Abschreckungseffekten verbunden und habe erhebliche Auswirkungen auf die Ausübung von Grundrechten, kritisiert die GFF.

Kritik haben die Bürgerrechtler:innen auch an der Eingriffsschwelle für die Nutzung der Instrumente, die laut der schwarz-roten Koalition ab „erheblichen Straftaten“ gelten soll. Doch diese genügten nicht dem verfassungsrechtlich notwendigen Gewicht einer besonders schweren Straftat. Zudem würden die erfassten Straftaten im Gesetzentwurf nicht hinreichend konkretisiert.

„Mächtige Überwachungsmaßnahmen“ mit Palantir & Co.

Bei der automatisierten Datenanalyse, wie sie etwa Palantir durchführt, sollen große Mengen auch bislang ungefilterter oder getrennt gespeicherter Daten mit weiteren Daten verbunden und verarbeitet werden. Die Polizei erhofft sich durch die Zusammenführung neue Erkenntnisse.

„Dabei besteht die Gefahr, dass aufgrund von Fehlern im Analyseprogramm, insbesondere aufgrund diskriminierender Algorithmen, Menschen fälschlicherweise ins Visier der Sicherheits- und Strafverfolgungsbehörden geraten, obwohl sie dafür keinen Anlass geboten haben“, kritisiert die GFF. Sie warnt zudem vor Einschüchterungseffekten und davor, dass aufgrund des Ausbaus der Überwachung immer mehr sensible Daten bei den Behörden gespeichert werden dürfen. „Automatisierte Datenanalysen sind mächtige Überwachungsmaßnahmen“, folgert die Organisation. Deswegen seien strenge Beschränkungen zum Schutz der Grundrechte nötig.

Die GFF fordert deswegen:

Die Datenanalyse sollte dabei insbesondere ausdrücklich auf einfach-automatisierte Abgleiche und reine Suchvorgänge begrenzt werden. Algorithmische Sachverhaltsbewertungen, Profiling und KI-basierte Analysen müssen ausgeschlossen werden. Die Menge der einbezogenen Daten ist stark zu begrenzen. Die Eingriffsschwellen für automatisierte Datenanalysen müssen erhöht und Schutzmaßnahmen gegen Fehler, Diskriminierung und Intransparenz aufgenommen werden.

In der 30 Seiten starken Stellungnahme, welche die GFF im Rahmen der Verbändebeteiligung abgegeben hat, sind zahlreiche weitere Bedenken hinsichtlich der Verfassungsmäßigkeit der Überwachungspläne der Bundesregierung gelistet. Auch andere Organisationen aus der Zivilgesellschaft wie Amnesty International oder der Chaos Computer Club haben massive Kritik an dem Vorhaben der Bundesregierung.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen.

In Europa ist Datenschutz ein Grundrecht, das für alle 27 Mitgliedstaaten gilt. Auch die EU-Organe und EU-Einrichtungen selbst stehen unter Aufsicht eines Datenschutzbeauftragten.

Doch was macht eigentlich dieser Europäische Datenschutzbeauftragte (EDSB), der schon mehr als zwei Jahrzehnte für den Schutz der Privatsphäre und die Datenschutzrechte der Bürger arbeitet? Was sind seine Aufgaben, welche Rolle hat der EDSB in Brüssel? Wer konsultiert ihn? Wann wird er typischerweise angehört? Wie funktioniert die Zusammenarbeit zwischen dem EDSB und den nationalen Behörden?

Das berichten uns zwei Insider: Thomas Zerdick und Robert Riemann, die beide beim EDSB arbeiten.

Thomas Zerdick ist Jurist und Leiter des Referats für Aufsicht und Durchsetzung. Vor seiner Zeit beim EDSB arbeitete er bei der Europäischen Kommission im Referat Datenschutz und war einer derjenigen, die an der EU-Datenschutzgrundverordnung mitgeschrieben haben. Robert Riemann ist Informatiker und arbeitete bis Ende Dezember beim EDSB im Referat Technik und Privatheit.

Das Gespräch ist eine gekürzte und behutsam überarbeitete Fassung des Podcasts „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt beim Chaosradio. In „Dicke Bretter“ beleuchten wir Institutionen, Akteure oder Organisationen, die daran mitwirken, wenn Gesetze, Richtlinien oder auch nur politische Positionen bei digitalen Themen entstehen.

Die unabhängige Datenschutzaufsichtsbehörde

Constanze Kurz: Ihr arbeitet beide beim Europäischen Datenschutzbeauftragten. Was sind die Aufgaben dieses Amtes?

Thomas Zerdick: Der Europäische Datenschutzbeauftragte ist die unabhängige Datenschutzaufsichtsbehörde für die EU-Organe und EU-Einrichtungen. Das sind eben zum Beispiel das Europäische Parlament und die Europäischen Kommission, aber auch wir selbst als Europäischer Datenschutzbeauftragter oder auch Einrichtungen wie Europol.

Wir überwachen die Datenverarbeitung dieser EU-Organe und EU-Einrichtungen. Wir bearbeiten Beschwerden von Bürgerinnen und Bürgern, führen Untersuchungen durch und entscheiden dazu. Ich selbst bin Leiter des Referates Aufsicht und Durchsetzung und mache genau das mit meinem Team: Wir überprüfen, ob die EU-Organe und -Einrichtungen die Datenschutzvorschriften auch einhalten, die sie von den anderen verlangen.

Constanze Kurz: Sind in deinem Team typischerweise Juristen?

Thomas Zerdick: In meinem Team sind wir bis auf eine Person alle Juristen. Wir sind ungefähr dreißig Mitarbeiter.

Datenschutz ist im Kern Grundrechtsschutz. Da wir Entscheidungen vorbereiten, die der Europäische Datenschutzbeauftragte dann erlässt, brauchen wir juristische Abwägungen. Wir nehmen Abwägungen und Prüfungen von Rechtsgrundlagen vor, bewerten Zweckbindung oder Verhältnismäßigkeit. Denn alles das, was der Europäische Datenschutzbeauftragte entscheidet, kann auch vor Gericht überprüft werden. Daher brauchen wir Juristen, die sicherstellen, dass das gerichtsfest ist.

„Ziemlich bekannt hier in Brüssel“

Constanze Kurz: Wie viele Menschen arbeiten insgesamt beim Europäischen Datenschutzbeauftragten?

Thomas Zerdick: Insgesamt sind wir ungefähr 120 Mitarbeiter. Das klingt viel, ist es aber nicht, weil ungefähr die Hälfte davon beim Europäischen Datenschutzausschuss arbeitet. Das ist eine andere Einrichtung: Der Europäische Datenschutzausschuss ist durch die EU-Datenschutz-Grundverordnung eingerichtet worden und koordiniert alle Datenschutzaufsichtsbehörden in der Europäischen Union. Da gibt es ein Sekretariat, in dem die Kollegen arbeiten.

Constanze Kurz: Ich möchte ein wenig über den Kopf der Behörde reden. In Deutschland ist es häufig so, dass die Bundesdatenschutzbeauftragten, manchmal sogar die Landesdatenschutzbeauftragten, ziemlich bekannt sind, zum Beispiel Peter Schaar oder Ulrich Kelber. Sie waren oft in den Medien vertreten. Sie sind jeweils als eine relativ laute Stimme für den Datenschutz vernehmbar gewesen. Derzeit haben wir Frau Specht-Riemenschneider hier in Deutschland als Bundesdatenschutzbeauftragte. Auch sie hat eine Menge Interviews gegeben, als sie ihr Amt antrat. Wie ist denn das in Europa? Die Aufgaben des Europäischen Datenschutzbeauftragten sind ja anders. Würdet ihr sagen, er ist eine laute Stimme für den Datenschutz oder arbeitet er eher im Hintergrund?

Thomas Zerdick: Der derzeitige Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, ist ziemlich bekannt hier in Brüssel. Das erklärt sich natürlich auch aus dem Aufgabenzuschnitt. Der wichtigste Unterschied zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden ist die Zuständigkeit: Der Europäische Datenschutzbeauftragte ist ausschließlich zuständig für die EU-Organe und EU-Einrichtungen, also für öffentliche Verwaltung der Europäischen Union. Daher kennt man ihn vielleicht etwas weniger in den Mitgliedstaaten.

Er ist gleichberechtigtes Mitglied im Europäischen Datenschutzausschuss, wo sich alle Aufsichtsbehörden treffen. Wojciech Wiewiórowski trifft sich zum Beispiel regelmäßig mit Louisa Specht-Riemenschneider. Wenn es Entscheidungen gibt, die der Europäische Datenschutzbeauftragte trifft, zum Beispiel gegen die Europäische Kommission oder gegen Europol, sind wir auch in den Medien im Vordergrund. Von daher sehe ich den Unterschied als nicht sehr groß im Vergleich zu den Mitgliedstaaten.

Öffentliche Stellungnahmen

Constanze Kurz: Auch in Europa wird der Datenschutzbeauftragte konsultiert, wenn es um geplante Gesetze geht oder wenn es die angesprochenen Institutionen und deren Evaluierung geht. Er gibt öffentliche Stellungnahmen ab. Wie häufig kommt das vor?

Thomas Zerdick: Ich würde sagen quasi wöchentlich. Das ist ein Unterschied im Vergleich zur nationalen Ebene: Die Europäische Kommission ist verpflichtet, den Europäischen Datenschutzbeauftragten zu konsultieren. Und zwar immer dann, wenn es neue Rechtsakte gibt, die von der Kommission vorbereitet werden, die personenbezogene Daten betreffen.

Das ist also relativ breit, denn das ist heute fast immer der Fall: Digitalisierung, Sicherheit, Migration, Gesundheit, Künstliche Intelligenz, Plattformregulierung, internationale Verträge. Jeweils kommt der Europäische Datenschutzbeauftragte ins Spiel. Er gibt Stellungnahmen oder Kommentare ab, die wir dann veröffentlichen. Und das wird immer mehr.

Constanze Kurz: All diese Themen haben mittlerweile technische Komponenten, alle Datenschutzfragen verbinden sich mit Technikfragen. Was macht das Referat Technik und Privatheit, um eine Stellungnahme mit technischem Wissen zu bereichern? Wie läuft die Zusammenarbeit mit den Juristen?

Robert Riemann: Wenn beispielsweise ein neuer Rechtsakt vorbereitet und dazu formell die Stellungnahme vom Europäischen Datenschutzbeauftragten eingeholt wird, dann koordiniert das ein Referat. Sie schauen im Haus, wer die Kompetenzen hat, um die Arbeit zu unterstützen. Sobald klar wird, dass es tatsächlich etwas sehr Technisches ist, das so von einer Abteilung noch nicht bearbeitet wurde, dann gibt es eine Anfrage an das Referat Technik und Privatheit, um eine Person zur Unterstützung zu benennen. Diese Person arbeitet dann gleichberechtigt mit den Juristen zusammen an der Stellungnahme.

Constanze Kurz: Das klingt wie typische wissenschaftliche Arbeit, um eine Technik zu ergründen oder Technikfolgen abzuschätzen. Gibt es eine Zusammenarbeit mit akademischen Forschern oder Sachverständigen, die man sich dazu holt?

Robert Riemann: Für dieses Beispiel eines Rechtsakts wird typischerweise keine externe Expertise hinzugezogen. Aber natürlich ist es so, dass die Leute das Thema recherchieren. Bevor ein Vorschlag der Kommission auf den Tisch kommt, werden häufig die Themen schon in der Öffentlichkeit angesprochen. Wenn sich Forscher oder auch NGOs wie EDRi oder Interessenverbände in Brüssel mit eigenen Stellungnahmen äußern, werden die natürlich gelesen. Insofern gibt es schon einen Einfluss auf das, was intern diskutiert wird. Aber es ist nicht so, dass der Europäische Datenschutzbeauftragte für den Fall einer Beantwortung dieser Anfragen der Kommission für eine Stellungnahme die Meinung von außen explizit einholen würde.

Lange über die eigentliche Amtszeit hinaus

Constanze Kurz: Jetzt gibt es für den Amtsträger gerade eine besondere Situation, die mit der Benennung des Europäischen Datenschutzbeauftragten verbunden ist. Denn der derzeitige Amtsinhaber arbeitet schon lange über seine Amtszeit hinaus, die fünf Jahre beträgt. Die Amtszeit endete eigentlich am 5. Dezember 2024. Aber es gab die Situation, dass sich der EU-Rat und das EU-Parlament nicht im Einvernehmen auf einen neuen Kandidaten geeinigt haben, sondern zu unterschiedlichen Voten gekommen sind. Wie verläuft das Auswahlverfahren, warum kam es diesmal zu diesem Stillstand und was kann man jetzt machen?

Thomas Zerdick: Die Datenschutzgrundverordnung für die EU-Organe regelt das. Der Europäische Datenschutzbeauftragte hat eine Amtszeit von normalerweise fünf Jahren und ist zu benennen im Einvernehmen zwischen dem europäischen Parlament und den Mitgliedstaaten im Rat der EU. Nach Ablauf der Amtszeit macht die Europäische Kommission eine Ausschreibung, da kann sich jeder bewerben. Dann werden die Bewerber von der Europäischen Kommission geprüft und die Liste mit geigneten Kandidaten veröffentlicht. Von dieser Liste müssen sich dann das Parlament und der Rat für eine Person entscheiden. Diesmal haben sie sich noch nicht entscheiden können. Das ist nicht neu, das gab es leider schon mal. Aber die EU-Datenschutzgrundverordnung für die Organe, die sagt: Solange es keinen neuen Amtsinhaber gibt, bleibt der alte im Amt und hat alle Rechten und Pflichten. Also solange die sich nicht einigen, macht der jetzige Amtsinhaber einfach weiter.

Constanze Kurz: Und wenn sie sich niemals einigen, dann bleibt er einfach für immer im Amt? Oder gibt es irgendeine Frist, die bis zum Zeitpunkt eine Einigung bestehen muss?

Thomas Zerdick: Es gibt keine Frist. Das sieht die Verordnung nicht vor.

Constanze Kurz: Und wenn der Amtsträger irgendwann keine mehr Lust hat?

Thomas Zerdick: (lacht) Das sieht die Verordnung auch nicht vor.

Robert Riemann: Das ist auch kein europäischer Sonderfall, sondern diese Situation gibt es auch in den Mitgliedsländern. Ich denke da in Spanien, wo es auch Schwierigkeiten gab, ein neues Mandat zu verabschieden. Auch in einigen Bundesländern in Deutschland gab es lange Zeit Unklarheit, wer das Mandat bekommt. Insofern ist das leider etwas, was man in Europa häufiger beobachten muss.

Constanze Kurz: Würdet ihr einen Tipp abgeben, wie sich dieser Stillstand auflösen wird oder wann sich diese beiden Institutionen vielleicht einigen könnten? Was sagen denn die Auguren?

Thomas Zerdick: Die Auguren sagen derzeit nichts. Wir können dazu nichts sagen, weil es in der Hand vom Parlament und vom Rat ist, die sich zusammensetzen und eine Lösung finden müssen.

Wie Kommission und Datenschutzbeauftragter zusammenarbeiten

Constanze Kurz: Ich möchte euch nach dem typischen Ablauf befragen, wenn der Europäische Datenschutzbeauftragte tätig wird. Wir nehmen mal ein ganz umstrittenes Beispiel: die Chatkontrolle. Wie wurde hier der Europäische Datenschutzbeauftragte involviert? Die Kommission hat ja vor mehr als drei Jahren den Vorschlag dazu vorgelegt. Wie ist die typische Vorgehensweise, wenn eine Konsultation beginnt, die ja stattfinden muss?

Thomas Zerdick: Die Europäische Kommission arbeitet ihren Vorschlag aus. Bevor sie diesen Vorschlag veröffentlicht, gibt es eine interne Abstimmung in der Europäischen Kommission. Gleichzeitig mit dieser internen Abstimmung werden wir als Amt informell unterrichtet und können dann bereits erste kleine Kommentare abgeben. Sobald die Kommission ihren Gesetzgebungsvorschlag veröffentlicht hat, leitet sie ihn ganz amtlich dem Europäischen Datenschutzbeauftragten zu, mit der Bitte um Stellungnahme.

Dann setzen sich die Kolleginnen und Kollegen aus dem Referat Politik und Gesetzgebung zusammen, analysieren den Vorschlag der Kommission und schreiben die Stellungnahme, die dann vom Europäischen Datenschutzbeauftragten veröffentlicht wird. Mit dieser Stellungnahme kann der Gesetzgeber – das Parlament und der Rat der EU-Mitgliedstaaten – dann arbeiten. Damit erschöpft sich normalerweise das Offizielle, das Amtliche des Europäischen Datenschutzbeauftragten. Aber er ist natürlich jederzeit bereit, auch zu Anhörungen zu kommen und vorzutragen, was in dieser Stellungnahme steht.

EU-Datenschutzbeauftragter gegen wahlloses Scannen bei freiwilliger Chatkontrolle

Constanze Kurz: Das war jetzt das Beispiel der Chatkontrolle. Wird für jedes dieser Verfahren die Stellungnahme öffentlich oder gibt es auch welche, wo das nicht der Fall ist?

Thomas Zerdick: Die Stellungnahmen sind grundsätzlich öffentlich.

Constanze Kurz: Nun wurden ja gerade beim Beispiel Chatkontrolle auch neue technische Fragen aufgeworfen. Da geht es um massenhaftes Scannen oder darum, wie beispielsweise Filter funktionieren. Wie wird technische Expertise einbezogen?

Robert Riemann: Das Referat Politik und Gesetzgebung identifiziert die technischen Themen, hier etwa Kryptographie und Pseudonyme, und schickt eine Anfrage an das Referat Technik. Mein Referatsleiter bekommt das dann auf seinen Schreibtisch und sucht sich eine Person aus seinem Team, die schon in den letzten Jahren zu dem Thema gearbeitet hat. Sie wird dann mitarbeiten und den Juristen Frage und Antwort stehen.

Wir sind in unserer Technikergruppe fünfzehn Leute und müssen zusammen alle Datenschutzthemen abdecken können. Das heißt beispielsweise, dass wir uns zu Pandemiezeiten mit Bluetooth-Tokens beschäftigt haben und zu Blockchain-Zeiten alle Blockchain-Expertinnen wurden. Das ist wirklich breit gefächert. Wir können natürlich nicht auf dem Niveau Expertise anbieten, wie das die Universitäten teilweise können oder auch spezielle Organisationen, die nur ein Kernthema haben. Das bedeutet, dass wir natürlich viel Recherche am Schreibtisch machen, um einen fundierten Beitrag zu einer Stellungnahme zusammen mit den Juristen zu erarbeiten.

Constanze Kurz: Das ist also der Ablauf für den Fall einer Stellungnahme, die der Europäische Datenschutzbeauftragte allein abgibt. Aber was passiert, wenn auch der Europäische Datenschutzausschuss angehört wird?

Robert Riemann: Der Europäische Datenschutzbeauftragte ist ja Teil des Europäischen Datenschutzausschusses. Das heißt, er bringt sich dort in fast allen Themen ein. Beim Europäischen Datenschutzausschuss gibt es mehrere Fachgruppen. Dazu gehört die Technology Experts Sub-Group, also eine Expertengruppe zu Technologiefragen. Dahin dürfen alle Mitgliedsländer, die im Europäischen Datenschutzausschuss vertreten sind, eine Person entsenden, die sich dort zu Themen einbringen kann.

Soll eine Stellungnahme erarbeitet werden, meldet sich ein Mitgliedsland freiwillig und leitet dieses Projekt federführend. Personen, die daran mitarbeiten, bilden eine Art Schreibteam und treffen sich beispielsweise alle zwei Wochen, um einen ersten Entwurf vorzubereiten.

Technische Fragen landen wahrscheinlich bei dieser Expertengruppe für Technologiefragen. Deutschland hat eine gewisse Sonderrolle, weil es ja nicht nur Mitarbeiter von der Bundesbeauftragten für den Datenschutz hat, sondern auch Mitarbeiter in den Landesdatenschutzbehörden. Zusätzlich gibt es deswegen auch noch einen deutschen Prozess, der festlegt, wer in welcher Gruppe zu welchem Thema mitarbeitet. Am Ende arbeiten dann ein Technologieexperte aus Spanien, einer aus Italien, einer aus Hessen und dann vielleicht noch jemand aus Finnland mit.

Deren Entwurf wird zunächst in der Expertengruppe für Technologiefragen vorgestellt. Sie trifft sich monatlich, seit der Corona-Pandemie online und zweimal im Jahr auch mit einen Pflichtpräsenztermin, so dass man sich ein bisschen kennenlernen kann. An einem Tag werden dann alle Themen einmal durchgearbeitet. Wenn dann die Expertengruppe mit einem Entwurf zufrieden ist und annimmt, dass er mehrheitsfähig ist, dann kann das theoretisch schon der Plenarsitzung mit allen Aufsichtsbehörden vorgelegt werden. Aber bei sehr komplexen Fragen holt man die juristische Perspektive vorher hinzu.

Thomas Zerdick: Das klingt alles sehr kompliziert, aber ist es eigentlich nicht. Es ist ein typisches Beispiel, wie Europa zusammenarbeitet. Denn in diesen Expertengruppen sitzen eben Vertreter aller Datenschutzaufsichtsbehörden aus ganz Europa. Da werden täglich Kompromisse geschmiedet, Ansichten ausgetauscht und versucht, eine einheitliche Auslegung in diesen Datenschutzfragen zu finden.

„Wir haben uns in Europa zum Positiven weiterentwickelt“

Constanze Kurz: Es gibt auch Kritik an diesem Datenschutzausschuss, eigentlich schon an der Vorgängergruppe, damals noch Artikel-29-Gruppe, vor allem weil die Stellungnahmen unverbindlich waren und wegen der teilweise langfristigen Prozesse, die für so einen Konsens wohl dazugehören. Wie seht ihr diese Kritik?

Thomas Zerdick: Die Kritik kenne ich seit über zwanzig Jahren. Vorher wurde sich beschwert, dass die Artikel-29-Gruppe unverbindliche Stellungnahmen abgibt, an die man sich aber halten muss. Das wurde immer beklagt. Jetzt ist es eigentlich umgekehrt: Der Europäische Datenschutzausschuss, der immer noch Stellungnahmen abgibt, trifft inzwischen verbindliche Entscheidungen gegenüber den eigenen Datenschutzaufsichtsbehörden. Nun wird auch das wieder beklagt.

Ich denke, wir haben uns in Europa zum Positiven weiterentwickelt. Wir haben die Datenschutzgrundverordnung, für deren einheitliche Anwendung der Europäische Datenschutzausschuss an der Arbeit ist. Das hat sich jetzt eingespielt, die Entscheidungen kommen auch relativ schnell.

Constanze Kurz: Die Datenschutzgrundverordnung ist ein EU-Gesetz, das Wirkung entfaltet in allen EU-Ländern und das Grundrecht regelt, was man in Deutschland oft informationelle Selbstbestimmung nennt. Aus meiner Sicht gab es damals eine bestimmte politische Situation, in der es möglich war, die Datenschutzgrundverordnung tatsächlich zum Gesetz zu machen. Doch heute wird der Datenschutz ein bisschen anders betrachtet: Gerade kann man das an dem sogenannten digitalen Omnibus sehen, wo versucht wird, die Datenschutzgrundverordnung zu verändern. Datenschutz scheint aktuell nicht gerade ein hippes Thema zu sein und wird auch in Deutschland manchmal als Innovationsbremse diskreditiert, zumindest von der aktuellen Regierung. Was haltet ihr von den Vorschlägen, die jetzt im digitalen Omnibus besprochen werden?

Thomas Zerdick: Wieso reden wir denn über den Datenschutz in Europa? Weil die europäische Grundrechte-Charta, also praktisch die Verfassung von Europa, den Datenschutz ausdrücklich als Grundrecht stützt. Das ist eine feste Sache, an der man nicht vorbeikommt. Die Auswirkung dieses Grundrechts ist, dass die EU verpflichtet ist und die Mitgliedstaaten ebenso, dieses Grundrecht zu schützen und Regeln dafür zu schaffen, wie man das am besten macht.

Das hat die Europäische Union schon seit 1995 gemacht. Und es gibt seit 2016 die Datenschutzgrundverordnung, die versucht zu sagen, was die Regeln sind, um mit personenbezogenen Daten umzugehen. Das war der erste große EU-Rechtsakt, der im digitalen Feld spielt – ein Meilenstein.

Jetzt haben wir den digitalen Omnibus, der versucht, an dem Text der Datenschutzgrundverordnung Änderungen vorzunehmen. Ich denke nicht, dass man sagen kann, das Ganze wird in Frage gestellt. Das geht nicht, weil die EU-Grundrechte-Charta diesen Schutz des Grundrechts Datenschutz einfordert. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte arbeiten gerade an einer Stellungnahme für diesen digitalen Omnibus.

Constanze Kurz: Da drängt sich eine Frage auf: Angenommen, es bestehen rechtliche Differenzen, also eine Stellungnahme des Europäischen Datenschutzbeauftragten bewertet rechtliche Fragen anders als beispielsweise die EU-Kommission. Wie ist dann der weitere Verlauf? Kann die EU-Kommission das auch einfach ignorieren? Muss sie bestimmte Elemente aus den Stellungnahmen aufnehmen?

Thomas Zerdick: Kein Mensch ist verpflichtet, uns zuzuhören, um es mal ganz krass zu sagen. Aber das ist natürlich Expertise und Datenschutzwissen, was wir herantragen. Das ist die ureigenste Aufgabe einer unabhängigen Datenschutzaufsicht, dieses Wissen weiterzugeben und zu sagen, was unsere Auslegung, unser Verständnis von einem Vorschlag ist.

Wir wissen, dass sowohl die Kommission als auch die Mitgliedstaaten als auch die Abgeordneten im Europäischen Parlament sehr wohl lesen, was vom Europäischen Datenschutzbeauftragten geschrieben wird. Aber rechtlich verbindlich ist das nicht.

Constanze Kurz: In Deutschland ist es häufig so, dass zum Beispiel bei Bundestagsgesetzgebungsprozessen die Bundesdatenschutzbeauftragte hinzugezogen wird. Aber die Gesetzesvorschläge müssen auch nicht unbedingt die Meinung der Bundesdatenschutzbeauftragten übernehmen. Am Ende landen in Deutschland dann einige Gesetze vor dem Bundesverfassungsgericht, wo wiederum die Bundesdatenschutzbeauftragte als Sachverständige an der Urteilsfindung mitwirkt. Wie ist das in Brüssel, wo ja auch viele Gesetzgebungsverfahren am Ende beim Europäischen Gerichtshof landen? Tritt dort der Europäische Datenschutzbeauftragte auch als Sachverständiger auf, wenn darüber gestritten wird, ob ein Gesetz mit der EU-Charta in Einklang ist?

Thomas Zerdick: Ja, durchaus. Das liegt dann beim Europäischen Gerichtshof, er kann uns als Sachverständigen beiladen. Das ist auch bereits passiert. Ich war selber persönlich zu einem Fall dort, wo es um die Vorratsdatenspeicherung ging. Der Europäische Gerichtshof lädt uns dann ein und stellt Fragen, die wir zu beantworten haben, erst schriftlich oder auch in der mündlichen Verhandlung in Luxemburg.

Software auf code.europa.eu

Constanze Kurz: Wie wird der Europäische Datenschutzbeauftragte noch hinzugezogen?

Thomas Zerdick: In laufenden Gesetzgebungsverfahren werden wir oft vom Europäischen Parlament beigeladen oder von Ausschüssen oder auch von einzelnen Abgeordneten im Europäischen Parlament. Auch der Rat der Europäischen Union lädt ab und zu den Europäischen Datenschutzbeauftragten ein, wenn zu gewissen Punkten Stellungnahmen abzugeben sind.

Robert Riemann: Es kann vorkommen, dass eine nationale Datenschutzbehörde einen Beschwerdefall hat oder auch ein Unternehmen beaufsichtigt und Bedenken hat in der Auslegung der Datenschutzgrundverordnung. In solchen Fällen kann sich die Datenschutzbehörde an den Europäischen Datenschutzausschuss wenden und vorschlagen: Wir haben hier ein interessantes Thema, das nicht nur relevant für unser Land ist, sondern für die ganze Europäische Union. Eine gemeinsame Stellungnahme kann dann in der Plenarsitzung vorgeschlagen und erarbeitet werden. Daran arbeitet natürlich oft auch der Europäische Datenschutzbeauftragte mit.

Thomas Zerdick: Es gibt eine kollegiale Zusammenarbeit mit anderen Aufsichtsbehörden, etwa bei Ergebnissen von Untersuchungen, die wir in Brüssel als Europäischer Datenschutzbeauftragter gemacht haben, zum Beispiel im Fall Europäische Kommission und Microsoft 365. Dann können die Kollegen aus den Mitgliedstaaten sagen, bitte teilt mit uns auf dem Amtswege eure Erkenntnisse, damit wir davon lernen können. Das ist unser tägliches Brot.

Robert Riemann: Es gibt auch internationale Kooperationen in anderen Themenbereichen: Software entwickeln wir zum Beispiel gemeinsam. Und über die Grenzen in Europa hinweg entwickeln wir auch Methoden, um technische Audits durchzuführen. Wir haben dazu auf code.europa.eu Software, die auch Unternehmen benutzen können, bevor die Datenschutzbehörden sie einsetzen. Darüber hinaus gibt es seit zwei, drei Jahren auch jedes Jahr Workshops, wo Techniker nach Brüssel kommen, um sich auszutauschen.

Die Juristen haben das schon länger gemacht. Nun ist der Austausch nicht mehr nur auf Rechtsfragen beschränkt, sondern findet auch zu technischen Fragen statt, auch teilweise zu ganz praktischen Fragen.

Constanze Kurz: Ist das also eine neuere Entwicklung, wenn das erst seit zwei oder drei Jahren stattfindet?

Robert Riemann: Genau. Die Datenschutzbehörden der EU-Staaten sind häufig sehr klein. Der Europäische Datenschutzausschuss hat in seinem Jahresbericht veröffentlicht, wie viele Mitarbeiter in den einzelnen Ländern mitarbeiten. In Deutschland haben wir natürlich einen Luxusfall, ungefähr 1.000 Menschen arbeiten hier über die verschiedenen Landesbehörden verteilt. Aber es gibt eben auch Länder wie Liechtenstein, wo es nur wenige Personen sind, die aber auch viele technische Lösungen abdecken können müssen. Insofern sind wir darauf angewiesen, effizient zusammenzuarbeiten und uns über unsere Ansätze nicht nur zu Rechtsfragen, sondern auch zu technischen Fragen auszutauschen.

„Die Kritik am Datenschutz ist eigentlich eine deutsche Kritik“

Constanze Kurz: Wir haben ja in den letzten Monaten seit der zweiten Amtseinführung von Donald Trump erlebt, dass sich die US-amerikanische und die europäische Datensphäre auseinanderentwickeln und dass Digital-Gesetze und Datenschutzgesetze auf europäischer Ebene in den politischen Kampf hineingezogen werden. Wie seht ihr diesen Konflikt, dass die Regeln, die eben häufig für große US-Unternehmen hier in Europa geschaffen wurden, nun unter diesen Vorzeichen in der Spitzenpolitik debattiert und vom US-Präsidenten in ganz klassische Handelskriege reingezogen werden?

Thomas Zerdick: Ganz entspannt. Das gab es schon zu Zeiten der ersten Datenschutzrichtlinie 1995. Schon damals war absehbar: Wenn sich Europa entscheidet, Datenschutzvorschriften einzuführen, weil es ein Grundrecht ist, betrifft das Wirtschaftsinteressen insbesondere der US-amerikanischen Konzerne. Schon damals war sehr viel Politik im Spiel, und das war nichts anderes, als dann die Datenschutzgrundverordnung verhandelt wurde. Da kamen die Amerikaner schon sehr früh zur EU-Kommission und haben vorgeschlagen: Macht das doch mal anders, macht das noch mal weniger scharf. Es war letztlich ironischerweise die durch Edward Snowden ausgelöste Affäre, die dann auf europäischer Seite dazu geführt hat, zu sagen: Das geht uns zu weit, wir brauchen jetzt scharfe europäische Datenschutzvorschriften.

Aus Brüsseler Sicht ist das nichts Neues, das ist ganz normal. Schlecht wäre es natürlich, wenn dem Druck nachgegeben würde. Das kann ich mit dem europäischen Grundrechtscharakter des Datenschutzes schlecht vereinbaren, wenn wir plötzlich sagen würden: Ja, wir haben jetzt Gesetze, aber wir wenden sie nicht an, weil es US-amerikanische Konzerne sind.

Constanze Kurz: Als Deutsche bin ich seit vielen Jahren vertraut mit den Datenschutzdiskussionen, die häufig öffentlich geführt werden. Die Chatkontrolle wäre dafür ein Beispiel oder die Vorratsdatenspeicherung. Die deutsche Öffentlichkeit räumt dem Grundrecht auf informationelle Selbstverstimmung einen Wert ein. Auch die Verfahren, die beim Bundesverfassungsgericht geführt werden, erfahren oft eine große Öffentlichkeit. Das ist aber nicht in allen europäischen Ländern so. Wie seht ihr die Diskrepanzen bei der Wahrnehmung dieses Grundrechts in Europa?

Thomas Zerdick: Das erklärt sich zum Teil aus den geschichtlichen Unterschieden. Aber es ist ja ein großer Konsens vorhanden: Datenschutz existiert und ist auch ein Grundrecht in allen europäischen Mitgliedstaaten. Das ist also nicht anders als in Deutschland. Und die Grundlage der Zusammenarbeit zumindest bei den Aufsichtsbehörden ist eben die Datenschutzgrundverordnung.

Man muss auch sagen, dass Deutschland – derzeit zumindest – ziemlich allein dasteht, weil die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Das ist ganz merkwürdig. Diese großflächigen Spitzen gegen den Datenschutz hört man aus anderen Mitgliedstaaten so nicht. Im Gegenteil, das wird dort einfach gemacht und umgesetzt, und dann ist gut.

Bundesregierung sägt am Datenschutz

Kurz und knappe Informationen zu dem, was der Datenschutzbeauftragte macht

Constanze Kurz: Gibt es etwas, was ihr für den Europäischen Datenschutzbeauftragten für die Zukunft wünschen würdet? Was wäre notwendig oder würde die Effizienz oder die Qualität der Arbeit sehr verbessern?

Robert Riemann: Meine Wünsche wären gar nicht so spezifisch nur für Datenschutzbehörden, eher allgemein für Behörden. Wir hatten beispielsweise beim Europäischen Datenschutzbeauftragten schon früh eine digitale Akte. Das hat während der Corona-Pandemie unheimliche Vorteile gehabt. Aber ich denke, generell könnte man noch viel mehr durch Automatisierung von Prozessen erreichen. Ich wünsche mir, dass wir Dashboards haben, um Fallmanagement zu machen, und zwar nicht für jedes Land einzeln, sondern am besten eines, was für alle Datenschutzbehörden funktionieren würde. Sowas haben wir momentan nicht.

Ich würde mir auch wünschen, dass es eine digitale Strategie gibt, die nicht nur national denkt, sondern auch europäisch. Und ich denke, es fehlt uns an vielen Standardisierungsprozessen. Das ist schwer in Gang zu bringen, weil die Datenschutzbehörden nur wenige Informatiker haben und das Geld knapp ist. Insofern ist es nicht klar, wie sich das demnächst verbessern könnte.

Thomas Zerdick: Ich würde mich Robert anschließen. Warum? Natürlich hat ein Amt wie der Europäische Datenschutzbeauftragte nie genug Mitarbeiter und nie genug Geld. Das wird sich in absehbarer Zeit auch nicht ändern. Aber was uns gut zu Gesicht stände, wäre eine bessere Automatisierung von Prozessen.

Nur ein Beispiel: Wir bearbeiten natürlich auch Eingaben und Beschwerden von Bürgerinnen und Bürgern. Und wir sehen gerade in der letzten Zeit eine 140-prozentige Steigerung dieser Beschwerden auf uns zukommen. Warum? Weil die Leute, die sich beschweren, zu generativer KI greifen und sich eine Beschwerde beispielsweise an die Europäische Kommission generieren lassen und sie direkt an den Europäischen Datenschutzbeauftragten schicken. Wir brauchen hier sozusagen Waffengleichheit, wir müssen auch praktisch KI-gestützte Anwendungen zur Verfügung haben, um vielleicht besser und effizienter arbeiten zu können.

Wir sind ja auch gleichzeitig Aufsichtsbehörde für KI-Systeme von den europäischen Organen. Das heißt, wir haben eine Doppelaufgabe: nicht nur Datenschützer, sondern auch KI-Aufsicht. Ich sehe die Notwendigkeit, dass wir die zugrundeliegende Technik verstehen und auch Kolleginnen und Kollegen dafür einstellen, die das beaufsichtigen können.

Constanze Kurz: Wenn sich jemand nun noch mehr interessiert für den Europäischen Datenschutzbeauftragten, wo holt man sich mehr Informationen?

Thomas Zerdick: Auf unserer Homepage edps.europa.eu findet man alles, was das Herz begehrt, insbesondere auch kurz und knappe Informationen zu dem, was wir machen und auch zur Technik und zu neuen Technologien, aber auch unsere Entscheidungen. Podcasts gibt es auch!

Robert Riemann: Ich möchte noch eine weitere Möglichkeit erwähnen, wie man uns folgen kann: Der Europäische Datenschutzbeauftragte hat einen Mastodon-Account.

Constanze Kurz: Ich möchte mich bedanken für die Zeit, die ihr euch genommen habt, und für die Einblicke, die ihr gegeben habt. Vielen Dank für das Gespräch!

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die geplante „Vereinfachung“ der europäischen KI-Verordnung könnte den Schutz von Verbraucher:innen vor der Technologie erheblich schwächen. Ein breites Bündnis von 32 Organisationen warnt insbesondere vor Lücken bei Medizingeräten und Spielzeug.

Die Sorge ist groß, dass die geplante „Vereinfachung“ der europäischen KI-Regeln zu deren Aushöhlung führen könnte. Davor warnt die europäische Verbraucherschutzorganisation BEUC gemeinsam mit 31 anderen Organisationen in einem gemeinsamen Brief an die Verhandler des sogenannten KI-Omnibusses: die EU-Kommission, die zypriotische Ratspräsidentschaft und die Berichterstatter:innen des Europaparlaments Arba Kokalari (EVP) und Michael McNamara (Renew).

Die unterzeichnenden Organisationen vertreten neben Verbraucher:innen und der Zivilgesellschaft auch Ärzt:innen, Krankenhäuser und Gesundheitsdienste, Prüfstellen wie den TÜV sowie die Wissenschaft. Sie befürchten, dass in den aktuellen Trilog-Verhandlungen zwischen EU-Parlament, den EU-Ländern und der Kommission zentrale Elemente der KI-Verordnung zur Diskussion gestellt werden könnten. Die angestrebte Vereinfachung dürfe nicht auf Kosten des Verbraucherschutzes und der Grundrechte gehen, bekräftigt der Brief.

Im Zentrum der Kritik steht eine mögliche Änderung, die das Europäische Parlament in die laufenden Trilog-Verhandlungen einbringt: Bestimmte Sektoren sollen aus dem unmittelbaren Anwendungsbereich der KI-Verordnung ausgenommen werden, darunter Medizintechnik, Funkgeräte, Spielzeug und Maschinen. Abgeordnete und Industrievertreter argumentierten, dass diese Produkte schon unter eigene Sicherheitsvorschriften fallen würden und die Hersteller ansonsten einem doppelten Aufwand ausgesetzt seien.

Zivilgesellschaft warnt vor Lücke

Die Autor:innen des Briefs sehen dies anders: Sie betonen, dass die KI-Verordnung spezifische KI-Risiken reguliere, die in den sektorspezifischen Regeln nicht behandelt würden. Dazu zählen etwa Diskriminierung, Intransparenz und die kontinuierliche Veränderung der Systeme. Durch die Ausnahmen würde eine Regulierungslücke entstehen.

Als Beispiel für die möglichen Nachteile dieser Änderung für Verbraucher:innen nennen sie Medizingeräte. Diese würden zunehmend über KI-Funktionen verfügen, die bei der Diagnose, Behandlung oder Überwachung von Patient:innen zum Einsatz kommen würden. Die derzeitigen sektoralen Regeln für Medizingeräte würden KI-spezifische Risiken aber nicht ausdrücklich berücksichtigen. Ähnliches gelte für Kinderspielzeug.

Die Organisationen bekräftigen darüber hinaus, dass die Regulierung durch diese Änderung komplexer würde statt einfacher. Erstens würde Unsicherheit darüber entstehen, welche KI-Systeme weiterhin der EU-Verordnung unterliegen. Zweitens würde sich die Regulierung zersplittern: Anstatt ein einziges Gesetz für KI zu haben, würden die unterschiedlichen sektoralen Regulierungen gelten. Sollten KI-Risiken dort nachträglich ergänzt werden, müssten womöglich Dutzende Gesetze geändert werden.

Ein fragmentierter und unnötig komplexer Regulierungsrahmen würde nur die Rechtsunsicherheit erhöhen, warnt der Brief: „In einer Zeit, in der die EU bestrebt ist, das Vertrauen in KI zu stärken und ihre technologische Souveränität zu festigen, ist die Wahrung des Vertrauens in einen kohärenten und effektiven Rahmen für die KI-Governance von entscheidender Bedeutung.“

Ergebnis bis Ende April

Beim KI-Omnibus hat die EU bislang ein hohes Tempo vorgelegt. Im November von der EU-Kommission vorgestellt, haben die EU-Länder sowie das Parlament im März ihre jeweiligen Verhandlungspositionen festgezurrt. Ende März fand bereits das erste Trilog-Treffen statt. Aktuell verhandeln die EU-Institutionen in technischen Meetings miteinander, schon am 28. April wollen sie sich auf den finalen Kompromiss einigen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit Hilfe von KI-Agenten sollen Einzelpersonen schon bald Unternehmen mit Milliardenbewertung aufbauen. Das klingt verführerisch, weil es einer prometheischen Sehnsucht nach totaler Souveränität schmeichelt. Allerdings wusste schon Franz Kafka, dass Ein-Personen-Unicorns mythische Wesen sind.

Am 18. Februar 1922 notierte Franz Kafka in sein Tagebuch eine Miniatur, die wie so vieles aus seiner Feder auf den ersten Blick komisch wirkt und auf den zweiten unheimlich. Ein Theaterdirektor, der alles von Grund auf selbst schaffen muss – sogar die Schauspieler muss er erst zeugen. Ein Besucher wird nicht vorgelassen, der Direktor sei mit wichtigen Theaterarbeiten beschäftigt. Und was tut er? Er wechselt die Windeln eines künftigen Schauspielers.

Man lacht kurz. Dann hört man auf.

Die totale Kontrolle über den Produktionsprozess kehrt sich in die Selbstauflösung des Produzenten um. Wer alles selbst erschaffen will – Stück, Bühne, Ensemble –, landet zwangsläufig bei der Windel. Wie man aus der wunderbaren Kafka-Biographie von Reiner Stach lernen kann: Ambition und Absurdität sind bei Kafka keine Gegensätze.

Als Schriftsteller war Kafka jemand, der Nacht für Nacht sein ganzes Ensemble allein erschaffen musste, neben dem Bürojob in der Arbeiter-Unfall-Versicherungsanstalt. Er wusste, dass der kreative Absolutismus seinen Preis hat: Man ist bis zum Umfallen beschäftigt. Mit dem, was gerade nötig ist, damit die Sache irgendwann und irgendwie weitergeht. Und dann fällt einem das nächste Problem auf.

Der Gründer als vollständiges Ensemble

Ich kenne diesen Tagebucheintrag aus Nicolas Mahlers Band „Kafka für Boshaft“. Seit Monaten lese ich ihn immer wieder. Konkret: Seit Sam Altman und andere Vordenker der Branche die Prophezeiung ausgaben, dass Einzelpersonen mit Hilfe von KI-Agenten bald Unternehmen mit Milliardenbewertung aufbauen würden. Das Stichwort lautet Ein-Personen-Unicorns. Übersetzt: Der Gründer als vollständiges Ensemble, als Entwickler, Designer, Vertriebler, Buchhalter und Marketingstratege zugleich, verstärkt durch eine Armee von Sprachmodellen, die gehorsam Code generieren und Kunden kontaktieren.

Diese Prophezeiung ist verführerisch, weil sie einer uralten, prometheischen Sehnsucht nach totaler Souveränität und Kontrolle schmeichelt. Kein Team, das koordiniert werden will. Keine menschlichen Eigenheiten, die berücksichtigt werden müssen. Keine lästigen Kollegen, die anderer Meinung sind. Nur man selbst, die Bühne und die Modelle. Das klingt nach Befreiung. Es riecht nach Windel. Kafka, so ist mir beim Lesen aufgefallen, hat sein Stück hundert Jahre zu früh aufgeschrieben.

Denn Kafkas Direktor ist ja nicht deshalb lächerlich, weil sein Vorhaben scheitert – er scheitert im Tagebucheintrag ja gar nicht. Er ist lächerlich, weil die innere Logik seines Ehrgeizes ihn unausweichlich dorthin geführt hat: zur Windel. Wer lückenlose Kontrolle anstrebt, muss die Schauspieler selbst zeugen; wer sie selbst zeugt, muss auch für sie sorgen. Die Allmacht endet im Pflegeheim der eigenen Schöpfung.

Was der Mensch (ver)lernt

Das weist auf einen blinden Fleck hin, der in der aktuellen Euphorie um Solo-Coder und ihre KI-Agenten in den sozialen Medien oft übersehen wird. Nicht die Frage, ob diese Werkzeuge produktiv sind – das sind sie, oft beeindruckend –, sondern die Frage, was der Mensch dahinter dabei lernt oder verlernt. Sprachmodelle produzieren auf Zuruf: Code, Marktanalyse, Pitch-Deck. Aber sie wissen im strengen Sinne gar nichts. Der Direktor hat ein glänzendes Ensemble gezeugt; ob es spielen kann, erfährt er erst, wenn der Vorhang aufgeht.

Nehmen wir den KI-Bühnenbildner: Er kann Ihnen den Unterschied zwischen Preußischblau und Kobalt in drei Absätzen erklären. Aber er scheitert daran, ein Objekt auf der Bühne zu lokalisieren, das nicht dort ist, wo er es erwartet. Die jüngste Forschung zu multimodalen Sprachmodellen zeigt genau das: Selbst die leistungsfähigsten Systeme erzielen beim visuellen Grounding – dem schlichten Auffinden eines Gegenstandes im Bild – erschreckend niedrige Trefferquoten; bei Aufgaben, die das Erkennen von Abwesenheit erfordern, versagen die meisten vollständig. Was Kognitionswissenschaftler das Binding-Problem nennen, ist in der Praxis vernichtend: Das Modell beschreibt, was es zu sehen erwartet. Es sieht nicht. In anderen Worten: Der KI-Bühnenbildner malt aus dem Gedächtnis, nicht aus der wirklichen Anschauung.

Und der Hauptdarsteller? Er kommt manchmal, wenn man ihm richtig zuflüstert („promptet“), auf die richtige Zeile – aber über Wege, die er sich nicht merken kann, weil er sie nicht gegangen ist. Apples Forschungsteam hat das in einer wichtigen Studie nüchtern „The Illusion of Thinking“ genannt: Sogenannte Reasoning-Modelle, die durch verlängerte Denkprozesse besonders zuverlässig wirken sollen, erleiden ab einem bestimmten Komplexitätsniveau einen Genauigkeitskollaps. Bei einfachen Aufgaben übertreffen sie die älteren Modelle nicht einmal. Was bleibt, ist ein Ensemble, das gelegentlich brillant klingt, aber strukturell unzuverlässig ist. Kein Probengedächtnis, keine Replizierbarkeit. Das Paradox setzt sich beim Publikum fort: Studierende, die regelmäßig KI-Assistenten zum Schreiben und Denken nutzen, zeigen messbar schwächere Gedächtnisleistung, geringere kognitive Eigenständigkeit und – besonders ernüchternd – auch dann noch schlechtere Ergebnisse, wenn sie wieder ohne KI arbeiten. MIT-Forscher sprechen von „kognitiver Verschuldung“.

Die Windeln stapeln sich im Fundus.

Wohin eine solche Aufführung führt? Das sieht man am Bild des Hobby-Coders, der zwar engagiert mit Claude Code spielt, sich aber nie die Prinzipien von sauberem Code angeeignet hat. Zweihundert Zeilen, die funktionieren – bis sie es nicht mehr tun. Dann beginnt das Debugging: ein Durchsuchen von generiertem Code, den der Autor nicht mehr versteht, und zunehmend auch nicht das Modell, das beim nächsten Prompt munter darüber hinweg generiert. Laut einer Analyse von 211 Millionen Codezeilen durch GitClear hat sich der sogenannte Code-Churn im KI-Zeitalter verdoppelt, während 45 Prozent des KI-generierten Codes Sicherheitslücken enthält. Dies wird zunehmend von Hackern ausgenutzt. Der Begriff „Vibe Coding“ ist keine zwei Jahre alt und hat bereits eine eigene technische Schuldenkrise produziert, die erst langsam sichtbar wird. Das Theater steht. Die Windeln stapeln sich im Fundus.

Diese Kritik bedeutet nicht, dass die Werkzeuge wertlos wären. Ich selber nutze lokale KI-Modelle gerne und viel, gerade für mühsame Programmieraufgaben. Für technisch versierte Gründer sind KI-Agenten ein Hebel, den frühere Generationen nicht kannten. Manche Windeln nimmt einem das Modell tatsächlich ab. Doch Unicorns heißen nicht umsonst so: mythische Wesen, selten und wunderlich. Ein-Personen-Unicorns wären mythische Wesen zweiter Ordnung. Was manche Influencer in den sozialen Medien als wundersame Programmierprojekte präsentieren, die angeblich an einem Wochenende entstanden sind, sind Ausnahmen aus einer frühen Phase. Alle anderen debuggen noch.

Der Unterschied zwischen Vision und Theater auf dem höchsten Niveau liegt in der Arbeit dazwischen. Nicht in der glamourösen, nicht in der sichtbaren, sondern in der stillen, zeitaufwändigen, ein wenig demütigenden Arbeit, die das Geschehen auf der Bühne am Laufen hält. Ökonomen, die Transformationstechnologien von der Dampfmaschine bis zur Elektrifizierung analysiert haben, nennen das die Komplementaritätsbedingung. Eine Basistechnologie entfaltet ihren Nutzen nicht durch bloße Verfügbarkeit, sondern durch die jahrelange, unsichtbare Reorganisation von Prozessen, Kompetenzen und Institutionen.

Daron Acemoglu hat das für die generative KI konkret beziffert: Selbst unter optimistischen Annahmen dürfte die Technologie das BIP über zehn Jahre um weniger als ein Prozent heben – weil die komplementäre Arbeit, die sie erst produktiv macht, Zeit braucht und konstante Validierung verlangt.

Man wird nicht vorgelassen. Der Direktor ist beschäftigt.

Was er tut? Er wechselt Windeln.

Die KI nimmt einem ein paar davon ab. Vielleicht sogar viele. Aber das Theater baut sie einem nicht.

Anselm Küsters ist Fachbereichsleiter Digitalisierung und Neue Technologien am Centrum für Europäische Politik (cep) in Berlin. Im Sommersemester 2025 und Wintersemester 2025/26 war er zudem Vertretungsprofessor für Digital Humanities an der Universität Stuttgart. Er ist Autor des Buches „Small is beautiful 2.0: Mit digitaler Dezentralisierung zu einer menschlicheren Wirtschaft“, das jüngst im Herder Verlag erschienen ist.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Bundesgesundheitsministerium will die Digitalisierung im Gesundheitswesen rasch voranbringen. Ein Gesetzentwurf definiert dafür die Rolle der elektronischen Patientenakte um, weitet die Nutzung von Gesundheitsdaten erheblich aus und gibt der Gematik neue weitreichende Befugnisse. Wir veröffentlichen den Gesetzentwurf.

Bundesgesundheitsministerin Nina Warken (CDU) hat einen ersten Entwurf für das „Gesetz für Daten und digitale Innovation im Gesundheitswesen“ (GeDIG) vorgelegt. Das rund 200-seitige Dokument soll die Weichen für eine digital gestützte Gesundheitsversorgung stellen und wird derzeit zwischen den Bundesministerien abgestimmt. Wir veröffentlichen den Entwurf (PDF).

Das Fundament für das Gesetz hatte Warken bereits Mitte Februar mit ihrer Digitalisierungsstrategie gebaut. Darin formuliert die Ministerin das Ziel, die elektronische Patientenakte (ePA) nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung zu machen, sondern auch zur „Gesundheits(daten)plattform“ auszubauen.

Dementsprechend soll das GeDIG unter anderem die Grundlagen für ein „digitales Primärversorgungssystem“ schaffen, indem es die Rolle der ePA erheblich erweitert. Außerdem will das Ministerium mehr Gesundheitsdaten für die Forschung bereitstellen und die Befugnisse der Gematik umfassend ausbauen.

Die elektronische Patientenakte als erste Anlaufstelle

Die ePA-App soll den Versicherten künftig einen „digitalen Versorgungseinstieg“ ermöglichen. Sie wäre dann nicht mehr nur ein digitaler Dokumentenspeicher, sondern die erste digitale Anlaufstelle für die gesundheitliche Grundversorgung.

Mit Hilfe der App sollen Versicherte künftig zunächst eine Ersteinschätzung einholen. Diese Einschätzung soll spätestens ab dem 1. Februar 2028 nach einheitlichen Standards durch die Terminservicestellen der Kassenärztlichen Vereinigungen erfolgen. Versicherte sollen dann über die ePA-App direkt an deren standardisierte Ersteinschätzungsverfahren weitergeleitet werden. Wird dabei ein Behandlungsbedarf festgestellt, können die Versicherten über die App digital einen Termin für eine ärztliche Behandlung buchen. Damit der Prozess möglichst reibungsfrei abläuft, müssen Arztpraxen ab dem 1. September 2029 die elektronische Überweisung anbieten.

Bei der Terminvergabe sollen ebenfalls einheitliche Standards gelten. Buchungsplattformen wie Doctolib müssen sich laut Gesetzentwurf auf strengere Vorgaben einstellen, die die Kassenärztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband festlegen. Sie sollen unter anderem sicherstellen, dass Dritte den Terminbuchungsprozess nicht kommerziell nutzen.

Krankenkassen sollen Gesundheitsdaten auswerten dürfen

Das GeDIG zielt außerdem darauf ab, dass im Gesundheitswesen mehr Daten für „Versorgung, Forschung und Innovation“ bereitstehen.

Dafür sollen die Krankenkassen deutlich mehr Befugnisse erhalten, um bei ihren Versicherten individuelle Gesundheitsrisiken auszumachen. Mit Zustimmung der Versicherten sollen sie auf Daten zugreifen dürfen, die in der ePA hinterlegt sind. Zudem sollen sie selbst Gesundheitsdaten erheben können, die unter anderem „Ernährungsgewohnheiten“, den „Raucherstatus“ oder das Körpergewicht der Versicherten erfassen. Mit den gewonnenen Informationen dürfen die Versicherungen dann auf „gesunde Lebensverhältnisse“ laut Gesetzentwurf bei ihren Versicherten hinwirken.

Darüber hinaus sollen die Kassen personenbezogene Sozialdaten, die ihnen vorliegen, anonymisieren und auswerten dürfen. Nach der Anonymisierung weisen die Daten keinen Personenbezug mehr auf. Aus Datenschutzsicht dürfen sie damit „zur Erfüllung gesetzlicher Aufgaben“ weiterverarbeitet und an Dritte übermittelt werden.

Auch mit nicht-anonymisierten Daten sollen die Kassen hantieren dürfen. Eine neue Experimentierklausel soll es ihnen ermöglichen, sogenannte Reallabore einzurichten. Hier können die Versicherungen zeitlich befristet die „innovative Nutzung von personenbezogenen Daten“ erproben, etwa um eine „bessere Einschätzung von Erkrankungsrisiken (z. B. Demenz, Herzerkrankungen)“ zu erhalten.

Damit kommt der Gesetzentwurf den Erwartungen der Krankenkassen weitgehend entgegen. Ende vergangenen Jahres hatte der GKV-Spitzenverband gefordert, die Präventionsangebote der Kassen „durch den Ausbau der datengestützten Früherkennung von Krankheiten“ ausbauen zu dürfen. Die Ärzteschaft hatte vor einem solchen Schritt gewarnt, weil sie die Aushöhlung des Patientengeheimnisses und der ärztlichen Schweigepflicht befürchtet. Offenkundig setzt sich das BMG über derlei Bedenken nun tendenziell hinweg.

So umfassend will Warken die Gesundheitsdaten aller Versicherten verknüpfen

Eine Forschungskennziffer gegen Datensilos und für Widerspruchsrechte

Damit auch die Forschung von den Gesundheitsdaten profitiert, sieht der Gesetzentwurf die Einführung einer „eindeutigen Forschungskennziffer“ vor. Diese pseudonyme Kennziffer wird aus dem unveränderlichen Teil der Krankenversichertennummer (KVNR) abgeleitet und soll „die Verknüpfung von Daten verschiedener Datensilos“ ermöglichen.

Damit will das BMG zugleich die Umsetzung der EU-Verordnung über den Europäischen Gesundheitsdatenraum) (EHDS) vorbereiten. Die Verordnung trat im März 2025 in Kraft und findet in den kommenden Jahren sukzessive Anwendung. Der EHDS wird der erste sektorenspezifische Datenraum in der EU sein und soll als Blaupause für weitere sogenannte Datenräume dienen. Künftig sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Auch Forschende und Behörden sollen diese Daten unter bestimmten Voraussetzungen nutzen dürfen. Möchten Versicherte das nicht, können sie von ihrem Widerspruchsrecht (Opt-out) Gebrauch machen. Die Forschungskennziffer soll laut BMG als technischer Schlüssel dienen, um die entsprechenden Datensätze gezielt herauszufiltern.

„Trotz der Funktion als ‚unique identifier‘ ist es gerade nicht das Ziel der Forschungskennziffer, einer Identifizierung von Einzelpersonen zu ermöglichen“, betont das BMG in dem Gesetzentwurf. „Im Gegenteil dient die Forschungskennziffer gerade dazu, bei der Zurverfügungstellung von Daten solche Merkmale zu ersetzen, über die Betroffene leichter re-identifiziert werden können.“

Fachleute weisen jedoch darauf hin, dass eine derartige Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation biete. Das Risiko steige zudem an, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, die weitere personenbezogene Daten der gleichen Person enthalten.

Gematik erhält deutlich mehr Befugnisse

Um das „hohe Tempo bei der Digitalisierung im Gesundheitswesen und der Pflege […] aufrecht zu erhalten“ ist laut BMG auch „die Fortentwicklung der Gesellschaft für Telematik (gematik) erforderlich“. Die Gematik ist in Deutschland für die technischen Vorgaben bei der Digitalisierung des Gesundheitswesens verantwortlich. Betrieben wird die Firma gemeinschaftlich von Ministerien wie dem BMG sowie privaten Organisationen aus dem Gesundheitsbereich, darunter Krankenkassen-Verbände oder die Bundesärztekammer. Der Gesetzentwurf sieht vor, dass die Gematik neue Befugnisse erhält.

Das Ministerium verfolgt damit insbesondere das Ziel, die Betriebsstabilität der Telematikinfrastruktur (TI) zu verbessern. Die TI ist das digitale Netzwerk des deutschen Gesundheitswesens, über das Arztpraxen, Kliniken, Apotheken und Krankenkassen Informationen austauschen. Sie erwies sich in den vergangenen Jahren allerdings als überaus instabil. Unter anderem KBV-Vorstandsmitglied Sibylle Steiner hatte zu Jahresbeginn gefordert, dass die Technik „geräuschlos und reibungslos im Hintergrund laufen“ müsse. „Das muss 2026 das Ziel sein“, so Steiner.

Um das zu erreichen, will das BMG die Gematik von einer Zulassungsbehörde zu einer aktiv steuernden Digitalagentur mit Durchsetzungsbefugnissen ausbauen. Das wäre ein erheblicher Machtzuwachs für die vielfach kritisierte Gematik, ohne dass das Gesetz eine entsprechende unabhängige Kontrolle vorsieht – zumal das BMG nicht nur Auftraggeber, sondern auch Gesellschafter der gematik ist.

Laut Gesetzentwurf soll die Gematik kritische Kernkomponenten der Telematikinfrastruktur künftig selbst beschaffen und bereitstellen. Bislang verkaufen Anbieter ihre Komponenten eigenständig an Arztpraxen und Kliniken, nachdem die Digitalagentur diese zugelassen hat. Nach Einschätzung des Ministeriums hat das jedoch zu hoher Komplexität, schlechter Betriebsstabilität und mangelnder Servicequalität geführt. Um Störungen und Sicherheitsprobleme zu beseitigen, soll die Digitalagentur außerdem zusätzliche Durchgriffsrechte erhalten.

Auf diesem Wege will das Gesundheitsministerium auch mehr Interoperabilität im Gesundheitswesen erreichen. Verschiedene IT-Systeme, Programme und Plattformen sollen nahtlos zusammenarbeiten und untereinander Daten austauschen können, auch wenn sie von unterschiedlichen Herstellern stammen.

Als konkreter Anwendungsfall soll hier die digitale Impfdokumentation als Vorstufe des digitalisierten Impfprozesses eingeführt werden. Der sogenannte digitale Impfpass soll als eine „nutzenstiftende Mehrwert-Anwendung“ auch dazu beitragen, dass mehr Versicherte die ePA aktiv nutzen. Bislang tut das nämlich nur ein sehr kleiner Teil der Versicherten.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bevor das Recht auf einen zeitgemäßen Internetanschluss greift, springt wohl zunehmend der Satellitenanbieter Starlink ein. Doch wie oft das tatsächlich vorkommt, kann die Bundesregierung nicht beantworten.

In Deutschland soll niemand ohne Internetversorgung dastehen. Seit einigen Jahren stellt das Recht auf Versorgung mit Telekommunikationsdiensten eigentlich sicher, dass niemand den Anschluss verpasst. Doch wie viele Menschen beziehungsweise Haushalte potenziell nur eingeschränkten Zugang zum Internet haben, kann die Bundesregierung nicht genau sagen.

Wenn es um den Anschluss über Kabelleitungen geht, würden rund 4,4 Prozent aller Haushalte als potenziell unterversorgt gelten. Das wäre eine ganz schöne Menge: Es geht um rund 1,8 Millionen Anschlüsse an rund 1,4 Millionen Adressen, wie aus einer Antwort des Parlamentarischen Staatssekretärs Thomas Jarzombek (CDU) auf eine schriftliche Frage der grünen Bundestagsabgeordneten Rebecca Lenhard hervorgeht.

Indes spielt es beim Recht auf Internet keine Rolle, ob der Zugang über eine Kabelleitung oder drahtlos angeboten wird. Wenn sich eine Mobilfunk- oder Satellitenverbindung herstellen lässt, welche die Mindestanforderungen erfüllt und leistbar ist, dann gelten solche Haushalte als versorgt. Derzeit sind Schwellenwerte von 15 Mbit/s im Download und 5 Mbit/s im Upload bei einer Latenz von maximal 150 Millisekunden festgeschrieben.

Wie viele Haushalte letztlich von diesen Kriterien abgedeckt werden, erfasst die Bundesregierung jedoch nicht im Detail. „Da die konkrete Versorgung am Standort stark von verschiedenen Faktoren abhängt und dadurch volatil ist, kann nur im Einzelfall die Eignung einer funkbasierten Lösung bewertet werden“, heißt es im Antwortschreiben. Allerdings zeige die Praxis, dass funkbasierte Technologien die „Anzahl potenziell unterversorgter Adressen stark senken“.

Wenige Anträge, noch weniger Bewilligungen

Wie jüngst eine Recherche von netzpolitik.org zeigte, bleibt das seit dem Jahr 2021 gesetzlich verankerte Recht weitgehend ein Papiertiger. Trotz des hohen Bedarfs werden nur verhältnismäßig wenige Anträge gestellt. Im Vorjahr waren es laut Bundesnetzagentur insgesamt rund 1.650 Eingaben, die das Recht einzufordern versuchten. Geschätzte 95 Prozent davon wurden mit einem Verweis auf „alternative Versorgungsmöglichkeiten“ schnell erledigt, so die Bonner Behörde.

Auf die restlichen Fälle wartet eine langwierige Prozedur, die oft genug mit einem Hinweis auf den Satellitenbetreiber Starlink endet. Der zum Firmenimperium des US-Milliardärs Elon Musk gehörende Anbieter deckt inzwischen praktisch das gesamte Bundesgebiet ab. Wenn ein Ortstermin ergibt, dass sich eine halbwegs funktionsfähige Verbindung zu den Satelliten herstellen lässt, dann ist die Sache erledigt.

„Das Recht auf Versorgung mit Telekommunikationsdiensten war bei seiner Einführung gut und wichtig gedacht“, sagt die Autorin der schriftlichen Frage zu netzpolitik.org. Doch kaum jemand scheine es noch zu nutzen, was wohl am Verfahren selbst liege: „Es ist zu kompliziert, zu langwierig und für viele schlicht nicht zumutbar“, so die Abgeordnete Lenhard. Im Weg stünden undurchsichtige Formulare, aufwendige Nachweispflichten und Klagen der Telekommunikationsunternehmen, die eine Lösung für Betroffene jahrelang hinauszögerten.

Neues Test-Tool soll Hürden senken

Derweil bemüht sich die Bundesnetzagentur darum, zumindest einige Barrieren abzubauen. Seit Kurzem steht etwa eine Web-Anwendung bereit, mit der Betroffene relativ einfach herausfinden können, ob an ihrer Adresse die Mindestversorgung potenziell verfügbar wäre. Noch handelt es sich um eine Test-Version, die allerdings laufend verbessert werden soll, unter anderem durch eine erweiterte Datengrundlage.

Diese zusätzlichen Daten dürften sich in erster Linie auf Mobilfunk beziehen, wie sich aus dem Schreiben von Staatssekretär Jarzombek herauslesen lässt. „Eine angepasste Datenerhebung der Versorgungsdaten des Mobilfunks soll die Datenlage hier zukünftig verbessern“, verspricht der langjährige Digitalpolitiker.

Auf Anbieter wie Starlink lässt sich das nicht notwendigerweise übertragen. „Versorgungsdaten der Satellitenanbieter liegen der Bundesnetzagentur derzeit nicht vor, wobei abstrakte Aussagen von Satellitenanbietern aus Sicht der Bundesnetzagentur nicht geeignet sind, die Versorgung vor Ort zu bewerten“, bremst der Staatssekretär.

Ortstermine bleiben Pflicht

Dies liege daran, dass hierfür die lokalen Voraussetzungen erfüllt sein müssen. „Dazu gehören insbesondere ein freier Blick zum Himmel sowie das Fehlen von Signalverschattungen durch Gebäude oder andere Hindernisse“, heißt es. Diese Aspekte müssten vor Ort im Einzelfall geprüft werden, um eine realistische Einschätzung der tatsächlichen Versorgung zu ermöglichen. „Eine Aussage dahingehend, wie viel Prozent der versorgten Adressen über Satelliteninternet angeschlossen sind, lässt sich anhand der vorhandenen Datenlage nicht bestimmen“.

Unabhängig davon fordert die Grünen-Abgeordnete den konservativen Digitalminister Karsten Wildberger auf, beim Recht auf Breitband nachzuschärfen: „Ein moderner Universaldienst braucht verbraucherfreundliche Verfahren, klare Mindeststandards und echte Entlastung, etwa durch pauschale Entschädigungen statt aufwendiger Einzelnachweise“, sagt Lenhard.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.