Zwei Forschende haben verschiedene Wege genutzt, um an die Daten großer Plattformen zu kommen. In einem Vortrag auf dem 39. Chaos Communication Congress berichten sie von Hindernissen, aber auch davon, wie wertvoll das Recht auf Datenzugang ist.

Daten sind das Herzstück von Plattformen wie YouTube, TikTok und Instagram. Dabei geht es nicht nur um die Inhalte wie Videos oder Fotos, sondern vor allem auch um die Daten der Nutzer:innen: Was klicken sie an? Mit welchen Inhalten interagieren sie? Was läuft in Dauerschleife?

Wie ihre Empfehlungssysteme horten Google, ByteDance, Meta und Co. diese Daten und geben sie nur ungern preis. Doch es ist möglich, an sie heranzukommen – für Forschende und auch Nutzer:innen selbst. Wie das funktioniert und welche Hürden auf dem Weg liegen, haben David Wegmann und LK Seiling auf dem 39. Chaos Communication Congress präsentiert.

Die Datenschutzgrundverordnung verhilft zum persönlichen Datensatz

Das wohl bekannteste Werkzeug, um an die eigenen Daten heranzukommen, ist die Datenschutzgrundverordnung (DSGVO). Gemäß Artikel 15 hat eine Person das Recht, über sie verarbeitete Daten, Verarbeitungszwecke und andere Informationen von einem Datenverarbeiter zu erhalten.

Wegmann nutzte dieses Recht für seine Forschung zur Rolle von YouTube im demokratischen Diskurs. Dabei griff er auf Datenspenden von 1.064 Dän:innen zurück, die ihm ihre YouTube-Daten zur Verfügung stellten. Die Daten erhielt er, nachdem er 40.000 Personen um eine Datenspende gebeten hatte, berichtete er in dem Vortrag.

Dabei wurden auch die Probleme mit dem Datenzugang klar: Der Weg, die eigenen Daten herunterzuladen, ist nicht immer leicht. Bei großen Anbietern wie Google gibt es meist Möglichkeiten, über die Plattform direkt die Daten anzufordern. Bei anderen Diensten bekommen Nutzende teils erst auf mehrmalige Nachfrage Auskünfte auf Papier.

Doch selbst wenn die Daten wie bei YouTube digital über ein Online-Interface zur Verfügung stehen, bleibt es oft kompliziert: Unübersichtliche Dateien, Tabellen mit unklaren Spaltenbezeichnungen und die generelle Menge an Daten führen schnell zu Überforderung. Teils sind nicht alle Informationen enthalten, bei YouTube etwa, wie lange ein bestimmtes Video abgespielt wurde.

Ein weniger bekannter Weg für Nutzende, die eigenen Daten zu erhalten, geht über den Digital Markets Act, der besonders sogenannte Gatekeeper-Unternehmen im Blick hat. Er begründet für Nutzende das Recht auf Datenportabilität, damit es ihnen möglich ist, Anbieter zu wechseln, ohne ihre gesamten Daten bei einem anderen Dienst zu verlieren.

Datenauskünfte nach dem Digital Services Act geben andere Informationen

Nicht Betroffene selbst, aber Forschende können über den Digital Services Act (DSA) Daten von sehr großen Online-Plattformen anfordern. Seiling unterstützte Wegmann dabei, einen Antrag bei Google zu stellen.

Seiling sagt gegenüber netzpolitik.org: „Grundsätzlich gibt es im DSA zwei Arten von Forschungsdatenzugang. Einmal für öffentlich verfügbare Daten in Artikel 40 (12) und für allgemeine Daten in Artikel 40 (4).“ Bei Ersterem sollen Plattform-Anbieter Forschenden Zugang zu öffentlich zugänglichen Daten ihrer Dienste geben, um systemische Risiken zu erforschen. Bei Letzterem geht es um privilegierten Zugang zu Daten, die teilweise nicht öffentlich sind und die ebenfalls zur Risikoerforschung genutzt werden sollen. Das können beispielsweise Informationen zu Moderationsentscheidungen sein. Dafür sind die Hürden höher, der Antrag auf Zugang zu diesen Daten läuft nicht über die Plattformen direkt, sondern über den jeweils zuständigen nationalen Koordinator für Digitale Dienste.

Da der DSA und das darin verbriefte Recht auf Datenzugang noch vergleichsweise neu sind, gibt es teilweise noch Unklarheiten, was Antragsprozesse oder den Umfang der entsprechenden Daten angeht.

„Der DSA spezifiziert nicht genau, was mit öffentlich verfügbaren Daten gemeint ist“, sagt Seiling gegenüber netzpolitik.org. „Meiner Auffassung nach müsste das auch Informationen zum Plattformdesign oder Inhaltsdaten etwa von Videos betreffen. Aber es ist noch nicht klar, wo genau da die Grenze verläuft.“

Für Wegmann waren die Hürden des Antragsprozesses zu den öffentlich verfügbaren Daten ein Problem. „Google verlangt, dass man beweist, dass man die Daten supersicher aufbewahren kann, und will technische Details zur Speicherung wissen. Wir speichern die nun mit den gleichen Vorkehrungen wie die Patient:innendaten der medizinischen Fakultät“, so der Forscher.

Dass im Vorfeld nicht klar sei, welche Bedingungen man für den Datenzugang erfüllen müsse, sei ein Problem für Wissenschaftler:innen. „Das hat mich Wochen an Arbeit gekostet, all diese Informationen herauszubekommen“, berichtet Wegmann.

Was ist Forschung?

Eine weitere Hürde liegt in der Frage, wer überhaupt laut dem Gesetz als „Forscher“ gilt. Für den Zugang zu öffentlichen Daten muss man nicht an eine Forschungseinrichtung angeschlossen sein. Aber dennoch muss der Antragstellende neben den technischen Voraussetzungen nachweisen, dass die Forschung „unabhängig von kommerziellen Interessen“ ist, und seine Finanzierung offenlegen.

Gerade derartig aufwendige Nachweisprozesse dürften für zivilgesellschaftliche Forschung eine Hürde darstellen, insbesondere dann, wenn sie sich über lange Zeiträume hinziehen.

Trotz der bestehenden Hindernisse sehen Wegmann und Seiling in den Datenzugangsrechten wichtige Werkzeuge. „Mir ist wichtig, dass die Hackercommunity versteht, dass wir das Recht auf unserer Seite haben“, sagt Seiling. „Das ist nicht zu unterschätzen.“ Indem über den Datenzugang Probleme identifiziert werden, ließen sich vielleicht auch Plattformen dazu bringen, Umbauten vorzunehmen. Und so steht auch auf ihrer Schlussfolie zum Vortrag die Aufforderung: „Du kannst [die Datenauskunftsrechte] nutzen, um Tech-Plattformen zur Verantwortung zu ziehen.“

Gerade weil diese Rechte ein mächtiges Werkzeug sind, ist es wichtig, sie aktiv zu nutzen und zu verteidigen. Auch gegen Bestrebungen der EU-Kommission, etwa im Digitalen Omnibus die Selbstauskünfte nach der DSGVO einzuschränken. Und so warnt Wegmann davor, dass Datenauskunftsrechte und andere Rechte zur Verhandlungsmasse gemacht werden, auch auf Druck der USA, die sich gegen europäische Tech-Regulierung stemmen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 1. Kalenderwoche geht zu Ende. Wir haben 14 neue Texte mit insgesamt 80.230 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

das Jahr ist erst drei Tage alt und ich bin derzeit noch vor allem damit beschäftigt, die vergangene Woche zu verarbeiten. Der Jahreswechsel ist ja ohnehin für viele Menschen eine emotionale Zeit, für mich in jedem Fall. Das liegt nicht nur an diesem symbolisch aufgeladenen Datum, das zur Rückschau und zum Ausblick einlädt, sondern auch an dem Ereignis, das sich traditionell zwischen Weihnachten und Silvester abspielt: die jährliche Versammlung auf dem Kongress des Chaos Computer Clubs.

Es ist schwer in Worte zu fassen, was diese Veranstaltung ausmacht. Mehr als 15.000 Menschen kommen hier zusammen, um für vier Tage einen Ort zu erschaffen (mit Auf- und Abbau sind es noch mehr), der in vielerlei Hinsicht anders funktioniert als die Welt außerhalb. Sie programmieren, löten und knacken Schlösser zum Spaß. Vor allem aber sind sie solidarisch miteinander, sie vernetzen sich, sie teilen ihr Wissen und ihre Arbeitskraft. Sie schmieren Brötchen, kontrollieren den Einlass, bringen leere Flaschen weg und kümmern sich auch sonst rührend umeinander  – alles im Ehrenamt, alles selbstorganisiert. Das zu erleben, ist für mich jedes Jahr aufs Neue berührend und gibt mir Mut und Energie fürs neue Jahr.

Wenn mich jemand fragt, wie es auf dem Congress war, dann beschreibe ich meist genau diese Gefühle. Congress bedeutet Liebe, Dankbarkeit und Anerkennung. Ich fühle sie für viele der anderen Besucher*innen, die hier zusammenkommen. Denn es geht ja nicht nur um die Strukturen, die hier für eine viertägige Großkonferenz gemeinsam erbaut werden (auch wenn die unglaublich unterhaltsam und beeindruckend sein können). Viele der Menschen auf dem Congress arbeiten über das ganze Jahr daran, Strukturen zu schaffen und zu erhalten, die eine Gesellschaft besser machen. Sie kämpfen für Informationsfreiheit, gegen eine rassistische Migrationspolitik oder decken Sicherheitslücken auf. Die Vernetzung, Solidarität und Empathie, die es in Zeiten der faschistischen Bedrohung so dringend braucht und die in den vergangenen Jahren immer weiter abhandenkommt? Auf dem Congress findet man sie in allen Ecken.

Und wenn man das Glück hat, für eine Organisation wie netzpolitik.org zu arbeiten, dann bedeutet Congress umgekehrt auch: Liebe und Anerkennung zu erhalten. Menschen kommen nach den Vorträgen auf uns zu. In vielen der Talks greifen andere unsere Berichterstattung auf. Oder wie mein Kollege Markus Reuter schreibt:

„Es ist ein krasses Gefühl, einen Vortrag auf dem #39c3 zu hören und der Speaker bittet plötzlich um Applaus für @netzpolitik_feed – und dann klatschen da mehr als 2000 Menschen für das Medium, für das Du arbeitest. Mehr Vertrauen und Anerkennung kann ich mir kaum vorstellen.“

Nach dem mehrtägigen Bad in dieser wohligen Gefühlssuppe saß ich dann gerade völlig übermüdet im Zug auf dem Rückweg nach Berlin, als ich die Nachricht erhielt, dass wir unser Spendenziel für das Jahr 2025 erreicht haben. Und das bereits am 30. Dezember. In nur sechs Wochen hatten uns sehr viele Menschen zusammen fast eine halbe Million Euro gespendet und so dafür gesorgt, dass unsere Arbeit weiter finanziert ist. Ich kam dann sehr müde und sehr glücklich zu Hause an. #blessed

Ich weiß, dass der Jahreswechsel für viele eine eher ernüchternde und deprimierende Zeit ist. Es ist verständlich und okay, sich angesichts der Weltlage mutlos zu fühlen. Fürs nächste Jahr wünsche ich euch, dass ihr einen Ort findet, der euch so gute Gefühle gibt wie mir der Congress.

Auf ein Neues

Chris

---

Sicherheitslücke: Wenn die Nachricht vom Fake-Doktor kommt

Das KIM-System soll garantieren, dass Ärzt:innen und Krankenhäuser geschützt sensible Gesundheitsdaten austauschen können. Auf dem Chaos Communication Congress weist der IT-Forscher Christoph Saatjohann nach, dass das System gravierende Sicherheitslücken aufweist. Verantwortlich dafür sei vor allem die Gematik. Von Daniel Leisegang –
Artikel lesen

Maximaler Nervenkitzel: Das sind die Tricks der Glücksspiel-Industrie

Katsching und Klimper-klimper: Mit raffinierten Mechanismen fesseln Anbieter von Glücksspielen Menschen an die Geräte und verdienen Milliarden. In ihrem Vortrag auf dem 39C3 nimmt Forscherin Elke Smith die Tricks auseinander – und zeigt, wo Regulierung ansetzen könnte. Von Sebastian Meineck –
Artikel lesen

Der Countdown läuft: Uns fehlen noch knapp 63.000 Euro!

Uns bleiben nur noch wenige Tage, um unser Spendenziel zu erreichen. Nur dann können wir unsere Arbeit wie gewohnt auch im kommenden Jahr fortsetzen. Spende jetzt! Von netzpolitik.org –
Artikel lesen

Breakpoint: Netzpolitik ist Machtpolitik

Netzpolitik wird allzu oft als technische Detailfrage für Nerds verkannt. Doch dort verhandeln wir längst individuelle wie kollektive Freiheit, Hoheit und Macht. Zwischen staatlichen Kontrollansprüchen und der Dominanz globaler Techkonzerne geraten die Interessen der Nutzer:innen ins Hintertreffen. Von Carla Siepmann –
Artikel lesen

bund.ee: Vertippt und umgekippt

Beim Umgang mit Domains kann einiges schiefgehen. Einige Probleme ließen sich leicht verhindern, das würde die IT-Sicherheit verbessern und es Betrüger:innen schwerer machen. Doch bei Bundesbehörden deckt ein Sicherheitsforscher immer wieder Probleme auf. Von Anna Biselli –
Artikel lesen

Erfundene Quellen: Wie Chatbots die Wikipedia vergiften

Manche Nutzer:innen lassen sich Wikipedia-Artikel von Sprachmodellen generieren, inklusive erfundener Referenzen. Ein Wikipedia-Urgestein stolperte zufällig über die halluzinierten Artikel – ausgerechnet mit der Hilfe von einem Sprachmodell. Von Leonhard Pitz –
Artikel lesen

Digitale Brieftasche: „Auf einem ähnlich unguten Weg wie die elektronische Patientenakte“

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt. Von Daniel Leisegang –
Artikel lesen

Dezentrale Netzwerke: „Es braucht dauerhaft zivilgesellschaftliche Power“

Mastodon galt vielen als Alternative zu Twitter, nachdem Elon Musk die kommerzielle Plattform übernommen hatte. Marco Wähner sprach auf dem 39. Chaos Communication Congress darüber, warum das dezentrale Netzwerk mehr als nur eine Alternative ist und was wir als Zivilgesellschaft tun müssen, um dessen Idee zu stärken. Von Esther Menhard –
Artikel lesen

Huduma Namba: Wie Kenias Zivilgesellschaft die Totalerfassung der Bevölkerung bekämpfte

Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg. Von Ingo Dachwitz –
Artikel lesen

Digital Fights: Wir sagen tausend Male Dankeschön!

Die Finanzierung von netzpolitik.org für 2026 ist gesichert. Wir sind überglücklich und erleichtert. Vielen Dank euch allen! Ihr seid die beste Community der Welt. Von netzpolitik.org –
Artikel lesen

Neutralität und Grundgesetz: Widerstand ist Pflicht

Bundestagspräsidentin Julia Klöckner pocht darauf, doch wer kann heutzutage noch neutral sein? Um die Demokratie zu verteidigen, sei Rückgrat sogar Pflicht, ordnen Hannah Vos und Vivian Kube auf dem 39. Chaos Communication Congress die Debatte rund ums Neutralitätsgebot ein. Von Esther Menhard –
Artikel lesen

Public Domain Day: Diese Werke sind ab heute gemeinfrei

Mit Beginn des Jahres 2026 gehen viele Kunstwerke, Schriften und Musikstücke in die Public Domain über. In Europa sind das die Werke von Urheber*innen, die im Jahr 1955 gestorben sind. Mit dabei sind Thomas Mann, Fernand Léger und Clemence Housman. Von Timur Vorkul –
Artikel lesen

Strategien für politisches Engagement: Vier Vorträge vom Hackerkongress, die Mut machen

Politisch Einfluss nehmen, ohne auszubrennen. Privatsphäre verteidigen, obwohl die Zeichen auf Überwachung stehen. Demokratische Räume stärken – in braunen Nestern. Vier Vorträge vom 39C3 geben interessierten Menschen Motivation und praktische Tipps an die Hand. Von Sebastian Meineck –
Artikel lesen

#304 Off The Record: Recherche-Highlights live vom 39C3

Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet! Von Ingo Dachwitz –
Artikel lesen

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Politisch Einfluss nehmen, ohne auszubrennen. Privatsphäre verteidigen, obwohl die Zeichen auf Überwachung stehen. Demokratische Räume stärken – in braunen Nestern. Vier Vorträge vom 39C3 geben interessierten Menschen Motivation und praktische Tipps an die Hand.

2025 war kein erbauliches Jahr für Grund- und Menschenrechte. Während die rechtsradikale Trump-Regierung die USA zu einer Autokratie umkrempelte, brachten Regierungen in der EU und Deutschland teils uralte Überwachungs-Vorhaben wieder voran, und ausgerechnet die deutsche Kanzlerpartei nahm wiederholt die demokratische Zivilgesellschaft ins Visier.

Wenig spricht dafür, dass sich der Tenor im Jahr 2026 ändern wird. Was tun, um nicht in Resignation und Verzweiflung zu verfallen?

Antworten hierzu liefern viele Vorträge vom jüngsten Chaos Communication Congress in Hamburg. Vier mit besonders praktischen Impulsen fassen wir hier kurz zusammen – sie kommen von Jurist*innen, Aktivist*innen und Insider*innen aus dem Bundestag.

1. Politisch Einfluss nehmen: Tipps von Bundestag-Insider*innen

📋 Worum geht es? Wer Politik und Gesetzgebung selbst positiv beeinflussen möchte, bekommt im Vortrag „Power Cycles statt Burnout – Wie Einflussnahme nicht verpufft“ eindringliche und konkrete Tipps – mit besonderer Rücksicht darauf, dass man als engagierter Mensch nur begrenzt Zeit und Energie hat.

🗣️ Wer spricht da? Anna Kassautzki war von 2021 bis 2025 Bundestagsabgeordnete der SPD und stellvertretende Vorsitzende des Digitalausschusses. Rahel Becker hat sie als wissenschaftliche Mitarbeiterin unterstützt, unter anderem beim Einsatz gegen das als Chatkontrolle bekannte Überwachungsvorhaben der EU.

💡 Was kann man lernen? Stück für Stück erklären Kassautzki und Becker, wie man zunächst die für das eigene Anliegen relevanten Köpfe identifizieren kann: etwa Abgeordnete (und deren Mitarbeitende) im zuständigen Ausschuss oder Abgeordnete aus dem eigenen Wahlkreis. Außerdem raten sie dazu, das eigene Anliegen prägnant zu verpacken: Auf einem One Pager mit konkreten Beispielen, die auch „Oma“ versteht. Schließlich geben sie Tipps, wie man Bündnisse schmiedet und sich im Netzwerk die Arbeit aufteilt, um sich Gehör zu verschaffen – zu strategisch klug gewählten Anlässen.

🥽 Für wen lohnt sich der ganze Vortrag? Für Menschen, die bereits politische Arbeit machen und sich einen Effizienz-Boost geben wollen – und für alle, die überlegen, damit anzufangen. „Wir glauben, dass es fundamental wichtig ist, dass nicht nur große Konzerne in den Büros von Abgeordneten sitzen“, sagt Rahel Becker, „sondern dass da auch sehr viel Zivilgesellschaft sitzt.“

2. Narrative ändern: Tipps von Digital-Aktivist*innen

📋 Worum geht es? Der englischsprachige Vortrag „The Last of Us – Fighting the EU Surveillance Law Apocalypse“ unternimmt zunächst eine Zeitreise: von den frühen Angriffen auf Verschlüsselung in den Neunzigerjahren bis hin zu den frischen Plänen der EU-Kommission für ein Revival der Vorratsdatenspeicherung. Zuletzt gibt es einen Ausblick, wie sich Überwachungsvorhaben in Zukunft bekämpfen lassen.

🗣️ Wer spricht da? Svea Windwehr ist Co-Vorsitzende von D64, einem Verein für progressive Digitalpolitik, und Policy Advisor bei Mozilla. Chloé Berthélémy ist Policy Advisor bei European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte.

💡 Was kann man lernen? Die Aktivist*innen warnen vor einer Wende im Kampf gegen digitale Überwachung: Ob höchste Gerichte weiterhin gefährliche Vorhaben stoppen, sei inzwischen nicht mehr sicher. „Die digitale Zivilgesellschaft muss umdenken“, warnt Windwehr auf Englisch. „Es ist ein Kampf um Narrative, nicht um Gerichtsverfahren.“ Man müsse neue Wege finden, zu erzählen, warum Datenschutz und Privatsphäre wichtig sind. „Wenn wir das tun, glaube ich, dass Widerstand definitiv möglich ist und dass es noch Hoffnung gibt.“ Notwendig seien zudem breite Allianzen mit bisher ungewohnten Partnern – wie etwa Kinderschutz-Organisationen im Kampf gegen die Chatkontrolle.

🥽 Für wen lohnt sich der ganze Vortrag? Der stufenweise Ausbau staatlicher Überwachung zieht sich wie ein roter Faden durch die letzten drei Jahrzehnte: von den bereits in den 90ern gestarteten Crypto Wars über Fluggastdatenspeicherung und Vorratsdatenspeicherung bis hin zu Chatkontrolle. Der Vortrag zeichnet diesen Faden nach und gibt am Ende Impulse für Interessierte, die sich einbringen wollen.

3. Widerstand als Pflicht: Tipps von Jurist*innen

📋 Worum geht es? Rechte bis Rechtsextreme von Union bis AfD nutzen die Forderung nach „Neutralität“ als Waffe gegen die demokratische Zivilgesellschaft. Der Vortrag „Wer hat Angst vor dem Neutralitätsgebot?“ buchstabiert aus, in welchen begrenzten Fällen Menschen und Organisationen tatsächlich auf sogenannte Neutralität achten sollten – und wann sie ganz im Gegenteil beherzt Zivilcourage zeigen müssen. Hier haben wir ausführlicher darüber berichtet.

🗣️ Wer spricht da? Hannah Vos und Vivian Kube arbeiten beide als Rechtsanwält*innen in der Berliner Kanzlei KM8 und gehören zum Legal Team von FragDenStaat.

💡 Was kann man lernen? Egal, ob man Bundeskanzlerin oder Abgeordneter ist, Verwaltungsbeamt*in, Lehrer*in, Aktivist*in oder einfach nur angestellt in einem Unternehmen – Kritik und Widerstand gegen Menschenfeindlichkeit sind legal, möglich und in manchen Kontexten sogar Pflicht. „Es gibt keine Neutralität vor den Werten des Grundgesetzes“, bringt Hannah Vos es auf den Punkt.

🥽 Für wen lohnt sich der ganze Vortrag? Der Vortrag entzaubert das sogenannte Neutralitätsgebot als Schreckgespenst, das in vielen Kontexten nicht oder nur unter bestimmten Voraussetzungen gilt. Wer bis zum Ende schaut (oder dorthin springt) erfährt zudem die Geschichte des Druckers Dieter Schlichting, der ein legendäres Grundsatzurteil erstritt: zur Arbeitsverweigerung aus Gewissensgründen, weil er keine Nazi-Prospekte drucken wollte.

4. Räume vor Ort stärken: Tipps von Antifaschist*innen

📋 Worum geht es? Bei zwei Landtagswahlen in Ostdeutschland könnte die AfD laut Umfragen im Jahr 2026 stärkste Kraft werden: Sachsen-Anhalt und Mecklenburg-Vorpommern. Vor diesem Hintergrund berichten zwei Aktivist*innen vom Netzwerk Polylux, wie sie antifaschistische Projekte in Ostdeutschland fördern. Titel: „Aber hier Leben? Nein danke! …oder doch? Wie wir der autoritären Zuspitzung begegnen können“.

🗣️ Wer spricht da? Die Vortragenden Jaša Hiergeblieben und Lisa Zugezogen vertreten das seit 2019 aktive Netzwerk Polylux. Über Fördermitgliedschaften und Spenden verteilt der Verein Geld an Projekte im ländlichen ostdeutschen Raum.

💡 Was kann man lernen? Gerade im Gespräch mit Menschen aus dem Publikum gibt es motivierende Impulse. So kritisiert Jaša, dass die Brandmauer-Proteste (2024-2025) zwar für begrenzte Zeit Massen auf die Straße gebracht hatten, aber danach wieder verhallt sind. Polylux dagegen interessiert sich für nachhaltige Strukturen: zum Beispiel Gemeinschaften und Treffpunkte, die Menschen zusammenbringen, vor allem in rechtsextrem geprägten Regionen. Selbst wenn man sich am eigenen Wohnort nur mit wenigen coolen Menschen zusammenschließt, ist es „super wichtig zu wissen: Ich bin nicht alleine“, so Jaša. Und falls jemand für Westdeutschland ein ähnliches Netzwerk wie Polylux gründen möchte, „dann macht das, macht damit einfach los!“

🥽 Für wen lohnt sich der ganze Vortrag? Wer die strukturellen Probleme hinter rechtsextremer Radikalisierung besser verstehen will, findet in den Schilderungen der Aktivist*innen Erklärungen. Um die vorwiegend düsteren Aussichten aufzuhellen, berichten die beiden aber auch von erfolgreichen Projekten im Osten – wie dem ersten CSD in Grevesmühlen, Mecklenburg-Vorpommern.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.

Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.

Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.

Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.

Koloniales Echo

Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.

Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.

Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.

In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.

Radikale Verweigerung

Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.

Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.

Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.

2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.

Der Kampf geht weiter

Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.

Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mastodon galt vielen als Alternative zu Twitter, nachdem Elon Musk die kommerzielle Plattform übernommen hatte. Marco Wähner sprach auf dem 39. Chaos Communication Congress darüber, warum das dezentrale Netzwerk mehr als nur eine Alternative ist und was wir als Zivilgesellschaft tun müssen, um dessen Idee zu stärken.

Gut drei Jahre ist es her, dass Elon Musk Twitter gekauft hat. Viele Nutzer:innen verloren daraufhin ihr digitales Wohnzimmer. Und schnell wurde klar, dass die Plattform fortan der Willkür eines einzelnen Tech-Unternehmers unterliegt. Als Musk Mitarbeiter:innen aus dem Kern-Team entließ und die Bezahlversion für das umgetaufte Twitter einführte, verließen viele die Plattform und wandten sich Mastodon zu.

Das Versprechen hinter Mastodon: Das dezentrale Netzwerk entzieht sich der Kontrolle einer einzelnen Person. Denn hier geht es nicht um Profit, sondern vielmehr um eine digitale Gemeinschaft von Menschen, die die Kontrolle über ihre Kommunikationskanäle selbst in die Hand nehmen. Aber können dezentrale Netzwerke dieses Versprechen einlösen? Und wie dezentral sind sie tatsächlich?

Mit diesen Fragen beschäftigte sich Marco Wähner auf dem Chaos Communication Congress in Hamburg. Im Interview spricht der Soziologe über seine Forschung. Wähner arbeitet am Center for Advanced Internet Studies (CAIS) als wissenschaftlicher Mitarbeiter in der Abteilung Research Data and Methods.

„Wir haben eine Zentralität innerhalb der Dezentralität“

netzpolitik.org: Du forschst zu dezentralen Netzwerken. Was ist deine Motivation?

Marco Wähner: Ich wollte wissen: Sind dezentrale Netzwerke der Goldstandard, der selbst nicht hinterfragt werden muss? Dafür habe ich mir unter anderem das Fediverse angeschaut.

netzpolitik.org: Was ist die wesentliche Erkenntnis deiner Untersuchung?

Wähner: Es gibt auf der einen Seite die Idee der Dezentralität. Auf der anderen Seite kann man allerdings auch in dezentralen Netzwerken einen Trend zur Zentralität beobachten. Im deutschsprachigen Ökosystem von Mastodon kann man etwa beobachten, dass sich 80 Prozent der Nutzer:innen mit ihren Accounts auf nur 14 Instanzen verteilen. Wenn man bedenkt, dass das gesamte Ökosystem aus etwa 240 Instanzen besteht, veranschaulicht das eine starke Konzentration. Da haben wir eine Zentralität innerhalb der Dezentralität.

netzpolitik.org: Woran liegt das?

Wähner: Wir haben uns daran gewöhnt, dass soziale Medien uns eine Atmosphäre bieten, in der alles für uns vorkonfiguriert ist. Auf Mastodon hat man viele Mitgestaltungsmöglichkeiten, aber es ist auch Aktivität erforderlich. Nutzer:innen müssen sich aktiv darin einbringen, die digitale Infrastruktur zu pflegen. Wir kriegen hier die Chance, uns technologisch von großen Plattformen unabhängiger zu machen, aber dafür müssen wir auch etwas tun.

Außerdem lässt sich eine Parallele zu den Anfängen des Internets ziehen. Das hat als dezentrales Konstrukt angefangen, inzwischen kam es hier aber zur Zentralisierung. Das liegt daran, dass Menschen nur einen Bruchteil des Internets für Informationen, Wissen und Austausch nutzen. Regelmäßig besuchen sie nur wenige Websites.

Ein wesentlicher Faktor ist aber auch die Monopolbildung technologischer Konzerne. Es gibt starke Machtkonzentrationen auf wenige Plattformen und wenige Unternehmen, die hinter diesen Plattformen stecken. Ich finde das Bild einer vor Banalitäten blinkenden Einkaufs-Mall passend, wo immer unterschiedliche Verkaufsangebote dargestellt werden, die so mehr oder weniger über die ursprüngliche Idee des Internets drübergebaut worden ist. Und ich denke, dass wir das Potenzial des Internets nicht ausnutzen. Vielmehr ist es geprägt durch Konsum, durch Warenangebote.

Das Prinzip des Gemeinguts

netzpolitik.org: Warum kam es zu dieser Entwicklung hin zu Zentralisierung und Monopolen?

Wähner: Das ist eine komplexe, aber nicht überraschende Entwicklung. Und sie hängt vor allem damit zusammen, dass Angebote, Zugänge und Inhalte monetarisiert wurden. Hierdurch wurde die Monopolstellung einzelner Unternehmen stark begünstigt.

netzpolitik.org: Was unterscheidet dezentrale Netzwerke davon?

Wähner: Das zentralisierte Internet folgt dem Prinzip des Privateigentums. Dort entscheidet eine zentrale Autorität, was mit einer Infrastruktur passiert, wer Zugang hat und Ähnliches. Diese Autorität ist allein durch Eigentum legitimiert. Ein gutes Symbolbild dafür ist Elon Musk, der ein Waschbecken in die Büros von Twitter hineinträgt. Als neuer Eigentümer konnte er das machen.

Das löste bei vielen ein Störgefühl aus, denn Twitter wurde als öffentlich-digitaler Raum verstanden und genutzt. Wie instabil so ein öffentlicher Raum ist, zeigte sich, als sich jemand als Privateigentümer durchgesetzt hat.

Dezentrale Netzwerke folgen dem Prinzip des Gemeinguts. Dementsprechend gibt es keine zentrale Autorität, die darüber entscheidet, wie Ressourcen verteilt werden, wer Zugang zum Netzwerk hat, wie das Netzwerk wächst. Hier geht es um Selbstverwaltung.

Es braucht die zivilgesellschaftliche Basis

netzpolitik.org: Könnte da die öffentliche Hand unterstützen?

Wähner: Wichtig ist die Frage, wer hat die zentrale Autorität. Die sollte nicht bei der öffentlichen Hand liegen, sondern bei der Zivilgesellschaft.

Gleichwohl könnte man hier aber gesetzgeberisch aktiv werden. Ein Weg könnte darin bestehen, dass die Arbeit einzelner Akteure aus der Zivilgesellschaft, die digitale Infrastruktur für die Gemeinschaft zur Verfügung stellen, als gemeinnützig anerkannt wir. Zudem ist das digitale Ehrenamt sicher ein guter Weg, wenn sich Menschen im digitalen Raum ehrenamtlich engagieren.

Behörden und andere öffentliche Einrichtungen sollten Mastodon nutzen und ihre Inhalte dort zur Verfügung stellen. Damit können sie dem Netzwerk auch Schub verleihen. Doch es braucht die zivilgesellschaftliche Basis, um sich von einzelnen Personen und Akteuren unabhängig zu machen.

Eine echte Option zur bestehenden Zentralität

netzpolitik.org: Was ist deine Forderung?

Wähner: Angesichts des Trends zu Zentralisierung bei dezentralen Netzwerken wie Mastodon müssen wir uns als Zivilgesellschaft eines bewusst machen: Wir brauchen dauerhaft Power, damit wir mittel- und langfristig dezentrale Alternativen haben.

Es ist einfach, monetäre Interessen zu mobilisieren. Gemeinschaftliche Interessen bringen immer Zielkonflikte mit. Wenn wir wollen, dass dezentrale Netzwerke frei von Profitdenken bleiben, müssen wir in Zukunft Organisationen, Vereine und Nichtregierungsorganisationen stärken. Die können schon jetzt ihre Mitglieder mobilisieren. Sie sind in der Lage, digitale Infrastrukturen zur Verfügung zu stellen und auch Anknüpfungspunkte für Menschen zu schaffen, um dezentrale Netzwerke zu nutzen.

netzpolitik.org: Also seid aufmerksam und sorgt dafür, dass dezentrale Netzwerke dezentral bleiben?

Wähner: Vor allem sollten sie Menschen über die Bubble hinaus mitnehmen, also auch aus der breiten Zivilgesellschaft. Überwindet den Zielkonflikt der digitalen Ungleichheit. Wir sollten uns immer fragen, wie wir Menschen befähigen, Teil dieser Netzwerke zu werden und sich damit auseinanderzusetzen. Und wie wir das als echte Option zur bestehenden Zentralität in die öffentliche Debatte tragen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Manche Nutzer:innen lassen sich Wikipedia-Artikel von Sprachmodellen generieren, inklusive erfundener Referenzen. Ein Wikipedia-Urgestein stolperte zufällig über die halluzinierten Artikel – ausgerechnet mit der Hilfe von einem Sprachmodell.

Eigentlich wollte Mathias Schindler nur eine kleine Sache in der Wikipedia korrigieren. Doch dann baute der Wikipedianer versehentlich einen Detektor für bestimmte KI-generierte Inhalte in der Enzyklopädie. Auf dem 39C3 berichtet er, warum die halluzinierten Texte auch ein Problem für die Anbieter großer Sprachmodelle werden könnte und warum er den Autor:innen keine guten Absichten unterstellt.

Die kleine Sache, die Schindler korrigieren wollte, waren fehlerhafte ISBNs. Mit diesen 10 oder 13-stelligen Nummern werden Bücher identifiziert und finden sich oft in Quellenangaben von Wikipedia-Einträgen. Dabei sind die Zahlenkombinationen nicht vollkommen zufällig, erklärt Schindler im Talk. Die letzte Ziffer ist eine Prüfziffer, sie lässt sich aus den neun beziehungsweise zwölf vorherigen Ziffern berechnen. Ursprünglich wollte Schindler falsche ISBNs in der Wikipedia aufspüren und ausbessern, auch damit Nutzer:innen die richtigen Bücher finden, die als Referenzen in den Artikeln angegeben wurden.

Zufallsfund dank falscher ISBNs

„Referenzen auf Wikipedia sind nicht nur wichtig, sondern ein integraler Teil der Wikipedia“, sagt Schindler und verweist in seinem Vortrag auf den alten Spruch: „Wikimedia mag ein guter Ort sein, um eine Recherche zu starten, aber es ist ein schlechter Ort, um dort die Recherche zu beenden.“ (Alle Zitate aus dem Talk haben wir ins Deutsche übersetzt.) Schindler muss es wissen. Er ist Mitbegründer von Wikimedia Deutschland und Wikipedia-Autor seit 2003.

Um die inkorrekten ISBNs zu finden, schrieb Schindler ein Skript, lud die gesamte deutschsprachige Wikipedia herunter und durchsuchte sie nach ISBNs mit einer faulen Prüfziffer, erzählt er in seinem Vortrag. Doch er stieß nicht nur auf falsch eingegebene ISBNs oder von den Verlagen falsch ausgegebene ISBNs, sondern fand auch Artikel, bei denen zwei oder mehr Bücher fehlerhafte ISBNs hatten. Diese Bücher schienen zwar plausible Titel und Autor:innen zu haben, aber Schindler konnte sie nirgendwo sonst finden. Sie waren halluziniert.

Offenbar hatten sich Menschen ganze Artikel von einem Large Language Model (LLM) wie ChatGPT schreiben lassen, welches sich dann auch einen Abschnitt mit Einzelnachweisen ausdachte.

Noch ist es ein Nischenphänomen

Im Gespräch mit netzpolitik.org erzählt Schindler, dass er mit seiner Methode etwa 150 Artikel gefunden habe, bei denen man Sorge haben müsse, dass sie zumindest teilweise KI-generiert und frei erfunden seien. Allerdings seien die fehlerhaften Einträge nicht ausschließlich auf KI-Chatbots zurückzuführen, manchmal gebe es andere Gründe für mehrfach falsche ISBNs, sagt Schindler. Außerdem gibt es über drei Millionen deutschsprachige Wikipedia-Artikel, die 150 Auffälligen machen also nur ein äußerst geringen Anteil von 0,005 Prozent aus.

Andererseits erfasst Schindlers Methode auch nicht alle Halluzinationen, dafür war es schließlich nicht gedacht. „Dieses Werkzeug ist nicht das Universaltool zum Erkennen von ChatGPT-generierten Artikeln.“ Andere Möglichkeiten, solche Inhalte zu enttarnen, seien etwa systematische Abweichungen von der Syntax von „Media Wiki“ (der Software hinter Wikipedia). Oder wenn Autor:innen viele Adjektive verwenden: „Kein Wikipedianer, der was auf sich hält, wird den Fernsehturm als ‚großartig‘ oder ‚herausragend‘ bezeichnen.“

LLM generierter Text „Anti-These zu Wikipedia“

Doch auch wenn das Erstellen von Wikipedia-Artikeln mit LLMs noch nicht so verbreitet sein sollte, geht es für Wikipedia um Grundsätzliches: Die Kontamination mit Inhalten, die auf den ersten Blick wahr erscheinen könnten und sich als Fakten tarnen. Schindler sagt: „Man könnte es auch als Anti-These zu einem Enzyklopädie-Projekt wie Wikipedia beschreiben.“

Die Gefahren? Zum einen können sich falsche Infos verselbstständigen, wenn eine andere Veröffentlichung den vermeintlichen Fakt von Wikipedia abschreibt und die Wikipedia diese Veröffentlichungen hinterher als Beleg für genau diesen Fakt aufführen. Schindler weist in seinem Vortrag auf diesen Teufelskreis hin, der bereits vor LLMs ein Problem darstellte.

Glaubwürdigkeit in Gefahr – und die Qualität von LLMs

Zum anderen verschlingen LLM-generierte Quellen zunehmend die Ressourcen unterschiedlichster Einrichtungen. Nicht nur die der Online-Enzyklopädie: Irregeleitete Nutzer:innen fragen etwa Bibliothekar:innen nach ausgedachten Büchern, berichtete 404 Media im Herbst. Beim Internationalen Komitee des Roten Kreuzes (ICRC) wurde die Situation offenbar so schlimm, dass es sich mit einer „wichtigen Mitteilung“ an die Öffentlichkeit wandte.

„Wenn eine Referenz nicht gefunden werden kann, heißt das nicht, dass das ICRC Informationen zurückhält. Verschiedene Situationen können das erklären, wie etwa unvollständige Zitationen, Dokumente, die in andere Institutionen lagern, oder – zunehmend – KI-generierte Halluzinationen“, warnte das ICRC Anfang Dezember.

Auch für die Entwickler von Large Language Models hätten halluzinierte Wikipedia-Artikel Nachteile, argumentiert Schindler. Denn ihre Modelle werden oft mit Wikipedia-Artikeln trainiert. „Die KI-Firmen profitieren von hochwertigen Daten und leiden unter dem Verlust von Quellen, die frei von synthetischen Texten sind“, sagt im Schindler im Gespräch mit netzpolitik.org. Oder wie er es im Vortrag formuliert: „LLM-Provider vergiften damit auf eine Art den Fluss, aus dem sie selber trinken“, sagt Schindler.

Wer macht sowas?

Doch wer stellt eigentlich LLM-generierte Inhalte in die Wikipedia? „Bunt gemischt“, erzählt Mathias Schindler im Gespräch mit netzpolitik.org. Von Wikipedia-Neulingen über langjährige Autor:innen bis zu einer Werbeagentur sei alles dabei gewesen. Er habe versucht, möglichst viele Autor:innen von verdächtigen Artikeln zu kontaktieren. Manche hätten ihn ignoriert, andere alles geleugnet oder den Einsatz einer LLM heruntergespielt.

„Eine Erklärung ist, dass Menschen LLMs tatsächlich als Recherchewerkzeug ansehen, das magischen Zugang zu wissenschaftlichen Datenbanken und Literatur hat und belastbare Belege liefert“, sagt Schindler zu netzpolitik.org. Bisher habe er aber noch keine solche Person unter den verdächtigen Autor:innen getroffen. Stattdessen vermutet Schindler eher persönlichen Geltungsdrang oder dass Personen eine Agenda verfolgen, die Enzyklopädie in ihrem Sinne umzuschreiben.

In seinem Vortrag erzählt Schindler, er habe alle verdächtigen Autor:innen, um den Prompt gebeten, mit dem diese den Artikel generiert hätten. „Das ist mein persönlicher ‚Litmus‘-Test, ob die Menschen ehrliche Absichten haben“, sagt Schindler. Nur eine einzige Person habe den Prompt nach vielen Nachfragen privat geteilt.

Die Herausforderung bleibt

Laut Schindler wurden alle gemeldeten Artikel gelöscht, bei denen die Autor:innen die Zweifel nicht ausräumen konnten, dass sie KI-generiert waren. In vielen Fällen wurden auch die Autor:innen gesperrt. In einem Richtlinien-Artikel der deutschsprachigen Wikipedia heißt es dazu: „Sprach-KI sind derzeit nicht in der Lage, korrekt belegte Beiträge zu erstellen. Beiträge, die damit erstellt werden, verstoßen daher unter anderem gegen WP:Keine Theoriefindung, WP:Belege, WP:Urheberrechtsverletzung, WP:Neutraler Standpunkt; ihre Verwendung ist daher derzeit generell unerwünscht.“

Für Schindler bleibt es eine Herausforderung für die Wikipedia-Community, halluzinierte Texte aufzudecken, zumal Chatbots künftig ISBNs mit einer korrekt berechneten letzten Stelle erfinden könnten. Er hofft auf einen konstruktiven Dialog mit den KI-Firmen. „Mein persönlicher Wunsch wäre, dass man durch Austausch und vielleicht Kompetenztransfer mit den KI-Firmen erreicht, dass man KI-generierte Texte leichter erkennt, wenn jemand versucht, sie in die Wikipedia zu stellen.“

Am Ende ist die Geschichte der KI-generierten ISBNs auch eine über falschen und vielleicht besseren KI-Einsatz. Denn den Code für seinen ISBN-Checker hat Schindler auch mithilfe von Large Language Models geschrieben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Katsching und Klimper-klimper: Mit raffinierten Mechanismen fesseln Anbieter von Glücksspielen Menschen an die Geräte und verdienen Milliarden. In ihrem Vortrag auf dem 39C3 nimmt Forscherin Elke Smith die Tricks auseinander – und zeigt, wo Regulierung ansetzen könnte.

Die Slotmaschine rattert, blinkt und klingelt, während ihre Walzen rotieren. Die Lootbox schüttelt sich und pulsiert, als würde sie gleich explodieren, begleitet von anschwellenden Glockenklängen. Für viele Gamer*innen bedeutet das Spaß und Nervenkitzel, ob beim klassischen (Online-)Glücksspiel für Erwachsene oder in Glücksspiel-ähnlichen Games, die teils sogar für Kinder freigegeben sind.

Für die Psychologin und Neurowissenschaftlerin Elke Smith bedeutet Glücksspiel dagegen Arbeit. Denn sie erforscht an der Universität zu Köln menschliche Entscheidungs- und Lernprozesse – darunter jene Mechanismen, die beim Zocken im Hintergrund ablaufen. In ihrem Vortrag auf dem 39. Chaos Communication Congress erklärt Smith die zentralen Tricks von Glücksspiel, die sich inzwischen auch in klassischen Online-Games ausbreiten.

Geschätzt 2,4 Prozent der deutschen Bevölkerung zwischen 18 und 70 Jahren sind laut Gesundheitsministerium süchtig nach Glücksspielen, haben also eine als Krankheit anerkannte Verhaltensstörung. Derweil liegen die Umsätze für legales Glücksspiel in Deutschland bei knapp 63,5 Milliarden Euro. Dennoch kommt der Vortrag der Glücksspiel-Forscherin Smith ohne Verteufelung aus. Vielmehr umreißt sie den Graubereich zwischen Spaß und Suchtgefahr.

Deshalb macht Glücksspiel so viel Spaß

Ein besonders auffälliger Glücksspiel-Mechanismus, den Smith hervorhebt, sind audiovisuelle Effekte, die bei hohen Gewinnen noch stärker werden. Darunter fallen zum Beispiel die zu Beginn erwähnten klingelnden und glitzernden Slotmaschinen und Lootboxen. Gerade bei einem Gewinn können virtuelle Funken sprühen, Goldmünzen hageln und Fanfaren blasen. Solche Elemente sind kein bloßes Beiwerk, sondern tragen dazu bei, Menschen durch Reize zu belohnen und damit zum Weiterspielen zu motivieren.

Sogenannte Near Misses sind Fälle, in denen Spieler*innen den Eindruck bekommen, nur ganz knapp verloren zu haben, etwa wenn bei der Slotmaschine das Gewinnsymbol fast getroffen wurde. Zwar macht es finanziell keinen Unterschied, ob man knapp oder deutlich verliert – es fühlt sich aber anders an.

Ein weiterer Mechanismus, den Smith hervorhebt, sind als Verluste getarnte Gewinne, auf Englisch: losses disguised as wins. In diesem Fall bekommen Spielende einen Bruchteil ihres Einsatzes als scheinbaren Gewinn zurück, begleitet mit audiovisuellen Belohnungsreizen.

Bei der Jagd nach Verlusten („chasing losses“) versuchen Spieler*innen wiederum, das verlorene Geld aus vorigen Runden durch immer weitere Einsätze wieder zurückzuholen.

Nicht zuletzt kann sich Glücksspiel auch der sogenannten Kontroll-Illusion („illusion of control“) bedienen. Das ist eine kognitive Verzerrung: Üblicherweise können Menschen durch ihre Entscheidungen tatsächlich ihre Umwelt beeinflussen, dazu lernen und ihre Fähigkeiten verbessern. Beim Glücksspiel dagegen haben Entscheidungen oftmals keinen Einfluss auf das Ergebnis – es fühlt sich nur so an. Als Beispiel nennt Smith die Entscheidung, wann genau man bei einer Slotmaschine den Knopf drückt, um die rollenden Walzen zu stoppen.

Mechanismen breiten sich in Spiele-Apps aus

Diese und weitere Mechanismen sind nicht auf (Online-)Casinos begrenzt, sondern verbreiten sich auch in klassischen Spiele-Apps, wie Smith ausführt. Die Integration von Glücksspiel-Elementen wie Zufall, Risiko und Belohnung nennt sie „Gamblification“ – und deren Effekte hat sie selbst untersucht.

Gemeinsam mit Forschungskolleg*innen hat Smith gemessen, wie Zuschauer*innen auf YouTube-Videos reagieren, in denen Gamer*innen sich beim Öffnen von Lootboxen filmen. Solche Videos erreichen auf YouTube ein Millionenpublikum und zeigen: Glücksspiel-Mechanismen wirken möglicherweise sogar dann, wenn man anderen nur beim Spielen zuschaut.

Konkret haben die Forschenden Views, Likes und Kommentare von 22.000 Gaming-Videos mit und ohne Lootboxen miteinander verglichen. Das Ergebnis: Der Lootbox-Content hat das Publikum messbar stärker eingenommen als anderer Gaming-Content: mehr Views, mehr Likes, mehr Kommentare. „Dieses erhöhte Engagement könnte mit den Glücksspiel-ähnlichen Eigenschaften der durch Lootboxen vermittelten Belohnungsstruktur zusammenhängen“, heißt es auf Englisch in dem Paper, das im Mai 2025 beim Journal Scientific Reports erschienen ist.

Um ihre Online-Spiele zu optimieren, können Anbieter auf A/B-Testing mit großen empirischen Datenmengen zurückgreifen, erklärt Smith in ihrem Vortrag. Das heißt: Sie können Features einfach ausprobieren und messen, was am besten funktioniert. Schließlich bekommen sie täglich kostenlos neue Daten von Millionen Gamer*innen. Auf diese Weise entstehen Produkte, die von Anfang an so gestaltet sind, dass sie die Belohnungsmechanismen der Spieler*innen am besten ausnutzen. Smith nennt das „Neuroexploitation by design“.

Das sind die Ansätze für Regulierung

Gegen Ende ihres Vortags geht Smith auf Ansätze ein, um die Gefahren von Glücksspiel-Mechanismen einzudämmen. In Deutschland gibt es etwa den Glücksspielstaatsvertrag. Manche Normen zielen direkt auf Glücksspiel-Mechanismen ab: So muss bei einem virtuellen Automatenspiel etwa ein einzelnes Spiel mindestens fünf Sekunden dauern, der Einsatz darf einen Euro pro Spiel nicht übersteigen. Das soll das Feuerwerk aus Risiko und Belohnung eindämmen.

Ob Lootboxen in die Kategorie Glücksspiel fallen, beschäftigt internationale Gerichte und Gesetzgeber bereits seit Jahren. In Deutschland hatte jüngst der Bundesrat strengere Regeln gefordert. Am 21. November hielten die Länder fest, dass Lootboxen und andere Glücksspiel-ähnliche Mechanismen in Videospielen besser reguliert werden sollen, um Suchtgefahr zu reduzieren. In Belgien und den Niederlanden gibt es bereits strengere Regeln.

Auf EU-Ebene gibt es derzeit kein spezifisches Recht zur Regulierung von Lootboxen, wie die Wissenschaftlichen Dienste des Bundestags den Sachstand im Herbst 2024 zusammenfassen. Allerdings kommen je nach Kontext verschiedene EU-Gesetze in Frage, etwa das Gesetz über digitale Dienste (DSA), das manche Anbieter dazu verpflichtet, Risiken für ihre Nutzer*innen zu erkennen und zu minimieren. Derzeit plant die EU-Kommission zudem den Digital Fairness Act, der Lücken im Verbraucherschutz schließen soll.

„Ich denke, es wäre wichtig, vor allem junge Menschen vor diesen Mechanismen zu schützen“, warnt Smith mit Blick auf Glücksspiel-Mechaniken in Spielen. Damit verweist die Forscherin auf eine Leerstelle in den aktuellen Debatten um Jugendschutz im Netz, die vor allem um Alterskontrollen für soziale Medien kreisen.

Ein fertiges Regulierungs-Konzept für Glücksspiel-Mechanismen hat die Forscherin zwar nicht. In welchem Spannungsfeld man sich bei dem Thema bewegt, bringt sie jedoch in Reaktion auf eine Frage aus dem Publikum auf den Punkt: „Gibt es einen Bereich vom Spieldesign, der Spaß macht, Nervenkitzel birgt, profitabel ist für die Anbieter und im Bereich des sicheren Spielens liegt?“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.