Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission.

Die EU-Kommission soll dafür sorgen, dass die Verbote aus der europäischen KI-Verordnung möglichst umfangreich ausgelegt werden. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einer heute veröffentlichten Stellungnahme. Sie bezieht sich auf Leitlinien, an denen die Kommission momentan noch arbeitet.

Diese Leitlinien sollen dafür sorgen, dass auch „einfachere“ Systeme von den Regeln der KI-Verordnung betroffen sind, fordern die Organisationen. Die Kommission soll auch klarstellen, welche Arten von Systemen die verbotenen „inakzeptablen“ Risiken für Grundrechte haben. Außerdem sollen Grundrechte die zentrale Basis dafür sein, wie die KI-Verordnung praktisch umgesetzt wird.

Arbeit an Details läuft weiter

Die Europäische Union hat lange an ihren Regeln für Künstliche Intelligenz gefeilt. Intensiv diskutiert wurde etwa die Frage, welche Einsätze von KI in Europa ganz verboten werden sollten. Dabei ging es etwa um die biometrische Gesichtserkennung oder das sogenannte „Predictive Policing“. Die fertige KI-Verordnung schränkt beide Praktiken zwar ein, verbietet sie aber nicht ganz.

Die Verordnung selbst ist seit bald einem Jahr beschlossen und trat auch schon vor einigen Monaten in Kraft. Aber Obacht: Bei EU-Gesetzen heißt das nicht, dass alle ihre Regeln auch direkt gelten.

Zuvor gibt es noch einiges fertigzustellen. Zum Beispiel die sogenannten „Praxisleitfäden“, die genaue Regeln für KI-Modelle mit allgemeinem Verwendungszweck wie GPT-4 festlegen sollen. An denen arbeiten gerade die Anbieter solcher Modelle, andere Unternehmen und Vertreter:innen der Zivilgesellschaft unter Aufsicht der EU-Kommission. Bis April soll es einen fertigen Text geben.

Die Verbote gelten ab dem 2. Februar. Bis dahin will die EU-Kommission noch Leitlinien veröffentlichen, die Unternehmen dabei helfen sollen, sie einzuhalten. Außerdem will sie noch klarstellen, was genau denn ein KI-System überhaupt ist – und welche Systeme deshalb von der KI-Verordnung betroffen sein werden.

Ergebnis soll zählen, nicht die Art der Software

Auf diese Leitlinien bezieht sich nun die zivilgesellschaftliche Koalition, an der unter anderem European Digital Rights (EDRi), Access Now, AlgorithmWatch und Article 19 beteiligt sind. Caterina Rodelli von Access Now hält die Leitlinien für ein „zentrales Werkzeug“, um mangelhafte Menschenrechtsregeln der Verordnung noch auszubessern.

Die erste Forderung der Koalition bezieht sich auf „einfachere“ Software. „Wir sind besorgt, dass Entwickler:innen vielleicht die Definition von KI und die Einstufung von Hochrisiko-KI-Systemen ausnutzen können, um die Verpflichtungen der KI-Verordnung zu umgehen“, schreiben die Organisation. Unternehmen könnten ihre KI-Systeme zu normaler, regelbasierter Software umwandeln und so nicht mehr vom Gesetz betroffen sein, obwohl es die gleichen Risiken geben würde.

Die Organisationen fordern deshalb, dass sich Gesetze an möglichem Schaden orientieren sollten, nicht an den genutzten technischen Mitteln. Sie beziehen sich auf das Beispiel des niederländischen SyRI-Systems. Dieses System beschuldigte Empfänger:innen von Sozialhilfe fälschlicherweise des Betrugs und beeinträchtigte so Tausende von Familien. Der Skandal führte 2021 zum Sturz der damaligen niederländischen Regierung.

Dabei wirkte das zugrundeliegende System einfach und erklärbar, betont das Statement. Die Auswirkungen auf eine Vielzahl an Personen waren trotzdem verheerend.

Mehr Systeme einbeziehen

Die Koalition fordert außerdem, dass die Leitlinien marginalisierte Gruppen besser schützen sollen. Dafür soll die Kommission ausdehnen, welche Fälle unter die verbotenen „inakzeptablen“ Risiken für die Grundrechte fallen.

So soll das Verbot von „Social Scoring“ etwa auf Anwendungen ausgedehnt werden, die heute in Europa schon gang und gäbe sind: Etwa für Empfänger:innen von Sozialhilfe, wie im niederländischen Fall, oder für Migrant:innen. Die Leitlinien sollten deshalb etwa Daten schützen, die über Bande Informationen wie die Ethnie oder den sozioökonomischen Status preisgeben könnten, wie zum Beispiel die Postleitzahl.

Das Verbot für „Predictive Policing“ soll eine weite Bandbreite an Systemen einbeziehen, die kriminalisiertes Verhalten vorhersagen sollen. Im Verbot des allgemeinen Scrapens von Gesichtsbildern sehen die Organisationen einige Schlupflöcher, die sie gerne geschlossen haben würden. Außerdem soll eine Definition einer Gesichtsbild-Datenbank gelöscht werden, weil durch diese Anbieter wie Pimeyes oder Clearview außen vor bleiben würden.

Löcher schließen bei der Gesichtserkennung

Bei den Verhandlungen zur KI-Verordnung wollte das Europäische Parlament ein umfassendes Verbot von Systemen zur Emotionserkennung durchsetzen, ist damit aber gescheitert. Die Leitlinien sollen nun zumindest klar zwischen echten medizinischen Geräten wie Herzmonitoren und Geräten wie „Aggressionsdetektoren“ unterscheiden, fordern die Organisationen – denn medizinische Geräte sind von den Verboten ausgenommen.

Außerdem sollen die Leitlinien die Regeln für automatisierte Gesichtserkennung verschärfen. Auch in Deutschland gab es schon Forderungen, einige der in der KI-Verordnung dafür offen gelassenen Schlupflöcher zu schließen. Auf europäischer Ebene fordert die zivilgesellschaftliche Koalition nun, dass die Entwicklung von Gesichtserkennungssystemen für den Export unter das Verbot fallen soll. Zudem soll es nicht ausreichen, wenn Behörden nur mit einem Schild auf Zonen hinweisen, in denen Gesichtserkennung genutzt wird. Videoaufzeichnungen sollen erst nach 24 Stunden biometrisch ausgewertet werden dürfen.

In Zukunft bitte mehr Zeit

Eine Menge Wünsche für die Leitlinien – die Koalition hat aber auch noch einige Kritik für deren Entstehen übrig. Der Prozess sei nicht vorher angekündigt worden, habe kurze Fristen gelassen, es sei kein Entwurf veröffentlicht worden, schreiben sie. Außerdem seien manche der Fragen suggestiv formuliert gewesen. So habe die Kommission etwa nur nach Systemen gefragt, die aus der Definition von KI ausgeschlossen werden sollten, und nicht nach Systemen, für die die Regeln gelten sollten, bemängeln die Organisationen.

Das Statement fordert deshalb die Kommission auf, in Zukunft die Zivilgesellschaft besser einzubeziehen. „Die EU-Kommission muss Interessengruppen mit begrenzten Ressourcen eine Stimme geben, und dafür muss sie längere Zeiträume für so umfassende Befragungen vorsehen“, so Nikolett Aszodi von AlgorithmWatch.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine neue Verordnung für die Polizeibehörde Europol soll eine gigantische Sammlung von Ermittlungsdaten legalisieren, die einzelne EU-Mitgliedsstaaten dort quasi geparkt hatten. Es handelt sich um vier Petabyte an Daten aus laufenden und abgeschlossenen Ermittlungsverfahren, darunter auch gestrichene Einträge aus Terrorlisten einzelner Staaten. In einigen Fällen weiß die Behörde selbst nicht genau, um was für Daten es sich handelt, wie sie einräumte. Erst Anfang Januar hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Löschung aller Daten angeordnet, die nicht mit einer konkreten Straftat im Zusammenhang stehen. 

Doch die Datensammlung, die Kritiker:innen als „Datenarche“ bezeichnen und mit der Speicherwut des US-Geheimnisses NSA vergleichen, dürfte unverändert bestehen bleiben und sogar ausgebaut werden. Am Dienstagabend einigten sich die EU-Staaten mit dem Parlament auf eine neue Verordnung, nach der Europol „weiterhin Ermittlungen auf der Grundlage dieser Daten unterstützen könnte“. Das teilte die französische Ratspräsidentschaft mit. Bis zur Wirksamkeit der neuen Verordnung sollen „Übergangsmaßnahmen“ die Datenarche vor Löschung bewahren.

Generell soll die Verordnung die Kompetenzen von Europol drastisch ausweiten. Künftig dürfe die Behörde mit Drittstaaten persönliche Daten zu Ermittlungszwecken austauschen, so die französischen Verhandler:innen. Auch dürfe Europol-Chefin Catherine De Bolle nationalen Behörden die Aufnahme von Ermittlungsverfahren in grenzüberschreitenden Kriminalfällen vorschlagen. Das wäre eine deutliche Ausweitung der bisherigen Befugnisse von Europol. Die nationalen Behörden sollen allerdings selbst entscheiden dürfen, ob sie dem Vorschlag nachkommen.

„Direkte Bedrohung für Rolle der Aufsichtsbehörde“

Der Datenschutzbeauftragte Wiewiórowski übte schon im Vorfeld Kritik an der neuen Verordnung. Sie gebe der EU-Polizeiagentur breite Befugnisse zur Datenspeicherung – ohne ausreichende Maßnahmen zum Schutz von Grundrechten. „Daten von Einzelpersonen ohne klare Verbindung zu Straftaten könnte genauso verarbeitet werden wie Daten von Verdächtigen oder Verurteilten“, sagte Wiewiórowski. Besonders empörend findet er, dass mit der Verordnung Gesetzesverletzungen rückwirkend legalisiert werden. Dies bedeute „eine direkte Bedrohung der Rolle der Aufsichtsbehörde“.

Auch aus dem EU-Parlament gibt es heftige Reaktionen. Aus Sicht der SPD-Abgeordneten Birgit Sippel verwendet Europol für die Rechtfertigung seiner Überwachung und massenhaften Datenspeicherung auf Vorrat „ähnliche Argumente“ wie die NSA. Dieses Vorgehen sei jedoch nicht mit der Datenschutzgrundverordnung vereinbar, sagte die Abgeordnete bei seiner Sitzung des Bürgerrechteausschusses im Parlament. Schwachstellen der Verordnung würden möglicherweise bald den Europäischen Gerichtshof beschäftigen, sagt Sippel gegenüber netzpolitik.org. „Rechtssicherheit sieht anders aus.“

Es handelte sich um massenhafte Daten unverdächtiger Personen, etwa um Handy-Bewegungsdaten und Flugreisedaten, sagt der EU-Abgeordnete Patrick Breyer von der Piratenpartei. „Die Konsequenz: Unschuldige Bürger laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren.“ Europol müsse „wirksam kontrolliert und an Gesetzesverstößen gehindert werden“, sagt Breyer. „Die bisher oberflächlichen Aufsichtsmechanismen haben keine Zähne bekommen, um illegale Praktiken der Behörde erkennen und stoppen zu können.“

Den Vergleich mit der NSA wies Europol-Vizechef Jürgen Ebner vor dem Ausschuss zurück. „Wir machen keine Massenüberwachung, auch können wir keine Zwangsmaßnahmen anordnen“, betonte er. „Wir haben nicht die technischen Mittel, um das zu machen.“ Die Software des umstrittenen US-Anbieters Palantir, die Europol 2016 eingekauft hatte, verwendet die Polizeibehörde inzwischen nicht mehr.

Ebenfalls auf Kritik der Abgeordneten stößt, dass die Verordnung Europol künftig breit die Kooperation mit Firmen möglich macht. Der Entwurf erlaubt Europol, persönliche Daten direkt von privaten Organisationen zu erhalten. Diese darf Europol analysieren und an die Behörden der Mitgliedsstaaten weitergeben. Der Abgeordnete Breyer, der Teil der Grünen-Fraktion ist, bringt diese Erlaubnis mit EU-Plänen in Verbindung, Diensteanbieter zur flächendeckenden Durchleuchtung privater Nachrichten auf Kindesmissbrauchsinhalte zu verpflichten. Diese Art der Kooperation sei inakzeptabel, sagt Breyer.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Ein deutscher Kläger bringt die Zwangsabgabe von biometrischen Merkmalen vor das europäische Höchstgericht: Das Verwaltungsgericht Wiesbaden sieht grundsätzliche Rechtsprobleme, wenn für den Besitz eines Personalausweises die Abgabe der Fingerabdrücke verpflichtend ist. In einem Beschluss (pdf) legt das Gericht diese Rechtsfragen dem Europäischen Gerichtshof (EuGH) vor.

Die Verpflichtung für über dreihundert Millionen EU-Bürger, zwei Fingerabdrücke auf dem Ausweis in digitaler Form speichern zu lassen, geht auf die EU-Verordnung 2019/1175 zurück. Das Verwaltungsgericht begründet in seinem Beschluss seine Zweifel daran, dass die entsprechenden Vorschriften in dieser EU-Verordnung unionsrechtskonform sind. Zum einen bestünden rechtliche Zweifel schon durch das Zustandekommen der Verordnung außerhalb des eigentlich vorgeschriebenen ordentlichen Gesetzgebungsverfahrens, zum anderen sieht das Gericht die Europäische Grundrechtecharta verletzt. Das betrifft die Artikel 7 und 8 der Charta, die das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation sowie das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten festschreiben.

Außerdem legt das Gericht in seinem Beschluss dar, dass die Datenschutzgrundverordnung missachtet wurde. Es bezieht sich dabei auf Artikel 35 der DSGVO, in dem eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Bevor eine Verarbeitung von sensiblen Daten wie Fingerabdrücken erfolgt, sollen dadurch vorab die Risiken analysiert werden. Eine solche Datenschutz-Folgenabschätzung hat es aber nicht gegeben.

Der Kläger wird vom Verein digitalcourage unterstützt, der gegenüber netzpolitik.org erklärt, die Fingerabdruck-Speicherpflicht verletze „unsere Grundrechte auf Privatsphäre und den Schutz unserer personenbezogenen Daten“. Der Verein bezweifelt auch, dass die auf dem Personalausweis gespeicherten Fingerabdrücke zu der versprochenen verbesserten Fälschungssicherheit führen. Wie auch das Gericht in seinem Beschluss darlegt, wäre damit nicht einmal die Notwendigkeit des schwerwiegenden rechtlichen Eingriffs einer zwangsweisen Abgabe von persönlichen Biometriedaten gegeben. Die Speicherung der Fingerabdrücke auf dem Personalausweis sei „ein unverhältnismäßiger Eingriff“, so digitalcourage.

Die Mehrheit von CDU, CSU und SPD im Bundestag hatte auf Grundlage der Verordnung im Jahr 2020 die verpflichtende Speicherung von Fingerabdrücken im deutschen Personalausweis beschlossen. In den dezentralen Melderegistern der Kommunen werden die biometrischen Daten zwar nicht gespeichert, aber auf einem Chip, der in der Plastikkarte des Ausweises eingelassen ist. In Deutschland werden – sofern das bei der beantragenden Person möglich ist – Abdrücke von beiden Zeigefingern genommen. Die EU-Verordnung sieht allerdings keine Festlegung auf einen bestimmten Finger vor.

Zuvor freiwillig, jetzt Pflicht: Fingerabdruck-Abgabe

Seit August 2021 müssen alle Menschen in Deutschland beim Beantragen eines Personalausweises zwei Fingerabdrücke hinterlassen. Das rief Kritiker auf den Plan: Bürgerrechtsorganisationen bewerteten diese Fingerabdruck-Pflicht als unvereinbar mit dem Grundgesetz. Schon im Prozess des Entstehens der Verordnung war auch der EU-Kommission bescheinigt worden, das Vorhaben sei ungerechtfertigt und nicht notwendig.

Doch was zuvor in Deutschland freiwillig war, wurde dennoch zur Pflicht. Das Fingerabdruck-Prozedere auf dem Amt kennen viele Menschen schon vom Reisepass, denn da besteht der Zwang schon einige Jahre länger. Die Verpflichtung zur Abgabe zweier Fingerabdrücke bei der Ausweisbeantragung ergibt sich konkret aus § 5 Abs. 9 des deutschen Personalausweisgesetzes, der wiederum auf der EU-Verordnung zur Erhöhung der Sicherheit der Personalausweise und Aufenthaltsdokumente beruht.

Gegen die Fingerabdruckabnahme wehrte sich ein Bürger und verlangte auf dem Amt einen Ausweis ohne die biometrische Vermessung. Als ihm das verwehrt wurde, zog er vor Gericht.

Das Verwaltungsgericht Wiesbaden hat überaus schnell reagiert und mit seinem Beschluss nun den EuGH hinzugezogen. Mit sehr hoher Wahrscheinlichkeit wird das europäische Höchstgericht erneut über die zwangsweise Erfassung von Fingerabdrücken entscheiden. Die anlassunabhängige Vermessung der biometrischen Merkmale von Menschen für ihre Identifikationspapiere ist nicht das erste Mal ein Fall für den EuGH. Zuletzt war dazu vor acht Jahren ein Urteil (vom 17. Oktober 2013) ergangen. Der damalige deutsche Kläger, der einen Reisepass ohne Fingerabdrücke ausgestellt bekommen wollte und mit seinem Fall ebenfalls in Luxemburg landete, hatte allerdings keinen Erfolg.

Im Beschluss des Wiesbadener Verwaltungsgerichts wird entsprechend betont und auch schlüssig begründet, dass die Funktion eines Ausweises nicht mit der eines Reisepasses vergleichbar sei. Die Chancen des Klägers dürften also hoch sein, dass der EuGH den Fall aufgreift.

Für den Fälschungsschutz ungeeignet

Dass diese obligatorische Abnahme von Fingerabdrücken ein Eingriff in Grundrechte ist, steht außer Frage. Artikel 7 und 8 der Grundrechtecharta sind klar betroffen. Aber ist er auch ungerechtfertigt und unverhältnismäßig? Dazu gehört die Frage, ob nicht auch geringere Eingriffe ausgereicht hätten.

Die EU-Verordnung 2019/1157 soll dem Schutz vor Fälschungen dienen und eine verlässliche Verbindung zwischen dem Inhaber und seinem Ausweis herstellen, um einer betrügerischen Verwendung vorzubeugen. In Erwägungsgrund 18 heißt es:

Die Speicherung eines Gesichtsbilds und zweier Fingerabdrücke […] auf Personalausweisen und Aufenthaltskarten […] stellt eine geeignete Kombination einer zuverlässigen Identifizierung und Echtheitsprüfung im Hinblick auf eine Verringerung des Betrugsrisikos dar, um die Sicherheit von Personalausweisen und Aufenthaltskarten zu verbessern.

Dass die Aufnahme von Fingerabdrücken für den Fälschungsschutz geeignet ist und damit Betrug und Identitätsdiebstahl verhindern kann, bezweifelt das VG Wiesbaden in seinem Beschluss ausdrücklich. Wenn schon das Gesicht einer Person zum Abgleich vorhanden ist, erschließt sich nicht, warum ein zweites Merkmal wie der Fingerabdruck erforderlich sein soll.

Im Erwägungsgrund 19 der Verordnung ist auch geregelt, dass die EU-Mitgliedstaaten zur Überprüfung der Identität eines Ausweisinhabers vorrangig das Gesichtsbild prüfen. Die Fingerabdrücke sollen höchstens bestätigend überprüft werden.

Der Beschluss des Gerichts greift mehrfach die Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen (pdf) aus dem Jahr 2018 auf, der weit vor dem Inkrafttreten schon kritisiert hatte, dass die Notwendigkeit des Fingerabdruckszwangs nicht begründet sei. Mit weniger eingriffsintensiven Maßnahmen könnte man das Ziel der Fälschungssicherheit auch erreichen, argumentierte er. Biometrische Daten seien nach EU-Recht besonders schützenswert, zumal wenn hier 370 Millionen Menschen betroffen sind.

Gefahr des Identitätsdiebstahls

Der Anwalt des Klägers, Wilhelm Achelpöhler, hatte die Klage erst Ende Dezember eingereicht. Der Beschluss des Gerichts erfolgte also sehr schnell, betont der Rechtsanwalt gegenüber netzpolitik.org. Wenn der Vorlagebeschluss des Verwaltungsgerichts Wiesbaden an den EuGH übermittelt worden sei, könnten neben dem Kläger und der beklagten deutschen Stadt auch die EU-Mitgliedstaaten und die EU-Kommission binnen zwei Monaten Schriftsätze an den Gerichtshof senden.

Nach den schriftlichen Stellungnahmen erwartet Achelpöhler eine mündliche Verhandlung am Gerichtshof. Der Anwalt sieht gegenüber netzpolitik.org seine Argumentation durch den Beschluss des Verwaltungsgerichts insgesamt bestätigt und wird auch beim EuGH den Mandanten vertreten.

Die Richter des Verwaltungsgerichts gehen über die Argumente in der Klage teilweise sogar hinaus und verweisen in ihrem Beschluss auch darauf, dass in den Ausweisen der gesamte Fingerabdruck gespeichert wird und nicht nur partielle Informationen. Dadurch erhöhe sich das Risiko eines Identitätsdiebstahls. Statt des gesamten Abdrucks hätten auch nur Teile der Minuzien auf den Fingerkuppen verwendet werden können, aus denen ein ganzer Fingerabdruck nicht mehr rekonstruierbar wäre. Darauf hatte bereits der Europäische Datenschutzbeauftragte hingewiesen.

Auch digitalcourage sieht eine Gefahr des Identitätsdiebstahls und eines „Datenlecks“, die unweigerlich bestünden. Konstantin Macher von Digitalcourage erklärte dazu in einer Pressemitteilung des Vereins vom 27. Januar: „Erfahrungsgemäß ist bei einem Datenleck die Frage nicht ob, sondern wann es passiert. Die Speicherung unserer kompletten Fingerabdrücke vergrößert die Gefahr eines Identitätsdiebstahls, sobald der RFID-Chip geknackt ist.“

Auf Nachfrage von netzpolitik.org, was mit dem „Knacken des RFID-Chips“ technisch gemeint sei, erklärt Macher, dass auch der Fall bedacht werden müsse, „wenn sich eines Tages die Verschlüsselung der Daten auf dem Personalausweis als nicht (mehr) sicher herausstellen sollte“. Denn auch eine starke Verschlüsselung könne keine absolute Sicherheit garantieren.

Vier Innenminister

Den Ausweis mit Chip gibt es seit mehr als elf Jahren, der Biometrie-Reisepass mit Chip wurde sogar schon einige Jahre zuvor eingeführt. Über 62 Millionen Deutsche besitzen mittlerweile ein Ausweis-Exemplar mit einem Funk-Chip (RFID).

Immerhin vier Innenminister haben ihren Anteil daran: Otto Schily (SPD) hatte nach dem elften September die Biometrie-Idee zunächst für den Reisepass stark protegiert, Wolfgang Schäuble (CDU) brachte sie durch das Bundeskabinett, Thomas de Maizière (CDU) durfte den Personalausweis mit biometrischen Daten und funkendem Chip präsentieren und Horst Seehofer (CSU) verpflichtete die Ausweisbesitzer zuletzt auch noch zur Fingerabdruckabgabe.

Die biometrischen Daten des Chips dürfen Polizeien, Zollverwaltung, Steuerfahndung und Meldebehörden auslesen, nicht aber private Akteure. Alle Personalausweise bleiben allerdings auch dann gültige Ausweisdokumente, wenn der Chip den Geist aufgibt und nicht mehr auslesbar ist. Die Fingerabdrücke sind dann verloren – anders als die Gesichtsbilder, die zwar dann auch nicht mehr digital ausgelesen werden können, aber wenigstens aufgedruckt sind und noch mit dem Gesicht des Inhabers verglichen werden können.

Viele glauben, dass es in Deutschland eine Personalausweispflicht gibt, aber das stimmt so nicht. Denn nach § 1 Abs. 2 Satz 3 des Personalausweisgesetzes besteht keine Pflicht zum Besitz eines Personalausweises. Wer etwa einen gültigen Reisepass hat, muss keinen Personalausweis besitzen. Eine „Ausweispflicht“ besteht also zwar, aber nicht im Wortsinn: Man muss sich mit einem hoheitlichen Dokument ausweisen können, nicht unbedingt aber mit einem Personalausweis. Dennoch zeigt schon die hohe Anzahl der Ausweise, die im Umlauf sind, dass die große Mehrheit der Deutschen einen Personalausweis hat.

Allein deswegen betrifft die EuGH-Vorlage des Verwaltungsgerichts Millionen Bürger und ihre persönlichen Biometriedaten. Sollte der EuGH im Sinne der Grundrechte entscheiden und die zwangsweise Erhebung der Fingerabdruckdaten für unverhältnismäßig befinden, dann wäre die Entscheidung nicht nur für den Kläger von Bedeutung, sondern verbindlich für alle EU-Staaten. Die verpflichtende biometrische Vermessung der Fingerkuppen könnte dann ein Ende finden.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Es geht um einen Deal in Milliardenhöhe, der das Ende der Pandemie beschleunigen sollte: Im Frühjahr vereinbarte die EU-Kommission den Kauf von 1,8 Milliarden Corona-Impfstoffdosen mit Pfizer. Sie macht den Pharmariesen damit zum Hauptlieferanten der Kommission. Den Durchbruch in den Verhandlungen brachte angeblich der direkte Draht zwischen Kommissionschefin Ursula von der Leyen und Pfizer-Chef Albert Bourla. Die beiden hätten in Anrufen und Nachrichten den Ankauf detailliert besprochen, berichtete damals die New York Times.

Doch bis heute weiß die Öffentlichkeit wenig über das Geschäft, dass heute in ganz Europa Booster-Impfungen ermöglicht. Die Kommission legte zwar – wie bei Verträgen mit anderen Herstellern – eine Vorvereinbarung und einen Kaufvertrag mit Pfizer offen, schwärzte darin aber Lieferpreis und Haftungsklauseln. Intransparent agiert die EU-Behörde auch beim Zustandekommen des Deals. Sie verweigert den öffentlichen Einblick in die Nachrichten zwischen Von der Leyen und Bourla.

Eine Anfrage von netzpolitik.org nach dem Informationsfreiheitsgesetz der EU schmetterte die Kommission im Sommer ab. Sie will nicht einmal verraten, ob die Nachrichten überhaupt noch existieren oder ob sie in der Zwischenzeit schon gelöscht sind. Über diese Intransparenz beschwerten wir uns bei der EU-Ombudsfrau Emily O’Reilly. Ihre Behörde kann solche Beschwerden prüfen und öffentlich Missstände in der EU-Verwaltung anprangern. Rechtlich bindende Entscheidungen trifft sie nicht.

Ombudsfrau sieht „Fehlverhalten“ der EU-Kommission

Heute hat Ombudsfrau O’Reilly ihre Empfehlungen an die Kommission veröffentlicht: Darin sieht sie „maladministration“, ein Fehlverhalten der Kommission. Der Behauptung der Kommission, dass Nachrichten über SMS und Messengerdienste wie WhatsApp generell keine Dokumente seien und daher nicht von der Informationsfreiheit erfasst werden, kann die Ombudsfrau nichts abgewinnen. Egal über welchen Kanal eine Nachricht übermittelt werde – wenn der Inhalt die Arbeit der Kommission betreffe, dann müsse der Öffentlichkeit Zugang gewährt werden.

Die Ombudsfrau legt der Kommission nahe, die Anfrage von netzpolitik.org nochmal zu prüfen. „Wenn es die in Berichten erwähnten Textnachrichten gibt und sie gefunden werden, dann sollte die Kommission prüfen, ob ein öffentlicher Zugang im Sinne von Verordnung 1049/2001 gewährt werden kann.“ Die Kommission hat nun bis 26. April 2022 Zeit, detailliert Stellung zunehmen. Vorerst möchte sie nicht darauf reagieren, wie ein Sprecher auf Anfrage betonte.

Die Vizechefin der EU-Kommission, Věra Jourová, hatte zuletzt neue Leitlinien der Kommission für Informationsfreiheitsanfragen in Aussicht gestellt. Dabei soll auch der Umgang mit Nachrichten über SMS und Messenger neu geregelt werden. Ombudsfrau O’Reilly ruft die Kommission auf, künftig alle Nachrichten unabhängig von ihrer Form auf ihre Relevanz zu prüfen. „Die EU-Verwaltung muss ihre Praxis der Aufzeichnung von Dokumenten an die Realität anpassen“, so O’Reilly.

Einen zeitgemäßen Umgang mit Nachrichten über Messenger fordert auch der grüne EU-Abgeordnete Daniel Freund. „Es ist heute so, dass per Signal, WhatsApp und Slack regiert wird.“ Dementsprechend müssten diese Nachrichten unter die Informationsfreiheit fallen – oder die Verwendung von SMS und Messengern für die offizielle Kommunikation verboten werden, sagt der Abgeordnete und frühere Transparency-International-Experte.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

In der Ostukraine braut sich neue Konfrontation mit Russland zusammen. Der Konflikt wird dabei auch in sozialen Netzwerken ausgetragen, durch gezielte Falschinformation und Irreführung – so lautet zumindest der Vorwurf der US-Regierung und des Europäischen Auswärtigen Dienstes gegen die russische Regierung. Vorwürfe, Russland und China setzten gezielt Desinformation ein, sind schon seit Jahren aus Brüssel und Washington zu hören.

Die Vorwürfe machen deutlich, dass Social Media immer stärker zum Schauplatz moderner Kriegsführung gerät. Und wer diese Sichtweise teilt, für den ist die Informationsgewinnung über Propaganda der Gegenseite eine strategische Notwendigkeit.

Eine Datenpipeline für die Informationsgewinnung verspricht eine neue EU-Verordnung: Das Digitale-Dienste-Gesetz soll vorschreiben, dass große Plattformen wie Facebook und YouTube rasche Schritte gegen illegale Inhalte setzen müssen. Bei Werbung im Netz müsse nachvollziehbar sein, wer werbe und welche Zielgruppe angesprochen werde. Um diese und weitere Auflagen kontrollieren zu können, sollen Plattformen Forscher:innen Zugang zu ihren Daten gewähren.

Derzeit starten in Brüssel Verhandlungen zwischen Kommission, Rat und EU-Parlament über einen endgültigen Gesetzestext. Dabei könnte eine tief im Text versteckte Definition zum Streitpunkt werden: Denn in ihrem Gesetzesvorschlag hat die EU-Kommission den Datenzugang für die Forschung stark beschränkt. Konkret Zugriff haben sollen nur Forscher:innen wissenschaftlicher Institutionen, die wirtschaftlich unabhängig seien.

„Datenzugang für Organisationen wie unsere nicht verhindern“

Diese enge Definition verärgert NATO-Kreise. Das zeigt eine schriftliche Protestnote der NATO-Einrichtung Stratcom Centre of Excellence an die EU-Staaten, die netzpolitik.org veröffentlicht. In dem Schreiben verweist das Zentrum auf eigene Forschungsarbeit in sozialen Medien. Ein Stratcom-Bericht aus 2019 habe etwa gezeigt, dass Facebook, Instagram, Twitter und YouTube nicht genug gegen manipulative Auftritte in ihren Netzwerken unternähmen. Die meisten Fake-Profile würden mit Hilfe aus Russland betrieben.

Die Untersuchungen des NATO-Zentrums könnten durch das Digitale-Dienste-Gesetz der EU erheblich erleichtert werden, heißt es in dem Schreiben aus April 2021. „Leider sehen wir, dass der derzeitige Wortlaut von Artikel 31 eine solche Arbeit verhindern dürfte.“ Das Zentrum wäre daher „dankbar“, wenn der Artikel angepasst werden könnte, „um den Datenzugang für die Forschung durch Organisationen wie unsere nicht zu verhindern“.

Das Stratcom Centre of Excellence wurde 2014 von Deutschland und sechs weiteren NATO-Staaten gegründet. Es wird inzwischen von 14 Mitgliedern des Militärbündnisses finanziell unterstützt. Formell untersteht seine Arbeit nicht dem NATO-Oberkommando, das Zentrum ist allerdings als Dienststelle des Bündnisses eingerichtet und liefert der NATO strategische Analysen, Konzepte und bietet Fortbildungen für ziviles und militärisches Personal. Ziel ist es dabei auch, Strategien für das Entwickeln von „Gegenerzählungen“ zu russischen Propaganda-Narrativen zu entwerfen.

Als Fürsprecher des NATO-Zentrums im Rat der EU-Staaten tritt Lettland auf, in dessen Hauptstadt Riga das Zentrum seinen Sitz hat. Das „Recht auf Informationsgewinnung für Forschungszwecke sollte nicht auf wissenschaftliches Personal beschränkt sein“, forderten lettische Diplomat:innen unter Verweis auf den Brief. Das zeigt ein Verhandlungsdokument, dass wir ebenfalls veröffentlichen. Die Dokumente stammen aus einer Informationsfreiheitsanfrage von netzpolitik.org beim Rat der EU-Staaten.

Dass die EU-Staaten eng mit der NATO kooperieren, ist nicht ungewöhnlich. Fast alle EU-Länder sind auch NATO-Mitglieder, in den vergangenen Jahren wurde die Zusammenarbeit stetig vertieft. Etwa vereinbarte der Rat der EU mit dem Militärbündnis bereits 2016, gemeinsame Analysekapazitäten beim Aufspüren von Desinformation aufzubauen. Unterstützung dafür gibt es auch im EU-Parlament, wo ein eigens eingerichteter Ausschuss vor der Gefahr „fremder Einflussnahme“ warnt und sogar Sanktionsmöglichkeiten gegen die Verbreitung von Desinformation fordert.

Allerdings gibt es daran beständig Kritik. EU-Abgeordnete der Linksfraktion kritisieren „das Lobbying von transatlantischen und NATO-Thinktanks“. Deren Einfluss stelle eine ernste Bedrohung für politische Positionen dar, die sich international für Frieden und soziale Gerechtigkeit einsetzten, sagt etwa die irische EU-Abgeordnete Clare Daly. Eine von der Linksfraktion finanzierte Studie über „Rhetorik und Realität von Desinformation in der Europäischen Union“ sieht die Arbeit des NATO-Zentrums in Riga als Teil einer langjährigen Strategie zu Beeinflussung der öffentlichen Meinung.

Definition entzweit Rat und Parlament

Doch trotz der Kritik von links könnte der Wunsch der NATO-Einrichtung durchaus in Erfüllung gehen. Im November 2021 einigten sich die EU-Staaten auf eine gemeinsame Position zum Digitale-Dienste-Gesetz. Darin fordert der Rat die Ausweitung der Zugangsberechtigten nach Artikel 31. Nicht bloß wissenschaftliche Forscher:innen sollten Daten der großen Plattformen bekommen. Stattdessen sollte die Definition einer „Forschungseinrichtung“ aus Artikel 2 der Urheberrechtsrichtlinie herangezogen werden. Darunter fällt „eine Hochschule einschließlich ihrer Bibliotheken, ein Forschungsinstitut oder eine sonstige Einrichtung, deren vorrangiges Ziel die wissenschaftliche Forschung oder die Lehrtätigkeit – auch in Verbindung mit wissenschaftlicher Forschung – ist“. Diese Definition könnte auch das NATO-Zentrum einschließen.

Widerstand gegen diese breite Definition kommt hingegen aus dem EU-Parlament. Dieses weitet in seiner Version von Artikel 31 des Digitale-Dienste-Gesetzes den Zugang von wissenschaftlichen Institutionen explizit auch auf zivilgesellschaftliche Organisationen aus. Forscher:innen, die Datenzugang erhalten, müssten allerdings frei von kommerziellen Interessen sein, ihre Finanzierungsquellen offenlegen und „unabhängig von jeder Regierung, Verwaltung und anderen staatlichen Körperschaften sein“, mit Ausnahme von öffentlich finanzierten Forschungseinrichtungen. Ein Streit zwischen Rat und Parlament in der Definitionsfrage scheint programmiert.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.