Der Streit um die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur irischen Datenschutzbeauftragten erreicht Brüssel. Doch auch nach einer formalen Beschwerde des Irish Council for Civil Liberties will die EU-Kommission offenbar nicht in das Verfahren eingreifen.
Die EU-Kommission sei nicht zuständig, sagt die Kommission. – Alle Rechte vorbehalten IMAGO / Michael Kneffel
Das Irish Council for Civil Liberties (ICCL) hat am 28. Oktober eine formale Beschwerde bei der EU-Kommission eingereicht. Darin kritisiert die Menschenrechtsorganisation die Ernennung von Niamh Sweeney zur Leiterin der irischen Data Protection Commission (DPC). Die Berufung stelle die Unabhängigkeit der Datenschutzbehörde infrage.
Bereits vergangene Woche hatten mehrere Nichtregierungsorganisationen der irischen Regierung einen Beschwerdebrief übergeben, in dem sie die Ernennung Sweeneys kritisieren. Als Grund führen sie zum einen an, dass diese mehr als sechs Jahre als Lobbyistin für den Tech-Konzern Meta tätig war. Meta ist eines der Unternehmen, das die DPC überwacht.
Zum anderen kritisieren die NGOs das Auswahlverfahren selbst. Dafür stellte das Unternehmen publicjobs ein Gremium aus fünf Personen zusammen. Darunter war auch Leo Moore. Der Anwalt der Kanzlei William Fry hat mit mehreren Big-Tech-Unternehmen zusammengearbeitet. Neben Moore gehörte außerdem ein Vertreter des irischen Justizministeriums dem Auswahlgremium an: Deputy Secretary General Doncha O’Sullivan.
Irland: Liebling der Tech-Branche
In seiner Beschwerde betont das ICCL, dass die DPC eine Schlüsselposition bei der Durchsetzung der europäischen Datenschutzgrundverordnung (DSGVO) einnehme. Außerdem müsse die irische Datenschutzkommission laut EU-Recht vollkommen unabhängig gegenüber jeglichen Weisungen von außen agieren – auch gegenüber möglicher Einflussnahme der irischen Regierung.
Viele Technologiekonzerne haben ihren europäischen Hauptsitz in Irland, darunter Meta, Google, Apple, Microsoft und TikTok. Die Unternehmen tragen einen erheblichen Teil zu Irlands Wirtschaft bei. Und Meta allein zahlte im Jahr 2023 mehr als 280 Millionen Euro Steuern an die irischen Behörden.
Derweil geriet die Durchsetzung der DSGVO in Irland den vergangenen Jahren immer wieder ins Stocken. Im Jahr 2022 klagte die DPC sogar gegen eine Entscheidung des ihr übergeordneten European Data Protection Board, um keine weitergehenden Ermittlungen zu Metas Datenverarbeitung aufnehmen zu müssen.
Die Berufung Sweeneys zur dritten Datenschutzkommissarin lässt den ICCL an der Unabhängigkeit der Datenschutzbehörde zweifeln. In ihrer Beschwerde an die EU Kommission schreibt die Organisation:
„Angesichts der bisherigen Bilanz der irischen Datenschutzkommission und der begründeten Zweifel an ihr hätte Irland sich über jeden Vorwurf [der Parteilichkeit] erheben müssen, unter anderem durch die Einführung von Verfahrensgarantien für die Ernennung der Mitglieder seiner Behörde.“
EU-Kommission will offenbar nicht eingreifen
Bei einer Pressekonferenz der EU-Kommission am 29. Oktober erkundigte sich eine Journalistin bei einem Kommissionssprecher, ob die Kommission die Beschwerde des ICCL annehmen werde. Der Sprecher antwortete, dass die europäischen Mitgliedstaaten für die Besetzung ihrer jeweiligen Datenschutzbehörde zuständig seien.
Die Kommission sei nicht in das Auswahlverfahren involviert gewesen und habe auch keine Kompetenzen einzuschreiten. Zugleich versuche die Kommission „immer sicherzustellen […], dass alle europäischen Datenschutzbehörden die Mittel und Unabhängigkeit haben, um ihrer Arbeit nachzugehen“.
Die Reaktion der EU-Kommission kritisiert Itxaso Domínguez de Olazábal vom Verband europäischer Digitalorganisationen European Digital Rights (EDRi): „Die Kommission kann nicht weiter wegschauen, während eine nationale Regulierungsbehörde die Grundsätze der Union untergräbt“, sagt de Olazábal gegenüber netzpolitik.org. „Der Schutz personenbezogener Daten und Grundrechte ist Teil dessen, wofür die EU steht – und die Kommission muss entsprechend handeln.“
Domínguez betont, dass die Beschwerde des ICCL nicht nur auf das Auswahlverfahren, sondern auch auf die Unabhängigkeit der DPC beziehe. Daher liege das Verfahren durchaus im Zuständigkeitsbereich der Kommission. „Die Kommission konzentriert sich offenbar auf das Auswahlverfahren und übersieht dabei das tieferliegende Problem: die anhaltende mangelnde Unabhängigkeit der irischen Datenschutzbehörde, die durch diese Ernennung offengelegt wird“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Um „organisierten Leistungsmissbrauch“ im Sozialbereich zu verhindern, will Arbeitsministerin Bärbel Bas den Datenaustausch zwischen Polizei, Ordnungsämtern und Jobcenter fördern und das Strafrecht verschärfen. Sozialverbände und Organisationen von Betroffenen warnen vor verheerenden Folgen.
Arbeitsministerin und SPD-Co-Chefin Bas will härter gegen „Missbrauch von Sozialleistungen“ vorgehen – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Die Koalition aus Union und SPD setzt ihren Kurs der Verschärfungen in der Migrations- und Sozialpolitik fort. Bundesarbeitsministerin Bärbel Bas hat nun angekündigt, Missbrauch von Sozialleistungen durch Personen aus dem europäischen Ausland in Deutschland entschiedener bekämpfen zu wollen. Laut Bas gebe es „organisierten Leistungsmissbrauch“ durch kriminelle Netzwerke.
Nach einem Treffen mit Vertreter*innen der Kommunen und Jobcentern am Montag in Duisburg kündigte die Co-Chefin der SPD an, betrügerische Strukturen vor allem mit einem schnelleren Datenaustausch zwischen Behörden aufspüren zu wollen. Ordnungsämter, Polizei und Jobcenter müssten besser miteinander kommunizieren und Daten austauschen können, forderte Bas. Dazu seien Gespräche mit Datenschützer*innen und dem Digitalminister nötig.
Bas will EU-Freizügigkeit einschränken
Gemeinsam mit Justizministerin Stefanie Hubig (SPD) will Bas außerdem prüfen, ob es eine „Strafbarkeitslücke“ im deutschen Recht gibt. So könnte Sozialleistungsmissbrauch im Strafgesetzbuch ein eigener Straftatbestand werden. Die Ministerin will damit erreichen, „dass die Verfahren nicht immer eingestellt werden“.
Außerdem will Bas die Arbeitnehmerfreizügigkeit auf EU-Ebene neu definieren. Diese sei zwar eine wichtige Errungenschaft, müsse aber an Voraussetzungen geknüpft werden. Dazu nannte sie etwa die mögliche Einführung einer Mindestanzahl an Wochenarbeitsstunden.
Derzeit können Menschen aus anderen EU-Staaten unkompliziert nach Deutschland einreisen, hier einen Wohnsitz anmelden und eine Arbeit aufnehmen, sofern sie einen gültigen Pass besitzen. Anders als deutsche Staatsangehörige haben sie Anspruch auf Sozialleistungen jedoch nur, wenn sie einen Minijob haben und der Lohn zum Leben nicht reicht.
Verfahren nur bei ausländischen Verdachtsfällen
In Deutschland bezogen zuletzt insgesamt rund 5,5 Millionen Menschen Bürgergeld. Angesichts der scharfen Debatte überraschen die geringen Fallzahlen solcher Verdachtsfälle „bandenmäßigen Leistungsmissbrauchs“. Bis Mai dieses Jahres haben die Jobcenter 195 solcher Fälle registriert, 96 zogen eine Strafanzeige nach sich. Im vergangenen Jahr waren es 421 Verdachtsfälle, bei 209 von ihnen wurde eine Strafanzeige erstattet. Das geht aus Antworten der Bundesregierung auf eine Kleine Anfrage der Grünen hervor.
Die Zahl der Fälle, die tatsächlich zu einer Verurteilung führen, ist nicht bekannt. Die Strafverfolgungsbehörden teilen den Ausgang des Verfahrens nicht immer an die Jobcenter mit.
Jobcenter eröffnen Verfahren wegen „bandenmäßigen Leistungsmissbrauchs“ nur bei nicht-deutschen Unionsbürger*innen. Alle anderen Fälle, die im Zusammenhang mit organisierten Tätergruppen stehen, werden nicht separat als bandenmäßiger Leistungsmissbrauch erfasst, so die Bundesregierung.
Zivilgesellschaft kritisiert faktenfreie Debatte
Die Veranstaltung in Duisburg, nach der Bas ihre Pläne verkündete, war eine Fachtagung zu „Herausforderungen und Lösungen im Zusammenhang mit der Zuwanderung aus EU-Mitgliedstaaten“. Eingeladen waren Vertreter*innen von Stadtverwaltungen, Jobcentern und der Bundesagentur für Arbeit. Interessenvertretungen von Menschen aus dem EU-Ausland, die in Deutschland prekär beschäftigt sind oder Sozialleistungen beziehen, waren nicht dabei.
Das kritisieren zivilgesellschaftliche Organisationen und Wissenschaftler*innen in einem offenen Brief an die Arbeitsministerin. Darin weisen sie die von der Arbeitsministerin befeuerte Debatte um „bandenmäßigem Sozialmissbrauch durch EU-Bürger*innen“ zurück. Diese entspreche nicht der Faktenlage und stelle Menschen aus EU-Staaten unter Generalverdacht des Missbrauchs und Betrugs.
Bereits vor zwei Wochen haben sich zahlreiche andere Organisationen sowie Sozialverbände zu Wort gemeldet. Sie sprechen von medialer Hetze und politischer Instrumentalisierung von Unionsbürger*innen in prekären Lebenslagen. Die zugrunde liegenden Ursachen wie strukturell bedingte Armut, Ausbeutung und fehlender Schutz für Beschäftigte aus anderen EU-Staaten würden in der Debatte ausgeblendet.
Razzien und Zwangsräumungen
Zu den Unterzeichner*innen des am Montag veröffentlichten offenen Briefs zählen zum Beispiel das Netzwerk Europa in Bewegung und die Initiative Stolipinovo in Europa e. V., die sich für die Rechte und Interessen von Migrantengemeinschaften aus Osteuropa einsetzt. Die Organisationen schildern darin mehrere Fälle aus deutschen Städten, die von struktureller Ungleichbehandlung von EU-Ausländer*innen und repressiven behördlichen Praktiken zeugen. Dazu zählen massenhafte Zwangsräumungen, diskriminierende Razzien und rassistische Behandlung in Jobcenter.
Ein Beispiel ist eine Razzia in einer Notunterkunft für wohnungslose Menschen in Berlin-Schöneberg Mitte Oktober. Mitarbeiter*innen der Berliner Jobcenter und der Familienkasse hatten in Begleitung von Polizeibeamt*innen und Pressevertrer*innen um 6 Uhr morgens die Unterkunft aufgesucht. Die Anlauf- und Beratungsstelle Amoro Foro e.V bezeichnet die Aktion als unverhältnismäßig und politisch motiviert. Ihr sei monatelange rassistische Berichterstattung vorausgegangen.
Der Verein Stolipinovo berichtet von Beispielen aus Duisburg. Die Stadt verfolge eine der repressivsten migrationspolitischen Strategien Deutschlands. Eine „Taskforce Problemimmobilien“ nutze Brandschutzverordnungen als Vorwand, um bulgarische und rumänische Staatsbürger*innen unangekündigt aus ihren Wohnungen zu räumen. Die Stadt gebe den Menschen keine Möglichkeit, die angeführten Baumängel zu beseitigen. Im Laufe eines Jahrzehnts hätten auf diese Weise mehr als 5.000 Menschen ihr Zuhause verloren, darunter Familien mit minderjährigen Kindern, Kindern mit Behinderungen sowie Schwangere.
Systematische Benachteiligung in Behörden
Auch eine Untersuchung der Bundesarbeitsgemeinschaft der Freien Wohlfahrtspflege dokumentierte 2021 eine diskriminierende Sonderbehandlung von nicht-deutschen EU-Bürger*innen durch Jobcenter und Familienkassen. Eine Umfrage unter Mitarbeitenden in der Beratung ergab unter anderem, dass Bürger*innen östlicher EU-Staaten mit systematischen und teilweise rechtswidrigen Schwierigkeiten bei der Beantragung von Sozialleistungen und von Kindergeld konfrontiert sind.
Dazu gehört beispielsweise, dass Menschen aus Rumänien, Bulgarien und anderen Staaten bereits in der Eingangszone von Jobcenter abgewiesen werden und nicht einmal einen Antrag auf Leistungen stellen können. Auch müssten EU-Bürger*innen oft unverhältnismäßig hohe Anforderungen für das Vorlegen von Dokumenten erfüllen. Teilweise werden aufstockende Leistungen trotz belegter Erwerbstätigkeit verweigert.
Der Paritätische Gesamtverband bewertete die Ergebnisse als skandalös und warnte vor strukturellem Rassismus in Jobcenter. Eine Untersuchung der Universität Duisburg-Essen bestätigte die Vorwürfe im vergangenen Jahr am Beispiel Duisburgs: Sozialrechtlicher Ausschluss, repressives Vorgehen der lokalen Behörden sowie ein informeller Arbeitsmarkt würden zur prekären Lebenslage von Unionsbürger*innen in segregierten Stadtteilen beitragen.
Warnung vor verheerenden sozialen Folgen
Der offene Brief fordert ein Ende der politischen Instrumentalisierung von Armut und eine Rückkehr zu einer faktenbasierten Debatte. Armut, unsichere Beschäftigung und Ausgrenzung seien keine Vergehen, sondern Folgen politischer Entscheidungen. Arbeitsminister Bas dürfe Probleme wie Wohnungslosigkeit und Ausbeutung im Niedriglohnsektor nicht noch verstärken.
Die Unterzeichner*innen warnen, dass die angekündigten Verschärfungen verheerende Folgen für die Betroffenen hätten. Für viele EU-Bürger*innen in Deutschland sei ein Minijob in Kombination mit aufstockenden Sozialleistungen oft der einzige Weg, um Zugang zum Gesundheitssystem zu erhalten. Würde diese Regelung eingeschränkt, verlören damit viele Menschen den Versicherungsschutz und damit den Zugang zu medizinischer Versorgung.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Einsatz von Staatstrojanern durch den BND gefährdet den journalistischen Quellenschutz. Reporter ohne Grenzen zieht deshalb nun vor den Europäischen Gerichtshof für Menschenrechte. Es geht auch darum, dass die Betroffenen mangels Informationspflichten gar keine Chance haben, sich zu wehren.
Auch der BND setzt auf den Staatstrojaner Pegasus. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Christian Ohde
Der Journalist:innen-Verband Reporter ohne Grenzen (RSF) verklagt den deutschen Auslandsgeheimdienst BND vor dem Europäischen Gerichtshof für Menschenrechte (EGMR) wegen des Einsatzes von Staatstrojanern. Mit ihrer Klage war die die Organisation schon vor dem Bundesverwaltungsgericht, das die Klage für unzulässig erklärte, wie auch vor dem Bundesverfassungsgericht, das die Klage nicht annahm, gescheitert. Laut RSF liegt das daran, dass die Klage nicht im Namen von konkret betroffenen Kläger:innen gestellt wird.
Nach Auffassung des Verbandes verletzt die Überwachung mit Staatstrojanern grundlegende Rechte gemäß der Europäischen Menschenrechtskonvention (EMRK): das Recht auf Achtung des Privat- und Familienlebens (Artikel 8), das Recht auf freie Meinungsäußerung und Informationsfreiheit (Artikel 10) sowie das Recht auf wirksame Beschwerde (Artikel 13).
„Wir sind durch alle rechtlichen Instanzen in Deutschland gegangen, um sicherzustellen, dass diese Grundrechte geschützt werden, doch nun hat auch das Bundesverfassungsgericht unsere Beschwerde ohne Begründung abgelehnt. Daher wenden wir uns jetzt an den Europäischen Gerichtshof für Menschenrechte“, sagt Anja Osterhaus, Geschäftsführerin von Reporter ohne Grenzen Deutschland.
Fehlender Rechtsschutz durch Nachweispflicht
Reporter ohne Grenzen will mit der Klage auf ein Problem hinweisen: In Deutschland verlangen Gerichte einen Nachweis, dass man selbst Ziel einer geheimen Überwachung war, bevor sie eine Klage gegen die Überwachungsmaßnahme annehmen. Diesen Nachweis zu liefern, sei aber faktisch unmöglich, weil die Maßnahmen des Geheimdienstes im Verborgenen stattfinden würden. Wer dagegen klagen wollte, müsste sich selbst bezichtigen – also einräumen, in einer Konstellation tätig zu sein, die den Einsatz eines Staatstrojaners rechtfertigen könnte, heißt es in der Pressemitteilung. Der RSF bezeichnet das als „unzumutbar hohe Hürden“, die die Organisation nun mit der Beschwerde in Straßburg abschaffen wolle, denn sie verhinderten effektiven Rechtsschutz für Journalist:innen.
Journalist:innen müssten sich auf die Vertraulichkeit ihrer Kommunikation verlassen können, der Einsatz von Staatstrojanern würde diese Vertraulichkeit jedoch untergraben. „Der Geheimdienst kann Journalisten heimlich per Trojaner überwachen, ohne dass der Betroffene hiervon jemals erfährt. Hiergegen gibt es in Deutschland keinen Rechtsschutz, wenn vom Betroffenen auch weiterhin Nachweise für eine Überwachung verlangt werden. Dies steht einem demokratischen Rechtsstaat schlecht zu Gesicht und verstößt gegen die Menschenrechte“, sagt Rechtsanwalt Niko Härting, der das Verfahren für RSF führt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Viele EU-Länder wollen der Polizei mehr Zugang zu privaten Daten verschaffen. Neben der Vorratsdatenspeicherung steht auch der Zugriff auf verschlüsselte Inhalte zur Debatte. In einem Fahrplan skizziert die EU-Kommission ihre nächsten Schritte.
Polizeien soll der Zugang zu Daten vereinfacht werden, wünscht sich die EU-Kommission. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Pond5 Images
Die EU-Kommission hat am Dienstag einen Fahrplan für den Zugang zu Daten für Polizeibehörden vorgestellt. Demnach liegt der Fokus auf sechs Schlüsselbereichen. Er umfasst etwa die weiteren Schritte in Richtung EU-weiter Vorratsdatenspeicherung, mehr Einsatz sogenannter Künstlicher Intelligenz bei Ermittlungen und einen für das Jahr 2026 geplanten Ansatz, um an verschlüsselte Daten zu kommen. Mit diesen Vorhaben drohen Einschränkungen bei Datenschutz, Privatsphäre und Vertraulichkeit der Kommunikation.
Umrissen hatte die Kommission ihre Prioritäten bereits in ihrer „ProtectEU“ genannten Strategie zur inneren Sicherheit im April. Entsprechend betont sie nun auch im aktuellen Fahrplan, dass rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhten. Zwischen den Jahren 2017 und 2022 hätten sich die Datenanfragen an Online-Dienste verdreifacht, und der Bedarf an diesen Daten steige weiter an.
Zugleich gebe es jedoch Probleme dabei, schnell an die Daten zu kommen. In manchen Fällen hätten die Anbieter sie bereits gelöscht, in anderen hapere es bei der grenzüberschreitenden Zusammenarbeit; bisweilen seien Daten verschlüsselt und nicht ohne Weiteres zugänglich. All diese Hürden müssten abgebaut werden, um „effektiv und rechtmäßig“ Ermittlungen im digitalen Raum durchführen zu können, heißt es in der Mitteilung. Federführend sind hierbei Digitalkommissarin Henna Virkkunen und Innenkommissar Magnus Brunner.
Vorratsdatenspeicherung: Mehr als 5.000 Stellungnahmen
Bereits letzte Woche ging die erste Etappe zu Ende. In einer öffentlichen Konsultation holte die Kommission Meinungen zum Dauerbrenner Vorratsdatenspeicherung ein, nun wird sie die über 5.000 Stellungnahmen aus ganz Europa auswerten müssen. Die sollen in eine Folgenabschätzung über diese Form der anlasslosen Massenüberwachung einfließen, ein notwendiger Schritt vor einem möglichen Gesetz. Mit einem erneuten Anlauf für eine EU-weite Regelung wird allgemein gerechnet, nicht zuletzt drängen EU-Innen- und Justizminister:innen im Rat auf einen einheitlichen Rechtsrahmen.
In der Vergangenheit hatten Gerichte, darunter der Europäische Gerichtshof (EuGH), nationale Anläufe sowie eine frühere EU-Richtlinie unter Verweis auf die tiefen Grundrechtseingriffe kassiert. Im Vorjahr hat der EuGH jedoch die Tür ein Stück weit geöffnet und die verdachtslose Speicherung von mindestens IP-Adressen unter bestimmten Bedingungen für zulässig erklärt.
„Rechtsmäßiger Zugang“ gefährdet alle
Auf dem Arbeitsprogramm der Kommission steht zudem eine Verbesserung des grenzüberschreitenden Datenaustauschs zwischen Ermittlungsbehörden. Dabei will sie offenbar nicht abwarten, bis alle EU-Länder das E-Evidence-Paket umgesetzt haben. Optimierungsbedarf gebe es auch bei der Europäischen Ermittlungsanordnung; die Instrumente sollen im kommenden Jahr überprüft werden.
In Zusammenarbeit mit der EU-Polizeibehörde Europol will die Kommission Ermittlungsbehörden im Bereich der digitalen Forensik besser aufstellen. Dabei sollen auch öffentlich-private Partnerschaften zum Zug kommen. Um mit der zu erwartenden Materialfülle zurechtzukommen, will die Kommission bis zum Jahr 2028 die Entwicklung und den Einsatz von KI-Tools fördern. Mehr einbringen will sich Brüssel auch bei der Standardisierung neuer Technologien, etwa, um gleich von Beginn an Überwachungsschnittstellen nach dem Prinzip des „rechtmäßigen Zugangs durch Design (‚lawful access by design‘)“ einzubauen.
Das Konzept steht im Widerspruch zu Privatsphäre durch Design (‚privacy by design‘), das Daten und Privatsphäre von Menschen nicht nur gegenüber ihrem eigenen Staat schützt, sondern auch gegenüber anderen Staaten und Kriminellen. Denn einmal geschaffene Wege zum Zugriff auf geschützte Inhalte lassen sich nicht nur durch autorisierte Akteure ausnutzen, sondern auch durch andere. Auf diese Weise kann das Konzept „lawful access by design“ sowohl einzelne Nutzer:innen als auch die IT-Sicherheit insgesamt gefährden.
Debatte unter Ausschluss der Öffentlichkeit
Für das Jahr 2026 ist ein weiterer brisanter Fahrplan angekündigt. Darin will die Kommission Ansätze „identifizieren und evaluieren“, um Polizeien womöglich Zugang zu verschlüsselten Daten zu geben. Ob sich dabei auch gefährliche Methoden wie Hintertüren wiederfinden werden, bleibt vorerst offen. Auch eine eigens einberufene Arbeitsgruppe, die sich in den vergangenen Jahren vertieft mit dem sogenannten „Going Dark“-Phänomen beschäftigt hatte und auf deren Vorschlägen das Vorgehen der Kommission beruht, ist solche Details schuldig geblieben.
Die bisherigen Schritte der Kommission sind auf vehemente Kritik seitens Grundrechteorganisationen gestoßen, die sich übergangen sehen und mehr Mitsprache fordern. In einem Brief forderten dutzende Nichtregierungsorganisationen im vergangenen Mai, dass die Debatte über Hintertüren nicht unter Ausschluss der Öffentlichkeit stattfinden dürfe. Unter anderem sei die EU-Arbeitsgruppe „undurchsichtig“ gewesen; es müssten nun mehr Stimmen aus Zivilgesellschaft und Wissenschaft gehört werden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der abgedroschene Begriff »Digitale Souveränität« erhält angesichts der sich wandelnden Weltordnung neue Brisanz. Dänemark reagiert und stellt auf Freie Software um.
Anfang Februar 2025 gelten die ersten Regel aus dem AI Act. Das Gesetz soll die Gefahren sogenannter Künstlicher Intelligenz eindämmen. Tatsächlich enthält es zahlreiche Ausnahmen. Vor allem Frankreich verhandelte Schlupflöcher mit potenziell weitreichenden Folgen für Europas Grundrechte.
Frankreich spielte bei den Ausnahmen im AI Act eine zentrale Rolle. – Alle Rechte vorbehalten Spoovio/Georgina Choleva für Investigate Europe
Dieser Artikel wurde von dem Journalistenteam Investigate Europe recherchiert, das aus Reporterinnen und Reportern aus elf europäischen Staaten besteht. Die Recherche wird gemeinsam mit Medienpartnern wie Disclose (Frankreich), EU Observer (Belgien), Il Fatto Quotidiano (Italien), InfoLibre (Spanien), Publico (Portugal) und Efsyn (Griechenland) veröffentlicht.
Ab dem 2. Februar 2025 sind KI-Systeme, die ein unannehmbares Risiko darstellen, in der EU verboten. Das ist im AI Act, der europäischen KI-Verordnung, geregelt. Die ersten dieser Regeln werden bald gültig, bei anderen dauert es noch etwas. Aber der AI Act enthält Ausnahmen und Schlupflöcher. Deshalb dürfen etwa Strafverfolgungsbehörden weiter Gesichtserkennung auf Videoüberwachungsbilder anwenden und an der Grenze dürfen automatisiert die mutmaßlichen Emotionen von Geflüchteten ermittelt werden. Das sind nur einige der Punkte, die die EU-Staaten in den europäischen AI Act hineinverhandelt haben. Dabei sollte das Gesetz eigentlich die zahlreichen Grundrechtsbedenken beim Einsatz von KI-Systemen ausräumen.
Grund für die Ausnahmen ist unter anderem die geheime Lobbyarbeit Frankreichs und anderer EU-Staaten. Das zeigen interne Dokumente aus den Verhandlungen, die Investigate Europe vorliegen. Sie zeichnen ein Bild von Gesprächen, in denen es den Mitgliedstaaten gelang, den Gesetzestext zu verwässern und damit Polizei und Grenzschützern die Möglichkeit zu geben, Bürgerinnen und Bürger heimlich zu überwachen.
Ausnahmen für die „nationale Sicherheit“
„Eine Reihe von bürokratischen Schlupflöchern führt dazu, dass der AI Act nicht das Gesetz zum Schutz der Menschenrechte ist, auf das viele gehofft hatten“, sagt die Direktorin der Brüsseler Nichtregierungsorganisation Equinox, Sarah Chander, die sich gegen rassistische Diskriminierung einsetzt. „In Wirklichkeit ist der AI Act ein industriefreundliches Instrument, das den europäischen KI-Markt schnell voranbringen und den öffentlichen Dienst digitalisieren soll.“
Für die Recherche konnte Investigate Europe mehr als 100 Dokumente aus den Sitzungen des COREPER-Ausschusses sichten, in dem sich die ständigen Vertreter:innen der 27 Mitgliedstaaten treffen. Sie bereiten die Sitzungen des Rats der EU vor. Die Journalistinnen und Journalisten konnten auch mit mehreren Personen sprechen, die an den Verhandlungen beteiligt waren. Sie zeigen, wie Frankreich strategische Änderungen im Gesetzestext durchsetzen konnte.
Das KI-Gesetz verbietet den Einsatz von Gesichtserkennungssystemen im öffentlichen Raum. Ausnahmen, die von der Regierung Macron und ihren Unterstützern in das Gesetz hineinverhandelt wurden, ermöglichen es jedoch, dass Strafverfolgungsbehörden und Grenzschutzbeamte sich nicht immer an dieses Verbot halten müssen. Dies könnte beispielsweise dazu führen, dass Klimademonstrationen oder politische Proteste mit Hilfe von KI überwacht werden, wenn die Behörden eine Gefährdung der „nationalen Sicherheit“ befürchten.
Harter Kampf um Gesichtserkennung
In einer COREPER-Sitzung im November 2022 brachte der französische Verhandlungsführer die Wünsche seiner Regierung unmissverständlich zum Ausdruck. Er habe gefordert, dass „die Ausnahme von Sicherheit und Verteidigung vom Anwendungsbereich unbedingt beibehalten werden muss“, heißt es in einem Protokoll der Sitzung. Damit bezog er sich auf eine Passage im damaligen Gesetzentwurf, laut der nur das Militär Echtzeit-Gesichtserkennung im öffentlichen Raum einsetzen dürfen sollte. In einer späteren Sitzung unterstützten mehrere Staaten die französische Forderung, darunter Italien, Schweden, Finnland, Tschechien, Litauen, Rumänien, Ungarn und Bulgarien.
„Das war einer der härtesten Kämpfe, den wir am Ende verloren haben“, erinnert sich einer der Verhandlungsführer im Gespräch mit Investigate Europe, der seinen Namen nicht in diesem Bericht lesen möchte. Die endgültige Fassung des Gesetzes erlaubt es Staaten, Überwachungstechnologien einzusetzen, wenn es um die nationalen Sicherheit geht.
In der Praxis könnten sich dank dieser Regelung auch private Unternehmen sowie Drittstaaten an der Überwachung von EU-Bürgern beteiligen, wenn sie den Sicherheitsbehörden des Landes KI-Technologie zur Verfügung stellen. Das Gesetz sieht vor, dass die Überwachung zulässig ist – „unabhängig von der Art der Einrichtung, die diese Tätigkeiten ausübt“.
Schlupfloch für private Unternehmen
„Dieser Artikel verstößt gegen jede Verfassung, gegen die Grundrechte und gegen europäisches Recht“, sagt ein Jurist der konservativen EVP-Fraktion im Europäischen Parlament im Gespräch mit Investigate Europe. „Frankreich könnte zum Beispiel die chinesische Regierung bitten, mit ihren Satelliten Fotos zu machen und diese an die französische Regierung zu verkaufen.“
Die Ausnahme widerspreche auch Urteilen des Europäischen Gerichtshofs, sagt die Rechtswissenschaftlerin Plixavra Vogiatzoglou von der Universität Amsterdam. In den Jahren 2020 und 2022 hatten die Luxemburger Richter geurteilt, dass französische Telekommunikationskonzerne gegen EU-Recht verstoßen hätten, weil sie Daten aus Gründen der nationalen Sicherheit gespeichert hätten. Vogiatzoglou: „Der EU-Gerichtshof hat gesagt, dass private Unternehmen nicht vom EU-Recht ausgenommen sind, auch wenn sie in Fragen der nationalen Sicherheit involviert sind.“
Auch außerhalb der Ratsverhandlungen hat Frankreich in den vergangenen Jahren auf den Einsatz von Überwachungstechnologien gedrängt. So genehmigte das Verfassungsgericht des Landes im Mai 2023 den Einsatz von KI-Systemen zur Videoüberwachung während der Olympischen Spiele in Paris. Diese Maßnahme wurde von Amnesty International als „ernsthafte Bedrohung für bürgerliche Freiheiten und demokratische Prinzipien“ kritisiert. In Zukunft könnte diese Ausnahme zur Regel werden.
Emotionserkennung an der Grenze erlaubt
Ab dem 2. Februar außerdem verboten sind KI-Systeme zur Emotionserkennung am Arbeitsplatz, in Schulen und Universitäten. Außerdem dürfen Unternehmen die Technologie nicht nutzen, um das Verhalten potenzieller Kunden in ihren Geschäften zu analysieren. Auch Arbeitgeber dürfen sie nicht einsetzen, um festzustellen, ob ihre Mitarbeiter zufrieden oder traurig sind. Dank des Einsatzes Frankreichs und anderer EU-Länder dürfen Sicherheitsbehörden und Grenzschützer die Systeme künftig jedoch nutzen.
Bei einer Verhandlungssitzung von COREPER am 29. November 2023 betonte der dänische Vertreter, dass ein Verbot „verhältnismäßig sein muss und nur dann gelten darf, wenn die Gefahr einer Diskriminierung besteht“. Die Niederlande, Portugal und die Slowakei vertraten bei dem Treffen eine ähnliche Position und äußerten sich kritisch zu einer Ausweitung des Verbots auf die Strafverfolgung.
Eine weitere umstrittene Anwendung von KI sind biometrische Kategorisierungssysteme. Deren Betreiber versprechen, damit die ethnische Zugehörigkeit oder sogar die sexuelle Orientierung einer Person bestimmen zu können. Das neue EU-Gesetz verbietet zwar ihren Einsatz, aber hier gibt es ebenfalls eine Ausnahme für Strafverfolgungsbehörden: „Dieses Verbot erstreckt sich nicht auf die Kennzeichnung oder Filterung rechtmäßig erworbener biometrischer Datensätze … auf der Grundlage biometrischer Daten oder auf die Kategorisierung biometrischer Daten“.
Auch hier war es Frankreich, das die Beschränkungen des AI Act aufweichte. In einem schriftlichen Kommentar zum Gesetzentwurf schrieben die französischen Verhandlungsführer am 24. November 2023, es sei „sehr wichtig, die Suche nach einer Person zu ermöglichen, … die ihre religiösen oder politischen Ansichten zum Ausdruck bringt und beispielsweise ein Abzeichen trägt, wenn diese Person in gewalttätigen Extremismus verwickelt ist oder ein terroristisches Risiko darstellt“.
Gesichtserkennungssoftware kann in Echtzeit eingesetzt werden, wenn dies für die Strafverfolgungsbehörden „unbedingt erforderlich“ ist. Die Polizei kann die Technologie bei Ermittlungen zu 16 bestimmten Straftaten einsetzen, darunter „Umweltkriminalität“. Mehrere Staaten drängten darauf, die Liste um Dutzende von Straftaten zu erweitern. Aus dem Protokoll einer COREPER-Sitzung vom November 2023 geht hervor, dass Frankreich auf eine Ausweitung des Anwendungsbereichs drängte. Unterstützt wurde es dabei von den Vertreter:innen aus Italien, Zypern, Estland, Lettland, Bulgarien und Ungarn.
In derselben Verhandlungssitzung forderte der griechische Vertreter, dass Gefängnisse und Grenzgebiete ausdrücklich von jeglichem Verbot ausgenommen werden sollten. Vielmehr sollten die Behörden die Möglichkeit haben, Bürger und Geflüchtete mit Echtzeit-Überwachungstechnologie zu überwachen.
„Ende der Anonymität“
Mit biometrischen Systemen könnten Millionen von Gesichtern überwacht und mit nationalen Datenbanken abgeglichen werden, um Personen zu identifizieren. Der Einsatz dieser Technologie im öffentlichen Raum würde „das Ende der Anonymität an diesen Orten“ bedeuten, warnte bereits 2020 European Digital Rights. Zivilgesellschaftliche Organisationen warnen seit langem davor, dass der AI Act die Grundrechte in Europa massiv einschränken könnte.
„Wir leben in einem Klima, in dem unsere Regierungen auf immer mehr Ressourcen, Gesetze und Technologien drängen, um Menschen in ihrem Alltag leichter zu überwachen, zu kontrollieren und zu bestrafen“, sagt die Gründerin der Brüsseler Anti-Rassismus-Organisation Equinox, Sarah Chander. „Wir entfernen uns immer weiter von einer Zukunft, in der die wir unsere Ressourcen für soziale Vorsorge und Schutz ausgeben statt für Überwachungstechnologie.“
Als am 6. Dezember 2023 die letzte Verhandlungsrunde zwischen Rat, Parlament und Kommission über die endgültige Fassung des AI Act begann, drängte die spanische Ratspräsidentschaft darauf, den Gesetzestext noch vor den Europawahlen im Juni 2024 zu verabschieden. Offenbar fürchteten die spanischen Diplomaten das Erstarken rechtsradikaler Parteien. Ein Beamter, der an den Gesprächen teilnahm und um Anonymität bat, berichtete Investigate Europe, dass die Unterhändler eineinhalb Tage lang verhandelten. „Wir waren erschöpft, und erst nach einer durchverhandelten Nacht begannen wir um 6 Uhr morgens, über Verbote zu sprechen“, erinnert er sich heute. „Am Ende haben wir erreicht, dass jedes Produkt von einer unabhängigen nationalen Behörde zugelassen werden muss.“
Selbstzertifizierung möglich
Der Einsatz sogenannter Hochrisikotechnologien wie Echtzeitüberwachung ist an bestimmte Bedingungen geknüpft, darunter ein Gerichtsbeschluss, die Registrierung in einer europäischen Datenbank und eine Folgenabschätzung zur Wahrung der Grundrechte. Doch auch hier wurden die strengen Regeln in den Verhandlungen teilweise aufgeweicht. So fügten die Verhandlungsführer dem Gesetz einen Artikel hinzu, der es Unternehmen erlaubt, eine Selbstzertifizierung auszufüllen und damit zu entscheiden, ob es sich bei ihrem Produkt um eine Hochrisikotechnologie handelt oder nicht.
Investigate Europe liegt ein internes Arbeitspapier des juristischen Dienstes des Europäischen Parlaments vor, das diese Lösung in Frage stellt. „Den Unternehmen wird ein hohes Maß an Subjektivität überlassen, was im Widerspruch zum Ziel des AI Act steht, das Risiko von Hochrisiko-KI-Systemen zu regulieren.“
Tatsächlich dürften die Verhandlungspartner auch von dem Interesse getrieben gewesen sein, ihre eigenen Wirtschaftsunternehmen zu schützen. Die Regierung Macron warnte in einer Verhandlungsrunde am 15. November 2023, dass ohne einen breiten Einsatz von KI-Technologien „die Gefahr besteht, dass Unternehmen ihre Aktivitäten in Regionen verlagern, in denen Grundrechte keine Rolle spielen“.
Konkrete Auswirkungen noch nicht absehbar
Es bleibt abzuwarten, inwieweit die Mitgliedstaaten die Ausnahmen nutzen werden. Der niederländische Anwalt für digitale Rechte, Anton Ekker, glaubt, dass die Ausnahmen in der Praxis kaum Auswirkungen haben werden. „Ich bin sehr kritisch, wenn ein Staat Algorithmen einsetzt. Aber zu sagen, dass alles erlaubt ist, weil es Ausnahmen gibt, ist nicht richtig“, sagte er in einem Interview mit Investigate Europe. „Es gibt viele nationale Verfassungen, die Grundrechte schützen.“
Professorin Rosamunde van Brakel forscht an der Vrije Universiteit Brüssel zu ethischen Fragen rund um den Einsatz von KI. Sie befürchtet, dass das Gesetz Betroffenen kaum helfen wird. „In den meisten Fällen greifen Regulierung und Aufsicht erst, nachdem es zu einem Verstoß gekommen ist. Vorher schützen sie uns nicht“, sagt sie. „Außerdem betreffen KI-Anwendungen im öffentlichen Sektor oft schutzbedürftige Bevölkerungsgruppen, die nicht in der Lage sind, eine Beschwerde einzureichen oder darauf zu vertrauen, dass eine Beschwerde ernst genommen wird.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln.
Der Noch-Amtsinhaber Wojciech Wiewiórowski. – Alle Rechte vorbehalten EU-Parlament
Wer wird neuer Europäischer Datenschutzbeauftragter? Diese Frage sollten gestern und heute Parlament und Rat klären. Sie ernennen zusammen den Beamten, der darüber wacht, dass sich die EU-Institutionen an den Datenschutz halten. Dabei kam es heute aber zu einer noch nie dagewesenen Situation: Parlament und Rat stimmten für unterschiedliche Personen.
Der Innenausschuss des EU-Parlaments hatte gestern für Bruno Gencarelli gestimmt. Gencarelli ist momentan in der EU-Kommission für Datenschutzpolitik zuständig und verhandelte verschiedene internationale Abkommen zum Datenaustausch.
Die Mitgliedstaaten im Rat wählten heute dagegen den aktuellen Amtsinhaber Wojciech Wiewiórowski. Er ist seit 2019 Europäischer Datenschutzbeauftragter und hat in dieser Zeit EU-Institutionen einige Male die Zähne gezeigt. So wies er etwa im vergangenen Jahr die EU-Kommission an, dass sie mit Microsofts Office-Suite keine Daten mehr in die USA übertragen dürfte.
Polnische Verbindung
Die Abgeordneten im Parlament hatten gestern mit 32 Stimmen Gencarelli unterstützt. Wiewiórowski hatte 26 Stimmen erhalten, der französische Datenschützer François Pellegrini 30 Stimmen. Anna Pouliou leitet aktuell den Datenschutz am CERN-Forschungszentrum, für sie votierten 11 Abgeordnete.
Die Mitgliedstaaten stimmten heute im Ausschuss der Ständigen Vertreter ab. Darin sitzen quasi die EU-Botschafter der Mitgliedstaaten. Dort erhielt Wiewiórowski die meisten Stimmen, gefolgt von Gencarelli, Pellegrini und Pouliou. Ein Umstand dürfte Wiewiórowski dabei hilfreich gewesen sein: Er kommt aus Polen. Polen hat momentan den alle sechs Monate rotierenden Vorsitz des EU-Rats inne. Damit hat das Land zusätzlichen Einfluss – und ein Interesse daran, Landsleute in mächtige Positionen zu bringen oder sie dort zu halten.
Das Gesetz schreibt aber vor, dass Parlament und Rat den Posten des Datenschutzbeauftragten „im gegenseitigen Einvernehmen“ besetzen. Die beiden Institutionen müssen also nun verhandeln und sich auf einen gemeinsamen Kandidaten einigen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission.
Die EU-Kommission soll dafür sorgen, dass die Verbote aus der europäischen KI-Verordnung möglichst umfangreich ausgelegt werden. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einer heute veröffentlichten Stellungnahme. Sie bezieht sich auf Leitlinien, an denen die Kommission momentan noch arbeitet.
Diese Leitlinien sollen dafür sorgen, dass auch „einfachere“ Systeme von den Regeln der KI-Verordnung betroffen sind, fordern die Organisationen. Die Kommission soll auch klarstellen, welche Arten von Systemen die verbotenen „inakzeptablen“ Risiken für Grundrechte haben. Außerdem sollen Grundrechte die zentrale Basis dafür sein, wie die KI-Verordnung praktisch umgesetzt wird.
Arbeit an Details läuft weiter
Die Europäische Union hat lange an ihren Regeln für Künstliche Intelligenz gefeilt. Intensiv diskutiert wurde etwa die Frage, welche Einsätze von KI in Europa ganz verboten werden sollten. Dabei ging es etwa um die biometrische Gesichtserkennung oder das sogenannte „Predictive Policing“. Die fertige KI-Verordnung schränkt beide Praktiken zwar ein, verbietet sie aber nicht ganz.
Zuvor gibt es noch einiges fertigzustellen. Zum Beispiel die sogenannten „Praxisleitfäden“, die genaue Regeln für KI-Modelle mit allgemeinem Verwendungszweck wie GPT-4 festlegen sollen. An denen arbeiten gerade die Anbieter solcher Modelle, andere Unternehmen und Vertreter:innen der Zivilgesellschaft unter Aufsicht der EU-Kommission. Bis April soll es einen fertigen Text geben.
Die Verbote gelten ab dem 2. Februar. Bis dahin will die EU-Kommission noch Leitlinien veröffentlichen, die Unternehmen dabei helfen sollen, sie einzuhalten. Außerdem will sie noch klarstellen, was genau denn ein KI-System überhaupt ist – und welche Systeme deshalb von der KI-Verordnung betroffen sein werden.
Ergebnis soll zählen, nicht die Art der Software
Auf diese Leitlinien bezieht sich nun die zivilgesellschaftliche Koalition, an der unter anderem European Digital Rights (EDRi), Access Now, AlgorithmWatch und Article 19 beteiligt sind. Caterina Rodelli von Access Now hält die Leitlinien für ein „zentrales Werkzeug“, um mangelhafte Menschenrechtsregeln der Verordnung noch auszubessern.
Die erste Forderung der Koalition bezieht sich auf „einfachere“ Software. „Wir sind besorgt, dass Entwickler:innen vielleicht die Definition von KI und die Einstufung von Hochrisiko-KI-Systemen ausnutzen können, um die Verpflichtungen der KI-Verordnung zu umgehen“, schreiben die Organisation. Unternehmen könnten ihre KI-Systeme zu normaler, regelbasierter Software umwandeln und so nicht mehr vom Gesetz betroffen sein, obwohl es die gleichen Risiken geben würde.
Die Organisationen fordern deshalb, dass sich Gesetze an möglichem Schaden orientieren sollten, nicht an den genutzten technischen Mitteln. Sie beziehen sich auf das Beispiel des niederländischen SyRI-Systems. Dieses System beschuldigte Empfänger:innen von Sozialhilfe fälschlicherweise des Betrugs und beeinträchtigte so Tausende von Familien. Der Skandal führte 2021 zum Sturz der damaligen niederländischen Regierung.
Dabei wirkte das zugrundeliegende System einfach und erklärbar, betont das Statement. Die Auswirkungen auf eine Vielzahl an Personen waren trotzdem verheerend.
Mehr Systeme einbeziehen
Die Koalition fordert außerdem, dass die Leitlinien marginalisierte Gruppen besser schützen sollen. Dafür soll die Kommission ausdehnen, welche Fälle unter die verbotenen „inakzeptablen“ Risiken für die Grundrechte fallen.
So soll das Verbot von „Social Scoring“ etwa auf Anwendungen ausgedehnt werden, die heute in Europa schon gang und gäbe sind: Etwa für Empfänger:innen von Sozialhilfe, wie im niederländischen Fall, oder für Migrant:innen. Die Leitlinien sollten deshalb etwa Daten schützen, die über Bande Informationen wie die Ethnie oder den sozioökonomischen Status preisgeben könnten, wie zum Beispiel die Postleitzahl.
Das Verbot für „Predictive Policing“ soll eine weite Bandbreite an Systemen einbeziehen, die kriminalisiertes Verhalten vorhersagen sollen. Im Verbot des allgemeinen Scrapens von Gesichtsbildern sehen die Organisationen einige Schlupflöcher, die sie gerne geschlossen haben würden. Außerdem soll eine Definition einer Gesichtsbild-Datenbank gelöscht werden, weil durch diese Anbieter wie Pimeyes oder Clearview außen vor bleiben würden.
Löcher schließen bei der Gesichtserkennung
Bei den Verhandlungen zur KI-Verordnung wollte das Europäische Parlament ein umfassendes Verbot von Systemen zur Emotionserkennung durchsetzen, ist damit aber gescheitert. Die Leitlinien sollen nun zumindest klar zwischen echten medizinischen Geräten wie Herzmonitoren und Geräten wie „Aggressionsdetektoren“ unterscheiden, fordern die Organisationen – denn medizinische Geräte sind von den Verboten ausgenommen.
Außerdem sollen die Leitlinien die Regeln für automatisierte Gesichtserkennung verschärfen. Auch in Deutschland gab es schon Forderungen, einige der in der KI-Verordnung dafür offen gelassenen Schlupflöcher zu schließen. Auf europäischer Ebene fordert die zivilgesellschaftliche Koalition nun, dass die Entwicklung von Gesichtserkennungssystemen für den Export unter das Verbot fallen soll. Zudem soll es nicht ausreichen, wenn Behörden nur mit einem Schild auf Zonen hinweisen, in denen Gesichtserkennung genutzt wird. Videoaufzeichnungen sollen erst nach 24 Stunden biometrisch ausgewertet werden dürfen.
In Zukunft bitte mehr Zeit
Eine Menge Wünsche für die Leitlinien – die Koalition hat aber auch noch einige Kritik für deren Entstehen übrig. Der Prozess sei nicht vorher angekündigt worden, habe kurze Fristen gelassen, es sei kein Entwurf veröffentlicht worden, schreiben sie. Außerdem seien manche der Fragen suggestiv formuliert gewesen. So habe die Kommission etwa nur nach Systemen gefragt, die aus der Definition von KI ausgeschlossen werden sollten, und nicht nach Systemen, für die die Regeln gelten sollten, bemängeln die Organisationen.
Das Statement fordert deshalb die Kommission auf, in Zukunft die Zivilgesellschaft besser einzubeziehen. „Die EU-Kommission muss Interessengruppen mit begrenzten Ressourcen eine Stimme geben, und dafür muss sie längere Zeiträume für so umfassende Befragungen vorsehen“, so Nikolett Aszodi von AlgorithmWatch.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Laut Medienberichten gibt es auf hoher Ebene der EU-Kommission Diskussionen um den Digital Markets Act. Das Gesetz soll eigentlich die Macht großer Online-Plattformen einschränken. Nun will die EU-Kommission angeblich alle schon eingeleiteten Verfahren überprüfen. Für die Zivilgesellschaft wäre das ein großer Fehler.
Die EU-Kommission soll intern ihre Untersuchungen zu großen Unternehmen in der Digitalwirtschaft auf den Prüfstand gestellt haben. Das berichtete heute die Financial Times mit Verweis auf interne Quellen. In der vergangenen Woche hatte Le Monde ähnliches geschrieben, sich dabei allerdings auf den Digital Services Act (DSA) bezogen.
Laut der Financial Times geht es um Untersuchungen unter dem Digital Markets Act (DMA), mit dem die EU die Übermacht von Plattformen wie Google und Facebook einschränken will. Dabei soll die Kommission alle ihre Untersuchungen überprüfen, die sie bisher unter dem DMA eröffnet hat. Laut der Zeitung soll in dieser Zeit nicht über mögliche Strafzahlungen entschieden werden. Die eigentliche Arbeit an den Untersuchungen soll aber weitergehen.
Der DMA betrifft in erster Linie sogenannte Gatekeeper. Damit sind sehr große Digitalunternehmen gemeint, die zentrale Plattformdienste zur Verfügung stellen und eine Schlüsselposition in digitalen Märkten einnehmen. Insgesamt sieben Unternehmen erfüllen derzeit die Bedingungen, um derart eingestuft zu werden. Dazu zählen etwa Alphabet, Apple oder Meta, aber nicht das zuletzt hoch umstrittene X des US-Milliardärs Elon Musk. Für sie gelten besonders strenge Regeln, bei Verstößen drohen ihnen Geldbußen von bis zu zehn Prozent des weltweiten Gesamtumsatzes.
Nur normale Treffen, sagt Kommission
Die Kommission bestreitet auf Anfrage die Darstellung. Sie sei weiterhin fest entschlossen, den Digital Markets Act und sein Schwestergesetz, den Digital Services Act, durchzusetzen, betonte heute ein Sprecher der Kommission. Es gebe keine solche Überprüfung.
„Was wir haben werden, sind Treffen, um die Ausgereiftheit von Fällen zu bewerten und die Verteilung von Ressourcen sowie die allgemeine Bereitschaft der Untersuchungen zu beurteilen“, so der Sprecher weiter. Das seien normale Schritte, die im gesamten Lebenszyklus von Fällen im Tech-Bereich passieren würden.
Auch ansonsten betont die Kommission, dass die technische Arbeit in den DMA-Fällen sehr komplex sei. Deshalb würden die Untersuchungen weiterhin andauern. Der letzte Schritt aus den Untersuchungen, der öffentlich geworden ist, war die Verkündung von vorläufigen Ergebnissen gegen Apple und Meta im vergangenen Sommer.
Ergebnisse müssen wasserdicht sein
Bei Apple geht es dabei um die Regeln für App-Entwickler:innen. Diese sollen unter dem DMA eigentlich Kund:innen frei auf Angebote außerhalb des App Stores weiterleiten können. Hier reichten die Anpassungen von Apple laut Sicht der Kommission nicht aus. Bei Meta bemängelte die Kommission das „Pay or Consent“-Modell des Unternehmens. Unter diesem müssen Nutzer:innen entweder ihre Daten hergeben oder bezahlen, wenn sie Facebook oder Instagram nutzen wollen.
Die Kommission schickte diese vorläufigen Ergebnisse an die beiden Unternehmen – und die durften dann Widerspruch dagegen einlegen. Dafür bekommen sie auch Zugang zu allen Dokumenten, die die Kommission im Laufe der jeweiligen Untersuchung angelegt hat. Und es sind Konzerne mit prall gefüllten Geldbeuteln, für die es in diesen Fällen um sehr viel Geld geht. Man kann davon ausgehen, dass sie für ihre Verteidigung absolut hochwertige Anwält:innen angeheuert haben.
Der Sprecher der Kommission betonte heute deshalb auch: „Bevor wir eine solche Entscheidung beschließen, müssen wir uns sicher sein, dass wir diesen Fall vor Gericht gewinnen werden.“
Die orange Bedrohung
Neben der juristischen Absicherung gibt es aber noch ein zweites, politisches Problem, das Auswirkungen auf die europäischen Regeln haben könnte. Dieses Problem ist orangefarben, jähzornig und wird am kommenden Montag zum zweiten Mal als Präsident der USA eingeschworen werden.
Donald Trump hatte seit der Zeit rund um die US-Wahl verstärkt Kontakt mit Big-Tech-Chefs. Der Kniefall Mark Zuckerbergs in der vergangenen Woche war das neueste Signal in diese Richtung. Zuckerberg hat sich schon über die angebliche „Zensur“ durch europäische Digitalgesetze beschwert und versucht, mit nationalistisch gefärbten Appellen an Trump, EU-Vorgaben abzuwehren.
Auch Apple-Chef Tim Cook hatte Berichten zufolge bereits Kontakt mit Donald Trump und nutzte die Gelegenheit, um EU-Strafen zu kritisieren. „Ich werde nicht zulassen, dass sie sich an unseren Unternehmen bereichern“, will Trump darauf geantwortet haben.
Zivilgesellschaft macht Druck
Der Bericht über mögliche Bedenken bei der Kommission rief kritische Reaktionen hervor. Wenn die Kommission ihren bisherigen starken Kurs zum DMA ändern würde, wäre das ein sehr großer Fehler, sagte Lucas Lasota von der Free Software Foundation Europe (FSFE) zu netzpolitik.org. Die FSFE unterstützt die Kommission aktuell in einem DMA-Gerichtsverfahren gegen Apple.
„Die FSFE hält ihn für ein sehr wichtiges Gesetz“, so Lasota. Der DMA wolle ein ebeneres Spielfeld für alle schaffen. Es gehe nicht um einen Gegensatz EU gegen USA, sondern um Big Tech gegen alle.
Dem stimmt auch Jan Penfrat von Europan Digital Rights zu. „Die DMA-Untersuchungen zu den Gatekeepern zu verlangsamen, herunterzufahren oder zu pausieren, wäre ein großer Fehler der Europäischen Kommission“, sagte er zu netzpolitik.org.
„Wenn die Kommission sich von der Angst vor politischem Gegenwind aus der Trump-Regierung dazu schikanieren lässt, seine DMA-Untersuchungen neu zu bewerten, dann wird diese Schikane – sowohl von Big Tech als auch von Trump – nicht aufhören“, so Penfrat.
Schwab will gründliche Arbeit
Zweifel gab es auch im Europäischen Parlament. So etwa von Stephanie Yon-Courtin, einer liberalen Abgeordneten aus Frankreich, die am Digital Markets Act mitarbeitete. Für „etwas schwach“ hält sie die Antwort der Kommission, laut der diese weiterhin entschlossen sei, ihre Regeln durchzusetzen. „Wir brauchen gegen die Provokationen von Big Tech keine Worte mehr, sondern Taten, und zwar bald“, sagte Yon-Courtin netzpolitik.org.
Wesentlich gelassener zeigt sich der deutsche Christdemokrat Andreas Schwab. Er war auf Parlamentsseite Chefverhandler zum DMA. „Grundsätzlich gilt: Gründlichkeit vor Schnelligkeit, weil der Maßstab in Europa das Rechtsstaatsprinzip ist“, so Schwab. Die Verfahren würden wahrscheinlich vor Gericht landen und in den USA gebe es jetzt schon Zweifel daran, wie seriös die EU handele. „Deshalb muss die Sache sauber durchgezogen werden.“
„Gleichzeitig ist es aber kein Geheimnis, dass die Spitze der Kommission derzeit keinen Ärger mit den USA will“, so Schwab weiter. „Das muss uns noch nicht besorgt machen, wir können eine Reihe von Entscheidungen auch Anfang Februar noch treffen.“ Am kommenden Donnerstag tritt die Arbeitsgruppe des Parlaments zusammen, die sich mit der Durchsetzung des DMA beschäftigt. Dort will er mit Vertreter:innen der Kommission weitere Einzelheiten besprechen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Europol: Sitzt in Den Haag und gibt ungern etwas über seine Arbeit preis. – Alle Rechte vorbehalten Europol: Imago/Chromorange; Server: Unsplash / Taylor Vick
Eine neue Verordnung für die Polizeibehörde Europol soll eine gigantische Sammlung von Ermittlungsdaten legalisieren, die einzelne EU-Mitgliedsstaaten dort quasi geparkt hatten. Es handelt sich um vier Petabyte an Daten aus laufenden und abgeschlossenen Ermittlungsverfahren, darunter auch gestrichene Einträge aus Terrorlisten einzelner Staaten. In einigen Fällen weiß die Behörde selbst nicht genau, um was für Daten es sich handelt, wie sie einräumte. Erst Anfang Januar hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Löschung aller Daten angeordnet, die nicht mit einer konkreten Straftat im Zusammenhang stehen.
Doch die Datensammlung, die Kritiker:innen als „Datenarche“ bezeichnen und mit der Speicherwut des US-Geheimnisses NSA vergleichen, dürfte unverändert bestehen bleiben und sogar ausgebaut werden. Am Dienstagabend einigten sich die EU-Staaten mit dem Parlament auf eine neue Verordnung, nach der Europol „weiterhin Ermittlungen auf der Grundlage dieser Daten unterstützen könnte“. Das teilte die französische Ratspräsidentschaft mit. Bis zur Wirksamkeit der neuen Verordnung sollen „Übergangsmaßnahmen“ die Datenarche vor Löschung bewahren.
Generell soll die Verordnung die Kompetenzen von Europol drastisch ausweiten. Künftig dürfe die Behörde mit Drittstaaten persönliche Daten zu Ermittlungszwecken austauschen, so die französischen Verhandler:innen. Auch dürfe Europol-Chefin Catherine De Bolle nationalen Behörden die Aufnahme von Ermittlungsverfahren in grenzüberschreitenden Kriminalfällen vorschlagen. Das wäre eine deutliche Ausweitung der bisherigen Befugnisse von Europol. Die nationalen Behörden sollen allerdings selbst entscheiden dürfen, ob sie dem Vorschlag nachkommen.
„Direkte Bedrohung für Rolle der Aufsichtsbehörde“
Der Datenschutzbeauftragte Wiewiórowski übte schon im Vorfeld Kritik an der neuen Verordnung. Sie gebe der EU-Polizeiagentur breite Befugnisse zur Datenspeicherung – ohne ausreichende Maßnahmen zum Schutz von Grundrechten. „Daten von Einzelpersonen ohne klare Verbindung zu Straftaten könnte genauso verarbeitet werden wie Daten von Verdächtigen oder Verurteilten“, sagte Wiewiórowski. Besonders empörend findet er, dass mit der Verordnung Gesetzesverletzungen rückwirkend legalisiert werden. Dies bedeute „eine direkte Bedrohung der Rolle der Aufsichtsbehörde“.
Auch aus dem EU-Parlament gibt es heftige Reaktionen. Aus Sicht der SPD-Abgeordneten Birgit Sippel verwendet Europol für die Rechtfertigung seiner Überwachung und massenhaften Datenspeicherung auf Vorrat „ähnliche Argumente“ wie die NSA. Dieses Vorgehen sei jedoch nicht mit der Datenschutzgrundverordnung vereinbar, sagte die Abgeordnete bei seiner Sitzung des Bürgerrechteausschusses im Parlament. Schwachstellen der Verordnung würden möglicherweise bald den Europäischen Gerichtshof beschäftigen, sagt Sippel gegenüber netzpolitik.org. „Rechtssicherheit sieht anders aus.“
Es handelte sich um massenhafte Daten unverdächtiger Personen, etwa um Handy-Bewegungsdaten und Flugreisedaten, sagt der EU-Abgeordnete Patrick Breyer von der Piratenpartei. „Die Konsequenz: Unschuldige Bürger laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren.“ Europol müsse „wirksam kontrolliert und an Gesetzesverstößen gehindert werden“, sagt Breyer. „Die bisher oberflächlichen Aufsichtsmechanismen haben keine Zähne bekommen, um illegale Praktiken der Behörde erkennen und stoppen zu können.“
Den Vergleich mit der NSA wies Europol-Vizechef Jürgen Ebner vor dem Ausschuss zurück. „Wir machen keine Massenüberwachung, auch können wir keine Zwangsmaßnahmen anordnen“, betonte er. „Wir haben nicht die technischen Mittel, um das zu machen.“ Die Software des umstrittenen US-Anbieters Palantir, die Europol 2016 eingekauft hatte, verwendet die Polizeibehörde inzwischen nicht mehr.
Ebenfalls auf Kritik der Abgeordneten stößt, dass die Verordnung Europol künftig breit die Kooperation mit Firmen möglich macht. Der Entwurf erlaubt Europol, persönliche Daten direkt von privaten Organisationen zu erhalten. Diese darf Europol analysieren und an die Behörden der Mitgliedsstaaten weitergeben. Der Abgeordnete Breyer, der Teil der Grünen-Fraktion ist, bringt diese Erlaubnis mit EU-Plänen in Verbindung, Diensteanbieter zur flächendeckenden Durchleuchtung privater Nachrichten auf Kindesmissbrauchsinhalte zu verpflichten. Diese Art der Kooperation sei inakzeptabel, sagt Breyer.
Die Fingerkuppen von Menschen sind biometrische Merkmale. – Public Domain Anna Roguszczak
Ein deutscher Kläger bringt die Zwangsabgabe von biometrischen Merkmalen vor das europäische Höchstgericht: Das Verwaltungsgericht Wiesbaden sieht grundsätzliche Rechtsprobleme, wenn für den Besitz eines Personalausweises die Abgabe der Fingerabdrücke verpflichtend ist. In einem Beschluss (pdf) legt das Gericht diese Rechtsfragen dem Europäischen Gerichtshof (EuGH) vor.
Die Verpflichtung für über dreihundert Millionen EU-Bürger, zwei Fingerabdrücke auf dem Ausweis in digitaler Form speichern zu lassen, geht auf die EU-Verordnung 2019/1175 zurück. Das Verwaltungsgericht begründet in seinem Beschluss seine Zweifel daran, dass die entsprechenden Vorschriften in dieser EU-Verordnung unionsrechtskonform sind. Zum einen bestünden rechtliche Zweifel schon durch das Zustandekommen der Verordnung außerhalb des eigentlich vorgeschriebenen ordentlichen Gesetzgebungsverfahrens, zum anderen sieht das Gericht die Europäische Grundrechtecharta verletzt. Das betrifft die Artikel 7 und 8 der Charta, die das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation sowie das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten festschreiben.
Außerdem legt das Gericht in seinem Beschluss dar, dass die Datenschutzgrundverordnung missachtet wurde. Es bezieht sich dabei auf Artikel 35 der DSGVO, in dem eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Bevor eine Verarbeitung von sensiblen Daten wie Fingerabdrücken erfolgt, sollen dadurch vorab die Risiken analysiert werden. Eine solche Datenschutz-Folgenabschätzung hat es aber nicht gegeben.
Der Kläger wird vom Verein digitalcourage unterstützt, der gegenüber netzpolitik.org erklärt, die Fingerabdruck-Speicherpflicht verletze „unsere Grundrechte auf Privatsphäre und den Schutz unserer personenbezogenen Daten“. Der Verein bezweifelt auch, dass die auf dem Personalausweis gespeicherten Fingerabdrücke zu der versprochenen verbesserten Fälschungssicherheit führen. Wie auch das Gericht in seinem Beschluss darlegt, wäre damit nicht einmal die Notwendigkeit des schwerwiegenden rechtlichen Eingriffs einer zwangsweisen Abgabe von persönlichen Biometriedaten gegeben. Die Speicherung der Fingerabdrücke auf dem Personalausweis sei „ein unverhältnismäßiger Eingriff“, so digitalcourage.
Ein Musterexemplar des deutschen Personalausweises. - Public Domain Bundesrepublik Deutschland, Bundesministerium des Innern
Die Mehrheit von CDU, CSU und SPD im Bundestag hatte auf Grundlage der Verordnung im Jahr 2020 die verpflichtende Speicherung von Fingerabdrücken im deutschen Personalausweis beschlossen. In den dezentralen Melderegistern der Kommunen werden die biometrischen Daten zwar nicht gespeichert, aber auf einem Chip, der in der Plastikkarte des Ausweises eingelassen ist. In Deutschland werden – sofern das bei der beantragenden Person möglich ist – Abdrücke von beiden Zeigefingern genommen. Die EU-Verordnung sieht allerdings keine Festlegung auf einen bestimmten Finger vor.
Zuvor freiwillig, jetzt Pflicht: Fingerabdruck-Abgabe
Seit August 2021 müssen alle Menschen in Deutschland beim Beantragen eines Personalausweises zwei Fingerabdrücke hinterlassen. Das rief Kritiker auf den Plan: Bürgerrechtsorganisationen bewerteten diese Fingerabdruck-Pflicht als unvereinbar mit dem Grundgesetz. Schon im Prozess des Entstehens der Verordnung war auch der EU-Kommission bescheinigt worden, das Vorhaben sei ungerechtfertigt und nicht notwendig.
Doch was zuvor in Deutschland freiwillig war, wurde dennoch zur Pflicht. Das Fingerabdruck-Prozedere auf dem Amt kennen viele Menschen schon vom Reisepass, denn da besteht der Zwang schon einige Jahre länger. Die Verpflichtung zur Abgabe zweier Fingerabdrücke bei der Ausweisbeantragung ergibt sich konkret aus § 5 Abs. 9 des deutschen Personalausweisgesetzes, der wiederum auf der EU-Verordnung zur Erhöhung der Sicherheit der Personalausweise und Aufenthaltsdokumente beruht.
Gegen die Fingerabdruckabnahme wehrte sich ein Bürger und verlangte auf dem Amt einen Ausweis ohne die biometrische Vermessung. Als ihm das verwehrt wurde, zog er vor Gericht.
Das Verwaltungsgericht Wiesbaden hat überaus schnell reagiert und mit seinem Beschluss nun den EuGH hinzugezogen. Mit sehr hoher Wahrscheinlichkeit wird das europäische Höchstgericht erneut über die zwangsweise Erfassung von Fingerabdrücken entscheiden. Die anlassunabhängige Vermessung der biometrischen Merkmale von Menschen für ihre Identifikationspapiere ist nicht das erste Mal ein Fall für den EuGH. Zuletzt war dazu vor acht Jahren ein Urteil (vom 17. Oktober 2013) ergangen. Der damalige deutsche Kläger, der einen Reisepass ohne Fingerabdrücke ausgestellt bekommen wollte und mit seinem Fall ebenfalls in Luxemburg landete, hatte allerdings keinen Erfolg.
Im Beschluss des Wiesbadener Verwaltungsgerichts wird entsprechend betont und auch schlüssig begründet, dass die Funktion eines Ausweises nicht mit der eines Reisepasses vergleichbar sei. Die Chancen des Klägers dürften also hoch sein, dass der EuGH den Fall aufgreift.
Für den Fälschungsschutz ungeeignet
Dass diese obligatorische Abnahme von Fingerabdrücken ein Eingriff in Grundrechte ist, steht außer Frage. Artikel 7 und 8 der Grundrechtecharta sind klar betroffen. Aber ist er auch ungerechtfertigt und unverhältnismäßig? Dazu gehört die Frage, ob nicht auch geringere Eingriffe ausgereicht hätten.
Die EU-Verordnung 2019/1157 soll dem Schutz vor Fälschungen dienen und eine verlässliche Verbindung zwischen dem Inhaber und seinem Ausweis herstellen, um einer betrügerischen Verwendung vorzubeugen. In Erwägungsgrund 18 heißt es:
Die Speicherung eines Gesichtsbilds und zweier Fingerabdrücke […] auf Personalausweisen und Aufenthaltskarten […] stellt eine geeignete Kombination einer zuverlässigen Identifizierung und Echtheitsprüfung im Hinblick auf eine Verringerung des Betrugsrisikos dar, um die Sicherheit von Personalausweisen und Aufenthaltskarten zu verbessern.
Dass die Aufnahme von Fingerabdrücken für den Fälschungsschutz geeignet ist und damit Betrug und Identitätsdiebstahl verhindern kann, bezweifelt das VG Wiesbaden in seinem Beschluss ausdrücklich. Wenn schon das Gesicht einer Person zum Abgleich vorhanden ist, erschließt sich nicht, warum ein zweites Merkmal wie der Fingerabdruck erforderlich sein soll.
Im Erwägungsgrund 19 der Verordnung ist auch geregelt, dass die EU-Mitgliedstaaten zur Überprüfung der Identität eines Ausweisinhabers vorrangig das Gesichtsbild prüfen. Die Fingerabdrücke sollen höchstens bestätigend überprüft werden.
Der Beschluss des Gerichts greift mehrfach die Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen (pdf) aus dem Jahr 2018 auf, der weit vor dem Inkrafttreten schon kritisiert hatte, dass die Notwendigkeit des Fingerabdruckszwangs nicht begründet sei. Mit weniger eingriffsintensiven Maßnahmen könnte man das Ziel der Fälschungssicherheit auch erreichen, argumentierte er. Biometrische Daten seien nach EU-Recht besonders schützenswert, zumal wenn hier 370 Millionen Menschen betroffen sind.
Gefahr des Identitätsdiebstahls
Der Anwalt des Klägers, Wilhelm Achelpöhler, hatte die Klage erst Ende Dezember eingereicht. Der Beschluss des Gerichts erfolgte also sehr schnell, betont der Rechtsanwalt gegenüber netzpolitik.org. Wenn der Vorlagebeschluss des Verwaltungsgerichts Wiesbaden an den EuGH übermittelt worden sei, könnten neben dem Kläger und der beklagten deutschen Stadt auch die EU-Mitgliedstaaten und die EU-Kommission binnen zwei Monaten Schriftsätze an den Gerichtshof senden.
Nach den schriftlichen Stellungnahmen erwartet Achelpöhler eine mündliche Verhandlung am Gerichtshof. Der Anwalt sieht gegenüber netzpolitik.org seine Argumentation durch den Beschluss des Verwaltungsgerichts insgesamt bestätigt und wird auch beim EuGH den Mandanten vertreten.
Die Richter des Verwaltungsgerichts gehen über die Argumente in der Klage teilweise sogar hinaus und verweisen in ihrem Beschluss auch darauf, dass in den Ausweisen der gesamte Fingerabdruck gespeichert wird und nicht nur partielle Informationen. Dadurch erhöhe sich das Risiko eines Identitätsdiebstahls. Statt des gesamten Abdrucks hätten auch nur Teile der Minuzien auf den Fingerkuppen verwendet werden können, aus denen ein ganzer Fingerabdruck nicht mehr rekonstruierbar wäre. Darauf hatte bereits der Europäische Datenschutzbeauftragte hingewiesen.
Auch digitalcourage sieht eine Gefahr des Identitätsdiebstahls und eines „Datenlecks“, die unweigerlich bestünden. Konstantin Macher von Digitalcourage erklärte dazu in einer Pressemitteilung des Vereins vom 27. Januar: „Erfahrungsgemäß ist bei einem Datenleck die Frage nicht ob, sondern wann es passiert. Die Speicherung unserer kompletten Fingerabdrücke vergrößert die Gefahr eines Identitätsdiebstahls, sobald der RFID-Chip geknackt ist.“
Auf Nachfrage von netzpolitik.org, was mit dem „Knacken des RFID-Chips“ technisch gemeint sei, erklärt Macher, dass auch der Fall bedacht werden müsse, „wenn sich eines Tages die Verschlüsselung der Daten auf dem Personalausweis als nicht (mehr) sicher herausstellen sollte“. Denn auch eine starke Verschlüsselung könne keine absolute Sicherheit garantieren.
Vier Innenminister
Den Ausweis mit Chip gibt es seit mehr als elf Jahren, der Biometrie-Reisepass mit Chip wurde sogar schon einige Jahre zuvor eingeführt. Über 62 Millionen Deutsche besitzen mittlerweile ein Ausweis-Exemplar mit einem Funk-Chip (RFID).
Immerhin vier Innenminister haben ihren Anteil daran: Otto Schily (SPD) hatte nach dem elften September die Biometrie-Idee zunächst für den Reisepass stark protegiert, Wolfgang Schäuble (CDU) brachte sie durch das Bundeskabinett, Thomas de Maizière (CDU) durfte den Personalausweis mit biometrischen Daten und funkendem Chip präsentieren und Horst Seehofer (CSU) verpflichtete die Ausweisbesitzer zuletzt auch noch zur Fingerabdruckabgabe.
Die biometrischen Daten des Chips dürfen Polizeien, Zollverwaltung, Steuerfahndung und Meldebehörden auslesen, nicht aber private Akteure. Alle Personalausweise bleiben allerdings auch dann gültige Ausweisdokumente, wenn der Chip den Geist aufgibt und nicht mehr auslesbar ist. Die Fingerabdrücke sind dann verloren – anders als die Gesichtsbilder, die zwar dann auch nicht mehr digital ausgelesen werden können, aber wenigstens aufgedruckt sind und noch mit dem Gesicht des Inhabers verglichen werden können.
Viele glauben, dass es in Deutschland eine Personalausweispflicht gibt, aber das stimmt so nicht. Denn nach § 1 Abs. 2 Satz 3 des Personalausweisgesetzes besteht keine Pflicht zum Besitz eines Personalausweises. Wer etwa einen gültigen Reisepass hat, muss keinen Personalausweis besitzen. Eine „Ausweispflicht“ besteht also zwar, aber nicht im Wortsinn: Man muss sich mit einem hoheitlichen Dokument ausweisen können, nicht unbedingt aber mit einem Personalausweis. Dennoch zeigt schon die hohe Anzahl der Ausweise, die im Umlauf sind, dass die große Mehrheit der Deutschen einen Personalausweis hat.
Allein deswegen betrifft die EuGH-Vorlage des Verwaltungsgerichts Millionen Bürger und ihre persönlichen Biometriedaten. Sollte der EuGH im Sinne der Grundrechte entscheiden und die zwangsweise Erhebung der Fingerabdruckdaten für unverhältnismäßig befinden, dann wäre die Entscheidung nicht nur für den Kläger von Bedeutung, sondern verbindlich für alle EU-Staaten. Die verpflichtende biometrische Vermessung der Fingerkuppen könnte dann ein Ende finden.
Es geht um einen Deal in Milliardenhöhe, der das Ende der Pandemie beschleunigen sollte: Im Frühjahr vereinbarte die EU-Kommission den Kauf von 1,8 Milliarden Corona-Impfstoffdosen mit Pfizer. Sie macht den Pharmariesen damit zum Hauptlieferanten der Kommission. Den Durchbruch in den Verhandlungen brachte angeblich der direkte Draht zwischen Kommissionschefin Ursula von der Leyen und Pfizer-Chef Albert Bourla. Die beiden hätten in Anrufen und Nachrichten den Ankauf detailliert besprochen, berichtete damals die New York Times.
Doch bis heute weiß die Öffentlichkeit wenig über das Geschäft, dass heute in ganz Europa Booster-Impfungen ermöglicht. Die Kommission legte zwar – wie bei Verträgen mit anderen Herstellern – eine Vorvereinbarung und einen Kaufvertrag mit Pfizer offen, schwärzte darin aber Lieferpreis und Haftungsklauseln. Intransparent agiert die EU-Behörde auch beim Zustandekommen des Deals. Sie verweigert den öffentlichen Einblick in die Nachrichten zwischen Von der Leyen und Bourla.
Eine Anfrage von netzpolitik.org nach dem Informationsfreiheitsgesetz der EU schmetterte die Kommission im Sommer ab. Sie will nicht einmal verraten, ob die Nachrichten überhaupt noch existieren oder ob sie in der Zwischenzeit schon gelöscht sind. Über diese Intransparenz beschwerten wir uns bei der EU-Ombudsfrau Emily O’Reilly. Ihre Behörde kann solche Beschwerden prüfen und öffentlich Missstände in der EU-Verwaltung anprangern. Rechtlich bindende Entscheidungen trifft sie nicht.
Ombudsfrau sieht „Fehlverhalten“ der EU-Kommission
Heute hat Ombudsfrau O’Reilly ihre Empfehlungen an die Kommission veröffentlicht: Darin sieht sie „maladministration“, ein Fehlverhalten der Kommission. Der Behauptung der Kommission, dass Nachrichten über SMS und Messengerdienste wie WhatsApp generell keine Dokumente seien und daher nicht von der Informationsfreiheit erfasst werden, kann die Ombudsfrau nichts abgewinnen. Egal über welchen Kanal eine Nachricht übermittelt werde – wenn der Inhalt die Arbeit der Kommission betreffe, dann müsse der Öffentlichkeit Zugang gewährt werden.
Die Ombudsfrau legt der Kommission nahe, die Anfrage von netzpolitik.org nochmal zu prüfen. „Wenn es die in Berichten erwähnten Textnachrichten gibt und sie gefunden werden, dann sollte die Kommission prüfen, ob ein öffentlicher Zugang im Sinne von Verordnung 1049/2001 gewährt werden kann.“ Die Kommission hat nun bis 26. April 2022 Zeit, detailliert Stellung zunehmen. Vorerst möchte sie nicht darauf reagieren, wie ein Sprecher auf Anfrage betonte.
Die Vizechefin der EU-Kommission, Věra Jourová, hatte zuletzt neue Leitlinien der Kommission für Informationsfreiheitsanfragen in Aussicht gestellt. Dabei soll auch der Umgang mit Nachrichten über SMS und Messenger neu geregelt werden. Ombudsfrau O’Reilly ruft die Kommission auf, künftig alle Nachrichten unabhängig von ihrer Form auf ihre Relevanz zu prüfen. „Die EU-Verwaltung muss ihre Praxis der Aufzeichnung von Dokumenten an die Realität anpassen“, so O’Reilly.
Einen zeitgemäßen Umgang mit Nachrichten über Messenger fordert auch der grüne EU-Abgeordnete Daniel Freund. „Es ist heute so, dass per Signal, WhatsApp und Slack regiert wird.“ Dementsprechend müssten diese Nachrichten unter die Informationsfreiheit fallen – oder die Verwendung von SMS und Messengern für die offizielle Kommunikation verboten werden, sagt der Abgeordnete und frühere Transparency-International-Experte.
Die Vorwürfe machen deutlich, dass Social Media immer stärker zum Schauplatz moderner Kriegsführung gerät. Und wer diese Sichtweise teilt, für den ist die Informationsgewinnung über Propaganda der Gegenseite eine strategische Notwendigkeit.
Eine Datenpipeline für die Informationsgewinnung verspricht eine neue EU-Verordnung: Das Digitale-Dienste-Gesetz soll vorschreiben, dass große Plattformen wie Facebook und YouTube rasche Schritte gegen illegale Inhalte setzen müssen. Bei Werbung im Netz müsse nachvollziehbar sein, wer werbe und welche Zielgruppe angesprochen werde. Um diese und weitere Auflagen kontrollieren zu können, sollen Plattformen Forscher:innen Zugang zu ihren Daten gewähren.
Derzeit starten in Brüssel Verhandlungen zwischen Kommission, Rat und EU-Parlament über einen endgültigen Gesetzestext. Dabei könnte eine tief im Text versteckte Definition zum Streitpunkt werden: Denn in ihrem Gesetzesvorschlag hat die EU-Kommission den Datenzugang für die Forschung stark beschränkt. Konkret Zugriff haben sollen nur Forscher:innen wissenschaftlicher Institutionen, die wirtschaftlich unabhängig seien.
„Datenzugang für Organisationen wie unsere nicht verhindern“
Diese enge Definition verärgert NATO-Kreise. Das zeigt eine schriftliche Protestnote der NATO-Einrichtung Stratcom Centre of Excellence an die EU-Staaten, die netzpolitik.org veröffentlicht. In dem Schreiben verweist das Zentrum auf eigene Forschungsarbeit in sozialen Medien. Ein Stratcom-Bericht aus 2019 habe etwa gezeigt, dass Facebook, Instagram, Twitter und YouTube nicht genug gegen manipulative Auftritte in ihren Netzwerken unternähmen. Die meisten Fake-Profile würden mit Hilfe aus Russland betrieben.
Die Untersuchungen des NATO-Zentrums könnten durch das Digitale-Dienste-Gesetz der EU erheblich erleichtert werden, heißt es in dem Schreiben aus April 2021. „Leider sehen wir, dass der derzeitige Wortlaut von Artikel 31 eine solche Arbeit verhindern dürfte.“ Das Zentrum wäre daher „dankbar“, wenn der Artikel angepasst werden könnte, „um den Datenzugang für die Forschung durch Organisationen wie unsere nicht zu verhindern“.
Das Stratcom Centre of Excellence wurde 2014 von Deutschland und sechs weiteren NATO-Staaten gegründet. Es wird inzwischen von 14 Mitgliedern des Militärbündnisses finanziell unterstützt. Formell untersteht seine Arbeit nicht dem NATO-Oberkommando, das Zentrum ist allerdings als Dienststelle des Bündnisses eingerichtet und liefert der NATO strategische Analysen, Konzepte und bietet Fortbildungen für ziviles und militärisches Personal. Ziel ist es dabei auch, Strategien für das Entwickeln von „Gegenerzählungen“ zu russischen Propaganda-Narrativen zu entwerfen.
Allerdings gibt es daran beständig Kritik. EU-Abgeordnete der Linksfraktion kritisieren „das Lobbying von transatlantischen und NATO-Thinktanks“. Deren Einfluss stelle eine ernste Bedrohung für politische Positionen dar, die sich international für Frieden und soziale Gerechtigkeit einsetzten, sagt etwa die irische EU-Abgeordnete Clare Daly. Eine von der Linksfraktion finanzierte Studie über „Rhetorik und Realität von Desinformation in der Europäischen Union“ sieht die Arbeit des NATO-Zentrums in Riga als Teil einer langjährigen Strategie zu Beeinflussung der öffentlichen Meinung.
Definition entzweit Rat und Parlament
Doch trotz der Kritik von links könnte der Wunsch der NATO-Einrichtung durchaus in Erfüllung gehen. Im November 2021 einigten sich die EU-Staaten auf eine gemeinsame Position zum Digitale-Dienste-Gesetz. Darin fordert der Rat die Ausweitung der Zugangsberechtigten nach Artikel 31. Nicht bloß wissenschaftliche Forscher:innen sollten Daten der großen Plattformen bekommen. Stattdessen sollte die Definition einer „Forschungseinrichtung“ aus Artikel 2 der Urheberrechtsrichtlinie herangezogen werden. Darunter fällt „eine Hochschule einschließlich ihrer Bibliotheken, ein Forschungsinstitut oder eine sonstige Einrichtung, deren vorrangiges Ziel die wissenschaftliche Forschung oder die Lehrtätigkeit – auch in Verbindung mit wissenschaftlicher Forschung – ist“. Diese Definition könnte auch das NATO-Zentrum einschließen.
Widerstand gegen diese breite Definition kommt hingegen aus dem EU-Parlament. Dieses weitet in seiner Version von Artikel 31 des Digitale-Dienste-Gesetzes den Zugang von wissenschaftlichen Institutionen explizit auch auf zivilgesellschaftliche Organisationen aus. Forscher:innen, die Datenzugang erhalten, müssten allerdings frei von kommerziellen Interessen sein, ihre Finanzierungsquellen offenlegen und „unabhängig von jeder Regierung, Verwaltung und anderen staatlichen Körperschaften sein“, mit Ausnahme von öffentlich finanzierten Forschungseinrichtungen. Ein Streit zwischen Rat und Parlament in der Definitionsfrage scheint programmiert.
Der Ruf nach einer Enteignung von Deutsche Wohnen brachte im Sommer zahlreiche Demonstrant*innen auf die Straße. – Alle Rechte vorbehalten IMAGO / IPON
Die unrechtmäßige Speicherung von sensiblen Daten von Mieter*innen durch den Immobilienkonzern Deutsche Wohnen landet vor dem Europäischen Gerichtshof. Das Kammergericht Berlin legte dem EuGH kurz vor Weihnachten zwei Fragen zu dem Fall vor, wie ein Sprecher des EU-Gerichts auf Anfrage von netzpolitik.org bestätigte.
Hohe Mieten und fehlende Reparaturen in den rund 160.000 Wohnungen von Deutsche Wohnen in Berlin lieferten den Anlass für den Volksentscheid „Deutsche Wohnen und Co. enteignen“, dem im September 2021 eine Mehrheit der Wahlbevölkerung Berlins zustimmte. Ärger gibt es für den Konzern aber auch mit dem Datenschutz. Denn Deutsche Wohnen speichert massenhaft Daten wie etwa Kopien von Personalausweisen, Kontoauszüge, Gehaltsbescheinigungen und Krankenversicherungsdaten. Das ist zumindest bei Ausweisen nicht rechtens – Vermieter*innen dürften bei Mietinteressent*innen diese zwar überprüfen, die Anfertigung einer Ausweiskopie sei aber „nicht erforderlich und damit unzulässig“, heißt es von der Datenschutzkonferenz.
Auch müsste der Konzern eigentlich nicht mehr erforderliche Daten löschen, doch das tat er nach Angaben der Berliner Datenschutzbehörde jahrelang und trotz mehrfacher Aufforderungen nicht.
Rechtswiderspruch rüttelt an Konzernstrafen
Ein 14,5-Millionen-Euro-Bußgeld der Behörde hob das Landgericht Berlin wegen eines bizarren rechtlichen Widerspruchs wieder auf. Die Datenschutzgrundverordnung der EU sieht bei Fehlverhalten von Unternehmen Bußgelder von bis zu vier Prozent ihres Jahresumsatzes vor. Doch das Landgericht Berlin urteilte, dass juristische Personen wie Deutsche Wohnen nur dann bestraft werden können, wenn einem konkreten Verantwortlichen bei der Firma Fehlverhalten nachgewiesen werden kann. Dies sei im deutschen Recht so angelegt.
Doch dies widerspreche geltendem EU-Recht, argumentiert die Berliner Datenschutzbehörde. „Im Ergebnis würde es dazu führen, dass in Deutschland – im Gegensatz zu vielen anderen Mitgliedstaaten – ein Bußgeld gegen große Unternehmen aufgrund der komplexen Unternehmensstruktur häufig nicht nachweisbar wäre.“
Das Kammergericht Berlin lässt die Sache nun vom Europäischen Gerichtshof in Luxemburg prüfen. Es müsse geklärt werden, ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen könne. Auch will das Berliner Gericht wissen, wie handfest Verstöße sein müssten, um für Bußgelder zu sorgen. Die Berliner Datenschutzbehörde teilte auf unsere Anfrage mit, sie begrüße die Einschaltung des EuGH und hoffe, dass eine höchstgerichtliche Klärung „zu einer einheitliche Anwendung der DSGVO in allen Mitgliedstaaten und damit zur erforderlichen Rechtssicherheit führt – nicht nur für die Aufsichtsbehörden, sondern auch für die datenverarbeitenden Unternehmen.“
Ob Deutsche Wohnen inzwischen der Aufforderung der Datenschutzbehörde zur Löschung unnötiger Daten nachgekommen ist und sein Datenmanagement verbessert hat, ist unklar. Der Konzern antwortete auf eine Presseanfrage von netzpolitik.org, er wolle das Thema aufgrund des noch laufenden Verfahrens nicht kommentieren.
