Die schwarz-rote Berliner Landesregierung bastelt an einem neuen Polizeigesetz, das mehr Videoüberwachung, Staatstrojaner und viele weitere Befugnisse für die Polizei bereit hält. Dafür gab es massive Kritik – sowohl auf der Straße als auch bei der parlamentarischen Anhörung.
Nach dem Willen von CDU und SPD soll die Berliner Polizei massiv mit neuen Befugnissen ausgestattet werden. – Alle Rechte vorbehalten IMAGO / A. Friedrichs
Die Berliner schwarz-rote Koalition will ein neues Polizeigesetz beschließen, das in Berlin unter dem Namen Allgemeines Sicherheits- und Ordnungsgesetz (ASOG) firmiert. Berlin folgt damit einer ganzen Reihe von Bundesländern, die ihre Polizeigesetze in den letzten Jahren verschärft haben. An der Berliner Gesetzesnovelle gibt es breite Kritik sowohl von der demokratischen Opposition im Parlament wie auch von der Berliner Datenschutzbeauftragten und Menschenrechtsorganisationen wie der GFF.
Anlässlich der Sachverständigenanhörung am Montag protestieren vor dem Roten Rathaus Lilly und Kiki. Sie verteilen Flyer mit der Aufschrift „Nein zu Massenüberwachung und der Kriminalisierung von Protesten“. Sie sind Teil eines Bündnisses zivilgesellschaftlicher Gruppen wie Amnesty International oder dem Komitee für Grundrechte und Demokratie.
„Überall werden Gelder gekürzt, aber für Videoüberwachung ist dann plötzlich Geld da. Dabei verhindert die keine Straftaten, sondern kriminalisiert marginalisierte Gruppen und spaltet den öffentlichen Raum“, sagt Lilly. Dass die Unverletzlichkeit der Wohnung durch die Gesetzesnovelle eingeschränkt wird, sehen die beiden ebenso kritisch.
„Abkehr von der grundrechtsfreundlichen Politik“
Auch in der Sachverständigen-Anhörung hagelt es Kritik für den Entwurf. So sieht die Berliner Datenschutzbeauftragte Meike Kamp eine Vielzahl neuer Datenverarbeitungsermächtigungen und eine erhebliche Ausweitung der Befugnisse der Polizei. Aufgrund der Detailtiefe – die Gesetzesnovelle ist 700 Seiten stark – habe ihre Behörde nicht einmal alle Vorschriften analysieren können.
Das Volumen der geplanten Änderungen kritisiert auch Innenpolitiker Niklas Schrader von der Linken. Denn so umfangreich wie der Gesetzentwurf sei auch der Überarbeitungsbedarf: „Ich bin mir nicht sicher, ob das in dem kurzen Zeitplan, den Sie uns gegeben haben, schaffbar ist“, sagt er bei der Anhörung.
Eine „Abkehr von der grundrechtsfreundlichen Politik“ in Berlin beklagte der Jurist David Werdermann von der GFF sowohl in seiner Stellungnahme (PDF) wie auch in der Anhörung. Zwar versuche der Entwurf die Rechtsprechung des Bundesverfassungsgerichts nachzuzeichnen, das gelinge allerdings nicht immer.
Ein Hauptkritikfeld an dem Gesetz ist laut Werdermann das Festhalten am Konstrukt der „krininalitätsbelasteten Orte“. An diesen dürfen in Zukunft nicht nur anlasslose Kontrollen durchgeführt werden, sondern auch Videoüberwachungsmaßnahmen. Das Gesetz erlaube zudem die Videoüberwachung von öffentlichen Veranstaltungen und die Auswertung des Videomaterials mit sogenannter KI. Werdermann warnt hier vor einem höheren Überwachungsdruck auf Menschen mit atypischen Verhalten wie beispielsweise Wohnungslosen oder Personen mit körperlichen Einschränkungen.
Kritik hat die GFF auch am Einsatz von Staatstrojanern und daran, dass die Polizeibehörden in Zukunft heimlich Wohnungen betreten dürfen, um diese zu installieren. „Ich habe da große Bauchschmerzen mit“, sagt Werdermann. Insgesamt wird durch das neue ASOG die Schwelle zum Einsatz der Staatstrojaner und zur Überwachung von Wohnungen deutlich herabgesetzt.
Ebenso kritisch sieht Werdermann den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Daten: „Jedes Foto, das möglicherweise ohne das Wissen und Einverständnis der betroffenen Person ins Netz gestellt wird, kann zu Überwachungszwecken genutzt werden“, sagt Werdermann. Es sei nach der neuen Gesetzeslage nicht mehr möglich, an einer Versammlung teilzunehmen, ohne damit rechnen zu müssen, dass Fotos, die beispielsweise von der Presse veröffentlicht werden, anschließend von der Polizei für einen Abgleich genutzt würden.
„Freifahrtschein für Massenüberwachung“
„Die Vorschrift schließt zudem weder den Aufbau einer biometrischen Referenzdatenbanken auf Vorrat noch die Nutzung von kommerziellen Datenbanken aus“, schreibt Werdermann in seiner Stellungnahme. Beides sei jedoch mit der KI-Verordnung und dem Recht auf informationelle Selbstbestimmung nicht vereinbar.
Werdermann verweist in der Stellungnahme darauf, dass der Aufbau einer umfassenden biometrischen Referenzdatenbank – bestehend aus öffentlich zugänglichen Lichtbildern, Videos und Tonaufnahmen aus dem Internet – unverhältnismäßig in Grundrechte eingreift. Das Bundesverfassungsgericht habe mehrfach herausgestellt, dass biometrische Daten besonders schutzwürdig seien. „Durch den Aufbau einer Datenbank, um biometrische Daten vorzuhalten, wären Grundrechte von Millionen, wenn nicht Milliarden von unbeteiligten Personen betroffen, die keinen Anlass für polizeiliche Überwachung gegeben haben“, so Werdermann weiter.
Statt konsequent gegen rechtswidrige Angebote wie PimEyes vorzugehen, schaffe der Senat mit dem Entwurf eine Grundlage für biometrische Massenüberwachung durch die Berliner Polizei, schreibt Werdermann. Diese kritisiert auch die grüne Innenpolitikerin Gollaleh Ahmadi. Sie sieht in der Gesetzesnovelle einen „Freifahrtschein für Massenüberwachung“.
Berlins Datenschutzbeauftragte Meike Kamp kritisiert auch die Verarbeitung von Daten zum Training von KI-Systemen. Hier dürfe zuviel Material ohne Eingriffsschwelle und Löschfristen genutzt werden, sie gehe zudem davon aus, dass auch nicht-anonymisierte Klardaten verarbeitet würden. Daten, die einmal zum Training von Künstlicher Intelligenz genutzt wurden, ließen sich nicht mehr löschen, betont Kamp. Zudem vermute sie, dass solche Daten auch in automatisierten Analyseplattformen landen, deren Nutzung der Berliner Polizei künftig erlaubt sein soll. Zu solchen Plattformen gehört auch die Software „Gotham“ vom umstrittenen US-Unternehmen Palantir.
Präventive Funkzellenabfrage
Ebenso zu wenig geregelt seien die Funkzellenabfragen, wo die Eingriffsschwellen zu niedrig seien. Hier sei auch davon auszugehen, dass Funkzellendaten für KI-Training genutzt werden. „Durch die Verknüpfung der erhobenen Daten mit automatisierten Analyseplattformen lassen sich detaillierte Bewegungsprofile erstellen. Dies ermöglicht Rückschlüsse auf politische Aktivitäten, soziale Beziehungen und persönliche Gewohnheiten der Betroffenen“, schreibt die Berliner Datenschutzbeauftragte in ihrer Stellungnahme (PDF).
Der grüne Innenpolitiker Vasili Franco kritisiert, dass die Funkzellenabfragen in Zukunft auch gegen Personen gerichtet sein können, die nur vermutlich an einer Straftat teilnehmen werden. Damit verschiebt das neue Polizeigesetz die Funkzellenabfragen von der nachträglichen Ermittlung in den präventiven Raum.
Sowohl Sachverständige wie auch Oppositionspolitiker:innen verwiesen in der Anhörung darauf, dass man das verschärfte Polizeigesetz auch vor dem Hintergrund des Rechtsrucks sehen müsse – und dass man damit einer möglichen autoritären Regierung Werkzeuge in die Hand gebe.
Dokumente
Stellungnahmen von Sachverständigen zur Novelle des Berliner ASOG
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Bundes- und Landesdatenschützer üben Kritik am Palantir-Einsatz und den Gesetzen, die automatisierte Polizeidatenanalysen erlauben. Sie verlangen eine verfassungskonforme Neuausrichtung. Jetzt sei der Moment gekommen, einen digital souveränen Weg einzuschlagen.
Das Wort Palantir geht auf den Schriftsteller J. R. R. Tolkien und sein Werk „Der Herr der Ringe“ zurück, der damit fiktionale „sehende Spionage-Steine“ beschrieb. – CC-BY 2.0Brickset
Im Streit um die Nutzung von Palantir hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu Wort gemeldet: In einer Entschließung (pdf) fordert sie bei der massenhaften automatisierten Datenanalyse durch die Polizei die Einhaltung rechtlicher Anforderungen und mahnt besonders an, dass die notwendige gesetzliche Grundlage den verfassungsrechtlichen Maßstäben genügen soll.
Aktuell erwägt Bundesinnenminister Alexander Dobrindt (CSU), für die Polizeien des Bundes die gesetzliche Voraussetzung zu schaffen, um Software des US-Konzerns Palantir oder von Konkurrenten zur automatisierten polizeilichen Rasterfahndung einsetzen zu dürfen. Im Rahmen eines Gesetzespakets soll das Vorhaben in Kürze umgesetzt werden. SPD-Justizministerin Stefanie Hubig hat allerdings noch Bedenken und fordert die Einhaltung rechtsstaatlicher Grundsätze.
Die DSK betont, dass die Erlaubnis zu solchen Analysen nur bei sehr schwerwiegenden Rechtsgutsverletzungen überhaupt denkbar sei. Sie könnten auch nur „im Rahmen sehr enger Verfahrensbestimmungen“ eingesetzt werden.
Detaillierte Vorgaben aus Karlsruhe
Die Datenschützer verweisen insbesondere auf ein Urteil des Bundesverfassungsgerichts zur automatisierten Datenanalyse aus dem Jahr 2023, das detaillierte Vorgaben macht. Demnach haben die Gesetzgeber von Polizeigesetzen, die solche Analysen erlauben, explizite Einschränkungen vorzunehmen, was die Art der einbezogenen Daten und deren Umfang betrifft, aber auch welcher Art die angewandten Analysemethoden und die Eingriffsschwellen sein dürfen. Sie müssen zudem Regelungen in die Polizeigesetze einbauen, die für diese starken Grundrechtseingriffe abmildernd wirken und auch deren Folgen berücksichtigen.
Nordrhein-Westfalen, Hessen und Bayern setzen Software von Palantir aktuell ein. Baden-Württemberg hat kürzlich ebenfalls eine gesetzliche Grundlage für die automatisierte Datenanalyse durch die Polizei in die Wege geleitet. Die dortige Polizei hatte den Vertrag mit Palantir aber bereits geschlossen, bevor eine Rechtsgrundlage für den Einsatz überhaupt bestand.
Die derzeitige DSK-Vorsitzende und Berliner Datenschutzbeauftragte Meike Kamp sieht in all diesen Bundesländern die gegebenen Voraussetzungen aus Karlsruhe nicht genügend berücksichtigt: „Bisher tragen die rechtlichen Vorschriften diesen Voraussetzungen nicht ausreichend Rechnung. Für Bund und Länder gilt es, sich an die Vorgaben des Bundesverfassungsgerichts zu halten und den Einsatz von automatisierten Datenanalysen durch die Polizeibehörden verfassungskonform auszugestalten.“
Das sieht auch Franziska Görlitz von der Gesellschaft für Freiheitsrechte (GFF) so, die gegen die Polizeigesetze in allen drei Bundesländern Verfassungsbeschwerde erhoben hat. Die Juristin fasst in einem Interview zusammen, warum keines der Landesgesetze verfassungskonform ist: „Die bisherigen Gesetze erlauben, dass zu viele Daten unter zu laschen Voraussetzungen in die Analyse einbezogen werden und dabei zu mächtige Instrumente zum Einsatz kommen. Gleichzeitig fehlen wirksame Schutzmechanismen gegen Fehler und Diskriminierung.“
Nicht „digital souverän“, sondern vollständig abhängig
Für eines der drei unionsgeführten Bundesländer, die Palantir aktuell nutzen, nennt die DSK für das polizeiliche Analyseverfahren eine Hausnummer, welche die erhebliche Breite der Datenrasterung klarmacht: Etwa 39 Millionen Personendatensätze durchkämmt die bayerische Polizei mit Palantir. Die Datenschützer zeigen damit, dass praktisch jeder Mensch betroffen sein kann, eben nicht nur „Straftäterinnen und -täter, sondern etwa auch Geschädigte, Zeuginnen und Zeugen, Sachverständige oder Personen, die den Polizeinotruf genutzt haben“.
Zudem ist die Art der Daten höchst sensibel. In Polizeidatenbanken können beispielsweise auch Informationen über Menschen abgelegt werden, die eine „Volkszugehörigkeit“, einen „Phänotyp“ oder die „äußere Erscheinung“ beschreiben. Auch die Religionszugehörigkeit, verwendete Sprachen, Dialekte oder Mundarten dürfen festgehalten werden. Entsprechend besteht ein sehr hohes Diskriminierungspotential.
Die hohe Zahl von Betroffenen und die Art der gespeicherten Daten sind aber nicht etwa die einzigen Probleme. Das Problem heißt auch Palantir, ein 2003 gegründeter US-Anbieter, der heute am Aktienmarkt gehandelt wird und nach Marktkapitalisierung zu den dreißig wertvollsten Konzernen der Welt zählt. Die deutsche Tochter ist Vertragspartner der Polizei in vier Bundesländern. Die DSK pocht bei der Polizeidatenanalyse auf die Wahrung der „digitalen Souveränität“. Denn damit können ungewollte Abhängigkeiten oder Kostenfallen vermieden werden, in die Polizeien geraten können. Die DSK fordert hier „sicherzustellen, dass die eingesetzten Systeme hinreichend offen sind, um nötigenfalls einen Wechsel auf ein geeigneteres System zu ermöglichen“.
Das widerspricht den praktischen Gegebenheiten bei der Nutzung von Palantir fundamental: Der US-Konzern bietet ein geschlossenes und proprietäres System an, das mit denen anderer Anbieter nicht kompatibel ist. Die polizeilichen Nutzer sind genau das Gegenteil von „digital souverän“ oder selbstbestimmungsfähig, nämlich vollständig abhängig. Die DSK präferiert hingegen „Lösungen auf Open-Source-Basis“ und bietet für verfassungskonforme und praxistaugliche Lösungen auch „konstruktive Beratung“ an.
Palantir
Wir berichten mehr über Palantir als uns lieb wäre. Unterstütze unsere Arbeit!
Die Datenschützer fordern zudem, dass polizeiliche Datenbestände nicht in Drittländer übermittelt werden dürften, „die hinter dem europäischen Rechtsstaatsniveau zurückbleiben“. Polizeidatenverarbeitung soll erst gar nicht von Softwaresystemen abhängen, die Zugriffe dieser Drittstaaten zulassen.
Diese Forderung dürfte der Tatsache Rechnung tragen, dass für den ohnehin zwielichtigen US-Konzern Palantir der US CLOUD Act aus dem Jahr 2018 einschlägig ist. Das Gesetz bestimmt, dass US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden verpflichtet werden können, auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden. Die Befürchtung besteht also, dass selbst bei der Verarbeitung und Speicherung von Daten in einem polizeilichen Rechenzentrum unter bestimmten Umständen US-Behörden Zugriff erlangen könnten.
Es formiert sich Widerstand
In Baden-Württemberg, dem jüngsten Palantir-Clubmitglied, formiert sich bereits Widerstand gegen das geplante Polizeigesetz: Ein parteiunabhängiges Protest-Bündnis mit dem Namen Kein Palantir in Baden-Württemberg plant eine Kundgebung am 4. Oktober auf dem Schlossplatz der Landeshauptstadt und fordert dazu auf, den Landtagsabgeordneten schriftlich mitzuteilen, was man von der Idee hält.
Das geplante Gesetz soll in Kürze durch den Landtag gehen und beschlossen werden. Das Bündnis könnte mit dem Protest also wegen des beginnenden Wahlkampfs in Baden-Württemberg ein politisches Debattenthema setzen. Auch der bundesweite Campact-Appell „Trump-Software Palantir: Überwachungspläne stoppen“ hat große Unterstützung gefunden und wurde von mehr als 430.000 Menschen unterzeichnet.
Der Landesdatenschutzbeauftragte im Ländle, Tobias Keber, betont anlässlich der DSK-Entschließung, dass die Anforderungen an das Polizeigesetz „enorm hoch“ seien, sowohl rechtlich als auch technisch. Automatisierte Grundrechtseingriffe würden auch die Anforderungen an den Nachweis erhöhen, dass durch diese Datenanalyse relevante Erkenntnisse erschlossen werden können, die anders nicht in gleicher Weise zu gewinnen wären. Seine Behörde hatte in einer Stellungnahme zum Landespolizeigesetz (pdf) im Juni bereits Änderungen angemahnt und festgestellt, dass einige der darin getroffenen Regelungen „verfassungsrechtlichen Anforderungen nicht gerecht“ würden.
Die DSK-Vorsitzende Kamp betont, dass alle polizeilichen Datenanalysen rechtskonform, nachvollziehbar und beherrschbar sein müssten. Und sie fügt hinzu: „Jetzt ist der Moment gekommen, einen digital souveränen Weg einzuschlagen.“ Dass ein solcher Weg mit Palantir-Software nicht möglich ist, versteht sich von selbst.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Vor einem Jahr erhielten wir einen Datensatz mit Milliarden Handy-Standortdaten aus Deutschland, vermittelt über einen Berliner Datenmarktplatz. Politiker*innen warnten vor einer Gefahr für die nationale Sicherheit. Neue Recherchen zeigen, wie der Marktplatz dem Geschäft weiter eine Plattform bietet.
Exakte Standortdaten von Millionen Handys weltweit lassen sich einfach online kaufen. Datenhändler verschleudern sie sogar als Gratis-Kostprobe. Bereits diese kostenlosen Datensätze sind so umfangreich, dass sich damit Massenüberwachung betreiben lässt. Das haben unsere bisherigen Recherchen zu den Databroker Files mit dem Bayerischen Rundfunk gezeigt. Aus den Daten lassen sich teils detaillierte Bewegungsprofile ablesen, sogar von Soldat*innen oder Politiker*innen.
Wer Kontakt zu Händlern, also Databrokern sucht, wird auf dem Online-Marktplatz eines Berliner Unternehmens fündig: Datarade.ai. Der Marktplatz verkauft die Daten zwar nicht selbst, verkuppelt aber Anbieter und Interessierte. Das funktioniert ähnlich wie Amazon, nur eben für Datensätze. Für erfolgreiche Deals streicht der Marktplatz eine Provision ein.
Vermittelt über Datarade haben nicht nur wir sensible Handy-Standortdaten von Databrokern erhalten, sondern auch Journalist*innen aus den Niederlanden, der Schweiz und Belgien, und zwar unabhängig voneinander. Das hat im Jahr 2023 geklappt, im Jahr 2024 – und trotz der kritischen Berichterstattung in zahlreichen Medien war es auch noch 2025 möglich.
Das Problem: Der Handel mit derart detaillierten Handy-Standortdaten ist nach Einschätzung von Fachleuten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Zudem haben Bundestagsabgeordnete wie Konstantin von Notz (Grüne) oder Roderich Kiesewetter (CDU) bereits vergangenes Jahr vor einer Gefahr für die nationale Sicherheit gewarnt.
Datarade wollte „alle zumutbaren Anstrengungen“ unternehmen
Und was tut Datarade? Noch vor gut einem Jahr hatte uns der Berliner Marktplatz mitgeteilt, man nehme die von unseren Recherchen ausgelösten, öffentlichen Bedenken „sehr ernst“. Die Angebote auf der Plattform prüfe das Unternehmen zwar nicht einzeln. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten.“ Dennoch unternehme Datarade „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
Ein Jahr später haben wir uns nochmal auf dem Marktplatz umgeschaut. Unsere neue Recherche weckt Zweifel daran, dass Datarade „alle zumutbaren Anstrengungen“ unternimmt. So preiste Datarade in einem eigenen, redaktionellen Beitrag selbst Handy-Standortdaten an, schrieb über die daraus ablesbaren, sehr genauen Bewegungsmuster – und empfahl passende Händler. Als wir per Presseanfrage mehr zu der Seite erfahren wollten, wurde sie offline genommen.
Bereits 2024 warnte die damals kurz vor ihrem Amtsantritt stehende Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, vor einer Regulierungslücke. Auch die zuständige Berliner Datenschutzbeauftragte sah ein Problem: Solange ein Marktplatz die Daten nicht selbst verarbeitet, sondern nur Kontakte zwischen Käufern und Verkäufern herstellt, habe sie keine Handhabe. Verantwortlich nach der DSGVO sei nur jemand, der selbst auch Daten verarbeitet.
Unter Datenschützer*innen gibt es in dieser Frage keine Einigkeit. Das Netzwerk Datenschutzexpertise etwa kam in einem Gutachten aus dem Frühjahr 2025 zu dem Schluss, dass die DSGVO hier sehr wohl anwendbar sei. Um verantwortlich zu sein, müsse ein Datenmarktplatz nicht notwendigerweise selbst in Besitz der Daten sein. Oft sei der Handel mit personenbezogenen Daten sogar strafbar, weshalb nicht nur Datenschutzbehörden, sondern auch Staatsanwaltschaften handeln müssten.
Passiert ist so etwas bisher nicht. Auf Datarade preisen Händler weiterhin ihre Handy-Standortdaten an. In Datarade selbst steckt sogar Geld vom deutschen Staat, und zwar mehr als bisher angenommen. Dazu später mehr.
Auf Anfrage entfernte Datarade Angebote für Handystandortdaten
Nach unseren Veröffentlichungen im Jahr 2024 hatte Datarade ein Angebot für Handystandortdaten des US-Datenhändler Datastream Group offline genommen. Hierzu schrieb das Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“
Davon unberührt waren jedoch ähnliche Angebote von anderen Datenhändlern. Auch nach Veröffentlichung der Recherchen präsentierte Datarade Angebote von ähnlichen Datensätzen. Suchte man etwa Anfang September dieses Jahres auf Datarade nach Angeboten mit Geo-Koordinaten und mobilen Werbe-IDs, erhielt man rund 50 Ergebnisse. Grenzte man die Suche weiter ein auf Daten aus Deutschland, waren es noch 15 Treffer.
Über ein Online-Formular können Nutzer*innen verdächtige Inhalte melden. Genau das haben wir ausprobiert. Für eine solche Meldung müssen Nutzer*innen Namen und E-Mail-Adresse angeben. Um das Ergebnis nicht zu verfälschen, hat ein Kollege ohne erkennbare Verbindung zu netzpolitik.org diese Meldungen vorgenommen. Es handelte sich um insgesamt fünf Angebote von Handystandortdaten aus Deutschland oder der EU. Das Ergebnis: Die Angebote waren weniger als zwei Wochen nach Eingang der Meldungen offline.
Auf Presseanfrage teilt Datarade mit: „Die Produkt-Listungen wurden vorsorglich offline genommen, um den Hinweisen nachzugehen.“ Man gebe den Anbietern nun die Möglichkeit, Stellung zu beziehen.
So preist Datarade selbst Handy-Standortdaten an
Hatte Datarade vor unseren Meldungen wirklich keine Kenntnis über diese Angebote? Zumindest einen Überblick dürfte Datarade gehabt haben. Es gab nämlich die bereits erwähnte von Datarade selbst bereitgestellte Infoseite mit dem Titel „Was sind Handy-Standortdaten“ (im Original: „What is Mobile Location Data?“), die nach unserer Presseanfrage offline genommen wurde.
Auf dieser Seite beschrieb ein Datarade-Mitarbeiter im Detail, wie solche Datensätze aufgebaut sind: mit GPS-Koordinaten und individueller Werbe-ID, der sogenannten MAID („mobile advertising ID“). Vorschaufenster auf der Seite präsentieren mehrere passende Angebote von Datenhändlern, etwa als „Ausgewählte Datensets“. Anhand kleiner Flaggen-Emojis in den Angeboten ließ sich ablesen, woher die Daten kommen, auch mehrere Deutschland-Flaggen waren zu sehen.
Übersetzt aus dem Englischen stand auf der Infoseite, viele Datensätze böten eine hohe GPS-Genauigkeit, „wodurch sichergestellt wird, dass die von Ihnen erhaltenen Daten den realen Standorten und Bewegungsmustern sehr genau entsprechen“. Einige Datensätze würden sogar eine Präzision von unter 19 Metern erreichen, „was besonders nützlich sein kann, wenn Sie sehr detaillierte Einblicke benötigen“.
An einer anderen Stelle der Infoseite hieß es: „Manche Menschen fühlen sich möglicherweise unwohl dabei, wenn ihre Standortdaten gesammelt und für kommerzielle Zwecke verwendet werden.“ Das ist korrekt, wie die Reaktionen auf unsere Recherchen zeigen. Eine Betroffene sagte zum Beispiel im Gespräch mit netzpolitik.org:
Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist.
Und der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte 2024 mit Blick auf den Handel mit Handy-Standortdaten: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden.“ Dass etwas passieren müsse, stehe für ihn völlig außer Frage. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“
Warum Handel mit Standortdaten fast immer DSGVO-widrig ist
Auf potenzielle Bedenken beim Handel von Handy-Standortdaten ging die Datarade-Infoseite selbst ein. Dort hieß es auf Englisch:
Es gibt mehrere verbreitete Missverständnisse über mobile Standortdaten, darunter die Annahme, dass sie immer genau seien und dass man damit Personen ohne deren Wissen oder Zustimmung verfolgen könne. In Wirklichkeit kann die Genauigkeit mobiler Standortdaten je nach Qualität der Datenquelle und der verwendeten Technologie variieren. Darüber hinaus ist das Sammeln und Nutzen von Standortdaten ohne Zustimmung sowohl illegal als auch unethisch.
Drei Aspekte an diesem Zitat verdienen besondere Aufmerksamkeit: Es ist erstens korrekt, dass Handy-Standortdaten nicht immer genau sind. Unsere Recherchen haben gezeigt, dass Händler auch ungenaue Standortdaten verbreiten.
Es ist zweitens allerdings kein „Missverständnis“, dass sich mit diesen Daten „Personen ohne deren Wissen oder Zustimmung verfolgen“ lassen. Gemeinsam mit unseren Recherche-Partnern konnten wir in mehreren Fällen sogar Angehörige von Geheimdiensten und Regierungen vom Arbeitsplatz bis hin zu ihren Privatwohnungen tracken. Die Kolleg*innen aus Norwegen konnten sogar einen verdutzten Grindr-Nutzer zuhause besuchen, der nicht geoutet werden wollte.
Mehrere Betroffene sagten uns im Gespräch, ihnen sei nicht bewusst, einer solchen Art von Tracking zugestimmt zu haben. Zum Beispiel Hedi aus Bayern, die sagte:
Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.
Drittens ist der Handel mit Standortdaten nach Ansicht von Datenschutzbehörden und anderen Fachleuten oftmals selbst mit Einwilligung nicht von der DSGVO gedeckt. So werden die Daten zum einen oft angeblich nur für Werbezwecke erhoben; der Handel stellt also eine verbotene Änderung des Verarbeitungszwecks dar. Zum anderen fehlt es an Transparenz, denn Menschen müssten bei der Einwilligung umfassend informiert werden, an wen Händler Daten weitergeben. Deshalb sind die Einwilligungen oft unwirksam.
Hinzu kommt, dass sich aus Standortdaten oft sensible Informationen ableiten lassen, zum Beispiel über Besuche in spezialisierten Kliniken, bei Parteien und Gewerkschaften oder in religiösen Gebäuden. Solche Informationen sind durch die DSGVO besonders geschützt.
Die Beobachtungen auf dem Marktplatz Datarade werfen Fragen auf. Wieso hat die Plattform auf einer selbst verfassten Infoseite Angebote mit GPS-Daten angepriesen, die realen „Bewegungsmustern sehr genau entsprechen“ – nahm solche Angebote allerdings nach der Meldung durch einen Nutzer wieder offline?
Wir haben Datarade per Presseanfrage auf die Infoseite angesprochen. Wenig später war sie offline. „Wir nehmen Ihren Hinweis zum Anlass, die Kategorie-Seite redaktionell zu überprüfen und vorsorglich offline zu nehmen“, teilt das Unternehmen mit.
Diese Anstrengungen unternimmt Datarade nach eigenen Angaben
Datarade legt Wert darauf, zu betonen, selbst kein Datenanbieter zu sein, „sondern ein Verzeichnis von Datenanbietern und deren Produktkatalogen“. Weiter schreibt die Pressestelle auf unsere Fragen: „Datarade verurteilt jedweden rechtswidrigen Handel mit Daten und setzt sich für einen rechtskonformen Austausch von Daten ein.“
Demnach dürften sich auf Datarade nur registrierte Unternehmen anmelden. Anbieter würden sich vertraglich dazu verpflichten, nur rechtskonforme „Inhalte auf Datarade zu veröffentlichen“. Sie würden „angehalten“, ihre Datenschutz-Richtlinien zu verlinken und die Konformität mit Datenschutzbestimmungen zu bestätigen. Auf jeder Produktseite gebe es einen Link zum Melden von Inhalten; den Meldungen gehe man dem Digitale-Dienste-Gesetz entsprechend nach.
Wir wollten wissen, in welchem Ausmaß Datarade am mutmaßlich illegalen Geschäft mit Handy-Standortdaten mitverdient. Genauer gesagt: Wie viel Provision Datarade in den letzten drei Jahren durch über den Marktplatz vermittelte Deals mit Handy-Standortdaten erhalten hat. Diese Frage hat uns das Unternehmen nicht beantwortet. Stattdessen verwies die Pressestelle auf den allgemein gehaltenen Jahresabschluss, nach dem wir nicht gefragt hatten.
Zum Zeitpunkt der Veröffentlichung dieser Recherche gibt es auf Datarade noch immer mehrereAngebote für Handy-Standortdaten, die mit individuellen Werbe-IDs verknüpft sind. Sie lassen sich kinderleicht über die Suchfunktion auf der Plattform finden. Damit Datarade sie offline nimmt, müsste sie wohl erst jemand von außerhalb aktiv melden – und den Marktplatz regelmäßig auf neue Angebote prüfen.
Wir erinnern uns: Datarade unternimmt nach eigener Aussage „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
So will Datarade neue Händler auf den Marktplatz locken
Im Zuge unserer Recherchen hatten wir uns auch selbst als potenzieller Anbieter für Ortsdaten bei Datarade registriert. Dafür haben wir eine E-Mail-Adresse mit Pseudonym genutzt – und nichts weiter unternommen. Seitdem erhalten wir regelmäßig E-Mails von Datarade. Daraus lässt sich ableiten, welche Mühen die Plattform unternimmt, um aktiv neue Datenhändler für sich zu gewinnen.
Mehrfach versuchte Datarade etwa, ein persönliches Gespräch mit uns – dem vermeintlich neuen Händler – zu vereinbaren. „Lass mich wissen, wenn du Daten zum Verkauf hast, dann können wir darüber nachdenken, sie auf den größten Datenmarktplätzen zu monetarisieren“, hieß es auf Englisch.
Es folgten weitere E-Mails von Datarade. Darunter eine, die versuchte, uns mit der Aussicht auf Umsatz zu locken. Demnach sollten wir lernen, wie ein anderer Anbieter von Standortdaten „Kunden in neuen Märkten erreicht hat“. Das Marktvolumen, also der Umsatz aller Akteur*innen am Markt, liege demnach bei 93 Millionen Euro.
Auch Tutorials erreichten uns. Sie handelten davon, wie wir unser Angebot für Datarade optimieren können. Demnach sollten wir unseren Produktkatalog per ChatGPT ausformulieren lassen. Einen passenden Prompt lieferte die Plattform gleich mit. Auf unserem Anbieterprofil sollte der Hinweis auf DSGVO-Compliance nicht fehlen, riet ein anderes Tutorial.
In den Datenmarktplatz floss mehr Steuergeld als bisher angenommen
Bereits 2024 konnten wir berichten, dass in Datarade auch Steuergeld steckt. Inzwischen wissen wir: Es ist noch mehr Geld als bisher bekannt.
Zunächst hatte der Datenmarktplatz im Jahr 2019 ein Investment in Höhe von einer Million Euro aus dem „High-Tech Gründerfonds“ (HTGF) erhalten. Das ist ein zentrales Instrument der deutschen Start-up-Förderung. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds stammt vom Bundeswirtschaftsministerium, 170 Millionen Euro.
Darüber hinaus schoss der HTGF allerdings vier Jahre später weitere knapp 500.000 Euro in das Unternehmen. Der Anlass war eine Runde zur Anschlussfinanzierung. Das geht aus einer Antwort des Wirtschaftsministeriums auf eine parlamentarische Anfrage der damaligen Linken-Abgeordneten Martina Renner aus dem Jahr 2024 hervor.
Wir haben das Dokument mit einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) erhalten, jedoch zunächst in einer fast vollständig geschwärzten Variante. Das Wirtschaftsministerium hatte die Antwort des damaligen Staatssekretärs als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft. Erst nachdem wir Widerspruch gegen die Entscheidung eingelegt hatten, gab das Ministerium die Antwort für die Öffentlichkeit frei.
Das Ministerium betont darin erneut, dass es „auf die Investmententscheidungen des HTGF keinen Einfluss“ nehme. Jedoch seien „Investitionen in Unternehmen, die Aktivitäten in Verbindung mit Cybercrime verfolgen“, gemäß „der Ausschlussliste des HTGF ausgeschlossen.“ Als solche könne das Geschäftsmodell von Datarade nicht betrachtet werden, da die Plattform lediglich Kontakte zwischen Datenanbietern und Interessierten herstelle. „Das Zustandekommen eines Vertrags und der Austausch von Daten läuft grundsätzlich vollständig außerhalb der Plattform.“
SPD sieht „erheblichen Handlungsbedarf“, CDU bleibt unkonkret
Wie viel Verantwortung sollen Datenmarktplätze dafür tragen, wenn Datenhändler dort die Standortdaten von Millionen Menschen verschleudern? Einen Vorschlag hierzu hatte die heutige Bundesdatenschutzbeauftragte bereits im vergangen Jahr: Der deutsche Gesetzgeber könnte die Reform des Bundesdatenschutzgesetzes nutzen, um das Geschäft von Datenmarktplätzen zu regeln. Die Reform war zunächst für 2024 geplant gewesen, fiel aber dem vorzeitigen Aus der Ampel-Koalition zum Opfer.
Auch die neue Koalition aus Union und SPD will den Datenschutz reformieren. Im Fokus stand zwar bisher ein Rückbau von Regulierung – aber gerade bei Datenmarktplätzen sehen Politiker*innen mehrerer Parteien Probleme.
„Auch wenn im Koalitionsvertrag keine konkrete Aussage dazu vereinbart wurde, so sehen wir mit Blick auf die Databroker-Files-Recherchen nicht allein aus datenschutzrechtlicher Sicht, sondern auch aus sicherheitspolitischer Perspektive erheblichen Handlungsbedarf“, schreibt uns etwa Johannes Schätzl, der digitalpolitische Sprecher der SPD-Fraktion im Bundestag. Er werde „diese Thematik in den anstehenden Verhandlungen selbstverständlich auch ansprechen und konkrete Vorschläge einbringen“. Es sei allerdings noch offen, ob es in der Koalition eine Zustimmung für entsprechende Gesetzesänderungen gibt.
Der Koalitionspartner, die Union, hält sich auf Anfrage von netzpoiltik.org bedeckt. Ralph Brinkhaus, Sprecher für Digitalisierung und Staatsmodernisierung, lässt auf unsere sechs Fragen zur anstehenden Datenschutzreform lediglich verlauten: „Wir arbeiten an den von Ihnen genannten Punkten.“
Grüne und Linke machen Druck
Die Grünen-Digitalpolitiker Lukas Benner und Konstantin von Notz sehen im fehlenden Plan der Regierungskoalition beim Datenhandel ein Beispiel für deren Datenschutzpolitik. Während Union und SPD sich „verfassungsrechtlich hochumstrittene Vorhaben“ wie die Wiedereinführung der Vorratsdatenspeicherung vorgenommen hätten, fehle auf ihrer Agenda die Lösung der „anhaltenden und zunehmenden Problematik der Databroker“.
Die grüne Bundestagsfraktion halte „eine gesetzliche Einschränkung dieser Praktiken für dringend geboten – übrigens auch mit Blick auf den Schutz unserer Sicherheitsbehörden und ihrer Mitarbeiterinnen und Mitarbeiter“. Das Innenministerium müsse sich endlich der Thematik widmen.
Grundsätzlicher wird bei dem Thema Donata Vogtschmidt, digitalpolitische Sprecherin der Linkspartei. Sie wolle „Geschäftsmodellen, die auf personalisierter Onlinewerbung basieren, insgesamt den Kampf ansagen“. Vogtschmidts Vorschlag, um das Problem an der Wurzel zu lösen: Im Gesetz über digitale Dienste (DSA) der Europäischen Union ist bereits ein Verbot personalisierter Werbung für Minderjährige vorgesehen. Dieses Verbot sollte auf alle Nutzenden ausgeweitet werden, denn „so ließe sich kommerzieller Datenhandel wirklich eindämmen“.
Unterdessen könnte auch die EU aktiv werden. Sie will mit dem kommenden Digital Fairness Act Lücken für Verbraucher*innen im Netz schließen. Bis 24. Oktober können Interessierte Ideen einreichen, in welchen Bereichen sie Handlungsbedarf sehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Berliner Verfassungsschutz soll neue Regeln bekommen. Ginge es nach dem schwarz-roten Senat, dürfte er künftig live auf Videoüberwachung von Einkaufszentren oder Krankenhauseingängen zugreifen, um Menschen zu observieren. Fachleute stufen das als verfassungswidrig ein.
Wer sieht, was die Überwachungskamera beim Shopping erfasst? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Kamera: pawel_czerwinski, Einkaufszentrum: Chethan KVS
Umfangreicher Zugriff auf Videoüberwachung, weitreichende Überwachung von Kontaktpersonen und schwache Transparenzpflichten: Der Berliner Verfassungsschutz soll neue Befugnisse bekommen. Einen Gesetzentwurf dazu legte die schwarz-rote Landesregierung im Mai dem Berliner Abgeordnetenhaus vor. Am heutigen Montag waren Sachverständige im Verfassungsschutz-Ausschuss des Landesparlaments und äußerten verfassungsrechtliche Bedenken.
Besonders alarmiert hat die Fachleute offenbar die geplante Neuregelung zur Videoüberwachung. Der neue Paragraf zu Observationen sieht vor, dass Betreiber:innen von Videoüberwachungsanlagen verpflichtet werden können, „die Überwachung auszuleiten und Aufzeichnungen zu übermitteln“. Das beträfe Überwachungskameras an „öffentlich zugänglichen großflächigen Anlagen“ oder in „Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs“.
Videoüberwachung aus Parks, Einkaufszentren, Krankenhäusern
Das bedeutet: Observiert der Verfassungsschutz eine Person, kann er sich dafür im Zweifel Live-Zugang zu den Überwachungskameras eines Einkaufszentrums oder einer S-Bahn geben lassen. Der Jurist David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) stuft das in seiner Stellungnahme als verfassungswidrig ein.
Bei einer solchen Maßnahme sind regelmäßig unzählige Personen betroffen, die nicht im Fokus des Inlandsgeheimdienstes stehen. „Wer sich in Berlin im öffentlichen Raum bewegt, müsste daher künftig permanent damit rechnen, durch den Inlandsgeheimdienst beobachtet zu werden“, schreibt Werdermann. „Die Befugnis ermöglicht eine nahezu durchgängige Rundumüberwachung aus der Ferne.“
Das schreibt auch die Berliner Landesdatenschutzbeauftragte Meike Kamp. Im Gegensatz zu klassischen Observationen gehe es beim Zugriff auf die Videoüberwachungseinrichtungen auch privater Stellen um „deutlich eingriffsintensivere Maßnahmen, für die strengere Maßstäbe und gesetzliche Erfordernisse gelten“. Sie zählt eine ganze Reihe Orte auf, die von der neuen Regelung erfasst wären, „sogar der Besucherbereich einer Arztpraxis oder eines Krankenhauses während der Öffnungs- bzw. Besuchszeiten“.
Kamp kritisiert außerdem, dass im Entwurf nicht eindeutig festgelegt sei, wie lange ein solcher Zugriff stattfinden dürfe. Außerdem fehle eine spezifische Eingriffsschwelle, ihrer Meinung nach bedarf es bei so einer invasiven Maßnahme einer „mindestens erhöhten Beobachtungsbedürftigkeit als Eingriffsvoraussetzung“ und es sollte einen generellen Richtervorbehalt geben.
Umfeldausforschung mit Auskunftsersuchen
Als unverhältnismäßig kritisiert Kamp ebenfalls die geplante Neuregelung zu Auskunftsersuchen zu Bestandsdaten bei Telekommunikationsanbietern. Im Gesetz selbst gibt es keine Beschränkung, „dass das Auskunftsverlangen nur erfolgen darf, wenn die Daten zur Aufklärung tatsächlich erforderlich sind“.
Werdermann bemerkt außerdem, dass die Auskunftsersuchen – auch diejenigen zu Verkehrs- und anderen Daten – nicht im Kapitel für „Nachrichtendienstliche Mittel“ eingegliedert sind. Das habe zur Folge, dass die Ersuchen nicht nur gegen eine bestimmte Zielperson eingesetzt werden könnten, sondern zusätzlich gegen Dritte. „Damit eröffnet der Gesetzgeber eine ins Blaue hineingehende Möglichkeit der Überwachung des gesamten Umfelds einer Zielperson mittels Auskunftsersuchen“, so Werdermann.
Diese Eingruppierung wirkt sich außerdem aus, wenn der Inlandsgeheimdienst entsprechend gewonnene Daten an andere Behörden übermitteln will. Auch hier würden für die Informationen aus Auskunftsersuchen geringere Voraussetzungen gelten, wenn sie nicht als nachrichtendienstliche Mittel gelten.
Keine Selbstauskunft ohne Selbstbezichtigung?
Der Auskunftsanspruch für Betroffene ist im neuen Gesetz sehr restriktiv geregelt. Wer vom Berliner Verfassungsschutz künftig wissen wollen würde, ob Daten zur eigenen Person vorliegen, soll dabei auf „einen konkreten Sachverhalt“ hinweisen und „ein berechtigtes Interesse an der Auskunft“ darlegen. Das heißt, eine Person müsste sich wohl teils selbst bezichtigen, warum sie für den Inlandsgeheimdienst interessant sein könnte.
„Hierdurch wird der Auskunftsanspruch unverhältnismäßig eingeschränkt“, schreibt dazu die Berliner Landesdatenschutzbeauftragte. Kamp gibt zu Bedenken, dass der Verfassungsschutz in der Regel im Geheimen agiert, ohne dass Personen etwas davon mitbekommen. „Wer beispielsweise erfasst ist, weil ein Informant ihn mit einer anderen Person verwechselt hat, wird bei Beantragung einer Auskunft zum konkreten Sachverhalt naturgemäß keine Angaben machen können“, so Kamp.
Staatstrojaner und mangelnde Kontrolle
Neben diesen Punkten enthält das geplante Gesetz eine Vielzahl weiterer grundrechtssensibler Vorschläge. Der Berliner Verfassungsschutz soll künftig Staatstrojaner für die sogenannte Online-Durchsuchung nutzen dürfen, um eine „konkretisierte Gefahr für ein besonders bedeutendes Rechtsgut“ abzuwehren. Das soll dann erlaubt sein, wenn „geeignete polizeiliche Hilfe“ nicht rechtzeitig erlangt werden könne.
Weitaus kürzer als die vorgesehenen Befugnisse reichen die geplanten Berichts- und Rechenschaftspflichten für den Inlandsgeheimdienst. Berichtspflichten gelten zwar für einige Auskunftsersuchen, Werdermann vermisst sie aber für Observationen, verdeckt eingesetzte Dienstkräfte oder Online-Durchsuchungen. Dort, so seine Stellungnahme, „sind keine Berichtspflichten vorgesehen, obwohl hier ein noch viel stärkeres Bedürfnis an einer Kontrolle durch das Parlament besteht“. Ohne verfügbare Zahlen dazu, wie und wie häufig die Behörde ihre Befugnisse einsetzt, ist eine öffentliche Kontrolle nicht möglich.
Nach der Anhörung im Verfassungsschutzausschuss des Parlaments steht bei dem Gesetzentwurf aus dem Senat noch eine letzte Lesung im Plenum an. Vorher kann der Ausschuss nachbessern und die Kritik der Sachverständigen berücksichtigen. Eine Reform des Verfassungsschutzgesetzes war auch wegen Urteilen des Bundesverfassungsgerichts notwendig geworden, die etwa das hessische und das bayerische Verfassungsschutzgesetz rügten.
Nimmt das Abgeordnetenhaus die Kritik der Sachverständigen nicht ernst, könnte erneut ein Ländergesetz zu einem Inlandsgeheimdienst vor Gericht landen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der chinesische KI-Chatbot DeepSeek übermittelt Nutzer*innendaten nach China. Die Berliner Datenschutzbehörde geht jetzt gegen den Anbieter vor. Apple und Google sollen DeepSeek aus ihren Stores entfernen.
Raus aus den App-Stores, aber weiter verfügbar: KI-Chatbot DeepSeek – Alle Rechte vorbehalten IMAGO / Rüdiger Wölk
Der KI-Chatbot DeepSeek wird in Deutschland verboten. Die Berliner Datenschutzaufsicht hat die chinesische App als rechtswidrig bewertet, weil sie Daten ihrer Nutzer*innen nach China übermittelt. Damit verstößt sie gegen die Datenschutzregeln der EU (DSGVO). Apple und Google sollen die Anwendung nun aus ihren App-Marktplätzen entfernen. Auf anderen Wegen, etwa über den Browser oder heruntergeladen über die Seite des Unternehmens, ließe sich der Chatbot allerdings weiterhin nutzen.
DeepSeek habe gegenüber ihrer Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer*innen in China auf einem der EU gleichwertigen Niveau geschützt sind, sagt die Berliner Datenschutzbeauftragte Meike Kamp.
In China haben Behörden weitreichende Zugriffsrechte auf personenbezogene Daten, die auf den Servern chinesischer Unternehmen lagern.
Ehemals Chartspitze, jetzt auf Verbotsliste
DeepSeek hatte nach der Vorstellung Anfang des Jahres für Furore gesorgt, weil die Leistungen des Modells hinter dem Chatbot an die von Marktführern wie ChatGPT von OpenAI heranreichten – für viele Beobachter*innen kam das überraschend. Zugleich soll das Training des Modells vergleichsweise günstig und mit weniger Rechenleistung stattgefunden haben, berichtete etwa die New York Times. Das brachte die Börsen durcheinander.
Die App gehört zu den beliebtesten KI-Anwendungen weltweit. Auch in Deutschland trendete sie zwischenzeitlich weit oben in den Download-Charts von Apple und Google. Nutzer*innen können mit der kostenlosen App chatten, Bilder hochladen oder sie für die Suche im Netz einsetzen.
Behörden warnten vor der App
Bedenken zum Umgang mit Nutzer*innendaten gab es von Anfang an. Denn alle gesammelten Daten – von Texteingaben und hochgeladenen Dateien bis zu den Informationen zum Standort und dem benutzten Gerät – übermittelt das Unternehmen nach China.
„Auch Tastatureingaben innerhalb der App können womöglich mitgelesen werden, bevor sie abgeschickt werden“, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem werde die Art der Tastatureingaben gespeichert, heißt es. Anhand der Art, wie Menschen tippen, lassen sich Nutzer*innen wiedererkennen.
Auch die Aufsichtsbehörden für Datenschutz hatten DeepSeek im Blick. Mehrere Landesbehörden gingen parallel gegen das Unternehmen vor. Die Gründe: Weitergabe der Daten und andere mutmaßliche Verstöße gegen die DSGVO. Das Unternehmen hatte etwa keinen gesetzlichen Vertreter in der EU benannt. In Abstimmung mit anderen Aufsichtsbehörden ist es jetzt die Behörde aus Berlin, die Maßnahmen ergreift.
Erst Aufforderung, dann Verbot
Die Behörde hatte nach eigenen Angaben DeepSeek Anfang Mai zunächst aufgefordert, die Übermittlung der Daten nach China einzustellen – oder die App eigenständig aus den Stores zu entfernen. Nachdem das Unternehmen nicht reagierte, folgte demnach heute die Meldung an Apple und Google. Dabei machte die Behörde von einer Regelung im Gesetz über digitale Dienste (Digital Services Act, DSA) Gebrauch, die Betreiber*innen von Plattformen dazu verpflichtet, Meldewege für illegale Inhalte zur Verfügung zu stellen.
Apple und Google müssen die Meldung laut DSA nun prüfen und über die Umsetzung entscheiden. Sie gelten in der EU als „sehr große Online-Plattformen“ und unterliegen damit besonders strikten Auflagen. So müssen sie ihnen gemeldete rechtswidrige Inhalte zügig entfernen, sonst drohen ihnen selbst Strafen in der EU.
Die Behörde hätte gegen DeepSeek auch ein Bußgeld verhängen können. Das lasse sich gegen Unternehmen aus Drittstaaten allerdings nicht vollstrecken, sagt Datenschutzbeauftragte Meike Kamp. Auch gegen die Webseite des Unternehmens könne die Behörde nicht vorgehen, weil der Host-Anbieter nicht bekannt sei.
Auch andere chinesische Apps haben Nutzer*innendaten an Server in China übermittelt, darunter die erfolgreichste: TikTok. Das Unternehmen hat jedoch im Gegensatz zu DeepSeek einen Sitz in der EU und fällt in die Zuständigkeit der irischen Datenschutzaufsicht, die jüngst gegen TikTok eine Millionenstrafe veranlasst hat.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
