Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen.

In Europa ist Datenschutz ein Grundrecht, das für alle 27 Mitgliedstaaten gilt. Auch die EU-Organe und EU-Einrichtungen selbst stehen unter Aufsicht eines Datenschutzbeauftragten.

Doch was macht eigentlich dieser Europäische Datenschutzbeauftragte (EDSB), der schon mehr als zwei Jahrzehnte für den Schutz der Privatsphäre und die Datenschutzrechte der Bürger arbeitet? Was sind seine Aufgaben, welche Rolle hat der EDSB in Brüssel? Wer konsultiert ihn? Wann wird er typischerweise angehört? Wie funktioniert die Zusammenarbeit zwischen dem EDSB und den nationalen Behörden?

Das berichten uns zwei Insider: Thomas Zerdick und Robert Riemann, die beide beim EDSB arbeiten.

Thomas Zerdick ist Jurist und Leiter des Referats für Aufsicht und Durchsetzung. Vor seiner Zeit beim EDSB arbeitete er bei der Europäischen Kommission im Referat Datenschutz und war einer derjenigen, die an der EU-Datenschutzgrundverordnung mitgeschrieben haben. Robert Riemann ist Informatiker und arbeitete bis Ende Dezember beim EDSB im Referat Technik und Privatheit.

Das Gespräch ist eine gekürzte und behutsam überarbeitete Fassung des Podcasts „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt beim Chaosradio. In „Dicke Bretter“ beleuchten wir Institutionen, Akteure oder Organisationen, die daran mitwirken, wenn Gesetze, Richtlinien oder auch nur politische Positionen bei digitalen Themen entstehen.

Die unabhängige Datenschutzaufsichtsbehörde

Constanze Kurz: Ihr arbeitet beide beim Europäischen Datenschutzbeauftragten. Was sind die Aufgaben dieses Amtes?

Thomas Zerdick: Der Europäische Datenschutzbeauftragte ist die unabhängige Datenschutzaufsichtsbehörde für die EU-Organe und EU-Einrichtungen. Das sind eben zum Beispiel das Europäische Parlament und die Europäischen Kommission, aber auch wir selbst als Europäischer Datenschutzbeauftragter oder auch Einrichtungen wie Europol.

Wir überwachen die Datenverarbeitung dieser EU-Organe und EU-Einrichtungen. Wir bearbeiten Beschwerden von Bürgerinnen und Bürgern, führen Untersuchungen durch und entscheiden dazu. Ich selbst bin Leiter des Referates Aufsicht und Durchsetzung und mache genau das mit meinem Team: Wir überprüfen, ob die EU-Organe und -Einrichtungen die Datenschutzvorschriften auch einhalten, die sie von den anderen verlangen.

Constanze Kurz: Sind in deinem Team typischerweise Juristen?

Thomas Zerdick: In meinem Team sind wir bis auf eine Person alle Juristen. Wir sind ungefähr dreißig Mitarbeiter.

Datenschutz ist im Kern Grundrechtsschutz. Da wir Entscheidungen vorbereiten, die der Europäische Datenschutzbeauftragte dann erlässt, brauchen wir juristische Abwägungen. Wir nehmen Abwägungen und Prüfungen von Rechtsgrundlagen vor, bewerten Zweckbindung oder Verhältnismäßigkeit. Denn alles das, was der Europäische Datenschutzbeauftragte entscheidet, kann auch vor Gericht überprüft werden. Daher brauchen wir Juristen, die sicherstellen, dass das gerichtsfest ist.

„Ziemlich bekannt hier in Brüssel“

Constanze Kurz: Wie viele Menschen arbeiten insgesamt beim Europäischen Datenschutzbeauftragten?

Thomas Zerdick: Insgesamt sind wir ungefähr 120 Mitarbeiter. Das klingt viel, ist es aber nicht, weil ungefähr die Hälfte davon beim Europäischen Datenschutzausschuss arbeitet. Das ist eine andere Einrichtung: Der Europäische Datenschutzausschuss ist durch die EU-Datenschutz-Grundverordnung eingerichtet worden und koordiniert alle Datenschutzaufsichtsbehörden in der Europäischen Union. Da gibt es ein Sekretariat, in dem die Kollegen arbeiten.

Constanze Kurz: Ich möchte ein wenig über den Kopf der Behörde reden. In Deutschland ist es häufig so, dass die Bundesdatenschutzbeauftragten, manchmal sogar die Landesdatenschutzbeauftragten, ziemlich bekannt sind, zum Beispiel Peter Schaar oder Ulrich Kelber. Sie waren oft in den Medien vertreten. Sie sind jeweils als eine relativ laute Stimme für den Datenschutz vernehmbar gewesen. Derzeit haben wir Frau Specht-Riemenschneider hier in Deutschland als Bundesdatenschutzbeauftragte. Auch sie hat eine Menge Interviews gegeben, als sie ihr Amt antrat. Wie ist denn das in Europa? Die Aufgaben des Europäischen Datenschutzbeauftragten sind ja anders. Würdet ihr sagen, er ist eine laute Stimme für den Datenschutz oder arbeitet er eher im Hintergrund?

Thomas Zerdick: Der derzeitige Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, ist ziemlich bekannt hier in Brüssel. Das erklärt sich natürlich auch aus dem Aufgabenzuschnitt. Der wichtigste Unterschied zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden ist die Zuständigkeit: Der Europäische Datenschutzbeauftragte ist ausschließlich zuständig für die EU-Organe und EU-Einrichtungen, also für öffentliche Verwaltung der Europäischen Union. Daher kennt man ihn vielleicht etwas weniger in den Mitgliedstaaten.

Er ist gleichberechtigtes Mitglied im Europäischen Datenschutzausschuss, wo sich alle Aufsichtsbehörden treffen. Wojciech Wiewiórowski trifft sich zum Beispiel regelmäßig mit Louisa Specht-Riemenschneider. Wenn es Entscheidungen gibt, die der Europäische Datenschutzbeauftragte trifft, zum Beispiel gegen die Europäische Kommission oder gegen Europol, sind wir auch in den Medien im Vordergrund. Von daher sehe ich den Unterschied als nicht sehr groß im Vergleich zu den Mitgliedstaaten.

Öffentliche Stellungnahmen

Constanze Kurz: Auch in Europa wird der Datenschutzbeauftragte konsultiert, wenn es um geplante Gesetze geht oder wenn es die angesprochenen Institutionen und deren Evaluierung geht. Er gibt öffentliche Stellungnahmen ab. Wie häufig kommt das vor?

Thomas Zerdick: Ich würde sagen quasi wöchentlich. Das ist ein Unterschied im Vergleich zur nationalen Ebene: Die Europäische Kommission ist verpflichtet, den Europäischen Datenschutzbeauftragten zu konsultieren. Und zwar immer dann, wenn es neue Rechtsakte gibt, die von der Kommission vorbereitet werden, die personenbezogene Daten betreffen.

Das ist also relativ breit, denn das ist heute fast immer der Fall: Digitalisierung, Sicherheit, Migration, Gesundheit, Künstliche Intelligenz, Plattformregulierung, internationale Verträge. Jeweils kommt der Europäische Datenschutzbeauftragte ins Spiel. Er gibt Stellungnahmen oder Kommentare ab, die wir dann veröffentlichen. Und das wird immer mehr.

Constanze Kurz: All diese Themen haben mittlerweile technische Komponenten, alle Datenschutzfragen verbinden sich mit Technikfragen. Was macht das Referat Technik und Privatheit, um eine Stellungnahme mit technischem Wissen zu bereichern? Wie läuft die Zusammenarbeit mit den Juristen?

Robert Riemann: Wenn beispielsweise ein neuer Rechtsakt vorbereitet und dazu formell die Stellungnahme vom Europäischen Datenschutzbeauftragten eingeholt wird, dann koordiniert das ein Referat. Sie schauen im Haus, wer die Kompetenzen hat, um die Arbeit zu unterstützen. Sobald klar wird, dass es tatsächlich etwas sehr Technisches ist, das so von einer Abteilung noch nicht bearbeitet wurde, dann gibt es eine Anfrage an das Referat Technik und Privatheit, um eine Person zur Unterstützung zu benennen. Diese Person arbeitet dann gleichberechtigt mit den Juristen zusammen an der Stellungnahme.

Constanze Kurz: Das klingt wie typische wissenschaftliche Arbeit, um eine Technik zu ergründen oder Technikfolgen abzuschätzen. Gibt es eine Zusammenarbeit mit akademischen Forschern oder Sachverständigen, die man sich dazu holt?

Robert Riemann: Für dieses Beispiel eines Rechtsakts wird typischerweise keine externe Expertise hinzugezogen. Aber natürlich ist es so, dass die Leute das Thema recherchieren. Bevor ein Vorschlag der Kommission auf den Tisch kommt, werden häufig die Themen schon in der Öffentlichkeit angesprochen. Wenn sich Forscher oder auch NGOs wie EDRi oder Interessenverbände in Brüssel mit eigenen Stellungnahmen äußern, werden die natürlich gelesen. Insofern gibt es schon einen Einfluss auf das, was intern diskutiert wird. Aber es ist nicht so, dass der Europäische Datenschutzbeauftragte für den Fall einer Beantwortung dieser Anfragen der Kommission für eine Stellungnahme die Meinung von außen explizit einholen würde.

Lange über die eigentliche Amtszeit hinaus

Constanze Kurz: Jetzt gibt es für den Amtsträger gerade eine besondere Situation, die mit der Benennung des Europäischen Datenschutzbeauftragten verbunden ist. Denn der derzeitige Amtsinhaber arbeitet schon lange über seine Amtszeit hinaus, die fünf Jahre beträgt. Die Amtszeit endete eigentlich am 5. Dezember 2024. Aber es gab die Situation, dass sich der EU-Rat und das EU-Parlament nicht im Einvernehmen auf einen neuen Kandidaten geeinigt haben, sondern zu unterschiedlichen Voten gekommen sind. Wie verläuft das Auswahlverfahren, warum kam es diesmal zu diesem Stillstand und was kann man jetzt machen?

Thomas Zerdick: Die Datenschutzgrundverordnung für die EU-Organe regelt das. Der Europäische Datenschutzbeauftragte hat eine Amtszeit von normalerweise fünf Jahren und ist zu benennen im Einvernehmen zwischen dem europäischen Parlament und den Mitgliedstaaten im Rat der EU. Nach Ablauf der Amtszeit macht die Europäische Kommission eine Ausschreibung, da kann sich jeder bewerben. Dann werden die Bewerber von der Europäischen Kommission geprüft und die Liste mit geigneten Kandidaten veröffentlicht. Von dieser Liste müssen sich dann das Parlament und der Rat für eine Person entscheiden. Diesmal haben sie sich noch nicht entscheiden können. Das ist nicht neu, das gab es leider schon mal. Aber die EU-Datenschutzgrundverordnung für die Organe, die sagt: Solange es keinen neuen Amtsinhaber gibt, bleibt der alte im Amt und hat alle Rechten und Pflichten. Also solange die sich nicht einigen, macht der jetzige Amtsinhaber einfach weiter.

Constanze Kurz: Und wenn sie sich niemals einigen, dann bleibt er einfach für immer im Amt? Oder gibt es irgendeine Frist, die bis zum Zeitpunkt eine Einigung bestehen muss?

Thomas Zerdick: Es gibt keine Frist. Das sieht die Verordnung nicht vor.

Constanze Kurz: Und wenn der Amtsträger irgendwann keine mehr Lust hat?

Thomas Zerdick: (lacht) Das sieht die Verordnung auch nicht vor.

Robert Riemann: Das ist auch kein europäischer Sonderfall, sondern diese Situation gibt es auch in den Mitgliedsländern. Ich denke da in Spanien, wo es auch Schwierigkeiten gab, ein neues Mandat zu verabschieden. Auch in einigen Bundesländern in Deutschland gab es lange Zeit Unklarheit, wer das Mandat bekommt. Insofern ist das leider etwas, was man in Europa häufiger beobachten muss.

Constanze Kurz: Würdet ihr einen Tipp abgeben, wie sich dieser Stillstand auflösen wird oder wann sich diese beiden Institutionen vielleicht einigen könnten? Was sagen denn die Auguren?

Thomas Zerdick: Die Auguren sagen derzeit nichts. Wir können dazu nichts sagen, weil es in der Hand vom Parlament und vom Rat ist, die sich zusammensetzen und eine Lösung finden müssen.

Wie Kommission und Datenschutzbeauftragter zusammenarbeiten

Constanze Kurz: Ich möchte euch nach dem typischen Ablauf befragen, wenn der Europäische Datenschutzbeauftragte tätig wird. Wir nehmen mal ein ganz umstrittenes Beispiel: die Chatkontrolle. Wie wurde hier der Europäische Datenschutzbeauftragte involviert? Die Kommission hat ja vor mehr als drei Jahren den Vorschlag dazu vorgelegt. Wie ist die typische Vorgehensweise, wenn eine Konsultation beginnt, die ja stattfinden muss?

Thomas Zerdick: Die Europäische Kommission arbeitet ihren Vorschlag aus. Bevor sie diesen Vorschlag veröffentlicht, gibt es eine interne Abstimmung in der Europäischen Kommission. Gleichzeitig mit dieser internen Abstimmung werden wir als Amt informell unterrichtet und können dann bereits erste kleine Kommentare abgeben. Sobald die Kommission ihren Gesetzgebungsvorschlag veröffentlicht hat, leitet sie ihn ganz amtlich dem Europäischen Datenschutzbeauftragten zu, mit der Bitte um Stellungnahme.

Dann setzen sich die Kolleginnen und Kollegen aus dem Referat Politik und Gesetzgebung zusammen, analysieren den Vorschlag der Kommission und schreiben die Stellungnahme, die dann vom Europäischen Datenschutzbeauftragten veröffentlicht wird. Mit dieser Stellungnahme kann der Gesetzgeber – das Parlament und der Rat der EU-Mitgliedstaaten – dann arbeiten. Damit erschöpft sich normalerweise das Offizielle, das Amtliche des Europäischen Datenschutzbeauftragten. Aber er ist natürlich jederzeit bereit, auch zu Anhörungen zu kommen und vorzutragen, was in dieser Stellungnahme steht.

EU-Datenschutzbeauftragter gegen wahlloses Scannen bei freiwilliger Chatkontrolle

Constanze Kurz: Das war jetzt das Beispiel der Chatkontrolle. Wird für jedes dieser Verfahren die Stellungnahme öffentlich oder gibt es auch welche, wo das nicht der Fall ist?

Thomas Zerdick: Die Stellungnahmen sind grundsätzlich öffentlich.

Constanze Kurz: Nun wurden ja gerade beim Beispiel Chatkontrolle auch neue technische Fragen aufgeworfen. Da geht es um massenhaftes Scannen oder darum, wie beispielsweise Filter funktionieren. Wie wird technische Expertise einbezogen?

Robert Riemann: Das Referat Politik und Gesetzgebung identifiziert die technischen Themen, hier etwa Kryptographie und Pseudonyme, und schickt eine Anfrage an das Referat Technik. Mein Referatsleiter bekommt das dann auf seinen Schreibtisch und sucht sich eine Person aus seinem Team, die schon in den letzten Jahren zu dem Thema gearbeitet hat. Sie wird dann mitarbeiten und den Juristen Frage und Antwort stehen.

Wir sind in unserer Technikergruppe fünfzehn Leute und müssen zusammen alle Datenschutzthemen abdecken können. Das heißt beispielsweise, dass wir uns zu Pandemiezeiten mit Bluetooth-Tokens beschäftigt haben und zu Blockchain-Zeiten alle Blockchain-Expertinnen wurden. Das ist wirklich breit gefächert. Wir können natürlich nicht auf dem Niveau Expertise anbieten, wie das die Universitäten teilweise können oder auch spezielle Organisationen, die nur ein Kernthema haben. Das bedeutet, dass wir natürlich viel Recherche am Schreibtisch machen, um einen fundierten Beitrag zu einer Stellungnahme zusammen mit den Juristen zu erarbeiten.

Constanze Kurz: Das ist also der Ablauf für den Fall einer Stellungnahme, die der Europäische Datenschutzbeauftragte allein abgibt. Aber was passiert, wenn auch der Europäische Datenschutzausschuss angehört wird?

Robert Riemann: Der Europäische Datenschutzbeauftragte ist ja Teil des Europäischen Datenschutzausschusses. Das heißt, er bringt sich dort in fast allen Themen ein. Beim Europäischen Datenschutzausschuss gibt es mehrere Fachgruppen. Dazu gehört die Technology Experts Sub-Group, also eine Expertengruppe zu Technologiefragen. Dahin dürfen alle Mitgliedsländer, die im Europäischen Datenschutzausschuss vertreten sind, eine Person entsenden, die sich dort zu Themen einbringen kann.

Soll eine Stellungnahme erarbeitet werden, meldet sich ein Mitgliedsland freiwillig und leitet dieses Projekt federführend. Personen, die daran mitarbeiten, bilden eine Art Schreibteam und treffen sich beispielsweise alle zwei Wochen, um einen ersten Entwurf vorzubereiten.

Technische Fragen landen wahrscheinlich bei dieser Expertengruppe für Technologiefragen. Deutschland hat eine gewisse Sonderrolle, weil es ja nicht nur Mitarbeiter von der Bundesbeauftragten für den Datenschutz hat, sondern auch Mitarbeiter in den Landesdatenschutzbehörden. Zusätzlich gibt es deswegen auch noch einen deutschen Prozess, der festlegt, wer in welcher Gruppe zu welchem Thema mitarbeitet. Am Ende arbeiten dann ein Technologieexperte aus Spanien, einer aus Italien, einer aus Hessen und dann vielleicht noch jemand aus Finnland mit.

Deren Entwurf wird zunächst in der Expertengruppe für Technologiefragen vorgestellt. Sie trifft sich monatlich, seit der Corona-Pandemie online und zweimal im Jahr auch mit einen Pflichtpräsenztermin, so dass man sich ein bisschen kennenlernen kann. An einem Tag werden dann alle Themen einmal durchgearbeitet. Wenn dann die Expertengruppe mit einem Entwurf zufrieden ist und annimmt, dass er mehrheitsfähig ist, dann kann das theoretisch schon der Plenarsitzung mit allen Aufsichtsbehörden vorgelegt werden. Aber bei sehr komplexen Fragen holt man die juristische Perspektive vorher hinzu.

Thomas Zerdick: Das klingt alles sehr kompliziert, aber ist es eigentlich nicht. Es ist ein typisches Beispiel, wie Europa zusammenarbeitet. Denn in diesen Expertengruppen sitzen eben Vertreter aller Datenschutzaufsichtsbehörden aus ganz Europa. Da werden täglich Kompromisse geschmiedet, Ansichten ausgetauscht und versucht, eine einheitliche Auslegung in diesen Datenschutzfragen zu finden.

„Wir haben uns in Europa zum Positiven weiterentwickelt“

Constanze Kurz: Es gibt auch Kritik an diesem Datenschutzausschuss, eigentlich schon an der Vorgängergruppe, damals noch Artikel-29-Gruppe, vor allem weil die Stellungnahmen unverbindlich waren und wegen der teilweise langfristigen Prozesse, die für so einen Konsens wohl dazugehören. Wie seht ihr diese Kritik?

Thomas Zerdick: Die Kritik kenne ich seit über zwanzig Jahren. Vorher wurde sich beschwert, dass die Artikel-29-Gruppe unverbindliche Stellungnahmen abgibt, an die man sich aber halten muss. Das wurde immer beklagt. Jetzt ist es eigentlich umgekehrt: Der Europäische Datenschutzausschuss, der immer noch Stellungnahmen abgibt, trifft inzwischen verbindliche Entscheidungen gegenüber den eigenen Datenschutzaufsichtsbehörden. Nun wird auch das wieder beklagt.

Ich denke, wir haben uns in Europa zum Positiven weiterentwickelt. Wir haben die Datenschutzgrundverordnung, für deren einheitliche Anwendung der Europäische Datenschutzausschuss an der Arbeit ist. Das hat sich jetzt eingespielt, die Entscheidungen kommen auch relativ schnell.

Constanze Kurz: Die Datenschutzgrundverordnung ist ein EU-Gesetz, das Wirkung entfaltet in allen EU-Ländern und das Grundrecht regelt, was man in Deutschland oft informationelle Selbstbestimmung nennt. Aus meiner Sicht gab es damals eine bestimmte politische Situation, in der es möglich war, die Datenschutzgrundverordnung tatsächlich zum Gesetz zu machen. Doch heute wird der Datenschutz ein bisschen anders betrachtet: Gerade kann man das an dem sogenannten digitalen Omnibus sehen, wo versucht wird, die Datenschutzgrundverordnung zu verändern. Datenschutz scheint aktuell nicht gerade ein hippes Thema zu sein und wird auch in Deutschland manchmal als Innovationsbremse diskreditiert, zumindest von der aktuellen Regierung. Was haltet ihr von den Vorschlägen, die jetzt im digitalen Omnibus besprochen werden?

Thomas Zerdick: Wieso reden wir denn über den Datenschutz in Europa? Weil die europäische Grundrechte-Charta, also praktisch die Verfassung von Europa, den Datenschutz ausdrücklich als Grundrecht stützt. Das ist eine feste Sache, an der man nicht vorbeikommt. Die Auswirkung dieses Grundrechts ist, dass die EU verpflichtet ist und die Mitgliedstaaten ebenso, dieses Grundrecht zu schützen und Regeln dafür zu schaffen, wie man das am besten macht.

Das hat die Europäische Union schon seit 1995 gemacht. Und es gibt seit 2016 die Datenschutzgrundverordnung, die versucht zu sagen, was die Regeln sind, um mit personenbezogenen Daten umzugehen. Das war der erste große EU-Rechtsakt, der im digitalen Feld spielt – ein Meilenstein.

Jetzt haben wir den digitalen Omnibus, der versucht, an dem Text der Datenschutzgrundverordnung Änderungen vorzunehmen. Ich denke nicht, dass man sagen kann, das Ganze wird in Frage gestellt. Das geht nicht, weil die EU-Grundrechte-Charta diesen Schutz des Grundrechts Datenschutz einfordert. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte arbeiten gerade an einer Stellungnahme für diesen digitalen Omnibus.

Constanze Kurz: Da drängt sich eine Frage auf: Angenommen, es bestehen rechtliche Differenzen, also eine Stellungnahme des Europäischen Datenschutzbeauftragten bewertet rechtliche Fragen anders als beispielsweise die EU-Kommission. Wie ist dann der weitere Verlauf? Kann die EU-Kommission das auch einfach ignorieren? Muss sie bestimmte Elemente aus den Stellungnahmen aufnehmen?

Thomas Zerdick: Kein Mensch ist verpflichtet, uns zuzuhören, um es mal ganz krass zu sagen. Aber das ist natürlich Expertise und Datenschutzwissen, was wir herantragen. Das ist die ureigenste Aufgabe einer unabhängigen Datenschutzaufsicht, dieses Wissen weiterzugeben und zu sagen, was unsere Auslegung, unser Verständnis von einem Vorschlag ist.

Wir wissen, dass sowohl die Kommission als auch die Mitgliedstaaten als auch die Abgeordneten im Europäischen Parlament sehr wohl lesen, was vom Europäischen Datenschutzbeauftragten geschrieben wird. Aber rechtlich verbindlich ist das nicht.

Constanze Kurz: In Deutschland ist es häufig so, dass zum Beispiel bei Bundestagsgesetzgebungsprozessen die Bundesdatenschutzbeauftragte hinzugezogen wird. Aber die Gesetzesvorschläge müssen auch nicht unbedingt die Meinung der Bundesdatenschutzbeauftragten übernehmen. Am Ende landen in Deutschland dann einige Gesetze vor dem Bundesverfassungsgericht, wo wiederum die Bundesdatenschutzbeauftragte als Sachverständige an der Urteilsfindung mitwirkt. Wie ist das in Brüssel, wo ja auch viele Gesetzgebungsverfahren am Ende beim Europäischen Gerichtshof landen? Tritt dort der Europäische Datenschutzbeauftragte auch als Sachverständiger auf, wenn darüber gestritten wird, ob ein Gesetz mit der EU-Charta in Einklang ist?

Thomas Zerdick: Ja, durchaus. Das liegt dann beim Europäischen Gerichtshof, er kann uns als Sachverständigen beiladen. Das ist auch bereits passiert. Ich war selber persönlich zu einem Fall dort, wo es um die Vorratsdatenspeicherung ging. Der Europäische Gerichtshof lädt uns dann ein und stellt Fragen, die wir zu beantworten haben, erst schriftlich oder auch in der mündlichen Verhandlung in Luxemburg.

Software auf code.europa.eu

Constanze Kurz: Wie wird der Europäische Datenschutzbeauftragte noch hinzugezogen?

Thomas Zerdick: In laufenden Gesetzgebungsverfahren werden wir oft vom Europäischen Parlament beigeladen oder von Ausschüssen oder auch von einzelnen Abgeordneten im Europäischen Parlament. Auch der Rat der Europäischen Union lädt ab und zu den Europäischen Datenschutzbeauftragten ein, wenn zu gewissen Punkten Stellungnahmen abzugeben sind.

Robert Riemann: Es kann vorkommen, dass eine nationale Datenschutzbehörde einen Beschwerdefall hat oder auch ein Unternehmen beaufsichtigt und Bedenken hat in der Auslegung der Datenschutzgrundverordnung. In solchen Fällen kann sich die Datenschutzbehörde an den Europäischen Datenschutzausschuss wenden und vorschlagen: Wir haben hier ein interessantes Thema, das nicht nur relevant für unser Land ist, sondern für die ganze Europäische Union. Eine gemeinsame Stellungnahme kann dann in der Plenarsitzung vorgeschlagen und erarbeitet werden. Daran arbeitet natürlich oft auch der Europäische Datenschutzbeauftragte mit.

Thomas Zerdick: Es gibt eine kollegiale Zusammenarbeit mit anderen Aufsichtsbehörden, etwa bei Ergebnissen von Untersuchungen, die wir in Brüssel als Europäischer Datenschutzbeauftragter gemacht haben, zum Beispiel im Fall Europäische Kommission und Microsoft 365. Dann können die Kollegen aus den Mitgliedstaaten sagen, bitte teilt mit uns auf dem Amtswege eure Erkenntnisse, damit wir davon lernen können. Das ist unser tägliches Brot.

Robert Riemann: Es gibt auch internationale Kooperationen in anderen Themenbereichen: Software entwickeln wir zum Beispiel gemeinsam. Und über die Grenzen in Europa hinweg entwickeln wir auch Methoden, um technische Audits durchzuführen. Wir haben dazu auf code.europa.eu Software, die auch Unternehmen benutzen können, bevor die Datenschutzbehörden sie einsetzen. Darüber hinaus gibt es seit zwei, drei Jahren auch jedes Jahr Workshops, wo Techniker nach Brüssel kommen, um sich auszutauschen.

Die Juristen haben das schon länger gemacht. Nun ist der Austausch nicht mehr nur auf Rechtsfragen beschränkt, sondern findet auch zu technischen Fragen statt, auch teilweise zu ganz praktischen Fragen.

Constanze Kurz: Ist das also eine neuere Entwicklung, wenn das erst seit zwei oder drei Jahren stattfindet?

Robert Riemann: Genau. Die Datenschutzbehörden der EU-Staaten sind häufig sehr klein. Der Europäische Datenschutzausschuss hat in seinem Jahresbericht veröffentlicht, wie viele Mitarbeiter in den einzelnen Ländern mitarbeiten. In Deutschland haben wir natürlich einen Luxusfall, ungefähr 1.000 Menschen arbeiten hier über die verschiedenen Landesbehörden verteilt. Aber es gibt eben auch Länder wie Liechtenstein, wo es nur wenige Personen sind, die aber auch viele technische Lösungen abdecken können müssen. Insofern sind wir darauf angewiesen, effizient zusammenzuarbeiten und uns über unsere Ansätze nicht nur zu Rechtsfragen, sondern auch zu technischen Fragen auszutauschen.

„Die Kritik am Datenschutz ist eigentlich eine deutsche Kritik“

Constanze Kurz: Wir haben ja in den letzten Monaten seit der zweiten Amtseinführung von Donald Trump erlebt, dass sich die US-amerikanische und die europäische Datensphäre auseinanderentwickeln und dass Digital-Gesetze und Datenschutzgesetze auf europäischer Ebene in den politischen Kampf hineingezogen werden. Wie seht ihr diesen Konflikt, dass die Regeln, die eben häufig für große US-Unternehmen hier in Europa geschaffen wurden, nun unter diesen Vorzeichen in der Spitzenpolitik debattiert und vom US-Präsidenten in ganz klassische Handelskriege reingezogen werden?

Thomas Zerdick: Ganz entspannt. Das gab es schon zu Zeiten der ersten Datenschutzrichtlinie 1995. Schon damals war absehbar: Wenn sich Europa entscheidet, Datenschutzvorschriften einzuführen, weil es ein Grundrecht ist, betrifft das Wirtschaftsinteressen insbesondere der US-amerikanischen Konzerne. Schon damals war sehr viel Politik im Spiel, und das war nichts anderes, als dann die Datenschutzgrundverordnung verhandelt wurde. Da kamen die Amerikaner schon sehr früh zur EU-Kommission und haben vorgeschlagen: Macht das doch mal anders, macht das noch mal weniger scharf. Es war letztlich ironischerweise die durch Edward Snowden ausgelöste Affäre, die dann auf europäischer Seite dazu geführt hat, zu sagen: Das geht uns zu weit, wir brauchen jetzt scharfe europäische Datenschutzvorschriften.

Aus Brüsseler Sicht ist das nichts Neues, das ist ganz normal. Schlecht wäre es natürlich, wenn dem Druck nachgegeben würde. Das kann ich mit dem europäischen Grundrechtscharakter des Datenschutzes schlecht vereinbaren, wenn wir plötzlich sagen würden: Ja, wir haben jetzt Gesetze, aber wir wenden sie nicht an, weil es US-amerikanische Konzerne sind.

Constanze Kurz: Als Deutsche bin ich seit vielen Jahren vertraut mit den Datenschutzdiskussionen, die häufig öffentlich geführt werden. Die Chatkontrolle wäre dafür ein Beispiel oder die Vorratsdatenspeicherung. Die deutsche Öffentlichkeit räumt dem Grundrecht auf informationelle Selbstverstimmung einen Wert ein. Auch die Verfahren, die beim Bundesverfassungsgericht geführt werden, erfahren oft eine große Öffentlichkeit. Das ist aber nicht in allen europäischen Ländern so. Wie seht ihr die Diskrepanzen bei der Wahrnehmung dieses Grundrechts in Europa?

Thomas Zerdick: Das erklärt sich zum Teil aus den geschichtlichen Unterschieden. Aber es ist ja ein großer Konsens vorhanden: Datenschutz existiert und ist auch ein Grundrecht in allen europäischen Mitgliedstaaten. Das ist also nicht anders als in Deutschland. Und die Grundlage der Zusammenarbeit zumindest bei den Aufsichtsbehörden ist eben die Datenschutzgrundverordnung.

Man muss auch sagen, dass Deutschland – derzeit zumindest – ziemlich allein dasteht, weil die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Das ist ganz merkwürdig. Diese großflächigen Spitzen gegen den Datenschutz hört man aus anderen Mitgliedstaaten so nicht. Im Gegenteil, das wird dort einfach gemacht und umgesetzt, und dann ist gut.

Bundesregierung sägt am Datenschutz

Kurz und knappe Informationen zu dem, was der Datenschutzbeauftragte macht

Constanze Kurz: Gibt es etwas, was ihr für den Europäischen Datenschutzbeauftragten für die Zukunft wünschen würdet? Was wäre notwendig oder würde die Effizienz oder die Qualität der Arbeit sehr verbessern?

Robert Riemann: Meine Wünsche wären gar nicht so spezifisch nur für Datenschutzbehörden, eher allgemein für Behörden. Wir hatten beispielsweise beim Europäischen Datenschutzbeauftragten schon früh eine digitale Akte. Das hat während der Corona-Pandemie unheimliche Vorteile gehabt. Aber ich denke, generell könnte man noch viel mehr durch Automatisierung von Prozessen erreichen. Ich wünsche mir, dass wir Dashboards haben, um Fallmanagement zu machen, und zwar nicht für jedes Land einzeln, sondern am besten eines, was für alle Datenschutzbehörden funktionieren würde. Sowas haben wir momentan nicht.

Ich würde mir auch wünschen, dass es eine digitale Strategie gibt, die nicht nur national denkt, sondern auch europäisch. Und ich denke, es fehlt uns an vielen Standardisierungsprozessen. Das ist schwer in Gang zu bringen, weil die Datenschutzbehörden nur wenige Informatiker haben und das Geld knapp ist. Insofern ist es nicht klar, wie sich das demnächst verbessern könnte.

Thomas Zerdick: Ich würde mich Robert anschließen. Warum? Natürlich hat ein Amt wie der Europäische Datenschutzbeauftragte nie genug Mitarbeiter und nie genug Geld. Das wird sich in absehbarer Zeit auch nicht ändern. Aber was uns gut zu Gesicht stände, wäre eine bessere Automatisierung von Prozessen.

Nur ein Beispiel: Wir bearbeiten natürlich auch Eingaben und Beschwerden von Bürgerinnen und Bürgern. Und wir sehen gerade in der letzten Zeit eine 140-prozentige Steigerung dieser Beschwerden auf uns zukommen. Warum? Weil die Leute, die sich beschweren, zu generativer KI greifen und sich eine Beschwerde beispielsweise an die Europäische Kommission generieren lassen und sie direkt an den Europäischen Datenschutzbeauftragten schicken. Wir brauchen hier sozusagen Waffengleichheit, wir müssen auch praktisch KI-gestützte Anwendungen zur Verfügung haben, um vielleicht besser und effizienter arbeiten zu können.

Wir sind ja auch gleichzeitig Aufsichtsbehörde für KI-Systeme von den europäischen Organen. Das heißt, wir haben eine Doppelaufgabe: nicht nur Datenschützer, sondern auch KI-Aufsicht. Ich sehe die Notwendigkeit, dass wir die zugrundeliegende Technik verstehen und auch Kolleginnen und Kollegen dafür einstellen, die das beaufsichtigen können.

Constanze Kurz: Wenn sich jemand nun noch mehr interessiert für den Europäischen Datenschutzbeauftragten, wo holt man sich mehr Informationen?

Thomas Zerdick: Auf unserer Homepage edps.europa.eu findet man alles, was das Herz begehrt, insbesondere auch kurz und knappe Informationen zu dem, was wir machen und auch zur Technik und zu neuen Technologien, aber auch unsere Entscheidungen. Podcasts gibt es auch!

Robert Riemann: Ich möchte noch eine weitere Möglichkeit erwähnen, wie man uns folgen kann: Der Europäische Datenschutzbeauftragte hat einen Mastodon-Account.

Constanze Kurz: Ich möchte mich bedanken für die Zeit, die ihr euch genommen habt, und für die Einblicke, die ihr gegeben habt. Vielen Dank für das Gespräch!

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Tails 7.6.1 ist ein außerplanmäßiges Notfall-Release, das mehrere Sicherheitslücken aus Firefox ESR 140.9.1 schließt. Ein zeitnahes Update auf die neue Version ist ratsam.

Das Bundesgesundheitsministerium will die Digitalisierung im Gesundheitswesen rasch voranbringen. Ein Gesetzentwurf definiert dafür die Rolle der elektronischen Patientenakte um, weitet die Nutzung von Gesundheitsdaten erheblich aus und gibt der Gematik neue weitreichende Befugnisse. Wir veröffentlichen den Gesetzentwurf.

Bundesgesundheitsministerin Nina Warken (CDU) hat einen ersten Entwurf für das „Gesetz für Daten und digitale Innovation im Gesundheitswesen“ (GeDIG) vorgelegt. Das rund 200-seitige Dokument soll die Weichen für eine digital gestützte Gesundheitsversorgung stellen und wird derzeit zwischen den Bundesministerien abgestimmt. Wir veröffentlichen den Entwurf (PDF).

Das Fundament für das Gesetz hatte Warken bereits Mitte Februar mit ihrer Digitalisierungsstrategie gebaut. Darin formuliert die Ministerin das Ziel, die elektronische Patientenakte (ePA) nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung zu machen, sondern auch zur „Gesundheits(daten)plattform“ auszubauen.

Dementsprechend soll das GeDIG unter anderem die Grundlagen für ein „digitales Primärversorgungssystem“ schaffen, indem es die Rolle der ePA erheblich erweitert. Außerdem will das Ministerium mehr Gesundheitsdaten für die Forschung bereitstellen und die Befugnisse der Gematik umfassend ausbauen.

Die elektronische Patientenakte als erste Anlaufstelle

Die ePA-App soll den Versicherten künftig einen „digitalen Versorgungseinstieg“ ermöglichen. Sie wäre dann nicht mehr nur ein digitaler Dokumentenspeicher, sondern die erste digitale Anlaufstelle für die gesundheitliche Grundversorgung.

Mit Hilfe der App sollen Versicherte künftig zunächst eine Ersteinschätzung einholen. Diese Einschätzung soll spätestens ab dem 1. Februar 2028 nach einheitlichen Standards durch die Terminservicestellen der Kassenärztlichen Vereinigungen erfolgen. Versicherte sollen dann über die ePA-App direkt an deren standardisierte Ersteinschätzungsverfahren weitergeleitet werden. Wird dabei ein Behandlungsbedarf festgestellt, können die Versicherten über die App digital einen Termin für eine ärztliche Behandlung buchen. Damit der Prozess möglichst reibungsfrei abläuft, müssen Arztpraxen ab dem 1. September 2029 die elektronische Überweisung anbieten.

Bei der Terminvergabe sollen ebenfalls einheitliche Standards gelten. Buchungsplattformen wie Doctolib müssen sich laut Gesetzentwurf auf strengere Vorgaben einstellen, die die Kassenärztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband festlegen. Sie sollen unter anderem sicherstellen, dass Dritte den Terminbuchungsprozess nicht kommerziell nutzen.

Krankenkassen sollen Gesundheitsdaten auswerten dürfen

Das GeDIG zielt außerdem darauf ab, dass im Gesundheitswesen mehr Daten für „Versorgung, Forschung und Innovation“ bereitstehen.

Dafür sollen die Krankenkassen deutlich mehr Befugnisse erhalten, um bei ihren Versicherten individuelle Gesundheitsrisiken auszumachen. Mit Zustimmung der Versicherten sollen sie auf Daten zugreifen dürfen, die in der ePA hinterlegt sind. Zudem sollen sie selbst Gesundheitsdaten erheben können, die unter anderem „Ernährungsgewohnheiten“, den „Raucherstatus“ oder das Körpergewicht der Versicherten erfassen. Mit den gewonnenen Informationen dürfen die Versicherungen dann auf „gesunde Lebensverhältnisse“ laut Gesetzentwurf bei ihren Versicherten hinwirken.

Darüber hinaus sollen die Kassen personenbezogene Sozialdaten, die ihnen vorliegen, anonymisieren und auswerten dürfen. Nach der Anonymisierung weisen die Daten keinen Personenbezug mehr auf. Aus Datenschutzsicht dürfen sie damit „zur Erfüllung gesetzlicher Aufgaben“ weiterverarbeitet und an Dritte übermittelt werden.

Auch mit nicht-anonymisierten Daten sollen die Kassen hantieren dürfen. Eine neue Experimentierklausel soll es ihnen ermöglichen, sogenannte Reallabore einzurichten. Hier können die Versicherungen zeitlich befristet die „innovative Nutzung von personenbezogenen Daten“ erproben, etwa um eine „bessere Einschätzung von Erkrankungsrisiken (z. B. Demenz, Herzerkrankungen)“ zu erhalten.

Damit kommt der Gesetzentwurf den Erwartungen der Krankenkassen weitgehend entgegen. Ende vergangenen Jahres hatte der GKV-Spitzenverband gefordert, die Präventionsangebote der Kassen „durch den Ausbau der datengestützten Früherkennung von Krankheiten“ ausbauen zu dürfen. Die Ärzteschaft hatte vor einem solchen Schritt gewarnt, weil sie die Aushöhlung des Patientengeheimnisses und der ärztlichen Schweigepflicht befürchtet. Offenkundig setzt sich das BMG über derlei Bedenken nun tendenziell hinweg.

So umfassend will Warken die Gesundheitsdaten aller Versicherten verknüpfen

Eine Forschungskennziffer gegen Datensilos und für Widerspruchsrechte

Damit auch die Forschung von den Gesundheitsdaten profitiert, sieht der Gesetzentwurf die Einführung einer „eindeutigen Forschungskennziffer“ vor. Diese pseudonyme Kennziffer wird aus dem unveränderlichen Teil der Krankenversichertennummer (KVNR) abgeleitet und soll „die Verknüpfung von Daten verschiedener Datensilos“ ermöglichen.

Damit will das BMG zugleich die Umsetzung der EU-Verordnung über den Europäischen Gesundheitsdatenraum) (EHDS) vorbereiten. Die Verordnung trat im März 2025 in Kraft und findet in den kommenden Jahren sukzessive Anwendung. Der EHDS wird der erste sektorenspezifische Datenraum in der EU sein und soll als Blaupause für weitere sogenannte Datenräume dienen. Künftig sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Auch Forschende und Behörden sollen diese Daten unter bestimmten Voraussetzungen nutzen dürfen. Möchten Versicherte das nicht, können sie von ihrem Widerspruchsrecht (Opt-out) Gebrauch machen. Die Forschungskennziffer soll laut BMG als technischer Schlüssel dienen, um die entsprechenden Datensätze gezielt herauszufiltern.

„Trotz der Funktion als ‚unique identifier‘ ist es gerade nicht das Ziel der Forschungskennziffer, einer Identifizierung von Einzelpersonen zu ermöglichen“, betont das BMG in dem Gesetzentwurf. „Im Gegenteil dient die Forschungskennziffer gerade dazu, bei der Zurverfügungstellung von Daten solche Merkmale zu ersetzen, über die Betroffene leichter re-identifiziert werden können.“

Fachleute weisen jedoch darauf hin, dass eine derartige Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation biete. Das Risiko steige zudem an, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, die weitere personenbezogene Daten der gleichen Person enthalten.

Gematik erhält deutlich mehr Befugnisse

Um das „hohe Tempo bei der Digitalisierung im Gesundheitswesen und der Pflege […] aufrecht zu erhalten“ ist laut BMG auch „die Fortentwicklung der Gesellschaft für Telematik (gematik) erforderlich“. Die Gematik ist in Deutschland für die technischen Vorgaben bei der Digitalisierung des Gesundheitswesens verantwortlich. Betrieben wird die Firma gemeinschaftlich von Ministerien wie dem BMG sowie privaten Organisationen aus dem Gesundheitsbereich, darunter Krankenkassen-Verbände oder die Bundesärztekammer. Der Gesetzentwurf sieht vor, dass die Gematik neue Befugnisse erhält.

Das Ministerium verfolgt damit insbesondere das Ziel, die Betriebsstabilität der Telematikinfrastruktur (TI) zu verbessern. Die TI ist das digitale Netzwerk des deutschen Gesundheitswesens, über das Arztpraxen, Kliniken, Apotheken und Krankenkassen Informationen austauschen. Sie erwies sich in den vergangenen Jahren allerdings als überaus instabil. Unter anderem KBV-Vorstandsmitglied Sibylle Steiner hatte zu Jahresbeginn gefordert, dass die Technik „geräuschlos und reibungslos im Hintergrund laufen“ müsse. „Das muss 2026 das Ziel sein“, so Steiner.

Um das zu erreichen, will das BMG die Gematik von einer Zulassungsbehörde zu einer aktiv steuernden Digitalagentur mit Durchsetzungsbefugnissen ausbauen. Das wäre ein erheblicher Machtzuwachs für die vielfach kritisierte Gematik, ohne dass das Gesetz eine entsprechende unabhängige Kontrolle vorsieht – zumal das BMG nicht nur Auftraggeber, sondern auch Gesellschafter der gematik ist.

Laut Gesetzentwurf soll die Gematik kritische Kernkomponenten der Telematikinfrastruktur künftig selbst beschaffen und bereitstellen. Bislang verkaufen Anbieter ihre Komponenten eigenständig an Arztpraxen und Kliniken, nachdem die Digitalagentur diese zugelassen hat. Nach Einschätzung des Ministeriums hat das jedoch zu hoher Komplexität, schlechter Betriebsstabilität und mangelnder Servicequalität geführt. Um Störungen und Sicherheitsprobleme zu beseitigen, soll die Digitalagentur außerdem zusätzliche Durchgriffsrechte erhalten.

Auf diesem Wege will das Gesundheitsministerium auch mehr Interoperabilität im Gesundheitswesen erreichen. Verschiedene IT-Systeme, Programme und Plattformen sollen nahtlos zusammenarbeiten und untereinander Daten austauschen können, auch wenn sie von unterschiedlichen Herstellern stammen.

Als konkreter Anwendungsfall soll hier die digitale Impfdokumentation als Vorstufe des digitalisierten Impfprozesses eingeführt werden. Der sogenannte digitale Impfpass soll als eine „nutzenstiftende Mehrwert-Anwendung“ auch dazu beitragen, dass mehr Versicherte die ePA aktiv nutzen. Bislang tut das nämlich nur ein sehr kleiner Teil der Versicherten.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Several Intel NPU fixes land in the latest update to Resources, which Ubuntu is making the default system monitor in 26.04 LTS. Resources is a GTK4/libadwaita tool that shows more system usage, processes and hardware details than GNOME System Monitor, which it is replacing as Ubuntu’s default in the new LTS. The Resources v1.10 release at the start of February added (among other changes) support for AMD Neural Processing Units (NPUs). The app has supported usage for Intel NPUs since its v1.7.x release in late 2024. The v1.10.2 changelog resolves what is described as “implausible” usage values in Intel NPU […]

You're reading Resources 1.10.2 fixes ‘implausible’ Intel NPU values, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.

Pigeon Email Notifier is a GNOME Shell extension that does one thing: show a desktop notification when new mail arrives in your Gmail, Microsoft Outlook or IMAP webmail account. If you don’t want to leave a webmail tab open in Firefox, the overhead of a desktop email app like Thunderbird, or your provider doesn’t offer a desktop Linux app (like Fastmail and Proton Mail now do), Pigeon provides a set-and-forget way to still get new mail alerts. Desktop email notifiers have been around for a long time. I’ve written about many standalone tools, like Unity Mail, Popper and Mail Nag over […]

You're reading Get Gmail alerts on Ubuntu without a dedicated mail client, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.

Ein bezeichnender Unterschied zwischen proprietärer und freier Software ist, dass, wenn mit Software Geld verdient wird, die Bedenken schnell wegfallen, während bei Freier Software noch diskutiert wird.

Die auf Pen-Testing und ethisches Hacking spezialisierte Distribution Kali Linux bietet seit Kurzem optional die Verwendung von Claude AI über einen eigenen MPC-Server an.

Die anonymisierende Distribution Tails 7.5 bringt Sicherheits-Updates von Thunderbird jetzt schneller zu den Anwendern. Zudem gibt es Updates zu Tor und Tor Browser.

Noch nie gab es so viele Ermittlungsverfahren und Hausdurchsuchungen wegen bloßer Worte. Heute gelten etliche politische Aussagen als strafbar, die noch vor zehn Jahren ganz klar erlaubt waren. Dabei sollten wir gerade in der gegenwärtigen Lage mehr Meinungsfreiheit wagen.

Ronen Steinke ist Leitender Redakteur im Politikressort der Süddeutschen Zeitung und Lehrbeauftragter an der juristischen Fakultät der Goethe-Universität Frankfurt am Main. Heute erscheint sein neues Buch Meinungsfreiheit: Wie Polizei und Justiz unser Grundrecht einschränken – und wie wir es verteidigen im Berlin Verlag. Wir veröffentlichen das Vorwort mit freundlicher Genehmigung von Autor und Verlag. Alle Rechte vorbehalten.

Das zentrale Prinzip, auf dem jede Demokratie beruht, die Meinungsfreiheit, entzweit die Demokratien gerade gewaltig. Die USA auf der einen Seite, Europa auf der anderen.

Im Februar 2025 trat auf der Münchner Sicherheitskonferenz der amerikanische Vizepräsident J. D. Vance in einem Luxushotel auf die Bühne in einem Saal voller europäischer Regierungsvertreterinnen und Regierungsvertreter – und schaltete gleich auf Angriff. Europa würge die Meinungsfreiheit ab, behauptete der Amerikaner, dunkler Anzug, blaue Krawatte, ernster Ton. Die größte Bedrohung für Europa heute komme gar nicht mehr aus Russland oder China, sondern „von innen“. Infolge eines, wie Vance es ausdrückte, „Rückzugs Europas von einigen seiner grundlegenden Werte“. Dann belehrte der US-Vizepräsident seine Zuhörer – und besonders seine deutschen Gastgeber – darüber, dass die „Demokratie auf dem heiligen Prinzip ruht, dass die Stimme der Menschen ein Gewicht hat“.

Mit Blick auf die zahlreichen, immer schärfer werdenden europäischen Gesetze gegen sogenannte Hassrede, also solche Dinge wie die staatlichen „Zensurwünsche“ an die Adresse sozialer Medien wie Facebook oder X, die staatlich verordneten Online-Blocker und -Filter, wie sie vor allem Deutschland in den zurückliegenden zehn Jahren stark forciert hat, formulierte der Gast aus den USA: „Firewalls haben da keinen Platz.“ Das Prinzip der Meinungsfreiheit verlange nämlich eine spezielle Fähigkeit von Regierenden: die Fähigkeit, Kritik zu erdulden. „Entweder man hält dieses Prinzip hoch, oder man hält es nicht hoch.“

Entsetzen und Belustigung

Stille herrschte im Saal, europäische Teilnehmer waren für einen Moment sprachlos, und einige erzählten hinterher, wie sie innerlich geschwankt hätten zwischen Gefühlen des Entsetzens, aber auch der Belustigung. Denn, natürlich: Von Leuten wie J. D. Vance, die in ihrer Heimat kritische Journalisten diffamieren, Universitäten unter Druck setzen und Late-Night-Show-Hosts wegmobben, lässt man sich nicht so gern über demokratische Tugenden belehren. Für deutsche Politiker war es ein Leichtes, darauf hinzuweisen, dass der Amerikaner nicht wirklich gut positioniert sei, um über den Respekt vor abweichenden Meinungen zu dozieren.

Immerhin, gerade hatte die Regierung des US-Präsidenten Donald Trump und seines Vizes Vance die Nachrichtenagentur Associated Press achtkantig aus dem Weißen Haus geworfen, weil die Journalisten sich die Freiheit genommen hatten, den Golf von Mexiko weiterhin als „Golf von Mexiko“ zu bezeichnen, während die Trump-Regierung lieber kindisch von einem „Golf von Amerika“ sprechen wollte. Gleichzeitig hatte in den USA der Kampf gegen unliebsame Stimmen, auch mit drastischen Mitteln wie der Durchsuchung von Handys und sozialen Netzwerken nach kritischen Äußerungen gegen Amerikas Verbündeten Israel, gerade erst begonnen.

Sprachtabus in Deutschland

Aber, schrecklicher Gedanke: Was, wenn der Gast aus Amerika dennoch einen Punkt hatte? Der US-Vizepräsident ist schließlich nicht der Erste, der in Bezug auf Europa etwas bemerkt hat, auch Linksliberale in den USA blicken gegenwärtig mit zunehmend mulmigen Gefühlen auf das, was sich in Europa und besonders in Deutschland vollzieht. Von außen sieht man Dinge vielleicht manchmal klarer als von innen: Schon immer war die Bundesrepublik innerhalb der westlichen Welt das Land mit den meisten Sprachtabus, den schärfsten Strafvorschriften gegen bloße Worte, freedom of speech wird hier traditionell kleiner geschrieben als in den USA. Und: In dem Jahrzehnt zwischen 2015 und 2025, in dem die demokratische Kultur sich beiderseits des Atlantiks als äußerst volatil erwiesen hat und die Demokratie in einen Stresstest geraten ist, hat Deutschland sich entschieden, noch einmal deutlich mehr vom selben zu versuchen.

Das heißt, Deutschland hat darauf gesetzt, noch einmal zusätzliche Gesetze zu schaffen sowie auch alte, schon bestehende Gesetze zu verschärfen, um politische Äußerungen stärker zu regulieren und einzuschränken. Der Bundestag hat Strafparagrafen erweitert und vermehrt, der Tatbestand der Volksverhetzung ist gleich in mehrfacher Hinsicht ausgebaut worden, der Tatbestand der öffentlichen Billigung von Straftaten ist so ausgedehnt worden, dass man jetzt schon dafür bestraft werden kann, wenn man Taten „befürwortet“, die allein in der Fantasie spielen. Viele Staatsanwaltschaften haben die Bekämpfung von Hatespeech zu einer neuen Priorität erhoben, sie haben neue, schlagkräftige Teams gegründet, um zu ermitteln und juristische Spielräume auszuschöpfen.

Noch nie hat es hierzulande so viele Ermittlungen wegen bloßer Worte gegeben. Wegen reiner Äußerungsdelikte, wie Juristinnen und Juristen sagen. Die Zahlen der Ermittlungen haben sich in diesem Jahrzehnt – je nachdem, welchen Tatbestand man ansieht – teils verdreifacht, vervierfacht, verfünffacht, bei manchen, früher völlig unbekannten Delikten wie der öffentlichen Billigung von Straftaten sogar verhundertfacht, von jährlich knapp 20 auf 2000. Selbst wegen des Uraltdelikts der Blasphemie, „Beschimpfen von Bekenntnissen“, gab es im Jahr 2024 plötzlich 125 Ermittlungen – ein Rekord. Das liegt zum einen sicher daran, dass das Internet nichts vergisst und Äußerungen dort technisch leichter zu dokumentieren sind als im analogen Raum. Zum anderen aber auch daran, dass die Bereitschaft des Staates, auf Worte mit Verboten und Strafen zu reagieren, groß ist wie nie.

Vulnerable Gruppen schützen

Anfangs ist dies zweifellos aus besten Absichten geschehen. Als es losging mit der härteren Gangart, etwa 2015/16, lautete die Idee, dass man vor allem vulnerable Gruppen besser davor beschützen müsse, niedergebrüllt zu werden. Das ist richtig – ein wichtiger Gedanke. Als etwa die ZDF-Journalistin Dunja Hayali sich im Sommer 2025 zu einem tödlichen Attentat in den USA äußerte, dem Anschlag auf den Rechtsradikalen Charlie Kirk, da prasselten in den sozialen Medien so viele Kommentare auf sie ein, dass einen der Mut zum offenen Wort schon mal verlassen könnte. Hayali hatte unter anderem gesagt, es sei nicht zu rechtfertigen, dass manche Gruppen Kirks Tod feierten – „auch nicht mit seinen oftmals abscheulichen, rassistischen, sexistischen und menschenfeindlichen Aussagen“. Das genügte schon, um manche zu triggern.

„Sie werden bald für ihre Äußerungen bitter bezahlen“, schrieb @gordons_katzenabenteuer auf Instagram an die Journalistin, „Sie haben nur das allerschlimmste verdient. Schauen sie lieber ab jetzt öfter über ihre Schulter.“ Ein Nutzer namens @nocebo_the_mortem schrieb: „Ich hoffe, sie werden auch vor ihrer Familie erschossen“. @jaroabroad pflichtete bei: „Du bist ein Stück Scheiße sondergleichen und die Drohungen sind völlig gerechtfertigt!“ @juki030 schrieb: „Wir werden dich noch hängen sehen!“ @team.114hrc schrieb: „Heul leise du Dre…… Wirst bald die nächste sein“. @volkersuthoff schrieb: „Hoffentlich erschießt dich einer, du miese dreckslesbe!“

Wenn Täter mit solchen Gewaltdrohungen durchkämen, dann bliebe von der Meinungsfreiheit der Bedrohten nicht viel übrig. Zumal solche Attacken oft strategisch sind. Eine Studie der britischen Zeitung The Guardian ergab, dass von den zehn am häufigsten in Online-Kommentaren beleidigten Autorinnen und Autoren der Zeitung acht Frauen waren, vier von ihnen nicht weiß. Die anderen beiden waren schwarze Männer. In Deutschland sind Menschen mit Migrationshintergrund mehr als doppelt so oft von Online-Beschimpfungen betroffen wie andere. Das sind Menschen, die noch nicht sehr lange eine Stimme im politischen Diskurs haben und die aus Sicht der Pöbler wieder „auf ihre Plätze“ verwiesen werden sollen. Dahinter steckt der Wunsch, diese Gruppen gezielt aus dem Diskurs herauszutreiben.

Über Ziel hinausgeschossen

Das ist reaktionär, es ist antidemokratisch. Dagegen braucht es eine Verteidigung. Auch durch den Staat. Aber: Inzwischen ist der deutsche Strafverfolgungsapparat weit über dieses Ziel hinausgeschossen. Zunehmend geht es nicht erst bei Drohungen los, sondern schon bei viel harmloserem Spott. Wird ein Mensch in Deutschland „dämlich“ oder „Schwachkopf“ genannt, dann ist normalerweise klar, dass das keine Staatsanwaltschaft in Bewegung versetzt. Widerfährt das einem Politiker oder einer Politikerin, dann bilden sich gerade neue Maßstäbe heraus. Ein Bürger in Bayern bekam einen Strafbefehl, weil er die Grünen-Politikerin Annalena Baerbock als die „dümmste Außenpolitikerin der Welt“ bezeichnet hatte. Ein Fall für den neuen Strafparagrafen der „Politikerbeleidigung“.

Seit 2021 werden Beleidigung, üble Nachrede und Verleumdung gegen „Personen des politischen Lebens“ in einem einzigen Paragrafen zusammengefasst. Die Zahl der Ermittlungsverfahren, die der Staat auf dieser Grundlage eingeleitet hat, hat sich seither jährlich verdoppelt. 2021 waren es 748, im Jahr darauf schon 1.404. Im Jahr darauf dann 2.598. Und dann, zuletzt, 4.439 Fälle Fälle. Wohlgemerkt: Um Bedrohungen – oder andere Formen von Gewalt – geht es hier nicht.

Wie weit ist zu weit?

Der neue Wind weht scharf: Bis vor zehn Jahren war es noch undenkbar, dass die Polizei im Morgengrauen zu Razzien in Privatwohnungen anrückt, allein weil jemand das juristische Delikt der Beleidigung begangen haben soll, das in der Regel nur zu sehr geringen Strafen führt. Man hätte es für unverhältnismäßig gehalten. Eine Durchsuchung ist ein schwerer Grundrechtseingriff. Heute geschieht dies dagegen laufend, bei „Aktionstagen“ wird gleich an Dutzenden oder gar Hunderten Türen von Tatverdächtigen parallel geklingelt.

Man liest darüber sogar in der New York Times, in Artikeln, deren Autoren allerdings verwundert klingen über die Entwicklung der Meinungsfreiheit auf dem alten Kontinent. „Wie weit kann man gehen, bevor es zu weit geht?“, schrieben zwei Europa-Korrespondenten der Zeitung in einer langen Reportage im September 2022 über die neue Strenge, mit der Deutschland weiter gehe als „jede westliche Demokratie“. How far is too far?

Razzia wegen „Pimmel“

Hausdurchsuchungen erleben nun zunehmend auch Menschen, die im Netz ihre Meinung zu Ereignissen der internationalen Politik äußern. In den aufwühlenden Debatten zum Nahostkonflikt zum Beispiel war dies der Fall. Als ein Mann in München bei Instagram schrieb, dass das Massaker der palästinensischen Terrormiliz Hamas gegen israelische Zivilistinnen und Zivilisten am 7. Oktober 2023 natürlich entsetzlich sei, andererseits aber ein besetztes Volk das „legitime Recht auf Widerstand mit allen notwendigen Mitteln“ habe, genehmigte das Amtsgericht die Beschlagnahme seines Handys und anderer „internetfähiger Endgeräte“. Das kam unerwartet. Dass Menschen in Diskussionen solche kruden Aussagen einwerfen, die förmlich danach rufen, dass andere Menschen ihnen in der Diskussion widersprechen und mit Kontext oder Differenzierung antworten, ist nicht neu. Dass dies solche strafrechtlichen Interventionen nach sich zieht, ist durchaus neu.

In den Debatten zur innerdeutschen Politik ist dies ebenso zu beobachten. So hat etwa ein altgedienter Lokalpolitiker der Grünen in München erlebt, dass ihm verboten wurde, dem bayerischen Vizeministerpräsidenten Hubert Aiwanger von den Freien Wählern vorzuwerfen, dessen „Hetze“ gegen die Grünen ähnele in ihrer Sündenbock-Struktur der einstigen antisemitischen Agitation der Nazis. Der Grünen-Lokalpolitiker bekam dafür seinerseits ein Strafverfahren wegen Volksverhetzung, worüber er sehr staunte, und 2024 sogar schon Schuldsprüche in nicht nur einer, sondern zwei Gerichtsinstanzen; seine politische Karriere ist erledigt. Anderen zur Warnung.

Als Hamburgs Innensenator während der Corona-Pandemie eine strenge Ermahnung an seine Bürgerinnen und Bürger aussprach, keine Partys zu feiern, dann aber dabei erwischt wurde, wie er selbst eine – illegale – Party mit Dutzenden Gästen zelebrierte, kommentierte der Betreiber einer Punkkneipe aus dem Stadtteil St. Pauli im sozialen Netzwerk X, das damals noch Twitter hieß, diese Heuchelei lakonisch: „Du bist so 1 Pimmel.“ Kurz darauf tauchten vier uniformierte, bewaffnete Beamte vor der Wohnungstür des Gastronomen auf. Sie durchsuchten Räume, beschlagnahmten Geräte. Ein weiteres Verfahren wegen Politikerbeleidigung begann.

Gestern erlaubt, heute verboten

Damit hatte der Hamburger Gastronom nicht gerechnet. Damit hätte aber auch ich, ein ausgebildeter Jurist, der an der juristischen Fakultät der Universität Frankfurt unterrichtet, nicht gerechnet. Selbst wenn man sich sehr anstrengt, im Bilde zu sein, die teils sehr weite neue Interpretation des Strafrechts und von solchen sehr offenen Begriffen wie „Beleidigung“ im Blick zu behalten und politisch informiert zu bleiben, kann man bei diesem Tempo der Entwicklung immer häufiger auch überrascht werden.

Und das ist, meine ich, ein Problem. Damit hat sich in diesem Land etwas verändert. Nicht nur die USA haben ein Problem mit der Meinungsfreiheit, sondern, auf unsere Weise, auch wir. Darum soll es in diesem Buch gehen. Der deutsche Staat definiert heute etliche Aussagen als strafbar, die noch vor zehn Jahren ganz klar unter die Meinungsfreiheit fielen. Die Schwelle, von der an Polizei und Justiz hierzulande von strafbarer „Hetze“ ausgehen, ist an etlichen Stellen rapide abgesenkt worden, teils durch Änderungen der Gesetze, teils durch eine Änderung der Gesetzesinterpretation. Gestern noch erlaubt, heute verboten: Das ist ein juristischer Großtrend, den ich darstellen, analysieren und auf den ich auch eine kritische Antwort zu formulieren versuchen möchte.

UN-Sonderberichterstatter entsetzt

Im Frühjahr 2025, als J. D. Vance in München war, war ich, umgekehrt, in den USA. Ich habe in Kalifornien an Universitäten geforscht, die gerade große Not hatten, sich gegen die autoritären Übergriffe der Trump-Regierung zur Wehr zu setzen. Ich habe mit Rechtswissenschaftlern zusammengesessen, die gerade dabei waren, sich für Proteste gegen diese Trump-Politik zu vernetzen. David Kaye zum Beispiel, der ehemalige UN-Sonderberichterstatter für das Menschenrecht auf Meinungsfreiheit, der mir sein Lieblingscafé in Santa Monica zeigte, vegan und hundefreundlich. Aber so groß ihr Entsetzen über die Trump-Pläne war, so wenig hat das gleichzeitig ihre Sorge über das gemindert, was sie von der anderen Seite des Atlantiks her mitbekamen. „Diese Razzien“, sagte David Kaye.

Als in Kalifornien der Sommer begann, brachte die Sendung 60 Minutes des US-Senders CBS eine Reportage aus – Niedersachsen. Eine amerikanische Reporterin interviewte zwei deutsche Staatsanwälte und eine Staatsanwältin, die auf die Verfolgung von Hatespeech spezialisiert waren. Die Strafverfolger erzählten von den inzwischen üblichen Hausdurchsuchungen wegen Online-Postings und den teils verdutzten Reaktionen der Betroffenen, die oft sagen würden: Sie hätten gar nicht gewusst, dass ihre Äußerungen verboten seien. So erzählte es einer der Staatsanwälte und grinste.

Voraussetzung jeder Freiheit

In Santa Monica sprach mich David Kaye darauf an. Er fand das befremdlich. Staatsanwälte, die sich nichts dabei zu denken schienen, dass sie Menschen überraschten mit der Information, dass etwas neuerdings verboten sei? Was sei das für ein Verständnis von Rechtsstaat? Und er wies mich noch auf einen weiteren Aspekt hin, der ihm Sorgen bereite. „Pimmel“ sei in den USA noch das Mildeste, was man an Spott über den Präsidenten lesen könne. Es geschehe praktisch jeden Tag, dass jemand ihn als „Schwachkopf“ bezeichne, als „dümmsten Präsidenten aller Zeiten“ sowieso. Das ist nach amerikanischem Recht straffrei, zum Glück. Nicht auszudenken, was Donald Trump anstellen könnte, wenn sich die USA mit ihrem Strafrecht ein Beispiel an Deutschland nähmen.

Die Meinungsfreiheit wird in Demokratien traditionell als das wichtigste aller politischen Grundrechte verstanden, weil sie sozusagen die Voraussetzung aller weiteren Freiheiten schafft. Sie ist die Basis, auf der man politisch überhaupt in einen Streit eintreten kann, Forderungen stellen, sich Gehör verschaffen und so weiter. Die Bundesrepublik war noch jung, es war 1952, da schrieben die Richter des Bundesverfassungsgerichts (in diesem Fall waren es sieben Männer und eine Frau) in einem ihrer ersten Urteile, dass die Meinungsfreiheit für eine Demokratie „schlechthin konstituierend“ sei. Sprachlich schöner, auch ein wenig pathetischer: Die Freiheit, seine Meinung zu sagen, sei „die notwendige Voraussetzung beinahe jeder anderen Form der Freiheit“, so lauten die berühmten Worte des einstigen amerikanischen Supreme-Court-Richters Benjamin Cardozo. Und, ja: Es darf auch polemisch sein. Überspitzt. Oder emotional. Jedenfalls bis hin zu einer Grenze.

Was würde Trump damit tun?

Ich frage mich inzwischen, ob wir uns in Deutschland nicht ganz schön schnell gewöhnt haben an die Alltäglichkeit von Hausdurchsuchungen wegen „Politikerbeleidigung“, an die grassierende Verunsicherung, ob man denn noch von einer „dümmsten Außenministerin der Welt“ sprechen darf, an die Tatsache, dass schwierige zivilgesellschaftliche Debatten eingeengt werden – und ich frage mich auch, ob eine offene Gesellschaft ihre Strafjustiz nicht an etlichen Stellen dringend zurückpfeifen müsste, braucht man doch gerade in volatilen Zeiten eher mehr Debatte, nicht weniger. In der amerikanischen Cartoon-Serie „South Park“ taucht derweil der amerikanische Präsident Donald Trump als Sexpartner des Teufels auf, und es werden Zoten gerissen über das kleine Gemächt des Commanders in Chief.

Wenn die USA unter Trump solche Gesetze hätten wie Deutschland, dann würde dies J. D. Vance und Co. noch ganz andere Möglichkeiten bieten, ihre Kritiker einzuschüchtern. Dieses Szenario, in dem ein rechtsautoritärer Regierungschef mit einem fragilen Ego à la Trump oder Vance seine Kritiker wegen krimineller „Beleidigung“ verfolgen lassen könnte: Liberale Amerikaner wie David Kaye sind heilfroh, dass dies gerade nicht ansteht und dass wahrscheinlich auch der amerikanische Supreme Court verhindern würde, dass solche Instrumente diesen Rechtspopulisten in die Hände fielen. In Deutschland, wo die Anklagebehörden in diesem Punkt immer mehr Macht und gesetzlichen Spielraum bekommen haben, ist dieses Szenario vielleicht nur eine Landtagswahl entfernt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Posteo, E‑Mail-Anbieter mit Sitz in Berlin, hat den Speicherplatz im Basistarif kostenfrei verdoppelt. Damit gibt der Anbieter den durch ein Lösch-Tool gewonnenen Speicherplatz an die Kunden weiter.

Ubuntu 26.04 will show asterisks when you type your sudo password, as Canonical adds a patch to its Rust-based sudo-rs. Here's what changed and why.

You're reading Ubuntu 26.04 ends a 40-year old sudo tradition, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.

Tails 7.5 anonymous Linux OS is now available for download with Tor client 0.4.9.5, Tor Browser 15.0.7, and other changes. Here's what's new!

The post Tails 7.5 Anonymous Linux OS Released with Updated Tor Client and Tor Browser appeared first on 9to5Linux - do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.

Mozilla Thunderbird 148 open-source email client is now available for download with improved accessibility in various tree views and other changes. Here's what's new!

The post Thunderbird 148 Email Client Improves Accessibility in Various Tree Views appeared first on 9to5Linux - do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.

The Firefox 148 update sees its stable release today, bringing with it a much-request ‘AI kill switch’ to easily disable all AI-powered features within the browser. Mozilla has said future updates to the browser will not re-enable AI features once disabled. Given that Mozilla now measures its success by how much revenue it makes from AI features in its products, Firefox included, that’s a reassuring stance. To disable AI features in Firefox go to Settings > AI Controls. Slide the ‘Block AI Enhancements’ toggle to turn off ChatGPT and other chatbots in the sidebar, AI link previews, the (supposedly) smart […]

You're reading Firefox 148 released with AI kill switch + more, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.

You don't need a MacMini for running OpenClaw. These alternative projects can run on SBCs and ESP32 microcontrollers.

Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.

Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.

Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.

Sollen sexualisierte Deepfakes verboten werden?

Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.

Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.

Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.

Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.

KI-Omnibus könnte bald schon am Ziel sein

Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.

Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.

Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.

Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.

Institutionen warnen vor Datenomnibus

Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.

De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.

In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.

Ehemalige Meta-Lobbyistin verhandelt über Datenschutz

Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.

Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.

Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Seit zwei Jahren gelten neue Regeln für Plattformen in der EU. Die haben schon kleine Fortschritte bewirkt und machen Hoffnung. Aber um sie wirksam durchzusetzen, ist noch viel zu tun.

Der DSC-Beirat ist ein Gremium aus Zivilgesellschaft, Forschung und Wirtschaft. Er soll in Deutschland die Durchsetzung des Digital Services Act begleiten und den zuständigen Digital Services Coordinator unterstützen. Svea Windwehr ist Mitglied des Beirats und berichtet in dieser Kolumne regelmäßig aus den Sitzungen.

Seit dem 17. Februar 2024, also seit genau zwei Jahren, gilt in der EU der Digital Services Act. Das Regelwerk soll Nutzende schützen und mehr Transparenz und Fairness gegenüber Online-Plattformen und -Diensten schaffen. Gibt es etwas zu feiern?

Die Bilanz ist gemischt: Ein erstes Verfahren gegen X wurde zum Abschluss gebracht, viele andere Ermittlungen laufen noch. Die Rahmenbedingungen für Forschungsdatenzugang stehen endlich, in der Praxis gibt es aber noch massive Probleme. Zivilgesellschaft und Forschende haben unzählige Verfahren angestoßen und liefern wichtige Evidenz zu DSA-Verstößen, sind jedoch Repression und Delegitimierung ausgesetzt.

Pünktlich zum Geburtstag hat sich der neu berufene DSC-Beirat in neuer, kleinerer Konstellation zu seiner ersten gemeinsamen Sitzung getroffen und sich mit dem Stand der DSA-Durchsetzung beschäftigt. Der Beirat ist im Vergleich zu seiner letzten Besetzung geschrumpft, da die vier Vorschläge der AfD im Plenum des Deutschen Bundestages keine Mehrheit fanden. Deshalb und wegen der christ-demokratischen Definition von Zivilgesellschaft ist insbesondere von deren gesetzlich angedachter Stärke im Beirat des DSC nicht viel übrig geblieben.

Fortschritt in kleinen Schritten

Bei der Durchsetzung des DSA geht es nach wie vor oft schleppend voran. Der Koordinator für Digitale Dienste in Deutschland prüft noch, ob weitere außergerichtliche Streitbeilegungsstellen und Trusted Flagger zugelassen werden sollen. Während die Streitbeilegungsstellen etwa bei strittigen Moderationsentscheidungen zwischen Nutzer:innen und Plattformen vermitteln sollen, agieren die Trusted Flagger als vertrauenswürdige Hinweisgeber, deren Meldungen die Plattformen priorisiert bearbeiten sollen. Aktuell gibt es in Deutschland vier Organisationen, die als Trusted Flagger anerkannt sind, sowie zwei Streitbeilegungsstellen.

Von inzwischen insgesamt 30 durch den DSC eingeleiteten Verwaltungsverfahren gegen in Deutschland ansässige Plattformen wegen DSA-Verstößen scheint noch keines zum Abschluss gekommen zu sein. Und auch auf europäischer Ebene wurde seit der Verhängung eines Bußgelds gegen X im Dezember 2025 kein weiteres Verfahren zu Ende gebracht.

Immerhin kleine Fortschritte gibt es beim Datenzugang für Forschende. Nachdem detaillierte Hinweise, wie genau der Datenzugang ausgestaltet werden soll, Ende Oktober 2025 endlich in Kraft getreten sind, können Forschende Anträge auf Datenzugang bei ihren nationalen Aufsichtsbehörden stellen. Über dieses durch den DSA neu geschaffene Recht können sie zum ersten Mal qualitative und quantitative Daten von Plattformen anfragen, um systemische Risiken zu erforschen. Damit schafft der DSA längst überfällige Rahmenbedingungen, die unabhängige Forschung und ein besseres Verständnis von Online-Plattformen ermöglichen sollen – und potenziell wichtige Grundlagen für Durchsetzungsverfahren schaffen können.

Beim deutschen DSC sind seitdem immerhin neun Anträge auf Datenzugang eingegangen. Das klingt vielversprechend, allerdings wurden die meisten der neun Anträge wieder zurückgezogen, da die benötigten Daten auch über den niedrigschwelligeren Datenzugang über Schnittstellen der Plattformen angefragt werden konnten. Diese Möglichkeit, Daten über APIs anzufragen, funktioniert in der Praxis je nach Plattform durchwachsen bis schlecht – mangelnder Zugang zu Forschungsdaten ist einer der DSA-Verstöße, die zum Bußgeld gegen X beigetragen haben. Die Gesellschaft für Freiheitsrechte und Democracy Reporting International haben X kürzlich zum zweiten Mal deswegen verklagt.

Es ist also noch zu früh, um sich über große Durchbrüche beim Datenzugang zu freuen, aber immerhin können Forschende jetzt das System ausprobieren, Anträge stellen und auf Durchsetzung pochen, wenn die Plattformen sich weigern.

Ebenfalls hoffnungsvoll stimmen die kürzlich veröffentlichten vorläufigen Ergebnisse zu einem Verfahren gegen TikTok. Dort kommt die Europäische Kommission zu dem Schluss, dass die Videoplattform nicht genug getan hat, um Risiken von suchtfördernden Mechanismen insbesondere für Minderjährige zu mindern, beispielsweise endlose Feeds und hoch-personalisierte Empfehlungen. Das ist spannend, weil die Kommission davon ausgeht, dass TikTok das „grundlegende Design“ der Plattform ändern muss, um diesen Risiken beizukommen.

Sollte die Kommission bei dieser Einschätzung bleiben und nach Abschluss des Verfahrens Bußgelder gegen TikTok verhängen, hätte der Fall Auswirkungen weit über TikTok hinaus: Endlose Feeds und hoch-personalisierte Empfehlungen sind Kernelemente aller großen sozialen Netzwerke und Videosharingplattformen. Hier zeigt der DSA sein Potenzial, einerseits strukturelle Änderungen zu erstreiten, die das Businessmodell der Plattformen direkt betreffen. Das könnte zu anderen und besseren digitalen Räumen führen .

Andererseits zeigt die Argumentation, dass der DSA sinnvolle Werkzeuge bietet, um den Features und Plattform-Praktiken zu begegnen, die in der Debatte um Verbote von sozialen Medien für Kinder und Jugendliche im Fokus stehen: süchtigmachendes Design, Personalisierung basierend auf Unmengen persönlicher Daten, Produktdesign, das die Rechte und Interessen von Kindern wahrt.

Ein solches Verbot wurde Anfang Februar von Spaniens Premierminister Pedro Sanchez angekündigt, wofür er prompt von Elon Musk als Tyrann und Verräter Spaniens betitelt wurde. Daraufhin solidarisierte sich die Europäische Kommission mit Sanchez, während sie gleichzeitig festhielt, dass nur die Europäische Kommission durch den DSA weitere Verpflichtungen gegenüber sehr großen Online-Plattformen aussprechen darf. Angesichts des Eifers von Mitgliedstaaten wie Spanien, Italien, Griechenland, Frankreich und den Niederlanden bleibt abzuwarten, ob sich EU-Regierungen diesem Machtwort aus Brüssel beugen werden. Ob es also europäische Verboten von sozialen Medien geben wird, ist nach wie vor unklar.

Keine Durchsetzung ohne Repression

Solidarisch hatte sich die Europäische Kommission Ende Dezember auch gegenüber Mitgliedern eines angeblichen „globalen Zensur-industriellen Komplexes“ gezeigt, nachdem sie vom US-Außenministerium mit Visa-Sanktionen belegt worden waren, unter ihnen die beiden Geschäftsführerinnen von HateAid. HateAid ist eine der Organisationen, die als Trusted Flagger in Deutschland zugelassen sind.

Mit diesen Sanktionen markiert die Trump-Regierung Menschen als politische Feinde, die Online-Plattformen für Verstöße gegen geltendes Recht zur Verantwortung ziehen, bestraft sie und versucht, sie an ihrer Arbeit zu hindern.

Seit den Sanktionen gegen Zivilgesellschaft und Forschende vom Dezember hat ein neuer Bericht des Rechtsausschusses des US-Abgeordnetenhauses die Situation weiter verschärft. Die Beschäftigung des Ausschusses mit dem DSA ist getrieben von Jim Jordan, einem republikanischen Abgeordneten, der seit Jahren damit beschäftigt ist, die angebliche Zensur von US-Amerikaner:innen durch den DSA zu beweisen.

Auf 160 Seiten breitet der Bericht Jordans wirre Fantasie aus, dass die Europäische Kommission, unterstützt von der europäischen Zivilgesellschaft, nur ein Ziel mit dem DSA verfolge: die Unterdrückung konservativer, US-amerikanischer Stimmen. Dabei stützt sich der Bericht auf massenweise E-Mails, Screenshots und Dokumente, die Jordan durch Herausgabeverlangen von US-Plattformen bekam – wogegen sich Plattformen offensichtlich nicht oder kaum gewehrt haben.

Der Jordan-Bericht stellt jedoch nicht nur eine Reihe von Falschbehauptungen auf, sondern identifiziert und markiert auch eine ganze Reihe von Kommissionsmitarbeitenden und Vertreter:innen der Zivilgesellschaft, die an Workshops der Kommission zur DSA-Durchsetzung teilnahmen oder anderweitig an der Durchsetzung des DSA beteiligt sind. Ein gefundenes Fressen für jene Kräfte, die genau diese Arbeit verhindern wollen.

Die Repressionen gegen HateAid und Co. werden also wahrscheinlich nicht die letzten gegen Menschen und Organisationen gewesen sein, die sich um die Durchsetzung des DSA bemühen. Auf Seite der Behörden scheint man auch nach dem Shitstorm um Trusted Flagger und der Demontage des Stanford Internet Institute auf Druck rechtskonservativer Politiker kaum auf solche Szenarien vorbereitet sein – um nur zwei Beispiele zu nennen, in denen rhetorische Delegitimierungen durch rechte Akteure zu Einschüchterung, Gefahren für Einzelpersonen und dem Verlust von institutionellen Strukturen geführt haben.

Aufsichtsbehörden, Politik und die Kommission sind jetzt gefragt, nicht nur ihre Solidarität auszudrücken, sondern konkrete Maßnahmen zum Schutz von Zivilgesellschaft und Forschung zu ergreifen. Dabei darf aber nicht nur in die USA geschaut werden: Auch in Deutschland und anderen Mitgliedstaaten setzen konservative und rechte Kräfte die Zivilgesellschaft immer stärker unter Druck. Vom Anti-NGO-Kurs der Union über die Gemeinnützigkeitsdebatte und Kontoschließungen linker Organisationen bis zu physischen Angriffen gegen Aktivist:innen – wenn es der Politik ernst damit ist, zivilgesellschaftliche Arbeit zu schützen, darf sie nicht zwischen politisch genehmen und unbequemen Organisationen unterscheiden.

Ein ganzheitlicher Ansatz muss her: nachhaltige und großzügige Finanzierung, rechtliche Absicherung und vor allem eine Regierungspartei, die versteht, dass die Delegitimierung von NGOs letztlich nur einer Seite hilft – den Feinden demokratischer und offener Gesellschaften.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundesgesundheitsministerin Nina Warken hat ihre Digitalisierungsstrategie vorgelegt. Darin betont die CDU-Ministerin, die Patient:innensouveränität stärken zu wollen. Tatsächlich aber will sie eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufbauen. Nutznießer sind Forschung und Pharma-Unternehmen. Die Rechte der Patient:innen bleiben auf der Strecke.

Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).

Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.

Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.

Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.

Die ePA soll zur „Gesundheits(daten)plattform“ werden

Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.

Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.

Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.

„Künstliche Intelligenz“ soll Symptome auswerten

Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.

Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.

Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.

Forschungsdatenzentrum soll als „Innovationsmotor“ wirken

Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.

Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.

Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.

Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.

Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.

„Real-World-Überwachung“ ermöglichen

Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.

Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.

Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.

Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.

Wie „Künstliche Intelligenz“ unser Gesundheitswesen verändern soll – und welche Fragen das aufwirft

Warken will Medizinregister miteinander verknüpfen

Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.

Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.

Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.

Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.

Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.

Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.

Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an

Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.

Zu diesem Zweck sollen Betreiber von Medizinregistern und die meldenden Gesundheitseinrichtungen registerübergreifende Pseudonyme erstellen dürfen. Als Grundlage dafür soll der unveränderbare Teil der Krankenversichertennummer von Versicherten (KVNR) dienen.

Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.

Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.

Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.

Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.

Gesundheitsministerium schafft Schnittstellen in die EU

Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.

Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.

Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In Los Angeles stehen Meta und Google vor Gericht, in der EU muss TikTok nachschärfen. In beiden Fällen geht es um ihr süchtig machendes Design. Das verweist auf einen besseren Weg im Kinder- und Jugendschutz: Ursachenbekämpfung statt Verbote. Ein Kommentar.

„Ich male mir die Welt, so wie sie mir gefällt.“ – Das gelingt den Plattformbetreibern hinter Instagram, Youtube, Snapchat oder TikTok bisher ganz gut. Das in Los Angeles eröffnete Verfahren könnte an diesem Prinzip jedoch rütteln und zeigen, dass es etwas anderes als ein Verbot für Jugendliche braucht, um die negativen Effekte sozialer Medien zu reduzieren.

Die 20-jährige Hauptklägerin will Meta und Google für ihr süchtig machendes Design zur Verantwortung ziehen. Vor Gericht gibt sie an, seit über zehn Jahren von sozialen Medien abhängig zu sein – einem Effekt, dem sich die Unternehmen laut interner Dokumente bewusst waren. Und wenn man ehrlich ist: Es ist ein Effekt, den die kommerziellen Plattformen wollen, damit sich die Aufenthaltszeit auf Plattformen verlängert, sie mehr Werbung an die Nutzer*innen abspielen und so mehr Gewinne einfahren können.

Wenn in den USA eine Person vor Gericht geht, deren Generation bisher am frühesten in der digitalen Welt aufgewachsen ist, führt das unweigerlich zu der Frage, wie für diese und nachfolgende Generationen eine bessere und andere Version von sozialen Medien aussehen könnte. Denn ob mit dem Verfahren letztlich ein Präzedenzfall geschaffen werden kann oder nicht – der Prozess stärkt eine andere Stoßrichtung als das derzeit heiß diskutierte Social-Media-Verbot.

Ein Verbot ist die falsche Antwort

Von einem Verbot sozialer Medien für junge Menschen werden viele negative Effekte erwartet: Für Minderheiten oder vulnerable Gruppen fällt ein Kanal zur Vernetzung und Gemeinschaftsbildung weg, ebenso ein Kanal zur Information, Menschen ohne Papiere könnten ganz ausgeschlossen sein und auf Kinder und Jugendliche entfallen die Folgen je nach Familiensituation und Wohnort ungleich.

Diese Nebeneffekte müssten weniger ins Gewicht fallen, wenn unterm Strich auf den Plattformen und ohne Verbot das ursprüngliche Ziel erreicht werden würde: Schutz von Kindern und Jugendlichen vor digitalem Missbrauch, vor Mobbing sowie übermäßigem Konsum und Sucht.

Ein Blick nach Australien zeigt, dass Verbote einerseits löchrig bleiben und andererseits große Risiken für Privatsphäre und Datenschutz bergen. Wie die australische Regierung erwartet hatte, finden Jugendliche einfach Schlupflöcher, das Verbot zu umgehen. Sie ändern ihren Standort über VPN-Verbindungen, legen sich neue Accounts an, wechseln auf nicht betroffene Apps oder nutzen Accounts von älteren Personen. Mit KI-generierten Bildern, Ausweisen von Älteren oder durch einfaches Stirnrunzeln bestehen sie Altersabfragen, die jetzt zur Architektur von Plattformen dazugehören.

Sollte die australische Regierung an diesen Stellen nachschärfen, bleiben Alterskontrollen aus datenschutzrechtlicher Perspektive trotzdem bedenklich. Ein vorab durchgeführtes Gutachten verzeichnet massive Bedenken, wie erhobene Daten gesammelt und an Behörden weitergegeben werden könnten. Das ist der eine Fall. Der andere Fall ist auch datenschutzrechtlich problematisch, wenn personenbezogene Daten aus Alterskontrollen an Drittanbieter weitergegeben werden, wie der Fall von Discord deutlicht.

Plattformen in die Pflicht nehmen statt Probleme in die Zukunft verlagern

Der Medienrechtler Stephan Dreyer erwartet, dass ein EU-Verbot den Jugendschutz auf sozialen Plattformen verschlechtern würde, wie er gegenüber netzpolitik.org darlegte.

Dazu kommt: Soziale Medien sind allgegenwärtiger Teil des Lebens auf der ganzen Welt. Haben Jugendliche die magische Grenze von 16 Jahren überschritten, sind sie zusammen mit den Älteren weiterhin endlosen Feeds, manipulativem Design, personalisierten Empfehlungssystemen und Dopamin-Kicks ausgesetzt. Statt „Cybergrooming“ heißt die Gefahr dann „digitale Gewalt“, wie der Grok-Skandal gerade deutlich vor Augen geführt hat.

Und warum eigentlich nur Jugendliche? Sind nicht auch gestandene Mittvierziger dem suchtmachenden Design der Plattformen verfallen und geraten nicht auch Boomerinnen in den Strudel, der sie in den verschwörungsideologischen Kaninchenbau zieht? Werden nicht uns allen polarisierende Inhalte von intransparenten Algorithmen gezeigt, damit wir möglichst lange mit den Plattformen interagieren und sie uns mit personalisierter Werbung zuballern können.

Bessere Plattformen für alle

Ein Verbot für Jugendliche macht die Plattformen nicht besser. Anstatt Plattformen zur Umsetzung von Alterskontrollen zu zwingen und junge Menschen auszuschließen, müssen die Plattformen zu einer anderen Architektur verpflichtet werden. Fairness by Design und by Default nennt sich der Ansatz, der digitale Plattformen dazu verpflichtet, ihre Webseiten und Apps nutzerfreundlich und manipulationsfrei zu gestalten. Die EU ist gegenüber TikTok einen Schritt gegangen, aber die Liste an manipulativen Techniken ist lang.

Ein Verbot ist letztlich eine platte und hilflose Maßnahme. Es erinnert an überforderte Eltern, die den Kindern das Handy wegnehmen, weil sie nicht weiterwissen. Dabei könnten auch die Verbotsbefürworter*innen beim Ansatz Fairness by Design auf ihre Kosten kommen. Er wäre einer von mehreren Ansätzen, die Plattformen nachhaltig zu verändern. Und es gibt Gesetzgebungen wie das Digitale-Dienste-Gesetz oder wie das geplante Gesetz für digitale Fairness, mit denen man Plattformen verändern kann.

Die Politik muss sich nur trauen – und nicht weiter vor der Lobby der Tech-Riesen einknicken.

 

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.