X hat sich in den letzten Jahren nicht nur zur rechten Propagandaschleuder entwickelt, die Plattform erlaubte seit Ende Dezember auch das Generieren von sexualisierten Deepfake-Bildern. Wir haben Politiker, Ministerien und EU-Kommission gefragt, warum sie trotzdem auf der degenerierten Plattform bleiben.
Auch Bundeskanzler Friedrich Merz postet unbeeindruckt weiter auf der Deepfake-Plattform X, die früher mal Twitter hieß. – Alle Rechte vorbehalten IMAGO / Hanno Bode
Auf der Plattform X war es seit Ende Dezember möglich, mit dem Chatbot Grok sexualisierte Deepfakes von Erwachsenen und Minderjährigen zu erstellen. Eine Deepfake-Forscherin geht laut Bloomberg davon aus, dass stündlich etwa 6.700 sexualisierte Deepfake-Bilder mittels des Chatbots generiert wurden, die meisten davon von Frauen und ohne deren Zustimmung. Laut dem Bericht wurden solche Bilder auch nach einer Beschwerde-Meldung nicht durch die Moderation der Plattform entfernt. Nachdem die EU-Kommission am Donnerstag angewiesen hatte, dass X interne Dokumente zu Grok aufbewahren muss, hat die Plattform heute die Bildgenerierung eingeschränkt.
Eine Sprecherin der Unabhängigen Bundesbeauftragten gegen sexuellen Missbrauch von Kindern und Jugendlichen bewertet das Generieren von Deepfakes auf X kritisch: „Die niedrige Zugangsschwelle verändert das Ausmaß. Was früher technisches Wissen und verdeckte Netzwerke erforderte, ist heute per Texteingabe möglich.“ Dabei seien die Produkte hochrealistisch. Sie ließen sich kaum von echten Aufnahmen unterscheiden.
„Durch KI-generierte Missbrauchsdarstellungen entsteht konkreter Schaden: Sexualisierung kindlicher Körper, Weiterverbreitung von Gewaltbildern und die Normalisierung einer Täterperspektive“, so die Sprecherin weiter.
Wir haben deswegen exemplarisch beim Innen- und Familienministerium sowie zufällig ausgesuchten Bundestagsabgeordneten aller demokratischen Fraktionen, die X für ihre Kommunikation nutzen, angefragt, warum sie weiterhin auf so einer Plattform posten und ob sie nicht befürchten, dass die Plattform ihrer eigenen Reputation schaden könnte. Zudem haben wir in Brüssel die EU-Kommission gefragt, ob sie Konsequenzen aus den jetzigen Deepfakes zieht.
Abgeordnete von Grünen, Linken und Union zögern
Bei der Linken hatten wir die Vorsitzende und Bundestagsabgeordnete Ines Schwerdtner gefragt. Sie sagte, dass in Partei und Fraktion derzeit Gespräche über den weiteren Umgang mit X laufen würden. „Entscheidend ist, dass wir dabei zu einem gemeinsamen Vorgehen kommen.“ Ob und wann mit Ergebnissen in diesem Prozess zu rechnen ist, sagte Schwerdtner nicht.
Bei den Grünen hatten wir Britta Haßelmann, Konstantin von Notz und Agnieszka Brugger angefragt – und bekamen eine Sammelantwort der Pressestelle der Bundestagsfraktion. Die sagt lediglich, dass es für Politiker immer wichtig sei, den Dialog zu suchen und dafür auch Social Media zu nutzen. „Die Vorgänge auf X sind allerdings zweifellos indiskutabel“, heißt es weiter im Statement. Die Bundestagsfraktion beobachte die Entwicklungen der Plattform schon seit einiger Zeit mit Sorge und diskutiere auch die Konsequenzen in der Fraktion. Wann ein Punkt für Konsequenzen erreicht sei und warum man das Indiskutable diskutiere, sagte die Pressestelle nicht.
„Zunehmend eine Gratwanderung“
Bei der Union hat der Außenpolitiker Roderich Kiesewetter geantwortet: „Ich sehe die Nutzung von X zunehmend als Gratwanderung und bin zwiegespalten.“ Zwar sprächen die Veränderung der Diskussionskultur, die mangelnde Durchsetzung von Richtlinien, die Intransparenz der Algorithmen und auch die Ermöglichung von Deepfakes „eher dafür“ die Plattform zu verlassen, vieles davon treffe aber auch auf andere Plattformen zu.
Als Politiker sei es seine Aufgabe mit Argumenten und Inhalten Bürgerinnen und Bürger von politischen Lösungen oder Einschätzungen zu überzeugen und politisch zu kommunizieren. Solange die Abkehr von bestimmten Plattformen aus rechtlichen oder sicherheitsrelevanten Gründen nicht von Deutschland oder der EU empfohlen werde, setze er darauf, dass die EU durch Durchsetzung von Regelungen den Einfluss behalte.
„Die Gefahr, dass die Reputation leidet, gibt es leider bei vielen Internetmedien, insbesondere rechtspopulistischen, die z.B. Aussagen in seriösen Medien aus dem Zusammenhang reißen, verkürzen und zu Desinformationszwecken nutzen, dies halte ich persönlich für nochviel gravierender“, so Kiesewetter weiter.
Innen- und Familienministerium mit Standard-Antwort
Dürr fallen die Antworten der angefragten Ministerien aus. Das Bundesinnenministerium (BMI) antwortet auf die Frage, warum es weiterhin auf einer solchen Plattform poste: „Im Rahmen seiner Presse- und Öffentlichkeitsarbeit informiert das BMI auf vielfältige Weise über seine Arbeit und kommt seinem verfassungsrechtlich gebotenen Auftrag nach, Bürgerinnen und Bürger über Regierungshandeln zu informieren.“ Auf die Frage, ob das Ministerium nicht eine Gefahr für seine Reputation in einem solchen Umfeld sehe, antwortet es lapidar: „Die Fortsetzung unserer Präsenzen auf Social Media Plattformen überprüfen wir fortlaufend.“
Eine ähnliche Antwort gibt auch das Familienministerium (BMBFSFJ). Es gehöre zur Erfüllung des Informationsauftrags, in den sozialen Medien mit verlässlichen Informationen präsent zu sein. „Dabei verstehen wir unsere Aktivitäten nicht als Unterstützung der Plattformen, sondern als Erfüllung unseres Informationsauftrages an den digitalen Orten, an denen Menschen sich informieren und austauschen.“ Das Ministerium beobachte „die aktuellen Entwicklungen auf den verschiedenen Plattformen genau“. Dazu gehöre auch, dass das Ministerium fortlaufend kritisch hinterfrage, auf welchen Plattformen es kommuniziere.
Ähnliche Antworten haben die Ministerien seit Monaten und auch schon unter der Ampel-Regierung gegeben.
EU-Kommission will „diversifizieren“
Kommissionssprecher Thomas Regnier sagte auf einer Pressekonferenz auf Nachfrage von netzpolitik.org: „Wir sind noch immer auf X aktiv, aber wir sind dabei, stark zu diversifizieren“. Man sei auf 14 Social-Media-Plattformen aktiv und überprüfe die Social-Media-Präsenz der EU-Kommission regelmäßig, das gelte auch für X.
Ähnlich wie die deutschen Ministerien argumentierte Kommissionssprecherin Arianna Podestà, dass es wichtig sei das „Publikum mit unseren Botschaften zu erreichen.“ Wenn dieses Publikum auf X sei, werde die EU-Kommission dort mit diesem in Kontakt treten.
Die Sprecherin dementierte den Vorwurf eines Journalisten, dass die EU-Kommission X bevorzuge. Was die Zukunft der EU-Kommission auf der Plattform angehe, wollte sich die Sprecherin nicht festlegen: „Nichts ist in Stein gemeißelt. Wir versuchen immer, unsere Präsenz zu verbessern.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.
Kommt es nach der ePA bald zum nächsten Notfall? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Isravel Raj
Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Eine Kaskade an Problemen
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
EUDI-Wallet: Fehler, die sich wiederholen
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Sichere Kanäle versus signierte Daten
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn ein IT-System veraltet oder kaputt ist und jemand darauf hinweist, verursacht das erstmal Stress. Aber den Status um jeden Preis aufrechtzuerhalten ist nicht der beste Umgang, findet unsere Kolumnistin. Sie schlägt einen anderen Weg für ein stressfreies digitales Zusammenleben vor.
Wie geht man gut damit um, wenn etwas nicht in Ordnung ist? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Luis Villasmil
In der heutigen Degitalisierung geht es um Stress. Aber eigentlich auch wieder nicht. Das mag paradox klingen, hat aber mit einer ganz besonderen Art von Stress zu tun, dem Statusstress. Statusstress ist nicht nur ein wunderschönes Bild von einem Wort, sondern leider auch eine allzu treffende Bezeichnung des Umgangs mit dem Status der Digitalisierung in Deutschland und möglicher Kritik daran.
Besonders häufig zu finden ist der Statusstress in der Verwaltung, zum Teil aber auch im Gesundheitswesen oder bei Unternehmen, die in den beiden Branchen Dienstleistungen erbringen. Um Statusstress genauer zu verstehen, bedarf es einiger prägnanter Beispiele. Aus nicht ganz erfindlichen Gründen kommen ein paar der aktuellen Beispiele für diese Kolumne schwerpunktmäßig aus Berlin.
Das heißt aber nicht, dass Statusstress nicht auch in anderen Regionen in Deutschland, speziell im Kontext der Digitalisierung, vorkommt, es ist eher eine besondere Häufung der Nachrichten der letzten Tage.
Versuch einer Definition
Normalerweise ist Stress eine natürliche Alarmreaktion des menschlichen Körpers auf Belastungen, auf Stressoren. Die Auslöser von Stress können Umstände wie Zeitdruck, Lampenfieber oder lebensverändernde kritische Ereignisse sein, etwa ein möglicher Jobverlust. Kurzfristig setzt der menschliche Körper dann Stresshormone wie Adrenalin frei, um mit der kurzfristigen Belastung besser umgehen zu können – in Vorbereitung auf eine kurzfristige Fight-or-Flight-Situation: entweder der Situation stellen oder fliehen.
Stress ist also eigentlich auch ein Mittel, um mit schwierigen Situationen besser umgehen zu können. Ein Mittel, um sich einer gewissen anstrengenden und schwierigen Situation besser stellen zu können. Meist ist eine Situation dann zwar stressig, wir haben höheren Puls und Blutdruck, aber nach dem Ablassen des Stresses haben wir oftmals eine unangenehme Situation erfolgreich gemeistert und mehr erreicht, als wir vorher gedacht hätten.
Nun gibt es solche Stresssituationen auch für die Politik oder der Politik nahestehende Organisationen, für die Verwaltung oder der Verwaltung nahestehende Unternehmen etwa. Stressig kann es oftmals werden, wenn das jeweilige Handeln kritisiert wird, wenn Fehler offensichtlich werden. Auch hier gibt es dann eine Vorbereitung auf eine Fight-or-Flight-Situation. Fehler zugeben, beheben oder doch lieber erst mal kleinreden? Häufig fällt die Entscheidung auf die Aufrechterhaltung des Status Quo, auch wenn es durchweg sehr anstrengend und – titelgebend – stressig sein kann, den Status Quo als richtig darzustellen.
Nur ist die ohnehin schon stressige Aufrechterhaltung des ungenügenden Status Quo auf lange Sicht gar nicht mal so sinnvoll oder gesund, wie ein paar Beispiele aus der Digitalisierung der letzten Tage zeigen.
Im Gutachten geht es aber nicht um die Beschreibung, dass der Datenatlas der Bundesdruckerei den Stand der Technik auch erreiche. Es geht wissenschaftlich aufbereitet darum, dass der Datenatlas eben nicht mal den Stand der Technik erreiche. Schlimmer noch, es sei dabei nicht mal der Stand der Technik von heute, sondern der Stand der Technik von vor knapp 40 Jahren.
Eine durchaus harte Kritik, beim genaueren Lesen des Gutachtens finden sich aber viele Anhaltspunkte, wie es besser ginge. Es wird umfangreich aufbereitet, an welchen Stellen Details der Umsetzung des Datenatlas diesen Stand der Technik unterschreiten und welche Umsetzungsalternativen es geben würde. Mit etwas Abstand betrachtet mag das Gutachten zwar nicht nett klingen – es liefert aber zahlreiche Verbesserungsvorschläge, um einen möglichen besseren Datenatlas schaffen zu können. Eigentlich.
Das Gutachten von Zellhöfer mag bei den Beteiligten zu sofortigem Statusstress geführt haben, anders wäre die Prüfung rechtlicher Mittel gegen das Gutachten nicht erklären zu gewesen. Fehler zugeben und diese ausmerzen – oder eben mit viel Aufwand jegliche Kritik am zweifelhaften Status abschmettern. Fight or flight. Statusstress.
Im Falle des Datenatlas und der Bundesdruckerei lässt sich aber nicht genau ermessen, wie viel mehr Aufwand dieser Statusstress am Ende ausmachen wird. Anders ist das bei der zweifelhaften Aufrechterhaltung veralteter IT-Systeme.
415 Prozent
In der letzten Woche wurde bekannt, dass der IT-Dienstleister des Landes Berlin, das IT-Dienstleistungszentrum (ITDZ) Berlin, stark unterfinanziert ist. Zwei Kredite in Höhe von 40 Millionen Euro sind nötig gewesen, um den laufenden Betrieb aufrechtzuerhalten. Bemerkenswert daran ist auch, dass die Behörden, die beim Dienstleister Auftragsverhältnisse haben, mit 16,8 Millionen in der Miese stehen. Die finanzielle Lage des Kommunaldienstleisters ist also eigentlich düster, aber als Anstalt öffentlichen Rechts kann das ITDZ nicht so einfach pleitegehen wie normale kommerzielle Unternehmen.
Woher kommt das finanzielle Problem? Einerseits aus der schlechten Finanzlage von Kommunen und Ländern. Andererseits auch vom Statusstress, diesmal in Bezug auf IT-Systeme.
In der Verwaltung werden oftmals sehr viele unterschiedliche Fachverfahren betrieben, spezialisierte Programme für bestimmte Verwaltungstätigkeiten. Programme für das Meldewesen etwa oder Programme zur Verwaltung kommunaler Aufgaben wie der Abfallentsorgung. Beim ITDZ sammeln sich ganz schön viele unterschiedliche Fachverfahren, der Tagesspiegel [€] schreibt von 415 unterschiedlichen Fachverfahren, die Berliner Behörden laut Senatskanzlei nutzen würden.
Auffällig dabei: Das ITDZ gibt einen mittleren zweistelligen Millionenbetrag im Jahr dafür aus, um die Risiken des Weiterbetriebs der Programme zu reduzieren, so ein Bericht der Chief Digital Officer (CDO) Martina Klement an das Berliner Abgeordnetenhaus. Die Kosten für die Risikoreduzierung des Betriebs liegen Klement zufolge bei durchschnittlich 415 Prozent der ursprünglichen Betriebskosten des jeweiligen Verfahrens. Statusstress. Die Aufrechterhaltung des Status Quo wird irgendwann wirtschaftlich so stressig, dass Weglaufen finanziell eigentlich gar nicht mehr funktioniert.
Bei der Beschönigung des nicht mehr funktionierenden Status Quo hilft dann auch keine kreative Antwortfindung seitens der Verwaltung auf Anfragen mehr. Kreativ hervorgetan hat sich etwa das Bezirksamt Charlottenburg-Wilmersdorf bei der Definition von Mehrfaktor-Authentifizierung. Neben einem ersten Faktor „Wissen“, einem Passwort, sei in der Verwaltung ja auch ein zweiter Faktor „Besitz“ vorhanden, weil Computersysteme „nur in Dienstzimmern zu benutzen“ seien, die mit einem Schließsystem gesichert seien. Schwammig wird die Definition dann dadurch, dass dazu auch Privatwohnungen für die „Telearbeit“ gehören sollen.
Mit anerkannten Regeln der Informationssicherheit hat das zwar nichts zu tun, aber irgendwie muss der Status Quo aufrechterhalten werden können. Die Informationssicherheit ist dabei aber zumindest gedanklich in der Überwindung von Statusstress bereits einen Schritt weiter, in Teilen jedenfalls.
Novellierung des Computerstrafrechts
In der Informationssicherheit gibt es in Deutschland schon länger immer wieder Beispiele von Statusstress auf Basis des Computerstrafrechts. Nach der Gesetzgebung um den sogenannten Hackerparagrafen kann seit 2007 das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe gestellt werden. Auch wenn das erst einmal logisch klingt, führt dies in der Praxis von gutartigen, ethischen Hacker*innen immer wieder zu Problemen. Menschen also, die auf Sicherheitslücken hinweisen, ohne diese bösartig auszunutzen, damit diese geschlossen werden können und somit die Sicherheit steigt.
Da bereits die Vorbereitung von Hacks zu Strafen führen kann, kommt es durch den Hackerparagrafen zu absonderlichen Verurteilungen. Im Fall Modern Solutions etwa wurde ein gutartiger Hacker rechtskräftig verurteilt, weil er die entsprechende Firma darauf hinwies, dass ein Passwort unverschlüsselt in einer ausführbaren Datei einer Middleware-Software gespeichert war. Daraus erwuchs ein erhebliches Sicherheitsrisiko, weil mit diesem einen Passwort ein Zugriff auf die Daten aller Modern-Solutions-Kunden möglich war.
Allerdings findet im Kontext des Hackerparagrafen inzwischen ein Umdenken nach. In der letzten Legislatur wurde eine Novellierung des Computerstrafrechts im parlamentarischen Prozess zumindest begonnen, BSI-Präsidentin Claudia Plattner forderte im November eine rechtliche Absicherung von gutartigen Hacker*innen.
Wege zu einem stressfreien Leben
Es gibt also bereits erste Ansätze, besser mit Statusstress zurechtzukommen. Nur wird es in vielen Bereichen der Digitalisierung noch viele Anläufe eines besseren Umgangs mit Kritik und einer offenen Fehlerkultur brauchen, um im Moment der Kritik oder Fehlermeldung richtig mit dem aufkommenden Stress umzugehen. Oftmals ist es in den Momenten, in denen Statusstress entsteht, nämlich gar nicht so düster, wie Menschen oftmals meinen, die einen mangelhaften Status Quo verteidigen wollen.
Professoren wie David Zellhöfer schreiben keine mehr als 100-seitigen Gutachten, nur um stumpfe Kritik an Vorhaben wie dem Datenatlas zu äußern. Es geht auch in als harsch wahrgenommener Kritik um Impulse, Dinge besser zu machen. Das Infragestellen veralteter IT-Systeme in der Verwaltung und kritische Fragen zur IT-Sicherheit sind, auch wenn sie als hart empfunden werden, Fragen danach, wie unsere gemeinsame digitale öffentliche Daseinsvorsorge besser werden kann. Ethischen Hacker*innen, die sich Tage und Nächte Zeit nehmen, Sicherheitslücken in fremden Systemen zu finden und zu dokumentieren, geht es nicht ums Kaputtmachen, es geht darum, dass Systeme nicht von anderen, bösartigen Mächten angegriffen werden können.
Diese Erkenntnis ist oftmals nicht so einfach, sie ist aber der erste Schritt zu einem stressfreien digitalen Zusammenleben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die anlasslose Massenüberwachung der DNS-Anfragen aller Kunden von Vodafone ist vorerst abgewendet. Der Netzbetreiber wehrte sich dagegen erfolgreich mit einer Verfassungsbeschwerde. Klaus Landefeld von Branchenverband eco bewertet die Methode als „völlig ungeeignet“. Er hofft, dass sie dauerhaft verboten wird.
Ende November erging eine Eilentscheidung des Bundesverfassungsgerichts zu einer neuen Form der Massenüberwachung: Das Gericht stoppte einen Amtsgerichtsbeschluss, die einem Netzbetreiber das Mitprotokollieren von Billionen DNS-Anfragen vorgeschrieben hätte.
Das Amtsgericht Oldenburg hatte Vodafone zur Umsetzung von Überwachungsanordnungen verpflichtet, die monatlich sage und schreibe 12,96 Billionen DNS-Anfragen betroffen hätte. Der DNS-Server des Anbieters sollte überwacht werden, gestützt auf Paragraph 100a der Strafprozessordnung. Außerdem sollten die zur Identifizierung des Anschlussinhabers notwendigen Kundendaten mitgeliefert werden.
Doch der Telekommunikationskonzern wehrte sich und setzte sich nun vorerst durch. Die Vollziehung des amtsgerichtlichen Beschlusses ist für sechs Monate ausgesetzt, auch neue Anordnungen darf es nicht geben.
Das Bundesverfassungsgericht sieht „jedenfalls massenhafte Eingriffe“ in das Fernmeldegeheimnis der vierzig Millionen Vodafone-Kunden und erkennt Anhaltspunkte, dass die DNS-Massenüberwachung verfassungswidrig sein könnte. Viele völlig unverdächtige Kunden gerieten in die Überwachung und könnten sich nicht dagegen wehren. Denn die Überwachung findet heimlich statt, weswegen weder vorbeugender noch abwehrender Rechtsschutz möglich sei.
Wer ruft was auf?
Vodafone sollte DNS-Anfragen zu einem bestimmten Server abfangen, über den aber keine näheren Angaben bekannt sind. Das Domain Name System (DNS) übersetzt den Namen einer Website wie beispielsweise netzpolitik.org in Nummern (hier IPv4 144.76.255.209). Das könnte man mit den früher gebräuchlichen Telefonbüchern vergleichen. Allerdings wird nicht minutenlang gestöbert und geblättert, sondern die Namensauflösung wird in einem Bruchteil einer Sekunde geliefert.
Die Namensauflösung erfolgt technisch mehrstufig. Typisch ist heute die Server-assistierte iterative Form: Ein DNS-Stub-Resolver fragt den lokalen rekursiven DNS-Server, der die Anfrage (iterativ von der Wurzel abwärts) bis zum gesuchten Domain-Namen weiterleitet. Gebräuchliche DNS-Resolver und DNS-Server beschleunigen diese Namensauflösung dadurch, dass sie lokale DNS-Caches als Zwischenspeicher nutzen.
Zieht man den Vergleich mit dem Telefonbuch heran, dann wollten die Ermittler also eine Art Zielwahlüberwachung der gesamten Telefonie, um gezielt für eine vorgegebene Zieltelefonnummer herausfinden, wer alles diese Nummer angerufen hat.
13 Billionen DNS-Anfragen pro Monat mitprotokollieren
Vodafone gab dem Gericht die Anzahl von etwa fünf Millionen DNS-Server-Anfragen pro Sekunde im Anordnungszeitraum von einem Monat an. So errechnen sich die 12,96 Billionen DNS-Anfragen monatlich.
Massenüberwachung
Wir berichten unter dem Stichwort Massenüberwachung über Technologien, die dazu eingesetzt werden, massenhaft Daten über Menschen festzuhalten und auszuwerten. Unterstütze unsere Arbeit!
Um eine so große Anzahl für eine Überwachungsanordnung festzuhalten, müsste ein erheblicher Aufwand betrieben werden. Und je größer die eigene DNS-Infrastruktur des Netzbetreibers ist, desto aufwendiger wird es. Die Technik zur Protokollierung darf aber dabei die eigentliche Funktion, nämlich die schnelle Namensauflösung, nicht bremsen.
Das bedeutet einen großen organisatorischen und personellen Aufwand. Die DNS-Server-Systeme der Anbieter müssten sämtliche DNS-Anfragen aller Kundenanschlüsse daraufhin auswerten, ob diese einen bestimmten inkriminierten Server abfragen.
Klaus Landefeld, Vorstand des IT-Branchenverbandes eco, bewertet die Eilentscheidung des Bundesverfassungsgerichts positiv und hofft auf ein Ende der Überwachungsmethode: „Das war dringend notwendig, um diese neue Idee einer Schleppnetzfahndung im Internet zumindest vorübergehend, hoffentlich aber auch dauerhaft abzuwenden.“
Die Maßnahme sei „völlig ungeeignet“. Denn es müssten „faktisch alle Anbieter von DNS-Resolvern verpflichtet werden“. Doch selbst dann könnten diese Anbieter nur einen Teil der DNS-Anfragen ihren eigenen Kunden zuordnen, da diese auch Resolver von populären Drittanbietern wie etwa Google (8.8.8.8), Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9) nutzten. Und selbst wenn die Methode Erfolg hätte, wäre der immense Aufwand „mit Sicherheit dem Ergebnis nicht angemessen“ und rechtfertigte nicht die „anlasslose Massenüberwachung der DNS-Anfragen aller Kunden“, so Landefeld.
Es drängt sich die Frage auf, weswegen diese offensichtlich wenig geeignete Maßnahme von den Ermittlern überhaupt gefordert wird. „Ich halte es persönlich für einen verzweifelten Versuch, die mangelhafte oder derzeit überhaupt nicht vorhandene Möglichkeit der (Rück-)Auflösung von Carrier-NAT durch die vorgeschaltete DNS-Abfrage zu umgehen“, sagt Landefeld. Die Ermittler wollen demnach an private IP-Adressen gelangen, auch wenn dies für die Netzbetreiber einen außerordentlichen Aufwand bedeutet und Millionen Kunden betroffen wären. Denn der DNS-Server vom Anbieter sieht vielleicht die private IP-Adresse des Kunden und nicht nur die öffentliche IP-Adresse, die sich eben viele Kunden (Carrier-grade NAT) teilen.
Es gibt auch andere technische Methoden, um an die gesuchte private IP-Adresse zu kommen, die bei der Verhältnismäßigkeitsprüfung nicht schon auf der ersten Stufe scheitern. Das sieht auch das hohe Gericht so. Landefeld fielen ebenfalls Alternativen ein, die ohne anlasslose Massenüberwachung auskämen. Den Ermittlern waren aber offenbar keine anderen Methoden eingefallen.
Wer die gesuchten Verdächtigen sind, ist bisher nicht bekannt. Akteneinsicht hatte der Netzbetreiber von der Staatsanwaltschaft nicht bekommen. Aber schwerwiegende Verfehlungen können es nicht sein. Denn das Bundesverfassungsgericht schreibt, es sei „nicht ersichtlich, dass die hier konkret verfolgten Delikte besonders schwer wögen oder die Ermittlung des Sachverhalts mit anderen Ermittlungsmethoden nicht ebenso erfolgsversprechend sein könnte“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Friedrich Merz hat laut Medienrecherchen in hunderten Fällen mutmaßliche Beleidigungen strafrechtlich verfolgen lassen. Geht es dabei um die Bekämpfung von Hass im Netz oder schränken die Verfahren die freie Meinungsäußerung ein?
Bei Beleidigungen gegen seine Person reagiert Friedrich Merz äußerst dünnhäutig. (Archivbild) – Alle Rechte vorbehalten IMAGO / Bihlmayerfotografie
Bundeskanzler Friedrich Merz ist nicht gerade zimperlich, wenn es darum geht, Länder („ordentliches Stück Brot“), Städte („Belem“) oder ganze Bevölkerungsgruppen („kleine Paschas“ und „grüne und linke Spinner“) zu beleidigen. Wenn allerdings er selbst im Fokus steht, wird er offenbar schnell dünnhäutig.
Durch Recherchen verschiedener Medien kam nun heraus, dass Friedrich Merz seit 2021 – noch als Oppositionsführer der Union – zahlreiche Strafanträge wegen mutmaßlicher Beleidigungen gegen ihn gestellt hat. In mindestens zwei Fällen führten diese zu Hausdurchsuchungen.
Die Strafanträge sind laut den Recherchen anfangs auf Initiative von Merz entstanden. Seit Merz Kanzler ist, lässt er quasi von Amts wegen ermitteln, indem er den Ermittlungen nicht widerspricht. Die „Welt“ geht davon aus, dass Merz vor seiner Amtszeit als Unions-Chef Hunderte Strafanträge gestellt hat. Ein netzpolitik.org vorliegendes Dokument der Kanzlei Brockmeier, Faulhaber, Rudolph, die Merz in seiner Zeit als Bundestagsabgeordneter vertreten hat, mit fortlaufenden Fallnummern untermauert diese Schätzungen. Zwischen Mai und Dezember dieses Jahres sind laut Informationen des nd etwa 170 Strafanzeigen wegen Beleidigung gestellt worden.
Dass ohne die aktive Mithilfe von Friedrich Merz in seiner Funktion als Bundeskanzler ermittelt werden kann, ermöglicht Paragraf 188 des Strafgesetzbuches, der Amtsträger:innen und Politiker:innen bis in die kommunale Ebene hinein vor Beleidigungen schützen soll. Der Paragraf bietet – zusammen mit den Paragrafen 90 (Verunglimpfung des Bundespräsidenten) und Paragraf 90b (Verfassungsfeindliche Verunglimpfung von Verfassungsorganen) – quasi moderne Möglichkeiten, „Majestätsbeleidigungen“ zu ahnden. Im Gegensatz zum klassischen Beleidigungsparagraf 185 StGB können Staatsanwaltschaften beim Paragraf 188 StGB von Amts wegen ermitteln. Bei der klassischen Beleidigung braucht es einen Antrag der betroffenen Person.
Die mutmaßlichen Beleidigungen werden den Ermittlungsbehörden – und später dem Bundeskanzleramt – vermutlich überhaupt erst bekannt, weil die Infrastruktur von Hatespeech-Meldestellen diese auffindet und an die Bundesbehörde weiterleitet. Laut den Recherchen der Tageszeitung „Die Welt“ ist daran maßgeblich die dem hessischen Innenministerium unterstellte Meldestelle „Hessen gegen Hetze“ beteiligt. Sie übermittelt Meldungen an die Zentrale Meldestelle für strafbare Inhalte im Internet (ZMI), die beim Bundeskriminalamt (BKA) angesiedelt ist. 92 Prozent aller Paragraf-188-Meldungen, die das ZMI erhält, stammen von der hessischen Meldestelle. Andere Meldestellen wie „Respect!“ oder die Landesmedienanstalten seien laut nd in weit geringerem Umfang beteiligt. Insgesamt habe das ZMI nach Auskunft eines Sprechers in den ersten neun Monaten dieses Jahres 5155 gemeldete Fälle mit dem Straftatbestand des Paragrafen 188 StGB kategorisiert.
Personen, die schnell beleidigt sind, werden in Deutschland gerne als „beleidigte Leberwurst“ bezeichnet. (Symbolbild) - Alle Rechte vorbehalten IMAGO / Westend61
Spitzenpolitiker als Mandanten
Aber auch privatwirtschaftliche Dienste wie „So-Done“ haben bei der Verfolgung von Beleidigungen offenbar ihre Finger im Spiel. Laut Recherchen der Welt hat der Rechtsanwalt und FDP-Politiker Alexander Brockmeier die meisten der Strafanzeigen von Merz unterschrieben, die dieser während seiner Zeit als Bundestagsabgeordneter gestellt hat. Brockmeier hat die So Done GmbH zusammen mit seiner Parteikollegin Franziska Brandmann gegründet, eine Art Legal Tech Unternehmen, das Hate Speech verfolgt.
Laut Informationen der Welt haben neben Friedrich Merz in der Vergangenheit unter anderem Robert Habeck (Grüne), Julia Klöckner (CDU), NRW-Ministerpräsident Hendrik Wüst (CDU) und Bundesforschungsministerin Dorothee Bär (CSU) den Dienst in Anspruch genommen. Der Bundeskanzler nutze den Dienst mittlerweile nicht mehr.
„Werkzeug, um Leute aus dem Diskurs zu drängen“
Gleich acht Strafanträge von Friedrich Merz hat der Berliner Umwelt- und Klimaaktivist Tadzio Müller erhalten. Müller hatte Friedrich Merz auf Bluesky und Twitter mehrfach als Beispiel für seine Theorie der „Arschlochgesellschaft“ herangezogen und den Kanzler kontexualisierend wahlweise ein „schamloses“ oder „rassistisches Arschloch“ genannt.
Müllers Rechtsanwalt Jannik Rienhoff findet es laut dem nd falsch, wenn Merz Postings zur Anzeige bringen lässt, die einen klaren politischen Kontext haben. Da dürfe man viel sagen und das zu Recht. „Bei einer Formalbeleidigung würde ich es verstehen, allerdings könnte Merz auch darüber stehen“, so Rienhoff gegenüber dem nd. Den Paragrafen 188 StGB, der Ermittlungen auch ohne direkten Strafantrag des Bundeskanzlers ermöglicht, kritisiert der Anwalt dabei grundsätzlich. Dieser sorge unnötigerweise für hohe Kosten und für einen enormen Aufwand für Betroffene.
„Systematische Strafverfahren wegen Bagatellbeleidigungen“
Das sieht auch Tadzio Müller so. Er ist überzeugt, dass es bei den Anzeigen nicht um die Bekämpfung von Hass im Netz gehe, sondern dass sie eine neue Form von Cyber-Bullying darstellen: „Ressourcenstarke Akteure wie Merz haben mit diesen Verfahren ein weiteres Werkzeug in der Hand, um Leute aus dem Diskurs zu drängen.“
Es handle sich um ein Werkzeug, das nicht nur emotional, sondern auch ökonomisch schmerze: „Jede dieser Anzeigen produziert Anwaltskosten bei den Betroffenen“, so Müller gegenüber netzpolitik.org.
Ähnlich sieht das auch Eva Meier*, die erst im November Post vom Landeskriminalamt Hamburg wegen einer mutmaßlichen Beleidigung des Kanzlers erhalten hat: „Seine Bürgerinnen und Bürger systematisch mit Strafverfahren wegen Bagatellbeleidigungen zu überziehen, ist eines Kanzlers nicht würdig“, sagt sie gegenüber netzpolitik.org. „Das ist kein Vorgehen gegen Hass im Netz, sondern schränkt gezielt die freie Meinungsäußerung ein.“
*Der wahre Name ist der Redaktion bekannt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn Behörden nicht mehr benötigte Domains aufgeben, kann das zu Problemen führen: Die vormals staatlich genutzten Adressen sind attraktiv und lassen sich für Desinformation nutzen. Einheitliche Regeln für den Umgang mit den Domains hat der Bund nicht. Auch ein Überblick fehlt.
Im Hintergrund sind Domains, die Bundesinstitutionen nutzen. Aber was, wenn sie nicht mehr gebraucht werden? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Karten: Thilak Lees, Liste von Domain: https.jetzt
Wenn eine Behörde einen anderen Namen bekommt, verursacht das jede Menge Aufwand: Vom Hinweisschild bis zum Briefpapier müssen viele Details aktualisiert werden. Nicht zuletzt bekommen die Ämter dann meist auch eine neue Domain.
So lief es auch beim BAMF, dem Bundesamt für Migration und Flüchtlinge. Bis 2005 hieß die Asylbehörde noch Bundesamt für die Anerkennung ausländischer Flüchtlinge, kurz: BAFl. Der neue Name sollte widerspiegeln, dass das jetzige BAMF auch für Migration und Integration zuständig ist und sich seine Aufgaben erweitert hatten. Und so wechselte das Bundesamt auch die Adresse, unter der es im Netz erreichbar war.
Aus bafl.de wurde bamf.de. Noch einige Jahre nach der offiziellen Umbenennung, mindestens bis zum Jahr 2013, leitete die alte Domain Besucher:innen auf die neue BAMF-Seite weiter. Doch irgendwann stieß der Bund die nicht mehr benötigte Web-Adresse ab. Der neue Name hatte sich längst etabliert. Die alte Domain geriet in Vergessenheit.
Hartnäckige Altlasten
Wenn öffentliche Stellen Domains aufgeben, kann das zum Problem werden. Denn die alten Domains verschwinden nicht völlig. Nachrichtenmedien, wissenschaftliche Papiere oder Adresslisten von Vereinen und Verbänden verlinken auf die früheren Behörden-Websites, lange über deren aktive Nutzung hinaus. In Suchmaschinen sind sie leicht zu finden. Sie genießen Vertrauen.
Gerade diese Faktoren machen abgelegte Adressen staatlicher Stellen zum attraktiven Ziel für Aufmerksamkeitssuchende oder gar Betrüger. Unter den Domains früherer Behördenseiten finden sich heute Werbung für illegales Glücksspiel, Casinos und Schadsoftware. Und manchmal schaffen es staatliche Stellen auch nach mehreren Jahren nicht, alle Abhängigkeiten von den längst verlassenen Domains aus ihren Systemen zu entfernen.
Letzteres auch beim BAMF, das seit 20 Jahren nicht mehr BAFl heißt. Auf der alten Domain passierte lange nichts, bis sich ab August 2022 vorübergehend eine andere Website unter bafl.de fand.
Ein neues BAFl taucht auf
Die Website, die über Asyl informierte und sich angeblich für vertriebene Familien engagierte, wirkt eigenartig. Ein Impressum gab es nicht, die Bilder stammten teils aus kostenlosen Stockfoto-Datenbanken. Verlinkungen erschienen wahllos, aber nicht irreführend. Die Beschreibungen der vermeintlichen Teammitglieder, etwa Mike als „Praktikantin für digitales Eigenkapital“, irritieren. Eine seltsame, aber offenbar nicht schädliche Website.
Dieser Inhalt war zwischenzeitlich unter der Domain bafl.de zu finden. - Screenshot: archive.org
Im Sommer 2025 lief die Domainregistrierung erneut aus. Wer auch immer bafl.de zuvor kontrollierte, legte offenbar keinen Wert darauf, die Seite weiterzuführen. Der IT-Sicherheitsforscher Tim Philipp Schäfers nutzte diese Gelegenheit und holte sich Ende August die Domain bafl.de. Er wollte wissen, ob noch Aufrufe an die Domain gehen.
Aufrufe an längst vergangene Systeme
Zu Schäfers Überraschung gab es solche Aufrufe und zwar aus den Netzen von Bundesbehörden. Von dort erreichten täglich Anfragen bafl.de, das sich nun unter seiner Kontrolle befand. Schäfers meldete sich beim CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er vermutete, interne IT-Systeme könnten weiter automatisiert Signale an bafl.de senden, etwa durch eine Fehlkonfiguration. Das CERT ist eine Anlaufstelle, wenn es zu IT-Sicherheitsproblemen kommt. Das CERT antwortete ihm, die Meldung erhalten zu haben und sie an die zuständigen Stellen weiterzuleiten. Auf Anfrage von netzpolitik.org bestätigt ein Sprecher des BSI, „einen entsprechenden Hinweis binnen 24 Stunden an die zuständige Behörde weitergeleitet“ zu haben. Doch die Anfragen an Schäfers Domain hörten nicht auf, zwei Wochen später fragte Schäfers erneut nach.
Ende Oktober, einen Monat nach der ersten Meldung an das CERT, meldete sich nun das BAMF selbst zurück, bedankte sich für den Hinweis und beteuerte, der Sache nachgehen zu wollen. Man nahm die Sache offenbar ernst. Auch ein Sprecher des BAMF bestätigt das gegenüber netzpolitik.org:
Das BAMF teilt die Einschätzung des Sicherheitsforschers Herrn Schäfers, dass ein fortbestehender Verweis (Verwendung einer Domain außerhalb der Kontrolle der Behörde) auf ehemalige Domains ein Sicherheitsrisiko darstellt.
Die Aufrufe hören einfach nicht auf
Man könne Gefahren und Missbrauch dadurch begegnen, „dass keine Dienste mehr eine ehemalige Domain oder Sub-Domain wie bafl.de verwenden“, so der Sprecher weiter. Daher habe das BAMF „eine Löschung von bafl.de aus allen Konfigurationen durch ITZBund“ veranlasst. Das „Informationstechnikzentrum Bund“ ist zentraler IT-Dienstleister für die Bundesverwaltung und verwalte, so ein Sprecher der Asylbehörde, in der Regel Domains im Auftrag der jeweiligen Behörden.
Doch nach außen hin passierte nicht mehr viel. Selbst nach der Presseanfrage an das BAMF reißen die regelmäßigen Anfragen nicht ab. Seit September 2025 habe es tausende solcher Anfragen gegeben. „Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, schreibt Schäfers in seiner Analyse.
Was ist das Risiko, wenn ein Dienst aus den Netzen von Bundesbehörden offenbar wiederholt versucht, eine nicht mehr kontrollierte Domain zu erreichen? Schäfers sieht darin ein mehrstufiges Problem. Angreifende könnten versuchen, durch die beständigen Anfragen auszuforschen, wie die interne IT-Infrastruktur aufgebaut ist. Und wenn sie passende Antworten auf die Anfragen geschickt hätten, wäre es vielleicht sogar möglich gewesen, Systeme zu manipulieren.
Lieber reservieren als riskieren
Der Sicherheitsforscher sagt gegenüber netzpolitik.org: „Im Fall von bafl.de wurde die Domain über 10 Jahre aktiv genutzt und ist – offenbar bis zum heutigen Tage – tief in den IT-Systemen des BAMF verankert.“ Dass eine Domain einfach abgestoßen wird und somit für Dritte nutzbar ist, wenn in internen Systemen weiter Verweise auf die Adresse existieren, kann er nicht nachvollziehen: „Eine solche Domain sollte man erst dann freigeben, wenn man absolut sichergestellt hat, dass sie intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann.“ Auch ein Sprecher des BAMF schreibt: „Es ist erforderlich, nicht mehr genutzte Domains aus Sicherheitsgründen weiter zu registrieren.“ Passiert ist das bei bafl.de offenbar nicht.
Doch wenn Bundesbehörden Domains aufgeben, lauern darin nicht nur potenzielle Gefahren für die IT-Sicherheit der Systeme. Gerade wenn Domains mehrere Jahre von Behörden genutzt wurden oder zu bekannten Kampagnen gehörten, ergeben sich große Risiken für Desinformation, Phishing oder Betrug. Dass das kein theoretisches Szenario ist, zeigt die Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Donata Vogtschmidt.
Dort benennen mehrere Ministerien, dass vormals durch ihnen zugeordnete Behörden genutzte Domains mittlerweile von Dritten registriert wurden, die sie für unerwünschte Zwecke nutzen.
Wettanbieter statt Landwirtschaft
Ein Beispiel ist eine Website, die bis 2020 von der Fachagentur Nachwachsende Rohstoffe (FNR) für das Landwirtschaftsministerium betrieben wurde. Sie diente der Information über sogenannte Energiepflanzen, die beispielsweise für die Biogas-Produktion angebaut werden. Wer heute die Domain besucht, erhält auf den ersten Blick weiterhin Informationen über entsprechende Biomassenutzung, doch in den Webauftritt mischen sich Links zu Glücksspiel- und Wettanbietern.
Neben vermeintlichen Infos zu Energiepflanzen finden sich Links zu Online-Casinos. - Screenshot
„Aktuell verlinkt die Domain auf eine missbräuchliche abgewandelte Abbildung der damaligen FNR-Webseite“, schreibt die Bundesregierung dazu. „Hiergegen konnte bislang nicht erfolgreich vorgegangen werden“, heißt es weiter.
Das ist kein Einzelfall, auch das Bundesinstitut für Öffentliche Gesundheit (BIÖG) kämpft mit ungenutzten Domains. Besser bekannt ist die Behörde im Geschäftsbereich des Gesundheitsministeriums vermutlich noch unter ihrem alten Namen, bis Februar hieß sie Bundeszentrale für gesundheitliche Aufklärung und startete immer wieder reichweitenstarke Informationskampagnen, von Suchtprävention bis zur Verhütung sexuell übertragbarer Krankheiten.
Casino-Werbung statt Impf-Kampagne
Für viele dieser Kampagnen registrierte man eigene, einprägsame Domains und gestaltete bunte Websites. „Das Impfbuch“ etwa sollte in der Corona-Pandemie mit Beiträgen des populären Arztes und Fernsehmoderators Eckart von Hirschhausen die Bevölkerung zu Impfungen informieren. Mittlerweile lassen sich über die Domains Wettanbieter finden, die in Deutschland gesperrten Spieler:innen dennoch das Wetten erlauben. Dasselbe gilt für weitere drei Domains, die das BIÖG untersuchte: Sie „führen auf optisch und inhaltlich gleichartige Seiten, die möglicherweise illegale Inhalte zu Online-Glücksspiel enthalten“. Und zwei dieser Seiten geben vor, dass weiterhin die Bundeszentrale für gesundheitliche Aufklärung hinter den Inhalten stecke.
Hier gab es früher Impf-Informationen aus der Bundeszentrale für gesundheitliche Aufklärung. - Screenshot
Offenbar fielen die Seiten erst durch die Kleine Anfrage auf und wurden nun dem Justiziariat der Behörde „zur Prüfung rechtlicher Schritte gemeldet“.
Schadsoftware statt Kinderlieder
Eine andere der Seiten verteilt auch Schadsoftware. Sie gehörte zu einer Initiative, die vor 15 Jahren mit kindgerechten Liedern Themen wie Liebe, Körpererfahrungen und Sexualität aufbereiten wollte. Die heute zugehörige Seite werde „durch die Netze des Bundes (NdB) blockiert, da diese Domain offenbar auf eine Seite weiterleitet, die Schadcode verbreitet“, schreibt die Bundesregierung.
Außer dem Landwirtschafts- und dem Gesundheitsministerium hat kein anderes Ressort der Bundesregierung Domains gemeldet, die nach der eigenen Nutzung von Dritten und missbräuchlich genutzt würden. „Fehlanzeige“, heißt es in der Antwort. Diese Ergebnislosigkeit irritiert. Dass es hier tatsächlich keinerlei Funde gibt, ist nicht plausibel. Allein die eingangs genannte frühere BAMF-Domain bafl.de ist ein Beispiel aus dem Geschäftsbereich des Innenministeriums und war den entsprechenden Stellen zum Zeitpunkt der Anfrage bekannt.
Fragestellerin Donata Vogtschmidt, Obfrau im Digitalausschuss für die Linksfraktion und Sprecherin für Digitalpolitik, kann das nicht verstehen: „Das Totalversagen bei der Sicherung eines vertrauenswürdigen und resilienten Webauftritts der Bundesregierung ist äußerst irritierend“, so die Abgeordnete. „Es vergeht kaum ein Tag, an dem die Bundesregierung nicht vor der hybriden Bedrohung warnt, auch von höchster Stelle.“ Dafür gebe es auch immer wieder „großspurige“ Ankündigungen wie den Cyberdome oder mehr KI-Nutzung. „Aber einfach mal den Webauftritt des Bundes gegen Desinformation resilient machen, scheint keine Rolle zu spielen“, kritisiert Vogtschmidt die Prioritäten der Bundesregierung.
Um systematisch zu untersuchen, wie groß das Problem ist und ob böswillige Akteure gezielt alte Bundes-Domains kaufen, müsste man wissen, welche Domains es überhaupt gibt – und welche in den vergangenen Jahren aufgegeben wurden.
Welche Bundes-Domains es gibt, bleibt geheim
Doch wie viele Domains überhaupt in Bundeshand befinden und welche Kosten damit verbunden sind, will die Bundesregierung nicht offenlegen. Sie stuft ihre Antwort dazu als Verschlusssache ein und argumentiert, eine Liste könne die Sicherheit der Bundesrepublik Deutschland gefährden. Die Informationen seien geeignet, Systeme etwa mit DDOS-Attacken anzugreifen, sie also durch gezielte massenhafte Anfragen zu überlasten.
Die schiere Menge der Domains, die sich in Bundeshand befanden oder befinden, lässt sich aus punktuellen öffentlichen Angaben daher nur schätzen. So gab es vor rund zehn Jahren systematisch Informationsfreiheitsanfragen. Viele angefragte Stellen lehnten eine Beantwortung ab. Aus den Antworten lassen sich jedoch Größenordnungen erahnen. So hielt allein der Deutsche Wetterdienst im Jahr 2015 fast hundert verschiedene Domains, das Bundesverwaltungsamt 44 unterschiedliche Adressen und das damalige Bundesministerium für Arbeit und Soziales kam auf 295 Domains. Dieser kleine, eine Dekade alte Ausschnitt zeigt, dass es sich bezogen auf alle Bundesbehörden leicht um Tausende Domains handeln dürfte, die Inhalte staatlicher Stellen enthalten oder enthielten. Mehr als 600 listet ein Projekt von robbi5 auf Github.
Schäfers schreibt gegenüber netzpolitik.org, Geheimhaltung sei beim Umgang mit Domains der falsche Ansatz. Ausschließlich intern genutzte Domains müsse man nicht für die Allgemeinheit listen. Aber in der Regel seien viele Domains durch öffentliche Nutzung oder Archivseiten ohnehin sichtbar. „Gleichzeitig erschwert vollständige Geheimhaltung internes Inventar-Management, externe Transparenz und Sicherheitsforschung“, so der Sicherheitsforscher. „Aus meiner Sicht ist ein Geheimhaltungsansatz nicht mehr zeitgemäß und schadet eher, als das er hilft.“
Wer macht Regeln für die Registrierung?
Wesentlich effektiver als Geheimhaltung sei „ein gutes Lifecycle-Management, starke Authentifizierung und Monitoring, um Missbrauch zu verhindern“. Doch Regeln dazu, wie Bundesbehörden mit nicht mehr benötigten Domains umgehen sollten, scheint es trotz der Dimension staatlicher Domainverwaltung nicht zu geben. „Es sind keine entsprechenden Vorschriften bekannt“, schreibt die Bundesregierung in ihrer Antwort. Die Zuständigkeit dafür, etwa Desinformation durch die gezielte Registrierung von Domains zu unterbinden, liege bei der jeweiligen Behörde.
Auch das BSI antwortet auf Anfrage, dass innerhalb seines Zuständigkeitsbereiches entsprechende Vorschriften nicht bekannt seien. Das Bundesamt empfiehlt jedoch: „Aus Sicht des BSI besteht bei sogenannten Vertipper-Domains und vergleichbaren Fällen das Risiko eines Datenabflusses. Bei nachgewiesenem Missbrauch sollte daher die Übernahme der Domain durch die jeweilige Behörde verfolgt werden.“
Um das Problem der ständig wechselnden Domain-Inhaber zu vermeiden, könnten Bundesinstitutionen auch Subdomains von bund.de nutzen. So sind die Ministerien des Bundes in der Regel unter „kürzel.bund.de“ erreichbar, das Gesundheitsministerium also zum Beispiel unter bmg.bund.de. Auch andere Inhalte lassen sich als Unterseiten der Bundes-Domain ansteuern, so das Infektionsradar des Gesundheitsministeriums oder die Login-Seite zur BundID. So können Nutzende schnell erkennen, dass es sich um ein echtes staatliches Angebot handelt.
Damit auch Internetauftritte von Ländern und Kommunen besser als solche erkennbar sind, gibt es seit 2024 die „Digitale Dachmarke“ für Deutschland. Sie besteht aus vier Kennzeichnungselementen: einer Website-Kopfzeile, die eine Seite als „offizielle Website“ kennzeichnet, ein dedizierter Bundesadler mit dem Schriftzug „Bund Länder Kommunen“ als Bildwortmarke, ein einheitliches Designsystem sowie ein Domainname, der auf „gov.de“ endet. Nicht alle diese Elemente müssen gleichzeitig genutzt werden, sie sollen jedoch helfen, einen Vertrauensanker zu markieren. Um die Informationen auf den Seiten als verlässlich einzustufen oder auch bevor man sensible Daten dort eingibt.
gov.de soll Vertrauen schaffen
Noch befindet sich das Projekt, so die Bundesregierung, in der Pilotierung. Nur wenige Angebote nutzen die Möglichkeit, eine Subdomain von gov.de zu beziehen. Dazu gehören das Digital- und das Verteidigungsministerium sowie der IT-Planungsrat und die Föderale IT-Kooperation FITKO. Die Website des „Veteranentags 2025“ erreicht man ebenfalls so. Eine Subdomain, um die PIN des Personalausweises zurückzusetzen, ist unter „pin-ruecksetzbrief-bestellen.gov.de“ schon vergeben, auch wenn der Inhalt der Seite auf sich warten lässt. Ab 2026, heißt es in der Antwort, soll jedoch der breitere Roll-out des Vorhabens erfolgen.
Der Digitalpolitikerin Donata Vogtschmidt von den Linken geht das nicht schnell genug. „Die Umsetzung hinkt und ist keine Pflicht, was dem Zweck widerspricht“, schreibt sie in einer Pressemitteilung. „Wer Desinformation verbreiten will, hat leichtes Spiel, und der Bundesregierung scheint die Bedeutung der Domains des Bundes nicht klar zu sein.“
Andernorts ist die konsequente Nutzung von Subdomains für staatliche Angebote deutlich etablierter. In Österreich etwa sind viele öffentliche Angebot als Subdomain von gv.at abrufbar, wer diese wie nutzen darf, ist klar geregelt. Ähnlich ist es in Großbritannien mit „gov.uk“ und in vielen anderen Ländern. Für zurückliegende Registrierung ist das zwar keine Lösung. Aber für unzählige weitere Domains, die im Laufe von Infokampagnen, Namenswechseln oder neuen Behörden künftig nötig werden, könnte das viele Probleme von Anfang an vermeiden.
Korrektur: Es hieß irrtümlich, die Anfragen würden aus den Netzen des Bundes kommen, es handelt sich aber um Netze von Bundesbehörden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Militärische Abschirmdienst darf künftig deutlich mehr, hat der Bundestag mit einem neuen Geheimdienstgesetz beschlossen. Doch die Reform des kleinsten deutschen Geheimdienstes ist erst der Auftakt für weitere Änderungen am Geheimdienstrecht.
Martina Rosenberg ist die Präsidentin des MAD (Archivbild) – Alle Rechte vorbehalten IMAGO / Mike Schmidt
Es gibt ein neues Geheimdienstgesetz in Deutschland. Weitgehend geräuschlos beschloss am gestrigen Donnerstag der Bundestag das Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr. Es enthält auch ein völlig neues MAD-Gesetz für den Militärischen Abschirmdienst. Der Entwurf der Bundesregierung ging dabei mit wenigen Änderungen aus dem Verteidigungsausschuss durchs Parlament.
Damit bekommt der Militärgeheimdienst fortan deutlich mehr Befugnisse. Der MAD soll etwa künftig auch außerhalb von Militärgelände im Ausland operieren dürfen, eine Aufgabe, die bislang der BND übernahm. Fortan sollen beide Dienste sich bei ihren Aufgabenaufteilungen abstimmen.
Ein unfertiger Befugniskatalog
Der Katalog der sogenannten nachrichtendienstlichen Mittel, mit denen der Militärgeheimdienst seine Informationen sammeln darf, ist lang: von Observationen über den Einsatz von V-Personen off- und online bis zu verdeckten Eingriffen in IT-Systeme. Aber die Liste der Mittel im Gesetz ist nicht final, sondern kann durch Dienstvorschriften erweitert werden.
Dieses geplante Vorgehen sahen Sachverständige in einer Anhörung zum Gesetz teils kritisch, da es unter anderem durch Geheimhaltung entsprechender Dienstvorschriften eine öffentliche Kontrolle der Geheimdienstbefugnisse verhindert. Eine solche „Erweiterung im Verborgenen ist untunlich“, kritisierte beispielsweise Christian Sieh vom Deutschen BundeswehrVerband die nun beschlossene Änderung.
Den neuen Befugnissen gegenüber steht eine neue Kontrollinstanz: eine gerichtliche Überprüfung von besonders eingriffsintensiven Maßnahmen. Dafür soll in Zukunft das Amtsgericht Köln zuständig sein. Das stellt auf der einen Seite eine unabhängige richterliche Kontrolle dar, auf der anderen Seite birgt es jedoch die Gefahr, dass die Geheimdienstkontrolle zersplittert wird und keine der Kontrollinstanzen ein umfassendes Bild über die Gesamttätigkeiten des Dienstes hat.
Politischer und rechtlicher Anlass
Anlass für ein neues MAD-Gesetz war zum einen die geopolitische Lage. Deutschland sei für Russland „Zielfläche Nummer 1 in Europa“, sagte etwa die MAD-Präsidentin Martina Rosenberg. Da künftig 5.000 deutsche Soldat:innen an der NATO-Ostflanke in Litauen stationiert sein sollen, müsse der MAD mehr Möglichkeiten bekommen, unter anderem diese vor Spionage und Sabotage zu schützen.
Einen zweiten, zwingenden Anlass für eine grundlegende Gesetzesreform gaben mehrere Entscheidungen des Bundesverfassungsgerichts. Es forderte beispielsweise in Urteilen zu Landesverfassungsschutzgesetzen eine unabhängige Kontrolle bestimmter Geheimdienstmaßnahmen und konkrete Eingriffsschwellen bei Grundrechtseingriffen – Defizite, die sich gleichermaßen bei Bundesgeheimdiensten finden.
Dass das neue Gesetz den Vorgaben ausreichend gerecht wird, bezweifelt etwa die grüne Bundestagsabgeordnete Agnieszka Brugger. In ihrer Rede im Parlament mahnte sie an, dass Grundrechte im Spannungs- und Verteidigungsfall nach dem Gesetz nicht ausreichend geschützt seien. „Gerade wenn es um den absoluten Ernstfall für unsere Demokratie geht, zeigt sich, wie ernst wir es mit unserem Rechtsstaat nehmen“, so Brugger, die Mitglied für die Grünen im Verteidigungsausschuss ist. Auch die Bundesregierung könne kein Interesse daran haben, „dass in diesen ernsten Zeiten so ein Gesetz in Karlsruhe scheitert und wir wieder zurück auf Los sind“.
Weitere neue Geheimdienstgesetze werden folgen
Das neue MAD-Gesetz ist nur der Auftakt weitreichender Gesetzesänderungen im deutschen Geheimdienstrecht. Auch die Grundlagen von BND und Bundesverfassungsschutz sollen überarbeitet werden. Dass dies nicht gemeinsam passiert, um konsistente Regelungen zu schaffen, kritisierte etwa der grüne Bundestagsabgeordnete Konstantin von Notz zuvor gegenüber netzpolitik.org.
Seine Parteikollegin Brugger fragte zur Gesetzesverabschiedung im Plenum: „Wo sind denn die Gesetze für die anderen Dienste? Wo sind die längst überfälligen Reformen der Sicherstellungsgesetze?“ Sie bezeichnet es als „schlicht unverantwortlich“, wie viel Zeit die Bundesregierung hier verstreichen lasse.
Wie lange es dauert, bis auch die übrigen Geheimdienstgesetze neu beraten werden, ist bisher nicht bekannt. Nach Informationen des WDR soll es jedoch bereits seit November einen ersten Referentenentwurf für ein BND-Gesetz geben, mit einem deutlich größeren Umfang als dem der bisherigen Regelungen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Datenatlas soll die Bundesverwaltung effizienter machen. Ein wissenschaftliches Gutachten zeigt nun jedoch, dass er mitunter nicht einmal dem Stand der Technik aus dem Jahr 1986 entspricht. Anstatt den Gutachter zu konsultieren, erwägt die zuständige Bundesdruckerei „rechtliche Schritte“ gegen ihn.
Schwere Last: der Datenatlas der Bundesdruckerei (Symbolbild)
Die Verwaltung sollte wissen, was die Verwaltung weiß. Doch Informationen liegen mal diesem Ministerium, mal jener Behörde vor. Damit interne Daten innerhalb der Bundesverwaltung besser aufgefunden werden können, setzt die Bundesdruckerei seit dem Jahr 2022 das Projekt Datenatlas Bund um.
Der „souveräne Datenkatalog für die Bundesverwaltung“ soll erstmals ressortübergreifend Metadaten bereitstellen. Metadaten sind Daten über Daten, also Zusatzinformationen wie etwa das Erstellungsdatum, der Dateityp oder der Speicherort. Die Federführung für das Projekt hat das Bundesfinanzministerium, in den jeweiligen Ministerien sind die Datenlabore für den Atlas zuständig. Grundlage dafür bildet die Bundesdatenstrategie aus dem Jahr 2021.
Modern, digital souverän und KI-fähig soll der Datenatlas sein, schreibt die Bundesdruckerei auf ihrer Website. Doch diese Versprechen kann sie nicht einlösen, wie David Zellhöfer in einem wissenschaftlichen Gutachten schreibt, das er pro bono – also eigeninitiativ und unentgeltlich – verfasst hat. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zu Digitale Innovation in der öffentlichen Verwaltung.
Das Projekt basiert laut Gutachten auf proprietärer Software, greift wahrscheinlich nicht auf übliche Standards zurück und auch für die Einbindung von KI-Anwendungen sei es ungeeignet. Denn die Daten seien weder von verlässlicher Qualität noch maschinenlesbar. Damit falle der Datenatlas teilweise hinter den Stand der Technik von 1986 zurück, so Zellhöfers Resümee. „Aufgrund der eklatanten Mängel ist das Software-Entwicklungsprojekt Datenatlas mit sofortiger Wirkung zu stoppen“, so seine Empfehlung, „um nicht weitere Mittel in eine technisch und konzeptionell wenig überzeugende Lösung zu investieren, welche kaum den Stand der Technik erreicht.“
Die Reaktion der Bundesdruckerei auf das Gutachten fällt deutlich aus. Sie zieht die Seriosität Zellhöfers in Zweifel und erwägt, „nach eingehender Prüfung des Gutachtens“ rechtliche Schritte einzuleiten. Als wir David Zellhöfer davon in Kenntnis setzen, nimmt er das Gutachten vorübergehend offline, um die Vorwürfe selbst rechtlich prüfen zu lassen. Inzwischen ist das Gutachten wieder online abrufbar.
Großprojekt für datengetriebene Verwaltung
Der Titan Atlas schultert in der griechischen Mythologie den gesamten Kosmos. Der Datenatlas soll „nur“ die internen Daten der Bundesverwaltung schultern und es der öffentlichen Verwaltung erlauben, ressort- und behördenübergreifend Daten auszutauschen. Dafür nutzt und ergänzt das Projekt bestehende Verwaltungsdatenübersichten wie die Verwaltungsdaten-Informationsplattform (VIP) des Statistischen Bundesamtes, die Registerlandkarte des Bundesverwaltungsamtes oder das Metadatenportal GovData zu offenen Daten von Bund, Ländern und Kommunen.
Auf den Datenatlas kann standardmäßig nur die Bundesverwaltung zugreifen. Laut Bundesdruckerei seien inzwischen die Ressorts des Bundesfinanzministerium, des Bundesinnenministeriums und weitere an den Datenatlas angeschlossen. Nutzen können sie ihn im Intranet des Bundes. Dafür müssen sich die einzelnen Mitarbeiter:innen registrieren. Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft haben damit keinen Einblick in den Datenatlas, wie der Pressesprecher der Bundesdruckerei auf Anfrage unterstreicht.
Bislang hat der Datenatlas laut Zellhöfers Grobschätzung mindestens 2,3 Millionen Euro gekostet. Allerdings lägen die Kosten mutmaßlich deutlich darüber, wie anonyme Quellen Zellhöfer gegenüber sagten. Die tatsächlichen Kosten legt die Bundesdruckerei auf Anfrage von netzpolitik.org nicht offen.
Wie Technik aus dem vergangenen Jahrtausend
Das Stichwort „Stand der Technik“ taucht im Gutachten gut einhundert Mal auf. Ausführlich zeichnet Zellhöfer nach, welche Funktionen der Datenatlas aus informationswissenschaftlicher Sicht im Jahr 2025 haben sollte. Zellhöfer zufolge bleibt der Datenatlas weit hinter den Erwartungen zurück.
Titelwortabfrage im historischen digitalen Katalog der ETH Zürich (15.04.1986) - CC-BY-SA 4.0 ETH Zürich
Besonders deutliche Defizite weisen demnach die Anfragemöglichkeiten auf. So sollen Beschäftigte der Bundesverwaltung in der Datenbank gezielt Metadaten recherchieren können. Für diese Suche sind andernorts verschiedene Hilfsmittel üblich, etwa das Suchen mittels Boolscher Operatoren wie „UND“, „ODER“ oder „NICHT“. Ebenso gängig sind sogenannte Wildcards, Sonderzeichen wie das Sternchen- oder Fragezeichen-Symbol, die als Platzhalter für eine beliebige Zahl an Zeichen dienen.
Nutzer:innen kennen solche Möglichkeiten der gezielten Suche etwa von gewöhnlichen Internetsuchmaschinen. Der Datenatlas verfügt über diese Funktionen allerdings nicht. Damit biete er erheblich weniger Funktionen als vergleichbare Datenbanksysteme aus dem Jahr 1986, konstatiert Zellhöfer.
Gefangen in proprietärer Software
Auch dem Ziel der Bundesdatenstrategie werde der Datenatlas nicht gerecht, nämlich einen „Beitrag zur digitalen Souveränität Europas“ zu leisten.
Vielmehr mache sich die Bundesverwaltung vom IT-Dienstleister abhängig, den die Bundesdruckerei mit dem Projekt des Datenatlas beauftragt hat. Denn der Datenatlas baue auf proprietärer Software auf, obwohl verfügbare Open-Source-Lösungen nach informationswissenschaftlicher Expertise teilweise ausgereifter seien. Als Beispiele nennt Zellhöfer die Open-Source-Lösungen Fedora und Piveau.
Der Bundesdruckerei verpasse damit die Chance, verlässlicher zu wirtschaften. Denn die laufenden Kosten ließen sich mit einer Open-Source-Lösung besser kalkulieren. Auch die Gefahr eines sogenannten Vendor Lock-in ließen sich so vermeiden. Vendor Lock-in bezeichnet die starke Abhängigkeit von einem bestimmten Anbieter, bei der ein Wechsel zu einem anderen Anbieter nur mit unverhältnismäßig hohem Aufwand oder zu hohen Kosten möglich ist.
Es drohen weitere Datensilos
Die Gefahr der Abhängigkeit steige zusätzlich, wenn der Datenatlas keine gebrauchsüblichen Datenstandards oder Schnittstellen nutze. Stattdessen habe der beauftragte IT-Dienstleister auf eigene Entwicklungen zurückgegriffen.
Das aber erschwert es Nutzer:innen aus der Verwaltung, ihre eigenen Datensätze in den Datenatlas zu überführen, weil sie diese zuvor noch anpassen müssen. Und auch der Datenexport wird unnötig behindert, etwa für den Fall, dass Nutzer:innen das System wechseln wollen.
Würde der Einsatz des Datenatlas verpflichtend, „führte dies unmittelbar zu der Bildung eines weiteren, wenig interoperablen Datensilos“, warnt Zellhöfer in seinem Gutachten. Obendrein ein Silo mit Daten von minderer Qualität. Denn die Nutzer:innen können die Metadaten-Felder mit frei wählbaren Beschreibungen belegen. Das mache es zusätzlich kompliziert, einzelne Datensätze wiederzufinden, etwa wenn sich Rechtschreibfehler einschleichen.
Bundesdruckerei erwägt rechtliche Schritte
Auf unsere Anfrage an die Bundesdruckerei, wie sie die Ergebnisse des Gutachtens bewerte, ging die bundeseigene GmbH nicht ein. Stattdessen zweifelt sie in ihrer Antwort die Neutralität des Gutachters an. „Wir können aktuell nur mutmaßen, dass der Autor für sein Werk womöglich unseriöse Quellen benutzt haben könnte“, schreibt die Bundesdruckerei an netzpolitik.org, „und zudem einen unlauteren Zweck verfolgt: die Reputation unseres Unternehmens zu schädigen.“ Und sie kündigt an, gegebenenfalls rechtlich gegen das Gutachten vorzugehen: „Sollten sich nach eingehender Prüfung dieses ‚Gutachtens‘ unsere Mutmaßungen erhärten, werden wir die Einleitung rechtlicher Schritte erwägen“.
Als wir Zellhöfer über die Reaktion der Bundesdruckerei informierten, nimmt er sein Gutachten vorübergehend offline. „Ich war unmittelbar eingeschüchtert“, sagt er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“ Die Reaktion kann er sich nicht erklären. „Der Datenatlas ist ein Nischenthema“, sagt er, „das hätten sie auch einfach aussitzen können.“
„Wenn man es positiv sehen will, könnte der Datenatlas als Projekt eines Retro-Computing-Enthusiasten durchgehen“, sagt Zellhöfer. Aber vermutlich müsse man den Datenatlas in seiner jetzigen Form vielmehr als „einen zynischen Kommentar zur Verwaltungsmodernisierung“ sehen. „Super ist, dass sie methodisch sinnvoll eine Dateninventur gemacht haben.“
Weder das BMF noch das Bundesministerium für Digitales und Staatsmodernisierung wollten das Gutachten auf Anfrage bewerten. Das Bundesdigitalministerium soll die Federführung für den Datenatlas übernehmen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen kam es mehrfach zu Vorfällen, bei denen die Pressefreiheit eingeschränkt wurde. Betroffen waren Reporter:innen der taz und von freien Radiosendern.
In mehreren Fällen konnten Journalist:innen nicht so wie auf dem Bild aus nächster Nähe berichten. – Alle Rechte vorbehalten IMAGO / Moritz Schlenk
Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen ist es an mehreren Stellen zu Einschränkungen der Pressefreiheit, Behinderung der Arbeit von Pressevertretern und einem Angriff auf einen Journalisten gekommen. Während der Fall des Springer-Reporters Paul Ronzheimer, den Demonstrierende aggressiv bedrängten und beschimpften, vielfach berichtet wurde, bleiben Einschränkungen der Pressefreiheit durch Polizeibeamte bislang eher unterberichtet.
So berichtete unter anderem die taz, dass ein Reporter der Zeitung von der Polizei aktiv bei der Arbeit behindert wurde. In einem Video auf Bluesky sieht man, wie sich ein Polizist immer wieder vor den filmenden Reporter stellt und diesem die Sicht versperren will. Auch darf der Reporter nicht näher an die Sitzblockade und die Polizeimaßnahme heran. Eigentlich muss die Polizei die Arbeit der Presse unterstützen und diese auch an Absperrungen vorbei lassen.
Auch der Bundesverband Freier Radios beklagt in einer Pressemitteilung Einschränkungen der Pressefreiheit. Die freien Radiosender hatten in einer gemeinsamen Aktion live aus Gießen gesendet. Während der Proteste seien „fast alle Radioredakteur*innen in ihrer Pressearbeit behindert“ worden, heißt es in der Pressemitteilung.
Nicht durchgelassen
So hätten Einsatzkräfte Presseausweise und Auftragsbestätigungen ignoriert, den Zugang zu wesentlichen Orten des Geschehens erschwert oder gar verhindert. „Im Ergebnis war eine Berichterstattung von bestimmten polizeilichen Maßnahmen unmöglich“, so der Verband.
„Dass Journalist*innen durch die Polizei von der Berichterstattung über Räumungen von Sitzblockaden gehindert werden, ist eine massive Verletzung der Freiheit der Berichterstattung“, schreibt Aljoscha Hartmann aus dem Vorstand des Bundesverbandes Freier Radios. Der Verband berichtet, dass die Polizei einen Journalisten von Radio Corax aus Halle nicht in die Nähe der Räumung einer Sitzblockade gelassen habe – obwohl dieser eine Auftragsbestätigung seines Mediums dabei hatte.
Roman Kalex vom Vorstand des Bundesverbands Freier Radios fordert einen professionellen Umgang der Polizei mit der Presse und keine willkürlichen Einschränkungen. „Anders kann sich die Öffentlichkeit kein eigenes Bild machen über die Verhältnismäßigkeit von Polizeimaßnahmen und auch die Absichten und das Handeln von Demonstrierenden“, so Kalex weiter.
Einschränkungen erlebten auch die Journalist:innen, die aus den Messehallen über die AfD-Veranstaltung berichtet haben. Dort hatte die AfD den Pressebereich laut Ann-Katrin Müller aus dem Spiegel-Hauptstadtbüro mit Bändern eingezäunt, so dass sie sich nicht zwischen den Delegierten bewegen konnten. Ein Wachmann der rechtsradikalen Partei hätte die Journalistin zudem angemeckert, weil sie Fotos gemacht habe.
Korrektur 4.12.25: Aufgrund einer missverständlichen Formulierung der Pressemitteilung stand in einer früheren Version dieses Artikels, dass der Journalist von Radio Corax seinen Presseausweis und die Auftragsbestätigung der Redaktion gezeigt habe. Er hatte aber nur eine Auftragsbestätigung dabei und zeigte der Polizei auch sein Aufnahme-Equipment. Laut dem Bericht des Bundesverbandes der freien Radios hielt die Polizei das Equipment für „zu wenig“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die Bundesregierung will Deutschland zur „KI-Nation“ machen, die EU verfolgt eine „AI-First“-Mentalität. Eine Umfrage in mehreren europäischen Ländern zeigt nun, dass die Mehrheit der Befragten diesen Hype nicht mitträgt. Ihr bereitet vor allem der wachsende Strom- und Wasserverbrauch Sorge. Und sie wünscht sich eine strengere Regulierung.
Fossile Energien erfahren eine Renaissance – dank ressourcenhungriger KI. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Janusz Walczak
Ich öffne mein Bahn-Ticket. “Dieses Dokument scheint lang zu sein. Spare Zeit und lies eine Zusammenfassung”, empfiehlt mir prompt mein PDF-Reader. Ein Paradebeispiel dafür, wie immer mehr Anwendungen den Nutzer*innen KI-Tools aufdrängen, in den meisten Fällen, ohne dass sich ein Nutzen daraus ergibt.
Weltweit versuchen Regierungen und große IT-Firmen, sich im KI-Wettbewerb zu überbieten. Dabei benötigen die zugrunde liegenden Systeme immer mehr Rechenleistung, für die irgendwo Computer laufen müssen, die Strom und Wasser verbrauchen. Doch während das Thema Rechenzentren längst in der politischen Debatte und bei Fachleuten angekommen ist, wusste man bislang kaum etwas darüber, wie die Bevölkerung diese Entwicklung einschätzt.
Julian Bothe, Senior Policy Manager bei der gemeinnützigen NGO AlgorithmWatch - Alle Rechte vorbehalten AlgorithmWatch
Aus diesem Grund hat AlgorithmWatch in mehreren europäischen Ländern eine repräsentative Umfrage zu Rechenzentren und ihren Auswirkungen durchführen lassen. Gemeinsam mit internationalen Partnerorganisationen wie der spanischen Initiative Tu Nube Seca mi Rio, Friends of the Earth Ireland und der europäischen Klimaschutzallianz Beyond Fossil Fuels wurden Menschen in Deutschland, der Schweiz, Spanien, Irland und dem Vereinigen Königreich befragt.
Wunsch nach mehr Transparenz und mehr Regulierung
Die Ergebnisse sind überraschend deutlich: In allen beteiligten Ländern spricht sich jeweils eine große Mehrheit der Befragten für eine stärkere Regulierung und mehr Transparenz von Rechenzentren aus. In einigen Ländern ist die Zustimmung dabei besonders hoch, so zum Beispiel in Spanien und Irland. Dort ist der Wasser- beziehungsweise Stromverbrauch der KI- und Cloud-Fabriken schon länger Gegenstand öffentlicher Diskussionen und Proteste. Denn sowohl im grünen Irland als auch im trockenen Spanien wirken sich die Rechenzentren bereits spürbar auf Energiepreise und Wasserverfügbarkeit aus. In Spanien befürchten knapp 90 Prozent der Befragten, dass der Wasserverbrauch der Einrichtungen ihre eigene Versorgung beeinträchtigen könnten.
Auch beim Blick auf die Gesamtergebnisse sprechen die Zahlen eine eindeutige Sprache: Drei Viertel der Befragten aller Länder sorgen sich, dass der Wasserverbrauch die umliegenden Ökosysteme beeinträchtigen könnte. Fast genauso viele befürchten Auswirkungen auf den eigenen Wasserverbrauch und immerhin nahezu zwei Drittel denken, dass der Energieverbrauch von Rechenzentren bereits heute einen relevanten Anteil des Stromverbrauchs in den jeweiligen Ländern ausmacht.
Groß ist aber nicht nur der Anteil derer, die sich Sorgen machen, sondern auch die Unterstützung für politische Forderungen, die Betreiber stärker in die Verantwortung nehmen. Mehr als sieben von zehn Befragten wollen, dass der Bau neuer Rechenzentren nur dann erlaubt ist, wenn der zusätzliche Strombedarf durch zusätzliche Kapazitäten an erneuerbaren Energien gedeckt wird. Ebenso viele wollen klare Kriterien, nach denen Energie verteilt wird – wobei die Befragten Rechenzentren und KI-Modelle konsequent als unwichtig bewerten.
Bei der Verteilung der Energie sollten gemäß der Umfrage vor allem die Sektoren priorisiert werden, die erneuerbare Energien zur Umstellung auf eine klimafreundliche Produktion benötigen. Rechenzentren gehören nicht dazu – ihr Stromverbrauch entsteht ja gerade zusätzlich. Häufig werden diese aktuell direkt mit Strom aus fossilen Brennstoffen betrieben. Vielerorts werden sogar Gaskraftwerke neu errichtet, um den Bedarf zu decken. Aber selbst wenn neue Rechenzentren mit erneuerbaren Energien betrieben werden, wie es in Deutschland ab 2027 für größere Einrichtungen vorgeschrieben ist, fehlt ohne weiteren Ausbau diese Energie dann in anderen Sektoren und verlangsamt dort die Dekarbonisierung. Ob direkt oder indirekt: Der Strombedarf für Rechenzentren und KI-Anwendungen gefährdet die Klimaziele.
Verbräuche steigen an, verlässliche Zahlen fehlen
Der Blick auf die Zahlen zeigt: Die in der Umfrage deutlich werdenden Sorgen sind mehr als berechtigt. In Irland verbrauchen Rechenzentren mittlerweile 22 Prozent des gesamten Stroms und tragen erheblich zu den teils enormen Strompreissteigerungen bei. Auch in Deutschland entfallen aktuell mehr als vier Prozent des gesamten Stromverbrauchs auf Rechenzentren. Schätzungen zufolge sind es in Frankfurt am Main bereits jetzt 40 Prozent des Stromverbrauchs, in Dublin sogar 80 Prozent. In der gesamten EU sind es mehr als drei Prozent – Tendenz stark steigend.
Hinzu kommt das für die Kühlung benötigte Wasser: In Spanien werden die größten KI-Fabriken ausgerechnet in den trockensten Regionen gebaut. Auch in Deutschland könnte laut einer Studie der Gesellschaft für Informatik der Wasserverbrauch von Rechenzentren zu Problemen führen – beispielsweise im Rhein-Main-Gebiet und in Brandenburg.
Während die Politik und Betreiberunternehmen offensiv für einen starken Ausbau von Rechenzentren und KI-Infrastruktur werben, mehren sich die Proteste der lokalen Bevölkerung. In Deutschland konzentrieren sich diese bislang vor allem auf Frankfurt und Umgebung. In Irland oder Spanien, wo bereits länger protestiert wird, sind die Bürgerinitiativen weiter verbreitet und dauerhafter organisiert, beispielsweise in der Initiative Tu Nube Seca Mi Rio – “Deine Cloud trocknet meinen Fluss aus”.
Vielerorts ist die mangelnde Transparenz ein großes Problem. Selbst offizielle Stellen müssen größtenteils auf Schätzungen zurückgreifen, wie viel Wasser und Strom die Rechenzentren tatsächlich verbrauchen. Sind valide Daten vorhanden, bleiben diese meist geheim. Zwar sollen Betreiber größerer Rechenzentren die Verbräuche mittlerweile an nationale Stellen wie dem deutschen Energieeffizienzregister für Rechenzentren und die EU melden – aber auch diese Daten werden nur aggregiert veröffentlicht. Hinzu kommt der Unwillen der Betreiber, diese Informationen bereitzustellen. Ein aktueller Bericht der Europäischen Kommission schätzt für das Jahr 2024, dass nur gut ein Drittel aller Rechenzentren in der gesamten EU dies tun. Selbst die Gesamtzahl aller Rechenzentren kann sie dabei nur mutmaßen.
Ein ähnliches Bild zeigt sich auch in Deutschland
In der Bundesrepublik wird der Strom- und Wasserverbrauch von Rechenzentren erst in der jüngsten Zeit stärker thematisiert. Hier liegt der Anteil der Menschen, die sich Sorgen machen, noch etwas niedriger als in anderen europäischen Ländern. Die Betonung liegt hier auf dem „noch“, denn auch in Deutschland nimmt die Zahl der Rechenzentren stark zu – und soll nach dem Willen der Bundesregierung noch stärker wachsen.
Wie drastisch die Entwicklungen sind, zeigen beispielsweise die Zahlen der Bundesnetzagentur. Diese hatte erst vor kurzem die Schätzungen bezüglich des zukünftigen Stromverbrauchs stark nach oben korrigiert: Die im April 2025 veröffentlichten Szenarien gehen davon aus, dass bis zum Jahr 2037 Rechenzentren 78 bis 116 Terawattstunde (TWh) Strom verbrauchen – doppelt bis viermal so viel, wie es die ursprünglichen Abfragen ergeben hatten. Zur Einordnung: Der gesamte Bruttostromverbrauch lag in Deutschland im Jahr 2023 bei gut 550 TWh.
Da die Bundesnetzagentur nur die Rechenzentren berücksichtigt, die sich aktuell in der Planung befinden, könnten die tatsächlichen Zahlen sogar noch weiter ansteigen. Damit würde der Gesamtbedarf der Rechenzentren 2037 nicht nur bis zu 10 Prozent des deutschen Stromverbrauchs betragen. Der Zuwachs an Rechenzentren sorgt vor allem dafür, dass große Mengen Strom zusätzlich bereitgestellt werden müssen, dass fossile Kraftwerke länger laufen und dass wahrscheinlich auch die Strompreise steigen.
Angesichts dieser Zahlen überraschen die Umfrageergebnisse in Deutschland nicht: Auch hier unterstützen zwei Drittel der Befragten die Auflage, dass Rechenzentren nur gebaut werden dürfen, wenn dafür entsprechend auch weitere Kapazitäten erneuerbarer Energien geschaffen werden. Mehr als drei Viertel der Befragten fordern, dass Betreiber von Rechenzentren ihren Energieverbrauch (76 Prozent), ihre Energiequellen (77 Prozent) und ihre Umweltauswirkungen (81 Prozent) offenlegen.
Die Umfrageergebnisse offenbaren damit auch eine Kluft zwischen der Mehrheitsmeinung in der Bevölkerung und dem Kurs der Bundesregierung. Digitalminister Karsten Wildberger (CDU) hatte erst Ende September gegenüber der Süddeutschen Zeitung angegeben, dass es für ihn “erst einmal primär um das Rechnen” gehe und Nachhaltigkeit demgegenüber nachrangig sei. Die Mehrheit der Befragten sieht das offensichtlich anders.
Und noch eines wird deutlich: Es reicht nicht aus, nur etwas an der Effizienz zu schrauben oder die Nutzung der Abwärme zu optimieren. Angesichts der Größe des erwarteten Wachstums muss es auch darum gehen, den Verbrauch von Rechenzentren absolut zu begrenzen – und dort, wo er unvermeidbar ist, durch zusätzliche erneuerbare Energien zu decken.
Rechenzentren sind zweifelsfrei wichtige Infrastrukturen und werden in Zukunft weiter an Bedeutung gewinnen. Umso wichtiger ist es, diese Infrastruktur nachhaltig zu gestalten und die Fehler der Vergangenheit nicht zu wiederholen. Dazu gehört auch die Frage: Wie viele solcher Rechenzentren brauchen wir eigentlich? Welche der neuerdings überall eingebauten KI-Anwendungen haben einen gesellschaftlichen Nutzen – und welche nicht?
Wie auch in anderen Bereichen darf sich die Debatte um den nachhaltigen Einsatz von KI nicht in erster Linie auf der Ebene von individuellen Konsum- beziehungsweise Nutzungsentscheidungen abspielen. Es braucht vielmehr eine politische Diskussion und Regulierung.
Aktuell wird einem bei jeder noch so kleinen PDF-Datei eine algorithmische Zusammenfassung aufgedrängt, führt jede Google-Anfrage zum Aufruf von Sprachmodellen und soll auch die staatliche Verwaltung nach dem Willen der Bundesregierung an so vielen Stellen wie möglich KI-Systeme benutzen. Hier bringt es wenig, nur an das Individuum zu appellieren. Stattdessen braucht es politische Entscheidungen, die sowohl bei KI-Systemen als auch bei Rechenzentren die ökologischen Folgen mitdenken. Statt der „KI-Nation“, zu der sich Deutschland laut dem Koalitionsvertrag entwickeln soll, braucht es – wenn man schon von Nation sprechen will – eine „KI-sensible Nation“, die neben dem Nutzen auch die Nebenwirkungen und häufig leeren Versprechungen solcher Anwendungen im Auge behält.
Mein Bahnticket jedenfalls drucke ich mir weder aus, noch lasse ich es mir zusammenfassen. Gar nicht so selten ist der Nicht-Einsatz von KI nämlich ihr bester Einsatz.
Julian Bothe ist als Senior Policy Manager bei der gemeinnützigen NGO AlgorithmWatch verantwortlich für das Thema „KI und Klimaschutz“. An der Schnittstelle von Digital- und Energiepolitik arbeitet er daran, den Ressourcenverbrauch und den Klimaschaden des aktuellen KI-Booms in Grenzen zu halten. Promoviert hat er zur Akzeptanz der Energiewende.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Bundeskriminalamt hat vergangenes Jahr fast 548 Millionen Fluggastdaten erhalten und gerastert. Das geht aus einer Antwort der Bundesregierung hervor. Mittlerweile landen 90 Prozent aller Passagiere in Deutschland in Datenbanken bei der Polizei.
Wer fliegt wohin, wann und mit wem? All das leiten die Fluggesellschaften an das BKA weiter. – Alle Rechte vorbehalten IMAGO / Zoonar
Wer in letzter Zeit von oder in die EU geflogen ist, dessen Daten hat das Bundeskriminalamt mit hoher Wahrscheinlichkeit analysiert.
Die Daten von 153 Millionen Fluggästen haben die Fluggesellschaften im zurückliegenden Jahr an die Fluggastdatenzentralstelle im Bundeskriminalamt übermittelt. Insgesamt waren es 548 Millionen Datensätze. Das geht aus der Antwort der Bundesregierung auf eine Kleine Anfrage der Fraktion Die Linke hervor. Gegenüber dem Vorjahr sind es etwa 94 Millionen mehr Datensätze und 28 Millionen mehr betroffene Passagiere.
Das BKA gleicht die Daten der Flugreisenden automatisch mit polizeilichen Datenbanken ab und sucht nach Mustern, „um Personen zu identifizieren, die mit terroristischen Straftaten oder schwerer Kriminalität in Zusammenhang stehen könnten“, so die Website des BKA.
Die maschinelle Prüfung erzielte im vergangenen Jahr auf diese Weise über 200.000 Datensatztreffer und rund 6.800 Mustertreffer. Nach einer händischen Überprüfung haben BKA-Mitarbeitende nur rund 90.000 von ihnen als echt-positive Treffer bestätigt.
Im Vergleich zum Vorjahr waren es deutlich weniger automatische Treffer. Dennoch konnten die Fahnder*innen nach ihrer Überprüfung mehr Treffer bestätigen als vergangenes Jahr.
Aus diesen Treffern ergaben sich wiederum lediglich 10.426 polizeiliche Maßnahmen, wenn beispielsweise die angetroffenen Flugreisenden mit den gesuchten Personen tatsächlich übereinstimmten. In ungefähr einem Fünftel der Fälle ging es um Aufenthaltsermittlungen. Mehr als 1.500 Menschen wurden festgenommen. Am häufigsten haben die Beamt*innen die angetroffenen Fluggäste durchsucht.
Damit geht die Tendenz der letzten Jahre weiter: Die Menge der erfassten und übermittelten Daten wächst, ohne dass sich damit mehr Treffer erzielen lassen. Der Anteil der für die Grenzbehörden interessanten Personen an allen betroffenen Fluggästen ist und bleibt verschwindend gering.
Immer mehr Datenflut
Nicht nur wächst die Menge der erfassten Daten, der Anteil der betroffenen Passagiere am gesamten Flugaufkommen in Deutschland ist auch größer geworden. Aktuell sind es ungefähr 90 Prozent aller Flugreisenden, deren Daten das BKA verarbeitet (Stand August 2025). Das ist die überwältigende Mehrheit. Im vergangenen Jahr waren es noch 72 Prozent.
Denn immer mehr Luftfahrtunternehmen übermitteln die Daten ihrer Fluggäste an die Fluggastdatenzentralstelle. Aktuell sind es 391 Unternehmen, die an das Fluggastdateninformationssystem angeschlossen sind. Das sind 160 mehr als im Vorjahr. Welche und wie viele Unternehmen an das System noch angebunden werden müssen, wollte die Bundesregierung nicht beantworten.
Zugelassen waren im vergangenen 1710 ausländische und 101 deutsche Fluggesellschaften, so das Luftfahrt-Bundesamt.
Begehrte Daten
Beim Fluggastdatensatz handelt es sich um Daten, die bei der Buchung des Fluges anfallen. Dazu gehören der Name, Telefonnummer und E-Mail-Adresse, alle Arten von Zahlungsinformationen einschließlich der Rechnungsanschrift sowie Informationen zum Gepäck, zum Tarif, zur Zahlungsweise und zu Mitreisenden. Auch Angaben zum Reisebüro und zur Sachbearbeiter*in sind enthalten.
Die Fluglinien sind gesetzlich verpflichtet, die Daten aller Flüge über EU-Außengrenzen sowie für ausgewählte Strecken innerhalb der EU an die Fluggastdatenzentralstelle weiterzugeben und tun dies in Deutschland seit 2018.
Als wesentlich stichhaltiger gelten die sogenannten API-Daten (Advance Passenger Information-Daten), die über den normalen Geschäftsverlauf hinausgehen und viel detailliertere Informationen enthalten: neben der Flugverbindung sind es Daten aus den mitgeführten Identitätsdokumenten, unter anderem Ausstellungsland und Ablaufdatum des Dokuments, Staatsangehörigkeit, Familienname, Vorname, Geschlecht sowie Geburtsdatum. Da EU-Gesetzgebende diese Daten als „verifiziert“ betrachten, müssen die Fluggesellschaften nun auch sie in Kombination mit den Fluggastdatensätzen erheben und an Behörden übermitteln. Anfang dieses Jahres sind zwei EU-Verordnungen dazu in Kraft getreten.
Die EU richtet dafür einen zentralen Router ein, von dem aus die Daten an die zuständigen Behörden in jeweiligen EU-Ländern übermittelt werden. Fluggesellschaften müssen ihre automatisierten Systeme daran anschließen.
Bisher erhoben die Flugunternehmen diese Daten in unterschiedlicher Tiefe und auch nicht in einem standardisierten Format. An Behörden mussten sie vorab nur „etwaige erhobene“ API-Daten weiterleiten, weitere Vorschriften fehlten bis dahin.
Neues Bundespolizeigesetz
Seit 2008 fordert auch die Bundespolizei API-Daten zu bestimmten Flügen an, um sie vor Eintreffen des Fliegers zu prüfen. Im Zuge des neuen Bundespolizeigesetzes soll diese Einschränkung auf ausgesuchte Flüge entfallen. Im Gesetzesentwurf heißt es, dass nun die API-Daten aller Flüge über EU-Außengrenzen von und nach Deutschland an die Bundespolizei übermittelt werden müssen.
Wer also beispielsweise aus Großbritannien nach Deutschland fliegt, deren Daten landen sowohl bei der Fluggastdatenzentralstelle des BKA als auch bei der Bundespolizei, noch bevor man das Flugzeug betreten hat.
Von der anlasslosen Flugdatenspeicherung sind nicht alle Flugreisenden betroffen. Privatflüge sind vom Anwendungsbereich des Fluggastdatengesetzes nicht erfasst und fliegen unter dem BKA-Radar. Diese Behörde wertet die Daten aller anderen Passagiere nicht nur aus, sondern speichert sie für ein halbes Jahr. Verifizierte und ausgeleitete Treffer können auch bis zu fünf Jahre lang gespeichert werden.
Hinweis: In der alten Version war die Löschfrist nach dem alten Stand angegeben. Wie die Bundesregierung in der Antwort auf die Kleine Anfrage der Partei Die Linke im Jahr 2024 mitteilte, werden die Datensätze gemäß der Rechtsprechung des Europäischen Gerichtshofes nach einem halben Jahr automatisch gelöscht.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Internationale Gerichtshof will sich von Microsoft unabhängig machen und schwenkt auf openDesk um, die Open-Source-Bürosoftware des Zentrums für Digitale Souveränität. Die Bundesregierung könnte sich daran ein Beispiel nehmen. Denn während openDesk bei europäischen Nachbarn gefragt ist, fremdelt die Bundesverwaltung noch immer damit.
Karim Khan, Chefankläger beim Internationalen Strafgerichtshof, will sich mit seiner Organisation von Microsoft unabhängig machen. – Alle Rechte vorbehalten Karim Khan: IMAGO/UPI Photo; Bearbeitung: netzpolitik.org
Der Internationale Strafgerichtshof (IStGH) will Microsoft-Anwendungen aus seiner Verwaltung verbannen und stattdessen die Open-Source-Lösung openDesk nutzen. Entwickelt hat diese das Zentrum für Digitale Souveränität (ZenDiS) in Deutschland, eine GmbH des Bundes, die 2022 auf Initiative des Bundesinnenministeriums gegründet wurde.
Die Entscheidung des IStGH hängt laut einem Bericht des Handelsblatts mit einem Vorfall im Mai zusammen. Damals konnte der Chefankläger Karim Khan nicht mehr auf sein E-Mail-Postfach zugreifen, das Microsoft bereitstellte. Microsoft-Präsident Brad Smith widersprach daraufhin Anschuldigungen, wonach der US-Konzern Dienstleistungen für den IStGH eingestellt oder ausgesetzt habe.
Wenige Wochen zuvor, im Februar dieses Jahres, hatte US-Präsident Donald Trump US-Sanktionen gegen Khan erlassen. Hintergrund sind Haftbefehle gegen den israelischen Premierminister Benjamin Netanjahu und dessen früheren Verteidigungsminister Joaw Gallant, die der Gerichtshof beantragt hatte.
EU-Initiative für öffentlich genutzte Software
Die Entscheidung des IStGH wirft ein Licht auf ein seit Jahrzehnten bestehendes Problem: die Abhängigkeit der digitalen öffentlichen Infrastruktur von IT-Konzernen wie Microsoft, Oracle, Google und Amazon. Vor allem Microsofts Bürosoftware ist für Behörden meist die erste Wahl: Outlook für E-Mails, Teams für Videokonferenzen und Word als Schreibprogramm.
Um der Dominanz von Microsoft-Produkten vor allem in öffentlichen Behörden etwas entgegenzusetzen, arbeiten Frankreich, die Niederlande, Italien und Deutschland schon länger zusammen. Sie wollen europäische IT-Lösungen als Teil einer gemeinsamen IT-Infrastruktur mit offenen Standards fördern. Am Mittwoch bestätigte die EU-Kommission die Gründung eines „Digital Commons European Digital Infrastructure Consortium“ (EDIC), mit dem die Partnerländer in digitale Gemeingüter investieren wollen.
In Deutschland arbeiten die Sovereign Tech Agency und das ZenDiS an diesem Ziel. Auch die Bundesregierung unterstützt die Initiative. Thomas Jarzombek, Staatssekretär beim Bundesminister für Digitales und Staatsmodernisierung, begrüßte die Entscheidung der Kommission: „Wir fördern offene Technologien und bauen eine gemeinsame digitale Infrastruktur.“ Nicht nur die an dem Konsortium beteiligten Länder sind von openDesk überzeugt. Auch die Schweiz, Tschechien und weitere EU-Nachbarn haben Interesse geäußert.
Bundesregierung hält sich zurück
Die Bundesregierung selbst setzt openDesk bislang kaum ein. Dabei ist gerade die Bundesverwaltung stark von Microsoft-Anwendungen abhängig. Dass der IStGH nun openDesk nutzt, könnte dies ändern. Zumindest zeige der Fall, dass es Lösungen gibt, sagt Sonja Lemke, Sprecherin für Digitale Verwaltung und Open Government der Bundestagsfraktion Die Linke. Sie fordert die Bundesregierung dazu auf, die eigene Verwaltung konsequent flächendeckend auf openDesk umzustellen.
Gleichzeitig mahnt Lemke an, endlich den Beitritt der Länder zum ZenDiS zu ermöglichen. Damit könnten auch die Landes- und kommunalen Verwaltungen openDesk nutzen. Bislang hat der Bund eine Länderbeteiligung nicht zugelassen, obwohl Schleswig-Holstein, Berlin und Thüringen schon im September 2022 Beitrittsgesuche gestellt hatten.
Am Ende würde die Verwaltung auch viel Geld für Lizenzkosten sparen, so Lemke. „Das Auftragsvolumen für das bundeseigene ZenDiS bewegt sich im einstelligen Millionenbereich.“ Für Microsoft-Lizenzen zahlen allein der Deutsche Bundestag sowie sämtliche Ministerien jährlich rund 200 Millionen Euro.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Manipulatives Design im Netz ist seit langer Zeit ein Problem. Mit dem geplanten Digital Fairness Act will die EU-Kommission gegen solche Tricks vorgehen. Verbraucherschützer:innen, Forscher:innen und Regulierungsbehörden fordern einen grundlegenden Ansatz.
Manipulation im Internet ist weit verbreitet – und ein einträgliches Geschäft. – Alle Rechte vorbehalten IMAGO / Zoonar
Weite Teile des Internets, insbesondere wenn es um Geld geht, sind fein säuberlich gestaltet. Nicht nur von Techniker:innen oder Grafiker:innen, sondern vor allem von Psycholog:innen. Die Tech-Branche beschäftigt Heerschaaren speziell ausgebildeter Leute, die genau wissen, wie das menschliche Unterbewusstsein tickt – und wie es sich in Geld verwandeln lässt.
Oft setzen sie dabei auf manipulatives Design, auch bekannt als Dark Patterns. Sie sind seit langem Methode, durchziehen viele Online-Dienste und sollen Nutzer:innen beeinflussen: Der Zähler, der zum schnellen Kauf eines angeblich billigeren Flugtickets animieren soll; die verwirrend gestaltete Cookie-Abfrage, die im frustrierten Akzeptieren aller Partnerangebote endet; endloses Scrollen und automatisch abspielende Videos, um Nutzer:innen möglichst lange auf der Plattform zu halten.
Verantwortung nicht auf Nutzer:innen abwälzen
Solchen systemischen Problem will die EU im kommenden Jahr mit einem eigenen Gesetz begegnen, dem Digital Fairness Act. Es soll die Lücken schließen, die andere Gesetze offenlassen, etwa das Gesetz über digitale Dienste (DSA) oder sonstige Regeln zum Verbraucherschutz.
Über 4.000 Stellungnahmen sind dabei bei der EU-Kommission eingegangen. Einer der Ausgangspunkte war ein „Fitness Check“ der Kommission aus dem Vorjahr. In dem Bericht hat sie potenzielle Lücken bestehender Gesetze im Digitalbereich untersucht und dabei Nachholbedarf festgestellt. Sonst drohe, dass die digitale Wirtschaft das EU-Verbraucherschutzrecht aushöhlt. Bereits jetzt soll sich der Schaden auf mindestens acht Milliarden Euro pro Jahr belaufen, schätzt die Kommission.
„Grundlegende Neujustierung“ gefordert
Mit der Materie vertraute Organisationen teilen diese Sicht. So stelle die zunehmende Digitalisierung sowohl die Wirksamkeit des europäischen Verbraucherrechts als auch das Vertrauen, das für ein faires Miteinander auf Märkten notwendig sei, auf eine „harte Probe“. Das schreibt der Verbraucherzentrale Bundesverband (vzbv) in einem ausführlichen Positionspapier zum geplanten Digitalgesetz. Entsprechend sei es mit kleinen Anpassungen nicht getan. Nötig sei eine „grundlegende Neujustierung des europäischen Verbraucherrechts“, mahnt der vzbv.
Zum einen soll das mit dem Verbot oder der Einschränkung einzelner manipulativer Praktiken gelingen, etwa mit einem Verbot von „domain- und geräteübergreifendem Tracking“. Auch das „Zusammenführen gesammelter Daten in Profilen zu Werbezwecken“ solle verboten werden. Bei personalisierten Angeboten oder Preisen sei mindestens mehr Transparenz notwendig, so die Verbraucherschützer:innen.
Darüber hinaus brauche es aber eine „Generalklausel für digitale Fairness by Design und by Default auf allen verbraucherrelevanten Online-Schnittstellen wie Webseiten oder Apps“, argumentiert der Verband. Vor allem im digitalen Bereich seien Unternehmen gegenüber Nutzer:innen „ganz überwiegend im Vorteil“. Mit Hilfe von Tracking und Big Data könnten Algorithmen unser Verhalten analysieren, unsere Vorlieben berechnen und Kaufimpulse anreizen, die gegen die eigenen Interessen gehen können, heißt es im Positionspapier.
Betrugsversuche im Netz steigen an
Für einen „holistischen Ansatz“ wirbt auch BEREC, der Dachverband europäischer Regulierungsstellen für Telekommunikation. Die Behörde hat in den vergangenen Jahren diverse Aspekte der digitalen Ökonomie untersucht. Neben der zunehmenden Nachfrage nach breitbandigen und vor allem mobilen Internetverbindungen sei demnach ein „signifikanter Anstieg betrügerischen Datenverkehrs und Betrugsversuche“ zu beobachten, schreibt BEREC über die aus seiner Sicht wichtigsten Entwicklungen der jüngeren Vergangenheit.
Dieser Trend dürfte sich fortsetzen. Bei der Behebung von Schutzlücken müsse die EU jedoch sorgsam vorgehen, fordert der Dachverband. Neben horizontalen, für alle Anbieter geltenden Regeln zum Verbraucherschutz stünden sektorspezifische Vorschriften, die weiter ihre Berechtigung hätten. Neue Regeln müssten deshalb „komplementär“ ausgestaltet sein und eine Doppelung oder gar Konflikte mit bestehenden Gesetzen vermeiden.
Dies dürfte im Interesse der EU-Kommission sein. Die hat sich für die laufende Regierungsperiode einen drastischen Abbau von Bürokratie und generell Deregulierung vorgenommen, um die europäische Wirtschaft anzukurbeln. Eine florierende Ökonomie und Verbraucherschutz gehen aus Sicht von BEREC allerdings Hand in Hand. Demnach könnten auf Online-Dienste ausgerichtete, „klare, vorhersehbare und durchsetzbare Rechte“ Vertrauen fördern, und damit auch „Wettbewerb und Innovation“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Regierung will die Geheimdienstgesetze grundlegend erneuern. Los geht es mit einer neuen Rechtsgrundlage für den Militärischen Abschirmdienst. Der Entwurf auf dem Verteidigungsministerium würde dem bislang kleinsten Geheimdienst des Bundes deutlich mehr erlauben.
Der MAD soll eine neue gesetzliche Grundlage bekommen. – Alle Rechte vorbehalten Schild: IMAGO / Panama Pictures, Paragrafen: Pixabay / geralt, Bearbeitung: netzpolitik.org
5.000 Soldat:innen aus Deutschland sollen bis 2027 in Litauen stationiert sein. Ihre Aufgabe: Die NATO-Ostflanke in dem baltischen Staat schützen. Schon heute sind rund 400 Bundeswehr-Angehörige vor Ort im Baltikum, kürzlich hat in Vilnius eine deutsche Schule eröffnet. Gemeinsam mit der Panzerbrigade 45 ziehen auch deutsche Spione in das Gebiet. Sie gehören zum MAD, dem Militärischen Abschirmdienst. Der deutsche Militärgeheimdienst ist beispielsweise dafür zuständig, Spionage und Sabotage gegen die Bundeswehr abzuwehren oder auch Sicherheitsüberprüfungen bei Armeepersonal zu übernehmen. Doch künftig sollen die militärischen Spione noch viel mehr dürfen.
Das steht im „Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr“, einem Entwurf aus dem Verteidigungsministerium von Boris Pistorius (SPD). Hinter dem unscheinbaren Titel verbergen sich weitreichende Änderungen im deutschen Geheimdienstrecht. Das mehr als 100 Seiten starke Papier beinhaltet ein völlig neu geschriebenes MAD-Gesetz. Und es ist erst der Auftakt weiterer Geheimdienstreformen, die Schwarz-Rot in dieser Legislatur noch vorhat.
Die Bundeswehr in Litauen sei Angriffspunkt für Spionage und Sabotage, warnte die Präsidentin des MAD Martina Rosenberg bei einer Anhörung der Geheimdienstchefs im deutschen Bundestag. Deutschland sei für Russland „Zielfläche Nummer eins in Europa“. Verbunden mit ihrer Warnung war die dringliche Forderung an die Parlamentarier:innen für mehr Befugnisse und Budget. Und den Dank, dass dies bereits auf den Weg gebracht wurde, „um so hoffentlich zeitnah mit gut ausgestatteten Behörden den vielfältigen Herausforderungen gestärkt entgegentreten zu können“.
Die Geheimdienstchefin hat viele Gründe, dankbar zu sein. Ihr Dienst soll mit dem geplanten MAD-Gesetz weit mehr Kompetenzen bekommen, sowohl im analogen als auch digitalen Bereich. Vieles soll auf einer Ebene unterhalb des Gesetzes konkretisiert werden und entzieht sich so der Öffentlichkeit. Fachleute warnen vor möglichen Kontrolllücken und fordern, dass es eine Geheimdienstreform für alle drei bundesdeutschen Dienste zusammen braucht.
MAD wird zum Verfassungsschutz
Im neuen Gesetz wird der MAD als „Verfassungsschutzbehörde und abschirmender Nachrichtendienst der Bundeswehr“ bezeichnet und damit als eine weitere Verfassungsschutzbehörde neben dem Bundes- und den Landesverfassungsschutzämtern platziert. Doch vergleichbar sind die Einrichtungen nicht, das merkt die Bundesregierung auch in der Gesetzesbegründung an. Der MAD zeichne sich „durch eine Vielzahl an Unterschieden zu den zivilen Verfassungsschutzbehörden aus“. Künftig wird es einen weiteren großen Unterschied bei den Befugnissen im Ausland geben. Eine der deutlichen Ausweitung betrifft nämlich die Frage, wo der MAD aktiv sein darf.
Bislang operiert der Militärgeheimdienst vor allem im Inland sowie in ausländischen Kasernen, in denen deutsche Soldat:innen stationiert sind. Doch er soll bald auch außerhalb der Militärgelände im Ausland agieren dürfen.
Alles ist eine Information
In der Begründung zum Gesetzentwurf heißt es, der MAD bearbeite „Sachverhalte im Ausland, die die Sicherheit der Bundeswehrangehörigen im Einsatz beeinträchtigen könnten“ und sammle dafür Informationen. Wobei Informationen für den Geheimdienst ein breites Feld sind:
Der Begriff Informationen ist als Oberbegriff für alle sach- und personenbezogenen Auskünfte, Nachrichten und Unterlagen sowie sonstigen Daten zu verstehen, die irgendeinen für die Aufgabenerfüllung des Militärischen Abschirmdienstes bedeutsamen Aussagegehalt haben oder haben können.
Derartige Gummi-Formulierungen kommen öfter in Geheimdienst-Gesetzen vor. So steht im BND-Gesetz als zentrale Aufgabe des Auslandsgeheimdienstes, Erkenntnisse „von außen- und sicherheitspolitischer Bedeutung“ zu sammeln.
Im Fall des MAD bedeutet das Informationsverständnis, dass der Militärgeheimdienst im Ausland künftig entsprechend der Regelungen etwa Telekommunikation überwachen, V-Personen einsetzen oder Ziele observieren darf. Was an dem Befugnisaufwuchs verwundert: Bislang war vor allem der BND als dedizierter Auslandsgeheimdienst dafür zuständig. Er sammelte bei Auslandseinsätzen der Bundeswehr Erkenntnisse, die dafür entsprechend relevant waren. Und der BND behält diese Befugnisse auch weiterhin. Doch wie will die Bundesregierung verhindern, dass sich die beiden Geheimdienstbehörden ins Gehege kommen oder doppelt arbeiten?
Informelle Aufteilung von Aufgaben
Das Gesetz – geht es nach der Bundesregierung – soll das nicht regeln. MAD und BND sollen die Aufteilung auf einer informelleren Ebene klären. Der MAD nehme seine Aufgaben „im Einvernehmen mit dem Bundesnachrichtendienst“ wahr, heißt es gleich im zweiten Paragrafen des Gesetzentwurfs. Dieses Einvernehmen, so der Entwurf weiter, könne „für eine Reihe gleichgelagerter Fälle hergestellt werden“.
Wie genau das aussieht, wird die Öffentlichkeit auf offiziellen Wegen dann vermutlich nicht erfahren. Denn im Gegensatz zu Gesetzen sind Vereinbarungen der Geheimdienste untereinander in aller Regel – wie es ihr Name nahelegt – geheim oder zumindest nicht öffentlich zugänglich.
Neben der Transparenz könnte es aber auch Probleme mit der Effizienz der Arbeit geben, glaubt Corbinian Ruckerbauer von interface. Er koordiniert das European Intelligence Oversight Network (EION), das Nachrichtendienstkontrolleur:innen und anderen Expert:innen eine Plattform für regelmäßigen und strukturierten Austausch bietet. „Mit der Ausweitung der Befugnisse des MAD verschärft sich das Problem der überlagernden Zuständigkeiten der unterschiedlichen Geheimdienste im Zusammenhang mit der Bundeswehr“, schreibt Ruckerbauer gegenüber netzpolitik.org. Eine klare Abgrenzung zwischen den Diensten falle zunehmend schwer. „Das birgt erhebliche Risiken für die Effizienz der Arbeit der Sicherheitsbehörden einerseits und der Effektivität der Kontrolle andererseits.“
Dienstvorschrift als Transparenzproblem
Eine Vorliebe für nicht-gesetzliche Regelungen zeigt sich auch bei der Liste der „nachrichtendienstlichen Mittel“, die der MAD künftig nutzen sollen darf. Paragraf 8 des Gesetzentwurfs enthält insgesamt 15 Punkte: von „verdeckte Nachforschungen und verdeckte Befragungen“ bis zu „Einsichtnahme in Systeme der Informations- und Kommunikationstechnik“. Doch wenn künftig neue entsprechende Spionagemethoden dazukommen, soll dafür keine Gesetzesänderung notwendig sein. Eine Dienstvorschrift würde reichen, wenn das neue Werkzeug vergleichbar mit der Liste ist, es keine spezielle gesetzliche Regelung braucht und der Unabhängige Kontrollrat zustimmt.
Auch bei diesen Dienstvorschriften ist davon auszugehen, dass sie nicht von vornherein der Öffentlichkeit zugänglich sind – anders als ein Gesetz. „Wesentliche nachrichtendienstliche Mittel brauchen eine klare gesetzliche Grundlage“, schreibt Ruckerbauer dazu. „Ein einfacher Verweis auf Dienstvorschriften beeinträchtigt die demokratische Kontrolle des MAD und ist verfassungsrechtlich fragwürdig“, so der Experte für Geheimdienstkontrolle.
Virtuelle Agenten
Der Gesetzentwurf macht auch klar, dass sich der sehr weite Informationsbegriff auf digitale und analoge Informationen gleichermaßen bezieht. Für die Aufgabenerfüllung des MAD sei es egal, ob Beschaffung und Verarbeitung „realweltlich oder im Cyberraum“ stattfinden. Dazu passt es auch, dass es besonders im digitalen Raum jede Menge neue Kompetenzen für den Militärgeheimdienst geben soll.
Eine davon ist der Einsatz „virtueller“ Agent:innen. Dabei bahnen Geheimdienst-Mitarbeitende verdeckt Kontakt zu Zielpersonen auf Online-Plattformen oder in Chatgruppen an. Das ist keine unbekannte Geheimdienstpraxis. So schickte etwa der Bundesverfassungsschutz laut Berichten der SZ aus dem Jahr 2022 seine Mitarbeitenden in digitale rechtsradikale Kommunikationskanäle. Dort lasen die Spione nicht nur mit, sondern stimmten in volksverhetzende Inhalte ein – um sich Vertrauen zu erarbeiten.
Fachleute kritisierten damals, dass es für solche digitalen Undercover-Ermittlungen bislang an einer expliziten Rechtsgrundlage fehle und dadurch etwa nicht klar geregelt sei, ab wann der Geheimdienst zu diesen Mitteln greifen darf. Für den MAD soll das nun offenbar geändert werden. Besonders geht es dabei um Fälle, wo sich Geheimdienstmitarbeitende nicht nur etwa in einschlägigen Foren und Kanälen aufhalten, sondern unter einer Tarnidentität besonderes Vertrauen zu Personen aufbauen. Dadurch versuchen sie mehr Informationen zu erhalten, als sie dies durch reines Mitlesen bekommen würden.
Begründet wird dies mit „der zunehmenden Bedeutung von Internetplattformen und sozialen Netzwerken wie Instagram, Facebook, LinkedIn, MySpace (sic!) oder X für das Kommunikationsverhalten in der Bevölkerung“.
Wenn „fremde Mächte“ angreifen
Weit mehr als eine Anpassung der Rechtsgrundlage an gängige Geheimdienstpraktiken dürften auch die Paragrafen zum „Auslesen technischer Spuren informationstechnischer Angriffe fremder Mächte“ und zu damit verbundenen Auskunftsverlangen sein. Sie reagierten „insbesondere auf die immer relevanter werdenden Cyberangriffe“, schreibt eine Sprecherin des Verteidigungsministeriums auf Anfrage von netzpolitik.org. Derzeit sei das nicht erlaubt.
Man erhofft sich davon, besonders komplexe Angriffe aufklären zu können, „bei denen einzelne informationstechnische Systeme gezielt als Teil einer komplexeren Angriffsinfrastruktur eingesetzt werden.“ Dabei müssen diese Systeme nicht immer den Angreifern selbst gehören. Sie können beispielsweise auch über infizierte Drittsysteme Schadsoftware verteilen oder die Verfügbarkeit von Online-Diensten beeinträchtigen.
Zur Auskunftspflicht für Dienste-Anbieter heißt es etwa in der Gesetzesbegründung: „Für einen Angriff werden auch Server genutzt, die in keinem unmittelbaren Bezug zu einer fremden Macht stehen, insbesondere auch Einrichtungen kommerzieller Hostinganbieter.“ Mit der Auskunftspflicht solle man Informationen „vorrangig ohne systeminvasive Maßnahmen“ erlangen können. Doch ausschließlich in Deutschland ansässige Anbieter wären von dieser Pflicht betroffen: Angriffsinfrastruktur im Ausland soll weiterhin „originär vom Bundesnachrichtendienst aufgeklärt“ werden.
Führen mehr Kontrollinstanzen zu mehr Kontrolle?
Die geplanten erweiterten Befugnisse bräuchten auf der anderen Seite eine starke Geheimdienstkontrolle. So heißt es schon im Vorspann des Gesetzentwurfs, dass das bisherige MAD-Gesetz „Vorgaben aus mehreren Entscheidungen des Bundesverfassungsgerichts zum Recht der Sicherheitsbehörden“ nicht gerecht werde. Es brauche unter anderem eine unabhängige „Kontrolle von bestimmten Maßnahmen des Militärischen Abschirmdienstes“.
Um die umzusetzen, will die Bundesregierung eine neue Zuständigkeit etablieren: die des Amtsgerichts in Köln bei „besonderen Befugnissen“. Die gibt es bei besonders eingriffsintensiven Geheimdienstmaßnahmen, beispielsweise wenn V-Personen oder virtuelle Agenten Zielpersonen länger als ein halbes Jahr ausspionieren. Oder wenn es Maßnahmen gegen Berufsgeheimnisträger:innen wie Medienschaffende oder Anwält:innen gibt.
Löst eine neue Kontrollinstanz die Aufsichtsprobleme, die es immer wieder bei Geheimdiensten gibt? Ruckerbauer mahnt, Schwarz-Rot müsse bei der Reform darauf achten, „dass sie die Kontrolllücken im militärischen Bereich schließt und keine neuen entstehen“. Er empfiehlt: „Das Parlamentarische Kontrollgremium sollte zukünftig beispielsweise dringend auch das Militärische Nachrichtenwesen und dessen Zusammenwirken mit MAD und BND unter die Lupe nehmen dürfen.“
Warum gerade das MAD-Gesetz?
Unabhängig davon, was im neuen MAD-Gesetz am Ende steht, bleibt eine grundsätzliche Frage offen: Warum geht die Bundesregierung das Gesetz für den militärischen Geheimdienst separat an und führt die notwendigen Reformen für alle deutschen Bundesgeheimdienste nicht gemeinsam durch?
„Die Erfahrungen aus der Ampelkoalition lehren, dass die umfassende Geheimdienstreform nicht weiter verschoben werden sollte“, sagt Ruckerbauer. „Stattdessen muss die Bundesregierung schnell die verfassungsgerichtlich festgestellten Defizite des Rechtsrahmens und der Kontrolle mit einer ganzheitlichen Reform angehen.“
Auch Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, pocht auf eine Gesamtreform: „Eine grundlegende Reform des Rechts der Nachrichtendienste ist lange überfällig. Sie wurde auch vom Bundesverfassungsgericht wiederholt angemahnt. Dennoch sind die höchstrichterlichen Vorgaben bis heute nur teilweise umgesetzt“, so der Abgeordnete, der sich seit vielen Jahren mit Geheimdiensten auseinandersetzt. „Neben neuen rechtlichen Grundlagen für die tägliche Arbeit der Nachrichtendienste braucht es unbedingt eine Stärkung der parlamentarischen Kontrolle als Grundlage für notwendiges Vertrauen.“
Notz bedauert, dass begonnene Bemühungen der früheren Ampelregierung bis heute nicht zu einer ganzheitlichen Geheimdienstreform geführt haben: „Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“ Und die sei „noch stark überarbeitungsbedürftig“.
Nach einer ersten Lesung im Parlament arbeiten die Abgeordneten nun in den Ausschüssen weiter an dem Gesetz. Die weiteren Gesetzesgrundlagen für BND und Verfassungsschutz dürften aber nicht lange auf sich warten lassen. Sie seien bereits in Arbeit, hieß es bei einer öffentlichen Anhörung der Geheimdienstchefs im Bundestag.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte sei sicher, versichert die Bundesregierung. Doch ihre Antworten auf eine Kleine Anfrage lassen die Zweifel an diesem Versprechen wachsen. Versicherte sollen der ePA offenbar blind vertrauen – selbst wenn ihre Gesundheitsdaten bei US-Behörden landen könnten.
Sicherheit ist das A und O bei sensiblen Gesundheitsdaten. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Vladislav K.
Die meisten von uns besitzen einen Haustürschlüssel. Und die meisten von uns wissen, wer sonst noch Zugang zu unserer Wohnung hat. Bei den Gesundheitsdaten, die in der elektronischen Patientenakte hinterlegt sind, ist das offenkundig nicht so klar. Das zeigen die Antworten der Bundesregierung auf eine Kleine Anfrage der Bundestagsfraktion „Die Linke“.
Die Abgeordneten haben die Regierung unter anderem gefragt, welche Vorkehrungen verhindern sollen, dass etwa die US-Regierung an sensible Gesundheitsdaten von deutschen Versicherten gelangt. Die Antworten der Bundesregierung sind mitunter missverständlich, in Teilen unvollständig und fehlerhaft.
Nachfragen bei dem zuständigen Gesundheitsministerium, verschiedenen Krankenkassen und der Gematik haben nur wenig Licht ins Dunkel gebracht. Offenkundig sollen die Versicherten weitgehend bedingungslos darauf vertrauen, dass ihre sensiblen Daten in der ePA sicher sind.
Krankenkassen verweigern Auskunft
Anlass der Kleinen Anfrage war eine Aussage des Chefjustiziars von Microsoft Frankreich im Juni dieses Jahres. Er hatte in einer öffentlichen Anhörung vor dem französischen Senat nicht ausschließen können, dass der Tech-Konzern Microsoft auf Anordnung US-amerikanischer Behörden auch Daten europäischer Bürger:innen weitergeben müsse.
Hintergrund ist unter anderem der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden – auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden.
Die Abgeordneten der Linksfraktion fragten die Bundesregierung, ob sie ein ähnliches Szenario bei den in der ePA hinterlegten Gesundheitsdaten ausschließen könne. Die Regierung erwidert, dass sie nichts über die Verträge zwischen den Betreibern der ePA und den Krankenkassen wisse. Sie kenne daher die Regelungen nicht, mit denen die Daten der Versicherten geschützt würden. Betreiber von ePA-Infrastrukturen sind spezialisierte IT-Dienstleister wie IBM Deutschland und das österreichische Unternehmen RISE.
Wir haben uns bei den drei größten gesetzlichen Krankenkassen in Deutschland erkundigt, welche vertraglichen Vereinbarungen sie mit ihren externen Anbietern getroffen haben. Weder die Techniker Krankenkasse noch die Barmer oder die DAK wollten unsere Frage beantworten. Sie verweisen auf die Gematik, die als Nationale Agentur für Digitale Medizin für die Spezifikationen zur technischen Ausgestaltung der ePA zuständig sei. Der Barmer-Sprecher bittet zudem um Verständnis, dass er sich „aus Wettbewerbsgründen“ nicht weiter zu den Vertragsbedingungen äußern könne.
Es ist also unklar, ob es entsprechende Regelungen zum Schutz der Versichertendaten gibt, von denen die Bundesregierung spricht.
Der Schlüssel liegt bei den Betreibern
Desweiteren verweist die Bundesregierung auf „umfangreiche technische und organisatorische Sicherheitsmaßnahmen“, die zum Schutz der Gesundheitsdaten umgesetzt worden seien. So dürften die in der ePA hinterlegten Daten nur verschlüsselt bei den Betreibern gespeichert werden. Ohne „den Schlüssel der Versicherten“ könnten Unbefugte die Daten nicht lesen, betont die Regierung.
Diese Antwort ist mindestens missverständlich formuliert. Tatsächlich verfügt die ePA derzeit über keine patientenindividuelle Verschlüsselung, bei der jede:r Versicherte die eigene Patientenakte mit einem persönlichen Schlüssel absichert. Ältere Versionen der ePA sahen noch eine Ende-zu-Ende-Verschlüsselung der in der Patientenakte hinterlegten Daten vor; die aktuelle „ePA für alle“ bietet dieses Mehr an Sicherheit allerdings nicht mehr.
Außerdem sind die Schlüssel nicht, wie noch bei früheren ePA-Versionen, auf der elektronischen Gesundheitskarte der Versicherten hinterlegt, sondern sie liegen auf den Servern des ePA-Betreibers. Sogenannte Hardware Security Modules in einer „vertrauenswürdigen Ausführungsumgebung“ würden gewährleisten, dass die Betreiber keinen direkten Zugriff auf diese Schlüssel haben, schreibt das Gesundheitsministerium auf Nachfrage von netzpolitik.org.
„Diese speziell abgesicherten Komponenten sind dafür ausgelegt, kryptografische Schlüssel sicher zu verwalten und sensible Daten vor unbefugtem Zugriff zu schützen“, sagt eine Gematik-Sprecherin auf Anfrage. Ein direkter Zugriff auf die Schlüssel, auch durch die Betreiber der ePA, sei technisch ausgeschlossen. Die Schlüssel werden etwa dann zur Entschlüsselung der Gesundheitsdaten verwendet, wenn die Versicherten ihre elektronische Gesundheitskarte beim Besuch einer Praxis oder einer Apotheke in ein Lesegerät schieben.
Offene Eingangstüren
Zwei Aspekte lassen das Gesundheitsministerium und die Gematik bei ihren Ausführungen jedoch unter den Tisch fallen.
Zum einen ist den Sicherheitsfachleuten des Chaos Computer Clubs Bianca Kastl und Martin Tschirsich in den vergangenen Monaten wiederholtgelungen, die Zugriffskontrolle der ePA zu überwinden.
Bei den von ihnen beschriebenen Angriffsszenarien hilft Verschlüsselung nicht mehr viel. „Es ist vollkommen egal, dass das irgendwie verschlüsselt gespeichert wird, wenn an der Eingangstür ein paar Wissensfaktoren reichen, um jede ePA in Zugriff zu bekommen“, sagt Bianca Kastl, die auch Kolumnistin bei netzpolitik.org ist.
Die von ihr und Tschirsich aufgezeigten Sicherheitslücken bestehen teilweise noch immer fort. Eine „endgültige technische Lösung“ will das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst im kommenden Jahr implementieren.
Trügerische Sicherheit
Zum anderen behauptet die Bundesregierung, dass die bestehenden Sicherheitsvorkehrungen einen „technischen Betreiberausschluss“ gewährleisten, „sodass selbst ein fremdbestimmter Betreiber keinen Zugriff auf die Daten der ePA erlangen würde“.
Hauptbetreiber von elektronischen Patientenakten ist die IBM Deutschland GmbH. Unter anderem die Techniker Krankenkasse, die Barmer Ersatzkasse und die AOK haben das Unternehmen damit beauftragt, die ePA und die dazugehörigen Aktensysteme gemäß der von der Gematik gemachten Spezifikationen umzusetzen. Mehr als zwei Drittel aller digitalen Patientenakten laufen auf IBM-Systemen, aus Sicherheitsgründen seien die Daten „über zahlreiche, geographisch voneinander getrennte Rechenzentrums-Standorte in der IBM Cloud in Deutschland verteilt“, so das Unternehmen.
Dieses Sicherheitsversprechen ist jedoch trügerisch. Denn die IBM Deutschland GmbH ist eine Tochter der US-amerikanischen IBM Corp. – und damit potenziell ein „fremdbestimmter Betreiber“. Gemäß CLOUD Act können US-Behörden IBM dazu zwingen, die Daten von deutschen Versicherten an sie auszuleiten.
Gefahr erkannt, Gefahr gebannt?
Welche Risiken der CLOUD Act birgt, hat etwa das baden-württembergische Innenministerium erkannt. Im Juli räumte es in einer Stellungnahme ein, dass US-Behörden theoretisch auf Daten zugreifen könnten, die in der Verwaltungscloud Delos gespeichert sind. Delos Cloud ist ein Tochterunternehmen von SAP und fußt auf Microsoft Azure und Microsoft 365. Dem Ministerium zufolge könnten US-Behörden den Tech-Konzern anweisen, „einen Datenabfluss in seine Software zu integrieren, ohne dass der Kunde darüber in Kenntnis gesetzt wird.“
Dennoch plant die Bundesregierung nach eigenem Bekunden nicht, die technologische Abhängigkeit von nicht-europäischen ePA-Betreibern zu prüfen – obwohl sie die digitale Patientenakte explizit als eine kritische Infrastruktur einstuft.
Anne Mieke-Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, kritisiert diese Weigerung der Regierung. „Statt klare Prüfpflichten festzuschreiben, versteckt sie sich hinter lückenhaften Vorgaben“, so Mieke-Bremer. „Und sie gibt sich damit zufrieden, dass die Verträge zwischen Betreibern und Kassen eine Blackbox bleiben.“
Die ePA wirke „zunehmend wie ein mangelhaftes und fahrlässiges Prestigeprojekt“, das voller Lücken und Risiken ist, sagt Stella Merendino, Sprecherin der Linken für Digitalisierung im Gesundheitswesen. „Was mit unseren sensibelsten Gesundheitsdaten passiert, bleibt dabei im Dunkeln.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Für Windows 10 bietet Microsoft seit gut einer Woche keinen Support mehr an. Das bringt Nutzer*innen in Zugzwang, darunter auch die Bundesverwaltung. Das zuständige Digitalministerium weiß indes wenig darüber, welche Behörden und wie viele Rechner betroffen sind.
Das Ministerium unter Karsten Wildberger (CDU) hält keine Informationen zum Stand von Windows 10 vor. – Alle Rechte vorbehalten IMAGO/dts Nachrichtenagentur
Mitte Oktober hat Microsoft den Support für Windows 10 eingestellt. Nutzer*innen müssten also auf die nächste Windows-Version upgraden – oder sich für ein anderes Betriebssystem entscheiden. Und das besser gestern als heute, wenn sie sich keine Malware einfangen wollen. Wer den Umstieg nicht schafft, kann sich zumindest für begrenzte Zeit noch für grundlegende Sicherheitsupdates (ESU) registrieren.
Auch die Bundesverwaltung nutzt Windows 10, scheint sich auf die Umstellung jedoch bislang kaum vorbereitet zu haben. Sascha H. Wagner, Bundestagsabgeordneter der Linkspartei und im Haushaltsausschuss, hat beim Bundesministerium für Finanzen nachgefragt: Wie viele Rechner laufen mit Windows 10? Wie viel wird die Umstellung auf Windows 11 kosten? Bis wann sollen diese Rechner mit Windows 11 ausgestattet sein?
Auf diese Fragen erhielt er jedoch keine Antwort. Denn entsprechende Informationen liegen nicht gesammelt und verfügbar vor. Um sie beantworten zu können, müsste das zuständige Bundesministerium für Digitales und Staatsmodernisierung erst „umfangreiche Erhebungen“ vornehmen, so das BMF in seinem nicht-öffentlichen Antwortschreiben.
Keine Ressourcen, um betroffene Rechner zu zählen
Auch die Fragen, wie viele Rechner der Bundesverwaltung mit dem Support-Ende von Windows 10 unbrauchbar werden und wie teuer es wird, neue Geräte mit Windows 11 anzuschaffen, lässt das BMF offen.
Der Aufwand, hierzu Informationen einzuholen, übersteige den Umfang einer „ansonsten üblichen Einzelberichtsanforderung“, heißt es. Linken-Politiker Wagner sagt: „Dass das Digitalministerium unter Karsten Wildberger nicht weiß, wie der erzwungene Umstieg von Windows 10 auf Windows 11 in der Bundesverwaltung umgesetzt wird, ist erschreckend.“
Dabei wurde ein zentrales Lizenzmanagment für den Bund schon im Jahr 2019 beschlossen. Fortschritte verspricht der Bund seit Jahren. Die Idee hinter dem lange angekündigten Projekt ist, dass Bundesbehörden Informationen zu Lizenzen offen einsehen können.
Nicht zuletzt die Kritik des Bundesrechnungshofs gab hier den Ausschlag: Der bemängelte mehrfach (PDF), dass Transparenz zwischen Bundesbehörden fehle. Das wiederum führe dazu, dass Behörden Software häufig nicht wirtschaftlich einsetzen. Dabei käme es häufiger zu Über- oder Unterlizenzierungen. Wüssten Behörden, was andere einkaufen und zu welchen Konditionen, könnten sie Lizenzen zwischen Behörden tauschen und hätten auch bei Einkaufsgesprächen eine bessere Verhandlungsposition.
Keine Ressourcen, um Lizenzen zentral zu verwalten
Doch der Plan einer Zentralstelle konnte laut BMF „mangels entsprechender Ressourcen“ bislang nicht umgesetzt werden. Es gibt also noch immer keine zentrale Stelle, die Informationen zu Lizenzen bei den Ministerien und anhängigen Behörden einfordert und zentral veröffentlicht. Zwar könnten Behörden inzwischen über ein Lizenzverwaltungstool ein rechtssicheres und wirtschaftliches Lizenzmanagement aufbauen, so das BMF. Doch seien Behörden nicht dazu verpflichtet, eines zu betreiben.
Statt das Projekt des Lizenzmanagements für den Bund weiter voranzubringen, will das BMDS nun einen zentralen Datenpool im Bund aufbauen. Darin sollen laut BMF auch die Lizenzinformationen der einzelnen Häuser zusammenlaufen.
Das Support-Ende von Windows 10 bringt den Bund samt Verwaltung hier anscheinend nicht aus der Ruhe. Das könnte daran liegen, dass Microsoft zumindest Sicherheitsupdates weiter fließen lässt – für Organisationen und Behörden können dabei jedoch pro Gerät Kosten anfallen. Dabei müsste es eigentlich darum gehen, „die Abhängigkeit und die explodierenden Kosten für Microsoft-Produkte zu reduzieren“, so Wagner.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Bund will bei Volkszählungen die Bürger*innen nicht mehr direkt befragen, sondern Daten aus der Verwaltung zusammenführen. Ein Schritt dahin ist das Registerzensus-Erprobungsgesetz samt Training mit Echtdaten. Eine Gesetzesänderung will den Zugriff nun ausweiten.
Das Statistische Bundesamt darf mit personenbezogenen Echtdaten neue Verfahren der Volkszählung testen. Datenschützer*innen warnen vor Profilbildung. (Symbolbild) – Alle Rechte vorbehalten Menschen: IMAGO/Michael Gstettenbauer; Pointer Cursor: IMAGO/Depositphotos; Bearbeitung: netzpolitik.org
Während die Öffentlichkeit mit Covid-19-Varianten und Lockdowns beschäftigt war, rauschte im Mai des Jahres 2021 ein Gesetz durch den Gesetzgebungsprozess, das langfristig eine größere Wirkung haben dürfte, als vielen bewusst ist: das Registerzensus-Erprobungsgesetz (RegZensErpG).
Demnach darf das Statistische Bundesamt (StBA) nicht nur auf personenbezogene Daten aus den Datenbeständen der öffentlichen Verwaltung zugreifen, sondern vielmehr auch Tests für eine neue Art der Volkszählung durchführen.
Zunächst ging es hier vor allem um Daten aus den Melderegistern der kommunalen Verwaltungen. Seit Juli liegt nun ein neuer Referentenentwurf für eine Gesetzesänderung vor, wonach das Bundesamt Daten aus zwei weiteren Bereichen für die Erprobung statistisch auswerten können soll – und zwar aus Bildung und Arbeitsmarkt.
Schon im Jahr 2021 bemängelten Datenschützer*innen bei dem ursprünglichen Gesetz den laxen Umgang mit personenbezogenen Daten. Denn seine Tests darf das StBA entsprechend dem alten Gesetz auch mit Echtdaten durchführen. Laut Expert*innen verschärft sich das Problem, wenn mit dem neuen Entwurf weitere Arten von Daten hinzukommen.
Zensus? Register? Was ist das?
Aber erstmal ganz von vorn: Was ist ein Zensus, was ist ein Register und was will das Statistische Bundesamt testen? Besser bekannt ist der Zensus unter dem Namen „Volkszählung“. Das kann man sich so ähnlich vorstellen wie in der Bibel, in der alle Bewohner*innen gezählt wurden. Zweitausend Jahre später befragen Ämter die Bürger*innen nicht mehr direkt, sondern nutzen im Zuge der Digitalisierung personenbezogene Daten aus der öffentlichen Verwaltung. Die hält diese Daten in sogenannten Registern vor, daher der Ausdruck „Registerzensus“.
Bei den letzten beiden Volkszählungen in den Jahren 2011 und 2022 erhoben die Statistischen Ämter von Bund und Ländern Daten über die Bevölkerung nur noch stichprobenartig über Interviewer*innen, die von Haustür zu Haustür gehen. Weil das relativ lautlos vor sich ging, gab es auch keinen Aufschrei mehr wie bei der westdeutschen Volkszählung in den Achtziger Jahren.
Die zukünftigen Volkszählungen sollen, so die Pläne der Bundesregierung, nur noch mit Daten aus den Registern erfolgen. Da dieses Vorgehen verhältnismäßig neu ist, muss das Statistische Bundesamt entsprechende Verfahren ausprobieren.
Um welche Daten geht es?
Mit dem Erprobungsgesetz darf das Bundesamt, gesetzlich abgesichert, sensible Daten von Bürger*innen verarbeiten. Diese erhält es von den Statistischen Ämtern der Länder. Dazu gehören unter anderem „Vor- und Familienname, Wohnanschrift, Gemeinde, Geschlecht, Kalendermonat und Kalenderjahr der Geburt, Familienstand, Staat der Geburt, Kalenderjahr des Zuzugs nach Deutschland und Staatsangehörigkeiten“.
Das StBA darf die Daten aus verschiedenen Quellen zusammenführen und Verfahren testen, um einen reibungslosen Registerzensus zu üben. Künftig will es Daten aus „den Themenbereichen Bevölkerung, Gebäude und Wohnungen, Haushalte und Familien sowie Arbeitsmarkt und Bildung“ aus den Datenbeständen der Verwaltung entnehmen, „automatisiert zusammenführen sowie aufbereiten“, so das StBA auf seiner Website.
Bürger*innen direkt zu befragen, werde nur noch dann notwendig, wenn die entsprechenden Daten nicht zur Verfügung stehen.
Was erprobt das Statistische Bundesamt und wozu?
Um statistische Daten zu erheben, ohne Bürger*innen direkt befragen zu müssen, darf das Statistische Bundesamt auf die Melderegister zugreifen. Hier arbeiten die Statistischen Ämter der Länder mit dem Bundesamt zusammen. Künftig will das StBA Aussagen zu Einkommen oder Familienverhältnissen wie auch demografische Entwicklungen rein aus Registerdaten ableiten. Dazu will es beispielsweise Daten aus anderen Registern probeweise mit den Meldedaten verbinden.
Eigenen Angaben zufolge startete das Statistische Bundesamt 2024 die erste Erprobungsphase und testet seither Methoden für den Registerzensus. Dazu gehören technische Tests von IT-Fachanwendungen. Das Ziel ist, Methoden zu finden, die dem Qualitätsanspruch der bisherigen Völkszählung entsprechen. Sobald die Änderung des RegZensErpG verabschiedet ist, will das Statistische Bundesamt weitere Methodentests in den Modulen Arbeitsmarkt und Bildung durchführen.
Echte Daten statt Dummys
Zwar waren sich bei der öffentlichen Anhörung zum RegZensErpG im Mai 2021 alle Sachverständigen darin einig, dass Politik und Verwaltung eine gute Datenbasis für ihr Handeln brauchen und dass der Registerzensus von der Idee her gut ist. Zudem folgt das Gesetz inhaltlich Vorgaben der Europäischen Union. Hier greift etwa die EU-Rahmenverordnung über Zensus und Bevölkerungsstatistiken (ESOP).
Doch gingen die Meinungen dazu weit auseinander, was beim Testen entsprechender Verfahren erlaubt sein soll. Das mag auch daran liegen, dass das Gesetz nicht eindeutig festlegt, was in den Bereich der Erprobung fällt, was also das StBA konkret testen darf, erklärt Jurist und Datenschutzexperte Christian Aretz gegenüber netzpolitik.org. Der Begriff „Erprobung“ ist hier sehr weit gefasst.
Aus dem Gesetz scheine hervorzugehen, dass das StBA unter anderem „die reine technische Umsetzbarkeit“ testen will. Das sei höchstproblematisch. Denn das Amt testet mit Echtdaten und „ein Test impliziert immer, dass er auch fehlschlagen kann“, so Aretz. „Sonst müsste ich nicht testen. Dazu echte personenbezogene Daten zu verwenden, erzeugt ein unnötiges Risiko für den Datenschutz“, so Christian Aretz. Läuft ein Test schief, könnten etwa mehr Daten übermittelt werden als erlaubt.
Dabei könne das StBA für Tests leicht eine Testumgebung einrichten, erklärt Kirsten Bock von der Stiftung Datenschutz, die im Jahr 2021 Sachverständige im Bundestag zum Thema war. Das lohne sich nicht nur angesichts aller Tests, die das StBA künftig noch ausführen will. „Vielmehr trägt es dem Datenschutz Rechnung und ist in IT-Umgebungen übliches Vorgehen, da hier andernfalls ein großes Risiko für die IT-Sicherheit die Rechte und Freiheiten der Bürger*innen besteht.“
Schafft der Bund ein quasi-Zentralregister?
Das Thema IT-Sicherheit hat der Gesetzgeber kaum mitbedacht. Denn die echten Daten laufen beim StBA zentral zusammen und sollen sogar mit dem jeweiligen Identifier der einzelnen Bürger*innen verknüpft werden. Der Identifier, auch einheitliches Personenkennzeichen genannt, ist mal wieder die Steuer-ID.
Dabei sei es gar nicht erforderlich, Daten zentral zusammenzuführen, sagt Bock gegenüber netzpolitik.org. Meldedaten aus den kommunalen Registern könnten zwar auf Bundesebene miteinander abgeglichen werden. Sie mit Sozial- und Wirtschaftsdaten zusammenzuführen, könnte aber auch gut ausschließlich auf regionaler Ebene erfolgen. Das ist gerade relevant, wenn Lokalpolitiker*innen entscheiden müssen, ob eine Schule gebaut werden soll oder ob eine Gemeinde noch ein Seniorenheim braucht.
Daten könnte man sogar auf föderaler Ebene erheben und dann erst mit Daten auf Bundesebene zusammenführen, wenn sie bereits anonymisiert sind. Das wären echte statistische Daten, so Bock.
Hingegen baue der Bund hier eine zentrale Infrastruktur auf, mit der das StBA die Zweckbindung unterlaufen und sich ein Bild zu verschiedenen Fragen machen kann. Das sei aus gutem Grund verfassungsmäßig für Deutschland nicht vorgesehen. Denn diese Infrastruktur könne „von einer übelmeinenden Regierung ausgenutzt werden“, erklärt Bock.
Großzügige bis unklare Löschfristen
Die zentrale Zusammenführung personenbezogener Daten im StBA hat aber auch noch ein weiteres Problem: Das Amt darf sie laut mindestens drei Jahre lang vorhalten. Ulrich Kelber, damaliger Bundesdatenschutzbeauftragter, kritisierte im Mai 2021: Das Gesetz legt nicht klar fest, wie lange das StBA die Daten bei sich vorhalten darf und wann es die verarbeiteten Daten löschen muss. Er mahnte im Eilverfahren dringend an, das Gesetz nachzubessern. Die damalige Große Koalition ließ diese Mahnung jedoch verpuffen.
Der Gesetzgeber hatte seinerseits bereits einen vorsichtigen Schutzmechanismus ins Gesetz geschrieben. Denn er unterscheidet zwischen sogenannten Erhebungs- und Hilfsmerkmalen und gibt vor, dass letztere möglichst früh zu löschen sind.
Hilfsmerkmale sind die, „mit deren Hilfe man zwei Datenbanken miteinander verheiraten kann“, erklärt Aretz. Das muss man in etwa so vorstellen: „Damit ich den Datensatz zu Max Mustermann aus der Datenbank A dem Datensatz zu Max Mustermann in der Datenbank B zuordnen kann, brauche ich ein Hilfsmittel, beispielsweise die Personalausweisnummer.“
Sobald die Zuordnung geklappt hat, könne man das Hilfsmittel löschen, spätestens nach drei Jahren. „Man rechnet also damit, dass die Daten in dieser Zeit irgendwo herumliegen“, so Aretz. Das verstoße gegen den datenschutzrechtlichen Grundsatz der Erforderlichkeit. Danach dürfen Daten nur dann verarbeitet werden, wenn dies gegenwärtig erforderlich ist. Sie dürfen also nicht vorgehalten werden für den Fall, dass man sie mal braucht.
Dabei handele es sich faktisch nicht mehr um statistische Daten. „Hier müssen wir von personenbezogenen Daten sprechen“, so Bock. Dass das StBA die Daten zentral bei sich und über einen so langen Zeitraum speichert, mache es zu einem attraktiven Ziel für Angreifer. Im Zweifelsfall bekomme es sogar nicht einmal unbedingt jemand mit, wenn an dieser Stelle Daten abfließen.
„Die informationelle Macht von Staat und Verwaltung“
Daten von Bürger*innen in dieser Art und Weise miteinander zu verknüpfen und zentral zu speichern, verstoße laut Bock außerdem gegen den Grundsatz der Gewaltenteilung. Der besage nämlich auch, dass die Verwaltungsbereiche voneinander getrennte Datenhaltungen haben.
Die Trennung hier aufzuheben, widerspreche dem verfassungsmäßigen Schutz der Bürger*innen vor den übermächtigen Zugriffen einer Verwaltung oder Regierung. Die dürften keine Profile zu einzelnen Bürger*innen anfertigen. Es bedeute Schutz der Demokratie, wenn keine staatliche Stelle übermäßig mächtig wird. „Doch was hier aufgebaut wird, ist eine massive informationelle Macht von Staat und Verwaltung.“
Diese Dynamik nehme zu, wenn der Referentenentwurf durchkommt und das StBA zusätzliche Daten zu den Beschäftigungsverhältnissen und Ausbildungswegen der Bürger*innen verarbeiten kann, so Bock.
Der Referentenentwurf liegt nun den Bundesländern, Verbänden, Organisationen und Institutionen vor. Sie haben die Gelegenheit zur schriftlichen Stellungnahme.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte soll das Herzstück der Gesundheitsdigitalisierung sein – ein zentraler Speicher für Diagnosen, Rezepte und Befunde, leicht zugänglich für Versicherte. Ab dem 1. Oktober müssen alle Praxen, Apotheken und Krankenhäuser die digitale Akte nutzen. Doch der ePA-Start stockt gewaltig.
Die elektronische Patientenakte gilt als Herzstück der digitalen Gesundheitsversorgung. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Olivier Collet
Die elektronische Patientenakte (ePA) erreicht einen neuen Meilenstein: Ab dem 1. Oktober sind alle Praxen, Krankenhäuser und Apotheken gesetzlich dazu verpflichtet, die ePA zu nutzen und dort Diagnosen, Behandlungen und Medikationen zu hinterlegen. Wer das nicht tut, muss schon bald mit Sanktionen wie Honorarkürzungen rechnen.
Während der Einführungsphase seit Jahresbeginn war die Nutzung der ePA für alle Leistungserbringer noch freiwillig. Seit Januar haben die Krankenkassen für alle gesetzlich Versicherten, die nicht widersprachen, eine digitale Akte angelegt. Zeitgleich startete in Hamburg, Franken und Teilen Nordrhein-Westfalens die Pilotphase, um die Anwendung zu testen. Ab Ende April wurde die ePA dann schrittweise bundesweit ausgerollt.
Trotz des mehrmonatigen Vorlaufs ist die digitale Patientenakte noch längst nicht im Alltag der medizinischen Versorgung angekommen. Unklar ist nicht nur, wie gut die ePA gegen Cyberangriffe geschützt ist, sondern auch die technische Umsetzung in vielen Praxen und Kliniken stockt. Zudem nutzt bislang nur ein Bruchteil der Versicherten die ePA aktiv, obwohl sie als patientenzentrierte Akte konzipiert ist.
Alles sicher?
Das Bundesgesundheitsministerium (BMG) hält dennoch am Fahrplan fest. Mit Blick auf die Sicherheit verweist das Ministerium auf Anfrage von netzpolitik.org auf das Maßnahmenpaket, das bereits zum Rollout im Mai umgesetzt worden sei. So seien unter anderem Sicherheitslücken geschlossen sowie „Monitoring und Anomalie-Erkennung“ ausgeweitet worden. Gezielte Angriffe auf einzelne Akten seien zwar nie ausgeschlossen, so das Ministerium weiter. „Ein solcher Angriff ist jedoch mehrschichtig und hat eine Vielzahl an Hürden.“ Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt das „verbleibende Restrisiko“ auf Nachfrage „nach wie vor als technisch beherrschbar ein“.
Die Sicherheitsforscherin Bianca Kastl zeigt sich hier allerdings deutlich skeptischer. Ihr reichen die bisherigen Maßnahmen nicht aus, um Vertrauen in die Sicherheit der ePA zu haben. Gegenüber netzpolitik.org kritisiert Kastl „intransparente Anpassungen im Hintergrund, keine Aufklärung über Restrisiken, nicht einmal ausreichende Kommunikation innerhalb der Gematik, speziell im Kontext der elektronischen Ersatzbescheinigung“. Diese Ersatzbescheinigung ist dann relevant, wenn Patient:innen ihre elektronische Gesundheitskarte nicht dabei haben oder diese nicht eingelesen werden kann.
Kastl, die bei netzpolitik.org regelmäßig eine Kolumne schreibt, verweist bei den Anpassungen auf ein Angriffsszenario, das sie gemeinsam mit Martin Tschirsich im Dezember vergangenen Jahres demonstriert hatte – nur zwei Wochen vor der Pilotphase. Zum bundesweiten Rollout der ePA wenige Monate darauf hatte der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) zwar versichert, dass die Patientenakte sicher sei. Doch prompt gelang es Kastl und Tschirsich erneut, den erweiterten Schutz der ePA auszuhebeln.
Kastl fordert, dass es „eine unabhängige und belastbare Bewertung der demonstrierten Sicherheitsrisiken, eine transparente Kommunikation von Risiken gegenüber Betroffenen sowie einen offenen Entwicklungsprozess über gesamten Lebenszyklus der ePA“ geben müsse.
Stockender Start in den Praxen
Darüber hinaus kämpfen viele Arztpraxen mit erheblichen technischen Problemen bei der ePA-Implementierung. Die Bundesvorsitzende des Hausärztinnen- und Hausärzteverbandes, Nicola Buhlinger-Göpfarth, sieht hier vor allem die Anbieter der Praxisverwaltungssysteme (PVS) in der Verantwortung. „Während manche von ihnen ihre Hausaufgaben gemacht haben, funktioniert bei anderen wenig bis nichts“, sagt Buhlinger-Göpfarth gegenüber netzpolitik.org. Ihr Verband vertritt die Interessen von bundesweit mehr als 32.000 Mitgliedern, die in der hausärztlichen Versorgung tätig sind.
Derzeit fehlen in einem Fünftel der Praxen bundesweit die erforderlichen Softwaremodule, sagt auch Sibylle Steiner. Sie gehört dem Vorstand der Kassenärztlichen Bundesvereinigung (KBV) an. Von einigen Anbietern für Praxisverwaltungssysteme wisse man, dass das ePA-Modul im vierten Quartal nachgeliefert werden solle, so Steiner, „von anderen Herstellern haben wir gar keine Rückmeldung“.
In einer Online-Umfrage der KBV gaben drei Viertel der Praxen, welche die digitale Patientenakte bereits nutzen, an, im August technische Probleme gehabt zu haben. Oft sei der Zugriff auf die ePA nicht möglich gewesen oder es konnten keine Dokumente hochgeladen werden. Auf der Vertreterversammlung der KBV Mitte September kritisierte Sibylle Steiner die „vollkommen inakzeptable Performance“ der TI-Betriebsstabilität.
Das BSI widerspricht dieser Darstellung und verweist auf die Zahlen der Gematik. Demnach habe die ePA im August einen Verfügbarkeitswert von 99,95 Prozent erreicht und damit eine Rate „im angestrebten Bereich“ erzielt. Das BSI verlangt für kritische Infrastrukturen Werte zwischen 99 bis 99,9 Prozent. Und auf Anfrage von netzpolitik.org schreibt die Gematik, dass eine ePA-Störung in der Regel nicht alle Versicherten und Einrichtungen gleichermaßen treffe. Vielmehr seien meist einzelne Komponenten gestört, die im Zusammenspiel mit der ePA wirken.
Krankenhäuser noch weiter abgeschlagen
Noch verfahrener ist die Lage offenbar in den Krankenhäusern. Die Deutsche Krankenhausgesellschaft (DKG) geht auf Anfrage von netzpolitik.org davon aus, dass „ein Großteil der Krankenhäuser zum 1. Oktober technisch noch nicht in der Lage sein wird, die ePA vollumfänglich zu nutzen“.
Nur gut ein Fünftel aller Kliniken hat laut einer Umfrage von Mitte August die ePA-Inbetriebnahme abgeschlossen oder plant dies bis zum Jahresende zu tun. Die Mehrheit von ihnen erwartet frühestens im ersten Quartal 2026 einen flächendeckenden Einsatz.
Als Gründe nennt die DKG die „hohe Komplexität der Inbetriebnahme“ sowie unausgereifte ePA-Module der IT-Hersteller. Krankenhausinformationssysteme (KIS) seien komplexer als etwa Systeme, die in kleineren Praxen eingesetzt werden, die Bereitstellung der Dokumente sei arbeitsaufwändig.
KIS führen unterschiedliche Funktionalitäten zusammen. Mit ihnen lassen sich Patient:innendaten verwalten, medizinische und pflegerische Prozesse dokumentieren und steuern sowie die Zusammenarbeit zwischen verschiedenen Fachabteilungen koordinieren.
Welche Sanktionen drohen?
Es ist unklar, wann Praxen und Krankenhäuser genau mit Sanktionen rechnen müssen, wenn sie nicht rechtzeitig über das ePA-Modul verfügen.
Grundsätzlich müssen Praxen ab dem vierten Quartal schrittweise Sanktionen befürchten, Krankenhäuser ab dem 1. März 2026. Dazu zählen Kürzungen beim gesetzlichen Krankenkassen-Honorar von einem Prozent und Einschnitte bei der TI-Pauschale. Allerdings können die zuständigen Kassenärztlichen Vereinigungen (KV) bei der Reduzierung der TI-Pauschale eine dreimonatige Übergangsphase gewähren.
Die TI-Pauschale ist ein monatlicher Zuschuss, mit dem die Kosten für Anschluss, Ausstattung und Betrieb der Telematikinfrastruktur (TI) gedeckt werden sollen. Die Höhe der Pauschale richtet sich nach der Praxisgröße.
Ab kommendem Jahr droht dann sogar ein kompletter Abrechnungsausschluss, wenn Arztpraxen und andere Leistungserbringer eine Praxissoftware ohne zertifiziertes ePA-Modul nutzen. Sie könnten dann keine Abrechnungen mit den gesetzlichen Krankenkassen mehr einreichen oder bewilligt bekommen.
Sibylle Steiner vom KBV findet es „vollkommen inakzeptabel“, wenn die Praxen etwa für die Versäumnisse der Hersteller büßen. Die Kassenärztliche Vereinigung Nordrhein teilte uns auf Anfrage mit sie prüfe, Kürzungen auszusetzen, wenn „technische Probleme der Praxisverwaltungssysteme einen Einsatz des ePa-Moduls verhindern“. Die Details dazu würden derzeit noch erarbeitet. Die KV Nordrhein vertritt die Interessen von rund 24.000 niedergelassenen Vertragsärzten und -psychotherapeuten im Landesteil Nordrhein von Nordrhein-Westfalen.
Verwaiste Akten
Während viele Praxen noch darauf warten, die ePA einsetzen zu können, nutzt die überwiegende Mehrheit der Versicherten ihre Akte nicht aktiv.
Rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten haben inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch um auf die Patientenakte und die darin enthaltenen Dokumente zugreifen zu können, benötigen sie eine App, die in der Regel von den Krankenkassen bereitgestellt wird. Eine solche Applikation verwenden aktiv derzeit aber gerade einmal drei Prozent der Versicherten.
Dabei soll die ePA laut Sozialgesetzbuch „eine versichertengeführte elektronische Akte“ sein. Sie ist also so konzipiert, dass die Versicherten sie aktiv verwalten. Dass man derzeit meilenweit von diesem Ziel entfernt ist, weiß auch das Bundesgesundheitsministerium.
Ein Ministeriumssprecher äußert auf Anfrage von netzpolitik.org die Hoffnung, dass mit der Nutzungspflicht und Weiterentwicklung der ePA auch die Zahl aktiver Nutzer:innen zunehme. So soll etwa im Jahr 2027 die Funktion „Push-Benachrichtigung für Versicherte“ umgesetzt werden. „Aber auch ohne eine aktive Nutzung der App wird die ePA zu einer verbesserten Gesundheitsversorgung beitragen“, so der Sprecher.
ePA ohne Patient:innenkontrolle
Lucas Auer, Referent für Digitalisierung im Gesundheitswesen beim Verbraucherzentrale Bundesverband, kritisiert, dass die ePA den Versicherten bislang nur wenig Mehrwert biete und auch deshalb das Interesse an ihr gering sei.
„Dafür braucht es jenseits der reinen Befüllung mit Daten seitens der Leistungserbringer Funktionen wie einen digitalen Impfpass, Zahnbonusheft oder Mutterpass“, sagt Auer. „Solche verbraucherorientierten Funktionen sollten im Zentrum des Weiterentwicklungsprozesses stehen, doch derzeit gibt es noch nicht mal einen verbindlichen Zeitplan dafür.“
Nicola Buhlinger-Göpfarth vom Hausärztinnen- und Hausärzteverband macht auch die Krankenkassen für das Desinteresse der Versicherten verantwortlich. „Die allermeisten Patientinnen und Patienten sind bis heute überhaupt nicht über die ePA informiert worden“, so Buhlinger-Göpfarth. Das sei eigentlich Aufgabe der Kassen, die hätten „aber weitestgehend die Hände in den Schoß gelegt“.
Auf die Folgen dieser Versäumnisse weist Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, hin. „Viele Menschen wissen überhaupt noch nicht, dass es da jetzt eine ePA im Hintergrund gibt, aus der sich viele sensible Informationen lesen lassen.“ Standardmäßig sind in der Patientenakte alle medizinischen Informationen für behandelnde Einrichtungen sichtbar.
Wer den Zugriff auf die eigenen Gesundheitsdaten einschränken möchte, hat es schwer: „Sensible Diagnosen gehen nicht nur aus eingestellten Dokumenten hervor, sondern auch aus der Medikationsliste und den Abrechnungsdaten, die beide automatisiert in die ePA fließen“, sagt Hofmann. Versicherte müssten daher immer auf mehrere Teilbereiche achten, wenn sie einzelne Diagnosen verbergen möchten.
Zurück auf Los?
Eine feingranulare Zugriffssteuerung sah die frühere ePA-Version 2.0 noch vor. Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, schränkte die Optionen beim Berechtigungsmanagement jedoch deutlich ein.
Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen ausgesetzt sind. Sie sollten ins Zentrum der Weiterentwicklung der ePA gestellt werden, fordert Manuel Hofmann. „Diskriminierung darf nicht weiterhin als verschmerzbare Nebenwirkung für eine vermeintlich ‚kleine Gruppe‘ in Kauf genommen werden.“
Bianca Kastl, die auch Vorsitzende vom Innovationsverbund Öffentliche Gesundheit e. V. ist, geht noch einen Schritt weiter. „Die Digitalisierung des Gesundheitswesens ist sehr stark getrieben von der Selbstverwaltung und Interessen von Krankenkassen und Industrie, weniger von den Interessen der Patient:innen“, sagt Kastl. Eine ePA, die die Souveränität der Versicherten stärkt, „müsste in einem Rahmen entstehen, der nicht von diesen Stakeholdern geprägt wird“.
Das klingt so, als müsste man zurück auf Los und ganz von vorne beginnen, um den selbst gesetzten Anspruch einer „versichertengeführten elektronischen Akte“ gerecht zu werden. Andernfalls bliebe die ePA vor allem eines: ein nicht eingelöstes Versprechen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wer Informationen zu guten Kliniken sucht, kann dafür auf den Bundes-Klinik-Atlas zugreifen. Aber der hat Schwächen – genau wie all die anderen Online-Verzeichnisse zur Krankenhaus-Qualität. Das ist ein Problem für Patient:innen. Ein Interview dazu, welche Übersicht es für eine bessere Gesundheitsversorgung bräuchte.
Die Qualität eines Krankenhauses lässt sich von außen nicht erkennen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Arseny Togulev
Wer Kniebeschwerden hat und operiert werden muss, steht vor vielen Fragen: In welches Krankenhaus kann ich gehen? Wie viel Routine haben die Ärzt:innen dort? Wo bekomme ich eine gute Versorgung? Neben Online-Bewertungen gibt es eine ganze Reihe Portale, die Informationen zur Klinikqualität aufbereiten. Sie werden von Krankenhausträgern oder den gesetzlichen Krankenkassen bereitgestellt. Seit vergangenem Jahr gibt es auch den Bundes-Klinik-Atlas, der in Verantwortung des Bundesgesundheitsministeriums entstanden ist.
Als Anfang September Gerüchte aufkamen, das viel kritisierte Portal soll eingestellt werden, meldeten sich Patient:innen-Verbände und andere Interessensgruppen zu Wort. Manche waren empört, andere forderten, das Angebot so schnell wie möglich einzustampfen. Doch was braucht es aus Sicht derjenigen, die sich über notwendige Behandlungen informieren wollen? Und wie können sie diese Informationen finden? Darüber haben wir mit Thomas Moormann gesprochen, der beim Verbraucherzentrale Bundesverband das Team zu den Themen Gesundheit und Pflege leitet.
Die Chance auf Orientierung
netzpolitik.org: Was ist eigentlich der Bundes-Klinik-Atlas und welches Problem sollte er lösen?
Moormann: Der Bundes-Klinik-Atlas soll die Frage beantworten, in welchem Krankenhaus Patientinnen und Patienten welche Versorgung in welcher Qualität erwarten können.
Im besten Fall funktioniert der Bundes-Klinik-Atlas wie eine bewertende Internet-Suchmaschine: Sie geben den geplanten Behandlungsanlass ein und erhalten dann das Ergebnis angezeigt. Das soll Ihnen eine verlässliche Grundlage geben zu entscheiden, wo sie sich behandeln lassen. Und das nicht alleine aufgrund von Hörensagen und einzelnen subjektiven Erfahrungen, die womöglich nicht zum eigenen Behandlungsbedarf passen.
Der Wunsch der Verbraucherinnen und Verbraucher zu erfahren, wo sie welche Versorgung in welcher Qualität erwarten können, ist hoch legitim. Der Bundes-Klinik-Atlas sollte dies auf umfassender Datengrundlage ermöglichen. Das war und muss unverändert das Ziel sein.
netzpolitik.org: Hat der Bundes-Klinik-Atlas dieses Ziel erreicht?
Moormann: Der Bundes-Klinik-Atlas ist im Mai letzten Jahres gestartet und das war offensichtlich verfrüht, weil noch nicht alle Daten aktuell waren. Das spielte den Gegnern des Bundes-Klinik-Atlas in die Hände und löste eine heftige Kritik aus.
In der Folge wurde der Atlas sehr stark angepasst und dabei leider deutlich verschlechtert. Unter anderem wurde die zentrale Suchfunktion herausgenommen und die Versorgungsanlässe wurden in Gruppen zusammengefasst auf nur noch eine Auswahl beschränkt. Zu vielen Eingriffen zeigt der Bundes-Klinik-Atlas seitdem gar nichts mehr an. Das Ziel wurde also leider noch nicht erreicht.
„Es braucht ein Verzeichnis, das gut und unabhängig ist“
netzpolitik.org: Neben dem Bundes-Klinik-Atlas gab und gibt es ja noch andere Portale, um sich über Krankenhäuser zu informieren. Können Patient:innen nicht einfach eine Alternative nutzen?
Moormann: Sehr gut gelungen, weil sehr nutzerorientiert, war die Weisse Liste, die jedoch nicht mehr existiert.
Egal, ob man das Verzeichnis der Krankenhäuser oder die Angebote der Krankenkassenverbände betrachtet, unter dem Strich kommen sie alle nicht an die Qualität der Weissen Liste und des Bundes-Klinik-Atlas in seiner ursprünglichen Form heran. Das war ja auch der Grund für dessen Entwicklung, in die übrigens viel Know-how der Weissen Liste eingeflossen ist.
Für die Patientinnen und Patienten ist das nun eine äußerst missliche Lage. Aktuell wird es ihnen sehr schwer gemacht, sich zu orientieren. Wer hat schon die Zeit und mag sich stundenlang durch mehrere Verzeichnisse klicken, um am Ende doch nicht das zu finden, was man sucht?
Wichtig wäre, dass die Patientinnen und Patienten schnell finden und erkennen können, welches Krankenhaus im Vergleich die besten Behandlungsergebnisse erzielt, zum Beispiel die geringste Komplikationsrate aufweist. Finde ich das aber nicht, weil die Angaben zu verschachtelt sind, weil irrelevante Informationen ausgegeben werden wie die Bettenzahl des gesamten Krankenhauses oder die Gesamtfallzahl über alle Eingriffe hinweg oder kann ich die Versorgungsqualität verschiedener Häuser gar nicht miteinander vergleichen, dann hilft das natürlich nicht. Das ist auch das Problem des Verzeichnisses der Deutschen Krankenhausgesellschaft. Es ist wenig nutzerfreundlich und es ist vor allem nicht unabhängig.
In Deutschland wird viel über unzureichende Gesundheitskompetenz gesprochen. Die können die Menschen jedoch nicht erlangen, wenn ihnen das so verdammt schwer gemacht wird.
Wir brauchen auch nicht viele verschiedene Verzeichnisse, sondern nur eines, das gut und unabhängig ist und einzig die entscheidungsrelevanten Informationen anzeigt. Und diesen Atlas muss man dann bewerben und seine Informationen dort verfügbar machen, wo das Krankenhaus ausgewählt wird. Also in der Arztpraxis und direkt in der elektronischen Patientenakte.
netzpolitik.org: Woher kommen denn die Daten in all den unterschiedlichen Verzeichnissen?
Moormann: Die Daten stammen aus mehreren Quellen, insbesondere aus den strukturierten Qualitätsberichten der Krankenhäuser, aus Qualitätssicherungsverfahren und aus Strukturdaten der Krankenhäuser. Das sind zum Beispiel die Fallzahlen und die Zahl der Pflegekräfte.
Dazu kommen Angaben zu Zertifikaten und idealerweise werden auch die Ergebnisse von Patientenbefragungen eingespeist. Denn die Menschen sollten nicht nur erfahren, wie viele Eingriffe eine Klinik macht, sondern auch, wie es anderen Patienten dort ergangen ist, während des Aufenthaltes und in der Zeit danach.
„Transparenz belohnt Krankenhäuser mit guter Qualität“
netzpolitik.org: Als die Meldung aufkam, der Bundes-Klinik-Atlas könnte eingestellt werden, haben sich viele Akteure zustimmend geäußert. Warum wollen sie das Verzeichnis abschaffen?
Moormann: So viele Akteure waren das gar nicht, aber ihr Einfluss ist groß. Krankenhäuser, Bundesländer und auch Politiker. Darunter sind Akteure, die ein Interesse daran haben, mittelmäßige oder schlechte Versorgungsqualität zu verbergen, besonders die im eigenen Wahlkreis oder Bundesland.
So wie Transparenz Krankenhäuser mit guter Qualität belohnt, kann sie sich nachteilig für andere Krankenhäuser auswirken. Gleichzeitig ist das aber der Ansporn, sich zu verbessern und weiterzuentwickeln. Es muss immer um die bestmögliche Versorgung der Patientinnen und Patienten gehen. Und deshalb braucht es eine unabhängige Stelle, die den Atlas betreibt.
netzpolitik.org: Aber ist das Gesundheitsministerium mit dem Bundes-Klinik-Atlas die richtige Adresse? Immerhin gibt es dort, gerade im Kontext der anstehenden Krankenhausreform, ebenfalls politische Interessen.
Moormann: Nein, das Bundesgesundheitsministerium zum Träger des Bundes-Klinik-Atlas zu machen, war keine gute Entscheidung. Es besteht dann immer die Gefahr, dass sachfremde politische Interessen verfolgt werden. Und genau das sehen wir derzeit. Statt den Bundes-Klinik-Atlas zügig weiterzuentwickeln und zu einem noch nützlicheren Instrument zu machen, wird über dessen Abwicklung nachgedacht. Das wäre folgenschwer und fatal.
Die Patientinnen und Patienten benötigen eine klare Orientierung und das klare Bekenntnis der Bundesregierung und des Gesetzgebers zu einem Bundes-Klinik-Atlas, der von Expertenwissen, Nutzerorientierung, Verständlichkeit und Unabhängigkeit geprägt ist. Er darf weder von politischen Interessen noch von denen der Krankenhausträger geleitet sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
