Netzpolitik

Gesichtsmasken bieten doppelten Schutz: Sie helfen gegen die Ausbreitung des Coronavirus – und dagegen, von Gesichtserkennung erkannt zu werden. Laut einer Studie des US National Institute of Standards and Technology (NIST) kommen selbst die besten der 89 untersuchten Gesichtserkennungsalgorithmen nicht gut mit maskierten Gesichtern klar. Die Fehlerrate gegenüber dem Originalbild ohne Maske liegt durch die Maske zwischen 5 und 50 Prozent.

Für die Untersuchung (PDF) setzte das Forschungsteam neun verschiedene Maskenformen digital auf die Originalfotos und testete damit die Leistung der Algorithmen. Die digitalen Masken waren schwarz oder im hellblau chirurgischer Masken gehalten. Es gab Masken, welche die Nase mitbedecken und welche ohne. Das Team verglich dann die Ergebnisse mit der Leistung der Algorithmen bei unmaskierten Gesichtern.

Die akkuratesten der untersuchten Gesichtserkennungssysteme hatten bei unmaskierten Gesichtern eine Fehlerrate von 0,3 Prozent. Bei Maskenbildern stieg die Rate bei den besten Algorithmen auf fünf Prozent, bei den meisten untersuchten Algorithmen jedoch auf 20 bis 50 Prozent.

Heraus kam auch: Die Algorithmen kamen mit runden Masken besser zurecht und mit den hellblauen besser als mit schwarzen Masken. Je mehr die Nase von der Maske bedeckt ist, desto schlechter konnten die Algorithmen das Gesicht erkennen.

Algorithmen werden mit maskierten Gesichtern gefüttert

Der jetzige Vorteil von maskierten Gesichtern gegenüber der Gesichtserkennung könnte allerdings von kurzer Dauer sein. Derzeit arbeiten Forschende und Überwachungsunternehmen daran, ihre Computer mit Datensätzen maskierter und unmaskierter Menschen zu füttern, damit die Algorithmen auch maskierte Menschen besser erkennen. NIST kündigte für den Spätsommer eine weitere Studie an, bei der die Algorithmen die Maskierung stärker berücksichtigen würden.

Gesichtserkennungsforscher:innen und Überwachungsunternehmen nutzen derzeit auch Selfies von Menschen mit Masken auf Instagram-Accounts, weil sie dort Bilder sowohl mit und ohne Maske der gleichen Personen vorfinden. Ein solches Abgrasen von Bildern im Internet hatte auch die Recherche von netzpolitik.org zum Unternehmen PimEyes aufgedeckt.

Den Sicherheitsapparaten verursacht das Tragen von Masken zumindest derzeit noch Kopfschmerzen. In einem internen Bulletin warnte zum Beispiel die US-Behörde Department of Homeland Security (DHS) schon Ende Mai, dass die weit verbreitete Maskennutzung der polizeilichen Gesichtserkennung Probleme bereite. Das geht aus den BlueLeaks hervor, einem fast 300 GB großen Datensatz, der aus US-Polizeicomputern stammt.

Im Bulletin heißt es: „Wir gehen davon aus, dass gewalttätige Extremisten und andere Kriminelle, die seit jeher ein Interesse daran haben, die Gesichtserkennung zu vermeiden wahrscheinlich opportunistisch [..] das Tragen von Gesichtsmasken empfehlen werden, um die Wirksamkeit von Gesichtserkennungssystemen in öffentlichen Räumen [..] zu behindern“.

Grundrechtsfeindliche Technologie

Gesichtserkennung ist eine grundrechtsfeindliche Technologie. Dabei geht es unter anderem um Fehler bei der Erkennung, die auf einem rassistischen Bias der Daten beruhen. Weil Gesichtserkennungssysteme bei People of Color eine höhere Fehlerquote als bei weißen Personen haben, sind sie vom Einsatz der Technologie besonders betroffen. Jeder Fehlalarm kann dazu führen, dass eigentlich unverdächtige Personen überwacht, durchsucht und festgehalten werden, was für diese traumatisierend und stigmatisierend sein kann.

Doch nicht nur der rassistische Bias ist ein Problem der Technologie: Gesichtserkennung erhöht mit „dem Nummernschild im Gesicht“ die allgegenwärtige Überwachung, bedroht Grundrechte wie die Versammlungsfreiheit und schafft letztlich die Privatsphäre ab.

In Deutschland setzt sich unter anderem das Bündnis „Gesichtserkennung stoppen!“ gegen diese Hoch-Risikotechnologie ein. Dem Bündnis gehören zahlreiche Digital- und Bürgerrechtsorganisationen an.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Die Corona-Zahlen steigen deutschlandweit. Und damit zeigen sich auch wieder die Herausforderungen bei der Nachvollziehbarkeit von Kontaktverfolgungen. In meinem Bekanntenkreis in Berlin gibt es einen Fall, in dem eine Bar betroffen ist. Barpersonal und Besucher:innen hatten sich bei einem Gast angesteckt, Dutzende Menschen sind bereits in Quarantäne. Das Gesundheitsamt sucht jetzt über eine Pressemitteilung zahlreiche Gäste, die noch nicht identifiziert worden sind, auch weil sie Fake-Daten beim Besuch hinterlassen haben.

Die dafür geltenden Regeln sind auch eine Herausforderung. Es macht in einer Pandemie schon Sinn, von allen Gästen Daten zu haben, um sie in einem solchen Fall direkt erreichen zu können. Andererseits gibt es das Problem, dass diese Daten auf Zetteln an der Bar gesammelt werden, diese nicht ausreichend gesichert sind und theoretisch von allen anderen Gästen auch gesehen werden können. Und dann gibt es neue Begehrlichkeiten bei Polizeibehörden, über die wir berichtet hatten. Man möchte also ungern diese Daten hinterlassen, weil es bisher keine datenschutzrechtlich einwandfreie Lösung gibt, mit der alle Beteiligten ein gutes Gefühl haben.

Bessere Kommunikation schafft Vertrauen

Eigentlich ist für diese Fälle die Corona-Warn-App gedacht und ideal. Sie erfüllt alle Kriterien, die Expert:innen an sie gestellt haben: Dezentralität, Anonymität und Open Source. Aber immer wieder gibt es Probleme mit der Usability, also der Art und Weise, wie man die App benutzen kann. Genau das führt gerade zu weniger Vertrauen.

Und immer noch ist unklar, wie viele Nutzer:innen hinter den 16 Millionen Downloads tatsächlich stecken. Denn aufgrund von technischen Mängeln gab es häufig auch mehrere Installationen durch eine Person, die aber immer auf die Downloads aufgerechnet wurden. Damit digitale Kontaktverfolgung gut funktioniert, braucht das System aber viele Nutzer:innen. Die Downloadzahlen stagnieren leider seit einiger Zeit, das Virus hingegen leider nicht.

Gleichzeitig ist die Usability noch stark verbesserungswürdig, damit das Vertrauen in die App tatsächlich steigt. Derzeit sind Informationen irgendwo versteckt und ich kenne Fälle, in denen es sogar digitalkompetente Menschen nicht verstanden haben, dass irgendwo in der App Telefonnummern für die Hotlines der Deutschen Telekom zu finden sind. Eben jene Hotlines, die wir übrigens mit viel Geld von unseren Steuergeldern finanzieren. Stattdessen telefonieren sich die Menschen durch überlastete Gesundheitsämter, weil sie Warnungen in der App nicht verstanden haben. Das muss sich dringend verbessern, damit die Akzeptanz steigt.

Hersteller müssen nachbessern

Und dann macht auch die unausgereifte Technik noch Probleme, die allerdings nicht nur auf Seiten der App-Entwickler:innen zu beheben sind. SAP und Deutsche Telekom bitten jetzt Nutzer:innen der Corona-Warn-App, diese mindestens einmal am Tag zu öffnen, um sicherzugehen, dass sie sich auch aktualisiert. Aber wichtig sei dabei zu beachten: Man soll das alle 24 Stunden plus eine Minute machen. Hintergrund ist, dass in diversen Konstellationen auf Betriebssystem-Ebene sonst möglicherweise der Austausch der Schlüssel und damit die Hauptfunktion der App nicht richtig funktioniert. So etwas ist eine komplizierte Aussage, wenn es darum geht, dass Millionen Menschen so etwas umsetzen sollen.

Derzeit erfährt man solche Neuigkeiten aber auch nur aus den Medien, ebenso dass neue Updates verfügbar sind, die man sich installieren sollte. Warum nicht über die App selbst? Denn vor allem die Kommunikation ist derzeit das größte Problem.

Ich bin da voll und ganz bei unserem Bundesdatenschutzbeauftragten Ulrich Kelber, der heute wieder die Hersteller aufforderte, hier nachzubessern: „Ich fordere die Telekom und SAP auf, zukünftig eine schnellere und transparentere Kommunikation, insbesondere bei eventuellen Datenschutzproblemen, sicherzustellen um das hohe Vertrauen in die Corona-Warn-App nicht zu gefährden.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

This buzzy new AI can make human-sounding recipes, but they still taste gross (CNN)
Wer hat da das Rezept zusammengestellt – Künstliche Intelligenz oder doch nur „Worst of Chefkoch“? Rachel Metz kocht ein Rezept für Wassermelonenkekse nach, das zwar wie von einem Menschen geschrieben klingt, aber doch nur von einer KI kommt. Es schmeckt wohl eher mäßig, doch zeigt gut die Beschränkungen aktueller Systeme auf. Nur gut, dass die KI hier offenbar nicht mit der Chefkoch-Datenbank trainiert wurde. Dann wären vielleicht eher „Fleischwurst-Ketchup-Kekse à la Horst mal anders“ dabei rausgekommen. Da klingen Melonenkekse doch vergleichweise lecker.

Wasserbetriebe gegen Hackerangriffe mangelhaft geschützt (Tagesspiegel)
Ein IT-Sicherheitsunternehmen hat die Infrastruktur der Berliner Wasserbetriebe untersucht. Das Fazit des Abschlussberichts: Durch viele kritische Schwachstellen ist die Abwasserentsorgung gefährdet. Die Wasserbetriebe haben die Untersuchung selbst beauftragt und wollen nun schnell Lücken schließen.

Huge apparent leak unearths Nintendo’s prototype history (Ars Technica)
Auf 4chan wurden eine Menge Code- und Grafikdateien veröffentlicht, die von Nintendo stammen sollen. Darin sieht man – falls der Leak echt ist – was es nicht in das finale Release geschafft hat. Luigi, der einen Mittelfinger zeigt, frühe Pokemon-Entwürfe und Sprachdateien, bevor sie für den Nintendo64 bis zur Unkenntlichkeit komprimiert wurden. In den Dateien sind aber wohl auch Mails enthalten, die persönliche Daten offenbaren. Darüber dürften viele weniger begeistert sein.

The Vatican Is Said to Be Hacked From China Before Talks With Beijing (New York Times)
Laut einem US-Unternehmen haben staatliche chinesische Hacker die Netze des Vatikan infiltriert. Dabei hätten die Angreifer auch Phishing-Mails im Namen des päpstlichen Staatssekretärs versendet. Als Anlass werden dabei bevorstehende Gespräche der beiden Nationen vermutet. Am besten hat die Geschichte wohl Patrick Beuth auf Twitter zusammengefasst: „Phranziskus phisht phrische Phische im Phatikan?“

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Die Polizei in Seattle hatte nach den teilweise gewalttätigen Protesten vom 30. Mai in der Stadt von mehreren Medien gefordert, bislang unveröffentlichte Foto- und Videoaufnahmen für die Strafverfolgung herauszugeben. Dagegen wehrten sich die Fernsehsender KING 5, KOMO, KIRO, KCPQ und die Zeitung „The Seattle Times“ – und scheiterten nun.

Ein Kammergericht in Seattle hat die Nutzung des Materials zwar auf schwere Fälle wie Brandstiftung von Polizeiautos und den Diebstahl von Dienstwaffen beschränkt, schafft damit dennoch einen „gefährlichen Präzedenzfall“, sagt Madeline Lamo vom „Reporters Committee for Freedom of the Press“ gegenüber Poynter.org. Das Urteil mache Reporter:innen zum verlängerten Arm des Staates. Dies könne dazu führen, dass Medien in der Zukunft auf Protesten nicht mehr willkommen seien.

Die Arbeit von Journalist:innen ist im Bundesstaat Washington eigentlich durch das „Reporter Shield Law“ geregelt. Dieses sieht den Schutz von Quellen oder unveröffentlichtem Rohmaterial vor.

In einem gemeinsamen Statement der National Press Photographers Association und des Press Freedom Defense Funds heißt es:

Dieses Urteil stellt die freie Presse unnötigerweise gegen die Öffentlichkeit, für die sie berichtet, und zwingt sie – gegen ihren Willen – dazu, der Regierung zu helfen, der sie durch ihre Berichterstattung Rechenschaft ablegen muss.

Die betroffenen Medien erwägen nun weitere rechtliche Schritte gegen das Urteil.

Ähnliche Vorfälle in Deutschland 2013

Dass die Polizei Zugriff auf Materialien der Presse haben will, ist auch schon in Deutschland passiert – und zwar noch brachialer als gerade in Seattle. Im Nachgang von Protesten in Frankfurt, bei denen ein Polizist verletzt wurde, durchsuchten Polizeien im Jahr 2013 in fünf Bundesländern Wohnungen mehrerer Pressefotografen und beschlagnahmten Aufnahmen. Sie erklärten die teilweise hauptberuflichen Fotojournalisten kurzerhand zu Anhängern der linken Szene, um mit diesem Kunstgriff die Pressefreiheit auszuhebeln.

Cornelia Haß, die Bundesgeschäftsführerin der Deutschen Journalistinnen- und Journalisten-Union (dju), kritisierte damals, dass Pressevertreter mit brachialen Methoden gezwungen würden, Hilfspolizisten zu spielen. Die Durchsuchungen seien vollkommen inakzeptabel und verstießen gegen die Pressefreiheit.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Eine neue Runde Facebook versus die EU-Kommission: Der Social-Media-Konzern verklagt die EU-Wettbewerbsaufsicht. Streitpunkt: Die Wettbewerbshüter:innen hätten riesige Mengen interne Daten von Facebook angefordert, die aus Sicht des Unternehmens „irrelevant“ seien und zum Teil sensible Informationen seiner Mitarbeiter:innen enthielten. Das berichten unter anderen das Mediennetzwerk Euractiv und BBC News. Sie berufen sich dabei auf Aussagen eines Insiders sowie des Wettbewerbsanwalts von Facebook, Tim Lamb.

Die Wettbewerbsaufsicht der EU-Kommission ermittelt seit mehr als einem Jahr gegen Facebook: Sie untersucht zum einen, ob Facebook den Wettbewerb für Online-Kleinanzeigen verzerrt, in dem es seinen Marketplace bei seinen zwei Milliarden Nutzer:innen bewirbt. Zudem gehen die Wettbewerbshüter:innen der Frage nach, wie das Unternehmen Daten sammelt und verarbeitet, auch zu Werbezwecken.

Wettbewerbsaufsicht fordert zahlreiche Dokumente an

Die EU-Kommission hat nun interne Dokumente angefordert, die auf mehr als 2.500 Suchvorgängen beruhen. Die Schlüsselwortkriterien seien „sehr breit angelegt“, berichtet ein Insider gegenüber Euractiv. Darunter sind Wortkombinationen wie „big question“, „shutdown“ und „not good for us“. Unter diesen Umständen müsste Facebook der Kommission wohl Hunderttausende Dokumente bereitstellen, so die Einschätzung der Quelle.

Viele davon enthielten persönliche Informationen, die für die Ermittlungen nicht relevant seien. Unter anderem könnten medizinische Unterlagen von Mitarbeiter:innen, Informationen über Kinderbetreuung und Daten zu privaten Investitionen und Versicherungen darunter sein. Diese Bedenken äußerte auch Facebook-Anwalt Tim Lamb gegenüber BBC News.

Facebook hat der Kommission bereits mehr als 315.000 Textdatensätze zur Verfügung gestellt, seit diese ihre Ermittlungen aufgenommen hat, berichtet die Nachrichtenagentur Reuters. Das entspricht 1,7 Millionen Dokumentseiten.

Facebook verweigert einfache Herausgabe von Daten

Auch jetzt war das Unternehmen nach eigener Aussage zunächst bereit, der Wettbewerbsaufsicht die angeforderten Daten zukommen zu lassen – allerdings nur über sogenannte Datenräume. Digitale Datenräume sind eine sichere virtuelle Umgebung, in der Informationen abgelegt werden können, ohne dass Dritte diese kopieren oder abspeichern könnten. Die Kommission habe den Zugriff auf die Dokumente über Datenräume jedoch verweigert, so Facebook. Die Kommission habe stattdessen Kopien der Textdatensätze von Facebook verlangt, berichtet Euractiv.

Facebook hat daraufhin beim Gericht der Europäischen Union Beschwerde gegen die Forderungen der EU-Kommission eingelegt. Tim Lamb versicherte zwar, dass Facebook kooperieren werde und damit rechne, der Kommission Hunderttausende Dokumente zur Verfügung zu stellen. Die Datenanforderungen gingen jedoch über die für die laufenden Ermittlungen notwendigen Informationen hinaus und seien deshalb ein Fall für das EU-Gericht.

Ein Sprecher der EU-Kommission hielt dagegen, dass diese ihren Standpunkt verteidigen und auch die Untersuchungen gegen Facebook fortsetzen werde. Das EU-Gericht muss nun entscheiden, ob Facebooks Klage zulässig ist. Eine Anhörung könnte nach Informationen der Financial Times frühestens im September stattfinden.

Kommission prüft, ob Facebook seine Macht missbraucht

Im Rahmen ihrer Ermittlungen hat die Kommission im vergangenen Jahr Fragebögen an Konkurrent:innen von Facebook versendet. Sie will herausfinden, ob und wie deren Geschäft unter anderem mit Kleinanzeigen durch das Wettbewerbsverhalten von Facebook beeinflusst wurde. Ende 2019 weitete die Kommission außerdem ihre Ermittlungen gegen Facebook und Google aus, um zu prüfen, wie die Konzerne Daten sammeln, verarbeiten und Dritten – unter anderem für Werbezwecke – zur Verfügung stellen. Dahinter steht die Befürchtung, dass die digitalen Riesen ihre Macht über Daten missbrauchen, um Wettbewerber:innen zu blockieren und neue Wirtschaftssektoren zu erschließen.

Auch in Deutschland bekam Facebook im vergangenen Jahr Probleme. Das Bundeskartellamt bemängelte, dass Nutzer:innen nicht darüber entscheiden können, dass ihre Daten unter den verschiedenen zu Facebook gehörenden sozialen Netzwerken – unter anderen Facebook, Instagram, Whatsapp – zusammengeführt werden. Das Kartellamt ordnete damals an, dass Facebook eine „innere Entflechtung“ vornehmen müsse, so dass Nutzer:innen über die Zusammenführung ihrer Daten frei entscheiden können. Gegen diese Anordnung klagte der Konzern, aber der Bundesgerichtshof gab dem Kartellamt Recht: Das Verbot der Zusammenführung von Daten der Nutzer:innen wurde durchgesetzt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Heavy Metal im Online-Festival: Wacken World Wide beginnt Mittwoch (heise.de)
Wacken 2021 ist schon ausverkauft, aber für dieses Jahr gibts noch Streaming-Plätze. Wer langhaarige Stromgitarrist:innen mag und zu Hause genug Platz zum Headbangen hat, kann sich das Spektakel ab Mittwoch zu Hause reinziehen. Zu den großen Unterstützern gehört übrigens die Deutsche Telekom, die – so der Werbesprech – „eines der weltweit wichtigsten Festivals in diesem revolutionären Format“ präsentiert. Es soll die „größte Mixed-Reality-Metal-Show aller Zeiten“ werden.

On TikTok, #FreeBritney conspiracy theories run deep (mashable.com)
Auf Tiktok hat der Hashtag #FreeBritney etwa 140 Millionen Views, schreibt Mashable. Was es mit den Fansorgen über das Popsternchen auf sich hat? Die Verschwörung um die befürchtete Unterdrückung von Britney Spears wurde zumindest von einem gelben Kleidungsstück befeuert. Ob das ohne Sommerloch auch passiert wäre?

Transit chimes by chord interval (Denise Lu/Medium)
Wer immer schon wissen wollte, mit welchen Tonfolgen U-Bahnen rund um die Welt ihre Abfahrt signalisieren, kann jetzt entspannt aufatmen. Denise Lu, Datenjournalistin bei der NY Times, hat auf Medium bestens dokumentiert, wo die Öffis besonders schön, langweilig oder einfach nur interessant klingen.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Im letzten Jahr hat der Stadtrat von San Francisco eine international beachtete Verordnung gegen Überwachungstechnologie verabschiedet. Diese erschwert die städtische Anschaffung von Überwachungstechnologien und verbietet Gesichtserkennung.

Gegen diese Verordnung hat nun die Polizei von San Francisco (SFPD) offenbar verstoßen, hat die Electronic Frontier Foundation (EFF) herausgefunden. Während der Proteste gegen Polizeigewalt und Rassismus hat das SFPD auf mehrere hundert Kameras im Union-Square-Bezirk der Stadt über mehrere Tage Echtzeit-Zugriff gehabt. Außerdem hat sich die Behörde eine Kopie aller Kameraaufzeichnung in einem 12-Stundenzeitraum Ende Mai geben lassen.

Es handelte sich um die Kameras des „Union Square Business Improvement District“ (BID), der von einer privaten Non-Profit-Organisation betrieben werden. Die Überwachungskameras wurden vom Kryptowährungsmogul Chris Larsen finanziert. Insgesamt werden in San Francisco 135 Häuserblocks von solchen privatisierten Überwachungskameras überwacht, das größte davon ist das des Union Square BID.

Eine Gefahr für die Bürgerrechte

Am Morgen des 31. Mai erfragte das SFPD Echtzeitzugang zu den Kameras – und bekam ihn zwei Stunden später erteilt. Insgesamt sieben Tage nutzte die Polizei die Überwachungskameras – entgegen der im letzten Jahr verabschiedeten Verordnung. Die sieht laut EFF vor, dass die Polizei sich vom San Francisco Board of Supervisors eine Genehmigung holen muss. Auch wenn sie Material von privaten Kameras einholen will.

Die EFF kritisiert, dass die nicht-regulierten Überwachungskamera-Netzwerke eine Bedrohung für die Bürgerrechte seien – auch außerhalb von Protesten. Sie fordert die Polizei auf, die Überwachung von Protesten zu unterlassen.

Die Vereinigten Staaten von Amerika erleben seit dem Tod von George Floyd durch einen Polizisten eine Welle des Protests im ganzen Land, die weiter anhält. US-Präsident Trump schickt derzeit ungekennzeichnete Bundespolizisten in von Demokraten regierte Städte, die dort mit großer Härte gegen Demonstrierende vorgehen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Trotz Corona-Pandemie geht der staatlich geförderte Breitbandausbau in Deutschland weiter wie zuvor: im Schneckentempo. Das zeigen aktuelle Zahlen des Bundesministeriums für Verkehr und digitale Infra­struktur (BMVI) auf eine parlamentarische Anfrage der Grünen.

Demnach hat das BMVI im ersten Halbjahr 2020 insgesamt etwas mehr als 188 Millionen Euro an Fördermitteln ausgeschüttet. Im gesamten Jahr 2019 waren es gut 260 Millionen Euro, im Jahr zuvor rund 103 Millionen.

Mit dem Förderprogramm unterstützt die Bundesregierung den Ausbau von schnellem Internet in Gebieten, die derzeit unterversorgt sind und wo bislang kein Netzbetreiber ausbauen wollte. Rund elf Milliarden Euro nimmt die Regierung dafür insgesamt in die Hand, bewilligt sind inzwischen fast sieben Milliarden Euro.

Allerdings sind seit 2015 bloß knapp 570 Millionen Euro bei den Ausbauprojekten angekommen, rund 70 Millionen davon gingen an Beratungsunternehmen. „Dies zeigt, wie zäh die Förderverfahren sind und welchen Herausforderungen die Kommunen gegenüberstehen“, sagt Margit Stumpp, Expertin für digitale Infrastruktur der Grünen Bundestagsfraktion.

Ausbau rentabel gestalten

Wie schon in den Jahren zuvor ging auch diesmal der Löwenanteil an Projekte, die den Netzbetreibern die sogenannte Wirtschaftlichkeitslücke schließen. Rund 116 Millionen Euro sollen dafür sorgen, dass der Ausbau in unterversorgten Gebieten für Telekom, 1&1 und Co. rentabel wird.

Knapp 67 Millionen Euro flossen an kommunale Projekte, welche die passive Infrastruktur selbst bauen und sie anschließend an Netzbetreiber verpachten. Das ist eine deutliche Steigerung im Vergleich zu den Vorjahren: 2019 waren es 55 Millionen, im Jahr davor nur 11 Millionen, die solchen Projekten zugutekamen.

Immerhin ist der Anteil der Beratungsleistungen am Förderkuchen zurückgegangen. Vor allem in der Anfangsphase des 2015 auf den Weg gebrachten Bundesförderprogramms konnten Berater stolze Beträge lukrieren. Im Vorjahr waren es noch rund 24 Millionen Euro, im laufenden Jahr hat das BMVI Beratungsunternehmen bislang nur etwas mehr als fünf Millionen überwiesen.

Zugleich haben 91 Projekte auf eine bereits bewilligte Förderung mit Bundesmitteln verzichtet. Stattdessen bauen sie lieber mit Unterstützung ihres Bundeslandes oder setzen auf private Netzbetreiber, um alternde Netze aufzumöbeln. Zum Vergleich: Insgesamt wurden bislang 921 Projekte bewilligt, 395 davon haben die folgende Ausschreibungsrunde positiv abgeschlossen, heißt es in der Antwort des BMVI.

Riesige Summen bleiben ungenutzt

Oliver Krischer, stellvertretender grüner Fraktionsvorsitzender, sieht hier einen Trend. „Ich schätze, dass am Ende des Förderprogrammes 30 bis 40 Prozent der Kommunen das bewilligte Geld nicht verbauen werden“, sagt Krischer in einer Stellungnahme.

Tatsächlich haben viele Projekte Schwierigkeiten dabei, das vorhandene Geld auszugeben. Selbst das Vorreiterland Mecklenburg-Vorpommern, das bereits in der ersten Förderrunde fast eine Milliarde Euro an Förderung an Land ziehen konnte, ist meilenweit von der eigenen Zielsetzung entfernt.

Aufwendige Planungen, komplizierte Bewilligungsverfahren und fehlende Kapazitäten bei Baufirmen führten dazu, dass 813 Millionen Euro weiterhin ungenutzt herumliegen. Ähnlich weit klafft die Schere in Nordrhein-Westfalen auseinander, wo von mehr als einer Milliarde an bewilligten Fördermitteln lediglich 70 Millionen für Baumaßnahmen abgeflossen sind.

Sackgasse Kupferkabel

Teils sind diese Verzögerungen auch der Neuauflage des Bundesförderprogramms geschuldet. Nach der desaströsen Amtszeit von Alexander Dobrindt als Infrastrukturminister entschied sich die neu aufgelegte schwarz-rote Koalition, den staatlich geförderten Ausbau zukunftsfest zu gestalten und nur mehr echte Glasfaserleitungen zu fördern.

Ursprünglich zielten die Fördermaßnahmen auf einen möglichst schnellen Ausbau der sogenannten „Weißen Flecken“ ab. In der Praxis bedeutete dies die staatliche Förderung alter Kupferleitungen, aus denen vor allem die Telekom Deutschland das letzte Quentchen Leistung herauspressen wollte. Die Überarbeitung der Förderbedingungen war zwar sinnvoll und überfällig, machte in vielen Fällen jedoch eine Neuausrichtung schon geplanter Projekte notwendig.

„Durch die jahrelange Duldung und Förderung der fortschrittsfeindlichen Vectoring-Technik hat die Bundesregierung wertvolle Zeit und viel Geld vergeudet, statt geeignete Rahmenbedingungen für schnellere und zukunftssichere Technologien wie Glasfaser bereitzustellen“, ärgert sich die Grüne Stumpp.

Es brauche ein langfristiges Konzept, in dem Breitband- und Mobilfunkausbau zusammengedacht werden und ein weiteres Update des aktuelle Bundesförderprogrammes, so Stumpp. „Weitere Milliarden in den Fördertopf zu werfen, wie es Scheuer am liebsten macht, ist offensichtlich nicht die Lösung.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Im November wird die erste „Heron TP“ an die Bundeswehr ausgeliefert und auf einem Militärflughafen nahe Tel Aviv stationiert. Am Sonntag hat die Drohne ihren Erstflug in Israel absolviert, meldet die Jerusalem Post. Welcher Luftraum bei dem Test überflogen wurde, schreibt die Zeitung nicht.

Das deutsche Verteidigungsministerium hat bei dem Rüstungskonzern Israel Aerospace Industries insgesamt fünf „Heron TP“ bestellt. Im Falle eines gleichzeitigen Einsatzes in zwei Mandatsgebieten könnte sich die Stückzahl auf sieben erhöhen, sodass die ebenfalls in Israel erfolgenden Trainings auf den deutschen Drohnen nicht unterbrochen werden müssen. Derzeit werden vier deutsche Soldaten in Israel zur Steuerung und Missionsführung der „Heron TP“ geschult, insgesamt sollen 35 Teams zu je zwei Personen ausgebildet werden.

Weichen für Kampfdrohnen sind gestellt

Die „Heron TP“ wurden bewaffnungsfähig bestellt, für die Aufhängepunkte von lasergesteuerten Raketen und die notwendige Elektronik hat das Verteidigungsministerium 50 Millionen Euro bezahlt, der Anschaffungspreis summiert sich damit auf 600 Millionen Euro. Weitere 180 Millionen werden für die Stationierung der Drohnen auf einer israelischen Luftwaffenbasis und die Ausbildung des deutschen Personals fällig.

Ob die Option zur Bewaffnung wahrgenommen wird, soll aber noch vom Bundestag entschieden werden. Entsprechende Pläne hegt die schwarz-rote Bundesregierung seit zwei Legislaturen, die Parteien wollen laut dem Koalitionsvertrag aber erst „nach ausführlicher völkerrechtlicher, verfassungsrechtlicher und ethischer Würdigung“ über die Kampfdrohnen entscheiden.

Die Weichen für die deutschen Kampfdrohnen sind jedoch gestellt. Vor über zwei Jahren hat die Bundeswehr in Manching ein „Waffensystemunterstützungsteam Unmanned Aerial Systems“ (WaSysUstgT UAS) eingerichtet, seit Oktober 2018 ist die Abteilung einsatzbereit. Die Aufgabe der Truppe ist die Begleitung bei der Einführung des neuen Waffensystems. Hierzu gehört auch die Einsatzprüfung und die Beurteilung, ob die ausgelieferten „Heron TP“ den Anforderungen entsprechen. Das Personal in Manching soll auch „operationelle“ Fragen abdecken, Lehrgänge erfolgen an einer Pilotenschule in den USA und in Israel.

Berufsbild „Waffensystem-Operateur“

Für ihre Drohnenbesatzungen hat die Bundeswehr neue Werdegänge eingeführt. Zur Steuerung und der Bedienung von Kameras und anderen Sensoren setzt die Luftwaffe „Luftfahrzeugführer“ und „Tactical Operators“ ein. Mit bestandener Ausbildung tragen sie das Tätigkeitsabzeichen „Militärluftfahrzeugführer“. Die Auswertung der Sensordaten erfolgt hingegen durch eigens geschultes Luftbildpersonal, das bei Einsätzen auch aus Deutschland arbeiten kann.

Wenn der Bundestag der Beschaffung bewaffneter Drohnen zustimmt, kommen zu diesen Tätigkeitsfeldern „Waffensystem-Operateure“ hinzu. Auch ohne Beschlussfassung bereitet die Bundeswehr entsprechende Lehrgänge vor, ab 2021 ist die Ausbildung des Raketen-Personals geplant. Sie werden bei der Bundeswehr als „Luftfahrzeugbesatzungsangehörige“ bezeichnet.

Ab 2028 soll die „Heron TP“ durch die „Eurodrohne“ ersetzt werden. Sie wird von Airbus Defence & Space gebaut und soll neben Raketen auch Lenkbomben abwerfen können. Für die Stationierung aller großen Drohnen der Luftwaffe errichtet das Verteidigungsministerium derzeit eine Basis im schleswig-holsteinischen Jagel.

150.000 Euro für „Drohnendebatte“

Jetzt hat es die Bundesregierung eilig, offenbar steht die Entscheidung zur Bewaffnung bevor. Das Verteidigungsministerium hat deshalb eine kurze „Drohnendebatte“ durchgeführt und dem Bundestag einen Bericht übermittelt, der Gründe für die Bewaffnung anführt. Die Veranstaltungsreihe bestand aus mehreren Livechats und Anhörungen, bei denen vorrangig Bundeswehrangehörige und Abgeordnete zugegen waren. Laut dem Verteidigungsministerium haben die fünf Veranstaltungen 150.000 Euro gekostet. Wofür die hohe Summe verwendet wurde, ist unklar.

Vor einem Bundestagsbeschluss für die Einführung von Kampfdrohnen will die SPD noch eine eigene Anhörung im Bundestag durchführen. In zwei Jahren sollen die bewaffneten „Heron TP“ dann einsatzbereit sein. Die Bundeswehr will die „Heron TP“ ab 2021 in Afghanistan und ab 2024 in Mali fliegen. Ob sie dort Lenkraketen tragen, soll der Bundestag für jedes Mandat einzeln entscheiden.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Für Menschen, die dazu neigen, auf allen ihren Geräten Freie Software zu nutzen, ist das Smartphone bisher wohl die größte Herausforderung. Zwar gibt es seit mehreren Jahren Mobiltelefone mit freien Betriebssystemen und mit Hardware, die keine oder nur wenige proprietäre Treiber braucht. Aber vieles blieb in hohem Maße experimentell und für die alltägliche Nutzung einfach anstrengend. Das könnte sich ändern: Voriges Jahr hatte das Unternehmen Pine64 angekündigt, mit dem PinePhone ein Produkt auf den Markt zu bringen, das nicht nur frei, sondern auch durchaus alltagstauglich werden soll.

Pine64 offeriert neben dem Mobiltelefon eine Palette weiterer freier Geräte: das Laptop PineBook Pro Linux, das Tablet PineTab Linux, die Smartwatch PineTime Linux oder den Lötkolben Pinecil RISC-V (sic). Nach ein paar Verzögerungen durch die Covid-Pandemie wurden dieses Jahr zunächst ein Prototyp für die Entwickler-Community und dann auch das Smartphone auf Open-Source-Hardware zum regulären Kauf für nur knapp 130 Euro angeboten. Es war in dieser ersten Version von 4.500 Geräten rasch ausverkauft.

Technische Grundlage für das aktuell angebotene PinePhone ist postmarketOS, eine Linux-Distribution extra für Smartphones, die auch auf anderen Mobiltelefonen läuft. Beim PinePhone werden für alle Komponenten (und beim Zubehör) allerdings keine proprietären, sondern nur freie Treiber genutzt, außer wenn der Nutzer das explizit anders möchte. Mit Blick auf die Liste freier Smartphones und deren Status kann man dem Team hinter dem PinePhone nur die Daumen drücken: Denn bisher musste man für seinen Wunsch nach Privatsphäre und Freiheit oft ziemlich viel Geduld zeigen, so manche ambitionierte Projekte gingen ein.

Das Mobiltelefon erweist sich als ausgesprochen zackig: Mit dem selbst aufgespielten Arch Linux ist das Hochfahren samt funktionierender Netzverbindung mit dem PinePhone in nur fünf Sekunden möglich. Aber ist es auch alltagstauglich, gar für Menschen, die nicht Linux mit der Muttermilch aufgesogen haben? Das wollten wir in einem Interview herausfinden.

Wir sprechen mit Andreas Paetsch, der in der Linux-Community als waldstepper bekannt ist. Er sammelt bereits seit dem Jahr 2005 Erfahrungen mit Linux Ubuntu und GNU/Linux und schloss sich für den Austausch Linux User Groups an. Heute ist er Teil der Linux User Group LinuxWorks!, bei der sich Einsteiger und Fortgeschrittene treffen, um sich über Fragen und Probleme rund um das Thema Freie Software auszutauschen und sich aktuelles Wissen anzueignen.

Vollwertiger Computer statt „Elektronik-Schrott“

netzpolitik.org: Zuerst die vielleicht naheliegendste Frage: Wie sind Sie darauf gekommen, ein PinePhone zu kaufen?

Die Rückseite des PinePhones.

Andreas Paetsch: Ich habe mir schon seit langem ein richtiges Linux-Smartphone gewünscht. Im letzten November hatte ich auf dem Ubuntu-Berlin-Stammtisch erstmals von dem PinePhone erfahren. Der Preis und die Spezifikationen des Gerätes überzeugten mich sofort. Für mich war klar, dass ich es mir kaufen werde.

netzpolitik.org: Warum, um sich von Android oder iOS zu lösen?

Andreas Paetsch: Ich verwende auf meinen Computern GNU/Linux als Betriebssystem. So etwas möchte ich auch auf meinem Smartphone nutzen. Und es wird immer schwieriger, selbst Betriebssysteme auf einem handelsüblichen Smartphone zu installieren. Die letzten drei Jahre verwendete ich LineageOS auf einem Android-Smartphone.

Viele Hersteller sperren den Bootloader auf den Geräten, so dass man kein anderes System installieren kann. Zudem werden heute oft die Bauteile wie Speicher oder Akku verklebt und verlötet. Sind diese Bauteile defekt, dann werden die Geräte oft durch neue ersetzt. So etwas bezeichne ich als Elektronik-Schrott.

Das PinePhone hingegen ist ein vollwertiger Computer, bei dem man die Hardware, also Akku, Kamera, Mainboard oder Kabel, austauschen kann. Der Nutzer hat sogar die freie Auswahl, welches Betriebssystem er auf dem Smartphone laufen lassen möchte. Es geht sogar Dualboot. So etwas ist auf einem Android- oder iPhone-Gerät schlicht unmöglich.

Vorinstalliertes Betriebssystem

netzpolitik.org: Dahinter steckt also ein Interesse an freier Technologie und eine Bereitschaft, auch Zeit hineinzustecken. Die sogenannte Community Edition des PinePhones wird mit vorinstalliertem Betriebssystem von Partnerprojekten ausgeliefert. Ist das aus Ihrer Sicht für den Otto-Normalnutzer eine Option, wenn man sich von Google und Apple lösen will?

Andreas Paetsch: Das ist für den Otto-Normalnutzer eine Option, wenn man ein freies und unabhängiges Smartphone haben möchte. Man sollte aber wissen, dass sich Linux-Projekte für Smartphones noch in einem frühen Entwicklungsstand befinden.

PinePhone Community Edition UBports.

netzpolitik.org: Benutzen Sie die sogenannte „BraveHeart Edition“ für Bastler und Entwickler oder die schon erwähnte Community Edition?

Andreas Paetsch: Im April 2020 wurde bekannt: Das PinePhone ist mit Ubuntu Touch vorbestellbar. Ich orderte es im Shop in der Community Edition UBports, da ich seit fünfzehn Jahren Ubuntu-User bin.

netzpolitik.org: Stecken Sie insgesamt viel Zeit in das PinePhone, also ist es eher ein Bastelprojekt oder in erster Linie ein normales Mobiltelefon für den täglichen Gebrauch?

Andreas Paetsch: Ich nutze das PinePhone für den täglichen Gebrauch. Hin und wieder boote ich verschiedene Linux-Distributionen von der MicroSD-Karte, um zu schauen, wie sich andere Software-Projekte entwickeln.

netzpolitik.org: Welche Betriebssysteme außer Ubuntu sind noch empfehlenswert?

Andreas Paetsch: Persönlich finde ich postmarketOS sehr interessant.

Sehr günstig, aber auch was für unerfahrene Nutzer?

netzpolitik.org: Wenn man sich jetzt fragt: Wie schwierig ist es denn, ein anderes Betriebssystem zu installieren? Wieviel Zeit sollte man dafür einplanen?

Ein Blick unter die Haube des PinePhone, mit freundlicher Genehmigung von Ond?ej Jirman.

Andreas Paetsch: Es gibt gute Dokumentationen zum PinePhone, und es muss nichts geflasht werden. Eine Installation geht in wenigen Minuten.

netzpolitik.org: Für diese wenigen Minuten: Braucht man dafür Vorwissen oder kann das jeder, der das Wiki lesen kann?

Andreas Paetsch: Man sollte schon etwas Linux-Wissen mitbringen und ein Terminal bedienen können. Nur das Wiki lesen, wird nicht reichen, da man auch etwas Hintergrundwissen benötigt, beispielsweise was der DD-Befehl macht. Es ist ja auch ein Linux-Smartphone.

netzpolitik.org: Sollte es Ihrer Meinung nach noch niedrigschwelliger werden, so dass wirklich jeder das PinePhone benutzen könnte?

Andreas Paetsch: Wenn man sich ein PinePhone mit vorinstallierten Betriebssystem kauft, dann reicht Einschalten und Benutzen. Ich würde für unerfahrene User empfehlen, noch einige Zeit zu warten, bis die Software ausgereifter ist.

netzpolitik.org: Finden Sie eigentlich den Preis angemessen?

Andreas Paetsch: Ich finde den Preis sehr günstig. Zu dem Kaufpreis kamen aber noch Versand und Zoll dazu.

Hat es eine Chance gegen Google und Apple?

netzpolitik.org: Könnte das PinePhone sogar für einen großen Anteil Benutzer interessant sein werden? Also hat es eine Chance gegen die beiden Platzhirsche Google und Apple?

Andreas Paetsch: Nach meiner Erfahrung warten sehr viele Menschen auf so ein Gerät.

netzpolitik.org: Stimmt das auch außerhalb der Linux-Community? Gilt das auch für Leute ohne besonderes technisches Wissen?

Andreas Paetsch: Ein Linux-Rechner lässt sich nicht viel anders bedienen als ein Computer mit Windows, Android oder iOS. Nur dass ich persönlich mit einem Linux-Computer viel mehr machen kann als mit einem anderen System. Und ich lege auch großen Wert auf Freie Software.

Ich denke, wir haben in Deutschland ein Bildungsproblem. In den letzten Jahrzehnten wurde meiner Meinung nach Computer-Unterricht nicht richtig durchgeführt. Den Schülern wurde gelehrt, wie sie Programme der großen Konzerne bedienen. Ein allgemeines Verständnis für Computer wurde hingegen meist nicht vermittelt. Und oftmals ist es an den Schulen noch so, dass Lehrer Schüler unterrichten sollen, die selbst keine Computerausbildung vorweisen können.

In den Nachrichten wird berichtet, in Deutschland werde die Digitalisierung vorangetrieben. Dann werden Beispiele gezeigt, wo Schulen ihre Computerkabinette abschaffen und an die Schüler iPads der Firma Apple verteilt werden. Das finde ich sehr bedenklich. Dort werden dann wieder Produkte benutzt, aber kein Computerwissen vermittelt. Mit Computern kann man selbst programmieren. Das sollte doch auch an Schulen vermittelt werden und nicht nur, dass man an Computern Programme von Unternehmen ausführen kann.

Man stelle sich vor, man schickt Schüler zum Tanzunterricht mit der Bedingung, dass sie während des Unterrichts eine Zwangsjacke tragen müssen. Diesen Vergleich ziehe ich, wenn nur Windows und iOS gelehrt werden, aber nicht der Umgang mit Computern im Allgemeinen.

Empfehlung: Ubuntu Touch

netzpolitik.org: Welches Betriebssystem würden Sie empfehlen, wenn man mit einem PinePhone liebäugelt?

Andreas Paetsch: Im Moment „Ubuntu Touch“. Es kann aber jederzeit ein anderes Betriebssystem auf dem PinePhone eingerichtet werden. Man muss also nicht das System benutzen, welches beim Kauf auf dem Gerät installiert war.

netzpolitik.org: Neben dem PinePhone: Welche der Projekte von anderen Herstellern sind am spannendsten?

Andreas Paetsch: Es sind für die nächste Zeit schon weitere Linux-Smartphones von anderen Herstellern angekündigt. Ich bin gespannt auf das Volla Phone mit Ubuntu Touch und das Librem 5 von Purism.

netzpolitik.org: Und wie sähe das „perfekte“ Linux-Smartphone aus?

Andreas Paetsch: Ich habe schon eins. Ich vermisse am PinePhone nichts.

netzpolitik.org: Vielen Dank für das Gespräch!

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Ermittlungen zu Kindesmissbrauch: Seehofer verlangt längere Vorratsdatenspeicherung (Spiegel Online)
Während die Rechtmäßigkeit der aktuell ausgesetzten Speicherpflicht auf der Kippe steht, fordert unser Innenminister die Verlängerung der Speicherfristen – von zehn Wochen auf mindestens sechs Monate. Als Begründung zieht Seehofer diesmal die Bekämpfung von Kindesmissbrauch heran.

Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (Europäischer Datenschutzausschuss)
Der Fall von Privacy Shield wirft viele Fragen auf, der Europäische Datenschutzausschuss beantwortet die (von Unternehmen) am häufigsten gestellten. Darunter: Was muss ich tun, wenn ich bisher unter Berufung auf Privacy Shield Daten in die USA übermittle?

Photoreal Roman Emperor Project (Daniel Voshart/Medium)
Weiße Büsten sind eine Sache, fotorealistische Rekonstruktionen längst verstorbener Menschen – in diesem Fall römischer Kaisergesichter – eine andere. Der Künstler und Virtual-Reality-Experte Daniel Voshart hat mit Hilfe von Machine Learning historische Quellen ausgewertet. Entstanden sind Porträts sämtlicher römischer Herrscher von Augustus bis Numerian, der im Jahr 284 verstarb.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Aufgrund der jüngsten Welle rechtsextremer Drohschreiben kommt die Debatte um Datenmissbrauch durch Polizeibeamte wieder in Fahrt. Die Welt am Sonntag hat nun bei Innenministerien und Datenschutzbehörden in Erfahrung gebracht, dass wegen unbefugter Datenbankzugriffe seit 2018 in mehr als 400 Fällen gegen Polizeibedienstete ermittelt wurde.

Hintergrund der Recherche ist eine Reihe von mit „NSU 2.0“ unterschriebenen Drohbriefen, die seit zwei Jahren an Politiker:innen, Journalist:innen und Prominente verschickt wurden, die sich gegen Rassismus und für Geflüchtete engagieren. In mindestens drei Fällen enthielten die Morddrohungen öffentlich unzugängliche persönliche Daten, die zuvor aus Computern der Polizei Hessen abgerufen worden waren.

Eine der ersten Adressat:innen der rassistischen Drohbriefe war die Frankfurter Anwältin Seda Ba?ay-Y?ld?z. Sie vertrat im NSU-Prozess die Familie von Enver ?im?ek, dem ersten Mordopfer der rechtsextremen Terrorgruppe Nationalsozialistischer Untergrund. In den letzten Wochen war bekannt geworden, dass auch die hessische Fraktionsvorsitzende der Linken, Janine Wissler, und die Kabarettistin Idil Baydar ähnliche Schreiben erhielten. Auch ihre Daten waren kurz zuvor von Polizeicomputern abgerufen worden.

Steigende Zahlen, hohe Dunkelziffer

Erst im November 2019 hatte Spiegel Online berichtet, dass es seit dem Vorjahr 158 Verfahren gegen Polizeibeamte gegeben habe, weil sie unbefugt auf Daten zugegriffen haben. Die Welt am Sonntag kommt nun acht Monate später mit über 400 auf eine deutlich gestiegene Zahl an Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren. Die Frankfurter Rundschau berichtet von 192 Verfahren im Jahr 2019 allein in Hessen. 70 Fälle seien es in Niedersachsen gewesen, 64 in Bayern. Als einziges Bundesland konnte Sachsen-Anhalt keine Zahlen liefern.

Doch nicht nur deshalb ist von einer deutlich höheren Zahl missbräuchlicher Datenbanknutzungen auszugehen: In den seltensten Fällen fallen die Datenbankzugriffe von allein auf. Datenabfragen werden bei der Polizei zwar protokolliert, doch sie werden so gut wie nicht kontrolliert. Der Welt am Sonntag zufolge wird in Hessen lediglich bei jeder 200. Datenbankabfrage die Begründung der Polizist:innen geprüft. In Baden-Württemberg gelte dies für jede 50. Abfrage.

Hessen hatte die Stichprobenüberprüfung erst 2019 eingeführt, nachdem der Zusammenhang zwischen den Drohbriefen an Anwältin Ba?ay-Y?ld?z und Abfragen auf Polizeicomputern bekannt wurde. Der aufgrund der NSU-2.0-Affäre inzwischen zurückgetretene hessische Polizeipräsident, Udo Münch, illustrierte die Notwendigkeit der Kontrolle im Landtag damit, dass die Daten der Sängerin Helene Fischer dutzende Male abgefragt wurden, als sie ein Konzert in Frankfurt am Main gegeben habe. Der hessische Landesvorsitzende der Gewerkschaft der Polizei hatte sich damals gegen die Überprüfungen ausgesprochen. „Wegen ein paar schwarzer Schafe“ würde die gesamte Polizei unter Generalverdacht gestellt, kritisierte Alexander Grün.

Anzügliche SMS an Minderjährige

Doch mit jedem weiteren Fall zeigt sich, dass von Einzelfällen nicht mehr die Rede sein kann, sondern es sich um ein systemisches Problem handelt. Stärker in die Öffentlichkeit gelangte die Thematik überhaupt erst, weil im Zuge der EU-Datenschutzreform seit 2018 nicht mehr allein die Innenministerien, sondern auch die unabhängigen Datenschutzbehörden zuständig sind.

Sie berichten regelmäßig in ihren Jahresberichten von missbräuchlicher Datennutzung durch Polizist:innen. Die Gründe für die unbefugten Abfragen sind unterschiedlicher Natur, von der Überprüfung potenzieller Mieter:innen bis zum Stalking von ehemaligen Partner:innen.

Erst im vergangenen Jahr hatte der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern [PDF] für Aufsehen gesorgt, als er zwei Fälle öffentlich machte, in denen Polizisten die dienstlich erlangten Handynummern von Minderjährigen nutzen wollten, um sexuelle Kontakte anzubahnen. Eine der Betroffenen war eine 15-jährige Schülerin, die sich zuvor an die Polizei gewandt hatte, weil ungefragt Nacktfotos von ihr im Internet veröffentlicht wurden. Die andere, eine 13-Jährige, war Zeugin in einem Missbrauchsverfahren.

Immer wieder rechtsextreme Hintergründe

Immer wieder steckt hinter dem Datenmissbrauch durch Polizist:innen aber auch eine rechtsextreme Motivation: In einem ähnlichen Fall wie den NSU-2.0-Schreiben hatte ein Berliner Polizist 2017 die Daten von Menschen aus der linken Szene abgefragt und ihnen Drohbriefe geschickt. Ähnliches ereignete sich in den vergangenen Jahren in Greifswald.

Jüngst wurde bekannt, dass zwei Potsdamer Polizeiangestellte aus dem Umfeld des mutmaßlich rechtsextremen Vereins Uniter offenbar ihren Zugang zu Polizeidatenbanken missbraucht haben. Sie forschten unter anderem das Umfeld eines anderen Uniter-Mitglieds aus und informierten sich in diesem Zusammenhang auch über vergangene Polizeieinsätze.

Im Raum steht zudem der Verdacht, dass auch Daten, mit denen die rechtsextreme Prepper-Gruppe „Nordkreuz“ ihre Todeslisten pflegte, aus Polizeidatenbanken stammen könnten. Zu der von der taz aufgedeckten Gruppierung gehörten mehrere Polizeibeamte, die inzwischen suspendiert wurden.

Polizeiliche Datenbanken: Weitgehend unkontrolliert

Polizist:innen haben im Rahmen ihrer Arbeit Zugriff auf eine große Menge personenbezogener Daten. Die Antwort auf eine parlamentarische Anfrage zeigte für die Berliner Polizei unlängst, dass diese insgesamt mehr als 130 unterschiedliche Datenbanken nutzt. Die Polizei möchte sich meist jedoch nicht in die Karten schauen lassen, wie genau die Datenbanken gepflegt und genutzt werden: Auf eine Presseanfrage nach Zugriffskonzepten antwortete die Polizei nicht.

Erstmals kündigte nun auch Bundesinnenminister Horst Seehofer an, schärfere Kontrollen für polizeiliche Datenbankabfragen zu prüfen: „Ich werde prüfen, ob der Zugriff auf Polizeidatenbanken mit biometrischen Merkmalen besseren Schutz ermöglicht. Datenzugriffe sind eine sehr sensible Angelegenheit und sollten deshalb mit den höchsten Standards geschützt sein“, zitiert die Presseagentur AFP den CSU-Politiker.

Doch die polizeilichen Datenbanken geraten nicht nur wegen missbräuchlicher Zugriffe in Konflikt mit dem Datenschutz: Immer wieder sorgen auch Fehler in den Informationssystemen für Probleme. Um etwa auf der Liste der Verdächtigen im Bereich der sogenannten „Clan-Kriminalität“ zu landen, reicht oft ein falscher Name. 2017 wurden mehreren Journalist:innen aufgrund veralteter oder fehlerhafter Angaben in Polizeidatenbanken die Akkreditierungen für den G20-Gipfel in Hamburg entzogen. Erst Ende 2019 schlug zudem die Datenschutzaufsicht der Hauptstadt Alarm, weil die Berliner Polizei in großem Stil gegen Löschauflagen verstoßen und so einen Berg illegaler Daten angehäuft hatte.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Vor dem Bundesgerichtshof (BGH) sind heute zwei Entscheidungen gefallen: Das Verfahren um die Klage eines Paares aus Nordrhein-Westfalen wurde ausgesetzt, um Einzelfragen vom Europäischen Gerichtshof (EuGH) klären zu lassen. Ein zweiter Fall betraf eine ähnlich gelagerte Klage: Sowohl ein Mann aus Hessen als auch das Paar aus Nordrhein-Westfalen hatten gegen Google geklagt, weil sie bestimmte Artikel über sich nicht mehr in den Suchergebnissen lesen wollten.

Über den Kläger aus Hessen wurde 2011 in regionalen Tageszeitungen berichtet, dass der Regionalverband einer Wohlfahrtsorganisation, dessen Geschäftsführer er war, Schulden von knapp einer Million Euro verzeichnete. Kurze Zeit vorher hatte der Kläger sich krank gemeldet. In der Berichterstattung tauchte sein voller Name auf. Er verlangte nun, dass Google die Links, die zu der damaligen Berichterstattung führen, aus der Auflistung entfernt, die bei der Suche nach seinem Namen erscheint.

Fragwürdige Berichterstattung als Streitpunkt

Das Paar aus Nordrhein-Westfalen bietet Finanzdienstleistungen an. Ein US-amerikanisches Unternehmen hatte 2015 in mehreren Artikeln auf seiner Website kritisch über die Anlagemodelle einiger Gesellschaften berichtet, in denen die Kläger verantwortliche Positionen inne hatten oder an ihnen beteiligt sind. Einer der Artikel war mit Fotos des Paares bebildert. Das US-Unternehmen behauptet, „durch aktive Aufklärung und Transparenz nachhaltig zur Betrugsprävention in Wirtschaft und Gesellschaft beizutragen“. Ihm wurde unter anderem vorgeworfen, Unternehmen zu erpressen, indem es zunächst negativ über sie berichte und anschließend anbiete, gegen ein Schutzgeld die Berichte zu löschen oder negative Berichterstattung zu verhindern.

Die Kläger aus NRW gaben an, von dem Unternehmen erpresst worden zu sein. Sie forderten von Google, die Artikel der US-Website und die Fotos nicht mehr in den Suchergebnissen anzuzeigen, wenn man nach ihren oder den Namen der Finanzdienstleistungsgesellschaften sucht.

„Recht auf Vergessenwerden“ abhängig vom Einzelfall

Im Fall aus Hessen überwiegen die Interessen der Öffentlichkeit, der Presse und ihrer Nutzer:innen gegenüber dem Interesse des Klägers, entschied der BGH. Gerichte müssten im Einzelfall entscheiden, wessen Grundrechte bei einer Klage auf Auslistung von Inhalten überwögen, heißt es in der Urteilsbegründung. Demnach gibt es kein automatisches „Recht auf Vergessenwerden“.

Da die Meinungsfreiheit der Presseorgane und ihrer Nutzer:innen von dem Urteil berührt werde, habe das Schutzinteresse des Betroffenen im Fall aus Hessen keinen Vorrang, sondern sei als gleichrangig zu betrachten, so der BGH. Die Berichterstattung liege zwar weit zurück, behalte aber ihre Rechtmäßigkeit, weshalb die Grundrechte des Klägers hier zurücktreten. Google darf somit weiterhin die Artikel mit Namensnennung des Klägers in seinen Suchergebnissen auflisten.

Richtigkeit und Kontext von Suchergebnissen sind relevant

Im zweiten Fall des Paares aus NRW hat der BGH das Verfahren ausgesetzt und zwei Fragen zur Vorabentscheidung an den Europäischen Gerichtshof übergeben. Der EuGH soll erstens klären, was die Rechtsprechung vorsieht, wenn unklar ist, ob verlinkte Inhalte in den Suchergebnissen wahr oder falsch sind. Zudem fragt der BGH, ob bei der Suche nach Namen natürlicher Personen Fotos dieser Personen vom Suchmaschinenanbieter angezeigt werden dürfen, auch wenn der Kontext der Bilder nicht aus dem Suchergebnis hervorgeht.

Das „Recht auf Vergessenwerden“ schuf der EuGH im Jahr 2014. Unter Datenschützer:innen ist das Gesetz umstritten. Im vergangenen Jahr bekräftigte der EuGH zudem, dass dieses Recht nur in der EU gilt. Inhalte, die Anbietende von Suchmaschinen hier aus ihren Auflistungen entfernen, werden im EU-Ausland also weiterhin angezeigt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Vor vier Jahren hat die Europäische Union die „Richtlinie über die Verwendung von Fluggastdatensätzen“ (PNR-Daten) verabschiedet. Zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität sollen die 26 an der Richtlinie teilnehmenden EU-Mitgliedstaaten eine Fluggastdatenzentralstelle einrichten, die bei der Buchung und beim Boarding von den Fluggesellschaften umfangreiche Datensätze über die Passagiere erhält. Jetzt hat die Europäische Kommission wie vorgeschrieben einen Bericht zur Umsetzung der Maßnahmen vorgelegt.

Bis zum 25. Mai 2018 hätte die Richtlinie von jedem Mitgliedstaat in nationales Recht überführt werden müssen. Zum Ende des Überprüfungszeitraums hat Slowenien nur die teilweise Umsetzung gemeldet, während Spanien keinerlei Maßnahmen mitgeteilt hat. Vor drei Wochen hat die Kommission Klage wegen Nichtumsetzung der Richtlinie Klage vor dem Europäischen Gerichtshof (EuGH) gegen die Regierung in Madrid erhoben.

„Spürbare Ergebnisse“ können nicht überprüft werden

Die Kommission hält die Erhebung und Verarbeitung von PNR-Daten in dem Bericht für erforderlich und verhältnismäßig. Die Mitgliedstaaten hätten hierzu mitgeteilt, dass die in Echtzeit übermittelten Daten und ihre „reaktive und proaktive Verarbeitung […] spürbare Ergebnisse“ geliefert hätten. Gemeint ist die Nutzung der Informationen zur Strafverfolgung und zur Gefahrenabwehr. Die hierzu von den Mitgliedstaaten übersandten Nachweise, aus denen die Bedeutung der Verarbeitung von PNR-Daten für die Maßnahmen deutlich würde, veröffentlicht die Kommission nicht.

Ursprünglich war die Richtlinie nur für Flüge aus und nach Drittstaaten vorgesehen. Die Möglichkeit, sie „freiwillig“ auf Flüge innerhalb der Europäischen Union auszuweiten, haben die 26 Regierungen anschließend in einem Zusatzprotokoll vereinbart. Alle Mitgliedstaaten bis auf einen haben laut dem Bericht davon Gebrauch gemacht. Die Kommission will deshalb davon absehen, eine solche Ausweitung auf EU-Flüge verbindlich vorzuschreiben.

Die PNR-Zentralstellen sollen einander Daten weitergeben, etwa wenn sich ein Verdacht zu einer Person erhärtet. Die Zusammenarbeit und der Austausch auf eigene Initiative der PNR-Zentralstelle funktionieren laut dem Bericht aber ungenügend. Die Kommission führt dies auf eine unklare Formulierung über die spontane Datenübermittlung in der Richtlinie zurück.

Kommission muss Klagen vorm EuGH abwarten

Probleme ergeben sich auch bei der Datenqualität. So sei die Erfassung des Geburtsdatums der Fluggäste durch die Fluggesellschaften nicht obligatorisch, wodurch etwa die fehlerhafte Schreibweise der Namen von der PNR-Zentralstelle nicht entdeckt werden kann.

Der Kommissionsbericht hat außerdem Mängel bei der Umsetzung von Datenschutzanforderungen gefunden. Diese würden zwar „insgesamt eingehalten“, einige Mitgliedstaaten hätten aber versäumt, ihre Gesetze anzupassen. Um welche Länder es sich handelt, bleibt unklar, in dem Bericht werden sie an keiner Stelle genannt. Auch teilt die Kommission nicht mit, auf welche Weise gegen den Datenschutz verstoßen wird. Würde etwa die Zweckbindung der Datenverarbeitung ausschließlich zur Bekämpfung von Terrorismus und schwerer Kriminalität umgangen, wäre dies ein grober Verstoß.

Eine Änderung oder Erweiterung der PNR-Richtlinie lehnt die Kommission derzeit ab. Zunächst soll der Ausgang der beim Europäischen Gerichtshof anhängigen Klagen abgewartet werden. Dort gehen die österreichische Nichtregierungsorganisation epicenter.works und die deutsche Gesellschaft für Freiheitsrechte e. V. gegen die massenhafte Speicherung und intransparente Verarbeitung von Fluggastdaten vor.

Kommission prüft Erweiterung

Die Pläne zur Ausweitung sind aber nicht vom Tisch. Aus der praktischen Anwendung der PNR-Richtlinie haben sich dem Bericht zufolge Erkenntnisse ergeben, die „einer weiteren Prüfung bedürfen“. So könnte beispielsweise der Anwendungsbereich auf Zug-, Bus- oder Fährverbindungen erweitert werden. Zur Debatte steht auch eine Ausweitung der Richtlinie auf Reisebüros, die laut dem Bericht einen erheblichen Teil aller Fluggastdaten erheben, diese aber nicht an die PNR-Zentralstellen weiterleiten müssen. Die Kommission sieht darin eine „erhebliche Sicherheitslücke“. Schließlich will die Kommission Passagierdaten im Rahmen ihrer „externen PNR-Politik“ zukünftig auch an Drittstaaten übermitteln.

Ungeachtet der Klagen vor dem EuGH hat die Kommission deshalb eine „gründliche Folgenabschätzung“ angekündigt. Darin wird auch geprüft, ob die PNR-Daten zum Schutz der öffentlichen Gesundheit genutzt werden könnten. Die Bundesregierung hatte im Rahmen ihrer EU-Ratspräsidentschaft vorgeschlagen, Fluggastdaten zur Ermittlung von Personen zu nutzen, die in der Nähe eines mit Covid-19 infizierten Fluggastes gesessen haben.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Seit Jahren fordert die Europäische Kommission, dass Strafverfolgungsbehörden mehr Zugang zu verschlüsselter Kommunikation erhalten. Auch der Rat, in dem sich die Mitgliedstaaten organisieren, hat vor drei Jahren entsprechende Schlussfolgerungen verabschiedet. Regelmäßig veröffentlicht zudem der „Anti-Terrorismus-Koordinator“ der Europäischen Union Gilles de Kerchove Papiere, in denen er das Aushebeln der sicheren Kommunikation fordert. Zuletzt hatte Kerchove die Aufmerksamkeit auf die Gaming-Community und deren Chats mit Ende-zu-Ende-Verschlüsselung gelenkt.

Auf EU-Ebene ist Europol für das Auslesen von verschlüsselter Kommunikation und Speichermedien zuständig. Die Polizeiagentur hat hierfür eine „Entschlüsselungsplattform“ eingerichtet. Dort arbeitet laut dem Europol-Jahresbericht für 2018 ein „Entschlüsselungsexperte“, bei dem sich die zuständigen Behörden der Mitgliedstaaten Hilfe holen können. Die Abteilung ist beim Europäischen Zentrum für Computerkriminalität (EC3) bei Europol in Den Haag angesiedelt und erhielt vor zwei Jahren fünf Millionen Euro für die Beschaffung entsprechender Werkzeuge.

Erfolgsquote der Software „Hashcat“ bei 39 Prozent

Geknackt werden aber nur Inhalte und Speichermedien, die mit einfachen Passwörtern geschützt sind. Europol nutzt dafür die Software „Hashcat“, die auf einem Cluster mit Grafikprozessoren der Firma Nvidia läuft und mit Brute-Force-Angriffen bekannte Passwörter ausprobiert, schreibt das deutsche Innenministerium. Im ersten Jahr ihres Bestehens sei die „Entschlüsselungsplattform“ in 32 Fällen genutzt worden. Im Jahresbericht für 2019 nennt Europol weitere 59 Fälle, die Erfolgsquote liegt demnach bei 39 Prozent. Insgesamt seien mehr als 1.750 passwortgeschützte mobile Geräte untersucht worden. Mindestens sechs Mal hat auch das Bundeskriminalamt die Dienste angefragt.

Zukünftig soll die „Entschlüsselungsplattform“ Supercomputer der Europäischen Union nutzen. Europol hat hierfür eine Vereinbarung mit der Gemeinsamen Forschungsstelle der EU-Kommission abgeschlossen, wonach die Angriffe auf verschlüsselte Inhalte im italienischen Ispra am Lago Maggiore durchgeführt werden sollen. Die im vergangenen Jahr geplante Inbetriebnahme der Anlage hat sich jedoch laut Europol verzögert und soll nun im Sommer dieses Jahres erfolgen. Probleme hätten sich demnach bei der sicheren Verbindung zwischen Ispra und dem Kontrollraum von Europol in Den Haag ergeben.

Europol führt außerdem Schulungen durch, in denen entsprechende Techniken unterrichtet werden. Im Jahr 2019 hat die Agentur hierfür zwei „Entschlüsselungsexpertengruppen“ eingerichtet. Die erste Gruppe richtet sich an forensische ErmittlerInnen aus den Mitgliedstaaten, die unter anderem in der Anwendung von „Hashcat“ trainiert werden. Die Polizeiagentur arbeitet dazu an einem „Entschlüsselungshandbuch“, das als Arbeitshilfe dienen soll.

„Expertenprozess“ im EU-Internetforum

Die zweite „Expertengruppe“ von Europol widmet sich explizit der Suche nach technischen und rechtlichen Möglichkeiten gegen die Ende-zu-Ende-Verschlüsselung. Ihre Bemühungen finden Gehör bei der Kommission, die am Freitag ihre aktuelle „Strategie für die Sicherheitsunion“ veröffentlicht und darin neue Maßnahmen gegen Verschlüsselung angekündigt hat. Im Vordergrund steht der sexuelle Kindesmissbrauch, wozu die Kommission eine weitere Mitteilung „EU-Strategie für eine wirksamere Bekämpfung des sexuellen Missbrauchs von Kindern“ herausgegeben hat.

Internetdienstleister wie Google, Facebook, Microsoft sollen demnach Möglichkeiten schaffen, Ende-zu-Ende-verschlüsselte Kommunikation mitzulesen. Werden kriminelle Inhalte gefunden, sollen diese anschließend an die zuständigen Strafverfolgungsbehörden gemeldet werden. Hierzu hat die Kommission im Rahmen des EU-Internetforums einen „Expertenprozess“ eingeleitet, der in einer Studie Vorschläge machen soll.

Dieser Prozess könnte später in einer Verordnung oder Richtlinie münden, mit der die Firmen zur Mitarbeit gezwungen werden. In der Studie will die Kommission deshalb „die regulatorischen und operativen Herausforderungen“ zur Entschlüsselung betrachten. Dabei soll es aber nicht bleiben, denn die Frage der Anonymität und Verschlüsselung im Internet und Darknet wird in einer weiteren „umfassenden“ Studie betrachtet. Sie soll „Gesetzeslücken, bewährte Verfahren und vorrangige Maßnahmen auf EU-Ebene“ im Kampf gegen den sexuellen Missbrauch von Kindern ermitteln. Die Ergebnisse beider Studien sollen bis Ende 2020 vorliegen, dann wird über die Umsetzung beraten.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Es sieht derzeit nicht gut aus für TikTok. Indien hat die App bereits Ende Juni aus den Stores geschmissen, Australiens Premier kündigt an, sie „gründlich anzuschauen“ und in den USA soll die Entscheidung für ein Verbot „in Wochen, nicht in Monaten“ fallen, sagte Trumps Stabschef Mark Meadows. TikTok hätte dann binnen weniger Wochen seine beiden größten Märkte eingebüßt – ein finanzieller Totalschaden.

Die Argumentationen folgen jedes Mal dem gleichen Skript: TikTok sei ein Risiko für die nationale Sicherheit, weil es Nutzerdaten auf Servern außerhalb des Landes speichert und die chinesische Regierung dort mitlesen könnte. US-Außenminister Mike Pompeo warnte gar, Bürger:innen sollten sich die App nur installieren, „wenn sie wollen, dass Ihre privaten Informationen in die Hände der chinesischen Kommunistischen Partei gelangen“. Nachgewiesen ist ein solcher Datenfluss oder auch nur eine Einflussnahme Chinas bis heute nicht.

TikTok stemmt sich derzeit mit aller Kraft gegen diese Lesart. In den USA hat das Unternehmen eine „Armee von Lobbyisten“ engagiert, um die Stimmung in Washington zu seinen Gunsten zu wenden. In Australien läuft eine landesweite PR-Offensive mit ganzseitigen Anzeigen und Plakatwerbung. Der Slogan: „Don’t make TikTok a political football“.

Weg vom China-Image

TikTok hat in den vergangenen Monaten viel dafür unternommen, zumindest vordergründig seine Unabhängigkeit von der Volksrepublik China zu demonstrieren. ByteDance, das Unternehmen hinter TikTok, sitzt in Beijing und betreibt von dort mehrere Apps, die innerhalb der „Großen Firewall“ operieren, teils sehr erfolgreich. TikTok ist der Exportschlager aus dem Hause ByteDance mit zuletzt 2 Milliarden Downloads weltweit und einem Platz im Herzen vieler Millennials. Solche Zahlen erreichten bisher nur Facebook, Instagram oder Whatsapp.

Um sich gegen die Vorwürfe der Spionage und politischen Zensur zu stemmen, hat TikTok in den USA zuletzt Industrieveteraninnen von YouTube abgeworben und den Ex-Disney-Manager Kevin Mayer als neuen CEO engagiert. Das Hauptquartier soll aus Peking nach Europa verlegt werden, wochenlange Gespräche mit London sind kürzlich vermutlich nur daran gescheitert, dass Großbritannien Huawei vom 5G-Ausbau ausschloss, berichtet der Guardian.

TikTok hortet Daten – wie Facebook

TikTok sammelt alle Daten, die Nutzer:innen bei der Anmeldung angeben – Geburtsdatum, Nutzernamen, Emailadresse und Telefonnummer – und auch die Inhalte von privaten Nachrichten, die über die App verschickt werden. Laut der aktuellen Datenschutzerklärung für Deutschland und den „europäischen Wirtschaftsraum“ speichert TikTok darüber hinaus auch technische Daten wie den Gerätetyp, den Browserverlauf, das Betriebssystem oder die IP-Adresse. Aus der IP-Adresse leitet TikTok den Standort ab, manchmal nutzt es dafür auch eine präzisere Ortung per GPS. Wenn Nutzer:innen dies freigeben, kann die App auch auf das Adressbuch und alle dort gespeicherten Kontakte sowie die Liste der eigenen Facebook-Freunde zugreifen.

Darüber hinaus vermisst das Unternehmen detailliert das Verhalten seiner Nutzer:innen: Wer hat wann welche Videos wie lange angeschaut oder geliket, welche Anzeigen angeschaut, mit wem wann interagiert, und wie oft die App geöffnet.

Diese Daten nutzt TikTok, um Profile zu erstellen: Wer bist du, was magst du, was findest du abstoßend oder lustig und mit wem in deinem Umfeld sprichst du darüber? Das ist nützlich, um Nutzer:innen per Algorithmus genau die Inhalte zu servieren, die sie wahrscheinlich sehen wollen. Oder um maßgeschneiderte Werbung auszuspielen.

So weit, so wenig überraschend für einen Datenkonzern. Diese Masse an Informationen einzusammeln von Nutzer:innen, die größtenteils noch sehr jung sind, kann man bedenklich finden. Es ist allerdings, wie TikTok nicht müde wird zu betonen, nicht wesentlich mehr oder invasiver als das, was US-Konkurrentinnen wie Facebook oder Instagram bereits seit Jahren tun.

Der einzige Unterschied: Die Daten schürft in diesem Fall ein chinesisches Unternehmen. Ist das bereits ein Sicherheitsrisiko, das ein Verbot der App rechtfertigen kann?

Der Videoplattform stehen schwere Zeiten bevor. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com visuals Kontakte, aber keine E-Mails

Greift TikTok auch heimlich Daten vom Handy ab, ohne Nutzer:innen zu informieren? Das geschah zumindest in der Vergangenheit: Im März hatte der App-Entwickler Tommy Mysk aufgedeckt, dass TikTok auf IPhones alle paar Sekunden auf die Inhalte der Zwischenablage zugreift – selbst wenn die App nur im Hintergrund läuft. Hier können durchaus sensible Informationen wie Passwörter gespeichert sein, die jemand von A nach B kopieren will. TikTok ist allerdings bei weitem nicht die einzige App, die das tut, auch die New York Times, Reuters oder Stern lassen laut Mysk ihre Apps die Zwischenablage mitlesen. In TikTok wurde die Funktion inzwischen entfernt.

Mysk will die Risiken der Datensammlung von TikTok nicht kleinreden: GPS-Daten können verwendet werden, um einzelne Individuen zu verfolgen. Mit den Kontakten in der App und im Adressbuch lassen sich die sozialen Netzwerke einzelner Nutzer:innen rekonstruieren. Auch die Fotos und Videos, die TikToker freiwillig hochladen, verraten einiges über ihr Leben.

Die Vorstellungen, die App könne dagegen wahllos E-Mails oder Chatnachrichten auf dem Telefon mitlesen, bezeichnet Mysk als illusorisch. Apps auf dem iPhone arbeiten in einem umzäunten Bereich. „Die App kann unmöglich E-Mails lesen, die in der Mail-App gespeichert sind.“ Erst wenn Nutzer:innen der App die Erlaubnis erteilen, kann diese Fotos, Standort oder Kontakte speichern. Für Android gelte ähnliches. Die Zwischenablage sei in dieser Hinsicht eine Ausnahme.

Das heißt: Politiker:innen wie Donald Trump und US-Außenminister Mike Pompeo, die TikTok als eine Art Staatstrojaner zeichnen, sind entweder schlecht informiert. Oder sie schüren bewusst Misstrauen.

Weitergabe nach China möglich

Das Skript läuft so ab: Jemand kritisiert, TikToks Daten seien vor China nicht sicher. TikTok beteuert daraufhin, Nutzerdaten würden ausschließlich in den USA und Singapur gespeichert und seien bisher nie an die chinesische Regierung weitergeflossen.

In den Datenschutzerklärung für Deutschland steht dazu: „Die bei Ihnen erhobenen personenbezogenen Daten werden außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums („EWR“), insbesondere an Server von Dritten in den Vereinigten Staaten von Amerika und Singapur, übermittelt und dort gespeichert.“ (Eine neue Version gilt ab dem 29. Juli, dort steht lediglich: „Die personenbezogenen Daten, die wir von Ihnen erheben, werden an einen Bestimmungsort außerhalb des Europäischen Wirtschaftsraums („EWR“) übermittelt und dort gespeichert.“)

Dass diese Aussage richtig ist, bestätigen auch Analysen von Sicherheitsexpert:innen, die die App unter die Lupe genommen haben. Aus der App heraus werden keine Daten an Server in China geleitet, das meiste geht an Amazon Cloud Services. Was danach allerdings mit den Daten passiert, lässt sich von außen nicht mehr nachvollziehen.

TikTok lässt sich in dieser Hinsicht eine Hintertür offen. „Ihre Daten geben wir ggf. auch an andere verbundene Unternehmen unserer Unternehmensgruppe weiter“, steht dazu in der Datenschutzerklärung. Dies stütze sich auf TikToks „berechtigtes Interesse, die Plattform zu verbessern und zu pflegen“. Das bedeutet allerdings auch: TikTok kann die Nutzerdaten mit den anderen Unternehmen von ByteDance in China teilen – wodurch die Daten wieder in China landen würden.

Update 27.07.2020: Nach Veröffentlichung dieses Artikels schickte TikTok ein weiteres Statement: „TikTok wird nicht in China angeboten und die chinesische Regierung hat keinen Zugriff auf Nutzer*innendaten von TikTok. Weder hat die chinesische Regierung die Herausgabe von Daten verlangt, noch würde TikTok dieser Forderung nachkommen.“ Dieses Statement befasst sich jedoch nicht mit der möglichen Weitergabe von TikTok-Nutzerdaten an „verbundene Unternehmen“ der Unternehmensgruppe.

Allgemeine Antworten auf konkrete Fragen

Auf die Presseanfrage von netzpolitik.org, welches die in der Datenschutzerklärung genannten verbundenen Unternehmen seien, antwortet TikTok mit einem allgemein gehaltenen Statement, das keinen einzigen Firmennamen außer TikTok enthält. Überhaupt ist es schwer, die Firmenstruktur von ByteDance zu durchschauen. Ein Organigramm auf der Unternehmenswebseite versteckt alle chinesischen Firmen unter dem Namen „Main China Operating Entities“.

Die konkrete Frage, ob TikTok in der Vergangenheit schon einmal Nutzerdaten an ein solches Unternehmen weitergegeben habe, beantwortet TikTok in seinem Statement nicht.

Dort heißt es stattdessen: „Unser Ziel ist es, den Datenzugriff über Regionen hinweg zu minimieren, so dass zum Beispiel Mitarbeiter:innen in der APAC-Region, einschließlich China, nur minimalen Zugang zu Nutzer:innendaten aus der EU und den USA haben.“

Genauso wenig beantwortet TikTok die Frage, wie das Unternehmen verhindere, dass die an verbundene Unternehmen in China übermittelten Daten nicht über diesen Weg an die chinesische Regierung weitergegeben werden müssten. Stattdessen wieder der Verweis auf die Speicherung der Daten in den USA und Singapur, die trotz der Änderung in der Datenschutzerklärung beibehalten werden soll.

TikToks Schwachstelle

Der IT-Rechtsexperte Dennis-Kenji Kipker von der Universität Bremen hält den Standort der Server für weitgehend unbedeutend. „Das sind keine Argumente dafür, dass es keine Einflussnahme gibt“, sagt er. Schließlich sei ByteDance nach wie vor ein chinesisches Unternehmen, das seinen Umsatz auch mit Produkten auf dem chinesischen Markt macht. Dort liegt der Schwachpunkt. Denn würde ByteDance sich der Regierung widersetzen, müsste es Sanktionen fürchten, sagt Kipker.

Kipker, der sich in seiner Forschung mit chinesischer IT-Gesetzgebung beschäftigt hat, weist auf ein weiteres Problem hin: Cybersicherheit gilt in China nicht nur als Behördensache, sondern als Aufgabe der gesamten Bevölkerung. Chinesische Gesetze seien grundsätzlich sehr offen und schwammig formuliert, eine Art politisches Weißbuch, das Behörden viel Spielraum lässt. Die unterschwellige Kommunikation darin laute: „Sich zu engagieren und den Nachrichtendiensten zu helfen, ist Aufgabe aller Bürger.“ So lange diese Bürger:innen auf wichtigen Positionen im Unternehmen oder an der App arbeiteten, sei das ein Problem.

Im Zweifel mit der Partei

Wie dieses Problem im Konkreten aussieht, beschreibt Fergus Ryan, der ByteDance für das Australian Strategic Policy Institute analysiert. Selbst wenn TikToks Manager in den USA, Europa oder Australien tatsächlich an ihre Unabhängigkeit von der kommunistischen Partei glaubten: ihr Chef, der ByteDance-Gründer und CEO Zhang Yiming, habe in der Vergangenheit bereits das Gegenteil bewiesen.

2018 steckte ByteDance schon einmal in der Krise, als die chinesische Führung von einen Tag auf den anderen zwei ihrer wichtigsten Apps in China abschaltete: den Nachrichtenaggregator Jinri Toutiao und die Videosharing-App Neihuan Duanzi. Zhang veröffentlichte daraufhin einen offenen Brief, in dem er sich dafür entschuldigt, die „sozialistischen Grundwerte“ der chinesischen kommunistischen Partei nicht respektiert zu haben und von der „Lenkung der öffentlichen Meinung“ abgewichen zu sein – in China sind dies gängige Begriffe der Parteipropaganda. „Wir haben eine übermäßige Betonung auf Technologie gelegt“, schrieb Zhang, „und wir haben nicht berücksichtigt, dass Technologie vom sozialistischen Grundwertesystem geführt werden muss.“

Die Botschaft, sagt Ryan, sei ganz klar: Wir verstehen, dass wir nicht einfach unsere Geschäfte machen können, sondern in Abstimmung mit den Zielen der Partei arbeiten müssen. Egal ob ByteDance neue Stellen für die Zensur seiner Inhalte in China schafft oder interne „Partei-Weiterbildungen“ in der Firma abhält, es geschehe immer in dem Bewusstsein, dass die Partei am längeren Hebel sitzt. Wie ein „Damoklesschwert“ hänge dieses Wissen über dem Kopf der Firmenführung in Beijing.

Wenn China will, bekommt es die Daten

In einer Mail an netzpolitik.org sagt Ryan, ihm sei kein einziger Fall bekannt, in dem ein chinesisches Tech-Unternehmen die Weitergabe von Daten an die chinesische Regierung abgelehnt hätte. US-Diplomaten hatten im Zusammenhang mit der Auseinandersetzung um Huawei wiederholt nach solchen Beispielen gefragt, die Washington Post berichtete darüber. Die Unternehmen konnten oder wollten kein einziges nennen.

Auch Dennis-Kenji Kipker glaubt: Selbst wenn TikTok heute keine Daten weitergibt, sei das in Zukunft nicht ausgeschlossen. „Wenn der chinesische Staat sagt, dass irgendwas gemacht werden soll, wird das vermutlich gemacht werden.“

Und Stefan Pantekoek, der vier Jahre lang das Büro der Friedrich-Ebert-Stiftung in Shanghai leitete, sagt, er halte es für „absolut ausgeschlossen“, dass TikTok die Herausgabe von Daten verwehren könne. „Das Gesetz ist da eindeutig und genügend Beispiele aus der Vergangenheit mit Blick auf WeChat, Alipay etc. verdeutlichen dies. Warum sollte TikTok hier irgendeine Art von Sonderbehandlung zu Teil werden?“

Das Risiko ist die App

Praktisch ist das Risiko, das von der App ausgehe, derzeit noch ein anderes. Sicherheitsforscher:innen haben wiederholt darauf hingewiesen, dass die App für ein soziales Netzwerk dieser Größenordnung eine geradezu katastrophal schlechte Datensicherheit bietet. Anfang des Jahres hatte ein Freiburger mit einem simplen Hack Zugriff auf Profile erhalten. Im März hatten Analysten der Firma Checkpoint zahlreiche Schwachstellen der App beschrieben. TikTok hat sie zwischenzeitlich geschlossen. Auch habe man einen „erstklassigen Sicherheitschef an Bord geholt“, teilt TikTok dazu mit, und führe regelmäßige interne und externe Überprüfungen der Sicherheitspraktiken durch.

Tommy Mysk, der das Problem mit der Zwischenablage entdeckte, weist auf eine Schwäche hin, die weiter besteht: TikTok nutze für seine Video-Uploads nach wie vor unsichere HTTP-Protokolle, im Jahr 2020 völlig überholt. Wer via TikTok manipulieren oder Nutzerdaten abgreifen will, muss also gar nicht unbedingt ByteDance in der Hand haben. Die Lücken in der Architektur der App auszunutzen, reicht dazu aus.

Auf TikTok kann man sich kurze Videos anschauen und diese selbst erstellen. Die App wurde bislang mehr als 2 Milliarden Mal weltweit heruntergeladen und gehört damit zu den meistgenutzten der Welt. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Josh Rose Eine Vielzahl an Problemen

TikTok ist kein Staatstrojaner, der das ganze Handy oder auch nur das Mailprogramm auslesen kann. Das ist technisch nicht möglich und die anders lautenden Aussagen mancher Politiker:innen sind klar von geopolitischen Interessen geprägt. Das Unternehmen sammelt dennoch eine Vielzahl von Daten. Es vermisst seine Nutzer:innen, ihre Vorlieben, ihre Netzwerke – ebenso wie Facebook und Instagram das tun. Diese Nutzer:innendaten, die auch Adressbücher und private Chatnachrichten enthalten können, kann TikTok mit „verbundenen Unternehmen“ in China teilen.

Selbst wenn es stimmt, dass TikTok bislang noch nie Daten an die chinesische Regierung geben musste, so könnte dieser Zugriff über andere Unternehmen von ByteDance geschehen oder schon geschehen sein. Die Gesetzeslage in China ist eindeutig.

Fachleute halten es für ausgeschlossen, dass TikTok eine Datenherausgabe verweigern könnte, wenn der Staat diese fordern würde. Hinzu kommt, dass TikTok in der Vergangenheit zahlreiche Probleme mit der IT-Sicherheit hatte. Die Plattform ist also auch von anderen Akteuren als dem chinesischen Staat angreifbar.

Jenseits allen geopolitischen Gepolters: Wer sich die App auf das Telefon lädt, kauft sich all diese Probleme mit ein – so schön, lustig, unterhaltsam und sogar politisch die Videos auf der Plattform auch sein mögen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Zu Beginn weisen wir gerne auf unseren Transparenzbericht für den Monat Mai hin. Im Büro herrschte weiterhin gähnende Leere, auf den Konten sah es – ganz corona-untypisch – eigentlich ganz in Ordnung aus. Der spendenreichste Mai in der Geschichte von netzpolitik.org holt zwar nicht alle Ausgaben wieder rein, ist aber dennoch zufriedenstellend.

Ansonsten ist das Sommerloch in der Redaktion angekommen. In den Parlamenten passiert nicht allzu viel; das gibt uns Zeit, uns längerfristigen Projekten und Recherchen zu widmen, die sonst öfter mal liegen bleiben. Die eine oder andere Meldung flattert natürlich trotzdem immer wieder ins Home-Office.

Die internationale Karriere des deutschen NetzDG

Das Netzwerkdurchsetzungsgesetz (NetzDG) wurde von vielen Seiten schon immer hart kritisiert. Jetzt diente es als (schlechtes) Vorbild für einen Gesetzentwurf der türkischen Regierung. Soziale Netzwerke und Nachrichtenportale könnten dann noch stärker reguliert werden als ohnehin schon. Dass die Regierung damit nur Verletzungen des Persönlichkeitsrechts sanktionieren will, glauben die wenigsten.

Noch nicht ganz klar ausgearbeitet sind die Pläne der österreichischen Regierung. Auch sie plant ein Gesetzespaket gegen Hass im Netz. Ab einer bestimmten Größe sollen Plattformen gemeldete Inhalte schnell überprüfen und gegebenenfalls löschen. Wie das Gesetz genau aussehen soll  und wie es mit einer möglichen EU-weiten Regelung zusammengeht, ist noch nicht bekannt.

Rechtsradikale und soziale Netzwerke

Gesetzen wie dem NetzDG zum Opfer fallen könnten auch immer wieder Posts aus dem Umfeld der QAnon-Szene. Weil die Verschwörungsmythen aus diesem Umfeld auch offline Schaden anrichten würden, hat Twitter entschieden, etwa 7.000 Accounts zu sperren und weiteren 150.000 die Reichweite zu begrenzen.

Auch der Social-Media-Chef der Bundeswehr ist auf Abwege geraten. Er verteilte Likes an einen rechtsradikalen Instagram-Account und tauschte sich mit diesem aus, wie das ARD-Magazin Panorama herausfand. Unsere Recherchen zeigen, wie intensiv dieser Austausch war und wo es noch Berührungspunkte mit rechtem Personal gab.

Transparenz und digitale Identität

Passend zur aktuellen Debatte über den Zugriff auf persönliche Daten durch die Polizei liefert eine parlamentarische Anfrage eine Antwort auf die Frage, was eigentlich alles gespeichert ist. Berliner Polizist:innen können auf mehr als 130 Datenbanken zugreifen. Dies wird von mehreren Seiten kritisiert – auch weil einige Datenbanken stigmatisierend sein können.

Ob zu diesen 130 Datenbanken wohl bald eine weitere hinzukommt, die den Corona-Immunstatus der Bevölkerung überprüft? Mit Immunitätsausweisen ist das zumindest denkbar. Eine Menschenrechtsorganisation warnt jetzt vor der Ausweitung der digitalen Identität. Diese schließe Menschen aus und diskriminiere sie.

Diskriminiert fühlen sich auch einige Fahrer des Transportvermittlers Uber. Sie ziehen vor Gericht, um zu erfahren, welche Daten das Unternehmen über sie speichert und wie die Fahrten vermittelt werden. Ziel ist mehr Transparenz, um sich beispielsweise besser gegen Diskriminierung wehren zu können. Das Verfahren könnte große Wellen für die gesamte Gig Economy schlagen.

Ein Zoom-Nutzer möchte ebenfalls genauer wissen, was das Unternehmen über ihn weiß. Eigentlich ist die Sache klar, nach der Datenschutz-Grundverordnung haben Nutzer:innen das Recht aus Auskunft über personenbezogene Daten und wie diese gespeichert und verwendet werden. Aber bei den Aufsichtsbehörden weiß keiner so genau, wer eigentlich für Zoom zuständig ist.

Und sonst so?

Der Skandal um den Zahlungsdienstleister Wirecard wird immer unübersichtlicher. Der flüchtige Manager Jan Marsalek interessierte sich offenbar für italienischen Überwachungssoftware. Das legen geleakte Dokumente nah. Unbekannt ist aber, wofür der Manager die Software nutzen wollte.

Der Netzpolitik-Podcast beschäftigte sich mit unserer Recherche zur polnischen Firma PimEyes. Gesichter von 900 Millionen Menschen soll die Software gespeichert haben. Was kann eine derartige Technologie in den Händen von Sicherheitsbehörden, Kriminellen oder ganz normalen Menschen anrichten? Vermutlich nichts weniger als die Abschaffung der Anonymität.

Wir wünschen euch ein schönes Wochenende.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

More than 1,000 people at Twitter had ability to aid hack of accounts (Reuters)
Mehr als 1.000 Menschen konnten bei Twitter das machen, was die Hacker zuletzt beim Bitcoin-Scam gemacht haben. Sogar Subunternehmen hatten Zugriff auf das Admin-Panel. Der Hack, bei dem die Angreifer:innen Zugriff auf prominente und verifizierte Accounts hatten, hatte aufgezeigt, welche Gefahren entstehen hätten können, wenn jemand mit der Absicht gezielter Desinformation den gleichen Zugriff gehabt hätte. Das waren jetzt viele Konjunktive, aber angesichts des von Reuters beschriebenen breiten Zugriffs eine durchaus reale Gefahr.

Trumps martialische Bundespolizisten (Tagesspiegel)
In den USA werden militärisch aufgerüstete Bundespolizist:innen als Wahlkampfspektakel für Trump in liberale Städte geschickt, um eine Art Bürgerkrieg für die Medien zu inszenieren. Was wie eine Kino-Dystopie klingt, ist in Städten wie Portland aktuell Realität. Der Tagesspiegel erklärt die Hintergründe, die auch damit zu tun haben, dass die US-Regierung ihr altes Militär-Equipment an Polizeien verkauft und das viele negative Konsequenzen mit sich bringt.

Bundeswehr: Oberstleutnant sprach vor rechtsextremen Burschenschaftlern (DER SPIEGEL)
Zum offenbar selbsternannten Leiter der Social-Media-Abteilung der Bundeswehr und seinem Kontakt zur rechten Szene sind neue Informationen aufgetaucht, über die DER SPIEGEL und das ARD-Magazin Panorama berichten. Demnach referierte Marcel B. 2015 auch bei der rechtsextremen Burschenschaft „Cimbria“ in München. Zudem soll er bei einer Tagung des mindestens rechtskonservativen „Studienzentrums Weikersheim“ aufgetreten sein, das unter anderem auch dem Holocaust-Leugner Horst Mahler eine Bühne bot.

Das Ende der Anonymität? Wie Gesichtserkennung uns alle identifizierbar macht (hr info)
Im Netzwelt-Podcast berichtet der Hessische Rundfunk über unsere Recherchen zur Gesichtersuchmaschine PimEyes und geht der Frage nach, welche Gefahren der Einsatz dieser Technologie für die Gesellschaft birgt. Zu Wort kommt auch Alexander Roßnagel vom Forum Privatheit, der den Dienst für rechtswidrig hält.

Garmin services and production go down after ransomware attack (ZDNet)
Die Firma Garmin, die unter anderem Smartwatches und Fitnesstracker herstellt, wurde durch eine Ransomware mit der Bezeichnung „WastedLocker“ lahmgelegt. Betroffen sind davon offenbar nicht nur Menschen, die sehr schnell laufen, ohne irgendwo ankommen zu müssen, sondern auch Pilot:innen. Wie ZDNet berichtet, kam es auch bei der App flyGarmin zu Ausfällen.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Matthias Marx wartet auf Antworten. Ende März hatte er den Videokonferenzanbieter Zoom nach seinen personenbezogenen Daten gefragt. Das steht ihm rechtlich zu. Als nach dem Ablauf der einmonatigen Frist nichts zurückkam, wandte er sich an den hamburgischen Datenschutzbeauftragten.

Doch auch der konnte Marx bislang nicht weiterhelfen: Da Zoom in der EU Niederlassungen in Frankreich und den Niederlanden unterhält, ließ sich bis heute nicht feststellen, welche Datenschutzbehörde in Europa für das Unternehmen letztlich zuständig ist.

„Machtlos“ fühle er sich, sagt Marx per Mail. Jedenfalls sei dies kein „DSGVO wirkt“, und ganz neu sei die Datenschutz-Grundverordnung ja auch nicht mehr. „Ich hätte erwartet, dass die verschiedenen nationalen und europäischen Aufsichtsbehörden inzwischen schneller untereinander klären können, wer nun eigentlich zuständig ist“, sagt Marx.

Recht auf Auskunft

Seit über zwei Jahren ist die DSGVO inzwischen in Anwendung. Darin ist das Auskunftsrecht verankert. Nutzer:innen können von Anbietern unter anderem Auskunft darüber verlangen, ob personenbezogene Daten über sie gespeichert sind, wie diese verwendet und ob sie weitergegeben werden. Beschweren kann man sich überall, federführend zuständig ist aber die Datenschutzbehörde des Landes, in dem das jeweilige Unternehmen in Europa angesiedelt ist.

Zwar gilt das Datenschutzgesetz als ein „Kronjuwel europäischer Gesetzgebung“, wie es die Digital-NGO EDRi ausdrückt. Allerdings krankt die DSGVO an vielen Stellen. Insbesondere die Aufsichtsbehörden haben oft zu wenig Geld und Personal, teils sorgt ein Kompetenzwirrwarr dafür, dass Entscheidungen verschleppt werden.

So auch im aktuellen Zoom-Fall. Knapp drei Monate lang musste Marx warten, bis er überhaupt eine Antwort der hamburgischen Datenschützer erhielt. „Es ist unter den europäischen Datenschutzbehörden noch nicht abschließend geklärt, wem die aufsichtsrechtliche Zuständigkeit für Zoom zufällt, denn hierfür muss zunächst der rechtliche Status der EU-Niederlassungen abgeklärt werden“, bittet die Behörde um Geduld.

Die niederländische Aufsichtsbehörde habe Zoom angeschrieben, heißt es aus Hamburg, könne jedoch auf Basis der bislang erhaltenen Antworten noch keine abschließende Einschätzung treffen. „Diesen Prozess müssen auch wir erst abwarten.“ Binnen der nächsten zwei Wochen werde eine Antwort erwartet, die „hinreichende Klarheit“ bringen soll, sagt ein Sprecher der hamburgischen Behörde zu netzpolitik.org. Zoom beantwortete unsere Fragen bis Redaktionsschluss nicht.

Verschleppte Anfragen nicht ungewöhnlich

Dass Fristen ignoriert werden, Unternehmen gar nicht oder nur unvollständig antworten, sei nicht ungewöhnlich, berichtet Marx, der Unternehmen gelegentlich nach seinen Daten fragt. So habe es beim Tracking auf dem offiziellen Portal der Stadt Hamburg viele Monate gedauert, bis irgendetwas passierte.

Microsoft wiederum habe auf eine Anfrage zu MS Teams geantwortet, aber nicht vollständig und ausweichend. Und nur einer gehörigen Portion Hartnäckigkeit des CCC-Mitglieds ist es zu verdanken, dass mögliche Datenschutzverstöße des umstrittenen Gesichtserkennungs-Start-ups Clearview AI näher untersucht wurden.

Sitzfleisch wird nun auch im Fall der aktuellen Anfrage bei Zoom gefragt sein. Denn selbst wenn eines Tages die Zuständigkeit der Aufsicht geklärt ist, muss dann immer noch der Betreiber mitspielen. Bislang hat das Start-up Zoom jedoch kein gutes Bild abgegeben.

Dem US-Anbieter gelang es zwar nach dem Ausbruch der Corona-Krise Anfang des Jahres, sich rasch als die nutzerfreundliche Lösung für Videokonferenzen zu etablieren. Doch das rasante Wachstum offenbarte gravierende Mängel der zuvor nicht weit verbreiteten Software.

Beschwerde auch in Berlin

IT-Experten machten zahlreiche Sicherheits- und Datenschutzprobleme aus, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, weckte generell „Zweifel an der Zuverlässigkeit des Anbieters“. Auch in Berlin liegt eine Beschwerde gegen Zoom vor, bestätigt die Behörde gegenüber netzpolitik.org. Und auch in diesem Fall werde noch die Zuständigkeit geprüft.

Bisweilen kann dies länger dauern: „Wir haben bereits einige Fälle gehabt, in denen es sich schwierig gestaltete, die aufsichtsrechtliche Zuständigkeit zu klären, beispielsweise, weil die Hauptniederlassung kurzfristig verlagert wurde oder Unternehmen fusionierten“, teilt eine Pressesprecherin mit. „In solchen Fällen kann sich die Feststellung der Zuständigkeit unter Umständen sogar einige Monate hinziehen“.

Wie jetzt bei Zoom. Die einfache Bedienung der Software mag vielleicht viele Nutzer:innen angezogen und zu explosionsartigem Wachstum des Unternehmens geführt haben. Gleichzeitig zeigt es: Das Silicon Valley hat dem Motto „Move fast and break things“ noch lange nicht abgeschworen – und das bringt Aufsichtsbehörden allzu leicht ins Straucheln.

Update, 28. Juli: Zoom hat unsere Anfrage beantwortet, wenn auch noch nicht abschließend: „Zoom forscht hier derzeit nach“, schreibt die Presseabteilung. Immerhin hat das Unternehmen aber inzwischen eine EU-Datenschutzbeauftragte ernannt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Der Leiter der Social-Media-Abteilung der Bundeswehr Marcel B. sympathisierte auf Instagram mit einem Rechtsradikalen. Er hatte Beiträge eines der einschlägigen Accounts gelikt, wie eine Recherche des ARD-Magazins Panorama ergab. Dieser Account wurde nach Bekanntwerden des Falls prompt gelöscht.

netzpolitik.org hat nun weitere Kommunikation zwischen dem Rechtsradikalen und Marcel B. entdeckt. Wir sind auf Hinweise gestoßen, wonach der Betreiber des Accounts mit den Pseudonymen „Incredible Bramborska“, der auch unter dem Nutzernamen „Kernreaktionär“ auftrat, selbst Soldat in der Bundeswehr gewesen sein dürfte. Das Bundesverteidigungsministerium kündigte an, den Fall zu prüfen, spielte aber postwendend die Rolle des Social-Media-Leiters herunter.

Panorama zufolge hatte Marcel B. seither gelöschte Beiträgen des Instagram-Accounts „Incredible Bramborska“ mit „Gefällt mir“ markiert. Screenshots, die das ARD-Magazin veröffentlicht hat, zeigen Postings, in denen der Account Werbung macht für ein Lied über Verschwörungstheorien zum Coronavirus sowie für Bücher aus dem Antaios-Verlag, der für Publikationen der sogenannten Neuen Rechten bekannt ist. Auf den Screenshots ist auch zu sehen, dass diese Beiträge von Marcel B.s Account gelikt wurden.

Bücher des Antaios-Verlags, ein Zitat von Ernst Jünger

Die Postings von „Incredible Bramborska“ weisen klar auf rechte Ideologie hin: Unter dem Post, in dem der Account für Bücher des Antaios-Verlag wirbt, steht: „Es gibt Lektüren, die Impfungen gleichen.“ Dabei handelt es sich um ein Zitat, das Ernst Jünger zugeschrieben wird, einem intellektuellen Wegbereiter des Nationalsozialismus. Laut Panorama bezogen sich andere Beiträge des Accounts, die Marcel B. gelikt hat, eindeutig auf Parolen der rechtsradikalen Identitären Bewegung.

Marcel B. ist offiziell verantwortlich für die Online-Kampagnen, mit denen die Bundeswehr um Nachwuchs wirbt. Er hat auch die „Social Media Guidelines“ der Bundeswehr miterstellt. Darin heißt es unter anderem, dass Angehörige der Bundeswehr, die sich auf Sozialen Medien als solche zu erkennen geben, automatisch als Botschafter:innen auftreten und dass sie keine falschen Tatsachenbehauptungen und radikalen Inhalte verbreiten sollten (S. 29).

Diesbezüglich ist es mindestens fragwürdig, dass der Oberstleutnant selbst nun durch Likes von Postings mit verschwörungstheoretischen und rechtsextremen Inhalten auffällt. So sieht das nun offenbar auch Marcel B. selbst.

Der Boulevardzeitung BILD erzählte B., ihm sei „ein großer Fehler passiert“. Der Leiter der Social-Media-Abteilung der Bundeswehr behauptet, er habe darauf vertraut, dass die Inhalte seiner Community „schon in Ordnung“ seien. In dem Artikel, der am späten Donnerstagnachmittag erschien, gibt der Oberstleutnant an, mit der Identitären Bewegung sowie rechtem Gedankengut nichts zu tun zu haben. Weiter zitiert ihn die Zeitung mit der Aussage, er habe keinen Kontakt zu Rechtsradikalen.

Wer seine öffentliche Kommunikation mit „Incredible Bramborska“ auswertet, könnte zu einem anderen Eindruck gelangen.

B. bestätigt persönlichen Kontakt zu „Incredible Bramborska“

Marcel B. und „Incredible Bramborska“ tauschen sich seit mehreren Jahren auf Instagram aus, wie Recherchen von netzpolitik.org zeigen. Unter einem Video, das Marcel B. im Jahr 2018 vom Tag der Bundeswehr auf Instagram veröffentlichte, schrieb „Incredible Bramborska“: „Moin @marcel_b. Wollte dir nur die YouTube-Doku „Deutschlands Veteranen- Vergessen und verloren“ ans Herz legen.

Gedreht hatte diese Doku nicht irgendwer, sondern die Wochenzeitung „Junge Freiheit“, die seit mehr als 20 Jahren gedruckt wird und als Sprachrohr der Neuen Rechten gilt, also alles andere ist als unbekannt. Spätestens jetzt hätte B. wohl stutzig werden und seine Community hinterfragen müssen.

Wie der Social-Media-Chef der Bundeswehr stattdessen reagierte, lässt sich anhand von Instagram-Sicherungen auf Drittanbieter-Seiten rekonstruieren. Demnach fand B. nur Lob für das Video. Er schrieb: „Gut gelungen! Kann ich jedem empfehlen!“

Im Juli 2019 postete Marcel B. ein Foto mit Bundeswehr-Oberst Christian von Blumröder. Er schrieb darunter: „Erst vor wenigen Wochen hatte er nach mehr als drei Jahren Führung das Kommando über das Fallschirmjägerregiment 31 in Seedorf an seinen Nachfolger übergeben.“ Der Account „Incredible Bramborska“ kommentierte: „Mein ehemaliger Kommandeur.“ Auch dieser Kommentar ist inzwischen nicht mehr sichtbar.

Dass die Person hinter „Incredible Bramborska“ tatsächlich Mitglied des Fallschirmjägerregiments 31 der Bundeswehr war, legt diese Kommunikation nahe.

B. selbst bestätigte gegenüber der BILD, die Person hinter dem Account einmal persönlich getroffen zu haben. 2012 oder 2013 sei das gewesen, ein alter Schulfreund habe die Person „mitgebracht“. B. zufolge war „Incredible Bramborska“ tatsächlich „Soldat, wie ich in Kundus eingesetzt und 2010 in schwere Gefechte verwickelt“.

Umstrittene Bundeswehr-Kampagne gegen die re:publica

Marcel B. sorgte als Social-Media-Leiter im Jahr 2018 mit einer Guerilla-Marketing-Aktion auf der re:publica für Aufsehen. Deren Veranstalter:innen hatten sich damals gegen einen Rekrutierungsstand der Bundeswehr mit uniformierten Soldat:innen entschieden. Sie befürchteten, dass das bei der Bundeswehr gängige Recruiting samt Flecktarn und Panzer auf ihrer Konferenz die Stimmung der Besucher:innen und damit auch ihre Bereitschaft zur Teilnahme beeinflussen könnte. Stattdessen boten die re:publica-Veranstalter:innen der Bundeswehr inhaltliche Dialogmöglichkeiten beispielsweise auf Podien an, die diese aber nicht wahrnahm.

Zu Beginn der Konferenz tauchte dann bei diesem „Bundeswehreinsatz im Innern“ ein Werbefahrzeug der Bundeswehr vor dem Eingang des Konferenzgeländes auf, das von uniformierten Soldat:innen, darunter Marcel B., begleitet wurde. Sie verteilten Flyer mit der Adresse der Facebook-Seite „Bundeswehr Karriere“, auf denen behauptet wurde, dass die Bundeswehr auch dafür kämpfe, dass die re:publica gegen sie sein könne. Die re:publica hatte der Bundeswehr die Teilnahme jedoch nie untersagt. Im Gegenteil: Bundeswehrsoldat:innen nahmen in zivil an der Konferenz teil.

Den Veranstalter:innen zufolge wurden Gäste, die die Flyer ablehnten, gefragt, ob es nicht „undemokratisch“ sei, wenn sie sich nicht „auf die Debatte einlassen“ würden. Marcel B. begleitete die Aktion damals auch auf seinem privaten Instagram-Account und verwendete dabei sogenannte „Bashtags“ wie #norepublica oder #restrictedrepublica, also Hashtags, die die re:publica klar herabwürdigen sollten.

In seiner Antwort auf eine Kleine Anfrage der Bundestagsfraktion Die Linke gab das Bundesverteidigungsministerium später an, keine solchen Hashtags zu verwenden.

Verteidigungsministerium will Vorwürfe prüfen

Die Enthüllungen seiner Vorlieben auf Instagram sind nicht das erste Mal, dass Marcel B. im Umfeld von Rechten auffällt. Marcel B. veröffentlichte auch einen Artikel im Buch „Soldatentum – Auf der Suche nach Identität und Berufung der Bundeswehr heute“, das der neurechte Autor Felix Springer mit herausgegeben hat. Felix Springer verbreitete während und nach seiner Zeit an der Bundeswehr-Hochschule in München rechte Thesen und tritt auf Veranstaltungen und in Videos der „Identitären Bewegung“ auf. Er schrieb auch Gastbeiträge beim Magazin „Sezession“ des Instituts für Staatspolitik, das der Verfassungsschutz als rechtsextremen Verdachtsfall führt.

In der Antwort auf die Kleine Anfrage der Bundestagsfraktion Die Linke nach der umstrittenen Aktion am Rande der re:publica 2018 nahm das Bundesverteidigungsministerium zu Marcel B.s Nähe zu Felix Springer keine Stellung. Ungeachtet dieser Verbindung zur Neuen Rechten ist Marcel B., der 2018 noch Major war, inzwischen zum Oberstleutnant befördert worden.

Den neuen Vorwürfen gegen Marcel B. will das Bundesverteidigungsministerium laut eigener Aussage „umgehend und sorgfältig prüfen“. Die Verteidigungsministerin verfolge eine „absolute Null-Toleranz-Linie, insbesondere was rechte Tendenzen angeht.“ Verstöße würden nicht geduldet, hieß es auf Anfrage von Panorama.

Ob das Ministerium den Like und die anderen rechten Verbindungen von B. nun als Verstoß bewertet, bleibt also abzuwarten.

Offenlegung: netzpolitik.org-Chefredakteur Markus Beckedahl hat die re:publica mitgegründet. Redakteur:innen von netzpolitik.org haben auf der Konferenz mehrfach gesprochen.

Mitarbeit: Daniel Laufer

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.